将网络令牌用于服务控制面办法的高效策略实施的制作方法
本申请要求2015年2月24日提交的题为“efficientpolicyenforcementusingnetworkaccesstokensforservicesc-planeapproach(将网络接入令牌用于服务控制面办法的高效策略实施)”的美国临时申请no.62/120,135以及2015年8月21日提交的美国非临时申请no.14/832,965的优先权,它们的内容通过援引纳入于此。
领域
一个方面一般涉及网络令牌,且更具体地涉及推导出、供应以及使用与数据流相关联的网络令牌以促进分组导向和/或验证设备只访问经授权的应用服务。
背景技术:
一些客户端设备可具有网络接入,但它们的网络接入可被限于应用服务集。在一个示例中,客户端设备的网络接入可由特定应用服务提供商来赞助。客户端设备可被限于由该应用服务提供商在其服务器上运行的应用服务。在另一示例中,具有网络接入的客户端设备可以是允许与给定应用服务相关联的数据的特殊收费或处置(例如,服务质量的比特率)的合同的一部分。例如,客户端设备可具有通过蜂窝提供商的蜂窝订阅并且该蜂窝提供商可能希望对客户端设备施加一个或多个约束。在一个示例中,当今称为社交媒体提供商而不被称为蜂窝提供商的公司可充当蜂窝提供商的角色。在这一示例中,客户端设备可具有对该公司的订阅。作为它的订阅协定的一部分,客户端设备可得到对因特网的接入但可能被限于使用该公司的社交媒体站点而排除其他社交媒体站点。作为另一示例,客户端设备可具有对流媒体服务的提供商的订阅。在这一示例中,作为协定的一部分,客户端设备可通过各种蜂窝提供商得到对因特网的接入,但可被该协定约束(在流媒体服务的提供商与各种蜂窝提供商和/或客户端设备的用户之间)以将该媒体服务的提供商的站点用于所有流媒体服务。作为又一示例,对于某些接入点名称(apn),基于策略或订阅限制,只有某些话务可被允许从客户端设备发送。
策略可结合应用服务来制定以确保客户端设备没有违反任何协定,向其提供对给定应用服务的接入,和/或向其提供达成协定的服务水平。这样的策略可被实施在从客户端设备朝例如分组数据网络(例如,因特网)上的服务器发送的上行链路(ul)分组上。
当今,用于应用服务的策略实施发生在网络的网关处。这样的网关的示例是分组数据网络网关(p-gw),它充当网络核心(例如,演进型分组核心(epc)与分组数据网络(诸如因特网)之间的网关。存在一个问题:服务访问策略的实施可能需要p-gw以验证从客户端设备发送的所有ul分组。此外,每一ul分组可能需要经由特定承载被定向到其目的地地址。
可能需要在p-gw处验证ul分组以确保客户端设备只向经授权的应用服务发送分组。验证可包括验证目的地地址或目的地地址和分组穿过p-gw的端口号。另外,验证每一分组的源地址对于防诈骗(例如,通过阻止来自未经授权的客户端设备的分组藉由看起来是来自经授权的客户端设备而哄骗该系统)而言可以是有用的。可能需要分组导向以确保达到所达成协定的服务质量(qos)。
当前策略由于处理延迟而招致显著的开销和添加转发等待时间。当前实践通常是使用分组检视(例如,深分组检视、浅分组检视)和话务流模板(tft)以及服务数据流(sdf)模板来实现的。p-gw通过检视每一分组的报头来确认ul分组符合为(诸)服务所定义的tft/sdf模板。
细粒度策略控制(例如,按应用)是困难的,因为附加的策略控制将招致附加开销和处理延迟,这是因为将需要对照由tft/sdf模板实现的附加过滤规则来测试分组。此外,使用tft/sdf模板不能针对所赞助的连接性进行伸缩。不同服务的赞助商的数目的增加(将来可能有数千服务)将意味着通过对应的增加数目的tft/sdf模板来过滤分组所需要的时间增加。这同样将招致附加开销和处理延迟。
所需要的是补充和/或增强分组检视的替换方案。
概述
根据一个方面,一种方法可在设备处操作。该方法可包括:使用控制面信令来建立与一个或多个应用相关联的一组一个或多个流;以及在该设备处在该控制面信令期间获得第一网络令牌。该第一网络令牌可以与该组一个或多个流中的第一流相关联,与该一个或多个应用中的第一应用相关联,且可经由该控制面信令被供应给该设备。该方法还可包括将该第一网络令牌与关联于该第一流的分组一起从该设备发送。根据一些方面,该方法可包括将该第一网络令牌与关联于该第一流的从该设备发送的每一分组一起从该设备发送。第一网络令牌可根据网络接入策略来导出。它可被用来将第一流中的分组导向到第一应用。
可响应于对第一网络令牌的显式或隐式请求来供应该第一网络令牌。隐式请求可包括以下各项之一:分组数据网络(pdn)连接请求消息,专用承载激活请求消息,或者承载修改请求消息。
根据一些方面,第一网络令牌可以在以下各项中从该设备传送到网关设备:网际协议(ip)层与媒体接入控制(mac)层之间的垫层中的垫报头;分组数据汇聚协议(pdcp)报头;和/或ip版本6(ipv6)中定义的ip扩展报头。当在垫报头中传送时,第一网络令牌对于接入节点而言可以是透明的。根据一些方面,第一网络令牌可以在以下各项中从该设备传送到接入节点:网际协议(ip)层与媒体接入控制(mac)层之间的垫层中的垫报头;和/或分组数据汇聚协议(pdcp)报头。
根据一些方面,可在该设备处在该控制面信令期间获得第二网络接入令牌。第二网络令牌可由不同于导出第一令牌的第一设备的第二设备导出。它可以与该组一个或多个流中的第一流相关联,与该一个或多个应用中的第一应用相关联,以及经由该控制面信令被供应给该设备。
该设备可包括网络接口和耦合到该网络接口的处理电路。该处理电路可被配置成:使用控制面信令来建立与一个或多个应用相关联的一组一个或多个流;在该设备处在该控制面信令期间获得网络令牌,其中该网络令牌与该组一个或多个流中的第一流相关联、与该一个或多个应用中的第一应用相关联;以及经由该控制面信令被供应给该设备。
根据一个方面,一种在网关设备处操作的方法可包括在该网关设备处在与关联于客户端设备的数据连接设立、激活或修改相关联的控制面信令期间获得对网络令牌的请求。该方法可进一步包括:在该网关设备处导出该网络令牌,该网络令牌根据接入策略与流和应用服务相关联;以及在该控制面信令期间经由控制面信令将该网络令牌发送给客户端设备或发送给与该客户端设备相关联的接入节点。该网络令牌可被用来在通过该网关设备的网络上的传输期间对该客户端设备和该应用服务之间传送的分组进行导向。对该网络令牌的请求可以是显式的。对该网络令牌的请求可以是隐式的。在网关设备处获得分组数据网络(pdn)连接请求、专用承载激活请求或承载修改请求之际可以隐式地识别该请求。
根据一个方面,网络令牌的导出可以基于因客户端设备所附连到的接入节点而异的秘密密钥。根据这样的方面的方法可包括将秘密密钥发送给接入节点。
根据一个方面,网络令牌可被导出为上行链路网络令牌和不同于该上行链路网络令牌的下行链路网络令牌。上行链路网络令牌的导出可基于网关设备所知的密钥以及与客户端设备相关联的参数。下行链路网络令牌的导出可以基于网关设备所知的密钥以及与应用服务器相关联的参数。根据这样的方面,该方法可包括将上行链路网络令牌和下行链路网络令牌发送给客户端设备。
根据一个方面,网关设备可以获得包括网络令牌的第一分组。网关设备可以使用与同第一分组包括在一起的网络令牌相关联的数据来在客户端设备和应用服务之间对该第一分组进行导向,而不使用分组检视。网关设备可以使用该网关设备所知的密钥来验证该网络令牌。网关设备可以在验证不成功的情况下通过丢弃包括该网络令牌的第一分组来进行动作。如果验证成功,则网关设备可使用与第一分组包括在一起的网络令牌来在客户端设备和应用服务之间对该第一分组进行导向,而不使用分组检视。验证网络令牌可包括从具有输入参数集的函数导出验证网络令牌,该输入参数集包括:网关所知的密钥;以及网络令牌参数索引、源网际协议(ip)地址,源端口号、目的地ip地址、目的地端口号、协议标识符(id)、应用id、优先级和/或服务质量类标识符(qci)。验证随后可进一步包括将该网络令牌与该验证网络令牌相比较。在一些方面,网络令牌参数索引、源网际协议(ip)地址、源端口号、目的地ip地址、目的地端口号、协议标识符(id)、应用id、优先级和/或服务质量类标识符(qci)是从该分组获得的。
根据一些方面,一种方法可包括在验证网络令牌之前标识网络令牌参数索引,其中该网络令牌参数索引定义输入参数的列表。这样的方法还可包括从具有网关设备所知的密钥以及输入参数的列表作为输入的函数导出验证网络令牌。网络令牌参数索引可以定义应用标识符(id)。输入参数的列表可被存储在网关设备中的表中。可以在与ip报头分开的垫层报头中携带网络令牌。可以在通用分组无线电服务(gprs)隧穿协议(gtp)报头中携带网络令牌。可以在网际协议(ip)版本6(ipv6)中定义的ip扩展报头中携带网络令牌。
根据一个方面,网关设备可包括网络接口和耦合到该网络接口的处理电路。该处理电路可被配置成:在与关联于客户端设备的数据连接设立、激活或修改相关联的控制面信令期间获得对网络令牌的请求;获得网络令牌,该网络令牌根据接入策略与流和应用服务相关联;以及在该控制面信令期间经由控制面信令将该网络令牌发送给客户端设备或发送给与该客户端设备相关联的接入节点。
根据一些方面,一种在接入节点处操作的方法可包括在该接入节点处在控制面信令期间获得网络令牌。该网络令牌可以与一组一个或多个流中的第一流相关联,与一个或多个应用中的第一应用相关联,且经由该控制面信令被供应给该接入节点。该方法可进一步包括将网络令牌与关联于第一流的分组一起从接入节点发送。该方法可进一步包括将网络令牌与关联于第一流的每一分组一起从接入节点发送。网络令牌可以与关联于该一个或多个应用的该一组一个或多个流相关联。
根据另一方面,一种在接入节点处操作的方法可包括在控制面信令中从网关设备获得因接入节点而异的秘密密钥。该方法可进一步包括在用户面信令中在接入节点处获得来自客户端设备的分组,该分组包括网络令牌。接入节点可如下采取动作:使用从网关设备获得的因接入节点而异的秘密密钥来验证网络令牌;以及如果网络令牌得到验证则将分组和网络令牌发送给网关设备,或者如果网络令牌未得到验证则丢弃分组和网络令牌。可以在通用分组无线电服务(gprs)隧穿协议(gtp)报头中将网络令牌携带给网关设备。网络令牌可被从分组数据汇聚协议(pdcp)报头复制到通用分组无线电服务隧穿协议报头(gtp报头)并在gtp报头中携带给网关设备。根据一些方面,网络令牌用于实施与应用服务相关联的接入策略,且因接入节点而异的秘密密钥用于在将在接入节点处接收到的分组发送给网关设备之前验证该分组中包括的网络令牌,以阻止未授权分组到达网关设备。
根据一个方面,接入节点可包括网络接口和耦合到该网络接口的处理电路。处理电路可被配置成在控制面信令中从网关设备获得因接入节点而异的秘密密钥。处理电路可被进一步配置成在用户面信令中在接入节点处获得来自客户端设备的分组,该分组包括网络令牌。该处理电路可以被进一步配置成:使用从网关设备获得的因接入节点而异的秘密密钥来验证网络令牌;以及如果网络令牌得到验证则将分组和网络令牌发送给网关设备,或者如果网络令牌未得到验证则丢弃分组和网络令牌。
根据一些方面,一种在网关设备处操作的方法可包括在网关设备处获得来自应用服务器的分组。该分组可包括下行链路网络令牌。该方法可包括:使用网关设备所知的密钥来验证下行链路网络令牌;如果验证不成功则丢弃该分组;以及如果验证成功,则丢弃该下行链路网络令牌并基于由该下行链路网络令牌所表示的参数来将该分组发送给客户端设备。该分组可以是网际协议(ip)数据分组。
附图
图1解说了示例性操作环境。
图2解说了示例性上行链路操作。
图3是解说其中网络令牌可由p-gw发布给客户端设备的示例性呼叫流的示图。
图4是解说其中网络令牌可由p-gw发布给接入节点(例如,演进型b节点)的示例性呼叫流的示图。
图5是解说其中p-gw可将网络令牌发布给客户端设备并还可将因接入节点而异的秘密密钥发布给该接入节点的示例性呼叫流的示图。
图6是解说其中第一网络令牌(例如,网络令牌1)可由p-gw发布给客户端设备且不同于第一网络令牌的第二网络令牌(例如,网络令牌2)可由与客户端设备相关联的接入节点发布给该客户端设备的示例性呼叫流的示图。
图7是解说其中两个网络令牌(例如,上行链路网络令牌和下行链路网络令牌)可由p-gw发布给客户端设备的示例性呼叫流的示图。
图8是根据本文描述的一个方面的系统的用户面协议栈的示例性解说。
图9是根据本文描述的另一方面的系统的用户面协议栈的示例性解说。
图10是根据本文描述的又一方面的系统的用户面协议栈的示例性解说。
图11是根据本文描述的又一方面的系统的用户面协议栈的示例性解说。
图12是根据本文描述的又一方面的系统的用户面协议栈的示例性解说。
图13是根据本文描述的又一方面的系统的用户面协议栈的示例性解说。
图14是解说被适配成支持基于网络令牌的应用接入的示例性设备的框图。
图15是设备可获得网络令牌的示例性方法。
图16是设备可从网关设备获得网络令牌以及从接入节点获得分开的网络令牌的示例性方法。
图17是解说被适配成支持基于令牌的应用接入的示例性接入节点的框图。
图18解说在接入节点(例如,演进型b节点)处设立网络令牌(例如,导出网络令牌并将该网络令牌供应给客户端设备)的示例性方法。
图19是在接入节点处操作的示例性方法的流程图。
图20是在接入节点处操作的另一示例性方法的流程图。
图21是在接入节点处操作的又一示例性方法的流程图。
图22是解说被适配成支持基于令牌的应用接入的示例性网关的框图。
图23解说在网关(例如,p-gw)处设立网络令牌(例如,导出网络令牌并将该网络令牌供应给客户端设备)的示例性方法。
图24解说了在网关(例如,p-gw)处设立上行链路和下行链路网络令牌的示例性方法。
图25是在网关处操作的示例性方法的流程图。
详细描述
在以下描述中,参考了附图,附图中作为解说示出了可在其中实施本公开的特定实施例。各实施例旨在以足够细节来描述本公开的各方面以使本领域技术人员能够实施本发明。其他实施例可被利用且可作出对所公开的实施例的改变而不背离本公开的范围。以下详细描述不旨在是限制性的,且本发明的范围仅由所附权利要求来限定。
术语“设备”可在本文中用来指芯片组件和/或客户端设备,诸如“移动设备”、“移动电话”、“移动通信设备”、“移动计算设备”、“数字平板”、“智能电话”、“用户装备”、“用户设备”、“终端”,以及其他设备。
操作环境
图1解说了示例性操作环境100。在这样的示例性操作环境100中,一个或多个客户端设备102、104(例如,客户端设备a、客户端设备b)可以与接入节点106(例如,b节点、演进型b节点、接入点(ap))无线地通信。接入节点106可被包括在无线电接入网(ran)108(例如,演进型通用地面无线电接入网(e-utran))内。如本领域技术人员已知的,ran108通常包括一个以上接入节点106。只解说了一个接入节点106以减少附图中的混乱。在蜂窝通信系统(例如,4g、lte、lte-a)的非限制性示例中,ran108可以将控制信号和数据话务传达给核心网(cn)110(例如,演进型分组核心(epc))。在图1的解说中,虚线表示控制信号路径,而实线表示数据话务路径。控制信号经由控制面来传达。用户数据经由用户面来传达。
cn110可包括移动性管理实体(mme)112、服务网关(s-gw)116、归属订户服务器(hss)118以及分组数据网络网关(p-gw)120。p-gw120可以与分组数据网络(pdn)122(例如,因特网)通信。更具体而言,p-gw120可以与pdn122中的服务器124、136、128、130(例如,应用服务器)通信。服务器124、126、128、130可以与服务提供商相关联,诸如举例而言提供销售服务、信息服务、流送视频服务以及社交媒体服务的服务提供商。
图2解说了示例性上行链路操作200。为方便起见,示例性上行链路操作200被呈现在长期演进(lte)系统的上下文中。该示例不旨在对本文描述的任何方面的范围施加任何限制。
图2中呈现了客户端设备202(例如,用户装备、用户设备、终端、移动设备)、接入节点204(例如,演进型b节点)、服务网关(s-gw)206、分组网关(p-gw)208以及分组数据网络(pdn)210(例如,因特网)。
现在描述图2的示例性上行链路操作200。ip流214(例如,来自客户端设备202的应用/应用服务212)被应用到与话务流模板(tft)216包括在一起的分组过滤器(未示出)。所描绘的ip流214的数目是解说性的且不旨在是限制性的。
tft216的分组过滤器将各ip流过滤到各承载218(例如,演进型分组系统(eps)承载)中。出于说明性目的,解说了三个承载218(例如,承载1、承载n-1以及承载n)。在一个方面,承载可由多个应用/应用服务共享。每一承载可以与唯一参数集相关联。
ip流214可被映射到例如默认承载或一个或多个专用承载。默认承载通常可具有无保证比特率,而专用承载通常可具有有保证或无保证比特率。承载可以穿过接入节点204和s-gw206。接入节点204和s-gw206的各方面没有在此描述且对本领域普通技术人员而言是已知的。
在一个方面,来自承载218的ip流214可被传递到决策和处理电路/功能/模块220。决策和处理电路/功能/模块220可以使得从承载218接收到的ul分组传递到密码验证和话务导向电路/功能/模块222或服务数据流(sdf)模板224以及其中包括的分组过滤器(未示出)。
其中包括网络令牌的ul分组可被传递到密码验证和话务导向电路/功能/模块222。与网络令牌相关联的一个或多个策略的实施可以在网络令牌的成功验证之际被执行。
其中不包括网络令牌的ul分组可由决策和处理电路/功能/模块220传递到sdf模板224。使用sdf模板224的分组过滤器可能需要比使用密码验证和话务导向电路/功能/模块222更多的处理和存储器资源。为了使用sdf模板224的分组过滤器来执行过滤,例如,p-gw208必须为每一sdf维持分开的表条目表。
相应地,使用网络令牌(以及因此使用密码验证和话务导向电路/功能/模块222)节省资源并降低等待时间。在一个方面,密码网络令牌(例如,软件令牌)可被用来补充/增强分组检视。这一方面的一个优点包括可伸缩性。即,没有表条目或状态需要被保持在快速路径(也称为快速通过)上。这一方面的另一优点包括低等待时间。即,单个密码操作(例如,散列或高级加密标准(aes),无论哪一者可更快地运行或可被确定为是适当的)可足以用于接入控制。
又一优点可包括灵活性。即,密码网络令牌可基于各种元数据来导出。这样的元数据不限于在tft/sdf模板中过滤的参数。另外,各种策略(例如,真实性策略和/或分组授权策略)可被应用于网络令牌。又一优点可包括对分布式拒绝服务(ddos)攻击的回复力。即,包括错误/不正确/不真实的密码网络令牌的任何分组将在发送给服务器(例如,图1的服务器124、126、128、130)之前被丢弃,从而防止服务器被分组淹没。又一优点可在于可再定位性的特征。这一优点的实现可通过将过滤规则(或规则集)定义/映射为第一网关处的对应秘密密钥并随后与第二网关共享该秘密密钥来理解。因而,在第一和第二网关之间的切换期间,该方面准许经由秘密密钥的传递/共享来对sdf过滤器进行再定位。这消除了对传递与关联于给定sdf过滤器的过滤规则(或规则集)相关的所有数据的需求。因此,可再定位性的优点释放可能原本被用来传递所有数据的处理资源以用于其他目的。
概览
一个特征一般涉及由设备(诸如网关设备)导出网络令牌。网络令牌在本文可被称为令牌、网络令牌、或者密码网络令牌。网络令牌可基于反映与应用和客户端设备相关联的网络策略的订阅简档。在一些方面,网络令牌可由网关设备导出并只可由该网关设备验证。网络令牌可以与应用服务和客户端设备(例如,移动设备、用户装备、用户设备)之间的数据流相关联。网关设备可以将网络令牌供应给客户端设备。客户端设备可将网络令牌包括在经由网关设备发送给应用服务的一个或多个数据分组中。网关设备可以验证与该一个或多个分组中的每一者相关联的网络令牌并可使用与该网络令牌相关联的信息来将该分组导向到应用服务。本文结合与网络令牌相关的示例性方面来例示了两个宽泛的过程。
第一过程涉及网络令牌的“设立”。设立可涉及经由控制面(c-面)中的信令/消息收发来导出和供应网络令牌。下文提供了经由控制面中的信令或消息收发来建立网络令牌的非限制性示例。
第二过程涉及使用网络令牌来使用和实施诸策略。使用和/或实施可涉及将网络令牌包括在一个或多个ul分组中,其中将网络令牌包括在分组中可发生在例如客户端设备(例如,客户端设备202,图2)和/或接入节点(例如,接入节点204,图2)处。令牌可被添加到分组或以其他方式与其相关联。使用和/或实施可另外涉及网络令牌的验证的网络功能。网络令牌的验证可发生在例如p-gw(例如,p-gw208,图2)处。在一些方面,导出发送给客户端设备的网络令牌的p-gw将是验证从客户端设备接收到的网络令牌的p-gw。换言之,在一些方面,导出令牌的节点(例如,p-gw)是也可验证该令牌的唯一节点。验证将不一定涉及对过滤的任何需求。单个密码操作(例如,散列、aes)可被实现。在使用具有tft/sdf模板的分组检视时所需要的存储器查找可能不是必需的。
本文呈现了利用密码网络令牌来作为通信系统中的接入/许可控制的已知方法的补充或替换的方法和设备的示例。网关(例如,p-gw)可使用密码网络令牌来过滤未授权话务,而无需保持流状态,即无状态过滤器。此外,客户端设备可以使用密码网络令牌来将一个或多个ul分组与达成协定的数据流(例如,承载)相关联,并将分组导向到经授权目的地。其他接入控制规则可被包括在网络令牌中或与网络令牌相关联。
本文描述了设立用于分组数据网络(pdn)中的接入/许可以及分组话务流的令牌的示例性方法。在令牌设立之后,本文描述了通过验证网络令牌来实施接入/许可策略的示例性方法。可以使用基本密码算法(例如,散列、aes)。与当今的方法相反,不需要存储器查找就能实施接入/许可策略。
数据流
在本文描述的各方面,ip流、数据流、或者流不必被限于图2的示例性解说中呈现的承载。客户端设备可以操作或运行一个或多个应用。每一客户端应用可被映射到在应用服务器上操作或运行的应用服务。因此可以基于在设备中和应用服务器上操作的应用来定义流。流可被定义为分组在客户端设备处运行的应用与在应用服务器处运行的应用服务之间所采取的路径。虽然流可以与在客户端设备上操作的应用相关联,但流不一定标识该客户端设备。网络令牌可被用来标识一个或多个流。相应地,网络令牌可以与多个流相关联。
一个流可被映射到在网络中的同一服务器上运行的多个服务。例如,客户端设备可以使用由服务器上的一个提供商提供的一个服务。该服务器通常具有一个ip地址。然而,该服务可以主控服务器上的多个应用。该多个应用可包括例如地图应用、信息搜索应用、以及社交联网应用。该多个应用因此具有相同的目的地ip地址,所以从核心网的网关(例如,p-gw)的观点来看,该多个应用可被认为是单个流而非多个流。相应地,单个流可被映射到多个服务。
流可以与多个服务相关联。同样,网络令牌可以与多个服务相关联,其中这些服务可由多个应用服务提供商运行。例如,客户端设备可具有多个赞助商(例如,多个服务提供商)。在本文描述的各方面中,网关可以导出与多个应用服务提供商相关联的网络令牌。因此,单个令牌可被映射到一个或多个应用服务,该一个或多个应用服务进而与一个或多个流相关联。
在本文提供的若干示例中,可基于应用标识符(appid)来导出网络令牌。然而,网络令牌的导出不限于这样的示例。其他参数和参数组合可被用来导出网络令牌。appid可以与一个或多个服务器相关联。例如,给定服务提供商可具有位于不同地理位置的不同数据中心(每一数据中心具有其自己的服务器)。在这样的情形中,appid将与一个以上服务器相关联。令牌可有益地使用appid来代替服务器ip地址。网关可以验证与网络令牌相关联的分组正去往给定服务提供商的服务器,即使网络令牌没有指定该目的地服务器的ip地址。
令牌设立——示例性系统级呼叫流
本文阐明的示例可应用于初始pdn连通性请求规程(在此期间,默认承载可被设立)以及专用承载设立规程(在此期间,一个或多个专用承载可被设立)。
图3是解说其中网络令牌可由p-gw310发布给客户端设备302的示例性呼叫流300的示图。该呼叫流可被实现在控制面中。接入节点304(例如,演进型b节点)可以是不可知论的。即,接入节点304可能不知道客户端设备302已向p-gw310发送了对网络令牌的请求。该请求以及网络令牌的交换对于不可知论的接入节点304而言可以是透明的。图3包括客户端设备302、接入节点304、mme306、s-gw308、p-gw310、策略和收费规则功能(pcrf)312服务器以及归属订户服务器(hss)314的表示。
在图3的示例性呼叫流300中,客户端设备302可采取步骤以一般地建立连接或建立与服务的连接。在一个方面,客户端设备302可以向mme306发送316pdn连通性请求。结合客户端设备302为建立该连接所采取的动作,对网络令牌的请求可被隐式地识别。例如,结合客户端设备302的pdn连通性请求,对网络令牌的请求可被隐式地识别。替换地,对网络令牌的请求可被显式地包括在发送自客户端设备的连接请求中。例如,对网络令牌的请求可与pdn连通性请求显式地包括在一起。对网络令牌的请求可包括应用标识符(appid)。作为又一替换方案,客户端设备302可不请求网络令牌,但网络令牌可在控制面中指派。例如,另一节点或某一策略可能需要使用网络令牌。在这样的替换方面,即使客户端设备302没有请求网络令牌,网络令牌仍然可在控制面中被供应给客户端设备。
响应于接收到pdn连通性请求,mme可将创建会话请求发送318到s-gw308。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求还可包括应用标识符(appid)。
响应于接收到创建会话请求,s-gw308可将创建会话请求发送320到p-gw310。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求还可包括应用标识符(appid)。
响应于接收到创建会话请求,p-gw310可以执行324用于建立/修改ip连通性接入网(ip-can)的各步骤。如本领域技术人员已知的,ip-can是提供网际协议(ip)连通性的接入网。该术语可应用于蜂窝网络(例如,3gpp网络)以及无线局域网(wlan)(例如,wifi、hotspot,等等)。
同样,响应于接收到对网络令牌的请求,p-gw310可以获得或导出326网络令牌。如本文所使用的,术语“导出”可意指在本地导出或从另一设备获得。网络令牌可以是与分组相关联的输入参数的散列。在一个方面,可通过使用分组的输入参数重新创建令牌并随后将重新创建的令牌与同分组包括在一起的令牌相比较来在p-gw310处验证网络令牌。p-gw310所知的秘密密钥可被使用在密码功能中以导出网络令牌。在一个示例中,p-gw310可以鉴于从应用功能(af)检索的应用接入策略来导出网络令牌。在一个方面,接入策略可以将流关联到应用。网络令牌可进一步鉴于appid来导出,例如如果appid与对该网络令牌的请求包括在一起。在一些方面,网络令牌可包括经加密信息。解密可使用密码功能来实现,在一个示例中,该密码功能具有p-gw310所知的秘密密钥作为其输入。作为示例,网络令牌的成功解密可产生如下值:该值可与包括网络令牌的ul分组相关联地指示服务器的目的地地址和/或应用服务和/或客户端设备的源地址和/或该ul分组所源自的接入节点。在一个方面,从网络令牌获得例如服务器的目的地地址和/或应用服务的能力可意味着与该令牌相关联的分组被授权发送到该目的地并且可进一步意味着不需要sdf模板224(以及其相关联的分组过滤器)。分组检视因而可被避免。p-gw310可如下将网络令牌发布给客户端设备302。
p-gw310可以将创建会话响应发送328给s-gw308。p-gw310可将网络令牌包括在发送给s-gw308的创建会话响应中。响应于该创建会话响应,s-gw308可将创建会话响应发送330到mme306。s-gw308可将网络令牌包括在发送给mme306的创建会话响应中。响应于该创建会话响应,mme306可以将承载设立请求/pdn连通性接受发送332给接入节点304。mme306可将网络令牌包括在发送给接入节点304的承载设立请求/pdn连通性接受中。响应于该承载设立请求/pdn连通性接受,接入节点304可以将rrc连接重配置发送334给客户端设备。接入节点304可将网络令牌包括在发送给客户端设备的rrc连接重配置中。客户端设备302可以接收与接收自接入节点304的rrc连接重配置包括在一起的网络令牌。
一旦客户端设备302具有了网络令牌,客户端设备302就可将该网络令牌与被构造成用于至该应用服务的数据传输的一个或多个ul分组包括在一起。
图4是解说其中网络令牌可由p-gw410发布给接入节点(例如,演进型b节点)而客户端设备402可能没有接收到该网络令牌的示例性呼叫流400的示图。在此,客户端设备402可被认为是不可知论的。即,根据这一示例,客户端设备402可以不是将网络令牌包括在旨在给应用服务的一个或多个ul分组中的实体。该呼叫流可被实现在控制面中。图4包括客户端设备402、接入节点404、mme406、s-gw408、p-gw410、pcrf412以及hss414的表示。
在图4的示例性呼叫流中,客户端设备402可采取步骤以一般地建立连接或建立与服务的连接。在一个方面,客户端设备402可以向mme406发送416pdn连通性请求。结合客户端设备402为建立该连接所采取的动作,对网络令牌的请求可被隐式地识别。例如,结合客户端设备402的pdn连通性请求,对网络令牌的请求可被隐式地识别。替换地,对网络令牌的请求可被显式地包括在客户端设备402的连接请求中。例如,对网络令牌的请求可与pdn连通性请求显式地包括在一起。对网络令牌的请求可包括应用标识符(appid)。作为又一替换方案,客户端设备402可不请求网络令牌,但网络令牌可在控制面中指派。
响应于接收到pdn连通性请求,mme406可将创建会话请求发送418到s-gw408。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求可包括应用标识符(appid)。
响应于接收到创建会话请求,s-gw408可将创建会话请求发送420到p-gw410。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求可包括应用标识符(appid)。
响应于接收到创建会话请求,p-gw410可以执行424用于建立/修改ip-can会话的各步骤。同样,响应于接收到对网络令牌的请求,p-gw410可以导出426网络令牌。p-gw410所知的秘密密钥可被使用在密码功能中以导出网络令牌。在一个示例中,p-gw410可以鉴于从应用功能(af)检索的应用接入策略来导出网络令牌。在一个方面,接入策略可以将流关联到应用。网络令牌可进一步鉴于appid来导出,例如如果appid与对该网络令牌的请求包括在一起的话。p-gw410可如下将网络令牌发布给接入节点404。
p-gw410可以将创建会话响应发送428给s-gw408。p-gw410可将网络令牌包括在发送给s-gw408的创建会话响应中。响应于该创建会话响应,s-gw408可将创建会话响应发送430到mme406。s-gw408可将网络令牌包括在发送给mme406的创建会话响应中。响应于该创建会话响应,mme406可以将承载设立请求/pdn连通性接受发送432给接入节点404。mme406可将网络令牌包括在发送给接入节点404的承载设立请求/pdn连通性接受中。以此示例性方式,接入节点404可以从p-gw410获得网络令牌。
该呼叫流可继续。例如,响应于该承载设立请求/pdn连通性接受,接入节点404可以将rrc连接重配置发送434给客户端设备402。在该第二示例中,接入节点404可不将网络令牌包括在发送给客户端设备402的rrc连接重配置中。
一旦接入节点404具有了网络令牌,接入节点404就可将该网络令牌与被构造成用于至该应用服务的数据传输的每一ul分组包括在一起。
图5是解说其中p-gw510可将网络令牌发布给客户端设备502并且还可将因接入节点504而异的秘密密钥发布给该接入节点504的示例性呼叫流500的示图。因接入节点504而异的秘密密钥可以是由p-gw510保持的秘密密钥的函数,并且例如是接入节点504的标识符的函数。该第三示例性呼叫流500的实施可以准许接入节点504在将从客户端设备502接收到的一个或多个ul分组(与它们所包括的网络令牌一起)转发给核心网之前验证与该一个或多个ul分组包括在一起的网络令牌。这可促成“第一英里过滤”操作,其中在使用/实施过程(稍后将在下文描述)期间,接入节点504可被授权基于与所接收到的网络令牌相关的密码功能和因接入节点504而异的秘密密钥来验证ul分组。这可使“受信任的”接入节点504能够在从客户端设备502接收到的未经授权ul分组被发送到核心网之前丢弃这些分组。该呼叫流可被实现在控制面中。图5包括客户端设备502、接入节点504、mme506、s-gw508、p-gw510、pcrf512以及hss514的表示。
在图5的示例性呼叫流500中,客户端设备502可采取步骤以一般地建立连接或建立与服务的连接。在一个方面,客户端设备502可以向mme506发送516pdn连通性请求。结合客户端设备502为建立该连接所采取的动作,对网络令牌的请求可被隐式地识别。例如,结合客户端设备502的pdn连通性请求,对网络令牌的请求可被隐式地识别。替换地,对网络令牌的请求可被显式地包括在发送自客户端设备502的连接请求中。例如,对网络令牌的请求可与pdn连通性请求显式地包括在一起。对网络令牌的请求可包括应用标识符(appid)。作为又一替换方案,客户端设备502可不请求网络令牌,但网络令牌可在控制面中指派。
响应于接收到pdn连通性请求,mme506可将创建会话请求发送518到s-gw508。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求还可包括应用标识符(appid)。
响应于接收到创建会话请求,s-gw508可将创建会话请求发送520到p-gw510。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求还可包括应用标识符(appid)。
响应于接收到创建会话请求,p-gw510可以执行524用于建立/修改ip-can会话(项4)的各步骤。同样,响应于接收到对网络令牌的请求,p-gw510可以导出526网络令牌。由p-gw510导出的因接入节点504而异的秘密密钥可被使用在密码功能中以导出网络令牌。p-gw510可通过从p-gw510所知的秘密密钥(knt)导出秘密密钥(knt,enb)来为每一接入节点504导出因接入节点504而异的秘密密钥。例如,可使用密钥导出函数(kdf)来导出因接入节点504而异的密钥,该函数可以是例如knt和接入节点标识符(例如,“enbid”)的函数(即,knt,enb=kdf(knt,enbid))。以此方式,每一导出的网络令牌可以与特定接入节点504相关联(例如,绑定)。在一个示例中,p-gw510可以鉴于从应用功能(af)检索的应用接入策略来导出网络令牌。在一个方面,接入策略可以将流关联到应用。网络令牌可进一步鉴于appid来导出,如果appid与对该网络令牌的请求包括在一起的话。p-gw510可以将网络令牌发布给客户端设备502,并可将因接入节点而异的秘密密钥(knt,enb)发布给接入节点504,如下所述。
p-gw510可以将创建会话响应发送528给s-gw508。p-gw510可将网络令牌和秘密密钥knt,enb包括在发送给s-gw508的创建会话响应中。响应于该创建会话响应,s-gw508可将创建会话响应发送530到mme506。s-gw508可将网络令牌和秘密密钥knt,enb包括在发送给mme506的创建会话响应中。响应于该创建会话响应,mme506可以将承载设立请求/pdn连通性接受发送532给接入节点504。mme506可将网络令牌和秘密密钥knt,enb包括在发送给接入节点504的承载设立请求/pdn连通性接受中。相应地,接入节点504现在获得了秘密密钥knt,enb。响应于该承载设立请求/pdn连通性接受,接入节点504可以将rrc连接重配置发送534给客户端设备502。接入节点504可将网络令牌包括在发送给客户端设备502的rrc连接重配置中。客户端设备502可以接收与接收自接入节点504的rrc连接重配置包括在一起的网络令牌。相应地,客户端设备502现在获得了网络令牌。
一旦客户端设备502具有了网络令牌,客户端设备502就可将该网络令牌与被构造成用于至该应用服务的数据传输的一个或多个ul分组包括在一起。
图6是解说其中第一网络令牌(例如,网络令牌1)可由p-gw610发布给客户端设备602且不同于第一网络令牌的第二网络令牌(例如,网络令牌2)可由与客户端设备602相关联的接入节点604发布给该客户端设备602的示例性呼叫流600的示图。这一示例可不涉及秘密密钥的共享。即,第一网络令牌可以用只由p-gw610知悉的第一秘密密钥导出,而第二网络令牌可以用接入节点604知悉的第二秘密密钥导出,其中第一和第二秘密密钥是不同的。这一示例可以是有用的,例如在接入节点604与p-gw610之间的信任假定低于期望或者缺少的情形中。示例性呼叫流600可被实现在控制面中。图6包括客户端设备602、接入节点604、mme606、s-gw608、p-gw610、pcrf612以及hss614的表示。
在图6的示例性呼叫流600中,客户端设备602可采取步骤以一般地建立连接或建立与服务的连接。在一个方面,客户端设备602可以向mme606发送616pdn连通性请求。结合客户端设备602为建立该连接所采取的动作,对网络令牌的请求可被隐式地识别。例如,结合客户端设备602的pdn连通性请求,对网络令牌的请求可被隐式地识别。替换地,对网络令牌的请求可被显式地包括在客户端设备602的连接请求中。例如,对网络令牌的请求可与pdn连通性请求显式地包括在一起。对网络令牌的请求可包括应用标识符(appid)。作为又一替换方案,客户端设备602可不请求网络令牌,但网络令牌可在控制面中指派。
响应于接收到pdn连通性请求,mme606可将创建会话请求发送618到s-gw608。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求还可包括应用标识符(appid)。
响应于接收到创建会话请求,s-gw608可将创建会话请求发送620到p-gw610。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求还可包括应用标识符(appid)。
响应于接收到创建会话请求,p-gw610可以执行624用于建立/修改ip-can会话的各步骤。同样,响应于接收到对网络令牌的请求,p-gw610可以导出626第一网络令牌(例如,网络令牌1)。p-gw610所知的秘密密钥可被使用在密码功能中以导出网络令牌。在一个示例中,p-gw610可以鉴于从应用功能(af)检索的应用接入策略来导出网络令牌。在一个方面,接入策略可以将流关联到应用。网络令牌可进一步鉴于appid来导出,如果appid与对该网络令牌的请求包括在一起的话。p-gw610可如下将网络令牌发布给客户端设备602。
p-gw610可以将创建会话响应发送628给s-gw608。p-gw610可将网络令牌包括在发送给s-gw608的创建会话响应中。响应于该创建会话响应,s-gw608可将创建会话响应发送630到mme606。s-gw608可将网络令牌包括在发送给mme606的创建会话响应中。响应于该创建会话响应,mme606可以将承载设立请求/pdn连通性接受发送632给接入节点604。mme606可将网络令牌包括在发送给接入节点604的承载设立请求/pdn连通性接受中。
响应于该承载设立请求/pdn连通性接受,接入节点604可以导出633第二网络令牌(例如,网络令牌2)。接入节点604所知的秘密密钥可被使用在密码功能中以导出该第二网络令牌。在一个示例中,接入节点604可以鉴于从应用功能(af)检索的应用接入策略来导出该第二网络令牌。在一个方面,接入策略可以将流关联到应用。第二网络令牌可进一步鉴于appid来导出,如果appid与对该网络令牌的请求包括在一起的话。
同样响应于该承载设立请求/pdn连通性接受,接入节点604可以将rrc连接重配置发送634给客户端设备602。接入节点604可将在p-gw610处导出的第一网络令牌以及附加地可将在接入节点604处导出的第二网络令牌包括在发送给客户端设备602的rrc连接重配置中。因而,客户端设备602可在从接入节点604接收到的rrc连接重配置中接收在p-gw610处导出的第一网络令牌以及在接入节点604处导出的第二网络令牌两者。
一旦客户端设备602具有在p-gw610处导出的第一网络令牌和在接入节点604处导出的第二网络令牌两者,客户端设备602就可将在p-gw610处导出的第一网络令牌和在接入节点604处导出的第二网络令牌两者与被构造成用于至应用服务的数据传输的ul分组包括在一起。
图7是解说其中两个网络令牌(例如,ul网络令牌和下行链路(dl)网络令牌)可由p-gw710发布给客户端设备702的示例性呼叫流700的示图。结合将下行链路(dl)令牌用于优先级排序和过滤,这一示例性呼叫流可以是有用的。
在一个方面,客户端设备702可将ul网络令牌与旨在送给pdn中的给定应用/应用服务/应用服务器的分组包括在一起。在一个方面,客户端设备702可期望在接收自pdn中的给定应用/应用服务/应用服务器的分组中接收到dl网络令牌。客户端设备702可以将dl网络令牌发送736给pdn中的应用(app)715,此时pdn中的app715可预期将dl网络令牌的副本包括在它发送给客户端设备702的一个或多个分组中。
示例性呼叫流700可被实现在控制面中。图7包括客户端设备702、接入节点704、mme706、s-gw708、p-gw710、pcrf712、hss714以及pdn中的应用/应用服务/应用服务器(app)716的表示。
在图7的示例性呼叫流700中,客户端设备702可采取步骤以一般地建立连接或建立与服务的连接。在一个方面,客户端设备702可以向mme706发送7016pdn连通性请求。结合客户端设备702为建立该连接所采取的动作,对网络令牌的请求可被隐式地识别。例如,结合客户端设备702的pdn连通性请求,对网络令牌的请求可被隐式地识别。替换地,对网络令牌的请求可被显式地包括在客户端设备702的连接请求中。例如,对网络令牌的请求可与pdn连通性请求显式地包括在一起。对网络令牌的请求可包括应用标识符(appid)。作为又一替换方案,客户端设备702可不请求网络令牌,但网络令牌可在控制面中指派。
响应于接收到pdn连接请求,mme706可将创建会话请求发送718到s-gw708。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求还可包括应用标识符(appid)。
响应于接收到创建会话请求,s-gw708可将创建会话请求发送720到p-gw710。对网络令牌的请求可被复制到创建会话请求或以其他方式与其包括在一起。对网络令牌的请求还可包括应用标识符(appid)。
响应于接收到创建会话请求,p-gw710可以执行724用于建立/修改ip-can会话的各步骤。同样,响应于接收到对网络令牌的请求,p-gw710可导出726ul网络令牌且在一些方面可导出下行链路(dl)网络令牌。p-gw710所知的秘密密钥可被使用在密码功能中以导出ul网络令牌。在一个示例中,p-gw710可以鉴于从应用功能(af)检索的应用接入策略来导出ul网络令牌。在一个方面,接入策略可以将流关联到应用。ul网络令牌可进一步鉴于appid来导出,如果appid与对该ul网络令牌的请求包括在一起的话。dl网络令牌的导出可以基于p-gw710所知的密钥以及与应用服务器相关联的参数。p-gw710可以发布ul网络令牌且在一些方面发布dl网络令牌给客户端设备702,如下所述。
p-gw710可以将创建会话响应发送728给s-gw708。p-gw710可将ul网络令牌包括在发送给s-gw708的创建会话响应中。p-gw710还可将dl网络令牌包括在发送给s-gw708的创建会话响应中。响应于该创建会话响应,s-gw708可将创建会话响应发送730到mme706。s-gw708可将ul网络令牌和dl网络令牌包括在发送给mme706的创建会话响应中。响应于该创建会话响应,mme706可以将承载设立请求/pdn连通性接受发送732给接入节点704。mme706可将ul网络令牌和dl网络令牌包括在发送给接入节点704的承载设立请求/pdn连通性接受中。
响应于该承载设立请求/pdn连通性接受,接入节点704可以将rrc连接重配置发送给客户端设备702。接入节点704可将ul网络令牌和dl网络令牌包括在发送给客户端设备702的rrc连接重配置中。因而,客户端设备702可以接收ul网络令牌和dl网络令牌两者,这两者可已在p-gw710处导出并在接收自接入节点704的rrc连接重配置中递送给客户端设备702。
在一些方面,客户端设备702可以将dl网络令牌发送736给pdn上的app715。app715随后可将该dl网络令牌与在下行链路中从app715发送到p-gw710的一个或多个下行链路分组包括在一起。在这一方面,p-gw710可以能够更高效地在下行链路方向以及上行链路方向上指引ip流。因为原始dl网络令牌是由p-gw710导出的,所以p-gw710可以能够验证与来自app715的分组一起接收到的dl网络令牌。这可以是使用tft/sdf的下行链路分组检视的有用替换方案。
令牌使用/实施——示例性系统级协议栈
现在将呈现结合上述网络令牌的使用和实施的各方面。
网络令牌的使用可参考网络令牌在客户端设备、接入节点、网关以及应用服务器的用户面协议栈之间的移动来描述。本文解说了示出用户面协议栈的示例性集合的六个附图。每一附图在其对网络令牌在协议栈之间的移动的描绘方面与下一附图不同。协议栈中表示的许多层以及各层之间的互连是公知的。将参考图8的解说简要地描述这些层。将不对每一示例性附图重复它们的描述以避免重复并提高本申请的简明性。这些附图中的四个附图包括垫(shim)层,它可被认为是结合这四个附图所解说的相应方面用于网络令牌的移动的层。
图8是根据本文描述的一个方面的系统的用户面协议栈800的示例性解说。图8描绘了客户端设备802、接入节点804、网关806以及应用服务器808。在图8的示例性解说中,客户端设备802的协议栈可从最低层向上包括:物理(phy)层810、媒体接入控制(mac)层812、无线电链路控制(rlc)层814、分组数据汇聚协议(pdcp)层816以及网际协议(ip)层818。在一个方面,网络令牌可以在网际协议(ip)版本6(ipv6)中定义的ip扩展报头中携带。
在一个方面,垫层820可被添加到客户端设备802的用户面协议栈,且对应的垫层822可被添加到网关806的协议栈。根据本文描述的各方面,垫层820和对应的垫层822促进网络令牌从客户端设备802到网关806的移动。在一个方面,垫层820位于客户端设备802的ip层818之下以及mac层812之上。在这一方面,对应的垫层822位于网关806的ip层824之下以及gtp-u层826之上。
图8解说的方面可有用于网络令牌860从客户端设备802到网关806的移动,而无需接入节点804的任何处理。替换方法是可接受的。作为示例,客户端设备802可以经由上述控制面信令/消息设立方法(图8中未示出)从网关806接收网络令牌。根据网络令牌的使用的一个方面,客户端设备802可将网络令牌包括在旨在送给应用服务器808的分组中。网络令牌860可以在垫层820的垫报头中被携带给网关806,如图8中所示。可以在与ip报头分开的垫报头中携带网络令牌860。
如果网关806处网络令牌的验证(如下所述)是成功的,则网关806可以在丢弃网络令牌之后将该分组转发给应用服务器808。如果网关806处网络令牌860的验证是不成功的,则网关806可以丢弃该分组和网络令牌。根据所解说的方面,在应用服务器808处将不需要改变就能支持基于网络令牌的应用接入。
出于本描述的完整性,现在将简要描述接入节点804、网关806以及应用服务器808的用户面协议栈的各层。在图8的示例性解说中,接入节点804的协议栈可从最低层向上包括物理(phy)层830、媒体接入控制(mac)层832、无线电链路控制(rlc)层834以及分组数据汇聚协议(pdcp)层836,它们分别与客户端设备802的相同名称的层(1210、812、814以及816)接合。在图8的示例性解说中,接入节点804的协议栈可附加地从最低层向上包括以太网层840、mac层842、ip层844、用户数据报协议(udp)层846以及gtp-u层848。这些相应层与网关806的相同名称的层(1250、852、854、856以及826)接合。在图8的示例性解说中,客户端设备ip层818接合网关806的ip层824,而网关806的ip层824接合应用服务器808的ip层858。
图9是根据本文描述的另一方面的系统的用户面协议栈的示例性解说。图9描绘了客户端设备902、接入节点904、网关906以及应用服务器908。
图9解说的方面可有用于网络令牌960经由接入节点904从客户端设备902到网关906的移动。在这一方面,不需要垫层。作为示例,客户端设备902可以经由上述控制面信令/消息设立方法(图9中未示出)从网关906接收网络令牌960。根据网络令牌的使用的一个方面,客户端设备902可将网络令牌960包括在旨在送给应用服务器908的分组中。包括网络令牌960的分组可在pdcp层916报头中从客户端设备902携带到接入节点904的pdcp层936。接入节点904可以将pdch报头中找到的网络令牌复制到gtp-u报头。包括网络令牌960的分组随后可在gtp-u层948报头中从接入节点904携带到网关906的gtp-u层926。即,在一个方面,可以在通用分组无线电服务(gprs)隧穿协议(gtp)报头中携带网络令牌。在一个示例性方面,最初从网关906发送给客户端设备902的网络令牌可能是使用该网关所知的秘密密钥来创建的。在这样的方面,接入节点904将不能验证该网络令牌(因为它不拥有验证所需的秘密密钥)。相应地,在图9的解说中,接入节点904的示例性目的是将网络令牌从一个报头复制到另一报头,由此经由现有的pdch层936报头和gtp-u层948报头来将网络令牌从客户端设备902转发给网关906。一旦网络令牌到达网关,如果网关906处网络令牌的验证(如下所述)是成功的,则网关906可在丢弃该网络令牌之后将该分组转发给应用服务器908。如果网关906处网络令牌960的验证是不成功的,则网关906可以丢弃该分组和网络令牌。根据所解说的方面,在应用服务器908处将不需要改变就能支持基于令牌的应用接入。
没有结合图9描述的客户端设备902、接入节点904、网关906以及应用服务器908的用户面协议栈的各层将不被描述,因为它们的描述与图8中的相同名称的层相同或相似。
图10是根据本文描述的又一方面的系统的用户面协议栈的示例性解说。图10描绘了客户端设备1002、接入节点1004、网关1006以及应用服务器1008。
图10所解说的方面可有用于网络令牌1060从接入节点1004到网关1006的移动。如果客户端设备1002被限于访问应用服务器1008上的特定服务,并且被建立以将话务从客户端设备1002携带到网关1006的承载是由此设立的(例如,受赞助的连接性),则这一方面可以是有用的。在客户端设备1002与接入节点1004之间或客户端设备1002与网关1006之间可能不存在信任关系时,这一方面也可以是有用的。作为示例,在图10所解说的方面中,客户端设备1002没有接收到来自网关1006的网络令牌。在图10所解说的方面中,接入节点1004可以经由上述控制面信令/消息设立方法(图10中未示出)从网关1006接收网络令牌1060。根据网络令牌的使用的一个方面,接入节点1004可将网络令牌1060包括在旨在送给应用服务器1008的客户端设备1002分组中。包括网络令牌1060的客户端设备1002分组可在gtp-u层1048报头中从接入节点1004携带到网关1006的gtp-u层1026。一旦网络令牌到达网关,如果网关1006处网络令牌的验证(如下所述)是成功的,则网关1006可在丢弃该网络令牌之后将该分组转发给应用服务器1008。如果网关1006处网络令牌1060的验证是不成功的,则网关1006可以丢弃该分组和网络令牌。根据所解说的方面,在应用服务器1008处将不需要改变就能支持基于令牌的应用接入。
没有结合图10描述的客户端设备1002、接入节点1004、网关1006以及应用服务器1008的用户面协议栈的各层将不被描述,因为它们的描述与图8中的相同名称的层相同或相似。
图11是根据本文描述的又一方面的系统的用户面协议栈的示例性解说。图11描绘了客户端设备1102、接入节点1104、网关1106以及应用服务器1108。
在一个方面,垫层1162可被添加到客户端设备1102的用户面协议栈,对应的垫层1164可被添加到接入节点1104的协议栈,并且附加对应的垫层1166可被添加到网关1106的协议栈。根据本文描述的各方面,垫层1162、1164以及1166促进网络令牌从客户端设备1102到接入节点1104以及从接入节点1104到网关1106的移动。在一个方面,垫层1162位于客户端设备1102的ip层1118之下以及mac层1112之上。在这一方面,对应的垫层1164位于接入节点1104的pdcp层1136之上。在这一方面,附加的对应垫层1166位于网关1106的ip层1124之下以及gtp-u层1126之上。
图11所解说的方面可有用于网络令牌1160经由接入节点1104从客户端设备1102到网关1106的移动,其中接入节点1104是可被用来验证网络令牌的因接入节点而异的秘密密钥(knt,enb)的接收方。作为示例,客户端设备1102可以经由上述控制面信令/消息设立方法(图11中未示出)从网关1106接收网络令牌。另外,接入节点1104可以接收因接入节点而异的秘密密钥(knt,enb),该秘密密钥由网关1106导出且由网关1106用来导出经由上述控制面信令/消息设立方法(图11中未示出)发送给客户端设备1102的网络令牌。根据网络令牌的使用的一个方面,客户端设备1102可将网络令牌包括在旨在送给应用服务器1108的分组中。垫层1162的垫报头可以将网络令牌1160携带到接入节点1104的对应垫层1164,如图11所示。接入节点1104可以使用由网关1106提供给它的因该接入节点而异的秘密密钥来验证与客户端设备分组包括在一起的网络令牌。如果在接入节点1104处网络令牌的验证(如下所述)是成功的,则接入节点1104可以将客户端设备分组和网络令牌转发给网关1106。如果接入节点1104处网络令牌1160的验证是不成功的,则接入节点1104可以丢弃该分组和网络令牌。如果接入节点1104处网络令牌的验证(如下所述)是成功的并且客户端设备分组和网络令牌被转发到网关1106,则可在网关1106处进行第二验证过程。如果网关1106处网络令牌的验证(如下所述)是成功的,则网关1106可以在丢弃网络令牌之后将该分组转发给应用服务器1108。如果网关1106处网络令牌1160的验证是不成功的(尽管在接入节点1104处成功),则网关1106可以丢弃该分组和网络令牌。根据所解说的方面,在应用服务器1108处将不需要改变就能支持基于令牌的应用接入。
根据图11中解说的方面,接入节点1104可以验证由网关1106发送给客户端设备1102的令牌。接入节点1104处的验证是可能的,因为网关1106可导出因该接入节点而异的秘密密钥(以上结合令牌设立所解释的导出)。这可以使接入节点1104能够在旨在送给应用服务器的未经授权的客户端设备话务被注入网络深处之前过滤该话务,这由此可阻止网络资源被用来递送未经授权的话务。
没有结合图11描述的客户端设备1102、接入节点1104、网关1106以及应用服务器1108的协议栈的各层将不被描述,因为它们的描述与图8中的相同名称的层相同或相似。
图12是根据本文描述的又一方面的系统的用户面协议栈的示例性解说。图12描绘了客户端设备1202、接入节点1204、网关1206以及应用服务器1208。
在一个方面,垫层1272可被添加到客户端设备1202的协议栈,对应的垫层1274可被添加到接入节点1204的协议栈,并且附加对应的垫层1276可被添加到网关1206的协议栈。根据本文描述的各方面,垫层1272、1274以及1276促进网络令牌从客户端设备1202到接入节点1204以及从接入节点1204到网关1206的移动。在一个方面,垫层1272位于客户端设备1202的ip层1218之下以及mac层1212之上。在这一方面,对应的垫层1274位于接入节点1204的pdcp层1236之上。在这一方面,附加对应垫层1276位于网关1206的ip层1224之下以及gtp-u层1226之上。
图12解说的方面可有用于网络令牌1260经由接入节点1204从客户端设备1202到网关1206的移动,其中接入节点1204和网关1206两者可以发布用于客户端设备1202的网络令牌。作为示例,客户端设备1202可以经由上述控制面信令/消息设立方法(图12中未示出)从接入节点1204接收网络令牌nt2以及从网关1206接收分开的网络令牌nt1。根据分别从网关1206和接入节点1204接收到的网络令牌nt1、nt2的使用的一个方面,客户端设备1202可将网络令牌nt1、nt2包括在旨在送给应用服务器1208的分组中。垫层1272的垫报头可以将网络令牌nt1、nt2携带到接入节点1204的对应垫层1274,如图12所示。接入节点1204可以使用接入节点1204所知的秘密密钥来验证与该客户端设备分组包括在一起的网络令牌nt2。如果接入节点1204处网络令牌nt2的验证是成功的,则接入节点1204可以丢弃网络令牌nt2并将该分组和网络令牌nt1转发给网关1206。如果接入节点1204处网络令牌nt2的验证是不成功的,则接入节点1204可以丢弃该分组和诸网络令牌。
如果接入节点1204处网络令牌nt2的验证是成功的并且该分组和网络令牌nt1被转发到网关1206,则可在网关1206处进行第二验证过程。如果网关1206处网络令牌nt1的验证是成功的,则网关1206可以在丢弃网络令牌nt1之后将该分组转发给应用服务器1208。如果网关1206处网络令牌nt1的验证是不成功的(尽管在接入节点1204处成功),则网关1206可以丢弃该分组和网络令牌nt1。根据所解说的方面,在应用服务器1208处将不需要改变就能支持基于令牌的应用接入。
根据图12中解说的方面,接入节点1204可以验证发送给客户端设备1202的令牌,其中该网络令牌是由接入节点1204本身导出的。这可以使接入节点1204能够在旨在送给应用服务器的未经授权的客户端设备话务被注入网络深处之前过滤该话务,这由此可阻止网络资源被用来递送未经授权的话务。在接入节点1204与网关1206之间没有假定的信任关系时,这一方面可以是有用的。相应地,如果接入节点1204和网关1206由不同运营商拥有/运行,则这一选项可以是最有用的。
没有结合图12描述的客户端设备1202、接入节点1204、网关1206以及应用服务器1208的协议栈的各层将不被描述,因为它们的描述与图8中的相同名称的层相同或相似。
图13是根据本文描述的又一方面的系统的用户面协议栈的示例性解说。图13描绘了客户端设备1302、接入节点1304、网关1306以及应用服务器1308。
在一个方面,垫层1320可被添加到客户端设备1302的协议栈,且对应的垫层1322可被添加到网关1306的协议栈。根据本文描述的各方面,垫层1320和对应的垫层1322促进网络令牌从客户端设备1302到网关1306的移动。在一个方面,垫层1320位于客户端设备1302的ip层1318之下以及mac层1312之上。在这一方面,对应垫层1322位于网关1306的ip层1324之下以及gtp-u层1326之上。
另外,图13描绘了下行链路网络令牌ntd。下行链路令牌可被用于优先级排序和过滤。结合令牌设立(上文)来描述下行链路网络令牌。作为示例,客户端设备1302可以经由上述控制面信令/消息设立方法(图13中未示出)从网关1306接收网络令牌nt。作为示例,客户端设备1302还可以经由上述控制面信令/消息设立方法(图13中未示出)从网关1306接收第二网络令牌ntd。根据网络令牌的使用的一个方面,下行链路网络令牌ntd可经由上述控制面信令/消息设立方法(图13中未示出)从客户端设备1302递送给应用服务器1308。此后,在使用中,应用服务器1308可将下行链路网络令牌ntd包括在发送给网关1306且旨在送给客户端设备1302的下行链路分组中。网关1306可以将该下行链路网络令牌ntd用于优先级排序和过滤。
没有结合图13描述的客户端设备1302、接入节点1304、网关1306以及应用服务器1308的协议栈的各层将不被描述,因为它们的描述与图8中的相同名称的层相同或相似。
示例性设备
图14是解说被适配成支持基于网络令牌的应用接入的示例性设备1400的框图。如本文使用的,术语“设备”可描述芯片组件和/或最终用户设备,诸如客户端设备(例如,移动设备、用户装备、用户设备)。在一个示例中,示例性设备1400可包括通信接口电路1402、耦合到通信接口电路1402的处理电路1404、以及耦合到处理电路1404的存储器设备1406(例如,用于存储数据的磁和/或光学设备)。这一列表是非限制性的。
通信接口电路1402可包括用于与用户的输入/输出操作的第一输入/输出电路/功能/模块1408。通信接口电路1402可包括用于与接入节点进行无线通信的接收机/发射机电路/功能/模块1410。这一列表是非限制性的。
处理电路1404可包括或实现被适配成支持基于令牌的应用接入的一个或多个处理器、专用处理器、硬件和/或软件模块等。例如,网络令牌嵌入模块/电路/功能1412可被适配成将网络令牌嵌入(包括)在转发给接入节点和/或网关的分组中。这一示例是非限制性的。
存储器设备1406可被适配成包括网络令牌嵌入指令1422、密码确认/验证指令1424以及秘密密钥存储和指令。这一列表是非限制性的。
图15是设备可藉由其获得网络令牌的示例性方法1500。示例性方法1500可在该设备处操作。在一个方面,该设备可以使用控制面信令建立与接入节点的连接。例如,在这样的方面,承载可被建立在接入节点处。在一个方面,设备可使用控制面信令建立1504与一个或多个应用相关联的一组一个或多个流。该一个或多个流可基于策略来定义。该策略可以是网络策略,诸如网络接入策略。该设备可以在控制面信令期间获得1506网络令牌,其中该网络令牌可根据网络接入策略来导出、与该组一个或多个流中的第一流相关联、与该一个或多个应用中的第一应用相关联、并且经由控制面信令被供应给该设备。
在一个方面,在使用控制面信令建立与一个或多个应用相关联的该组一个或多个流之前,该设备可任选地确定1502应用服务是否需要网络令牌。
在一个方面,示例性方法1500可进一步包括将该网络令牌和关联于第一流的分组一起从该设备发送1508。该方法不限于只与一个分组一起发送一个网络令牌。该方法可包括将该网络令牌与关联于第一流的一个或多个分组一起发送,或可包括将该网络令牌与关联于第一流的每一分组一起发送。
在一个方面,应用服务可以与承载或接入点名称(apn)相关联。可由移动性管理实体(mme)或分组数据网络网关(p-gw)在网络中发起建立承载。如本文使用的,承载的建立可包括激活默认承载、激活专用承载、或修改已建立的承载。建立承载和获得网络令牌的步骤可在控制消息中实现。网络令牌可以与该设备和应用服务相关联(例如,绑定)。网络令牌可以与一个或多个流和一个或多个应用相关联。
在一个方面,承载的建立可由该设备来发起。可被实现以建立承载或apn的步骤可包括从该设备发送分组数据网络(pdn)连接请求;从该设备发送专用承载激活请求;或者从该设备发送承载修改请求。
在一个方面,建立承载可包括请求网络令牌,其中该请求可以是隐式或显式的。请求可包括通过控制消息中的应用标识符(appid)或服务数据流(sdf)来标识应用服务。
如上所示,设备可以在请求网络令牌之前确定应用服务是否需要网络令牌。在这样的实例中,该确定可以基于从网络接收到的指示、从应用服务接收到的指示、应用服务的配置、和/或对查询的响应。
作为示例,从网络接收到的指示可被包括在信令传输层(s1b)消息或非接入阶层(nas)消息中作为附连过程的一部分。从网络接收到的指示可结合应用服务的配置来存储。从网络接收到的指示可以在创建对应用服务的订阅期间接收或作为对应用服务的软件升级来下载。从网络接收到的指示可以作为策略的一部分来接收。
作为示例,应用服务的配置可以基于应用服务的策略或主控至应用服务的传输或连接服务的连通性供应商的策略。
图16是设备可藉由其从网关设备获得网络令牌以及从接入节点获得分开的网络令牌的示例性方法1600。示例性方法1600可在该设备处操作。在一个方面,该设备可以使用控制面信令来建立与接入节点的连接。例如,在这样的方面,承载可被建立在接入节点处。在一个方面,设备可使用控制面信令来建立1602与一个或多个应用相关联的一组一个或多个流。该一个或多个流可基于策略来定义。该策略可以是网络策略,诸如网络接入策略。该设备可在控制面信令期间获得1604第一网络令牌,其中该第一网络令牌可由第一设备(例如,p-gw、网关设备)根据网络接入策略来导出。第一网络令牌可以与该组一个或多个流中的第一流、该一个或多个应用中的第一应用相关联,且可进一步经由控制面信令被供应给该设备。
网络接入策略可以将来自设备的流关联到应用服务。该方法随后可包括在设备处获得第一网络令牌以根据网络接入策略来将各分组与该流进行关联1604。该方法可通过将第一网络令牌包括在与该流相关联的分组中来进一步继续,这些分组旨在送给应用服务。在一个方面,该设备可将第一网络令牌包括1606在旨在送给该应用的一个或多个分组中。该方法可进一步包括在设备处获得第二网络令牌以根据网络接入策略来将各分组与流进行关联1608的可任选步骤。在该可任选步骤之后,该方法可进一步包括将第二网络令牌包括在旨在送给该应用的一个或多个分组中的可任选步骤1610。
第一和第二网络令牌可由该设备在控制消息中获得。
示例性接入节点
图17是解说被适配成支持基于令牌的应用接入的示例性接入节点1700(例如,演进型b节点)的框图。在一个示例中,示例性接入节点1700可包括网络通信接口电路1702、耦合到网络通信接口电路1702的处理电路1704、以及耦合到处理电路1704的存储器电路1706(例如,用于存储数据的磁和/或光学设备)。这一列表是非限制性的。
网络通信接口电路1702可包括用于经由s-gw来与p-gw进行通信的第一输入/输出电路/功能/模块1708。网络通信接口电路1702可包括用于与客户端设备进行无线通信的接收机/发射机电路/功能/模块1710。这一列表是非限制性的。
处理电路1704可包括或实现被适配成支持基于令牌的应用接入的一个或多个处理器、专用处理器、硬件和/或软件模块等。例如,网络令牌导出电路/功能/模块1712可被适配成基于可被存储在存储器设备1706中的只有网关知晓的秘密密钥或网关和/或另一实体知晓的秘密密钥(诸如因接入节点而异的秘密密钥)来导出令牌。作为另一示例,网络令牌提取/嵌入模块/电路/功能1714可被适配成从来自客户端设备的上行链路分组提取网络令牌和/或将网络令牌嵌入(包括)在转发给网关的分组中。作为又一示例,密码确认/验证模块/电路/功能1716可被适配成确认/验证例如从客户端设备接收到的网络令牌。这一列表是非限制性的。
存储器设备1706可被适配成包括网络令牌导出指令1720、网络令牌提取/嵌入指令1722、密码确认/验证指令1724以及秘密密钥存储和指令。这一列表是非限制性的。
图18解说在接入节点(例如,演进型b节点)处设立网络令牌(例如,导出网络令牌并将该网络令牌供应给客户端设备)的示例性方法1800。
作为示例,接入节点可以建立与客户端设备的连接1802。接入节点可以从该接入节点知晓的密钥导出网络令牌1804。接入节点可以将在该接入节点导出的网络令牌发送给客户端设备1806。在接入节点处导出的网络令牌可经由控制面信令发送给客户端设备。在一个方面,客户端设备可以经由控制面信令接收在p-gw处导出的网络令牌以及在接入节点处导出的网络令牌。这些网络令牌可彼此不同。在p-gw处导出的网络令牌可以从p-gw所知的秘密密钥来导出,而在接入节点处导出的网络令牌可以从接入节点所知的秘密密钥来导出。p-gw所知的秘密密钥可只为该p-gw知悉。接入节点所知的秘密密钥可只为该接入节点知悉。p-gw所知的秘密密钥和接入节点所知的秘密密钥可彼此不同。将在接入节点处导出的网络令牌以及在p-gw处导出的网络令牌与发送自客户端设备的ul分组包括在一起可以准许接入节点在将该ul分组较深入地发送到网络中之前验证该ul分组。
在以上描述的示例中,与客户端设备的联系的建立以及网络令牌从接入节点到客户端设备的发送可被实现在控制消息中。在接入节点处导出的网络令牌可以与客户端设备、接入节点以及应用服务相关联(例如,绑定)。
图19是在接入节点处操作的示例性方法1900的流程图。该方法可包括建立与客户端设备的连接1902。该方法可包括建立客户端设备的上下文作为建立连接的一部分1904。该方法可通过将网络令牌包括在与客户端设备和应用服务相关联的分组中来继续1906。该上下文可包括网络令牌,其中该网络令牌与客户端设备和应用服务相关联(例如,绑定)。该方法可进一步包括接收或获得来自客户端设备的包括网络令牌的分组1908。可确定网络令牌的有效性1910。如果该网络令牌是与客户端设备和应用服务相关联的网络令牌的副本,则该网络令牌可被确定为是有效的1912。该方法可进一步包括如果网络令牌是有效的,则将包括该网络令牌的副本的分组发送给网关1914。如果网络令牌被确定为是无效的,则接入节点可以丢弃该分组和网络令牌1916。
图20是在接入节点处操作的另一示例性方法2000的流程图。该方法可包括建立与客户端设备的连接2002。该方法可包括接收或获得来自客户端设备的分组2004。该方法可进一步包括将包括网络令牌的副本的分组发送给网关,其中该网络令牌是由接入节点在控制消息中获得的2006。
图21是在接入节点处操作的又一示例性方法2100的流程图。该方法可包括建立与客户端设备的连接2102。该方法可包括获得来自客户端设备的包括第一网络令牌和第二网络令牌的分组,其中该第一网络令牌关联于(例如,绑定到)网关且该第二网络令牌关联于(例如,绑定到)接入节点2104。该方法可通过在接入节点处确认/验证第二网络令牌来继续2106。如果确认/验证是成功的,则接入节点可以丢弃2108第二网络令牌。接入节点随后将包括第一网络令牌的分组发送2110给网关。如果确认/验证是不成功的,则接入节点可以丢弃2108该分组以及第一和第二网络令牌2112。
示例性网关
图22是解说被适配成支持基于令牌的应用接入的示例性网关2200的框图。在一个示例中,示例性网关2200可包括网络通信接口电路2202、耦合到网络通信接口电路2202的处理电路2204、以及耦合到处理电路2204的存储器设备2206(例如,用于存储数据的磁和/或光学设备)。这一列表是非限制性的。
网络通信接口电路2202可包括用于与服务网关进行通信的第一输入/输出电路/功能/模块2208和用于与分组数据网络进行通信的第二输入/输出电路/功能/模块2210。第一输入/输出电路/功能/模块2208可以处置在多个承载上建立的多个ip流。第二输入/输出电路/功能/模块2210可以处理与分组数据网络上的多个服务器的多个ip流。这一列表是非限制性的。
处理电路2204可包括或实现被适配成支持基于令牌的应用接入的一个或多个处理器、专用处理器、硬件和/或软件模块等。例如,网络令牌导出电路/功能/模块2212可被适配成基于可被存储在存储器设备2206中的秘密密钥来导出令牌。秘密密钥可以是只为网关所知的。作为另一示例,密钥导出电路/功能/模块2214可被适配成基于例如可被存储在存储器设备2206中的秘密密钥以及给定接入节点的标识符来导出因接入节点而异的秘密密钥。作为又一示例,决策和处理电路/功能/模块2216可被适配成决定从eps承载接收到的上行链路分组或者从应用服务器接收到的下行链路分组是否包括网络令牌,以及如果包括,则可被进一步适配成将所接收到的分组传递给密码验证和话务导向电路/功能/模块2218。决策和处理电路/功能/模块2216可被进一步适配成将不包括网络令牌的收到分组传递给服务数据流过滤器组(未示出)。这一列表是非限制性的。
存储器设备2206可被适配成包括网络令牌导出指令2220、密钥导出指令2222、决策和处理指令2224、密码验证和话务导向指令2226以及秘密密钥存储和指令。这一列表是非限制性的。
图23解说在网关(例如,p-gw)处设置网络令牌(例如,导出网络令牌并将该网络令牌供应给客户端设备)的示例性方法2300。
作为示例,网关可以在与客户端设备相关联的承载设立、激活或修改期间接收对网络令牌的请求2302。作为可任选步骤,可作出是否导出因接入节点(例如,演进型b节点)而异的秘密密钥以用于导出网络令牌的确定2304。如果可任选步骤2304未被使用,或者如果是否导出因接入节点而异的秘密密钥的确定导致决定不导出因接入节点而异的秘密密钥,则该方法可继续进行以在网关处从只为网关所知的秘密密钥导出2306网络令牌。该网关可接着在承载设立、激活或修改期间将网络令牌发送给客户端设备或与该客户端设备相关联的接入节点2308。如果可任选步骤2304被使用或者如果是否导出因接入节点而异的秘密密钥的确定导致决定导出因接入节点而异的秘密密钥,则该方法可前进至导出因接入节点而异的秘密密钥的步骤2310。因接入节点(例如,enb)而异的秘密密钥可以使用密钥导出函数(kdf)来导出,该密钥导出函数具有包括例如只为网关所知的秘密密钥(例如,knt)和例如接入节点的标识符(例如,enb标识符)的输入。相应地,在一个示例性方面,knt,enb=kdf(knt,enbid)。这一示例性方面不旨在是限制性的。
根据一个方面,可以从因客户端设备所附连到的接入节点而异的秘密密钥导出2312网络令牌。该方法可包括将网络令牌发送给客户端设备,以及将因接入节点而异的秘密密钥发送给接入节点2314。
根据一个方面,针对客户端设备的应用服务可被标识,其中发送给客户端设备或接入节点的网络令牌可以与该应用服务相关联。
根据一个方面,接收或获得对网络令牌的请求以及发送网络令牌(以及在一些示例中,所导出的因接入节点而异的秘密密钥)被实现在控制消息中。
根据一个方面,网络令牌的导出可基于接入策略。根据又一方面,将网络令牌发送给客户端设备可进一步包括将网络令牌发送给移动性管理实体(mme)以及将网络令牌从mme发送给客户端设备。
如在示例性图23中解说的,网络令牌可从只为网关所知的秘密密钥直接导出(参见步骤2306)或者可从只为网关所知的同一秘密密钥间接导出,这可被用来导出因接入节点而异的秘密密钥(参见步骤2310、2312)。
在一些方面,承载可以与应用标识符(id)和/或客户端设备id相关联。在一些方面,应用服务可以与承载或接入点名称(apn)相关联。在一些方面,网络令牌可以与该客户端设备和应用服务相关联(例如,绑定)。
在一些方面,承载可包括多个话务流模板(tft)。该多个tft可对应于多个应用服务。
根据又一方面,将网络令牌发送给客户端设备以及将因接入节点而异的秘密密钥发送给接入节点可进一步包括将网络令牌和因接入节点而异的秘密密钥发送给移动性管理实体(mme),将网络令牌从mme发送给客户端设备,以及将因接入节点而异的秘密密钥从mme发送给接入节点。
在另一方面,网络令牌可被用来实施与应用服务相关联的接入策略,且因接入节点而异的秘密密钥可被用来在将在接入节点处接收到的分组发送给网关之前验证该分组中所包括的网络令牌以阻止未经授权的分组到达网关。
图24解说了在网关(例如,p-gw)处设置上行链路和下行链路网络令牌的示例性方法2400。在一个方面,可在网关处接收在与客户端设备相关联的承载设立、激活或修改期间对网络令牌的请求2402。针对客户端设备的应用服务可被标识2404。可在网关处导出ul网络令牌2406。还可在网关处导出不同于ul网络令牌的dl网络令牌2408。在一个方面,网关可以将ul网络令牌和dl网络令牌发送给客户端设备2410。可任选地,客户端设备可以将下行链路网络令牌发送给pdn上的app2412。
在一个方面,接收或获得对网络令牌的请求以及供应ul网络令牌和dl网络令牌可被实现在控制消息中。
在一个方面,导出上行链路网络令牌基于网关所知的密钥以及与客户端设备相关联的参数,并且导出下行链路网络令牌基于网关所知的密钥以及与应用服务器相关联的参数。
在一个方面,将上行链路网络令牌和下行链路网络令牌发送给客户端设备进一步包括将ul网络令牌和dl网络令牌发送给移动性管理实体(mme)且将上行链路网络令牌和下行链路网络令牌从mme发送给客户端设备。
图25是在网关处操作的示例性方法2500的流程图。该方法可包括在网关处接收或获得包括网络令牌的分组2502。该方法可通过使用网关所知的密钥来确认/验证网络令牌来继续2504。如果网络令牌是有效的2506,则该方法可通过丢弃网络令牌并将分组发送给应用服务器来继续2508。如果网络令牌不是有效的2506,则该方法可通过丢弃该分组和网络令牌来继续2510。
在一个方面,验证网络令牌可包括从具有输入参数集的函数导出验证网络令牌以及将网络令牌与验证网络令牌相比较,该输入参数集包括:网关所知的密钥;以及网络令牌参数索引、源网际协议(ip)地址、源端口号、目的地ip地址、目的地端口号、协议标识符(id)、应用id、优先级和/或服务质量类标识符(qci)。
在一个方面,一种在网关处操作的示例性方法可包括:在网关处接收或获得来自应用服务器的分组,其中该分组包括下行链路网络令牌;使用网关所知的密钥来验证该下行链路网络令牌;如果验证不成功则丢弃该分组和下行链路网络令牌;以及如果验证成功,则丢弃下行链路网络令牌并基于由下行链路网络令牌所表示的参数来将分组发送给客户端设备。
所示出并描述的各特定实现只是示例且不应被解释为实现本公开的唯一方式,除非在本文中另外指明。本领域普通技术人员将容易理解,本公开中的各示例可通过多种其他划分方案来实施。
附图中解说且在本文描述的组件、动作、特征和/或功能之中的一个或多个可以被重新编排和/或组合成单个组件、动作、特征或功能,或可以实施在若干组件、动作、特征或功能中。也可添加附加的元件、组件、动作、和/或功能而不会脱离本发明。本文中描述的算法也可以高效地实现在软件中和/或嵌入在硬件中。
在本说明书中,元件、电路、功能、以及模块可按框图形式示出以便不以不必要的细节来模糊本公开。相反,所示出并描述的各特定实现只是示例性的且不应被解释为实现本公开的唯一方式,除非在本文中另外指明。另外,框定义以及各个框之间的逻辑划分是特定实现的示例。本领域普通技术人员将容易理解,本公开可通过多种其他划分方案来实施。在最大程度上,与定时考虑等有关的细节已被省略,其中这样的细节对于获得本公开的完整理解而言不是必需的并且在相关领域的普通技术人员的能力之内。
还应注意,这些实施例可作为被描绘为流程图、流图、结构图、或框图的过程来被描述。尽管流程图可把各操作描述为顺序过程,但是这些操作中有许多操作能够并行或并发地执行。另外,这些操作的次序可以被重新安排。过程在其操作完成时终止。过程可对应于方法、函数、规程、子例程、子程序等。当过程对应于函数时,它的终止对应于该函数返回调用方函数或主函数。
本领域普通技术人员应理解,信息和信号可使用各种不同技术和技艺中的任何一种来表示。例如,贯穿这一描述始终可能被述及的数据、指令、命令、信息、信号、位(比特)、码元、以及码片可由电压、电流、电磁波、磁场或磁粒子、光场或光粒子、或其任何组合来表示。出于演示和描述清楚起见,一些附图可将信号解说为单个信号。本领域普通技术人员将理解,信号可表示信号总线,其中该总线可具有各种位宽且本公开可被实现在任何数目的数据信号上,包括单个数据信号。
应当理解,本文中使用诸如“第一”、“第二”等指定对元素的任何引述不限定这些元素的数量或次序,除非显式地声明了这样的限制。确切而言,这些指定可在本文中用作区别两个或更多个元素或者元素实例的便捷方法。因此,对第一元素和第二元素的引述并不意味着这里可采用仅两个元素或者第一元素必须以某种方式位于第二元素之前。另外,除非另外声明,否则一组元素可包括一个或多个元素。
此外,存储介质可表示用于存储数据的一个或多个设备,包括只读存储器(rom)、随机存取存储器(ram)、磁盘存储介质、光学存储介质、闪存设备和/或其他用于存储信息的机器可读介质、以及处理器可读介质、和/或计算机可读介质。术语“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”可包括,但不限于非瞬态介质,诸如便携或固定的存储设备、光学存储设备,以及能够存储、包含或承载(诸)指令和/或数据的各种其他介质。因此,本文中描述的各种方法可全部或部分地由可存储在“机器可读介质”、“计算机可读介质”和/或“处理器可读介质”中并由一个或多个处理器、机器和/或设备执行的指令和/或数据来实现。
此外,诸实施例可以由硬件、软件、固件、中间件、微代码、或其任何组合来实现。当在软件、固件、中间件、或微码中实现时,执行必要任务的程序代码或代码段可被存储在诸如存储介质之类的机器可读介质或其它存储中。处理器可以执行这些必要的任务。代码段可表示规程、函数、子程序、程序、例程、子例程、模块、软件包、类,或是指令、数据结构、或程序语句的任何组合。通过传递和/或信息、数据、自变量、参数、或存储器内容,一代码段可被耦合至另一代码段或硬件电路。信息、自变量、参数、数据等可以经由包括存储器共享、消息传递、令牌传递、网络传输等的任何合适的手段被传递、转发、或传输。
结合本文中公开的示例描述的各个说明性逻辑块、元件、电路、模块、功能和/或组件可以用设计成执行本文中描述的功能的通用处理器、数字信号处理器(dsp)、专用集成电路(asic)、现场可编程阵列(fpga)或其他可编程逻辑组件、分立的门或晶体管逻辑、分立的硬件组件、或其任何组合来实现或执行。通用处理器可以是微处理器,但在替换方案中,处理器可以是任何常规的处理器、控制器、微控制器、或状态机。处理器还可以实现为计算组件的组合,例如dsp与微处理器的组合、数个微处理器、与dsp核心协作的一个或多个微处理器、或任何其他此类配置。通用处理器(配置用于执行本文描述的各实施例)被认为是用于执行这样的实施例的专用处理器。类似地,通用计算机在被配置用于执行本文描述的实施例时被认为是专用接收机。
结合本文中公开的示例描述的方法或算法可直接在硬件中、在能由处理器执行的软件模块中、或在这两者的组合中以处理单元、编程指令、或其他指示的形式实施,并且可包含在单个设备中或跨多个设备分布。软件模块可驻留在ram存储器、闪存、rom存储器、eprom存储器、eeprom存储器、寄存器、硬盘、可移动盘、cd-rom、或本领域中所知的任何其他形式的存储介质中。存储介质可耦合至处理器以使得该处理器能从/向该存储介质读写信息。在替换方案中,存储介质可被整合到处理器。
本领域技术人员将可进一步领会,结合本文中公开的实施例描述的各种解说性逻辑块、电路、功能、模块和算法步骤可被实现为电子硬件、计算机软件、或两者的组合。为清楚地解说硬件与软件的这一可互换性,各种解说性元件、组件、块、电路、功能、模块以及步骤在上面是以其功能性的形式作一般化描述的。这样的功能性是实现成硬件、软件还是其组合取决于具体应用和加诸整体系统上的设计约束。
本文所述的本发明的各种特征可实现在不同系统中而不脱离本发明。应注意,以上实施例仅是示例,且不应被解释成限定本发明。这些实施例的描述旨在是说明性的,而并非旨在限定权利要求的范围。由此,本发明的教导可以现成地应用于其他类型的装置,并且许多替换、修改和变形对于本领域技术人员将是显而易见的。
- 还没有人留言评论。精彩留言会获得点赞!