移动网络中的路由和安全制造技术

在示例实施方式中，提供了PICNEEC。它包括一个或更多个虚拟定制规则实施器(VCRE)实例，每个VCRE实例对应于一组移动设备并且定义针对所述一组移动设备个性化的一组策略。每个VCRE被配置成：在接收到经由无线电网络在基于分组的网络与相应组中的移动设备之间传送的数据分组时，在转发数据分组之前对该数据分组执行存储在VCRE实例中的一个或更多个策略规则。每个VCRE实例通过移动网络提供商的不同客户直接访问VCRE实例而彼此独立地被控制。

Routing and security in mobile networks

In the example implementation, PICNEEC is provided. It includes one or more virtual customization rule implementers (VCRE) instances, each of which corresponds to a set of mobile devices and defines a set of policies for personalization of the set of mobile devices. Each VCRE is configured to execute one or more policy rules stored in one or more VCRE instances before forwarding a data packet upon receiving a data packet transmitted between a packet-based network and a mobile device in the corresponding group via a radio network. Each VCRE instance is controlled independently through direct access to the VCRE instance by different customers of the mobile network provider.

【技术实现步骤摘要】
【国外来华专利技术】移动网络中的路由和安全优先权本申请要求于2015年12月8日提交的序列号为62/264,791的美国临时申请的权益。本申请还要求于2016年4月5日提交的序列号为15/090,918的美国专利申请的优先权。
本公开内容总体上涉及移动无线电联网。更具体地，本公开内容描述了用于移动无线电网络内的网络路由和安全的技术。
技术介绍
作为如由国际标准机构限定的网络内提供的基本服务的一部分，移动网络允许设备连接至外部分组交换网络(如因特网)。这样的国际标准机构的示例包括用于全球移动通信系统(GSM)/通用移动通讯系统(UMTS)/长期演进(LTE)领域的第三代合作伙伴计划(3GPP)、时分多址(TDMA)/码分多址(CDMA)/CDMA2000网络以及较新的网络设计方案如LoRa和SIGFOX。在这样的系统中，去往移动设备以及来自移动设备的分组数据经由无线电网络被传送至元件，如2G网络中的基站收发台(BTS)、3G网络中的NodeB或者4G网络中的eNodeB。此后，使用隧道向2G/3G网络中的服务通用分组无线服务(GPRS)支持节点(SGSN)或4G网络中的服务网关(SGW)或其他移动网络解决方案中的类似设备发送分组数据。来自所有移动设备的GPRS隧道协议(GTP)隧道朝向2G/3G网络中的网关GPRS支持节点(GGSN)或4G网络中的PDN网关(PGW)或其他移动网络解决方案中的类似设备聚集。然后，这些设备合并在每个连接中包括大量隧道的许多以太网连接。于是GGSN或PGW有责任将聚集的GTP隧道业务(traffic)分散到多个数据流中，并且将每个单个流路由至如最初由移动设备指定的外部分组交换网络上的其指定目的地。3GPP标准还定义：每个移动设备将定义被称为接入点名称(APN)的路由上下文，每个移动设备利用该路由上下文连接至合适的GGSN或PGW。3GPP标准允许每个APN在GGSN或PGW内具有它自己的路由和安全策略以及使用特定规则集通过防火墙路由分组数据的能力。然而，这样的APN定制规则集由移动网络运营商人员定义，原因是只有他或她可以访问路由器设备(例如，GGSN或PGW)。相比之下，在移动网络环境之外，个人或组织能够部署他们自己的路由和防火墙设备，并且保持对他们的设备的网络能力的完全控制。这种能力目前已经从想要通过其移动设备定义其自己的路由和安全策略的任何个人或组织被剥夺，原因是这个策略只能由移动网络运营商来定义。附图说明在附图的图中通过示例而非限制的方式示出了一些实施方式，在附图中：图1是示出了根据示例实施方式的用于对移动网络通信进行路由的系统的框图。图2是示出了根据示例实施方式的用于GPRS子网络服务的协议栈的框图。图3是示出了包括SGSN/SGW和GGSN/分组数据网络(PDN)网关(PGW)的系统的框图。图4是示出了根据示例实施方式的包括SGSN/SGW以及包括GGSN/PGW的PDN集成定制网络边缘使能器和控制器(PICNEEC)的系统的框图。图5是更详细地示出了根据示例实施方式的VCRE的框图。图6是示出了根据示例实施方式的PICNEEC策略数据结构的图。图7是示出了根据示例实施方式的示例表格的图。图8是示出了根据示例实施方式的用户界面的屏幕截图。图9是示出了根据另一个示例实施方式的用户界面的屏幕截图。图10是示出了根据示例实施方式的在移动网络中建立和处理数据分组连接的方法的交互图。图11是示出了根据示例实施方式的对从移动网络内朝向外部IP网络的传出数据分组进行处理的方法的流程图。图12是示出了根据另一个示例实施方式的对从外部IP网络朝向移动网络的传入数据分组进行处理的方法的流程图。图13是示出了根据示例实施方式的包括SGSN/SGW和具有外部PICNEEC的独立GGSN/PGW的系统的框图。图14是示出了根据示例实施方式的用外部PICNEEC对移动网络中的数据分组进行处理的方法的交互图。图15是根据另一个示例实施方式的框图，其示出了包括多个SGSN/SGW和多个PICNEEC的系统。图16是示出了根据另一个示例实施方式的包括多个SGSN/SGW和多个PICNEEC的系统的框图。图17是示出了根据示例实施方式的包括PICNEEC1702的系统1700的框图。图18是示出了可以结合本文中描述的各种硬件架构使用的代表性软件架构的框图。图19是示出了根据一些示例实施方式的能够从机器可读介质(例如，机器可读存储介质)读取指令并且执行本文中讨论的方法中的任何一种或更多种方法的机器的部件的框图。具体实施方式以下描述包括实现说明性实施方式的说明性系统、方法、技术、指令序列和计算机器程序产品。在以下描述中，出于解释的目的，阐述了许多具体细节以提供对本专利技术主题的各种实施方式的理解。然而，对于本领域技术人员而言将明显的是，可以在没有这些具体细节的情况下实践本专利技术主题的实施方式。一般来说，公知的指令实例、协议、结构和技术并未详细示出。在示例实施方式中，提供了移动网络内的路由系统，其允许个人或组织为一个或更多个移动设备定义路由和/或安全策略，而无需移动网络运营商的介入。图1是示出了根据示例实施方式的用于在GSM(2G)和/或UMTS(3G)移动网络中对网络通信进行路由的系统100的框图。系统100包括一个或更多个移动设备102A至102D。每个移动设备102A至102D可以是具有无线电通信器(通常被称为小区收发器)的任何类型的设备。移动设备102A至102D包括例如智能电话、平板计算机、连接的汽车、传感器、报警系统等。每个移动设备102A至102D经由无线电通信连接至移动网络。在图1中，描绘了两个不同示例类型的移动网络。第一个是基于GSM的移动网络。在基于GSM的移动网络中，移动设备102A、102B经由无线电通信与基站收发台(BTS)104A、104B连接。BTS104A、104B是用于无线电接口的终止节点。每个BTS104A、104B包括一个或更多个收发器，并且负责无线电接口的加密(ciphering)。然后，每个BTS104与基站控制器(BSC)106进行通信。通常，BSC106在其控制下具有数百个BTS104A、104B。BSC106用于给移动设备102A、102B分配无线电资源，管理频率，并且控制BTS之间的移交。BSC106也可以用作集中器，使得至BSC106的许多低容量连接变成减少到较少数量的连接。在此描述的第二种类型的移动网络是基于通用移动通讯系统UMTS的移动网络。基于UMTS的移动网络使用宽带码分多址(W-CDMA)无线电接入技术。在此，移动设备102C至102D经由无线电通信与NodeB108A、108B连接。NodeB108A、108B是用于无线电接口的终止节点。每个NodeB108A、108B包括一个或更多个收发器，并且负责无线电接口的加密。每个NodeB108A至108B被配置成应用代码来描述基于CDMA的UMTS网络中的信道。通常，每个NodeB108A至108B对UMTS网络执行与BTS104A至104B对GSM网络执行的功能类似的功能。然后，每个NodeB108A至108B与无线电网络控制器(RNC)110进行通信。通常，RNC110在其控制下具有数百个NodeB1本文档来自技高网...

【技术保护点】
1.一种用于由移动网络提供商操作的PDN集成定制网络边缘使能器和控制器(PICNEEC)，包括：至少一个虚拟定制规则实施器(VCRE)实例，每个VCRE实例对应于一组移动设备并且定义针对所述一组移动设备个性化的一组策略，每个VCRE被配置成：在接收到经由无线电网络在基于分组的网络与相应组中的移动设备之间传送的数据分组时，在转发所述数据分组之前对所述数据分组执行存储在所述VCRE实例中的一个或更多个策略规则，每个VCRE实例通过所述移动网络提供商的不同客户直接访问所述VCRE实例而彼此独立地被控制。

【技术特征摘要】
【国外来华专利技术】2015.12.08 US 62/264,791;2016.04.05 US 15/090,9181.一种用于由移动网络提供商操作的PDN集成定制网络边缘使能器和控制器(PICNEEC)，包括：至少一个虚拟定制规则实施器(VCRE)实例，每个VCRE实例对应于一组移动设备并且定义针对所述一组移动设备个性化的一组策略，每个VCRE被配置成：在接收到经由无线电网络在基于分组的网络与相应组中的移动设备之间传送的数据分组时，在转发所述数据分组之前对所述数据分组执行存储在所述VCRE实例中的一个或更多个策略规则，每个VCRE实例通过所述移动网络提供商的不同客户直接访问所述VCRE实例而彼此独立地被控制。2.根据权利要求1所述的PICNEEC，其中，所述数据分组在服务通用分组无线服务(GPRS)支持节点/服务(SGSN)与所述PICNEEC内部的网关GPRS支持节点(GGSN)之间被路由。3.根据权利要求1所述的PICNEEC，其中，所述数据分组在服务网关(SGW)与所述PICNEEC内部的分组数据网络网关(PGW)之间被路由。4.根据权利要求1所述的PICNEEC，其中，所述数据分组在服务通用分组无线服务(GPRS)支持节点/服务(SGSN)与所述PICNEEC外部的网关GPRS支持节点(GGSN)之间被路由，外部GGSN通过所述PICNEEC来处理用于因特网协议(IP)连接接入网络的数据。5.根据权利要求1所述的PICNEEC，其中，所述数据分组在服务网关(SGW)与所述PICNEEC外部的PGW之间被路由，外部PGW通过所述PICNEEC来处理用于IP连接接入网络的数据。6.根据权利要求1所述的PICNEEC，其中，所述数据分组通过移动网络服务分组网关被路由，所述移动网络服务分组网关通过所述PICNEEC来处理所述数据分组。7.根据权利要求1所述的PICNEEC，其中，至少一个VCRE实例定义定制的接入点名称(APN)。8.根据权利要求1所述的PICNEEC，其中，至少一个VCRE实例是独立的虚拟网络功能。9.根据权利要求1所述的PICNEEC，其中，至少一个VCRE实例是独立的物理网络功能。10.根据权利要求1所述的PICNEEC，其中，至少一个VCRE实例是较大网络功能中的规则的子集，其中，所述客户只能访问规则的特定子集。11.根据权利要求1所述的PICNEEC，其中，至少一个VCRE实例由客户使用VCRE规则功能(RCF)控制台来创建。12.根据权利要求10所述的PICNEEC，其中，所述RCF控制台是安全外壳(SSH)接入。13.根据权利要求1所述的PICNEEC，其中，至少一个VCRE实例由客户使用VCRE规则功能(RCF)应用来创建。14.根据权利要求13所述的PICNEEC，其中，所述RCF应用是应用程序接口(API)。15.根据权利要求13所述的PICNEEC，其中，所述RCF应用是网站。16.根据权利要求13所述的PICNEEC，其中，所述RCF应用是专用计算机程序。17.根据权利要求11所述的PICNEEC，其中，所述RCF控制台直接管理至少一个VCRE实例。18.根据权利要求13所述的PICNEEC，其中，所述RCF应用直接管理至少一个VCRE实例。19.根据权利要求11所述的PICNEEC，其中，所述RCF控制台连接至管理所述VCRE实例中的至少一个VCRE实例的中央RCF。20.根据权利要求13所述的PICNEEC，其中，所述RCF应用连接至管理所述VCRE实例中的至少一个VCRE实例的中央RCF。21.根据权利...

【专利技术属性】
技术研发人员：乔纳森·施瓦茨，弗兰克·马尔卡，
申请(专利权)人：杰皮优艾欧有限公司，
类型：发明
国别省市：以色列,IL