用于例如通過以下步驟在非安全網(wǎng)絡基礎設施上自動地提供安全網(wǎng)絡基礎設施的方法和設備:自動地生成通過非安全網(wǎng)絡的IPSec隧道,在邊界設備端接該IPSec隧道和創(chuàng)建合適的服務以在IPSec隧道與安全網(wǎng)絡之間橋接業(yè)務。各種不同的實施例提供了安全網(wǎng)絡基礎設施、適配于特定客戶需求的安全網(wǎng)關(SEG)實施例和各種不同的商業(yè)方法的快速提供。
【技術實現(xiàn)步驟摘要】
【國外來華專利技術】
本專利技術一般地涉及通信網(wǎng)絡,更具體地(但不僅僅)涉及在非安全傳輸層上提供安全服務。
技術介紹
例如第四代(4G)無線網(wǎng)絡的各種不同的網(wǎng)絡支持大量的運行一個或多個應用程序的無線用戶。業(yè)務被打包并且經(jīng)由IP網(wǎng)絡按照多個網(wǎng)絡單元被傳輸,該多個網(wǎng)絡單元使用不同的傳輸技術、被施加以服務質(zhì)量(QoS)策略等等。這種網(wǎng)絡本身很復雜并且對于網(wǎng)絡服務提供商和他們?yōu)榇_保向其移動用戶穩(wěn)定地遞送高品質(zhì)服務所依賴的網(wǎng)絡管理工具提出了新挑戰(zhàn)。聯(lián)合傳輸層來提供和監(jiān)控安全基礎設施層(例如IPSec基礎設施層)是復雜的并且易于出錯,其中該安全基礎設施層構建于該傳輸層之上。傳輸網(wǎng)絡最初被提供用于支持針對各種不同的客戶目標而必需的帶寬。當需要安全聯(lián)網(wǎng)時,IPSec基礎設施然后被構建在所提供的網(wǎng)絡之上。傳輸網(wǎng)絡提供過程和IPSec基礎設施提供過程是彼此獨立的。這種獨立性導致低效率和缺乏這兩個層之間的互相感知,這在故障排除、更新、網(wǎng)絡管理和其他功能期間會產(chǎn)生問題。例如,在IPSec層之下的傳輸網(wǎng)絡單元內(nèi)的任何故障將例如通過降級終端用戶或終端客戶的虛擬專用遠程網(wǎng)(VPRN)來影響IPSec層的功能性。
技術實現(xiàn)思路
現(xiàn)有技術中的各種缺陷通過用于在非安全網(wǎng)絡基礎設施上提供安全網(wǎng)絡基礎設施的實施例而得到解決。各種不同的實施例提供了安全網(wǎng)絡基礎設施、適合于特定的客戶需求的安全網(wǎng)關(SEG)實施例和各種商業(yè)方法等的快速提供。各種實施例用于配置現(xiàn)有非安全網(wǎng)絡環(huán)境內(nèi)的單元以實現(xiàn)支持用于由用戶經(jīng)由非安全網(wǎng)絡接入安全網(wǎng)絡的接入點之間的安全隧道化所必需的服務,例如第三層(L3)虛擬專用網(wǎng)(VPN)服務、VPRN (虛擬專用遠程網(wǎng))服務、IES (因特網(wǎng)增強業(yè)務)服務和/或其它服務。當被配置時,安全網(wǎng)絡(例如企業(yè)網(wǎng))就用戶經(jīng)由非安全網(wǎng)絡(例如因特網(wǎng))接入企業(yè)網(wǎng)而言是受到保護的(例如IPSec連接到企業(yè)或其它安全網(wǎng)絡)。在安全網(wǎng)關(SEG)實施例中,關聯(lián)于邊界設備的路由器用作安全網(wǎng)絡的安全客戶端,而各種不同的用戶用作路由器的安全客戶端。這樣,關聯(lián)于用戶的IPSec業(yè)務在安全網(wǎng)關的邊界設備被端接,而不是在關聯(lián)于安全網(wǎng)絡的端接點。通過避開安全網(wǎng)絡內(nèi)的多個用戶IPSec隧道的端接,網(wǎng)絡的安全性被增強,提供復雜度被降低,并且企業(yè)網(wǎng)絡可以保留現(xiàn)有的服務和協(xié)議(例如L2VPN)。附圖說明參考附圖,通過考慮下面的詳細描述,能夠容易地理解本專利技術的教學,其中:圖1示出了根據(jù)一個實施例的示例性結(jié)構;圖2更詳細地示出了接近于圖1的結(jié)構中的路由器內(nèi)的邊界卡的網(wǎng)絡協(xié)議;圖3是說明由圖2的示例性管理系統(tǒng)執(zhí)行的服務創(chuàng)建和關聯(lián)過程的高級框圖;圖4是大規(guī)模視頻服務結(jié)構的高級框圖;圖5示出了適用于各種不同的實施例中的示例性管理系統(tǒng);圖6示出了根據(jù)一個實施例的包括管理系統(tǒng)的示例性無線通信系統(tǒng);圖7-8是說明根據(jù)各種不同的實施例的由管理系統(tǒng)執(zhí)行的發(fā)現(xiàn)和管理過程的高級框圖。為了促進理解,在可能的情況下使用相同的參考號碼來表示圖中共用的相同單J Li ο具體實施例方式本專利技術將主要在特定實施例的上下文中被描述,然而,讀過本專利技術的本領域技術人員應當認識到,本專利技術也適用于其他
和/或?qū)嵤├R话愣裕鞣N不同的實施例能夠支持和/或改進與構建安全基礎設施層(例如IPSec基礎設施層)相關聯(lián)的提供和監(jiān)控,該安全基礎設施層是在所提供的網(wǎng)絡傳輸層之上被構建的以提供如這種服務所需要的安全聯(lián)網(wǎng)服務。各種不同的實施例也適用于以下背景:安全套接層(SSL)虛擬專用網(wǎng)(VPN)、動態(tài)多點VPN、隨機加密等的上下文。受益于這種服務的各種不同的實施例也將被討論,包括經(jīng)由一個或多個非安全核心和/或接入網(wǎng)而接入安全企業(yè)網(wǎng)、提供視頻點播(VoD)和其他電視/廣播服務等。各種不同的實施例適用于支持安全聯(lián)網(wǎng)技術(例如IPSec隧道傳輸)的任何接入或核心網(wǎng)環(huán)境,包括現(xiàn)有的和將來的有線和/或無線IP網(wǎng)絡或使用IP型控制協(xié)議的網(wǎng)絡。例如,在這里就與長期演進(LTE)有關的環(huán)境(通常經(jīng)由eNodeB接入)而描述的各種不同的系統(tǒng)、裝置、方法、功能、程序、拓撲等也適用于其他環(huán)境,例如經(jīng)由數(shù)字用戶線(DSL)、纜線調(diào)制解調(diào)器和其他現(xiàn)有的和將來的接入技術而接入的環(huán)境。專利技術人也設想其他各種不同的LTE部件也可以使用根據(jù)本專利技術的安全隧道,例如MME、SGW、PCRF (DSC)和/或(PGW)。一般而言,LTE網(wǎng)絡或其他網(wǎng)絡的任何部件可以受益于擁有經(jīng)由安全網(wǎng)關(SEG)的安全隧道。盡管事實上eNodeB是針對這種功能性的最通用的客戶端。各種不同的實施例用于配置現(xiàn)有非安全網(wǎng)絡環(huán)境內(nèi)的單元以實現(xiàn)支持接入點之間的安全隧道傳輸所必需的服務,所述接入點用于經(jīng)由非安全網(wǎng)絡接入安全網(wǎng)絡,所述服務例如是第3層(L3)虛擬專用網(wǎng)(VPN)服務、VPRN (虛擬專用路由網(wǎng))服務(例如2547bis)、IES (互聯(lián)網(wǎng)增強型服務)服務和/或其它服務。當被配置時,就用戶經(jīng)由非安全網(wǎng)絡(例如因特網(wǎng))接入企業(yè)網(wǎng)而言(例如至企業(yè)或其它安全網(wǎng)絡的IPSec連接),安全網(wǎng)絡(例如企業(yè)網(wǎng))是受保護的。在安全網(wǎng)關(SEG)環(huán)境下,關聯(lián)于邊界設備的路由器用作至安全網(wǎng)絡的安全客戶端,而各種不同的用戶用作至路由器的安全客戶端。以這種方式,關聯(lián)于用戶的IPSec業(yè)務在安全網(wǎng)關的邊界設備處被端接,而不是在關聯(lián)于安全網(wǎng)絡的端接點。通過避免安全網(wǎng)絡內(nèi)的多個用戶IPSec隧道的端接,網(wǎng)絡的安全性被增強,提供復雜度被降低并且企業(yè)網(wǎng)可以保留現(xiàn)有的服務和協(xié)議(例如L2VPN)。提供安全基礎設施層一般而言,各種不同的實施例實現(xiàn)、支持和/或改進關聯(lián)于構建安全基礎設施層(例如IPSec基礎設施層)的提供和監(jiān)控,該安全基礎設施層是被構建于所提供的網(wǎng)絡傳輸層之上的從而當需要這種服務時提供安全聯(lián)網(wǎng)服務,例如提供經(jīng)由一個或多個非安全核心和/或接入網(wǎng)而至安全企業(yè)網(wǎng)的接入。這里描述的各種不同的實施例適用于支持安全聯(lián)網(wǎng)技術(例如IPSec隧道傳輸)的任何接入和核心網(wǎng)絡環(huán)境,包括現(xiàn)有的和將來的有線和/或無線IP網(wǎng)絡或使用IP型控制協(xié)議的網(wǎng)絡。例如,這里就與長期演進(LTE)有關的環(huán)境(經(jīng)由eNodeB接入)而描述的各種不同的系統(tǒng)、設備、方法、功能、程序、拓撲等也適用于其他環(huán)境,例如經(jīng)由數(shù)字用戶線(DSL)、纜線調(diào)制解調(diào)器和其他現(xiàn)有的和將來的接入技術而接入的環(huán)境。各種不同的實施例用于配置現(xiàn)有非安全網(wǎng)絡環(huán)境內(nèi)的單元以實現(xiàn)支持接入點之間的安全隧道傳輸所必需的服務,所述接入點用于用戶經(jīng)由非安全網(wǎng)絡接入安全網(wǎng)絡,所述服務例如是第3層(L3)虛擬專用網(wǎng)(VPN)服務、VPRN (虛擬專用路由網(wǎng))服務、IES (互聯(lián)網(wǎng)增強型服務)服務和/或其他服務。當被配置時,就用戶經(jīng)由例如互聯(lián)網(wǎng)的非安全網(wǎng)絡接入企業(yè)網(wǎng)而言(例如至企業(yè)或其他安全網(wǎng)絡的IPSec連接),安全網(wǎng)絡(例如企業(yè)網(wǎng))是受保護的。在安全網(wǎng)關(SEG)環(huán)境中,關聯(lián)于邊界設備的路由器用作至安全網(wǎng)絡的安全客戶端,而各種不同的用戶用作至路由器的安全客戶端。以這種方式,關聯(lián)于用戶的IPSec業(yè)務在安全網(wǎng)關的邊界設備處被端接,而不是在關聯(lián)于安全網(wǎng)絡的端接點。通過避免安全網(wǎng)絡內(nèi)的多個用戶IPSec隧道的端接,網(wǎng)絡的安全性被增強,提供復雜度被降低并且企業(yè)網(wǎng)可以保留現(xiàn)有的服務和協(xié)議(例如L2VPN)。圖1示本文檔來自技高網(wǎng)...
【技術保護點】
【技術特征摘要】
【國外來華專利技術】2010.03.16 US 61/314,448;2011.03.15 US 13/047,8591.一種用于在非安全網(wǎng)絡基礎設施上生成安全服務層的方法,包括: 接收關聯(lián)于期望的IPSec服務的服務請求,該服務請求信息包括要保護的安全網(wǎng)絡的至少一個標識; 選擇包括邊界設備的至少一個路由設備以用作安全網(wǎng)關(SEG); 提供安全聯(lián)網(wǎng)服務以在所述邊界設備的第一部分處端接來自所述安全網(wǎng)絡的安全業(yè)務; 提供安全聯(lián)網(wǎng)服務以在所述邊界設備的第二部分處端接來自非安全網(wǎng)絡的隧道化公共業(yè)務; 創(chuàng)建接口以對隧道化業(yè)務和相應的安全業(yè)務進行適當?shù)木幗M從而構成安全網(wǎng)絡業(yè)務路徑,其中每個組都關聯(lián)于各自的封裝標識符。2.根據(jù)權利要求1所述的方法,還包括: 選擇被授權接入所述安全網(wǎng)絡的所述非安全網(wǎng)絡內(nèi)的多個接入點; 將每個接入點關聯(lián)于合適的SEG ;和 配置每個SEG的安全聯(lián)網(wǎng)服務以端接來自相應接入點的隧道化公共業(yè)務。3.根據(jù)權利要求1所述的方法,其中,用于端接來自所述非安全網(wǎng)絡的隧道化業(yè)務的所述安全聯(lián)網(wǎng)服務包括第三層虛擬專用網(wǎng)(L3 VPN)服務、VPRN (虛擬專用路由網(wǎng))服務和IES (因特網(wǎng)增強業(yè)務)服務中的一個。4.根據(jù)權利要求1所述的方法,其中,對包括邊界設備的所述至少一個路由設備的所述選擇包括: 標識接近于要保護的所述安全網(wǎng)絡的一個或多個路由器;和 按照以下準則中的一個或多個來選擇所述路由器之一:成本、與用戶的接近度、與服務提供商的接近度和使用率等級。5.根據(jù)權利要求1所述的方法,其中,所生成的IPSec服務層包括用于將多個客戶安全地連接到所述安全網(wǎng)絡的服務,所述方法還包括: 將所述用戶劃分成按照用戶位置而限定的多個組;和 在各自的地理上接近的交換單元聚集關聯(lián)于每個用戶組的業(yè)務; 其中,所聚集的業(yè)務包括視頻服務業(yè)務,所聚...
【專利技術屬性】
技術研發(fā)人員:G·索馬德爾,J·R·卡里佩爾,P·N·巴魯斯,S·科拉,M·法魯克,
申請(專利權)人:阿爾卡特朗訊公司,
類型:
國別省市:
還沒有人留言評論。發(fā)表了對其他瀏覽者有用的留言會獲得科技券。