物联网服务架构的制作方法

相关申请

本申请是2017年6月27日提交的美国申请no.15/634,692的延续并要求其优先权。上述申请的完整教导通过引用并入本文。

背景技术：

诸如长期演进(lte)移动通信系统(也称为演进分组系统(eps)或第4代(4g)系统)、全球移动通信系统(gsm)或宽带码分多址(w-cdma)移动通信系统的无线通信系统通常在移动网络装置(例如，移动电话、计算机、物联网(iot)装置以及能够移动网络数据连接的任何装置)上利用订户标识模块(sim)卡来标识和认证订户。sim卡是存储国际移动订户标识(imsi)号及其相关密钥的集成电路。

这些无线通信系统的移动网络运营商使用移动装置的sim卡所提供的信息(例如，移动装置的imsi)来标识和认证连接到其网络的移动装置。移动网络运营商通常还基于订户的标识以及网络运营商所存储的简档来实现不同的功能，例如计费功能、服务质量(qos)功能等，以管理所提供的服务和订户的对应使用。

为了将所提供的服务的地理覆盖范围扩展至各个服务提供商的网络覆盖范围之外，网络运营商通常参与互通和漫游安排。不同网络运营商之间的互通和漫游安排通过服务提供商之间的互连来实现。例如，当移动网络订户连接到访问的移动网络时，访问的移动网络通过移动订户的imsi来标识移动订户的归属网络。利用移动订户的imsi，访问的移动网络能够与其归属网络认证移动订户并基于两个网络之间的漫游安排来向移动订户提供服务。

技术实现要素：

最近开发的一种sim卡是嵌入式sim(esim)或嵌入式通用集成电路卡(euicc)。esim不仅可采取传统可移除可交换sim卡的形式，而且可被具体实现为不可更换的嵌入式芯片。esim具有被供给(远程地或本地地)不同的订户简档或标识的能力。这允许配备有esim的移动装置动态地改变其订户标识，这继而允许移动装置改变移动装置当前订阅的移动网络或服务提供商。例如，嵌入式uicc(euicc)可存储本地移动网络运营商(mno)的一个sim简档和国际mno的另一sim简档。

gsm协会(gsma)已开发了“remoteprovisioningarchitectureforembeddeduicctechnicalspecification”版本3.1(2016年5月31日)(本文中称为“gsmaesim规范”并通过引用并入)、“rsptechnicalspecification”版本2.1(2017年2月21日)(通过引用并入本文)和“rsp架构”版本2.1(2017年2月21日)(通过引用并入本文)，其描述了用于不易到达的机器对机器(m2m)装置中的euicc的远程供应和管理的架构。gsmaesim规范利用远程sim供应系统解决这种限制以允许将新sim简档动态地下载到esim卡中，在那里它可利用新下载的sim简档切换为另一mno，如同另一新sim卡被插入一样。

这样下载sim简档并利用新下载的简档切换为另一mno通常依赖于经由其当前sim简档和当前附接的蜂窝网络(例如，gsm、3g或lte网络)经由短消息服务(sms)协议从远程sim供应平台(rsp)向目标esim卡发送消息。一旦经由sms从rsp接收到命令，esim卡可依据gsmaesim规范执行一些动作，例如下载新sim简档、切换为另一sim简档、禁用/删除下载的简档之一等。一旦执行动作，esim卡就(通过装置)关于所采取的动作经由sms向rsp发送确认。例如，在切换为另一简档并且装置利用新的简档附接到新的蜂窝网络之后，esim通常经由sms从新网络向rsp发送确认消息，在那里先前动作的状态被更新。

使移动装置能够被供应不同的订户标识允许在如何提供移动服务方面的众多增强。例如，代替移动装置基于访问的移动网络和移动装置的归属移动网络之间的漫游安排在访问的移动网络上漫游，配备有esim的移动装置可被供应属于访问的移动网络的订户标识。换言之，移动装置将不再在访问的网络上漫游，因为移动装置的新订户标识(简档)是访问的移动网络的订户。访问的移动网络然后将开始基于本地移动服务协议而非漫游安排提供移动装置服务。事实上，访问的移动网络现在将是(至少在操作上)移动装置的归属或本地移动网络。

esim技术的另一应用是创建全球移动服务提供商网络，其维持与全球许多不同的移动网络运营商的移动服务安排。全球移动服务提供商网络可维持与众多移动网络运营商的订户简档并根据任何数量的因素(例如，国家/位置、移动网络运营商、成本、法规、装置类型、数据用途、服务质量(qos)、实时数据请求等)向移动装置供应与所选移动网络运营商关联的特定订户标识(简档)。全球移动服务提供商网络可基于一组切换逻辑来选择移动装置的移动网络运营商(或切换移动装置的移动网络运营商)。例如，如果移动装置改变位置，则全球移动服务提供商网络可利用使得移动装置被供应(或指派)与移动装置的当前位置的本地移动网络运营商的订户简档关联的订户标识的切换逻辑。

本公开的实施方式增强了全球移动服务提供商网络基于与许多不同的移动网络运营商的安排向全球的移动装置提供服务的能力。本公开的实施方式特别适用于物联网(iot)装置(也称为机器对机器(m2m)装置)。iot装置受益于全球服务提供商网络能够提供的全球互操作性。本公开的实施方式使iot装置能够被携带到全球任何地方并接收移动数据服务。此外，通过经由全球服务提供商网络对数据业务进行路由，全球服务提供商获得了对其各个移动订户的数据业务的实时可见性，而不管iot装置正在使用的当前移动网络、简档或imsi如何。全球服务提供商网络还可通过使用策略控制平台来增加对各个iot装置的数据使用的控制。例如，制造商iot装置(可能是全球服务提供商的直接客户)可指示全球服务提供商网络将iot装置的数据访问限制为iot装置被设计使用的特定数据服务。此外，iot装置的制造商可指示全球服务提供商网络将iot装置的数据业务路由至制造商的专用网络，而不管移动装置正在使用的当前移动网络、简档或imsi如何。例如，制造商iot装置可指示全球服务提供商网络限制iot装置被允许消费的数据量(或配额)。

根据一些实施方式，与全球移动服务提供商网络一起工作的各个移动网络运营商向全球服务提供商网络分配多个订户简档。全球服务提供商网络维持来自各个移动网络运营商的订户简档并且可向移动装置供应与来自任何移动网络运营商的订户简档关联的imsi。这有效地给予全球服务提供商网络对移动装置从其接收服务的移动网络的控制。

本公开的系统和方法提供了强大的技术工具，其利用了全球服务提供商网络控制和切换移动装置的指派的imsi的能力，以为配备有esim芯片或可移除euicc卡的移动装置实现高度可定制的全球移动服务。在一些实施方式中，全球服务提供商网络可利用移动装置的数据业务在通过全球服务提供商的网络时的实时可见性来确定向移动装置指派哪一imsi。此外，全球服务提供商网络具有监测来自移动网络的多个移动装置的数据业务的能力，并且基于从数据业务确定的信息，全球服务提供商网络可测量或推导移动网络的网络性能度量。

根据至少一个示例实施方式，本公开可按照用于执行数据业务检查并根据切换逻辑选择imsi的方法或对应设备的形式来实现。至少一个示例实施方式可包括切换逻辑模块，其被配置为：接收与指派有第一imsi的移动装置关联的数据使用信息，所述第一imsi与第一移动网络关联，该数据使用信息包括移动装置所请求的数据服务的指示；选择与第二移动网络关联的第二imsi以指派给移动装置，第二imsi的选择至少部分地基于移动装置所请求的数据服务；并且将第二imsi指派给移动装置。

一些实施方式可包括数据检查模块(和/或策略控制模块)，其被配置为检查来自指派有与第一移动网络关联的第一imsi的移动装置的数据请求。在一些实施方式中，数据检查模块利用深度分组检查来检查来自移动装置的数据请求。数据检查模块还可被配置为从所检查的数据请求确定移动装置的数据使用信息，该数据使用信息包括移动装置所请求的数据服务。至少一个示例实施方式还包括切换逻辑模块，其在通信上联接到数据检查模块。根据示例实施方式的另一方面，切换逻辑模块被配置为选择与第二移动网络关联的第二imsi以指派给移动装置，第二imsi的选择至少部分地基于移动装置所请求的数据服务。切换逻辑模块还被配置为将第二imsi指派给移动装置。

根据一些实施方式，数据检查模块还被配置为基于检查来自多个移动装置的数据业务来确定给定移动网络的网络性能度量，所述多个移动装置中的每一个被指派与所述给定移动网络关联的imsi。

根据示例实施方式的另一方面，数据使用信息可包括移动网络的状况、移动装置正在请求的数据类型以及移动装置已消费的数据量中的任一个。

根据一些实施方式，切换逻辑模块被配置为基于第二移动网络针对移动装置所请求的数据服务的费率来选择第二imsi。

根据一些实施方式，数据检查模块还被配置为跟踪在给定时间段内多个移动装置所使用的数据量，各个移动装置被指派与第一移动网络关联的imsi。切换逻辑模块还被配置为选择不同的imsi以指派给所述多个移动装置中的至少一些，各个不同的imsi与第一移动网络以外的网络关联，并且该选择至少部分地基于在所述给定时间段内所述多个移动装置所使用的数据量。在该选择之后，切换逻辑模块还被配置为将所选不同的imsi指派给所述多个移动装置中的所述至少一些

根据一些实施方式，数据检查模块可包括策略控制功能并且被配置为基于与移动装置的当前指派的imsi关联的数据策略来拒绝、允许或修改所检查的数据请求。在一些实施方式中，数据检查模块被配置为基于移动装置的类型来拒绝、允许或修改所检查的数据请求。

在一些实施方式中，第二imsi的选择还基于下列中的任一个或更多个：第一移动网络或第二移动网络的国家、移动装置的位置、第一移动网络或第二移动网络的运营商、第一移动网络或第二移动网络的数据速率成本以及第一移动网络或第二移动网络的服务质量。

附图说明

上述内容将从附图中所示的本发明的示例实施方式的以下更具体的描述显而易见，附图中相同的标号贯穿不同的示图表示相同的部分。附图未必按比例，而是将着重于示出本发明的实施方式。

图1a是示出使全球服务提供商网络能够控制移动装置的远程供应的示例通信系统架构的图。

图1b是示出选择和切换移动装置的简档/imsi的示例方法的流程图。

图2a至图2c示出根据一些实施方式的切换逻辑模块的示例切换逻辑。

图3是根据本公开的一些实施方式的包括策略控制平台的数据检查模块的高级框图。

图4示出使全球服务提供商网络能够控制移动装置的远程供应的示例通信系统架构。

图5是可实现本发明的各种实施方式的计算机的内部结构的框图。

具体实施方式

以下是本发明的示例实施方式的描述。

本文所引用的所有专利、公开的申请和参考文献的教导整体通过引用并入本文。

图1a示出使全球服务提供商网络100能够控制移动装置150的远程供应的示例通信系统架构。根据图1a所示的示例实施方式，具有esim的移动装置150被供应与简档a关联的imsi，并且附接到本地移动网络(mn)151。移动装置150可以是能够数据连接并具有esim的任何类型的移动装置(例如，智能电话、计算机、iot装置、机器对机器(m2m)装置等)。在移动装置150附接到本地mn151的同时，移动装置被本地mn151供应具有订户简档(即，简档a)的imsi。因此，mn151向移动装置150提供数据服务，像mn151对其任何本地移动订户一样。

根据一些实施方式，mn151识别出与当前供应给移动装置150的imsi关联的订户简档a先前已由mn151分配给全球服务提供商网络100。在一些实施方式中，移动网络运营商(例如，mn151和152的移动网络运营商)已将多个订户简档分配给全球服务提供商网络100。移动网络运营商可将所有分配的简档与全球服务提供商网络100关联，使得移动运营商所跟踪的所有使用和计费信息被归于全球服务提供商网络，并且移动装置的所有者/使用者不必被零星供应任何分配的简档(或与简档关联的imsi)。

根据一些实施方式，全球服务提供商网络100可供应或使得移动装置被供应任何订户简档。在一些实施方式中，全球服务提供商网络100跟踪与各个移动装置和各个订户简档关联的数据使用。通过每移动装置跟踪数据使用，全球服务提供商网络100能够对各个移动装置的所有者/使用者或与各个移动装置关联的任何其它方计费。

返回参照图1a，mn151可将数据业务从移动装置150路由到位于全球服务提供商网络100的数据检查模块107。在一些实施方式中，mno151利用接入点名称(apn)来与全球服务提供商网络100处的p-gw157直接建立数据连接156，并且所建立的数据连接用于将所有移动装置的数据业务引导至全球服务提供商网络100。在一些实施方式中，例如，mn151和全球服务提供商网络100之间的数据连接156可发送来自移动装置150的数据请求、来往移动装置150的数据分组以及与移动装置的数据业务有关的任何消息或信令协议。在一些实施方式中，可使用虚拟专用网络(vpn)、gi接口、第二层隧道协议(l2tp)来建立数据连接156。基于所发送的数据的始发位置，选择正确的区域p网关157以减小向数据的最终目的地传送中的延迟。

根据一些实施方式，数据业务被路由至监测移动装置150的数据使用的数据检查控制模块107。数据检查模块107可以是独立服务元件，或者是p-gw157中集成的部分功能。此外，数据检查模块107可包括策略控制功能以基于数据策略来控制移动装置150的数据使用。数据策略可预定义或动态地创建。在一些实施方式中，数据策略可与移动装置、订户简档(或imsi)或二者的组合关联。数据检查模块107的策略控制功能在下面以及共同待审的美国专利申请no.15/260,897(通过引用并入本文)中更详细地定义。

在一些实施方式中，数据检查模块107使用深度分组检查来检查来自移动装置150的数据请求。然后，数据检查模块107可从所检查的数据请求确定移动装置150的数据使用信息。根据一些实施方式，数据使用信息可包括关于移动装置150所请求的数据服务(例如，应用、web浏览等)的信息。数据检查模块107将数据使用信息传送至切换逻辑模块109。

根据一些实施方式，切换逻辑模块109从服务供应元件113接收对与全球服务提供商网络100关联的移动装置的控制指令和规则。切换逻辑模块109基于预定义的规则来决定向移动装置150指派哪一订户简档和imsi。切换逻辑模块109的该决策基于多个输入和切换逻辑。所述多个输入可包括由数据检查模块107确定的数据使用信息(示出为输入114)。

除了来自数据检查模块107的输入之外，切换逻辑模块109可从全球服务提供商网络100上的一个或更多个附加元件接收输入，包括多imsi归属订户服务器(hss)110(示出为输入132)、imsi资产数据库112(示出为输入129)、服务供应模块113(示出为输入125)、ocs/离线收费116(示出为输入115)、网络监测系统117(示出为输入118)以及一个或更多个客户服务网络180(示出为输入122)。

根据图1a所示的示例实施方式，切换逻辑模块109基于内部切换逻辑以及切换逻辑模块109所接收的多个输入(114、115、118、122、132、125和/或129)中的一个或更多个来选择与本地mn152的简档z关联的不同imsi以指派移动装置150。在一些实施方式中，不同imsi的选择(即，改变移动装置的imsi的决策)至少部分地基于移动装置所请求的数据服务。

根据此示例实施方式，切换逻辑模块109使得esim远程供应系统(sm-dp、sm-sr或sm-dp+)120远程地向移动装置150供应与mn152上的简档z关联的imsi。esim远程供应系统120可通过短消息服务(sms)、承载独立协议(bip)或超文本传输协议安全(https)140远程地供应移动装置。这使得移动装置150从mn151脱离，然后附接到mn152。mn152现在向移动装置150提供服务。esim远程供应系统120可如“remoteprovisioningarchitectureforembeddeduicctechnicalspecification”版本2.1(2015年11月1日)中所述操作，其通过引用并入本文。另外，esim远程供应系统120可如共同待审的美国申请no.62/479,093中所述操作，其通过引用并入本文。

在一些实施方式中，mn152与全球服务提供商网络100建立数据连接160。全球服务提供商网络100通过数据检查模块107路由来自移动装置150的数据业务。如上所述，数据检查模块107可提供移动装置150的数据业务在通过数据检查模块107时的实时可见性和控制。在一些实施方式中，然后，数据业务可被传递给外部公共ip网络(例如，互联网)181，或者数据业务可被路由至虚拟专用网络(vpn)网关108。vpn网关108可为与移动装置150关联的客户指派指定的ip地址，因此使移动装置150能够访问专用客户网络/内联网180。vpn连接121形成从全球服务提供商网络100到客户的专用网络180的安全ip连接，以承载客户的专用网络100和移动装置150之间的数据业务。在一些实施方式中，vpn网关108可将来自与客户关联的多个移动装置的数据业务聚合，并为聚合的数据业务建立安全连接。在一些实施方式中，移动装置150能够访问和利用客户的专用网络上的数据服务，因为移动装置的数据业务由本地移动网络路由到全球服务提供商100进而到客户的专用网络180。

图1b是示出选择和切换移动装置的简档/imsi的示例方法的流程图。根据示例方法，数据检查模块107可使用深度分组检查来检查191来自指派有第一imsi的移动装置的数据请求，第一imsi与第一移动网络关联，并且从所检查的数据请求确定192移动装置的数据使用信息，该数据使用信息包括移动装置所请求的数据服务。根据示例方法，切换逻辑模块109可联接到数据检查模块107，并且被配置为选择194与第二移动网络关联的第二imsi以指派给移动装置，第二imsi的选择至少部分地基于移动装置所请求的数据服务，并且将第二imsi指派195给移动装置。

根据本公开的实施方式，切换逻辑模块109利用切换逻辑编程，以自动地选择简档/imsi并指派给作为全球服务提供商网络100的部分的移动装置(例如，移动装置150)。图2a至图2c示出根据一些实施方式的切换逻辑模块109的示例切换逻辑。如上所述，切换逻辑模块109基于内部切换逻辑以及切换逻辑模块109所接收的多个输入(114、115、118、122、132、125和/或129)来选择与本地mn152关联的不同imsi以指派移动装置150。

图2a是基于对切换逻辑模块109的输入来选择简档/imsi以供应给移动装置的示例切换逻辑的流程图。根据一些实施方式，切换逻辑模块109可经由输入132从hss110接收移动装置150的位置更新信息。位置更新信息211可包括关于访问的mcc/mnc的信息、imsi、imei、lac、cellid或与移动装置150的位置和/或标识有关的其它信息。在一些实施方式中，切换逻辑模块109可经由输入133从dra302接收移动装置150的位置更新信息210。该位置信息可补充或代替从hss110接收的位置信息。类似地，从da104(如图4所示)接收的位置信息可包括关于访问的mcc/mnc的信息、imsi、imei或与移动装置150的位置和/或标识有关的其它信息。

根据一些实施方式，切换逻辑模块109将位置更新信息210和211聚合在一起，并提取信息222以标识移动装置150及其esim卡状态。所提取的信息222可包括与移动装置150的标识有关的信息，例如imsi、mcc/mnc、装置类型等。

根据图2a的示例实施方式，切换逻辑模块109可经由输入115从ocs/离线收费系统116接收一个或更多个通知212。在一些实施方式中，切换逻辑模块109可依据从ocs/离线收费系统116接收的一个或更多个通知针对各个imsi生成动作。所生成的动作221可包括阻挡或重定向至简档中指定的域/门户等。

根据图2a的示例实施方式，切换逻辑模块109可经由输入125从服务供应系统113接收一个或更多个业务规则。服务供应系统113还可从门户/web接口124接收输入。业务规则可以是各个简档的规则和策略，其取决于全球服务提供商网络和与各个简档关联的移动网络运营商之间的合同条件。例如，由mn151分配给全球服务提供商网络100的订户简档可具有取决于移动装置150上请求数据的应用的数据速率、基于时刻/周的数据速率、服务级别协议、服务质量(qos)阈值、基于装置类型的速率、上传数据容量限制、下载容量限制、允许的应用、允许的协议、允许的mnc/mcc、每mcc的法规、用于控制的默认简档以及其它合同条件。在一些实施方式中，各个订户简档的业务规则被存储在规则和策略数据库216中。

根据图2a的示例实施方式，切换逻辑模块109可经由输入114接收213关于移动装置150、移动装置的数据使用、移动装置150附接到的移动网络的状况或从数据检查模块107接收的任何其它信息的实时信息。在一些实施方式中，切换逻辑模块109可经由输入118从网络监测系统117接收历史网络性能度量214。历史网络性能度量214可包括网络时延、网络分组丢失、网络抖动以及本领域已知的其它网络性能度量。

在一些实施方式中，切换逻辑模块109可将从在相同移动网络上操作的多个移动装置接收的实时信息聚合。切换逻辑模块109可利用聚合的实时信息来确定多个移动装置在其上操作的移动网络的一个或更多个网络性能度量。这使得切换逻辑模块109可以访问关于移动网络的当前操作的实时信息。根据一些实施方式，切换逻辑模块109可生成要避开的移动网络(和/或属于那些移动网络的简档)列表。切换逻辑模块109可使用该列表来防止移动装置被供应与当前(和/或历史上)经历性能问题的移动网络关联的imsi或简档。除了当前网络性能问题之外，也可出于任何数量的原因将简档、imsi或移动网络添加到要避开的简档/imsi的列表。

根据一些实施方式，切换逻辑模块109将实时信息213和历史网络性能度量214聚合在一起，并从所接收的实时测量213和历史网络性能214提取信息217。在一些实施方式中，网络简档与提取的信息217关联。根据一些实施方式，切换逻辑模块109可访问规则和策略数据库216并且可生成避开简档列表218(即，不应指派给用户的简档的列表)。

根据图2a的示例实施方式，切换逻辑模块109可编译或访问225所提取的标识移动装置150及其esim卡状态的信息222、来自规则和策略数据库216的规则和策略、生成的动作列表221和简档避开列表220以用于图2b所示的切换和控制决策处理230。

图2b是示例切换和控制决策处理230的流程图。决策处理230可用于确定指派给移动装置(例如，移动装置150)的imsi是否应该切换为与另一简档关联的另一imsi。

根据一些实施方式，决策处理230利用编译或访问的所提取的标识移动装置150及其esim卡状态的信息、来自规则和策略数据库216的规则和策略、生成的动作列表221和简档避开列表220来确定是否切换移动装置150的imsi。如果移动装置的imsi应该切换，则决策处理230确定向移动装置150指派哪一新imsi。

根据图2b所示的示例决策处理230，切换逻辑模块109可基于生成的动作列表221和/或简档避开列表220来确定231指派给移动装置的当前imsi是否应该被阻挡。在一些实施方式中，如果切换逻辑模块109确定231imsi应该被阻挡，则切换逻辑模块109使得数据检查模块107(经由接口130)阻挡来自该imsi的业务。切换逻辑模块109还可使得移动装置150切换232为另一imsi。

根据示例决策处理230，切换逻辑模块109可基于生成的动作列表221来确定233指派给移动装置的当前imsi是否应该被重定向。在一些实施方式中，如果切换逻辑模块109确定233imsi应该被重定向，则切换逻辑模块109确定234是否存在用于imsi重定向的简档。如果否，则切换逻辑模块109使得数据检查模块(经由接口130)重定向该imsi的业务。如果存在用于imsi重定向的简档，则切换逻辑模块109可确定236给定重定向简档是否在避开列表220中。如果给定重定向简档不在避开列表220上，则切换逻辑模块109使得移动装置切换235至新的imsi并使得数据检查模块(经由接口130)重定向该imsi的业务。如果给定重定向简档在避开列表220上，则切换逻辑模块109使得移动装置切换238至默认imsi并使得数据检查模块(经由接口130)重定向该imsi的业务。

根据示例决策处理230，如果切换逻辑模块109基于避开列表221确定233imsi不应被重定向，则切换逻辑模块109确定239imsi/devicetype是不是首次附接。如果切换逻辑模块109确定239imsi/devicetype不是首次附接，则切换逻辑模块109确定该装置已附接，并且可执行应用检查和规则和策略数据库216以确定245用于移动装置150的新简档。在一些实施方式中，切换逻辑模块109通过确定移动装置正请求访问或当前正使用的特定应用、互联网网站或ip地址来执行应用检查。根据一些实施方式，数据检查模块107可利用深度分组检查来确定移动装置正请求访问的应用、互联网网站或ip地址等，并将信息发送到切换逻辑模块109。切换逻辑模块109可基于取决于下列中的任一个或更多个的切换逻辑来选择246新简档：新简档对于应用更具成本效益、为了相应mcc中的负载平衡、新简档用于移动装置150那种特定类型的装置、新简档将提供更好的服务质量、时刻/周等。

根据一些实施方式，在切换逻辑模块109为移动装置150选择新简档/imsi之后，切换逻辑模块109确定247所选简档是否在简档避开列表220中。然后，切换逻辑模块109切换249至所选简档/imsi，除非250它在简档避开列表220中。

根据一些实施方式，如果切换逻辑模块109确定239imsi/devicetype首次附接，则切换逻辑模块109基于来自规则和策略数据库216的规则和策略为mcc/mnc选择240一个或更多个新简档。如果没有选择简档，则切换逻辑模块109将移动装置150的简档/imsi切换为默认简档/imsi。如果选择了241一个或更多个简档，则切换逻辑模块109切换243至一个或更多个所选简档中不在避开列表220上的第一所选简档。如果一个或更多个所选简档全部在避开列表220上，则切换逻辑模块109将移动装置150切换243至默认简档。

图2c是示出切换逻辑模块109可用来使得移动装置切换简档/imsi的示例处理的流程图。根据图2c中的示例处理，切换逻辑模块109使得移动装置150切换至新简档/imsi。切换逻辑模块109可从imsi资产数据库112(经由接口129)标识251当前imsi的eid。然后，切换逻辑模块109可访问252当前简档/imsi的状态并检查253简档标志。如果简档标志被设定为1，则简档/imsi被下载并停用254并且切换逻辑模块109可向esim远程供应系统255发送255启用简档(imsi、iccid、eid等)api调用123。在一些实施方式中，切换逻辑模块109可从esim远程供应系统255接收处理响应，然后更新258imsi资产数据库112中的简档状态。

根据一些实施方式，简档标志可被设定为零，这向切换逻辑模块109指示256简档/imsi还未下载。然后，切换逻辑模块109可向esim远程供应系统255发送257下载简档api调用123。在一些实施方式中，切换逻辑模块109可从esim远程供应系统255接收处理响应，然后更新258imsi资产数据库112中的简档状态。

图3是根据本公开的一些实施方式的包括策略控制平台的数据检查的高级框图。根据至少一个示例实施方式，与全球服务提供商网络100关联的移动装置150附接到本地mn152并从本地mn152接收数据服务。移动装置150通过数据接口160在本地mn152和全球服务提供商网络100之间传送数据业务。类似地，移动装置150可通过数据接口156在本地mn151和全球服务提供商网络100之间传送数据业务。根据一些实施方式，全球服务提供商网络100可包括具有策略控制功能的数据检查模块107，通过其路由数据业务。数据检查模块107可包括数据策略规则引擎(dpre)354，其包括被配置为存储与移动装置150的简档/imsi关联的标识符和/或该简档/imsi的数据策略的数据策略数据库355。数据策略可以是该特定简档/imsi或移动装置的可定制个性化数据策略。另选地，数据策略可应用于多个简档/imsi或移动装置。实际上，当移动装置150切换简档/imsi时，移动装置的数据策略可改变。例如，当移动装置150被供应第一简档/imsi时，数据策略可允许移动装置150访问特定数据应用。然而，如果移动装置150被供应第二简档/imsi，则数据策略可不允许移动装置150访问该特定数据应用。

根据一些实施方式，简档/imsi的数据策略可指示可用的特定数据服务(例如，使用数据的应用、web浏览、特定网站等)、对可用数据量的设定限制、对每数据服务的数据的设定限制以及下面的实施方式中详述的其它特征。在一些实施方式中，数据策略完全可定制，并且可由移动订户、全球服务提供商网络100、负责移动装置的移动订户以外的实体(例如，装置的制造商)和/或mn151或152的移动网络运营商实时更改。

根据一些实施方式，数据检查模块107包含基于gtp的业务检测和执行模块(gtem)352。gtem352可被配置为通过读取数据请求中的标识符来标识从移动装置150发送来的数据请求(例如，gtp数据分组)(或指派给移动装置150的简档/imsi)，并基于简档/imsi的数据策略拒绝或允许数据请求。gtem352可通过访问dpre354中的数据策略数据库355来确定拒绝还是允许请求，并且可查明特定简档/imsi的数据策略。

在一些实施方式中，gtem352是具有旁路机制的在线装置，如果gtem352停止操作，该旁路机制不影响网络拓扑和数据的传输。

根据一些实施方式，gtem352可访问gtp控制平面和gtp数据平面(即，用户平面)以检查从移动装置150发送的控制消息、信令和/或数据。这使gtem352能够通过从消息头读取相应标识符以标识源自移动装置150的gtp消息或数据分组，并基于移动装置150(或指派给移动装置150的简档/imsi)的数据策略采取适当动作(或没有动作)来执行移动装置150(或指派给移动装置150的简档/imsi)的特定数据策略。

在一些实施方式中，gtem352利用深度分组检查(dpi)以在gtp数据业务通过数据检查模块107时检验和检查gtp数据业务。gtem352不仅能够确定发送或接收数据分组/请求的移动装置150，而且能够标识所使用的数据服务(例如，应用、网站等)。根据图3所示的示例实施方式，数据业务通过数据检查模块107到达vpn网关108。数据业务还可通过数据检查模块107到达p-gw157。然而，在其它实施方式中，数据业务可通过数据检查模块107到达任何其它目的地，包括互联网181或客户内联网180。

根据一些实施方式，gtem352针对数据服务的签名检查数据分组，并将来自数据分组的签名与存储在签名数据库中的数据服务的已知签名进行比较，以确定数据服务是否是该数据分组使用或请求的。在一些实施方式中，gtem352利用有限状态机来使误报和签名猜测最小化。在一些实施方式中，gtem352利用被设计标识多态应用的签名的多路径签名分析。

在一些实施方式中，对于来自移动装置150的各个数据分组，gtem352可向dpre354发送数据量和数据服务。dpre354可接收该信息并存储移动装置150(或指派给移动装置150的简档/imsi)每数据服务使用的数据总量(或更新其计数)。然后，dpre354能够基于每数据服务连续对与全球服务提供商网络100关联的各个移动装置和简档/imsi所使用的数据进行计数。根据一些实施方式，一旦达到数据策略中的数据限制，gtem352就将针对任何进一步的数据分组采取适当动作。这使gtem352能够执行移动装置(或指派给移动装置150的简档/imsi)的数据策略中设定的任何数据限制。

根据一些实施方式，gtem352基于从数据业务和始发移动装置或指派给移动装置的简档/imsi的数据策略提取的信息来过滤数据业务(分组和请求)。在过滤数据业务的同时，gtem352可充当过滤数据分组和连接的透明“防火墙”。在一些实施方式中，一旦gtem352接受连接，随后检查连接或数据路径中传送的所有数据分组是否符合相应数据策略。

作为非限制性示例，gtem352可按照以下方式过滤数据分组和连接：(1)基于预定义的标准接受连接；(2)拒绝连接，通过向对等方(例如，移动装置和目标目的地)发送tcprst(重置)分组或互联网控制消息协议(icmp)目的地不可达消息来终止流；(3)静默地丢弃分组并放弃流；(4)基于规则的注入数据(例如，http业务注入)将假服务器响应注入分组并将它发送到始发用户网络装置；(5)通过选择性地忽略部分数据业务来对连接进行分流；或者(6)转移分组或连接。

根据一些实施方式，gtem352可通过将其转向或通过可执行gtem352不支持的附加功能的模块或装置来转移数据分组或连接。这些模块或装置可执行增值服务，例如高速缓存、html重写、视频优化、安全功能等。

在一些实施方式中，gtem352可被配置为当满足某些用户定义(例如，移动订户、全球服务提供商网络100、负责移动装置的移动订户以外的实体(例如，制造商)和/或本地mno152等)的标准时触发动作。用户定义的标准可基于计数器或阈值，其可被定制以执行复杂操作。例如，当满足某些标准时，gtem352可触发向网络运营商发送消息(例如，电子邮件、文本、语音消息、电话呼叫等)。在一些实施方式中，当主机或供应的标识符达到某一阈值时，gtem352执行主机触发。在一些实施方式中，gtem352执行当匹配过滤规则被触发时执行的过滤触发。在一些实施方式中，gtem352基于订户会话事件(例如，满足计数器阈值)执行订户触发以重置更新。

返回参照图3，根据一些实施方式，数据检查模块107包括实时智能分析和报告模块(riar)356，其提供通过gtem352检查的gtp信令/数据和其它ip数据有效载荷的实时可见性。在一些实施方式中，riar356向移动订户、全球服务提供商网络100、负责移动装置的移动订户以外的实体(例如，制造商)和/或本地mno152或151提供移动装置150的体验质量(qoe)度量的实时视图。qoe度量可由riar356本地存储和/或导出到外部系统或模块(例如，切换逻辑模块109、服务供应模块113等)。

根据一些实施方式，dpre254可被配置为(经由130)与全球服务提供商网络100的切换逻辑模块109接口。这使切换逻辑模块109能够使用数据检查模块107中的gtem352直接控制和配置移动装置150或指派给移动装置150的简档/imsi的数据策略。这可能是有益的，因为数据分组可在到达其相应目的地之前在全球服务提供商网络100上被拒绝、修改、重定向等。因此，甚至在数据分组/请求到达其相应目的地之前给予全球服务提供商网络100对移动装置或指派给移动装置150的简档/imsi的数据使用的控制权。

根据一些实施方式，riar356可被配置为(经由114)与全球服务提供商网络100的切换逻辑模块109接口。这使切换逻辑模块109能够直接访问通过gtem352检查的gtp信令/数据和其它ip数据有效载荷的实时可见性。如上面参照图2a所述，切换逻辑模块109可利用此信息作为输入来确定是否切换移动装置的当前简档/imsi并确定向移动装置150供应哪些其它简档/imsi。

根据一些实施方式，rpre354可被配置为访问全球服务提供商网络100的在线收费系统(ocs)/离线收费系统116(或至少与之接口)。在一些实施方式中，dpre354可经由gy/gz接口131与ocs116接口，提供dpre354对费率计划的实时访问以评定、收费和监测预付费移动订户的信用。因此，如果预付费移动订户已使用其所有预付费信用(例如，数据量、金额等)，gtem352可在使用更多数据之前阻挡预付费移动订户的数据访问。

图4示出使全球服务提供商网络100能够控制移动装置150的远程供应的示例通信系统架构。根据图4所示的示例实施方式，移动网络151和移动网络152正作为访问的移动网络向移动装置150提供数据服务。这意味着指派给移动装置150(根据此示例实施方式)的简档/imsi订阅移动网络151和移动网络152以外的移动网络。

根据此示例，移动装置150首先被供应简档(a)并附接到移动网络151。移动网络151可经由归属路由漫游模型向移动装置150提供数据服务，数据业务156和diameter信令153通过网络间分组交换(ipx)网络111路由。在一些实施方式中，ipx111包括diameter路由代理(dra)103，其被配置为将diameter信令路由至全球服务提供商网络100中的diameter代理104。diameter代理104可将diameter信令传送至hss110(经由接口158)和切换逻辑模块109(经由接口133)。在一些实施方式中，切换逻辑模块109可利用diameter信令作为对切换逻辑的输入。

根据此示例，移动装置150然后被供应简档(z)并附接到移动网络152。移动网络152可经由本地突围或集线器突围漫游模型向移动装置150提供数据服务，数据业务160直接被路由至数据检查模块107，而diameter信令154通过ipx网络111路由。在一些实施方式中，dra103被配置为将diameter信令聚合，以将diameter信令159路由至全球服务提供商网络100中的diameter代理104。

图5是可实现本发明的各种实施方式的计算机550的内部结构的框图。计算机550包含系统总线579，其中总线是用于计算机或处理系统的组件之间的数据传送的硬件线路的集合。总线579实质上是将计算机系统的不同元件(例如，处理器、盘存储装置、存储器、输入/输出端口、网络端口等)连接的允许元件之间的信息传送的共享管道。附接到系统总线579的是用于将各种输入和输出装置(例如，键盘、鼠标、显示器、打印机、扬声器等)连接到计算机550的i/o装置接口582。网络接口586允许计算机550连接到附接到网络的各种其它装置。存储器590为用于实现本公开的实施方式的计算机软件指令592和数据594提供易失性存储。盘存储装置595为用于实现本发明的实施方式的计算机软件指令592和数据594提供非易失性存储。中央处理器单元584也附接到系统总线579并提供用于执行计算机指令。

在一个实施方式中，处理器指令592和数据594是计算机程序产品(通常引用为592)，包括提供用于本发明系统的软件指令的至少一部分的计算机可读介质(例如，诸如一个或更多个dvd-rom、cd-rom、磁盘、磁带等的可移除存储介质)。如本领域中熟知的，计算机程序产品592可通过任何合适的软件安装过程来安装。

在另一实施方式中，软件指令的至少一部分也可经由线缆、通信和/或无线连接下载。

此外，本发明可在各种计算机架构中实现。图5的计算机是为了例示，而非限制本发明。

尽管已具体地示出和描述了示例实施方式，但本领域技术人员将理解，在不脱离由所附权利要求涵盖的范围的情况下，可对其进行形式和细节上的各种改变。

应该理解，上述示例实施方式可按照许多不同的方式实现。在一些情况下，上述各种方法和机器可各自由具有中央处理器、存储器、盘或其它大容量存储装置、通信接口、输入/输出(i/o)装置以及其它外设的物理、虚拟或混合通用计算机实现。通用计算机例如通过将软件指令加载到数据处理器中，然后使得指令执行以实现本文所述的功能来变换成执行上述方法的机器。

如本领域已知的，这种计算机可包含系统总线，其中总线是用于计算机或处理系统的组件之间的数据传送的硬件线路的集合。总线实质上是将计算机系统的不同元件(例如，处理器、盘存储装置、存储器、输入/输出端口、网络端口等)连接的共享导管，其允许元件之间的信息传送。一个或更多个中央处理器单元附接到系统总线并提供用于执行计算机指令。i/o装置接口通常也附接到系统总线以用于将各种输入和输出装置(例如，键盘、鼠标、显示器、打印机、扬声器等)连接到计算机。网络接口允许计算机连接到与网络附接的各种其它装置。存储器为用于实现实施方式的计算机软件指令和数据提供易失性存储。盘或其它大容量存储装置为用于实现例如本文所描述的各种过程的计算机软件指令和数据提供非易失性存储。

因此，实施方式通常可实现于硬件、固件、软件或其任何组合中。

在某些实施方式中，本文所描述的过程、装置和处理构成计算机程序产品，包括非暂时性计算机可读介质，例如可移除存储介质(例如，一个或更多个dvd-rom、cd-rom、软磁盘、磁带等)，其提供用于所述系统的至少一部分软件指令。这种计算机程序产品可通过本领域熟知的任何合适的软件安装过程来安装。在另一实施方式中，软件指令的至少一部分也可经由线缆、通信和/或无线连接下载。

此外，本文中可将固件、软件、例程或指令描述为执行数据处理器的某些动作和/或功能。然而，应该理解，包含在本文中的这些描述仅是为了方便，这些动作实际上源自计算装置、处理器、控制器或执行固件、软件、例程、指令等的其它装置。

还应该理解，流程图、框图和网络图可包括不同地布置或不同地表示的更多或更少的元件。但还应该理解，某些实现方式可规定框图和网络图以及示出以特定方式实现的实施方式的执行的框图和网络图的数量。

因此，另外的实施方式也可实现于各种计算机架构、物理、虚拟、云计算机和/或其一些组合中，因此，本文所描述的数据处理器旨在仅用于例示，而非作为实施方式的限制。

尽管已参照其示例实施方式具体地示出和描述了本发明，但本领域技术人员将理解，在不脱离由所附权利要求涵盖的本发明的范围的情况下，可对其进行形式和细节上的各种改变。