与机器设备进行互联网络通信的方法和系统与流程

相关申请的交叉引用

根据《美国法典》第35篇第119(e)条，本申请主张于2015年7月5日提交的名称为“在lte环境中m2m通知和信息即时送达的方法和系统”的美国临时专利申请号62/188，713的优先权，并主张于2016年4月7日提交的名称为“与机器设备进行互联网络通信的方法和系统”的美国临时专利申请号15/093，560的优先权，这两个专利申请均通过引用全部包括在本申请中。

本领域一般涉及物联网系统与设备，更特别地，涉及一种用于向无线广域网(“wwan”)连接设备传递消息、通知和查询的系统与方法。

背景技术：

近年来，随着物联网(“iot”)的发展，日常物品与数据网络发生了联系，使它们能够向其他设备或系统发送数据，并接收数据。这种联系通过与其他系统、服务器和控制器进行数据交换，使设备能够实现更大的价值和业务。有时，这种联系用于对所连接的设备进行远程监控和控制。iot系统一般指嵌入式系统内，对用于传输、接收、控制、远程存储和处理信息的远程通信设备的综合利用。更一般地，iot可以指通过远程通信设备，在万维网(“www”)等公用通信网络上发送、接收和存储信息的智能设备。

除了融合远程通信与信息处理，iot还可以指与控制和管理远程设备和系统有关的各种过程的自动化。例如，在iot系统包含多个食品或饮料自动售货机的场景中，iot系统能够报告远程自动售货机的库存状态，操作电子支付系统，方便从自动售货机中购买商品，对iot自动售货机外部显示的内容进行更新，并报告一个或多个自动售货机的内部温度，从而增强客户体验。在另一个场景中，iot系统能够允许房主在通信网络上通信的同时，利用智能恒温器对采暖空调系统进行远程监控和控制，一个或多个中央服务器对智能电量效率进行管理，并处理电量使用合并报表。iot系统还可以使电量使用与其他附近系统同步，以消除局部电量使用高峰，降低对电和天然气等公用事业的总体高峰电量需求。在其他方面，房主iot系统可以监控天气状况，并对池水补给和景观浇水等非必需活动的用水量进行同步处理。

通过采用数量不断扩大的方法，iot设备可以连接到更大的网络，通常是互联网。早期连接的设备之间利用专用局部网络进行联网，而这些专用局部网络是利用多点串行网络或简单的非标准化无线网络创建的。这些设备一般与本地网关或控制器进行通信，并且几乎不能远程操作。随着广域网的建立，创意理念带动了连接和控制设备概念朝本地网络以外发展。随着新技术降低了嵌入式电子设备、传感器和网络连接的成本，设备和系统的互连变得更为常见。

促成iot扩展的另一项重要发展是集中化“云计算”设备的广泛上线。利用集中化(有时是虚拟化)连网业务，云计算允许对应用软件进行操作。云计算建立在更广泛的共享业务概念和融合基础设施基础之上。有些人一般会把云计算称为‘云’，云计算依靠资源共享和规模经济来提供业务。将低成本的新兴连接型智能设备与连接型云计算环境的宽阔区域相结合，为制定创新性解决方案创造了技术机遇，并将在生活的几乎每一个方面加强自动化。

早期连网设备需要复杂而昂贵的网关来建立互联网协议(“ip”)连接。在iot早期，作为主要物理连接介质，以太网需要采用昂贵的高耗能硬件。除非硬件具有很大的处理能力和内存，否则实现ip的软件栈既大又复杂，不易移植到硬件系统。许多ip栈都需要先进操作系统，进一步提高了硬件复杂性。在过去的几年中，微型计算和存储器技术已经发展到完整的操作系统可以移植到非常小而且划算的平台的地步。在过去五年中推出的一些新的单芯片微计算平台强大到足以包括ip堆栈、实时操作系统和传感器管理，以支持先进智能设备。

各种物理层通信设备和技术的进步也促进了连接型设备的部署。例如，wi-fi是一种无线局域网(“wlan”)计算机联网技术，它允许电子设备通过wi-fi无线接入点(“wap”)直接连接到互联网。在2.4ghz或5ghz未授权频谱上，wi-fi网络通常使用低功率发射器进行工作。wi-fi网络规范以ieee802.11标准为依据。虽然“物联网”这个名称暗示着与互联网的直接连接，但在许多情况下，直接连接使用的是采用非直接ip的媒介和技术。选择不同连接类型的原因有很多。

其他最近开发的带动物联网的技术包括zigbee、z-wave，当然还有各种无线广域网(“wwan”)技术，如gsm、umts和lte。wwan技术与wlan技术不同之处在于，前者采用不同的频谱、协议、安全和身份验证系统，并且wwan的覆盖面积通常大得多。wwan无线网络通常由移动远程通信(或移动电话)运营商利用授权频谱进行操作。业务可在地区、国家或全球范围内提供。

采用各种wwan技术连接到互联网的设备在实践上比“物联网”要久远一些。早期非移动电话技术包括mobitex、datatac和reflex。每种技术都是支持窄带双向数据连接的专门设置的数据网络。虽然网络在我们现在所知道的互联网被广泛接受之前就已经存在了，但这些网络需要在私有广域网络上运行。随着无线蜂窝网络越来越完善，出现了对移动电话运营商实行“拿来主义”的系统。美国利用amps模拟移动网络的未使用带宽，开发和部署了蜂窝数字分组数据(“cdpd”)网络。虽然cdpd支持速度高达19.2千比特每秒，并且速度明显快于mobitex、datatac或reflex，但是相对于速度较慢、更为便宜和灵活的mobitex、datatac或reflex网络，cdpd并不具有竞争力。

在美国以外地区，gsm网络(第二代(“2g”)技术)利用数字无线技术进行部署，而不是amps的模拟网络。数字化网络本身可以承载数据通信，通常情况下不会连接到广域网，比如互联网，而是连接到本地调制解调器互通功能平台，用于在基本上模拟的公用交换式电话网(“pstn”)上拨打传出模拟拨号调制解调器电话，架起沟通数字gsm世界与模拟pstn世界的桥梁。这被称为电路交换数据(“csd”)。csd解决方案的贯穿整体的前提取决于发起传出连接的移动设备。

在20世纪90年代中期到末期之前，在不少市场上，美国的无线网络开始部署数字无线技术，主要用于语音。这些系统还包括调制解调器互通功能或csd，这主要取决于向目标发起传出互连的移动设备。20世纪90年代末，随着互联网的流行，调制解调器被从互通功能中移除，使设备直接连接到互联网，而不用经过模拟调制解调器到pstn就能到达互联网。同样，应该指出的是，这些csd连接型设备可能被认为是首个iot设备，它们可以发起传出数据连接，但不能方便地接收来自互联网的传入数据连接。

21世纪初，gsm运营商开始在其无线网络中部署通用数据包无线业务(“gprs”)技术。gprs是一种面向数据包的移动数据业务，适用于gsm2g和第三代(“3g”)网络。gprs设备使用接入点名称(“apn”)、用户名和密码接入地面数据包网络，而不是通过csd连接进行“拨号”。虽然apn可以指定接入公用互联网，但它也可以指定接入和连接到定义端点，例如接入和连接到私有企业网络。这是首个提供全球移动互联网接入的系统。如上所述，应该注意的是，这些wwan连接型设备发起了到外部数据包网络的传出连接。

无线产业是指传入无线设备连接，如移动台终止的(“mt”)语音或数据连接。mt无线设备和连接被视为具有移动性，而不考虑设备的可移动性。早期分组数据网络如mobitex、datatac和reflex的显著优势在于，它们具有接受mt数据连接的能力。mobitex、datatac和reflex网络的设计主要旨在支持双向类似寻呼功能，包括随身携带的便携式无线设备，比如单向寻呼机等，这些网络支持那些首先支持传入mt数据的设备。对于蜂窝无线和gprs网络，包括通用移动电话业务(“umts”)网络，数据传输是后期问题(或后来附加的)，对于在无线网络上操作或将会在无线网络上运行的大量设备，接收传入数据连接一般不受网络支持。短消息业务(“sms”)连接是绝大多数无线移动设备所支持的第一类mt数据之一，它最初是为语音业务而创建的。

接收、接受和作用于传入数据连接的方法有很多。在网络资源方面，目前几乎所有方法都非常缓慢或成本高昂。一种目前几乎专门用于iot设备的方法，涉及向远程无线设备发送sms消息，一旦消息被接收，该远程无线设备就会发起与请求服务器的传出连接。许多熟悉iot和无线网络的人都知道这种方法，称为“sms肩式分接”。另一种方法需要一些iot设备的支持，但明显不那么受欢迎，即使用其移动台国际用户目录号(“msisdn”)，向iot设备拨打mt语音电话。数据设备不接受mt语音呼叫，而是将此传入呼叫作为触发事件使用，并随后发起到请求服务器的传出ip连接。这两种方法都存在问题，涉及到大量延迟，需要发起服务器通过接口连接到完全不同的系统。

gsm标准机构，即第三代合作伙伴项目(“3gpp”)并没有完全忽略mt数据连接。这些团体有指定的方法来建立与无线设备的传入连接。这些方法相当简单明了，但业界从未考虑过大量无线设备需要使用现有iot环境中存在或即将存在的传入数据连接。3gpp建立的方法涉及到每个iot设备使用一个公用(互联网)固定ip地址，可以是ipv4地址，也可以是ipv6地址。在尝试采用该解决方案时，标准委员会未曾预料到的几个问题对网络运营商提出了挑战。

在使用公开可寻址ip方面(即连接到公用互联网的客户端设备可以直接向可以连接到私有网络的iot设备的互联网协议地址发送一条消息)，存在严重问题，其中一个问题涉及相对于越来越多的设备连接到互联网，可用的ip地址数量很有限，因此需要公用可寻址的ip地址。互联网协议版本4(ipv4)最多能够支持232(4,294,967,296)个惟一ip地址。据一些统计显示，2011年发生了地址衰竭，而据其他统计显示，地址衰竭会在2015年或此后不久发生。许多国家的移动网络已经开始使用互联网协议版本6，即ipv4的后继协议。ipv6使用128位地址，因此允许使用2128个地址。不幸的是，ipv4和ipv6并未采用可互操作的设计，使得无线设备以及互联网系统向ipv6的转换复杂化。有几种ipv6转换机制可以支持互操作技术，但没有通用的网络桥接方法。ipv6本质上创建了一个需要译码程序网关的并行独立网络，这些网关采用其中一种转换机制。过去，一些运营商已经提供了(并且可能继续提供)用户识别模块(“sim”)与固定公用ipv4地址，但附加成本和未分配地址的有限可用性排除了使用固定ipv4地址作为大量iot设备的严密解决方案的可能性，根据专家预测，未来几年甚至几十年，这些iot设备将“联网”。

由于iot设备数量众多，用户对互联网的期望，如iot设备的反应，以及对远程控制wwan连接型设备的需要，这就需要有一种可靠而高速的方法，与设备重新建立数据会话，该设备可能已经结束了会话，但仍然保持附加状态。如果数据流的目的仅仅是为了支持‘保持联系’轮询消息发送(用于保持数据会话)，则可取的做法是，尽量减少wwan连接型远程设备之间不必要的数据流，否则就不传输数据。将iot设备用于保持‘保持联系’轮询的通信无线电所消耗的能量降到最低，这也是可取的做法。

技术实现要素：

下面提供了简化归纳，以便提供公开实施例的一些方面的基本理解。该归纳不是本发明实施例的全面概述。其既不旨在认定实施例的重要或关键要素，也不旨在界定实施例的范围。其唯一目的是作为后面提供的更详细描述的前序，以简化形式提供本发明实施例的一些概念。

根据一个或多个实施例，本公开提出了一种用于远程建立与gsm/umts或lte设备或使用类似信令方法的其他设备的数据会话的方法，所述设备处于网络附加状态，而无需在通信设备上直接进行本地用户交互。它公开了一种用于管理gsm/umts或lte设备远程连接的方法，无需首先发送sms叫醒消息，也无需让多个api接口管理完全不同的无线接口，例如短消息点对点协议(“smpp”)接口和ip分组数据连接。此外，本文的描述公开了一种在iot设备上快速建立远程分组数据连接的方法，在使用sms递送网络进行设备触发以执行任务时，这种方法没有不确定性、延迟和不可预测性。

如上所述，wwan设备有大量的附加状态，一些状态允许设备本身通过ip网络与无线网络中的一些预定的ip端点进行通信。该端点通常是复杂路由器、gsm/umts网络中的ggsn或lte网络中的数据包网关【pgw】的一部分，或由其管理。当设备连接到互联网，ggsn/pgw充当防火墙，当设备连接到定义的私有网络(例如，由第三方企业运作的企业网络，专门用于支持iot设备连接到企业自己的专用服务器)时，ggsn/pgw像网关一样运行。

当wwan连接型设备连接到互联网时，ggsn/pgw防火墙对设备的互联网访问权限进行转换，其方式与个人的家用数字用户线路(“dsl”)大致相同，或有线路由器对家庭网络中的个人电脑地址进行转换。ggsn/pgw作为网络移动性的锚点，并作为gsm/umts或lte网络与其他分组数据网络(如互联网或私有企业网络)之间的接口点。当通过接口连接到互联网时，ggsn/pgw提供状态防火墙，并提供网络地址转换(“nat”)等功能。通过nat，wwan连接型设备的ip地址隐藏在防火墙背后，源于互联网的数据包不能直接路由到wwan连接型设备的本地子网ip地址。

虽然企业连接不一定需要类似于联网设备所需功能的完全防火墙和nat功能，但与wwan设备相关的限制确实存在，妨碍了随时ip或始终可用的连接。wwan设备的ip地址通常是一个私有地址，该私有地址包含在私有管理网络(有时称为子网)内，只有wwan设备和作为私有网络一部分的企业服务器能够访问该网络，但是当设备不进行持续的数据业务时(通常如果在超过预定的空闲或不活动时间内没有传递任何数据业务数据包，设备会将数据会话和过程转换成相对于wwan断开的状态)，任何wwan设备通常都会处于与分组数据网络断开的状态。

无论分配给新分组数据会话的ip地址是否与wwan设备的先前分组数据会话相同，本发明所公开的各个方面可以使用两个不同的过程，一个专门用于gsm/umts设备，一个专门用于lte设备，以重新建立分组数据会话，并进一步将适用的传入分组数据业务路由到新连接的wwan设备。当结合附图考虑时，从以下详细描述中可看出其他新颖优势和新颖特征，并且所公开的实施例旨在包括所有方面及其等价物。

本发明所公开的各个方面提供了到wwan设备的连接，该设备包含连接到公用无线广域网的gsm/gprs/edge/umts或lte无线调制解调器，传统上，该调制解调器旨在采用源于无线设备的方法与无线网络连接，无论是由发起过程的定时器通过用户访问应用程序发起，还是通过检测传感器的状态或其他指示的变化发起。远程无线网络设备的远程激活是偶然而缓慢的。传统的激活通常利用sms消息来提醒远程设备发起到与与无线网络相关联的数据包网络的数据连接，以接受传入数据。本发明所公开的各个方面立即将ip消息直接传递到wwan设备，而不考虑该设备的连接状态或网络(该设备可能在该网络上运行)类型，该设备也不需要保持费用高昂、耗电量大的有效数据会话，同时不断地用无用的“连接保持”消息，对网络执行ping操作，只是为了能够保持数据连接状态，接收周期性数据消息，通常相隔数小时或数天，而无需使用sms业务。此外，所公开的各方面克服了保持ue设备(可以是智能手机、iot设备、车载远程信息处理设备、连接或耦合到传感器设备的无线设备、无线连网的家用电器等)公用固定ip地址的限制和费用。

附图说明

图1示出了一个表格，汇总了lte设备的emm、ecm和rrc状态。

图2示出了lte设备的状态表，示出了各种emm、ecm和rrc状态。

图3示出了lte设备的各种状态和对应于每个状态的用户体验。

图4示出了一个简单的平面网络，连接到该网络的所有设备都可以相互识别、发送和接收消息。

图5示出了与简单平面网络的运行方式相同的安全网络隧道。桥接器两侧的每个设备都能看到桥接器两侧的设备。在没有任何特殊外部交互的情况下，设备可以将消息发送到任何其他设备或接收消息。左侧的消息被复制到右侧，右侧的消息被复制到左侧。

图6示出了一个安全路由网络，其中每个子网都有自己唯一的ip地址范围。每个路由器维护其网络上与相应设备相关联的ip地址范围和相应的ip地址，并适当地将发送到不在其网络上的目标的消息路由到外部网络接口，后者将消息通过互联网传递到目标ip地址和端口号。目标ip地址可以是路由器/防火墙的地址，该路由器/防火墙将定址到特定端口的数据转发到特定(相同或不同)端口处的内部网络上的一组私有ip地址计算机其中之一。

图7示出了具有公用访问安全服务器(“pass”)的高层网络体系结构。在一个理想实施例中，每个外部用户连接到公用互联网，定向到iot设备的消息被发送到psgpas，在已建立的点对点vpn上以桥接模式操作。

图8示出了大多数无线网络运营商所操作的基本lte数据网络体系结构。

图9示出了由大多数无线网络运营商操作的基本gsm/gprs/umts数据网络体系结构。

图10示出了系统详图，其中pass与各无线通信网络基础设施组件、公用互联网和专用互联网集成。

图11示出了一个梯形图，突出显示了针对不具有活动pdp上下文的gsm/gprs/umts设备，用于网络发起的分组数据连接的连接设置。

图12是一个梯形图，突出显示了针对不具有活动eps专用承载设置的lte设备，用于网络发起的分组数据连接的连接设置。

图13示出了具有发布/订阅平台的系统详图，该平台用于执行pass的各项功能，从而在私有无线ip网络的私有ip地址和公用互联网的公用ip地址之间转换。

图14示出了典型的发布和订阅通信基础设施所遵循的路由图。

图15示出了使用pass的网络系统示意图，与无线ue设备没有安全通信链接。

图16示出了ipsec隧道中承载的标准ip数据包的ipsec数据包标注和封装。

图17示出了使用pass的网络系统示意图，与无线ue设备有安全通信链接。

图18示出了在具有私有通信网络的ip地址的情况下，用于在idle状态下，公用互联网连接设备与iot设备之间建立通信的方法流程图，其中，发起设备不能访问iot设备的私有网络地址。

图19示出了经验证的用户设备模式，该模式可被pass所使用，在与发起者设备对应的信息基础上，建立公用互联网连接发起者设备与私有网络连接ue设备之间的连接。

图20示出了经验证的用户设备模式，该模式可被发布-订阅平台所使用，该平台作为pass运行，在与发起者设备对应的信息以及从发起者设备接收的主题基础上，建立公用互联网连接发起者设备与私有网络连接ue设备之间的连接。

具体实施方式

作为初步事项，本领域技术人员将很容易理解，本发明可以具有广泛的效用和用途。从本发明的实质或范围来看，或根据本发明实质或范围的合理建议，除了本文所述的方法、实施例和适应以及许多变异、修改和等效安排以外，本发明的许多方法、实施例和适应将是显而易见的。

因此，虽然已结合本发明的优选实施例对本发明进行了具体的描述，但是应当理解的是，本公开对本发明只具有说明性和示例性，并且本公开仅仅是为了提供本发明的充分、可实施的公开而做出的。以下公开并非打算，也不应被解释为限制本发明或以其他方式排除任何其他此类实施例、适应、变异、修改和等效安排，本发明的范围仅由所附的权利要求及其等效含义来限定。

在gprs和lte数据世界中，活动数据会话称为分组数据协议(“pdp”)上下文会话或承载设置。如前所述，移动设备将分组数据会话建立到特定的端点。特定的端点为网关/防火墙，可以到达更广泛的公用互联网，也可以到达已建立企业ip连接的网关/防火墙。一般而言，pdp上下文建立到gsm和umts网络的网关gprs支持节点(“ggsn”)，或者在4g/lte网络中，演进型数据包系统(“eps”)承载设置建立到分组数据网网关(“pgw”)。

对于umts或gsm设备，网络数据会话通过pdp上下文激活程序建立。但是，在建立pdp上下文之前，用户设备(“ue”)必须执行“附加”(attach)程序。“附加”程序用于提醒gprs服务支持节点(”sgsn“)，随后提醒由ue加电的hlr/hss。在没有请求pdp上下文的情况下，ue在“附加”之后可以做的事情没有多少。但是，ue可以接收sms或网络发起的pdp上下文。目前，支持数据包网络sms的运营商并不多，几乎没有一个运营商支持网络发起的pdp上下文，这是因为没有既定的方法来请求gprs服务支持节点(“sgsn”)在不使用分配给给定ue设备的预定义公用静态ip地址的情况下，生成网络发起的pdp上下文。

通常，umts或gsm设备将完成“附加”程序，并立即发起pdp上下文激活，该激活将建立数据会话和网络隧道，并将ip地址分配给ue。只要设备继续发送或从ggsn接收数据，ue就会保留ip地址，但是在预定的闲置超时时间(通常约一小时)之后，数据一停止流动，sgsn或ggsn就可以终止pdp上下文。ue也可以向sgsn发送去激活pdp上下文，并随时终止会话。一旦pdp上下文被去激活，正如当前正常运行一样，ue必须重新发起pdp上下文激活程序。

对于基于lte的系统，有两种类型的数据会话设置。第一种被称为默认eps承载。第二种是专用eps承载。默认eps承载作为“附加”程序的一部分建立。当ue应用程序需要建立应用数据服务时，需要建立专用eps承载。lte附加/默认eps承载相当于umts附加。一个主要区别是lte中的默认承载带有一个ip地址，其中umts或gsm附加不分配ip地址。lte专用eps承载设置类似于pdp上下文激活。

对于umts或gsm，在ue发起pdp上下文激活之前，不分配ip地址。在lte中，只要附加ue，默认承载(因此默认承载上的ue的ip地址)就都保持不变。对于umts或gsm，ip地址随着pdp上下文的丢失而消失，发生这种情况的原因是不活动，通常在不活动大约一个小时之后。对于lte，只要设备出于某些原因其中的一个原因而没有特别地脱离网络，ip地址就保持不变。对于gsm/umts和lte设备，保持应用程序数据的pdp上下文或专用承载的唯一方式是继续在ue和ggsn或pgw之间传递数据。

尽管上述段落提供了lte连接状态的简化描述，但下文将讨论更多的细节。本文并不试图讲授上述gsm/umts和lte无线网络规范的完整细节，但下文讨论了足够的细节，以提供一个框架来讨论本文所公开的各个方面和实施例。

lte设备有许多操作状态和功能，用于描述ue对网络的附加。有些功能是演进数据包系统(“eps”)移动性管理(“emm”)功能的一部分；有些功能是eps会话管理(“esm”)功能的一部分。

emm连接管理通过eps连接管理(“ecm”)功能进行，ecm连接由无线电接口上的无线电资源控制(“rrc”)连接和网络接口上的信令连接组成。

为了更好地理解在lte环境中工作的给定ue的运行状态，每个状态示出在图1的表格中。在最简单的层面上，rrc有“rrc空闲”(rrc-idle)和“rrc连接”(rrc-connected)两种状态。简而言之，rrc-idle是尚未建立无线电接口时的状态，rrc-connected是当无线电已经建立了与无线网络的信令连接时的状态。在开机状态下，ue从rrc-idle转到rrc-connected。无线电资源促进了ue与网络之间的通信。如果没有无线电信令连接，就无法建立ecm连接。

检查图3的表格，在每种运行状态下，描述了ue的网络功能和用户体验。用例a是ue在长时间断电后，紧接在ue上电之后的状态。ue的无线电接口连接处于空闲，在无线电接口达到rrc-connected状态之前，无法建立ecm连接。在这种初始状态下，用户不能发送或接收任何数据。通常情况下，如果有无线电网络可用，电话会搜索空中电波并很快找到这个无线电网络，然后转到用例c。

继续图3的表格，关于用例c，ue附加到网络，建立默认承载，执行跟踪区更新，并且如果ue应用程序需要专用承载传递特定数据，则由ue建立专用承载。由设备本身对设备的移动性进行管理。只要设备保持在定义的跟踪区内，如当前由网络建立的那样，就不需要特定的网络级通信。例如，跟踪区可以像单元格一样大，或者像城市一样大，取决于网络运营商如何定义。用户数据可以在网络和设备之间传递。如表中所指出的那样，这种状态是emm-registered状态。

根据图3的表格，用例d是当网络、ue或应用程序没有任何数据可以在任何一个方向上传递时的情况。在闲置一段时间(通常大约一小时)之后，无线电接口连接将下降到空闲状态，并且没有通信路径，ecm转到空闲状态。只要设备不超越收听enodeb数据信道的ue所确定的跟踪区，ue就可以保持这种状态。在这种状态下，ue仍然保持附加，但不能在任何一个方向上传递数据业务。

要想从用例d回到用例c，三个事件之一必须发生。如前所述，该设备可以走出跟踪区。设备本身识别跟踪区的变化，并使ue转到用例c，以开始跟踪区更新(“tau”)程序。tau程序对移动性管理实体(“mme”)进行更新，并负责管理设备移动性的网络侧。此外，如前所述，ue上的应用程序可以请求数据连接，并且一旦该应用程序发起了数据请求，ue就将转换到用例c。在mme向ue生成网络信令的情况下，发生了能够迫使设备从用例d回到用例c的第三事件。网络信令可能是由传入语音呼叫、传入sms或传入数据数据包产生。

虽然在设备移动性的管理中，用例c和用例d之间的转换很重要，但是转换回用例a或用例b的情况通常与本文所公开的方面不怎么相关。

参照图2，一旦开机状态发起了ue过程，ue就会“附加”到网络。建立无线电信令连接，并建立ecm连接。ecm-connected状态是指非接入层(“nas”)信令连接建立在无线电通信链路上的情况。ue被分配了物理资源、无线电资源和网络资源。在转换到rrc-connected/ecm-connected状态之后，当默认承载建立，ip地址被分配给ue，并且网络知道ue的当前位置(由跟踪区定义)时，ue将被视为emm-registered。

只要ue继续传输或接收数据消息，该设备就将保持ecm-connected/rrc-connected状态。经过一段ue不活动时间后，ue转到ecm-idle/rrc-idle状态。虽然这种状态看似与案或用例b开机之前的状态相似，电力在用例，但不同之处在于，设备主动监视网络，重新选择所需的新单元格，以保持单元格数据信道的接收。基本上，无论是移动主叫(“mo”)还是mt数据业务，ue都是“附加的”(或emm-registered)，并且正在等待新的数据业务。为了使跟踪区之外的另一个单元格发生变化，在ecm-connected/rrc-connected状态下，ue同时也在监视由网络分配和定义的跟踪区(一个单元格或一组单元格)。重要的是，ue检测到变化并将其新位置通知给网络，以便设备可以得到呼入、传入sms或源于网络的数据会话的“信号”。如果ue检测到新的车载应用程序数据业务，或自身变为网络定义的跟踪区以外的单元格，则ue将转到ecm-connected/rrc-connected状态(用例c)。在ecm-connected/rrc-connected状态下，ue将用其新位置更新网络，并将与新跟踪区上的网络同步。处于静态位置的ue设备可能会无限期停留在ecm-idle/rrc-idle状态和emm-registered。

在任何时候，上述emm-registered模式下的ue开始断电程序，或遇到无线电链路失效时，ue返回到“emm注销”(emm-deregistered)(或“未附加”(unattached))模式。

以上描述的最重要部分涉及“emm注册”(emm-registered)模式，以及从ecm-connected到ecm-idle状态的转换。重复以上描述，基于ue数据不活动，ue从ecm-connected状态转到ecm-idle状态。基于新数据活动，ue从ecm-idle状态转到ecm-connected状态。

与umts/gprs网络发起的pdp上下文类似，lte支持网络发起的“连接”，使ue从ecm-idle/rrc-idle状态转换到ecm-connected/rrc-connected状态。仅当ue已经处于emm-registered状态时，才会发生这种转换。为了在ue中发起转换状态，pgw通过另一个节点即服务网关(“sgw”)，对ue发起了网络流量，该节点在功能上类似于gsm网络中的sgsn，其中如果ue并非已经处于ecm-connected/rrc-connected状态，则由sgw节点开始连接过程。一旦sgw接收了前往ue的特定数据数据包，如果未通过演进型节点b(“enodeb”)(这是lte单元格基站无线电设备)建立到ue的链接，则sgw与移动性管理实体(“mme”)进行通信，以生成到enodeb的适当的nas消息，建立与ue的rrc连接。在rrc-connected状态下，ue可以从ecm-idle状态转换到ecm-connceted状态(即为了传送数据起见，ue已经建立了连接状态)，专用承载被建立，数据数据包可以传送到ue。

当终端用户启动应用程序来浏览互联网或发送电子邮件时，lteue通常会建立rrc连接。同样，如果ue移动到新的跟踪区内，并且必须完成跟踪区更新，则lteue会建立rrc连接。网络通过发送nas寻呼消息，触发rrc连接。这通常用于允许传递传入sms或通知传入语音呼叫。寻呼消息在公用控制信道(“ccch”)上传递，如果rrc连接未建立，则寻呼消息在跟踪区内的所有enodeb站点上进行广播。

在lte环境中，当ue需要一个或多个特定业务类型或应用程序的专用隧道时，专用承载被请求(和分配)到ue。例如，应用程序数据、voip、网络传输或视频业务需要提供比默认承载所能支持的用户体验更好的用户体验，这并不能保证比特率或业务质量。然而，专用承载可以通过提供有保证的比特率来提供特定业务的特殊处理，其中默认承载不能提供该专用比特率。专用承载可以提供ip多媒体子系统(“ims”)网络流量、提供语音和sms业务的无线网络功能和常规网络传输之间的分离。专用承载通常链接到默认承载，并且可以具有与已链接的默认承载相同的ip地址。

需要注意的是，不论采用lte、umts还是gprs技术，在无线网络范围内，分配给ue的ip地址从未作为无线网络以外的设备能够转发业务数据包的地址。ue的ip地址只能由pgw或ggsn提供。与传统ip世界做类比，pgw或ggsn的行为有点像ue的默认网关。

基于现有的gsm/umts或lte系统前的以往细节，本领域技术人员可以清楚地了解到，目前，在一般意义上，设备被设计成在“数据连接”(data-connected)和“数据断开连接”(data-disconnected)状态下运行。在预定时间内，ue与网络之间没有数据遍历的情况下，经过这段时间之后，ue转到“数据断开连接”状态。在“数据断开连接”状态下运行的同时，ue设备消耗的功率明显降低，有利地使用了较少的网络资源，并且消耗的数据少于“数据连接”状态下运行时的数据。在通信完成后，立即让网络迫使ue进入“数据断开连接”状态，或在通信完成后，让ue自己转到“数据断开连接”状态，本发明所公开的各个方面，即从网络侧(即，从耦合到iot运营商运营的私有网络的公用通信网络)发起“数据连接”状态为iot运营商提供了显著的优势。在本发明所公开的各个方面所能提供的低功耗下，新的电池供电设备和应用程序可以出现。此外，扩大和协调ue与设备之间的不连续接收(“drx”)参数值可以延长低功率电池设备的待机时间。此外，根据细节显示，网络目前存在一些方法，用来发起连接，使ue转移到“数据连接”状态。然而，上述“发明内容”中公开的“不存在的东西”是一种高效、快速、可供使用的方法，该方法用于从设备触发网络连接，无需接触iot无线设备，该设备即可连接到公用互联网，同时具有静态公用ip地址(即连接到公用网络的设备没有ip地址)。本发明公开的各个方面使用网络发起的消息，使ue从“数据断开连接”状态转到“数据连接”状态。各种实施例可以触发用于提供iot用户所需即时连接的网络过程。

各个方面提供了一种无线设备的按需连接，而不需要使用正在请求连接的设备，该连接有权访问设备的静态公用ip地址，而该连接正在请求连接到该设备。各个方面提供了一种用于通过公用访问安全服务器(“pass”)将指定的发起ip站连接到私有管理网络的特定设备的方法。优选地，发起ip站与pass的公开可用ip地址或url通过实现虚拟私有网络隧道进行通信，用于创建安全的点对点连接。优选地，pass和ip站将使用预共享密钥、证书或用户名/密码或其他未来安全方案进行相互身份验证。

点对点连接能够遍历网络地址转换器(“nat”)，无线运营商私有网络的防火墙可以使用该转换器，包括iot设备(向该设备寻求连接)，以及可用于公用网络(包括发起ip站)的任何nat。在接收到从ue发送到发起ip站的数据包后，pass的网络“过滤路由器”对数据包的目的地ip地址进行检查，以确定此ip地址是否为发起ip站群的成员，如果不是，则路由器就将数据包丢弃。如果此数据包是发起ip站群的一部分，则此数据包在网上利用标准互联网“返回数据包”路由技术转发到发起设备。

为了gsm/gprs/umtsue或lteue在“数据连接”状态下的连接起见，为每个作为私有网络一部分的iotue分配一个固定ip地址。由于使用ipv4地址的公用固定ip地址几乎不可能被分配到新的设备(因为地址已几乎用完)，因此这些ip地址最好是私有地址范围内的ipv4地址，最好从10.0.0.0到10.255.255.255，但地址范围可以是任何公用或私有ip地址范围。选择ipv4地址意味着发起计算机可以使用标准ipv4堆栈和标准ip技术运行。如果在无线/私有网络上选择了ue的ipv6地址，要么发起计算机需要ipv6堆栈，利用支持ipv6的应用程序和技术运行，要么pass需要将ipv4建立连接和数据包从发起计算机转换成ipv6协议ip数据包。如果选择上述范围，则本优选实施例中描述的方法和系统可以支持超过1600万(-16,777,216)台唯一ueiot设备。在隧道vpn环境下，在与iotue采用相同分配的地址范围中，发起方ip站/设备通常也有一个与其关联的ip地址(永久分配或使用dhcp分配临时分配的ip地址)。

本发明公开的pass为iot设备至少建立了一个公用/私有apn。由于许多用户甚至上百万的用户或iot设备都能够共享使用wwan或其他私有网络的单一apn，因此该apn可能是公用apn。apn通常是ggsn或pgw中的已定义端点，其中手机连接在无线网络中终止。所述公用/私有apn将连接到vpnpass，而非连接到互联网(如公用apn)或私有企业(如私有apn)。从安全的角度来看，私有apn很像vpn，它提供了设备和网络之间的安全。通常情况下，每个企业都有单独的唯一apn，仅供ue连接到该企业网络时使用。其他ue则连接到公用apn，也可连接到其他私有apn。在该实施例中，许多ue设备分散在许多企业之间，个人则共享一个apn，但最好是使用它们驻留在每个ue上的基于软件的vpn客户端进行分离，它们通过发起ip站和ueip地址之间的路由控制和限制进行分离。此外，ue设备本身通常(但可选地)被配置成无法访问另一个ue设备地址或第三方发起ip站，由于ip发起方的ueip地址与目的地ip地址之间的路由控制和限制，ue设备也被分离。

在图7所示的方面中，系统700包括一个或多个发起ip站702，它们或者直接通过公用ip地址连接到公用互联网704，或者在nat/防火墙后面连接到公用互联网704。每个发起ip站应具有客户端vpn软件，该软件可以建立到pass706公用ip地址的连接。为了连接到pass706，优选地，客户端发起设备702将使用vpn客户端协议来建立与vpn服务器协议的安全连接708，该协议是pass706操作软件的一部分。必须考虑的一点是，可以使用其他类型的安全通信连接708代替vpn隧道。另外，每个连接708可以互不相同。正如安全点对点连接的标准和习惯做法一样，优选地，采用预共享密钥、证书或用户名/密码，或任何其他用于加密和身份验证管理的未来技术，pass706服务器对客户端进行身份验证，客户端对pass服务器进行身份验证。一旦通过身份验证，如果使用隧道模式vpn连接708，则对于朝向ue的隧道，发起ip站/设备702的虚拟ip地址通常会从私有网络712的上述ip私有地址范围中分配，最好是在10.0.0.0到10.255.255.255范围内，值得注意的是，该地址范围可能与ueiot设备710在“数据连接”状态下分配的地址范围相同。

当提到lte网络体系结构时，载体外部接口(“cxi”)被称为sgi接口。具体而言，sgi接口是外部公用网络704与私有分组数据网络712之间的pgw处的正常分界点。当提到gsm/gprs/umts网络体系结构时，此cxi接口称为gi接口。

参照图8，该图显示了基本lte分组数据核心网络体系结构800。通过pgw804，并途经sgi接口806，实现了从公用互联网801到lte分组数据核心802的外部连接。图8未示出网络801与私有ip网络808之间的网络转换设备，如pass。

图9示出了基本gsm/umts分组数据核心网络体系结构900。通过网关gprs支持节点(“ggsn”)904，并途经gi接口906，实现了公用互联网901到gsm/umts分组数据核心902的外部连接。图9未示出网络900与私有ip网络908之间的网络转换设备，如pass。

图10示出了实现两个不同分组数据核心网络802和902结合的系统1000，这两个网络分别在图8和图9中提到。必须考虑的一点是，通常支持两种无线数据网络的远程无线载体将一些功能组合到同一组件或相同组件中，以减少不必要的重复。一般情况下，在真实世界组合网络中，网络802和902各元素之间的接口可能通向lte网络中的pgw，或通向gsm/umts网络中的ggsn。虽然一些网络元素通常在真实世界实施例中共享，但为了简单起见，系统1000分别示出了与本文公开的耦合到单一pass网络转换设备或转换服务器1006的lte网络1002和gsm/umts网络1004的分立元件。

由pass1006管理作为公用ip网络1008和ue设备1010一部分的发起ip站/设备之间的ip通信，并将从网络1008设备开始的连接访问和连接限制在有效ue数据库(“vuedb”)1012(优选地作为pass1006的一部分)内的ip地址范围内的ip地址。必须考虑的一点是，虽然所示ue设备/iot设备1010连接到enodeb1014或bts1016(由于这些元件分别提供了无线设备1010与数据包核心1002和1004之间的物理连接)，但是vuedb包含的私有地址是一个或多个私有网络1018的服务器的有效地址。

vuedb1012包含用于控制两个方向(即从私有网络1008的设备到ue设备1010，或从ue设备到网络1008的设备)上的数据包访问或数据流的数据关联。例如，如果ue发起了ip数据包流，pass1006通常只允许流数据包遍历vuedb中定义的ip地址(或ssl目的地实例)，该地址对应于ip站，该ip站作为一组指定的允许ip发起方的一部分(即私有网络1018的一部分)，可以向vuedb中建立的ue发起ip会话。如果ip发起方(通过其凭证向pass1006识别，用于建立到pass的连接)尝试访问超出许可ip地址(根据vuedb中的定义)范围的任何其他地址，则pass不得传递这些数据包。未传递的数据包可能被丢弃，而不另行通知，或者可能在错误指示下被拒绝，但按照vuedb，最好不会传递到未经许可的接收器。如果从ip发起方发出的数据包的数据包目的地地址在vuedb允许的范围内，则通过sgi或gi接口(如图10所示)，经由ggsn或pgw连接，该ip数据包桥接、路由或以其他方式从pass传递到相应的ue。

由ggsn/sgsn或pgw/sgw检查ue1010的连接状态(由sgi或gi接口处接收的数据包目的地ip地址来进行识别)，该数据包从pass1006发送到需要传递到ue1010的无线网络环境1020。如果ue1010连接未处于“数据连接”状态，则相应的节点(sgsn或sgw)通常会通过相应的网络节点(即对应于lte网络1002或gprs/umts网络1004其中之一的节点)发起网络连接请求。图11示出了通过gsm/gprs或umts网络的连接请求流程。图12示出了通过lte网络的连接请求流程。不管ue1010连接到何种类型的网络，ue都将接收寻呼消息，并转到“数据连接”状态(例如，lte网络中的“ecm连接”状态)。一旦ue1010转到“数据连接”状态，数据包流就会传送到ue。

客户端或发起ip站连接到pass的方法有很多。然而，本文公开的各个方面不一定依赖于设备连接到pass1006的机制。相反，本文公开的各个方面旨在消除对几乎不可承受的情况(iot行业发现它正面临这种情况)的需要，努力获得数以百万计或更多ue设备(用户寻求在私有企业网1018等网络内部使用这些设备，如图10所示)的静态公用ip地址。pass1006包括至少一个公用静态ip地址或url，为客户端发起设备提供一个点，寻求建立到以其他方式不可到达的(因为它没有公用互联网1008的已分配静态ip地址)设备，该设备作为私有企业ip网络1018的一部分。各个方面可以在公用互联网和特定的无线ue之间创建几乎看不见的网桥，而不存在自定义应用程序编程接口的负担，同时保留安全、隔离和控制(预期用于现代化m2m部署)。

参照图4，该图示出了简单的ip网络400，其中设备402的每个设备可从网络的所有其他ip设备寻址。网络400是一个相对扁平化的网络，是m2mue连接的理想解决方案。尽管许多中间路由器和交换机位于对等体之间，但是即使在互联网上，这种网络也类似于最理想的连接示例。如果该解决方案在连接顶部增加了足够的安全技术，同时限制了来自未授权第三方的不必要连接尝试，这将是近乎完美的体系结构。不幸的是，这种解决方案需要静态公用固定ip地址，同时用于网络400m2mue和该网络的发起ip站。

图5示出了独立网络504和506之间承载通信的带vpn隧道502的网络系统500。左侧网络504上由设备508传输的数据包可以通过隧道502桥接或发出到右侧网络506上的设备510。同样，隧道502可以向从右侧网络510的设备506发送的左侧网络504的设备508发送数据包。ipsecvpn是这类隧道解决方案的示例，以隧道502为代表。ipsecvpn可以保护远程网络504和506或主机508和510之间交换的ip数据包。ipsec网关可以位于每个连接型网络504和506的边缘，提供站点到站点隧道，可以方便多个主机或发起ip站访问私有无线网络内的多个无线ue设备。(例如，如果网络504代表公用互联网，网络506代表无线实现的私有企业网络，建立后的隧道502可以安全地将从ip地址为10.15.16.25的设备508发送的数据包传输到ip地址为10.15.16.27的设备510。)

这个方面是场景中的理想情况，其中发起站508通常可以要求访问大量ue设备510。ipsecvpn一般能够支持所有基于ip的应用程序。对于ipsecvpn隧道，所有ip数据包都是相同的。然而，对于保护单个应用程序或提供单个m2m应用程序通常所需的有限连接而言，ipsecvpn隧道可能很麻烦。在客户端发起ip站计算机内，很难安装ipsecvpn，有时必须编译成发起设备的操作系统。因此，ipsecvpn只是vpn隧道的一个示例，为了说明起见而显示。ssl/tls隧道、任何其他安全隧道技术或直接连接可以实现，以提供类似的结果，即在ip地址为10.15.16.25的发起站508(可能是网络504的一部分)与ip地址为10.15.16.27(可能是网络506的一部分)的目标ueiot设备510之间，提供安全连接。

参照图6，图中示出了系统600，该系统基于嵌入发起方ip站608(具有ip地址10.15.16.25)应用程序的客户端vpn。客户端发起方ip站608可能采用natedip地址存在于防火墙后面，或客户端发起方可能正在使用公用ip地址。客户端608优选地利用标准安全技术(如安全套接层(“ssl”)或传输层安全(“tls”)来发起ip连接。ssl和tls是在客户端和服务器(通常是浏览器和网页服务器)之间建立加密链接的标准安全技术。为了建立会话，发起方ip站608可以使用特殊客户端软件来发起到目的地ip地址的安全ip会话，通常是分配到防火墙612(保护远程私有环境614)的ip地址。

在图6所示的示例中，发起方ip站608发起了到ip地址172.16.25.27端口443的会话。ip地址172.16.25.27为静态公用ip地址，用于防火墙612对pass616的保护。由发起方ip站608发起的数据包从本地企业网络618(受标识为“a”的防火墙/路由器610保护)转发到互联网620，其中标准互联网路由规则将数据包路由到标识为“b”的防火墙/路由器612。目的地防火墙/路由器612具有路由规则，使目的地地址为172.16.25.27并具有端口443的数据包定向并转发到内部(相对于网络614为内部)主机地址192.168.0.25和端口443。按照正常的ip路由规则，在防火墙/路由器b的网络内部，数据包经过修改，看起来好像是消息最初被发送到了192.168.0.25/端口443。如图所示，pass设备616已经被分配了静态ip地址192.168.0.25。

该发起方ip站608的客户端软件优选地包含ssl或tls连网api或堆栈，对客户端发起方ip与目的地pass服务器616之间传递的数据的身份验证、授权和认证进行管理。客户端软件通常将普通未加密数据传递到安全堆栈，用于发送到pass远程服务器。此数据可以是任何类型的数据，无论是二进制、文本html等还是其他类型。

在pass服务器616处的软件包含与客户端设备608类似的软件，但也包括端口监听器，或者对外部端口监听器进行管理。端口监听器等待传入数据消息(通常来自其他计算机)，以建立安全tcp连接或接受安全udp数据。安全udp数据可以利用数据报传输层安全(“dtls”)进行传递。传入数据由ssl、tls或dtls网络协议栈身份验证、授权并认证，然后传递到pass应用软件进行过滤和传输。

安全软件根据用户的需要、能力以及安装和持续使用的方便性进行选择。本领域技术人员将会认识到，在选择用于保护端点之间数据通信的安全解决方案时有许多选项。本公开中强调的选择是基于提交本公开时的偏好。安全方法不断受到挑战，随后根据发现的弱点进行更新。为了讨论起见，本文提出了安全技术，目的并不是要排除使用可能可用的其他安全方法和系统。

参照图15，该图示出了系统1500，用于建立从耦合到公用互联网的设备向私有网络(与其他私有网络共享私有apn)的设备的数据包流。云1502是指提供gsm/gprs/edge/umts业务、lte无线服务或其任意组合的wwan网络。网络1502到其他网络的连接可以在私有网络连接1504进行。云1510是指公用互联网。系统1520是指pass。pass1520将互联网1510桥接到一个或多个私有网络，这些网络共享私有wwan网络1502的私有apn。在点1504处，pass1520通过接口连接到wwan网络1502，可以分别采用wwanpgw或ggsn的sgi或gi接口。网络接口连接1504是私有apn的分界点，该私有apn与无线网络1502以及m2m无线设备(ue)1531、1532、1533、1534和1535关联。每个ue设备能够至少在终止于点1504的单一apn上通信。

所示的不同发起ip站1540、1550和1555连接到互联网1510，并可以采用所有可能的方法连接到互联网，包括但不限于有线、wifi无线、wwan无线，使用直接静态ip地址、natedip地址、直接、使用防火墙以及任何其他可能的技术，允许ip数据包流向发起设备，并从发起设备流向互联网或其他私有、半私有或公用网络上的其他节点。一个方面使互联网1510的计算机能够连接到并立即发起与其他方式不可到达的wwan1502无线ue设备的数据会话。设备1550和设备1555是个人用户接口设备，可以包括膝上型计算机、台式计算机、智能电话、平板电脑、手腕佩戴式计算机、车载计算机、m2m设备或可能发送或接收ip数据包的任何其他设备。由于ssl或tls可以很容易地安装在设备1550或1555操作系统的“用户空间”内，因此，如果设备1550或装置1555需要访问一个或少量的设备1531，或是受到操作系统限制的束缚，或是受到软件访问权限的束缚，则安全软件偏好可能是ssl或tls。

在另一个示例中，如果设备1540寻求对设备1532到1535进行访问，则安全软件偏好可能是ipsec，因为设备1540和网络1502之间的接口是隧道，而设备1532到1535很容易就能使用各自的ip地址进行寻址。另外，设备1540可以使用传统的ssl/tls，但访问方法可能不同，可能比使用ipsec更加麻烦。

为了减轻使用ssl/tls可能强加的负担，发起设备1540可能会存储多个安全凭证/信息集合，其中每个凭证集合唯一地对应于设备1531-1532其中之一。例如，如果发起设备1540寻求与设备1533通信，并寻求发起设备1533的动作，则在发起设备上运行的应用程序会自动选择与设备1533关联的凭证集合。不仅要使用这个选定的凭证集合来建立与pass1520的ssl/tls会话，而且pass将使用该凭证集合来确定，在什么位置发送来自发起设备1540的传入数据包(即，根据发起设备使用的凭证，pass将ip地址10.45.35.102确定为来自发起设备的数据包的目的地地址，通过pass的ssl/tls接收机-重新格式化程序1521，建立安全通信路径)。

在一个方面中，个人用户设备1550或1555生成定向到m2m、或iot、ue设备1531的消息。即使发起方设备1550或1555没有管理权限，在设备1550或1555内的应用软件也优选地包含集成到应用程序本身中的用户空间ssl或tls堆栈。在互联网协议组中，tls和ssl对应用层的网络连接数据进行加密。在osi模型的等价形式中，tls/ssl在第5层即会话层初始化，tls/ssl在第6层即表示层运行。tls/ssl协议代表底层传输层运行，由底层传输层的分段对加密数据进行传输。

来自发起设备1550或1555的数据包到达位于公用网络连接1557的pass1520的ssl/tls接收机-重新格式化程序1521，在与pass的接续规程中，通过设备1550或设备1555所共享的会话凭证，对数据包进行识别。可以用于密钥交换/协商的方法有很多，包括预共享密钥、证书凭证交换和安全远程密码。然而，一些方法并不对客户端和服务器进行验证，因此它们并不可取，这是因为在没有识别和认证客户端(即示例中的发起方ip站1550或1555)的情况下，pass1520将很难积极识别数据包，并将数据包仅限于与发起方ip站设备关联的特定的无线ue1531-1535。一旦建立会话，就可以传递封装的ue设备id，但是除非客户端(即示例中的设备1550或1555)通过了身份验证，否则这是不可取的，并且一般是不安全的。在接续规程中，接收机-重新格式化程序1521与“已验证用户设备数据库”(“vuedb”)通信，其中包含证书、预共享密钥、密码信息或类似的凭证信息，这些信息唯一对应于发起设备1550或1555。(如上所述，在对使用ssl/tls的发起设备1540展开的讨论中，发起设备1550和1555可以存储多个凭证信息集合，每一集合唯一对应于一个m2m/iotue设备1531-1535，在vuedb中，发起设备发送的集合与发起设备寻求通信的ue设备关联。)

基于会话(或会话建立)过程中从设备1550或1555接收的一个或多个数据包中的凭证，接收机-重新格式化程序1521从vuedb1524中提取源和目的地的识别信息。目的地信息可以包括wwan1502的apn所服务的一个或多个私有网络内的私有ip地址。或者，目的地信息可能包括唯一对应于其中一个m2m/iotue设备1531-1535的标签或名称，如url或uri，而不是ip地址。接收机-格式化程序将带有(示例中的发起方站设备1550或1555的)源信息和目的地信息的数据包转发到数据包源和目的地检查单元(“psdee”)1523。psdee检查数据包、源和目的地信息，并确定/确认目的地信息是否对应于源发起方ip站1550或1555的有效ue对等体1531-1535。如果是这样，则对应于目的地信息的私有ip地址从vuedb中检索。在从m2m/iotue设备进行初始通信的过程中，当设备通过wwan1502的apn首次投入使用时，vuedb可以预指配有ue1531-1535的私有ip地址，或ue的私有ip地址可以动态地建立。pass1520已经确定数据包有效(或已经确定数据包无效)之后，包过滤路由器或块元素1525将数据包转发到连接1504处的sgi或gi接口，或者如果数据包被视为无效，则数据包被丢弃。返回数据包通过ssl/tls网络协议栈传送回到原来的源发起ip站1550或1555。

继续图15的讨论，另一个可能的发起ip站是应用服务器1540，该服务器可能需要与多个ue设备1532-1535进行通信。在vuedb表格中，每个ue设备是分配给应用服务器的站群的一部分。应用服务器1540可以使用嵌入到应用程序中或与应用程序关联的tls/ssl堆栈，但如上所述，这样对需要访问多个无线ue设备的发起设备而言可能并不可取。根据本文公开的各个方面，由于tls/ssl凭证将不仅用于在发起方设备1540与pass1520之间建立安全通信会话，而且用于识别目的地无线ue设备，因此可能有必要将ue识别嵌入到本身作为用户数据的tls/ssl数据包中。虽然这项技术可能是可行的，但对于处理许多设备来说很麻烦。例如，为了解决多个ue设备1531-1535，对于发起设备1540，更可取的实现方法可能是使用ipsec安全，ipsec协议栈安装在发起应用服务器1540处，也可安装在与其关联的防火墙/路由器处。

互联网协议安全(ipsec)是指通过对通信会话中的每个ip数据包进行身份验证和加密来保护互联网网协议(ip)通信的协议组。ipsec包括在会话开始时，用于建立对等体之间相互身份验证的协议，以及会话期间需要使用的加密密钥协商。ipsec可以用于保护一对主机(主机到主机)之间、一对安全网关(网络到网络)之间或安全网关和主机(网络到主机)之间的数据流。ipsec使用加密安全业务来保护ip网络上的通信。ipsec支持网络层对等体身份验证、数据源身份验证、数据完整性、数据机密性(加密)和回放保护。ipsec位于osi模型的网络层，因此需要以特殊方式安装到操作系统中。

如图5所示，ipsec的一个显著优势是，ipsec在ip地址为10.15.16.25的主机508(或者如果ipsec协议栈安装在防火墙/路由器内，则在网络504)和网络506的远端安全网关之间创建隧道。隧道承载的数据流量需要经过身份验证和加密。其优势在于，通用tcp或udp流量可以在隧道内安全地传输。

现在参考图16，该图示出ip流量采用ipsec报头进行包装，无论是身份验证头还是esp头，esp头通常是ipsecvpn隧道配置中最常用的。通过ipsec，tcp或udp流量可以使用分配给ue的ip地址直接寻址到目的地ue。因此，在本文所公开的一个方面处理多个设备时，如图15所示，让应用服务器1540直接定址ue1531-1535将变得十分方便，为此，根据上述公开，在vuedb表1524中，会话身份验证凭证信息与一组ue设备中的每个设备关联。有效ue设备范围之外的消息可以被拒绝或丢弃，并且无法传递给无效定址的ue。

继续图15的讨论，ipsec网关1522的作用是对远端发起ip站即服务器1540的凭证进行身份验证和认证。一旦隧道建立，ipsec网关1522优选地将ip地址分配到发起ip站1540的接口。公用互联网1510的分配ip地址便于使发起ip站经由pass1520实际上“桥接”到本地网络1502。

当ip消息从发起ip站1540发送时，由陷入vuedb1524的psdee1523对一个或多个数据包内的安全ipsec凭证进行评估，以确定凭证是否记录在数据包内，以及是否与ue设备1531-1535关联。如果psdee确定，vuedb中包含从发起站1540发送的安全凭证的匹配项，数据包被视为有效地对应于与vuedb中设置的凭证信息或凭证关联的ip地址或标签，psdee利用包过滤路由器或块元素1525，通过位于私有网络连接1504处的sgi或gi接口，将数据包传递到无线网络1502。

因此，系统1500促进了ip消息向连接到wwan1502的ue设备1531-1535的几乎即时传递，而不需要ue处于持续连接的“数据连接”状态。然而，尽管pass1520可以使所有用户相互分离，但可取的做法是，在设备之间或设备与非相关应用服务器或非相关用户之间建立更高的安全级别。图17示出了图15的改进版本。

在图17中，pass1720通过接口连接到公用互联网1710，应用服务器1740、1750和1755；ue设备类似于上述图15所示的对应设备。然而，图17示出了ssl/tls/dtls安全网关1727，该网关作为pass1720的一部分，增加了包过滤器1725与ue设备1731-1735之间的安全性。

传统的无线网络具有准备配置，允许ue设备连接到apn，但阻碍了一个ue到另一个ue的连接。然而，应用于ue设备与pass1720之间连接的安全技术确保了可靠连接，从ue设备的角度来看，控制站不在通过无线网络上的“痞子”基站建立的欺诈性连接上运行。对wwan设备的选择性攻击已被证明通过建立假冒或“痞子”基站使设备通信失密，gsm/gprs/edge或lteue设备可能会附加到该基站上。一旦附加，wwan上的所有通信都可以通过中间人攻击进行监控，或由模拟控制器控制。从应用程序用户的角度(即连接到公用ip网络1710的发起设备)来看，建立到ue设备的安全连接确保了发送到或接收自ue设备的指令或数据是可靠而真实的，并且相对于发送设备所发送的原始消息，该指令或数据尚未修改。

优选地，从ue设备1731-1735或应用服务器1740、1750或1755到pass1720，安全隧道内包含的数据单独从ipsec和ssl/tls传输隧道进行加密，并在无线网络1702和公用互联网1710上使用。对数据单独加密意味着，pass1720内的数据不能在pass内失密。此外，如果数据被定向到很多应用服务器，例如对于从ue设备使用相同传输的不同应用程序，则单独的加密密钥(即，与用于基本通信隧道的密钥分离)可以允许完全的安全和分离。根据对分配给全局应用的安全密钥的了解，攻击者无法用欺骗手段控制或攻击ue设备。

单独的通信加密密钥将有益于iot解决方案，其中设备可能具有个别控制功能以及“大数据”收集功能。这方面的示例可能是电动车辆，其中驾驶员可能需要从其智能手机访问这种车辆的m2m/iotue(即，耦合到车辆通信总线的车载资讯系统设备)，以便了解充电状态或环境气氛预调节情况，但汽车制造商可能希望监测电池充放电特性，了解和估计电池寿命和更换需要。控制功能可能使用一个安全或加密密钥(即凭证或一组凭证)，而以车辆为中心的诊断程序可能使用第二安全或加密密钥。在这个示例中，pc、平板电脑或智能手机上的用户应用程序将具有一组安全或加密密钥，允许用户与具有以用户为中心的业务的车辆进行交互。汽车制造商将有一套不同的安全或加密密钥，使制造商能够与以制造商为中心的诊断程序进行交互，而不会通过暴露位置或其他与隐私有关的数据元素，损害驾驶员的隐私。在从ue设备到远端设备的整个传输过程中，贯穿整个网络的数据将进行加密，并且完全安全。显然，多个安全密钥允许在同一物理传输隧道内有许多安全虚拟传输“隧道”。通过适当的组织，pass可以作为基于wwan的iot设备的中央交换方式，安全地限制或控制ue设备的访问，并进行消息路由。

另一方面，发布订阅平台可以起到pass的作用，从而在互联网或载体sgi或gi接口(建立在pgw或ggsn的cxi侧)外部的私有网络之间起到接口的作用。此特定cxi连接到指定业务的特定指定apn。参照图13，lte网络1302的cxi在接口点1305处显示。发布订阅通信体系结构允许ue1306连接到总线、代理或点对点拓扑中的设备。

发布订阅模式是一种简单的轻量级消息传递协议，专为限定设备和低带宽、高延迟或不可靠的网络而设计。设计原则是尽量减少网络带宽和设备资源需求，同时也试图确保传递的可靠性和一定程度的保证。对于新兴的机器对机器(“m2m”)或iot连接型设备来说，发布/订阅协议的原则十分理想，其中带宽和电池电量都非常宝贵。

在软件体系结构中，发布订阅(“pub-sub”)是一种消息传递模式，在这种模式下，消息发送者(称为发布者)不对直接发送到特定接收者(称为订阅者)的消息进行编程。相反，发布的消息具有一定的特点，并分为多个类，而不知道可能有哪些(如有)订阅者。同样，订阅者对一个或多个类表示出兴趣，只接收感兴趣的消息，而不知道有哪些(如有)发布者。

在典型的发布订阅系统中，发布者设备将消息邮寄到中间消息代理或事件总线，订户者设备与该代理注册订阅，让代理执行消息过滤。代理通常执行存储和转发功能，将消息从发布者设备路由到订阅者设备。此外，在路由之前，代理可以在队列中对消息进行优先排序。在一些较流行的发布订阅系统中，订阅者也是客户端/服务器上下文中的客户端，因此，客户端发起服务器连接。通常，订阅者是对等体，连接是从中间消息代理发起的。如果中间消息代理仅在存在特定订阅者消息时发起连接，则需要优化带宽、功率和传递速度。

当使用发布订阅平台执行pass的一些功能时(尽管并不需要)，最好是实施加密和身份验证，以防消息代理向错误的客户端发送消息，并防止未授权的发布者将错误或破坏性消息引入到发布/订阅系统中。尽管加密和身份验证可以防止未经授权的访问，但它不能阻止发布者设备(一般有权使用发布订阅平台)引入破坏性消息。如果所述发布订阅平台在不同的运营商或不同的应用程序中共享，则安装一个系统将变得非常重要，此系统用于使各种ip发起者互相分离，并阻碍ip发起方访问ip发起方生态系统以外ue设备(即，防止来自ip发起方设备的消息到达ue设备，这些ue设备并不作为来自发起设备的消息‘订阅者’而被关联)。重要的是，要将消息发布和订阅控制在仅限于特定群内的m2m/iotue设备。

发布订阅平台是众所周知的系统，这些系统在多种不同的变异中运行，这些变异可以用于有利地执行pass功能。其中一种变异是清单式系统，它根据订阅清单传递事件或消息。另一种变异是基于内容的系统，它允许订阅者确定可能发布的消息的适用性。第三种变异虽然不适用于m2m设备，但却是基于广播的系统，它可以将消息发送到网络上的所有设备。消息一旦传递，订阅者就可以决定消息的适用性。这种变异可能会浪费相对昂贵的数据带宽，向不感兴趣的‘订阅者’传递内容。

一个方面将消息从发布订阅平台直接传递到附加的无线ue设备。虽然有些发布订阅系统可能取决于订阅者(即ue)或客户端(即发起站，如图15中的设备1540、1550或1555)，以发起与发布订阅平台/服务器的通信，客户端最好作为发布者发起通信，基于接收自发起设备/发布者的安全凭证，发布订阅服务器从ue设备1531-1535等感兴趣‘订阅者’的表格(例如图15所示的vuedb1525)访问ip地址。无论ue设备/订阅者设备是否连接到“数据连接”状态下的无线系统，发布订阅服务器可以发起与ue设备‘订阅者’的通信，使他们收到从发起设备发送的订阅消息。

该系统优选地使用除ip地址以外的标识符来标识发布者和订阅者。这就提供了所需的灵活性(如果ip地址变更)。可能的情况是，“固定分配”的ip地址与发起设备应用服务器中的表格中的设备并不关联，但ue在激活后可以通过发布订阅服务器，提供到ip发起方应用服务器的ip地址映射。然而，发布订阅服务器优选地映射具有m2m/iotue设备ip地址的发布者id和订阅者id/标签。在图15所示的vuedb1524等表格中，此地址映射可能会出现。

在一个方面，所有通信栈和软件都可以从外部包含到m2m/iotue传感器设备、处理器、计算或收集器设备中。可以设想，无线调制解调器或通信收发器或其他通信平台使用任何通信总线技术连接到传感器设备，包括但不限于usb、以太网、i2s、i2c、rs-232串口、rs-485串口、并口、雷电接口、sata、光纤、wifi、z-wave、zigbee或连接到传感器平台的任何其他通信信道(无论是当前设计还是未来设计，有线还是无线)，并包含所需软件或硬件的任何组合，以实现安全的远程连接。

本文公开的各个方面考虑到将软件添加到传统的无线usb调制解调器中，调制解调器通常附加到终端用户的计算机上，以发起传出动作请求消息，例如用于远程访问wwan和无线互联网的请求连接消息，所述的添加软件支持对来自pass平台的特定传入连接进行安全监视的能力，所述的添加软件可选但优选地包括身份验证、加密和认证软件，同时允许所述无线usb调制解调器使其他方面不安全和未连接的设备连接到wwan上的其他计算机、平台、应用服务器和终端用户，并与它们共享数据。所述usb调制解调器可以支持或可能不支持ue发起的通信，并且可以支持或可能不支持对这些传出连接上的数据进行身份验证、加密和认证。

参照图18，该图示出了流程图，该流程图示出了方法1800，当公用网络的设备不能访问私有网络设备的ip地址时，该方法用于将公用网络的请求设备连接到私有管理网络的设备。当做出决定或动作发生时，在与公用网络有网络连接的发起设备处，方法1800在步骤1805处开始，以请求设备动作，该设备具有到私有通信网络的网络连接。在发起设备/应用服务器上运行的应用程序生成了请求消息，并发送到私有连接型设备，该设备可能是连接到无线通信网络的ue，其中，连接到无线网络的ue具有到私有ip网络等私有网络的网络连接。在步骤1810中，发起设备向ue设备发送请求消息，旨在使ue设备采取行动，其中，这样的行动可能是为了要唤醒，连接到私有网络，发送信息作为回复消息，或将指令发送到耦合到ue设备的传感器或执行器(如车门解锁执行器或车辆暖通空调(hvac)系统)。发起设备将消息作为一个或多个ip数据包发送到目的地地址，或资源定位符(如统一资源定位符(对应于具有连接的pass服务器)，无论是物理的、逻辑的还是虚拟的)，并发送到私有网络和公用网络。动作请求消息通常包括一套身份验证/安全凭证，其中可能包括用户名/密码、预共享密钥或公用密钥、公用/私有密钥对等，可用于从发起设备创建安全的路径或隧道。

在接收到动作请求消息之后，在步骤1815中，pass评估了动作请求消息，并使所述的一组安全凭证与构成动作请求消息的一个或多个数据包进行隔离。pass可以使用动作请求消息中接收到的凭证，从发起设备开始，实现安全会话或安全数据隧道。

此外，pass使用接收自发起设备应用程序的所述一组凭证，在步骤1820中，在可能与凭证关联的vuedb中查找记录。在发起设备上运行的应用程序可能已经根据它正在寻求通信的设备标签，选择了随动作请求消息一起发送的凭证(自动地，或者响应用户可能使用应用程序或设备的用户界面手动做出的选择)。vuedb中的记录优选地在包含凭证的字段上编入索引，并且每个记录优选地关联对应于ue设备的信息，包括ue设备的ip地址或url，该信息已从私有管理网络(ue是该网络的一部分)的一系列私有ip地址分配给ue设备。vuedb中的记录可能包含与ue相关的数据的其他字段，如：ue可成为其中一部分、耦合到和实施控制的设备，ue作为其中一部分的网络类型，它所支持的安全协议类型等。

在步骤1825中，如果pass确定，记录并不在vuedb内，vuedb具有凭证信息，与步骤1810中发送的动作请求消息中包含的凭证匹配，则方法1800进行到步骤1845结束。

然而，在步骤1825中，如果pass确定，记录在vuedb内，vuedb具有凭证信息，与步骤1810中发送的动作请求消息中包含的所述凭证集合匹配，则基于动作请求消息中收到的凭证，pass可以在步骤1830中建立与发起设备的安全会话或隧道。在步骤1835中，来自发起设备的数据包从vuedb转发到或向包含在记录中的私有ip地址转发，vuedb具有凭证信息，该信息匹配步骤1810中发送的请求消息中由pass接收的凭证集合。在步骤1840中，ue在其私有ip地址接收到发起设备的消息包，并执行可能已被列入动作请求消息的任何动作，所述动作可能像使ue转换到“ecm连接”状态那样简单，以连接到私有网络，其私有ip地址作为该私有网络的一部分。

图19示出了pass系统所使用的典型vuedm数据库模式1900，该系统类似于图17所示的pass。该模式的实现有利于在使用ssl/tls/dtls或ipsec访问控制的系统中运行pass，其中凭证可以用来识别连接型终端用户互联网发起方设备1750、1755或1740。在优选实现中，每个互联网发起方设备具有唯一的发起方设备id和发起方预共享密钥【psk】，用于识别和验证经由互联网进入pass的安全vpn连接。发起方id成为进入1910所示的可能互联网发起方清单的数据库访问密钥，vuedb中的清单优选地在发起方id字段上编入索引。每个互联网发起方将有单独的对应记录，该记录采用了块1930所示记录的模式。块1930显示了每个记录，其中包含与每个有效发起方关联的发起方id、发起方psk、ip地址或统一资源标识符【uri】，它可能是一串字符，用来标识资源或url以及有效的目的地用户设备id。这一方面有利于pass基于发起方设备的访问凭证，授予单个ue发起方访问权限。必须考虑的一点是，pass可以将发起方设备的安全凭证(如预共享密钥)作为发起方id使用。

在1920中显示的每个用户设备记录包含必要的安全凭证，以识别和验证目的地设备。每个用户设备id是唯一的，它对包含psk、ip地址或uri和有效发起方id的记录进行识别。用户设备记录布局显示在1940中。本系统设计的创建旨在使公用互联网中的一个设备与私有无线apn网络中的一个设备进行基于发起方设备的一组凭证的通信。

如上所述，模式1900包含对应于发起方设备的记录，这些发起方设备可以连接到公用通信网络，如公用互联网或万维网。模式1900还显示了多个ue记录，这些记录对应于多个无线ue设备，这些设备可以连接到对应于给定apn的私有网络，无线ue设备可能作为该apn的一部分，因此，所述记录具有私有网络的网络地址，这些地址分配给给定apn网络(给定的apn对应于私有网络，并且是网络节点的接入点名称，通常是网关，使流量在私有网络与一个或多个其他网络之间通过)的ue设备。记录1930示出了对应于特定公共网络连接型设备的典型记录的示例，该设备具有任何一个记录1910(1-n)，例如膝上型计算机、无线手写板、无线智能手机、台式个人计算机、企业服务器计算机等。记录1930可以包括与所述多个发起方设备之一关联的发起方标识符1932，所述多个发起方设备之一对应于多个记录1910之一。发起方记录1930通常还包括相应发起方设备的预共享密钥信息，对应于特定发起方设备的公用通信网络的公用ip地址1936(而不是ip地址字段1936，可能包括标签，如url)。而且，记录1930包括允许目的地设备字段1938，其中含有对应于可以连接到给定私有管理网络的ue设备的信息，通过该ue设备，使特定的发起设备事先就已经在vuedb中关联。字段1938中的此类信息可以包括分配给用户设备装置的名称、唯一标识符或地址。必须考虑的一点是，vuedb可能包含一组发起方记录1930，其中包括一个以上记录，在字段1932中，该组中的每个发起方记录具有相同的发起方id。这些记录可能存在，它们可用于关联具有相同发起方设备的多个ue设备(即，字段1938中识别的不同目的地设备)。在这种情况下，pass可能会执行图18所示的步骤1820-1835，使字段1932、1934或1936中的信息与接收自发起消息的动作请求信息包中的信息匹配，如步骤1810中发送的请求连接消息包，如图18所示。

继续参照图19，目的地用户设备记录1940示出了任何一个记录1920(1-n)可能包括的数据字段细节。用户设备id字段1942包括用户设备装置标识符。这种标识符通常对应于ue设备，ue设备是对应于给定apn的私有通信网络的一部分。如果pass设备/系统确定，在传入请求消息中接收的、与公用网络发起设备关联的发起方设备信息(如安全凭证信息)和其中一个记录1910之间存在匹配项，则pass对匹配记录的目的地设备字段1938中的信息进行评估，以确定来自记录1920的用户设备记录1940具有记录1940的用户设备id字段1942中的信息，记录1940与记录1930的字段1938中的信息匹配，以供进一步处理。pass可以执行此操作，确定目的地用户设备记录1940，该记录与步骤1825中来自发起记录1930的信息匹配，如图18所示。在确定一个或多个记录1920与对应于一个发起方记录1910的记录1930的发起方信息匹配之后，pass通常会将发起方设备的传入消息(对应于记录1930)转发到对应于用户设备私有ip地址/url字段1946中所含信息的ue设备。有效的目的地字段1948可由ue设备用于从ue向发起方设备目的地发起通信。

现在请参照图20，该图示出了可在pass系统中使用的数据库模式2000，其中，发布订阅代理用于pass功能和消息路由。与上述参考图19的ssl/tls/dtls或ipsec方面相比，发布订阅/pass方面的区别特征在于，发起方设备可以使用发布订阅模式，方便而安全地与多个设备通信。如图20所示，模式2000显示了与互联网发起方和用户设备装置对应的两组记录。块2010显示了对应于发起方设备的记录的结构，块2020所示的结构包含一个或多个用户设备装置的记录。

互联网发起方设备记录2010的结构类似于用户设备记录2020的结构，因为每个结构都包含有效的发起方id或用户设备id，这取决于记录是发起方记录还是ue设备记录。每个记录还包含各自的psk2011或psk2021，对应于关联的发起方设备或关联的用户设备装置；当使用ssl/tls/dtls或ipsec会话进行通信时，使用预共享密钥可能是首选。每个发起方设备记录2010或用户设备装置记录2020包含其对应设备的、在各自发起方id2014或2024中给定的ip地址或uri(2013或2023)。与存储在图19所示记录1930和1940中的数据一样，必须考虑的一点是，图20所示记录2010和2020中的数据已经由私有管理网络运营商信任的pass运营商在vuedb中预先建立并预先存储。该私有网络的运营商通常向pass运营商提供了有效的发起方设备凭证，并包含在记录2010(或记录1910，如图19所示)中。预建立和预存储发生在pass之前，在来自发起设备的发起动作请求消息中，基于发起设备的安全凭证，无论是ssl/tls实现的pass还是发布订阅实现pass，都可以提供从公用网络的发起设备到私有网络一个或多个ue的连接，在发起动作请求消息中，不包含私有网络的目的地设备网络地址。这有助于经由代理进行消息传递，目的地指向一个或多个当前不具有活动数据连接的用户设备装置(即“ecm空闲”状态下的lteue设备)。记录2010和2020分别包含一个或多个主题规则2015和2025，发布订阅pass平台可以用它们来确定一个或多个私有网络，以发布消息，或基于一个或多个ue设备可以订阅的一个或多个主题规则2025，确定一个或多个ue设备，以发布消息。每个主题规则可以对应多个私有网络其中之一，例如给定私有网络的所有设备可以订阅主题规则2015的主题规则3。或者，主题规则可以对应多个ue设备中的一个或多个，无论是在私有网络内，还是在一个以上私有网络之间分布。例如，只有一个ue设备可以订阅主题规则3，从而发布订阅pass仅将发起方发布的消息作为主题规则3转发至具有订阅了主题规则3的ue的网络；或者，如果所有ue都订阅了主题规则3，则发布订阅pass可能会将发布到主题规则3的消息转发至多个网络中的ue。2030中显示的每个主题规则识别了发布订阅主题，以及设备(无论是互联网发起方还是用户设备)是否被允许/预先配置成读取(或订阅)、写入(或发布)或读取和写入。在常规的发布订阅环境中，ue设备通常会连接到发布订阅代理，以接收消息。在发布订阅代理作为pass使用的环境下，发布订阅代理使用对应于发起方设备的ip地址/uri2013(或者一组安全凭证)来触发传递消息，表明ue对应ip地址2023的特定主题规则已经订阅了特定主题规则。