[go: up one dir, main page]

JP5298203B2 - Nat経由のデータセッションのポリシー及び課金制御のための制御セッションのトークンベースの相関 - Google Patents

Nat経由のデータセッションのポリシー及び課金制御のための制御セッションのトークンベースの相関 Download PDF

Info

Publication number
JP5298203B2
JP5298203B2 JP2011539904A JP2011539904A JP5298203B2 JP 5298203 B2 JP5298203 B2 JP 5298203B2 JP 2011539904 A JP2011539904 A JP 2011539904A JP 2011539904 A JP2011539904 A JP 2011539904A JP 5298203 B2 JP5298203 B2 JP 5298203B2
Authority
JP
Japan
Prior art keywords
session
token
policy
address
policy server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2011539904A
Other languages
English (en)
Other versions
JP2012511846A (ja
Inventor
アヴェリナ パルド−ブラスケス,
アロンソ, スサナ フェルナンデス
マルコス, マリア ベレン パンコルボ
Original Assignee
テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by テレフオンアクチーボラゲット エル エム エリクソン(パブル) filed Critical テレフオンアクチーボラゲット エル エム エリクソン(パブル)
Publication of JP2012511846A publication Critical patent/JP2012511846A/ja
Application granted granted Critical
Publication of JP5298203B2 publication Critical patent/JP5298203B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1403Architecture for metering, charging or billing
    • H04L12/1407Policy-and-charging control [PCC] architecture
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/14Charging, metering or billing arrangements for data wireline or wireless communications
    • H04L12/1428Invoice generation, e.g. customization, lay-out, database processing, algorithms for calculating the bill or formatting invoices as WWW pages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/146Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/10Architectures or entities
    • H04L65/1016IP multimedia subsystem [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

本発明は、電気通信システムにおけるポリシー及び課金制御に関連するものである。これは、特に、いわゆる、詳細パケット検査を容易にするために、ネットワークアドレストランスレータ群を採用するアーキテクチャにおいてポリシー及び課金制御を実現するための方法及び装置に関するものである。
現代の電気通信システムは、ポリシー及び課金制御(PCC)アーキテクチャを組み込むことができる。PCCアーキテクチャは、3G電気通信システムを通じてユーザ機器であるUEによって確立されるIP−CANセッションにおけるパケットフロー群に関して、3GPP TS 23.203に記載されている。特定のアーキテクチャは、ポリシー及び課金ルール機能(PCRF)と、ポリシー及び課金執行機能(PCEF)を備えている。PCRFはポリシー決定ポイント(PDP)あるいはポリシーサーバ(PS)として動作し、かつPCEFはポリシー執行ポイント(PEP)として動作する。PCRFは、スタンドアローンノードとして実現することができる一方で、汎用パケット無線サービス(GPRS)コアネットワーク内のGPRSゲートウェイサポートノード(GGSN)のようなアクセスゲートウェイに一緒に配置されていることが好ましい。関連するアーキテクチャは、3GPP2ネットワーク群とTISPAN次世代ネットワーク群に対して提供される。
ユーザ機器(UE)がデータセッションを開始する場合、IPアドレスが適切なAGによって割り当てられる。AGはこのIPアドレスを、例えば、NAI、IMSI、あるいはMSISDNとともに、PSへ提供し、一方で、PSはAGにデータセッションに適用されるべきポリシールール群のセットをダウンロードする。UEが(最終)アプリケーション機能(AF)と通信する場合、AFはセッション詳細をPSへ提供する。UEが続いてAFによって提供されるサービスに対するリソース群をリクエストする場合、PSはAGに、AFによって提供されるセッション詳細に基づく更なるポリシールール群のセットをダウンロードする。3GPPネットワークでは、AFはポリシー呼セッション制御機能であるP−CSCFであっても良く、あるいは、AGを通じてIP−CANセッション(群)を介するベアラ(群)セットアップを介してアプリケーション通信をUEと確立する任意の種類のアプリケーションサーバであっても良い。
典型的には、ポリシールールは、セッションを記述する5−タプルベクトルを備える(即ち、orig IP−addr/port(発信元IPアドレス/ポート)、dest IP−addr/port(宛先IPアドレス/ポート)、プロトコル−TCP/UDP)。PCEFは、関連するタプル群を検出して、ルール群を適用するためにパケット群を検査する。しかしながら、この技術は、パケット群の制限のある(粗)解析のみを許容している、これは、これらの5つのIPヘッダ以外のパケット検査を許容していないからである、例えば、ペイロードデータの検査を許容していないからである。
より詳細なレベルでのパケット群の検査、いわゆる、詳細パケット検査(DPI(Deep Packet Inspection))を可能であるが、より多くの時間とリソースを消費することは明らかであり、いくつかのサービスに対しては不必要である場合がある。例えば、オペレータは、「ピアツーピア」サービス群にPCCルール群を適用することに関心がある場合があるが、他のインターネットベースのサービス群には関心がない場合もあるからである。DPIは、また、課金目的のために採用することができる。典型的には、DPI機能群は受動素子群である。これは、それらがIPパケット群を「傍受」するだけであって、それらを操作することはないことを意味する。ここで、アップリンク方向(UL)における発信IPパケット群がゲートウェアによって割り当てられるユーザIPアドレスを含んでいる場合、ダウンリンク(DL)における着信IPパケット群はAGに直接転送されることになり、これによって、DPIノードの制御機能をスキップする。
解決策としては、ネットワークアドレストランスレータ(NAT)と協働するDPIノードを実装することである。このようなアーキテクチャ(3GPP TS 23.203)が図1に示される。DPIは「Gx」インタフェースを実装して、そうすることで、セッションが開始される場合にPSと通信し、かつそのPSからポリシールール群を受信する。逆に、AGはPSから、パケットがNATへ送信されるべきかあるいは適切なAFに向けて直接送信されるべきかについて(例えば、標準のルーティングテーブル群を使用して)のルール群を受信する。これは、例えば、1つのサービスに関連するパケット群をNATへ転送させることを可能にし、かつ別のサービスに関連するパケット群を適切なAF(図1の例ではAF1)へ直接へ送信させることを可能にする。NATの機能は、発信元IPアドレスを、発信元アドレスにマップする新規の(「NAT変換済(NATed)」)IPアドレスへ変更することによって、UEによって送信されるIPパケット群を修正することである。NAT変換済アドレスは、NATによって「所有される」所与のIPアドレス範囲から選択される。NATは、修正したパケット群を検査用のDPIノードへ転送する。DPIは、そのパケット群を割り当てられたAF(図1の例におけるAF2)へ転送する。DPIノードに向けて割り当てられたIPアドレス範囲へ転送するために、ダウンリンク方向における着信トラフィックに対してエッジIPルータ(群)を構成設定することによって、この方法は、送信元UEへ宛先ノードによって送信されるパケット群が最初にDPIへ転送されることを補償する。つまり、発信パケット群と着信パケット群の両方のDPIが保証される一方で、同時に、不必要となるパケット群についてDPIを実行するための必要性を回避する。その結果としての、トラフィックフロー群、NAT変換及び非NAT変換が図2で示される。
DPI要素に向けての所与のトラフィックのサブセットを転送するための決定は、PSにおけるポリシー群のセットを評価することによって行うことができる。この決定は、例えば、プロトコル、TCP/UDPポート、発信元/宛先IPアドレス、RATタイプ、加入者情報、QoS情報及びサービス提供ネットワークに基づくことができる。
図3は、(発信パケット群と着信パケット群の両方の)DPIを実現するためのNAT方法に関連する第1の課題を示していて、即ち、DPIノードは、PSにAGによって割り当てられているUE UPアドレスを提供することができない。即ち、それは、NAT変換済アドレスだけを知っているからである。ここでは、UE IPアドレスは、サービス制御セッション(例、Gxセッション)と3GPP PCCアーキテクチャ(TS23.203)に従うAFのサービスセッションとを相関させるためにPSで使用される。
第2の課題は、IP−CANセッション特性を識別し、かつどのPCCルールがインストールされるべきかを決定するためにUE IPアドレスを使用するPSによって生じる。これは、PCCルール決定におけるAGとのサービス制御セッションからDPIノードに向かうデータ、及びその逆に向かうデータをPSが使用することを防ぐことである(例えば、IP−CANセッション最大QoS制御するために)。また、これは、別のPEPから受信されるいくつかのトリガーに応答して、PCCルール群を1つのPEPへプッシュすることをPSに可能にすることを防ぐことである(例えば、DPIノードによる使用量報告によりAGにおけるベアラQoSにおける動作を行うために)。
図4を参照すると、これは、DPIノードが汎用ベアラセットアップ(例えば、PDPコンテキスト作成、ステップ1から7)中に関与しないことを示している。DPIノードに対しては、PSに向けてのサービス制御セッション作成に対するトリガーは、RADIUSアカウンティングスタートの受信である(ステップ9及び10)。加入者IMSIのような他のデータは、AGによって、PSとRADIUSインタフェース(及び、ここでは、DPIノードで利用可能である)を通じて送信され、この情報は、いくつかのIP−CANセッションをセットアップするユーザの可能性により(異なるIPアドレス群を使用する)、IP−CANセッションを固有に識別する必要はない。DPIノード内のUE IPアドレスの不存在は、ネットワークオペレータによって採用することができるポリシー評価処理群を制限する。少なくとも以下の4つの欠点が認識されている。
1.PSは、IP−CANセッションの特性セット、例えば、IP−CANセッションごとの最大QoSを適切に制御することができない。これは、各サービス制御セッションがPS内で異なるIP−CANセッションとして動作するからである。
2.このポリシー評価処理の結果として、PSは、AG及びDPIノードのどちらでも執行される動作を行うことを決定することができない。
3.DPIノードによって開始されるポリシー評価処理は、その初期ポリシー評価処理でAGによってPSへ送信されるセッションデータを評価することによって拡張することができない。
4.DPIノードによって開始されるポリシー評価処理は、適切な決定を執行するために、AFが、例えば、Rxインタフェースを介してPSへ提供するサービス情報を考慮することができない。
図5のシーケンス図は、DPIへのNAT変換済方法に伴う第2の課題を示している。特に、図5は、AFが動的サービスセッションに対して関与する場合に生じるセッション相関の問題を示している(図5は、この問題に関連するいくつかのステップだけのみを示す簡略図となっている)。UEは、AFシグナリングがネゴシエートできるようにベアラを確立していると想定する。
図に従えば、UE−Aは、UE−Bとの動的サービスセッションをネゴシエートする。この動的サービスセッションには、自身が所有するIPアドレス(IP−A)を使用するセッション記述プロトコル(SDP)を含んでいる。他方の一端が、自身の所有するIPアドレス(IP−B)を含むSDP応答を送信する。発信ネットワークのPSは、アクセスGW−Aにインストールされる、アップリンク(UL)方向とダウンリンク(DL)方向に対するサービスデータフローを伴うPCCルール群を生成する。UL方向に対しては、サービスデータフィルタは、発信元IPアドレスがIP−Aに設定されること、また、宛先IPアドレスがIP−Bに設定されることを含んでいる。DL方向に対しては、サービスデータフィルタは、発信元IPアドレスがIP−Bに設定されること、また、宛先IPアドレスがIP−Aに設定されることを含んでいる。
発信ネットワークにおけるPSは、IPセッションがNAT変換済IPアドレスを含んでいることを発見し、そうすることで、PCCルール群はDPIにもインストールされるべきである。新規のPCCルールは、DPIにインストールされる、UL方向及びDL方向に対するサービスデータフローを伴って生成される。
UL方向に対して、サービスデータフィルタ群は発信元IPアドレスがIP−Xに設定され、かつ宛先IPアドレスがIP−Bに設定されることを含んでいる。DL方向に対しては、サービスデータフィルタは、発信元IPアドレスがIP−Bに設定され、また、宛先IPアドレスがIP−Xに設定されることを含んでいる。
宛先ネットワークにおけるPSは、アクセスGW−Bにインストールされる、UL方向及びDL方向に対するサービスデータフローを伴うPCCルール群を生成する。UL方向に対しては、サービスデータフィルタは発信元IPアドレスがIP−Bに設定され、また、宛先IPアドレスがIP−Aに設定されることを含んでいる。DL方向に対しては、サービスデータフィルタは、発信元IPアドレスがIP−Aに設定され、また、宛先IPアドレスがIP−Bに設定されることを含んでいる。
図6は、セッションネゴシエーションが終了された後に、UL TFT=IP−B及びポートBに対応するベアラを介して、パケット群をUE−Bへ送信することを、UE−Aが決定する場合に何が起きるかを示している。アクセスGW−Aは、パケット群がPCC ルールAに対するサービスデータフローと合致することを検出し、かつそのPCCルールを執行して、そのパケット群を転送する。このパケットは、DPIへ送信され、このDPIは、メディアパケットを宛先ネットワークへ転送することを決定する。アクセスGW−Bは、受信したパケット群がPCCルールB内の任意のサービスデータフローに合致しないことを検出し、そうすることで、そのパケット群を破棄する。
本発明の第1の態様に従えば、ポリシー及び課金ルール機能として動作するポリシーサーバを備えるパケット交換ネットワークに渡って送信されるパケット群を処理する方法が提供される。この方法は、第1のポリシールール群のセットを前記ポリシーサーバにおいて提供し、かつ前記第1のポリシールール群のセットを前記ポリシーサーバからアクセスゲートウェイへ第1のサービス制御セッションを介してインストールすることを含んでいる。前記第1のポリシールール群のセットは、所与のIPセッションに属するパケット群を前記アクセスゲートウェイによってネットワークアドレストランスレータに迂回させる。前記ネットワークアドレストランスレータにおいては、前記パケット群の発信元IPアドレスが、詳細パケット検査ノードを識別する変換済発信元IPアドレスへ変換される。前記ネットワークアドレストランスレータは、前記パケット群を、IPパケット群の詳細パケット検査を実行するように構成されている前記詳細パケット検査ノードへ転送する。
第2のポリシールール群のセットは前記ポリシーサーバにおいて提供され、かつ前記第2のポリシールール群のセットは前記ポリシーサーバから前記詳細パケット検査ノードへ第2のサービス制御セッションを介してインストールされ、前記第2のポリシールール群のセットは、前記詳細パケット検査によって受信時の前記パケット群に対して適用される。
この方法は、以下のステップで特徴づけられる。
・前記セッションを固有に識別するトークンを前記IPセッションに割り当て、かつ前記トークンを前記ポリシーサーバと前記アクセスゲートウェイへ提供するステップと、
・前記トークンを前記アクセスゲートウェイから前記詳細パケット検査ノードへ前記ネットワークアドレストランスレータを介して送信するステップと、
・前記トークンを前記詳細パケット検査ノードから前記ポリシーサーバへ送信するステップと、
・前記ポリシーサーバにおいて、前記トークンを使用して、前記第1のサービス制御セッションと前記第2のサービス制御セッションとを関連付けるステップと
を備える。
本発明の実施形態に従えば、前記セッションを固有に識別するトークンを前記IPセッションに割り当て、かつ前記トークンを前記ポリシーサーバと前記アクセスゲートウェイへ提供するステップは、前記IPセッションの確立時に前記ポリシーサーバにおいて前記トークンを生成することを含んでいても良い。前記トークンは、前記アクセスゲートウェイからの、前記発信元IPアドレスを含むポリシー評価リクエストの前記ポリシーサーバにおける受信に応じて、前記ポリシーサーバにおいて生成され、前記ポリシーサーバは、前記アクセスゲートウェイに送信される応答に前記トークンを含める。前記ポリシー評価リクエストは、Diameterクレジット制御リクエストであっても良い。前記ポリシーサーバは、前記アクセスゲートウェイに関連付けられているアクセスポイント名が前記ポリシーサーバによって保持されるアクセスポイント名群の規定のリストに存在する場合にのみ、前記トークンを生成しても良い。
本発明の別の実施形態に従えば、前記トークンは、汎用ベアラリクエストの前記アクセスゲートウェイにおいての受信に応じて前記アクセスゲートウェイにおいて生成されても良く、前記アクセスゲートウェイは、前記トークンを前記ポリシーサーバに送信されるポリシー評価リクエストに含める。前記ポリシー評価リクエストは、Diameterクレジット制御リクエストであっても良い。
トークンを生成するための1つのメカニズムは、加入者のアイデンティティのハッシュあるいは前記発信元IPアドレスのハッシュを生成することである。前記トークンは、アカウンティングセッションアイデンティティフィールド内で送信されても良い。
前記トークンを前記詳細パケット検査ノードから前記ポリシーサーバへ送信するステップは、前記トークンをポリシー評価リクエストに含めることを含んでいても良い。前記ポリシー評価リクエストは、Diameterクレジット制御リクエストであっても良い。
本発明は、GPRSコアネットワークを備えるネットワークに適用することができ、そのGPRSコアネットワークにおいて、前記アクセスゲートウェイは、GPRSゲートウェイサポートノードである。
この方法は、
前記パケット交換ネットワークのアプリケーション機能においてセッション記述プロトコル提案を受信するステップであって、前記セッション記述プロトコル提案は、エンドポイント群の間のセッションの確立に関連し、該エンドポイント群の内の1つは前記発信元IPアドレスに関連付けられている、ステップと、
前記セッション記述プロトコル提案が、前記パケット交換ネットワーク内のネットワークアドレス変換の対象となる発信元IPアドレスを含んでいることを判定するステップと、
前記セッション記述プロトコル提案内の前記発信元IPアドレスを前記変換済発信元IPアドレスに置換するステップと、
前記セッション記述プロトコル提案を自身の宛先へ転送するステップと
を備えても良い。
前記セッション記述プロトコル提案が、前記パケット交換ネットワーク内のネットワークアドレス変換の対象となる発信元IPアドレスを含んでいることを判定するステップは、前記発信元IPアドレスを前記アプリケーション機能からポリシーサーバあるいはネットワークアドレストランスレータに送信し、かつ対応する応答で前記変換済発信元IPアドレスを受信することを含んでいても良い。前記発信元IPアドレスは、DiameterAAメッセージ内で送信され、対応する前記変換済発信元IPアドレスはDiameterAAメッセージで返信される。
この方法は、IPマルチメディアサブシステムを備えるパケット交換ネットワークに適用することができ、ここで、前記アプリケーション機能は、プロキシ呼制御機能である。
本発明の第2の態様に従えば、パケット交換ネットワークにおけるポリシー及び課金制御を実現するためのポリシーサーバが提供される。このポリシーサーバは、アクセスゲートウェイと詳細パケット検査ノードそれぞれとのサービス制御セッション群を確立し、かつ前記パケット交換ネットワークに渡るIPセッションに関連するポリシールール群を前記サービス制御セッション群に渡って配信するためのサービス制御セッション処理ユニットを備える。また、前記ポリシーサーバは、更に、前記ポリシーサーバと前記アクセスゲートウェイとの間の前記サービス制御セッションに固有に関連付けられているトークンを受信あるいは生成し、前記ポリシーサーバと前記詳細パケット検査ノードとの間の前記サービス制御セッションに固有に関連づけられている前記詳細パケット検査ノードからのトークンを受信し、かつ前記サービス制御処理ユニットへ前記トークンが合致するかを通知するためのトークン処理ユニットを備える。前記サービス制御セッション処理ユニットは、前記サービス制御セッション群を関連付け、かつ適切な場合にポリシールール群を配信するように構成されている。
本発明の第3の態様に従えば、パケット交換ネットワークを通過するパケット群の詳細パケット検査を実現するための詳細パケット検査ノードが提供される。この詳細パケット検査ノードは、アクセスゲートウェイから、ネットワークアドレストランスレータを介して、アカウンティングスタートメッセージとして、該アカウンティングスタートメッセージに関連するIPセッションを固有に識別するトークンを含むアカウンティングスタートメッセージを受信するための第1の受信機と、前記パケット交換ネットワークのポリシーサーバへ、前記アカウンティングスタートメッセージの変換済発信元IPアドレスと前記トークンを含むポリシー評価リクエストを送信するための送信機とを備える。前記詳細パケット検査ノードは、更に、前記ポリシーサーバから、前記IPセッションに割り当てられているポリシールール群のセットを受信するための第2の受信機を備える。
本発明の第4の態様に従えば、パケット交換ネットワークで使用するための、かつ前記パケット交換ネットワークのポリシー執行ポイントとして動作するように構成されているアクセスゲートウェイが提供される。前記アクセスゲートウェイは、IPセッションを確立するために、汎用ベアラリクエストをユーザ機器から受信するための受信機と、ポリシーサーバから前記IPセッションに固有に関連付けられているトークンを受信するための、あるいは前記IPセッションに固有に関連付けられているトークンを生成してポリシーサーバへ送信するための、トークン処理ユニットとを備える。前記アクセスゲートウェイは、更に、前記トークンを含むアカウンティングスタートメッセージを詳細検査ノードへネットワークアドレストランスレータを介して送信するための送信機を備える。
本発明の第5の態様に従えば、パケット交換ネットワークに渡るエンドポイント群間でのセッション確立を容易にするための方法が提供される。この方法は、セッション記述プロトコル提案を前記パケット交換ネットワークのアプリケーション機能において受信するステップと、前記セッション記述プロトコル提案が、前記パケット交換ネットワーク内のネットワークアドレス変換の対象となる発信元IPアドレスを含んでいるかを判定するステップとを有する。前記発信元IPアドレスが前記ネットワークアドレス変換対象である場合、前記セッション記述プロトコル提案内の前記発信元IPアドレスを、対応するネットワークアドレス変換済発信元IPアドレスに置換される。前記セッション記述プロトコル提案は自身の宛先へ転送される。
前記セッション記述プロトコル提案が、前記パケット交換ネットワーク内のネットワークアドレス変換の対象となる発信元IPアドレスを含んでいるかを判定するステップは、前記発信元IPアドレスを前記アプリケーション機能からポリシーサーバあるいはネットワークアドレストランスレータへ送信し、かつ応答で対応するネットワークアドレス変換済発信元IPアドレスを受信することを有する。
前記発信元IPアドレスは、DiameterAAメッセージ内で送信されても良く、前記対応するネットワークアドレス変換済発信元IPアドレスは、DiameterAAメッセージで返信されても良い。
前記パケット交換ネットワークは、IPマルチメディアサブシステムを備えても良く、前記アプリケーション機能は、プロキシ呼セッション制御機能であっても良い。
本発明の第6の構成に従えば、パケットデータネットワーク内のアプリケーション機能として動作するように構成されている装置が提供される。この装置は、セッション記述プロトコル提案をユーザ機器から受信するための受信機と、前記セッション記述プロトコル提案が、前記パケット交換ネットワーク内のネットワークアドレス変換の対象となる発信元IPアドレスを含んでいるかを判定し、前記発信元IPアドレスを含んでいる場合に、前記セッション記述プロトコル提案内の前記発信元IPアドレスを、対応するネットワークアドレス変換済発信元IPアドレスに置換するための提案ハンドラとを備える。前記装置は、更に、前記セッション記述プロトコル提案を自身の宛先へ送信するための送信機を備える。
詳細パケット検査のためのプロビジョンを伴うパケットネットワークアーキテクチャを示す図である。 IPアドレスNAT変換を伴う場合と伴わない場合とでの図1のアーキテクチャにおけるシグナリングフローを示す図である。 IPアドレスNAT変換による図1のアーキテクチャで生じる課題を示す図である。 NAT変換によって生じる課題を更に示す、図3のネットワークアーキテクチャにおけるシグナリングフローを示す図である。 NAT変換を介在するIPセッションの発信元側及び宛先側におけるPCCルール群のインストールを示す図である。 NAT変換によって生じ得る、特に、パケット群の破棄を伴う、確立済IPセッションに関連付けられているシグナリングフローを示す図である。 NAT変換から生じる課題を軽減するための、パケットネットワークアーキテクチャとセッション確立手順とを示す図である。 パケットサーバに記憶されるPCC関連情報の相関を示す図である。 図7のネットワークアーキテクチャを介するシグナリングフローの詳細を示す図である。 パケットサーバのアーキテクチャを示す図である。 詳細パケット検査ノードのアーキテクチャを示す図である。 アクセスゲートウェイのアーキテクチャを示す図である。 アプリケーション機能を介してSIPセッション確立に関連付けられているシグナリングフローを示す図である。 図13のフローから後続する、アクセスゲートウェイ及び詳細パケット検査ノードにおける、PCCルール群のインストールに関連付けられているシグナリングフローを示す図である。 確立済IPセッションに関連付けられているパケットのエンドツエンドフローを示す図である。 アプリケーション機能ノードを示す図である。
上述の、かつ詳細パケット検査(DPI)を容易にするためにNATの使用から生じる課題に対処するために、ポリシーサーバ(PS)内で、所与のサービス制御セッション(例、PSとアクセスゲートウェイ(AG)との間のGxセッション)と、同一のIP−CANセッションに対する対応するサービスセッション群(例、PSとアプリケーション機能(AF)との間のRxセッション)とをリンクさせるためのトークンを使用することを提案する、ここで、IP−CANセッションは、IPアドレスによって識別される、ユーザ機器であるUEとネットワークとの間に存在するIPセッションを指している。共有されるトークンは、IP−CANセッションを固有に識別するべきである。ここで、異なるIP−CANセッション群は、異なる値のトークンによって識別される。すべての影響のあるネットワーク要素群に渡ってこのトークンを分散するためのメカニズムも提案される。提案される方法は図7に示され、一方で、図8は、相関情報がPSにどのように記憶されるかを示している。
トークンは、初期ポリシー評価処理中に、AGによって作成し、そして、PSへ送信することができる、あるいは、初期ポリシー評価リクエストの受信において、PSによって作成し、そして、AGへ送信することができる。AGがトークンを提供する場合、ポリシー評価処理の結果として、AGはIPパケット群のサブセットをDPIノードに向けて転送し、かつAGはそのトークンをDPIノードへ提供する。つまり、DPIノードは、PSに対するポリシー評価リクエストにトークンを含めることができる。この方法では、PSは、同一のIP−CANセッションに対するDPIノードサービス制御セッションを伴うAGサービス制御セッションを識別することができる。図7は、トークンを作成するPSが介在するソリューションを示している。これは、いつDPIが、例えば、どのAPNに対して使用されることになるかをPSが知ることを意味している。PSは、トークンをAGに向けての応答に含め、次に、AGは、それをDPIノードへ転送する。どちらのソリューションも、DPIノードで執行されるポリシー評価処理におけるサービスセッション情報を考慮に入れることを可能にする。
取り得る実装では、RADIUSプロトコルで使用されるアカウンティングセッションIDフィールド内にトークンを含めることに関与する。これは、AGがトークンを作成して、かつそれをアカウンティングセッションIDとしてPSへ送信されるポリシー評価リクエスト内に含めることを意味する。続いて、RADIUSアカウンティングスタートメッセージを送信する場合には、同一のアカウンティングセッションIDが使用されることになる。この方法の利点は、新規のパラメータをRADIUSプロトコルに導入することの必要性を回避することである。
別の実装では、一方向ハッシュ関数を実際のユーザアイデンティティ(MSISDN、例)を適用することによってトークンを生成することに関与する。ハッシュ関数をユーザアイデンティティと時間依存値との組み合わせに適用することによってエントロピーを増やすことができる。この時間依存値は、例えば、Seed=SHA−1(MSISDIN,CurrentTimeInMIlliSeconds)である。この関数は、トークン(所望のビット数に切り捨てられる)、即ち、Token=Firtst_64_bits(Seed)を生成するために使用することができる160ビット出力を生成する。更に別の実装では、一方向ハッシュ関数を実際のUE IPアドレスに適用することによってトークンを生成することに関与する。
AGがトークンを作成することを担当する場合、PSと接続する前に、PSへの最初のクエリーがトークンを含むようにその作成を実行するべきである。PSは、他のセッション情報を含むトークンを記憶する。トークンを作成するのがPSである場合、PSは、AGからのポリシー評価リクエストへ応答する前に、その作成を実行するべきであり、そうすることで、トークンを応答に含めることができる。これまでのように、PSは、他のセッション情報の内部でトークンを記憶する。PSがどのAPNがNATを配置しているかの予備知識を有している場合、PSは、これらのAPNに対してトークンだけを作成することができる。ここで、PSは、第1のポリシー決定クエリー内でAGからのAPNデータを受信することに注意されたい。
以下では、PSがトークン生成を担当することを想定する。
トークンは、以下で説明するように、IP−CANセッション確立手順中に介在するノード群に渡って配信されるべきである。PSは、トークンを使用して、サービス制御セッション群とIP−CANセッションとの間の関連付けを維持する。それゆえ、これらのサービス制御セッション群の任意のものを介する後続の手順では、トークンは含められる必要がない、これはPSがそれらのセッション群と相関することができるからである。PSはポリシー執行ポイント群の任意のもの(即ち、AGあるいはDPIノード)からのIP−CANセッションに対するセッション終了指示を受信する場合、PSは適切に、IP−CANセッションに関連するすべてのサービス制御セッション群を終了することができる。これらの相関も、内部的に削除される。PSは、また、ある内部的なトリガー、例えば、加入データの変更に応じて、サービス制御セッション群と内部相関情報との両方を削除する。
図9は、以下で示されるような、制御シグナリングのフローを示している。
1.AGは、汎用ベアラリクエストを受信する。このイベントは、PSにおけるIP−CANセッションの作成をトリガーする。
2.AGは、その加入者に対して適用可能なポリシー群を評価するためにPSと通信する。3GPPでは、これは、AGによって割り当てられるUE IPアドレスを含むDiameter CCRメッセージである。
3.PSは、IP−CANセッションに対するトークンを作成する(注 このトークンは固有でなければならず、そうすることで、それをUE IPアドレスにすることはできない)。
4.PSは、UE IPアドレスとトークンを含むセッション情報を記憶する。
5.PSは、適用可能なポリシー群を評価し、かつAGによって執行されるPCCルール群を作成する。
6.PSは、トークンを含むDiameterCCAメッセージで、例えば、適切な属性値ペア(AVP)で、PCCルール群をAGへ送信する。
7.AGは、PCCルール群をインストールする。汎用ベアラの確立に対する残りの手順を継続する。
8.汎用ベアラリクエストがUEに受け付けられる。
9.AGは、Giインタフェースを介してAAAサーバとのアカウンティングセッションをスタートする。このインタフェース(Gi)は、DPIノードによって「傍聴」される。[いくつかの場合では、DPIは、AAAタスク群を実行することができる]。DPIノードにおけるアクションをトリガーするメッセージ群は、Radiusアカウンティングメッセージ群である。RADIUSアカウンティングスタートメッセージは、AGによって割り当てられるUE IPアドレスとトークンを含んでいる。
10.このネットワーク構成設定では、DPIノードに向けてのRadiusトラフィックはNATを通じて転送される。ここで、NATはAGによって割り当てられているUE IPアドレスを削除し、その制御下にあるIPアドレス群の1つ(本明細書では、NAT変換済IPアドレスと呼ばれる)と、ステップ9で受信されるトークンを含める。
11.DPIノードは、セッションと加入者に対するPSへポリシー評価をリクエストする。この状況では、DPIノードは、NAT変換済IPアドレスとトークン(適切なベンダー専用AVPにおける)とを含むDiameterCCRを送信する。
12.この情報を用いると、PSは、AGとDPIノード群との両方によって制御される加入者のIP−CANセッションをサーチすることができる。このトークンを使用することによって、それゆえ、PSは、(非NAT変換済)UE IPアドレスと対応するUE NAT変換済IPアドレスとの間の関係性を確立することができる。この関係性は、これらのIPアドレス群が介在する更なる対話で使用するために、PSによって局所的に記憶することができる。
13.PSは、適用可能なポリシー群を評価し、かつ、DPIノードによって執行されるPCCルール群を作成する。
14.PSは、PCCルール群をDPIノードへDiameterCCAメッセージで送信する。
15.DPIノードは、PCCルール群をインストールする。
システムは、これで、トラフィックプレーンを形成する準備に入る。
図10は、上述の方法で使用するためのパケットサーバ(PS)1の簡略化図である。PSは、AGとDPIとが機能的に接続されるサービス制御セッション処理ユニットを備える。このユニット3は、これらの2つネットワーク要素とのサービス制御セッション群を管理し、そして、セッション群を介してポリシールール群を配信する。トークン処理ユニット2は、機能的には少なくともDPIに接続されている。トークン処理ユニット2は、セッション確立時にトークンを生成する、あるいはAGからトークンを受信する。トークンがDPIから受信される場合、トークン処理ユニットはサービス制御処理ユニットに、合致が検出されるかを通知する。合致する場合、サービス制御セッション処理ユニットは、適切なポリシールール群を選択し、そして、DPIへ提供する。
図11を参照すること、これは、DPI100を示している。DPIは第1受信機101を備え、これは、ネットワークアドレストランスレータを介してアクセスゲートウェイから、アカウンティングスタートメッセージに関連するIPセッションを固有に識別するトークンを含むアカウンティングスタートメッセージを受信する。DPIは、更に、送信機102と第2受信機103とを備え、送信機102は、パケット交換ネットワークのポリシーサーバへ、上記トークンと上記メッセージの変換済(解決済:translated)IP発信元アドレスを含むポリシー評価リクエストを送信し、第2受信機103は、ポリシーサーバから、上記IPセッションに割り当てられているポリシールール群のセットを受信する。
図12はAG200を示していて、これは、IPセッションを確立するために、ユーザ機器(UE)からの汎用ベアラリクエストを受信する受信機201を備える。トークン処理ユニット202は、上記IPセッションに固有に関連付けられているトークンを(PSから)受信するあるいは生成するように構成されている。AGは、更に、上記トークンを含むアカウンティングスタートメッセージをDPIへネットワークアドレストランスレータを介して送信するための送信機203を備える。
パケット群は認識されていないNAT変換済発信元IPアドレスを含んでいるために、宛先側AFがそのようなパケット群を破棄する問題に対処するために、動的サービスセッション群(例えば、IMSセッション群)におけるIPアドレス群を置換することが提案される。これは、以下の2種類の方法で実行することができる。
1.発信側AFでのSDP提案の受領によって、AFに、NATあるいはPSを用いて、SDP提案を着信側へ送信する前に、IPアドレスがそのSDP提案に置換されるべきであるかをチェックさせる。
2.IPマルチメディアサブシステム(IMS)の場合、AF(即ち、P−CSCF)はIMS登録時にPSとのサービスセッションを確立することができる。PSは、IMS加入登録時のAFへの応答で、NAT変換済IPアドレスを返信する。
第1のオプションは、図13で示される。ここでは、
1.UE−Aは、自身が所有するIPアドレスを伴うSDP提案を送信する。
2.AFは、受信されるSDPの内容から発信元IPアドレスを取得する。
3.AFは、それをPSへ送信する。
4.PSは、NAT変換済IPアドレスを検出する。
5.PSは、NAT変換済IPアドレスをAFへ返信する。
6.AFは、発信元IPアドレスをNAT変換済IPアドレス(IP−X)で置換する。
クエリーをPSへ送信する代わりに、AFは、クエリーをNATへ送信することができる。
上述の第2のオプション、即ち、AFがP−CSCFである場合を検討すると、以下のものが有効なイベント群のシーケンスとなる。
1.UE−Aは、自身の所有するIPアドレスを含む登録リクエストをP−CSCFへ送信する。
2.P−CSCFは、登録リクエスト内のSDPからUEの実際のIPアドレスを取得し、それをPSへ送信し、PSは、AFへ返信されるNAT変換済IPアドレスを検出する。
3.AFは、NAT変換済IPアドレスを記憶し、かつそれを次のサービスセッションネゴシエーションのために使用する。
両方の端部(つまり、UE−AとUE−B)がサービスセッション特性群を一旦ネゴシエートすると、図14で示されるように、かつ以下で説明されるように、発信側AFはこの情報をPSへ送信する。
1.AFは、ネゴシエートされたサービスセッションコンポーネント群をPSへ送信する。UE−A IPアドレスは、セッション情報の一部として送信される。
2.PSは、そのセッション情報を記憶する。
3.PSは、AFに対して応答確認する。
4.PCCルール群が生成される。ここで、サービスデータフロー群はUE−A IPアドレスを含んでいる。この例では、PCCルールAが生成される。
5.PCCルールA(UE−A IPアドレスを含む)がAGにインストールされる。
6.AGは、新規のPCCルールAのインストールによりベアラQoSが修正されるべきであるかどうかを決定する。
7.AGは、PCCルールAがインストールされていることの確認をPSへ送信する。
8.PSは、PCCルール群もDPIにインストールされるべきであるかどうかをチェックする。そうでない場合、手順はここで終了する。
9.PSは、アップリンク方向及びダウンリンク方向の両方に対するNAT変換済IPアドレスを使用する新規のPCCルール群を生成する。この例では、PCCルールXが生成される。
10.PSが、DPIにおいて、NAT変換済IPアドレスを含む修正されたPCCルール(PCCルールX)をプロビジョン(provision)する。
11.DPIが、PSへ応答確認を送信する。
図14には示されていないが、UE−Bネットワーク内のAGは、PCCルールBを受信することになる。このPCCルールBは、UE−Bネットワークで受信されるセッション情報に基づいて、宛先側PSによって生成される。このセッション情報は、UE−AのNAT変換済IPアドレスを含むことになる。これは、この情報が、AFでSDPの一部として受信されるからである。
UE−AとUE−Bとの間で送信されるメディアについて検討すると、これは、図15のように示される。図示されるステップ群は、以下のようになる。
1.UE−Aは、セッションネゴシエーションが終了された後、UE TFT=IP−B及びポートBに対応するベアラを介して、メディアパケット群をUE−Bへ送信することを決定する。
2.アクセスGW−Aは、メディアパケットがPCCルールAに対するサービスデータフローと合致することを検出する。これは、それらが、UE−A IPアドレスを含んでいるからである。そして、アクセスGW−AはPCCルールを執行し、そして、パケットを転送する。
3.メディアパケットは、UE−A IPアドレスをNAT変換済IPアドレスに置換するNATを用いて、NATを通過させる。
4.メディアパケットがDPIによって受信され、DPIは、メディアパケットを宛先ネットワークへ転送するための決定を行う。
5.アクセスGW−Bはメディアパケットがサービスデータフローに合致することを検出し、この場合、サービスデータフローはNAT変換済IPアドレスを含んでいる。GW−Bは、PCCルールBを執行し、そして、パケットをUE−Bへ転送する。
図16は、上述の方法を使用するためのアプリケーション機能(AF)300を示している。この装置は、ユーザ機器からセッション記述プロトコルを受信するための受信機301と、提案ハンドラ302とを備え、この提案アンドラ302は、提案がネットワーク内のネットワークアドレス変換の対象となるIP発信元アドレスを含んでいるかを判定し、そうである場合、セッション記述プロトコル提案内のIP発信元アドレスを対応するネットワークアドレス変換IP発信元アドレスに置換する。AFは、更に、修正されたセッション記述プロトコル提案を自身の宛先に送信するための送信機303を備えている。
上述のトークンベースのメカニズムは、任意の執行ポイント(AG及びDPIノード)がユーザのIPアドレスを知らない場合でさえも、所与のIP−CANセッションに対するサービス制御セッション群のすべてを関連づけることをPSに可能にする。また、このメカニズムは、所与のIP−CANセッションに対するすべてのサービス制御セッション群と任意のAFからのサービスセッションとの関連付けを実現する。これらの関連付けを設定することは、以下の付加価値機能群をオペレータのポリシー制御ソリューションに提供する。
・ポリシー評価処理を充実させる。これは、1つのポリシー執行ポイント(AG)によって提供されるデータを、他のノード(例、DPIノード)において執行されるべきポリシー群の評価で使用することができるからである。例えば、3GPPネットワークでは、Gxインタフェースを介してGGSNによってPCRFへ送信されるデータは、DPIノードで執行されるべきポリシー群の評価で使用することができる。
・DPIノードによって開始されるポリシー評価の結果として、一定の制御動作群をAGで執行することができる。
・アプリケーション機能によって提供されるサービス情報に関連するDPIノードにおいてポリシー決定を執行することが可能である。
本発明の範囲を逸脱することなく、様々な変形を上述の実施形態に対して行うことができることが当業者には理解されるであろう。

Claims (19)

  1. ポリシー及び課金ルール機能として動作するポリシーサーバを備えるパケット交換ネットワークに渡って送信されるパケット群を処理する方法であって、
    第1のポリシールール群のセットを前記ポリシーサーバにおいて提供し、かつ前記第1のポリシールール群のセットを前記ポリシーサーバからアクセスゲートウェイへ第1のサービス制御セッションを介してインストールするステップであって、前記第1のポリシールール群のセットは、所与のIPセッションに属するパケット群を前記アクセスゲートウェイによってネットワークアドレストランスレータに迂回させるものである、ステップと、
    前記ネットワークアドレストランスレータにおいて、前記パケット群の発信元IPアドレスを、詳細パケット検査ノードを識別する変換済発信元IPアドレスへ変換し、前記パケット群を、IPパケット群の詳細パケット検査を実行するように構成されている前記詳細パケット検査ノードへ転送するステップと、
    第2のポリシールール群のセットを前記ポリシーサーバにおいて提供し、かつ前記第2のポリシールール群のセットを前記ポリシーサーバから前記詳細パケット検査ノードへ第2のサービス制御セッションを介してインストールするステップであって、前記第2のポリシールール群のセットは、前記詳細パケット検査によって受信時の前記パケット群に対して適用される、ステップと、
    セッションを固有に識別するトークンを前記IPセッションに割り当て、かつ前記トークンを前記ポリシーサーバと前記アクセスゲートウェイへ提供するステップと、
    前記トークンを前記アクセスゲートウェイから前記詳細パケット検査ノードへ前記ネットワークアドレストランスレータを介して送信するステップと、
    前記トークンを前記詳細パケット検査ノードから前記ポリシーサーバへ送信するステップと、
    前記ポリシーサーバにおいて、前記トークンを使用して、前記第1のサービス制御セッションと前記第2のサービス制御セッションとを関連付けるステップと
    を備えることを特徴とする方法。
  2. 前記セッションを固有に識別するトークンを前記IPセッションに割り当て、かつ前記トークンを前記ポリシーサーバと前記アクセスゲートウェイへ提供するステップは、前記IPセッションの確立時に前記ポリシーサーバにおいて前記トークンを生成することを含んでいる
    ことを特徴とする請求項1に記載の方法。
  3. 前記トークンは、前記アクセスゲートウェイからの、前記発信元IPアドレスを含むポリシー評価リクエストの前記ポリシーサーバにおける受信に応じて、前記ポリシーサーバにおいて生成され、
    前記ポリシーサーバは、前記アクセスゲートウェイに送信される応答に前記トークンを含める
    ことを特徴とする請求項2に記載の方法。
  4. 前記ポリシー評価リクエストは、Diameterクレジット制御リクエストである
    ことを特徴とする請求項3に記載の方法。
  5. 前記ポリシーサーバは、前記アクセスゲートウェイに関連付けられているアクセスポイント名が前記ポリシーサーバによって保持されるアクセスポイント名群の規定のリストに存在する場合にのみ、前記トークンを生成する
    ことを特徴とする請求項2乃至4のいずれか1項に記載の方法。
  6. 前記トークンは、汎用ベアラリクエストの前記アクセスゲートウェイにおいての受信に応じて前記アクセスゲートウェイにおいて生成され、
    前記アクセスゲートウェイは、前記トークンを前記ポリシーサーバに送信されるポリシー評価リクエストに含める
    ことを特徴とする請求項1に記載の方法。
  7. 前記ポリシー評価リクエストは、Diameterクレジット制御リクエストである
    ことを特徴とする請求項6に記載の方法。
  8. 前記トークンは、加入者のアイデンティティのハッシュと前記発信元IPアドレスのハッシュの内の1つである
    ことを特徴とする請求項1乃至7のいずれか1項に記載の方法。
  9. 前記トークンは、アカウンティングセッションアイデンティティフィールド内で送信される
    ことを特徴とする請求項1乃至8のいずれか1項に記載の方法。
  10. 前記トークンを前記詳細パケット検査ノードから前記ポリシーサーバへ送信するステップは、前記トークンをポリシー評価リクエストに含めることを含んでいる
    ことを特徴とする請求項1乃至9のいずれか1項に記載の方法。
  11. 前記ポリシー評価リクエストは、Diameterクレジット制御リクエストである
    ことを特徴とする請求項10に記載の方法。
  12. 前記アクセスゲートウェイは、GPRSコアネットワークのGPRSゲートウェイサポートノードである
    ことを特徴とする請求項1乃至11のいずれか1項に記載の方法。
  13. 前記パケット交換ネットワークのアプリケーション機能においてセッション記述プロトコル提案を受信するステップであって、前記セッション記述プロトコル提案は、エンドポイント群の間のセッションの確立に関連し、該エンドポイント群の内の1つは前記発信元IPアドレスに関連付けられている、ステップと、
    前記セッション記述プロトコル提案が、前記パケット交換ネットワーク内のネットワークアドレス変換の対象となる発信元IPアドレスを含んでいることを判定するステップと、
    前記セッション記述プロトコル提案内の前記発信元IPアドレスを前記変換済発信元IPアドレスに置換するステップと、
    前記セッション記述プロトコル提案を自身の宛先へ転送するステップと
    を備えることを特徴とする請求項1乃至12のいずれか1項に記載の方法。
  14. 前記セッション記述プロトコル提案が、前記パケット交換ネットワーク内のネットワークアドレス変換の対象となる発信元IPアドレスを含んでいることを判定するステップは、前記発信元IPアドレスを前記アプリケーション機能からポリシーサーバあるいはネットワークアドレストランスレータに送信し、かつ対応する応答で前記変換済発信元IPアドレスを受信することを含んでいる
    ことを特徴とする請求項13に記載の方法。
  15. 前記発信元IPアドレスは、DiameterAAメッセージ内で送信され、対応する前記変換済発信元IPアドレスはDiameterAAメッセージで返信される
    ことを特徴とする請求項14に記載の方法。
  16. 前記パケット交換ネットワークは、IPマルチメディアサブシステムを備え、
    前記アプリケーション機能は、プロキシ呼制御機能である
    ことを特徴とする請求項13乃至15のいずれか1項に記載の方法。
  17. パケット交換ネットワークにおけるポリシー及び課金制御を実現するポリシーサーバであって、
    アクセスゲートウェイと詳細パケット検査ノードそれぞれとのサービス制御セッション群を確立し、かつ前記パケット交換ネットワークに渡るIPセッションに関連するポリシールール群を前記サービス制御セッション群に渡って配信するためのサービス制御セッション処理ユニットと、
    前記ポリシーサーバと前記アクセスゲートウェイとの間の前記サービス制御セッションに固有に関連付けられているトークンを受信あるいは生成し、前記ポリシーサーバと前記詳細パケット検査ノードとの間の前記サービス制御セッションに固有に関連づけられている前記詳細パケット検査ノードからのトークンを受信し、かつ前記サービス制御処理ユニットへ前記トークンが合致するかを通知するためのトークン処理ユニットとを備え、
    前記サービス制御セッション処理ユニットは、前記サービス制御セッション群を関連付け、かつ適切な場合にポリシールール群を配信するように構成されている
    ことを特徴とするポリシーサーバ。
  18. パケット交換ネットワークを通過するパケット群の詳細パケット検査を実現するための詳細パケット検査ノードであって、
    アクセスゲートウェイから、ネットワークアドレストランスレータを介して、アカウンティングスタートメッセージとして、該アカウンティングスタートメッセージに関連するIPセッションを固有に識別するトークンを含むアカウンティングスタートメッセージを受信するための第1の受信機と、
    前記パケット交換ネットワークのポリシーサーバへ、前記アカウンティングスタートメッセージの変換済発信元IPアドレスと前記トークンを含むポリシー評価リクエストを送信するための送信機と、
    前記ポリシーサーバから、前記IPセッションに割り当てられているポリシールール群のセットを受信するための第2の受信機と
    を備えることを特徴とする詳細パケット検査ノード。
  19. パケット交換ネットワークで使用するための、かつ前記パケット交換ネットワークのポリシー執行ポイントとして動作するように構成されているアクセスゲートウェイであって、
    IPセッションを確立するために、汎用ベアラリクエストをユーザ機器から受信するための受信機と、
    ポリシーサーバから前記IPセッションに固有に関連付けられているトークンを受信するための、あるいは前記IPセッションに固有に関連付けられているトークンを生成してポリシーサーバへ送信するための、トークン処理ユニットと
    前記トークンを含むアカウンティングスタートメッセージを詳細検査ノードへネットワークアドレストランスレータを介して送信するための送信機と
    を備えることを特徴とするアクセスゲートウェイ。
JP2011539904A 2008-12-10 2008-12-10 Nat経由のデータセッションのポリシー及び課金制御のための制御セッションのトークンベースの相関 Expired - Fee Related JP5298203B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2008/067262 WO2010066295A1 (en) 2008-12-10 2008-12-10 Token-based correlation of control sessions for policy and charging control of a data session through a nat

Publications (2)

Publication Number Publication Date
JP2012511846A JP2012511846A (ja) 2012-05-24
JP5298203B2 true JP5298203B2 (ja) 2013-09-25

Family

ID=41059463

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011539904A Expired - Fee Related JP5298203B2 (ja) 2008-12-10 2008-12-10 Nat経由のデータセッションのポリシー及び課金制御のための制御セッションのトークンベースの相関

Country Status (4)

Country Link
US (2) US9106541B2 (ja)
EP (1) EP2359572B1 (ja)
JP (1) JP5298203B2 (ja)
WO (1) WO2010066295A1 (ja)

Families Citing this family (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9979661B2 (en) 2009-04-02 2018-05-22 Telefonaktiebolaget Lm Ericsson (Publ) Techniques for handling network traffic
WO2010142349A1 (en) * 2009-06-12 2010-12-16 Telefonaktiebolaget L M Ericsson (Publ) Method and server entity for forwarding a message containing a host name or domain name in an internet based communications network
US8942233B2 (en) 2009-09-08 2015-01-27 Wichorus, Inc. Method and apparatus for performing network address translation
US8990424B2 (en) * 2009-09-08 2015-03-24 Wichorus, Inc. Network address translation based on recorded application state
US9013992B2 (en) * 2009-09-08 2015-04-21 Wichorus, Inc. Method and apparatus for network address translation
KR101626617B1 (ko) * 2009-09-29 2016-06-01 삼성전자주식회사 Ims 망에서 ip-can 세션 변경 장치 및 방법
US20130021905A1 (en) * 2010-01-12 2013-01-24 Nokia Siemens Networks Oy Controlling traffic flow template generation
US20110182206A1 (en) * 2010-01-25 2011-07-28 Qualcomm Incorporated Apparatus and method for associating a gateway control session with an internet protocol connectivity access network (ip-can) session
US8768295B2 (en) * 2010-02-18 2014-07-01 Alcatel Lucent Method of handling a change to bearer control mode
ES2742425T3 (es) 2010-07-29 2020-02-14 Ericsson Telefon Ab L M Manejo del tráfico de red a través de un acceso fijo
WO2012045341A2 (en) * 2010-10-06 2012-04-12 Nokia Siemens Networks Oy Method, apparatus and system for detecting service data of a packet data connection
WO2012045348A1 (en) * 2010-10-06 2012-04-12 Nokia Siemens Networks Oy Policy control interworking
KR101539155B1 (ko) * 2010-10-27 2015-07-23 인터디지탈 패튼 홀딩스, 인크 진보형 애플리케이션 인터페이스의 조정가능한 정책 제어형 패킷 검사 시스템 및 방법
EP2671399A1 (en) * 2011-02-01 2013-12-11 Telefonaktiebolaget L M Ericsson (PUBL) Method and apparatus for pcc support for scenarios with nat/napt in the pdn-gw
US20120233335A1 (en) * 2011-03-08 2012-09-13 Alcatel Lucent Canada Inc. Auxiliary host and sessions
IL212344A (en) * 2011-04-14 2015-03-31 Verint Systems Ltd A system and method for selectively controlling encrypted traffic
EP2698946B1 (en) 2011-05-06 2019-02-20 Huawei Technologies Co., Ltd. Method for processing a rate group and related gateway device
EP2732588B1 (en) * 2011-07-15 2016-10-26 Telefonaktiebolaget LM Ericsson (publ) Policy tokens in communication networks
WO2013091735A1 (en) * 2011-12-23 2013-06-27 Telefonaktiebolaget L M Ericsson (Publ) Methods and apparatuses for determining a user identity token for identifying user of a communication network
CN103200151A (zh) * 2012-01-04 2013-07-10 中国移动通信集团公司 一种nat部署环境下的pcc会话绑定的方法、系统和pcrf
JP5948442B2 (ja) * 2012-03-01 2016-07-06 エヌイーシー ヨーロッパ リミテッドNec Europe Ltd. ネットワーク構造内のアプリケーション機能によって提供されるサービスへのユーザ側デバイスのアクセスを提供するための方法、及びネットワーク構造
EP2834964B1 (en) 2012-04-03 2017-06-07 Telefonaktiebolaget LM Ericsson (publ) Method and apparatus for providing a subscriber identity
FR2996394A1 (fr) * 2012-10-01 2014-04-04 France Telecom Technique de communication entre une entite cliente et un reseau de donnees en mode paquet
WO2014053176A1 (en) * 2012-10-04 2014-04-10 Telefonaktiebolaget L M Ericsson (Publ) Network resource modification
CN103906040B (zh) * 2012-12-27 2019-08-30 中兴通讯股份有限公司 一种设备定位方法及系统
US9537904B2 (en) * 2013-01-24 2017-01-03 Tekelec, Inc. Methods, systems, and computer readable media for using policy knowledge of or obtained by a policy and charging rules function (PCRF) for needs based forwarding of bearer session traffic to network nodes
US20160080316A1 (en) * 2013-04-15 2016-03-17 Nokia Solutions And Networks Oy Subscriber Identification and Provisioning in IP Translation Environments
CN103281158B (zh) * 2013-05-13 2016-01-06 昊优明镝(天津)科技有限公司 深度网络通信粒度检测方法及其检测设备
KR101502490B1 (ko) * 2013-10-18 2015-03-13 주식회사 케이티 네트워크 트래픽을 감시하는 가입자 단말 및 보안 감시 노드
US11388082B2 (en) 2013-11-27 2022-07-12 Oracle International Corporation Methods, systems, and computer readable media for diameter routing using software defined network (SDN) functionality
US10541970B2 (en) 2014-06-23 2020-01-21 Yissum Research Development Company Of The Hebrew University Of Jerusalem Ltd. Method and system for providing deep packet inspection as a service
US9756013B2 (en) * 2014-07-10 2017-09-05 Cisco Technology, Inc. Distributed mapping of address and port (MAP) between a provider edge device and customer premise equipment devices
US9948610B2 (en) * 2014-08-29 2018-04-17 Citrix Systems, Inc. Method and apparatus for accessing third-party resources
CN105491176B (zh) * 2014-09-26 2019-04-02 中国电信股份有限公司 一种用于pcrf寻址的方法及系统
US10505850B2 (en) 2015-02-24 2019-12-10 Qualcomm Incorporated Efficient policy enforcement using network tokens for services—user-plane approach
US9819596B2 (en) 2015-02-24 2017-11-14 Qualcomm Incorporated Efficient policy enforcement using network tokens for services C-plane approach
US10148509B2 (en) 2015-05-13 2018-12-04 Oracle International Corporation Methods, systems, and computer readable media for session based software defined networking (SDN) management
US10341239B2 (en) 2015-05-21 2019-07-02 Qualcomm Incorporated Efficient policy enforcement for downlink traffic using network access tokens—control-plane approach
US20170041155A1 (en) * 2015-08-04 2017-02-09 Cisco Technology, Inc. Policy Charging and Enforcement Synchronization
US10044705B2 (en) * 2016-01-20 2018-08-07 Facebook, Inc. Session management for internet of things devices
US10277515B2 (en) * 2016-04-04 2019-04-30 Qualcomm Incorporated Quality of service (QOS) management in wireless networks
IL248306B (en) 2016-10-10 2019-12-31 Verint Systems Ltd System and method for creating data sets for learning to recognize user actions
EP3334115B1 (en) * 2016-12-07 2019-10-09 Swisscom AG User authentication based on token
CN107135096B (zh) * 2017-04-11 2020-06-30 北京奇艺世纪科技有限公司 堡垒机出口链路优化系统及方法
US11005853B1 (en) * 2018-03-06 2021-05-11 Amazon Technologies, Inc. Restriction transitivity for session credentials
CN109412893B (zh) * 2018-10-23 2020-06-19 新华三信息安全技术有限公司 一种报文回放方法及装置
US11297108B2 (en) * 2018-12-28 2022-04-05 Comcast Cable Communications, Llc Methods and systems for stateful network security
US10999295B2 (en) 2019-03-20 2021-05-04 Verint Systems Ltd. System and method for de-anonymizing actions and messages on networks
EP3748927A1 (de) * 2019-06-04 2020-12-09 Siemens Aktiengesellschaft Verfahren und system zum überwachen von nachrichten einer kommunikationsverbindung
CN116032794A (zh) * 2022-12-22 2023-04-28 中国电信股份有限公司 内网虚拟专用网络接入点检测方法、装置及相关设备

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6621793B2 (en) 2000-05-22 2003-09-16 Telefonaktiebolaget Lm Ericsson (Publ) Application influenced policy
CN1201534C (zh) * 2000-05-22 2005-05-11 艾利森电话股份有限公司 应用影响策略
FI114666B (fi) 2000-10-31 2004-11-30 Elektrobit Oy Linearisointimenetelmä ja vahvistinjärjestely
DE60130911T2 (de) * 2000-11-06 2008-07-03 Telefonaktiebolaget Lm Ericsson (Publ) Verfahren und gerät für die koordinierte verrechnung von diensten in einer multimedia-sitzung
JP2002215481A (ja) 2001-01-18 2002-08-02 Nippon Telegr & Teleph Corp <Ntt> Webアクセス制御方法およびシステム
US20020184510A1 (en) * 2001-04-17 2002-12-05 At&T Wireless Services, Inc. Binding information for IP media flows
US7139841B1 (en) * 2002-07-24 2006-11-21 Cisco Technology, Inc. Method and apparatus for handling embedded address in data sent through multiple network address translation (NAT) devices
US7634805B2 (en) * 2003-03-05 2009-12-15 Microsoft Corporation Use of network address translation for implementation of stateful routing
JP4191099B2 (ja) 2004-06-18 2008-12-03 日本電信電話株式会社 Sip信号変換方法、sip−alg装置、sip信号変換プログラム、および記録媒体
US9231911B2 (en) * 2006-10-16 2016-01-05 Aruba Networks, Inc. Per-user firewall
CN101110766B (zh) * 2007-03-23 2010-04-21 华为技术有限公司 一种信令ip流承载事件上报的控制方法和功能实体
CN101471797B (zh) * 2008-03-31 2012-05-30 华为技术有限公司 决策方法及系统和策略决策单元

Also Published As

Publication number Publication date
JP2012511846A (ja) 2012-05-24
EP2359572A1 (en) 2011-08-24
US9661082B2 (en) 2017-05-23
US9106541B2 (en) 2015-08-11
US20120243547A1 (en) 2012-09-27
US20150341444A1 (en) 2015-11-26
WO2010066295A1 (en) 2010-06-17
EP2359572B1 (en) 2017-06-28

Similar Documents

Publication Publication Date Title
JP5298203B2 (ja) Nat経由のデータセッションのポリシー及び課金制御のための制御セッションのトークンベースの相関
CA2685499C (en) Policy control in a network
CN112887151B (zh) 在网络环境中发现策略计费和规则功能的系统和方法
US7948952B2 (en) Controlling services in a packet data network
JP5158387B2 (ja) サーバー発見を実行するメカニズム
US7483989B2 (en) Method and apparatus for establishing a protocol proxy for a mobile host terminal in a multimedia session
US8537822B2 (en) Methods and apparatus for providing alternative paths to obtain session policy
JP5636113B2 (ja) ネットワークアドレス検索の適応を用いるデータトラフィックの区別された処理
US9967148B2 (en) Methods, systems, and computer readable media for selective diameter topology hiding
CN104104742A (zh) 使用网络地址转换和请求重定向的用户平面业务操控
US20100017846A1 (en) Service processing method and system, and policy control and charging rules function
US20110122886A1 (en) Method and devices for installing packet filters in a data transmission
US20040109459A1 (en) Packet filter provisioning to a packet data access node
JP2008538876A (ja) ネットワーク
US11240199B2 (en) Service provision in scenarios with network address translation
WO2009056052A1 (fr) Procédé de réalisation, pcrf et af de technologie nat dans une infrastructure pcc
AU2004306243A1 (en) Method and system for providing a secure communication between communication networks
CN103249023B (zh) 一种业务平台获取用户手机号码的方法、系统和业务平台
JP2014158078A (ja) QoS制御方法及び装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130318

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130502

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130617

R150 Certificate of patent or registration of utility model

Ref document number: 5298203

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees