动态实现防火墙例外的基于需求调节的系统的制作方法

相关申请的交叉引用

本申请是于2015年11月4日提交的题为“systemfordynamicallyimplementingfirewallexceptions”的美国专利申请序列第14/932,159号的部分继续申请，其全部公开内容通过引用并入本文。

声明：联邦政府资助研究/开发

不适用。

本公开内容总体上涉及数据通信，并且更具体地，涉及用于在飞行器和其他交通工具上提供数据通信服务时动态实现网络防火墙例外的基于需求调节的系统。

背景技术：

航空旅行通常涉及至少需要几个小时才能完成的长途的旅程。一些较长的直飞国际航班安排的持续时间超过16小时，行程距离超过一万英里。机上乘客在飞行的整个持续时间被限制在指定座位的封闭空间内，只有少数有限的机会离开座位以使用洗手间等。因此，即使是最短的行程，航空公司乘客也有一些空闲时间，乘客可以用工作、休闲和/或休息来占用这些空闲时间。

因此，航空公司提供机载飞行娱乐(ife)系统，其提供用于乘客享受的各种多媒体内容。最近发布的电影是受欢迎的观看选择，电视节目如新闻节目、情景喜剧和单人表演喜剧、纪录片等也是受欢迎的观看选择。还经常呈现关于目的地的有用信息，例如，机场离舱程序、移民和海关程序等。还可用纯音频节目，通常包括适合于通俗主题或类型的歌曲的播放列表。同样，纯视频内容如飞行进度映像、飞行状态显示等是可用的。许多飞行娱乐系统还包括可以由乘客玩的视频游戏。

虽然机舱安装的ife系统仍然是受乘客欢迎的选择，但是越来越多的乘客选择带上他们自己的便携式电子装置(ped)，如智能电话、媒体播放器、电子阅读器、平板电脑、膝上型计算机等乘机。这些装置通常下载有用户选择的音乐、视频、游戏和其他多媒体内容，然而在飞行期间，这样的装置大多充当与ife系统相同的角色，以使用户在飞行期间保持娱乐和以其他方式打发时间。

然而，一部分乘客还存在更有效使用ped的需求，这通常需要访问因特网。例如，ped可以在其上安装各种电子邮件和即时通讯客户端应用、股票交易应用、银行应用、文件共享应用、基于云的笔记应用以及无数其他办公软件。此外，可以存在具有在行程期间特别有用的功能的专用应用，例如旅行和连接飞行/登机口跟踪。同样受欢迎的是不必与办公相关但仍需要因特网访问的应用，例如体育比分更新、基于文本的新闻等。

航班上的因特网访问通常经由ped所连接的机载wifi网络提供。在这点上，可以存在位于整个机舱的若干wifi接入点，每个接入点连接至与卫星通信的卫星上行链路模块。卫星又可以与连接至因特网的地面站进行通信。

由于卫星下行链路的带宽受限(因为其对于航空公司来说是昂贵的)，所以可以仅向付费客户提供因特网连接。一种模式是基于订购的模式，其中，对于每月访问时段支付固定费用。这样的计划可能更适合频繁的旅行者。可替选地，可以在每次飞行、每日、每小时或其他时间限制的基础上进行短期访问以换取较低费用的支付，尽管通常以每单位时间较高的货币率进行访问。

在一些ife实现中，ped可以连接至wifi网络，而无需访问基于卫星的因特网链路。一种应用是从机载内容服务器检索多媒体内容和相关数据(例如针对回放所需的数字版权管理密钥)，用于在飞行期间通过ped消费。沿着这些线路，ped可能需要访问本地网络上的登录网页，通过其可以提交对因特网访问的支付，以及在被允许访问因特网之前输入对航空公司和数据链提供商的条款和条件的接受等。

因此，wifi接入点可以与防火墙协作，该防火墙根据接入/订购费用的支付来选择性地限制和允许来自特定ped的对因特网的访问。例如，防火墙可以开始倒计时定时器，以用于在预定持续时间内允许特定ped访问因特网，例如允许至ped和来自ped的数据传输，并且在定时器期满时阻止至ped和来自ped的进一步的数据传输。

目前，所有上述ped应用都是围绕以下假设而开发的：因特网访问是可用的或者将可用，以及如何获得访问的选择被留给用户和底层服务提供商。当因特网访问不可用时，涉及更新或刷新数据的任何功能停止，只呈现预存储的数据。为了在这样有限的持续时间内最大化购买因特网访问的价值，客户将需要考虑ped上将需要这种访问的其他可能的应用，并且平衡从其获得数据或信息的益处与访问成本。通常，这种成本效益计算导致乘客在飞行期间简单地不使用这些应用，并且将ped降级到用于预存储内容的基本消费装置。即使在最低的价格点，乘客通常也不为连接而付费，除非可以从雇主等进行报销。

从应用提供商的角度来看，对于应用使用的每个实例都可能有大量回报，特别是对于自由受限制的观众，如航班上的乘客。例如，在购物应用中，每次购买可以使应用提供商净赚销售价格的一定百分比。一个更间接的示例是连接网关检查应用，其中，能够根据需要访问状态信息在一定程度上产生信心和忠诚度，以在将来更有可能购买该应用的付费升级，以及其他这样的无形回报。

安装在机载防火墙上的白名单的使用(其中应用提供商支付要包括在其上的费用)是用于限制对特定站点的因特网访问的一种可能性。然而，这种方法存在几个限制。典型的因特网服务是指提供内容和/或服务的二级域或统一资源定位符(url)，并且进而这些二级url可以指代另外的三级url。维护这样的白名单是具有挑战性的，因为主url和二级url之间的关系以及二级url和三级url之间的关系不断演进，并且必须被记录在白名单中。根据破坏的url的发现，建议更新和将这些更新应用于白名单是繁琐的多步骤过程。通常，白名单实现具有重大失控的成本风险，特别是在许多航班和许多使用的情况下。可能无法基于每个应用给应用服务提供商开帐单，因为可能无法跟踪由多个应用共享的二级url的业务。

因此，本领域需要在不依赖于购买因特网访问的乘客或客户的航班上扩展在ped上基于因特网的应用的使用。本领域还需要在机载防火墙上进行改进的特定于应用的控制，来替代诸如难以维护的白名单的广泛且不精确的访问定义。另外，本领域中需要因特网访问提供商对机载防火墙的特定于应用的控制行使最终权限，以便不劣化付费客户的连接，同时还增加分配，以鼓励在非高峰时间期间的更高的使用率。

技术实现要素：

本公开内容涉及使得安装在ped上的任何基于因特网的应用程序能够选择性地激活飞行中的因特网连接，并且将成本转嫁到应用程序提供商，而非要求乘客购买访问。还根据网络容量等因素来进一步调节因特网连接的激活。根据各个实施方式，应用程序提供商做出打开机载防火墙的实时决定，并且阻止乘客做出购买因特网访问的决定。明确构想的是，乘客不需要被提醒带宽/访问成本。因此，如果存在足够的可用性而不降低对订购用户的服务，则应用程序提供商可以选择性地启用去往和来自他们愿意支付的飞行器的因特网业务。此外，在减少使用率的时段期间，可以免费提供因特网访问的样本。

本公开内容的一个实施方式是一种在机载网络和/或地面网络防火墙中动态实现例外的系统，其用于将飞行器上的数据通信网络上的一个或更多个客户端装置经由卫星通信链路连接至远程网络节点。连接由远程应用程序服务进行部分地授权。可以存在接收来自一个或更多个客户端装置的数据链路请求的客户端应用程序接口。另外，可以存在可以包括防火墙接口、客户端存在管理器和网络负载管理器的机载连接管理器。防火墙接口可以连接至机载网络防火墙，以在从客户端装置感测到应用程序业务时请求例外。可以在数据链路请求之后激活和保持一个或更多个客户端装置的存在状态。该系统还可以包括连接至远程应用程序服务并且与机载连接管理器通信的远程连接管理器。远程连接管理器可以基于以下来生成连接授权请求：针对由远程应用程序服务设置的一个或更多个条件对一个或更多个客户端装置的存在状态进行评估。响应于从远程连接管理器接收到连接授权请求以及对一个或更多个访问许可条件的评估，网络负载管理器生成对防火墙接口的连接授权。

在另一实施方式中，客户端和客户端存在管理器之间的api集成可能不是必要的。应用程序提供商可以在其特定窗口期间选择性地对从搭乘特定航班的所有客户端装置到其网络交易平台(internetpresence)的连接进行授权。连接管理器可以启用到可以不修改并且是商业现成(cots)的特定应用程序的连接。替代乘客调用应用程序以触发逻辑来启用因特网连接，机载系统可以利用蓝牙低功耗(ble)信标通知，以便主动地提醒客户端装置如被授权的因特网连接的可用性。

本公开内容的另一实施方式是用于将连接权拍卖给应用程序提供商组内的最高投标者的系统。在该实施方式中，应用程序提供商不仅偿还航空公司在乘客使用他们的应用程序期间产生的卫星通信带宽消耗费用，而且应用程序提供商还向航空公司支付特权的费用，以使那些乘客能够使用他们的应用程序。

当结合附图阅读时，通过参照以下详细描述将最佳地理解本公开内容。

附图说明

关于以下描述和附图将更好地理解本文公开的各种实施方式的这些和其他特征和优点，其中，贯穿描述和附图相同的附图标记指代相同的部件，并且在附图中：

图1是示出其中根据各种实施方式的可以部署用于动态实现防火墙例外的本系统的环境的图；

图2是用于动态实现防火墙例外的基于api的系统的各种部件的框图；

图3a是示出基于api的系统的相关部件以及这些部件之间的典型数据传输交互的数据通信顺序图；

图3b是示出不需要客户端api集成的防火墙系统的交互的数据通信顺序图；

图4a是示出其中乘客个人电子装置(ped)跨各种网络无缝连接到因特网的系统的示例性实现的概述的框图；

图4b是示出进一步并入座椅靠背客户端的系统的另一示例性实现的框图；

图5是具有关于基于乘客简档和投标引擎的允许或拒绝访问上游网络连接的附加的细化级别的系统的实施方式的框图；以及

图6是根据本公开内容的各种实施方式的示例性网络负载管理器的框图。

具体实施方式

以下结合附图阐述的详细描述旨在作为用于动态实现防火墙限制的系统的若干当前构想的实施方式的描述。该描述不旨在表示可以开发或利用所公开的本发明的实施方式的唯一形式。该描述阐述了与所示实施方式相关的功能和特征。然而，应当理解，相同或等同的功能可以由也旨在被包括在本公开内容的范围内的不同实施方式来实现。还应当理解，使用诸如第一和第二等的关系术语仅用于将一个实体与另一个实体区分开，而不必要求或暗示这些实体之间的任何实际的这种关系或顺序。

图1是结合本公开内容的实施方式使用的飞行器10(在本文中通常被称为交通工具)以及选择子系统及其部件的简化图。在飞行器10的机身12内，可以有布置在多行16上的座椅14，每个座椅14容纳单个乘客。虽然将在飞行器10的上下文中描述本公开内容的特征，但这仅是示例性的而非限制性的。当前公开的用于动态实现防火墙例外的系统可以在任何其他上下文中酌情使用。

一个或更多个乘客可以在飞行期间使用便携式电子装置(ped)18。根据一个实施方式，本公开内容通常构想的是，以用户在地面上时习惯的方式(例如使用数据连接)来使用这样的ped18。为了本公开内容的目的，ped18指智能电话、平板计算机、膝上型计算机和包括执行预编程指令以在显示器上生成各种输出(采用控制指令的执行的输入)的通用数据处理器的其他类似的装置。尽管这些装置最常由乘客自己带到飞行器10上，但是承运商也可以将它们提供给乘客以供临时使用。

飞行器10包括：机上娱乐和通信(ifec)系统20，其除其他功能外还提供这种连接。更详细地，ifec系统20包括数据通信模块22。几乎所有常规ped18具有wlan(wifi)模块，因此ifec系统20的数据通信模块22包括wlan接入点22a。ped18可以经由机载wlan网络连接至ifec系统20，以访问其上提供的各种服务，例如内容下载/观看、购物等。

ifec系统20还可以向连接的ped18提供因特网访问。一种构想的与ifec系统20一起操作的模态是卫星模块24，其建立到通信卫星28的数据上行链路26。根据一个示例性实施方式，数据上行链路26可以是ku波段微波传输。然而，在不脱离本公开内容的情况下，也可以使用任何合适的通信卫星28，如国际海事通信卫星(inmarsat)或铱星(iridium)。传送到通信卫星28的数据被中继到卫星通信服务提供商30。在通信卫星28和卫星通信服务提供商30之间建立数据下行链路32，卫星通信服务提供商30进而包括连接至因特网36的网络网关34。如本领域普通技术人员将认识到的，存在经由因特网36可访问的许多服务器，尽管在本公开内容的各种实施方式中，ped18连接至特定应用程序服务器38以访问其上的服务。在另一个实施方式中，替代用于远程连接的卫星模块24或者除了用于远程连接的卫星模块24之外，飞行器10可以配备有蜂窝调制解调器。

ped18被理解为经由wlan接入点22a连接至ifec系统20，wlan接入点22a将数据传输中继到卫星模块24。数据通过数据上行链路26被传送到通信卫星28，并且卫星通过数据下行链路32将数据中继到卫星通信服务提供商30。网络网关34然后将传输路由到因特网36，并最终到应用程序服务器38。从应用程序服务器38到ped18的数据传输被理解为遵循相反的过程。由于与传递给数据上行链路26和数据下行链路32的用户的通信卫星28相关联的高成本，所以航空公司可以利用防火墙40限制去往和来自卫星模块24的数据业务。

应当理解，防火墙40可以是包括以下的任何常规网络装置：建立机载局域网的到数据通信模块22的下游网络连接，以及到卫星模块24的上游网络连接。防火墙40可以取决于某些管理上定义的条件选择性地阻止或允许经由机载局域网连接至其的特定装置接入上游网络连接，例如卫星模块24。例如，可以设置规则/例外以允许已经支付订购费用的特定ped18之间的业务，同时限制尚未订购的其他ped18。此外，某些网络节点目的地可能被阻止为不适合在公共网络上访问。这些规则/例外可以被激活达设定的持续时间，例如，当用户购买一小时的访问、整个飞行的访问等时。本领域普通技术人员将认识到，可以通过根据特定于防火墙40的语法定义这样的规则/例外来设置用于上游数据业务的许多其他规则/例外。在这点上，尽管语法可以取决于防火墙40的具体实现而不同，但是规则/例外的逻辑被理解为适用的，而与实现无关。因此，就根据特定于给定防火墙40的语法来描述这种规则/例外来说，应当理解，这仅是示例性的而不是限制性的。

乘客可以利用通过ifec系统20提供的服务的另一种可能的方式是单独的座椅靠背模块，其通常包括终端单元42、显示器44、音频输出端46和遥控器48。对于座椅14的给定行16，终端单元42和音频输出端46设置在其所设置的座椅14上，但是显示器44和遥控器48可以设置在其所设置的座椅14前面的行16上。也就是说，显示器44和遥控器48安装在座椅前面的排的座椅靠背上。这仅是示例性的，并且其他显示器44和遥控器48安装和访问配置例如安装到座椅14的扶手上的可伸缩臂等，或通过安装在舱壁上的可伸缩臂等。

显示器44被理解为常规的液晶显示器(lcd)屏幕或其他适于安装在座椅靠背上的不引人注目的类型。每个乘客可以利用由航空公司或乘客提供的单独的头戴式耳机50，其提供更私人的收听体验。在所示实施方式中，音频输出端46是作为标准的环/尖/套筒插座的耳机插孔。如图所示，耳机插孔可以设置在显示器44附近或座椅14的扶手上。耳机插孔可以是具有噪声消除的有源类型并且包括两个或三个插座，或者是没有噪声消除的标准音频输出端。在替选的实施方式中，每个显示器44可以包括终端单元42，以形成在本领域中称为智能监视器的显示单元。

安装在飞行器上的终端单元42的常见用途是回放各种多媒体内容。终端单元42可以用通用数据处理器来实现，所述通用数据处理器对与多媒体内容对应的数据文件进行解码，并且分别针对显示器44和音频输出端46生成视频和音频信号。多媒体内容数据文件可以存储在与ifec系统20相关联的一个或更多个储存库中，并且每个座椅14的终端单元42中的每个可以通过有线局域网52(优选地可以是以太网)与其连接。除了包括用于ped18的接入点的上述数据通信模块22之外，还存在以太网数据通信模块22b。更具体地，以太网数据通信模块22b被理解为以太网交换机或路由器。

在最常见的使用场景下，终端单元42向ifec系统20发起对多媒体内容的请求，在ifec系统20处存储这样的内容。数据通过有线局域网52传送至请求的终端单元42，因此大多数数据业务保持本地。然而，存在构想的若干附加应用程序，其可以依赖于到因特网36的连接，在这种情况下，数据被传递到卫星模块24，只要防火墙40以与上述关于wlan网络以及源自ped18的请求相同的方式已经为此授予了许可。本公开内容(其部分地涉及实现防火墙40的规则/例外)被理解为，适用于调节来自飞行器安装的终端单元42(除了前文所提及的ped18之外)的数据业务。

参照图2的框图，根据各种实施方式，一个或更多个客户端应用程序54安装在ped18上。在本公开内容的上下文中，通过客户端应用程序54向ped18的用户呈现信息或其他交互性被理解为，涉及从诸如连接至因特网36的应用程序服务器38的远程源检索数据。

并非由ped18的用户为访问上游网络连接(例如卫星模块24)的特权付费，应用程序服务器38可以替代地提供补贴卫星因特网连接的费用，使得可以以预期的方式使用客户端应用程序54。可以由应用程序服务器38设置以下条件，在该条件下允许ped18的用户访问卫星模块24，以与应用程序服务器38或机载网络外部的任何其他节点进行事务处理，并且授权允许去往和来自ped18的数据业务被理解为来源相同。授权过程可以保持对ped18的用户隐藏，因为没有使用请求来提示用户以允许用于访问的费用，或者甚至使用户意识到可能存在与访问相关联的成本。因此，设想的是，客户端应用程序54在飞行因特网连接和在地面上可用的常规因特网连接(例如公共/私人/商业wifi网络、蜂窝网络等)之间无缝地起作用。

当典型的客户端应用程序54尝试执行要求连接至诸如应用程序服务器38的远程服务的功能时，调用作为ped18的一部分的较低级数据通信协议栈，并且建立链路的细节可以相对于客户端应用程序54的主要功能而被抽象出。然而，当协议栈尝试通过机载网络建立链路时，前面提到的防火墙40(在本文也被更一般地称为访问控制器)可以限制这样的连接尝试，或者由于超过对于该特定ped18的授权，或者由于不存在的上游网络节点(或两者)。在这点上，如图3a所示，按照顺序步骤1000，确保向特定ped18打开数据上行链路26的授权的步骤可以开始于客户端应用程序54利用其本地协议进行请求。

ped18还在其上安装了连接应用程序编程接口(api)56，客户端应用程序54可以调用连接应用程序编程接口56，以尝试建立到因特网36的替选网络连接，并且具体地到应用程序服务器38的替选网络连接。这可以在顺序步骤1002中发生，其中，由客户端应用程序54生成对api56的请求。作为响应，在顺序步骤1004中，api56可以带回与当前航班有关细节的报告。这包括如下这样的信息：ped18的用户当前正在飞行的航空公司、ped18的用户当前飞行航班的航班号、该飞行的目的地、该飞行的始发/出发点、该飞行的预期到达时间以及该飞行的出发时间。另外，可以报告卫星上行链路连接状态以及数据上行链路26和/或数据下行链路32的束流负载(currentbeamload)。利用返回的飞行细节数据，客户端应用程序54根据顺序步骤1006直接地或通过api56完成与机载连接管理器58的注册过程。通过该注册过程，可以记录所分配的因特网协议地址以及与ped18有关的其他细节。

在整个飞行中，api56可以周期性地按照顺序步骤1008更新飞行细节数据。客户端应用程序54保持与机载连接管理器58进行通信，以提供关于ped18的存在状态59。存在状态59被理解为包括上述飞行细节数据以及与用户或ped18有关的其他数据，如机载网络地址分配。在一个实施方式中，存在状态59可以与可扩展通讯和表示协议(xmpp)共享。如上所述，乘客可以为因特网连接预付费，并且由于应用程序服务器38不需要专门授权防火墙40以允许访问卫星模块24，所以存在状态59还可以包括订阅者状态数据。

在顺序步骤1010a中，将ped18的存在状态59从客户端应用程序54直接或通过api56传送到机载连接管理器58。从机载连接管理器58，在飞行器本地网络上的ped18的其他存在状态被汇总，并且在顺序步骤1010b中被传送到远程连接管理器60。因为用于传送存在状态59的成本可能不能分配给特定应用程序服务器38，所以它可以由航空公司承担。构想在单个传输中汇总多个存在状态，以最小化该成本负担。

机载连接管理器58通常包括客户端存在管理器62，并且保持、汇总和传送存在状态59的前述功能被理解为由此执行。另外，机载连接管理器58包括防火墙接口64，其细节将在下面更全面地描述。如本文所述，客户端存在管理器62和防火墙接口64被理解为被实现成ifec系统20上的持续活动的软件模块或部件，其接收输入、处理那些输入并且生成响应输出。基于本文所描述的功能，本领域普通技术人员将认识到可以编写这样的软件的各种方式。客户端存在管理器62和防火墙接口64之间的逻辑分离仅是作为示例而不是限制来呈现的，并且在不脱离本公开内容的情况下，到不同逻辑单元中的任何其他合适的功能分离的是可用的。

当存在状态存储在远程连接管理器60中时，应用程序服务器38可以对其访问。由应用程序服务器38设置的某些条件被理解为管理由ped18许可或拒绝对卫星模块24的访问。更详细地，在存在状态59中的航空公司的标识可以用于确定是否存在任何管理因特网访问许可的推广或协议。此外，航班号、出发地位置、目的地位置可以帮助供应商将特定人群作为目标，或者将对应用程序服务器38的访问限制到某些位置。飞行的阶段(开始、中间或结束)可以帮助聚焦在此时乘客会最感兴趣的产品。沿着这些线路，剩余飞行持续时间和连接窗口可以帮助确定许可访问是否对供应商有益。例如，如果与应用程序或服务的平均交互时间段为十五分钟，但在着陆程序开始之前仅剩五分钟，则对于在该持续时间使用的用户支付因特网访问将是不值得的。飞行器正在飞行的空域的管辖区或国家可能有助于允许访问在其中是合法的内容或服务。机载网络上的其他ped18的数目可以指示潜在容量，并且具有活动的因特网访问订购的ped18的列表可以指示必要性。此外，波束负载(即数据上行链路26和数据下行链路32上的业务量)可以改变访问成本，因此应用程序或服务供应商可以考虑要补贴的最大花费。

在一个示例使用情况下，依赖于应用程序内购买的游戏开发公司可以开放支付连接费用，只要总计从购买产生的费用多于与这些费用相关的损失即可。

连接的发起者不需要限于目的地应用程序服务器38。例如，汽车公司可以发起到汽车评论站点的连接，用户可以在该汽车评论站点上完成广告宣传活动。以这种方式，本公开内容的实施方式可以用于支持各种商业关系，而不涉及承运商或ifec系统20提供商的复杂集成。在另一示例中，出租交通工具服务可以发起到针对旅行体验的在线市场的连接，特别是针对在租用该交通工具的所在地内的搜索结果。反向也是可能的，其中旅行体验市场站点在用户已购买体验的情况下发起与出租交通工具服务的连接。

访问许可/拒绝被理解为被实现为在防火墙40上设置的对一般限制的例外。为了使应用程序服务器38以构想的方式远程地许可或拒绝因特网访问，根据顺序步骤1100，构想使用远程连接管理器60的注册过程。与应用程序服务器38协作的客户端应用程序54的身份与应用程序服务器38相关联，使得源自客户端应用程序54的连接请求可以被引导到客户端应用程序54与其交互的特定应用程序服务器38。

根据顺序步骤1010c，中继到远程连接管理器60的客户端应用程序54的存在状态59也被传送到应用程序服务器38。应用程序服务器38进而评估存在状态59，以确定在存在状态59所属的特定ped18上运行的客户端应用程序54的实例是否应被允许访问卫星模块24，以便与应用程序服务器38进行事务处理。应当理解，虽然应用程序服务器38可以与远程连接管理器60持续联系以评估对存在状态59的每个更新，但这是可选的。要许可连接的条件的定义可以被预加载到远程连接管理器60上，使得可以向其传递处理和通信负荷。

针对防火墙40设置例外的授权可以根据顺序步骤1200a从应用程序服务器38发起，并且被传送到远程连接管理器60。根据本公开内容的一个实施方式，授权可以采用请求边带信道的xem-0500消息的形式。根据顺序步骤1200b，该授权由远程连接管理器60中继到机载连接管理器58。机载连接管理器58的防火墙接口64在访问控制器或防火墙40上设置例外(其许可去往和来自指定的客户端应用程序54/ped18的业务)，以访问卫星模块24，用于建立到应用程序服务器38的数据通信链路。该例外可以根据以下来指定：在输出数据的情况下，根据应用程序服务器38的许可的目的地地址和端口；以及在输入数据的情况下，根据应用程序服务器38的许可的源地址和端口。从而，按照顺序步骤1300，客户端应用程序54和应用程序服务器之间的所有业务被理解为根据应用程序本地协议而发生。由于在每个用户、每个应用程序的基础上允许业务，所以将卫星链路的费用分配给客户端应用程序54和/或应用程序服务器38的特定提供商是可能的。

尽管在所示出的示例中授权是连接至应用程序服务器38，但是这仅是示例性的。应用程序服务器38可以替代地指定另一个服务器节点，使得防火墙40限制客户端应用程序54连接至这样的替选的服务器的因特网连接。当前构想的系统被理解为，允许应用程序和服务提供商微调用于负载平衡和其他目的的二级服务器和三级服务器。这是可能的，而无需依赖于难以更新和保持的白名单和其他大量访问定义。系统的灵活性被设想为，以对应用程序和服务提供商的较低成本得到对用户的更好的服务。

结合图3a所示的上述顺序被理解为需要最少量的时间。优选地，从初始请求到授权发生的数据交换在几秒钟内并在后台发生，因此用户不知道上述过程。对于用户而言，客户端应用程序54的使用与在连接至家庭wlan网络或蜂窝网络时显得没有不同。

图3b示出了上述基于api的系统实现的替选方式。当飞行事件发生时，向应用程序提供商提供参与航空公司机队的所有飞行器的飞行细节。具体地，连接管理器60根据顺序步骤1104提供这样的飞行细节。然而，应用程序提供商没有提供各个ped18的存在属性。应用程序提供商可以在飞行期间的任何时间向任何飞行请求防火墙例外，预期一个或更多个ped18可以试图在该飞行期间的某个时候访问该应用程序54。这可以根据顺序步骤1106发生。

这种实现在较长时间段内向大量装置打开防火墙孔，而不是在精确恰当的时间精确地向正确装置打开防火墙孔。更详细地，远程连接管理器60与访问控制器40通信，以按照顺序步骤1108做出该请求。在应用程序提供商/应用程序服务器54被允许做出这样的请求之前，应用程序提供商可以根据顺序步骤1101使用远程连接管理器60注册自己的url和应用程序所需的任何支持url。驻留在ped18上的客户端应用程序54被理解为以与地面因特网连接一致的方式进行操作，例如，在行进至机场/从机场出发时，可以在飞行之前和之后。

如图3b所示，系统可以按照顺序步骤1110经由信标通知来提醒乘客17使用应用程序的时机，进而根据顺序步骤1111向乘客17提供提醒。然而，许多乘客17可能没有启动他们的个人装置来接收信标通知。当然，乘客17可以出于任何数目的原因而选择打开客户端应用程序，如在顺序步骤1113中所示。例如，机组人员可以进行pa通告，或者在ife系统内提供广告。按照顺序步骤1300，在ped18和应用程序服务器38之间的所有业务被理解为根据应用程序本地协议而发生。在飞行结束时，连接管理器60可以根据顺序步骤1400关闭连接/飞行。在该实施方式的任何实现中的共同线程是，可以通过请求连接而不是仅授权他们尝试的连接来实现更高的接收速率。

现在参照图4a的框图，乘客ped18a连接到机载wlan接入点22a，并且经由机载连接管理器58和远程连接管理器60访问因特网36。另外，当不在飞行器10上时，用户可以通过各种常规模态(包括家庭网络(其也可以是wifi网络)、工作网络以及蜂窝(gsm)网络)访问因特网36。根据本公开内容的各种实施方式，如上所述由应用程序服务器38授权的因特网连接与常规因特网连接之间的转换可以在没有用户干预的情况下发生，而无需用户通知。

图4b的框图示出了结合机组ped18b以及可以利用所公开的系统来实现防火墙例外的ife终端的替选实施方式。机组ped18b被理解为与上述乘客ped18a类似地起作用，因为当在飞行器上时，与wlan接入点22a进行连接。在飞行期间，同样可以授权机组ped18b经由机载连接管理器58和远程连接管理器60连接至因特网36。类似于乘客ped18a，机组ped18b也可以经由公共访问模式(例如工作和家庭wlan网络和gsm/蜂窝网络)连接至因特网36。

除了与乘客ped18a共同的那些使用之外，机组ped18b可以用于基于飞行器通信寻址和报告系统(acars)的机组消息传送。从机载连接管理器58传送到远程连接管理器60的存在状态59可以包括从arinc429总线检索的航空电子数据，因为与其连接的节点之一是ifec系统20。此外，存在状态59可以提供给具有常规xmpp服务器的传统acars地面目的地。xmpp存在状态59可以携带文本消息，因此可以支持包括所有形式的acars消息传送的空中和地面机组消息传送。

图4b中示出的实施方式还构想了将客户端应用程序54安装在座椅靠背显示器(例如ifec系统20的终端单元42)上。在一些情况下，客户端应用程序54可以限于与本地服务(例如ife应用程序服务器66)进行通信，虽然也可以理解为可连接至远离飞行器10的应用程序服务器38。

包括面向旅行以及更一般的应用的各种各样的应用被设想为受益于提供商授权(和补贴)的因特网连接。特别适合于航空旅行的一个示例性应用是在飞行期间查看连接航班登机口信息。该信息可以经由ifec系统20呈现在座椅靠背显示器44上、在机舱顶监视器上或在ped18上。在机场内部署的信标可以通过将旅行者引导到期望的登机口来提供进一步等级的帮助。使用当前构想的系统在飞行期间在ped18上获得连接登机口信息是可能的，因为航空公司可以在到达之前授权访问数据源。另外，当乘客已从飞行器10下机时，因特网连接可以转换到在机场终端内可访问的本地wlan网络。

另一种航空旅行特定应用是免税销售。用户可以经由ifec系统20的终端单元42或ped18在飞行期间浏览可获得的物品的目录。任何购买的收据可以在飞行期间经由授权的基于卫星的因特网连接从应用程序服务器38下载到ped18，并且在呈递收据之后，在机场着陆时可以获取该物品。收据可以包括qr码或验证购买和客户的其他机器可读代码。客户也可以在机场浏览时更改机载预订单。膳食订购、与机载空中乘务员结合的地面基础礼宾服务是具有可以经由ifec系统20的终端单元访问的插件功能的其他可能应用。

在所有这些示例性使用中传送到ped18的数据被理解为，经由xmpp存在状态进行传送，尽管可以通过请求如上所述的边带信道的打开而在浏览器内使用诸如http之类的其他协议。通常，航空公司控制的ifec系统20和与其相关的客户端应用程序54之间的更密切的关系鼓励更广泛地采用，以及更广泛地使用基于订购的因特网连接服务。

如前所述，与旅行无关的应用也可以利用提供商授权的因特网连接。一个示例是体育更新，并且本文公开的基于文本的消息传送系统被理解为特别适合于当比赛得分改变或者比赛时段结束时传送更新。当诸如超级杯或世界杯等大型活动受到广泛关注时，通常大多数用户对较小的活动不感兴趣。因此，前10个或前100个比赛的新闻馈送将不是有效的，并且对用户来说导航以找到感兴趣的事件将是麻烦的。因此，本公开内容的各种实施方式构想了文本消息传送类型的提醒，其可以通过对存在状态的更新来传达。接收这样的更新对于忠实爱好者而言可能是期望的，因为否则乘客在飞行期间与世界其他地方中断连接。

另一个示例性应用是股票交易，因为当市场变动时交易者不能离线。虽然忠实的当日交易者等可以订购飞行中的因特网访问服务，但大多数乘客在飞行期间不会进行股票交易。因此，构想在形式上与上述体育得分更新类似的更新，其中，针对选定数目的感兴趣的股票生成基于文本的更新/提醒。该应用被理解为需要最小带宽。

利用可以根据本公开内容的各种实施方式来结合选择性因特网连接的许多可能的客户端应用，与之相关联的使用数据可以用于针对潜在客户进一步细化。一般来说，航线上的乘客被理解为适合消费者群体的特别理想的子集，因为这样的乘客拥有的共同属性，如支付机票的方式和已知的目的地和/或出发点。如上所述，ped18的存在状态59是应用程序服务器38决定是否针对其打开防火墙40的一个基础。根据本公开内容的另一方面，使用具有与飞行前和飞行中服务交互的特定历史的特定应用的关于乘客的附加细节也可以用作决定的基础。

再次参照图5的框图，机载连接管理器58和远程连接管理器60保持乘客ped18a(其也可以是ifec系统20的终端单元42)的存在状态59。应用程序服务器38可以处理存在状态59以确定是否要许可ped18访问机载因特网连接，并且取决于该分析的结果提供授权。然而，除了存在状态59之外，所示实施方式还构想了基于与ped18相关联的乘客简档68而作出的决定。

仅作为示例而非限制，乘客简档68可以包括乘客的家乡城市、国家、地区代码。另外，乘客简档68可以包括飞行常客状态/类别、连接航班和机票预订。乘客在当前或过去航班上的与特定机舱服务进行的以往交互69可以被捕获并保持在乘客简档68中。乘客简档数据的详细程度取决于航空公司的具体需要，并且可以是多种多样的。

在许可与ped18的连接时，应用程序服务器38可以访问存在状态59和乘客简档68，由应用程序服务器38作出决定。然而，如果存在可能有兴趣提供连接以换取向乘客销售的机会的多个缔约方，则可以使用允许航空公司考虑多个报价的投标引擎70。投标引擎70被理解为具有若干操作模式，包括限制到最高投标者的连接、提供对固定价格的连接以及补贴连接。在这些模式的每一个中，投标引擎70生成应用程序服务器38的报价72，并且应用程序服务器38用投标74进行响应。投标引擎70考虑投标74，并且向赢家许可76投标。在这一点上，应用程序服务器38可以被提供有请求连接的ped18的身份。

有助于示出这些操作模式的示例性场景是乘客简档68指示乘客需要预订在航班目的地的酒店房间的强可能性。这可以基于最近的ifec系统20和/或观看旅馆相关内容的乘客的ped18活动历史。在其中连接被限制到最高投标者的操作模式中，可以存在多个酒店预订网站(例如，hotels.com和expedia.com)。从投标引擎70传送到这些站点的相应应用程序服务器38的报价72可以排他地指示最高投标者将是要被允许的唯一的酒店预订站点。在投标74中，一个站点指定$1，而另一个站点指定$2。投标引擎70接收这两个投标，并且在许可76中提供请求与获胜的$2投标的连接的ped18的身份。

应当理解，如果用户经由网络浏览了酒店预订网站，则不会向用户通知打开因特网连接，特别是由发起商支付的因特网连接。在这种情况下，排他性的值可以减小，因此网络浏览通常被认为是低价值应用。在所显示的内容中可以突出与获胜应用程序服务器38相关的项。如果在ped18上安装了酒店预订服务客户端应用程序，则可以在其上生成存在连接的通知。

在针对固定价格提供连接的操作模式中，继续乘客简档68的示例，其指示用户需要预订酒店的可能性，投标引擎70可以提供到十几家酒店预订相关网站的连接，每个十美分。另一个示例是对于提供商提供$5连接至乘客的投标引擎70。在该操作模式和这些示例的上下文中的投标74被理解为应用程序服务器38作为建议条款的肯定确认，在该点之后，请求连接的ped18的身份通过投标引擎70传递给应用程序服务器38。

关于补贴连接操作模式，可能存在以下情况，航空公司有理由偏好特定应用程序服务器38。在这种情况下的报价72被理解为免费的，并且可以包括实体支付因特网连接的指示，可能是航空公司或客户端应用程序54/应用程序服务器38的提供商。

投标引擎70的操作模式可以在飞行中切换，或者可以基于对可用乘客简档68的分析而动态地改变。利用这些操作模式，应用程序提供商可以在响应时机以启动到请求ped18和ifec系统终端单元42的飞行中因特网连接时应用更复杂的商业规则。

构想在许多使用情况下，前述发起的因特网访问模式(其中应用程序提供商争取将乘客/用户链路到其应用程序服务器38的机会)表示相对于常规白名单技术的实质性改进，其中到批准的站点的业务被预授权。然而，本公开内容的实施方式可以补充白名单。例如，在发起因特网连接的提议之后，当乘客观众的利益和接受性变得明显时，则可以请求这样的应用程序提供商进行更正式的安排，其中，应用程序服务器38在任何时间针对任何乘客被永久地列入白名单。应用程序提供商可以支付固定的定期费用，来替代进行小额和增量的、每次使用或发起的付款。

在机载连接管理器58和上面讨论的各种示例性应用的实施方式中，主要由发起应用程序提供商做出许可对因特网36的访问的决定。因此，在一定程度上应用程序服务器38表现出愿意补贴卫星数据上行链路26/下行链路32的成本，机载连接管理器58指示防火墙40打开应用程序服务器38和ped18之间的连接。这在某些情况下可能是不利的，特别是对于承运商和/或卫星通信提供商30，因为这些附加连接可能降低上述付费客户的体验。沿着这些线路，在一定程度上白名单也被利用，可以应用相同的关注，并且可能到更重要的程度，因为白名单网站总是可访问的。

另外的替选实施方式构想了涉及对防火墙40实现例外的进一步调节的特征。具体地，来自应用程序提供商的所请求的防火墙例外的否决权限被因特网服务提供商保留。另外，构想的是，机载连接管理器58也将有权根据当前或预期的需求重新分配卫星带宽，以及也基于需求向乘客提供因特网访问的样本以鼓励进一步的使用。对卫星链路26、32的访问可以被单方面地过滤，并且可以根据需要对发起业务进行整形，以确保付费订阅者的高质量连接。虽然通过影响发起的需求以在时间窗口内调整过剩的容量(例如，动态折扣和/或溢价率)可以实现对卫星带宽使用的一些控制措施，但是可以在峰值使用期间或者当过剩的容量低于预定最小值时启用限制特定连接。可以在高峰使用期间将发起业务限制为总数据业务的预定百分比，例如10％。

在非峰值使用时间期间，这样的业务整形不太可能降低发起的业务，因为卫星链路26、32具有用于付费订阅者以及发起的业务的足够带宽，而没有感觉到的速度降低。可以同时使用业务整形和过滤，因为单独过滤可能不考虑实际需求超过预期需求的情况。

返回参照图2的框图，在该替选实施方式中，机载连接管理器58还可以包括网络负载管理器78，其评估当前网络业务负载和其他状态/条件，并且取决于这样的评估选择性地允许经由防火墙接口64在访问控制器40上设置例外。网络负载管理器78可以包括可以实现为由ifec系统20的数据处理器执行的一组预编程指令的若干其他子部件。

更详细地，可以存在调节器引擎80，其实时接收各种数据输入、处理这样的数据并且生成到防火墙接口64的命令或指令，其涉及超出卫星模块24和到卫星模块24的上游业务是否要被允许或拒绝。调节器引擎80接收来自与访问控制器40通信的数据业务监视器82的输入，其至少报告传递到卫星模块24的数据业务的当前量。还可以报告附加的网络状态信息例如可用的卫星带宽、当前网络速度和可以用于数据业务整形的其他合适的数据点。可以提供更高级的网络状态信息，例如经由卫星模块24连接至因特网36的付费订阅者的数目。

也可以从飞行器状态模块84向调节器引擎80提供与网络无关的其他状态信息。这包括诸如时间、ife多媒体内容更新状态、ife或飞行器维修状态、乘客状态(例如，存在vip、新闻界飞行(pressflight)等)的信息。历史网络使用数据86也可以被提供给调节器引擎80。

可以由调节器引擎80使用前述数据(包括由数据业务监视器82和飞行器状态模块84提供的当前信息)以及历史网络使用数据86来处理一组预定规则90，用于响应来自远程连接管理器60的请求以允许去往和来自应用程序服务器38的某些业务。由调节器引擎80进行的第一评估是当前数据业务条件是否可以支持另外发起的连接，而不降低现有数据链路的质量。如果确定卫星链路26、32具有过剩的容量，则处理规则90以便确定是允许还是拒绝防火墙例外。例如，如果当使用率处于传统的较低(例如，本地波束时间为2:00am-4:00am)时确定时间在安全窗口内，则可以通过生成命令来授权来自始发请求的附加连接，以打开到其的防火墙40。

除了基于发起的因特网连接之外，还存在在低使用率时间期间可以向用户提供免费因特网访问的其他实施方式。免费访问的持续时间可以由机载连接管理器58限制为仅几分钟，使得乘客可以尝试可能的用途。该业务的优先级以及到非付费、非发起的用户的因特网连接的可用性被理解为以与发起用户相同的方式来处理。

当确定是否许可或拒绝对防火墙例外的任何特定请求时，可以由调节器引擎80将不同的权重分配给不同的因素。此外，在还使用白名单的情况下，发起业务可以优先于白名单业务，反之亦然。本领域普通技术人员将理解的是，不同的商业考虑可能需要将一个优先于另一个。

类似地，不同的应用程序服务器38或因特网站点可以优先于其他应用程序服务器38或因特网站点。例如，基于文本的消息传送服务可能需要比视频流服务少得多的带宽。因此，调节器引擎80可以延缓启动流式发起(streamingsponsorship)到更安全的时间窗口。网络负载管理器78可以包括这样的应用程序服务器38的站点列表88。站点列表88可以基于对带宽容量的潜在影响按等级顺序来指定应用程序服务器38，但是它也可以基于由承运商或服务提供商限定的其他因素。例如，餐馆预订服务可以被给予比旅行预订服务更高的优先级，因为承运商可能具有在其飞行杂志中进行广告的更多数目的餐馆。在该示例中，还可以是承运商的偏好，以使乘客通过其自己的网站进行预订，而不是通过第三方旅行预订服务。站点列表88及其优先级可以由应用程序提供商保密。站点列表88的另一个潜在用途是在某些时间窗口期间阻止某些站点。

如上所述，图3a的数据顺序图示出了其中客户端应用程序54首先发起访问应用程序服务器38的请求的实施方式。在该实施方式中，在用于由远程连接管理器60生成的边带信道的xep-0500请求之后，在步骤1210中进行是否许可防火墙例外的上述评估。在图3b的数据顺序图中所示的替选实施方式中，当由应用程序服务器38请求发起时，提醒ped18因特网连接的可用性。在该实施方式中是否许可防火墙例外的评估在步骤1109中进行，其在访问控制器40在步骤1108中接收到由远程连接管理器60生成的请求之后。

本文所示的细节作为示例，仅用于说明性讨论的目的，并且是出于以下原因而呈现：提供被认为是用于动态实现在本公开内容中阐述的防火墙例外的系统的各种实施方式的原理和概念方面的最有用和容易理解的描述。在这方面，没有尝试示出比对于各种实施方式的不同特征的基本理解所必需的任何更多的细节，与附图一起的描述使得本领域技术人员明白如何在实践中实现这些实施方式。