ホーム > 特許ランキング > インテル・コーポレーション
知財求人 - 知財ポータルサイト「IP Force」
特許7415186モバイルエッジにおけるコンピューティングのためのプラットフォーム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-01-09
(45)【発行日】2024-01-17
(54)【発明の名称】モバイルエッジにおけるコンピューティングのためのプラットフォーム
(51)【国際特許分類】
H04W 4/60 20180101AFI20240110BHJP
H04W 12/06 20210101ALI20240110BHJP
H04W 76/12 20180101ALI20240110BHJP
H04W 12/122 20210101ALI20240110BHJP
H04W 12/086 20210101ALI20240110BHJP
H04W 12/04 20210101ALI20240110BHJP
G06F 21/57 20130101ALI20240110BHJP
G06F 21/55 20130101ALI20240110BHJP
【FI】
H04W4/60
H04W12/06
H04W76/12
H04W12/122
H04W12/086
H04W12/04
G06F21/57
G06F21/55
【請求項の数】
26
【外国語出願】
(21)【出願番号】P 2022021984
(22)【出願日】2022-02-16
(62)【分割の表示】P 2018563761の分割
【原出願日】2017-02-24
(65)【公開番号】P2022084588
(43)【公開日】2022-06-07
【審査請求日】2022-03-17
(31)【優先権主張番号】62/299,673
(32)【優先日】2016-02-25
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】591003943
【氏名又は名称】インテル・コーポレーション
(74)【代理人】
【識別番号】110000877
【氏名又は名称】弁理士法人RYUKA国際特許事務所
(72)【発明者】
【氏名】ロス・ニコラス
(72)【発明者】
【氏名】パイク・ロバート
【審査官】三枝 保裕
(56)【参考文献】
【文献】特開2012-060357(JP,A)
【文献】国際公開第2015/035121(WO,A1)
【文献】米国特許出願公開第2006/0041938(US,A1)
【文献】米国特許出願公開第2010/0167740(US,A1)
【文献】Mobile-Edge Computing - Introductory Technical White Paper,ETSI,2014年09月
【文献】ETSI GS MEC-IEG 004 V1.1.1,ETSI,2015年11月
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
G06F 21/57
G06F 21/55
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
エッジコンピューティング環境の装置であって、ネットワークでの通信を実施するよう構成されたネットワークインタフェースであって、前記装置は前記ネットワークの境界において又は前記ネットワークの境界の近くに設置される、ネットワークインタフェースと、
1又は複数のサードパーティに関連付けられた1又は複数のプログラムの実行を提供するよう構成された処理プラットフォームと
を備え、前記処理プラットフォームは、
前記ネットワークインタフェースを介しコントローラからコマンド及び構成情報を取得し、
前記装置内に第1のセキュリティ層を含むセキュリティ層を確立し、前記第1のセキュリティ層は、前記装置に格納された暗号鍵を含む
よう構成され、
前記セキュリティ層は各層における種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点を阻害するために用いられ、前記セキュリティ層は前記装置内で実行されるアクションを認証するために、及び前記ネットワークから前記装置へ提供されるコマンドを認証するために用いられ、
前記コントローラは、モバイルネットワーク事業者(「MNO」)のコアネットワークを分散化する
エッジコンピューティング環境の装置。
【請求項2】
前記装置は、管理されるネットワークの境界において又は前記管理されるネットワークの境界の近くに設置されるMECアプライアンスとしてモバイルエッジ計算(「MEC」)システム内に構成される、請求項1に記載のエッジコンピューティング環境の装置。
【請求項3】
前記装置は、前記MECシステムのデータフロートラフィックをサポートするためのデータ平面として動作するよう構成される、請求項2に記載のエッジコンピューティング環境の装置。
【請求項4】
前記コントローラは前記MECシステムにおいてMECコントローラとして動作するよう構成されており、前記装置は前記コマンド及び前記構成情報を、前記MECシステムのコントロール平面における方針及び構成パラメータとして受信するように構成されている、請求項2又は3に記載のエッジコンピューティング環境の装置。
【請求項5】
前記装置は前記管理されるネットワークと前記モバイルネットワーク事業者(「MNO」)によって管理されるネットワークとの間のゲートウェイとして動作するよう構成され、前記ゲートウェイは、前記ネットワーク間で送信されるデータの必要な変換を行うように構成される、請求項2から4のいずれか一項に記載のエッジコンピューティング環境の装置。
【請求項6】
前記装置は更に、管理されるネットワークのネットワーク周辺地域に設置され、前記管理されるネットワークで動作している前記1又は複数のサードパーティからのアプリケーションを実行可能にする、請求項1に記載のエッジコンピューティング環境の装置。
【請求項7】
前記ネットワーク周辺地域は、ネットワーク定義方針に基づいて信頼された機能を実装するゲートウェイを用いて施行される、請求項6に記載のエッジコンピューティング環境の装置。
【請求項8】
前記装置は更に、小型セル無線と前記モバイルネットワーク事業者(「MNO」)のネットワーク装置との間にインラインで設置され、前記モバイルネットワーク事業者のネットワークにおいて動作する前記1又は複数のサードパーティからのアプリケーションを実行可能にする、請求項1に記載のエッジコンピューティング環境の装置。
【請求項9】
前記装置は更に、安全なトンネルによって画定されたデータ経路、又は前記小型セル無線と前記MNOの安全なゲートウェイとの間の安全なメッセージ経路に設置される、請求項8に記載のエッジコンピューティング環境の装置。
【請求項10】
前記装置は、前記エッジコンピューティング環境において1又は複数のエッジコンピューティング装置として動作可能であり、前記ネットワークは、前記装置及び前記エッジコンピューティング環境の中のマイクロサービスアーキテクチャを管理するよう構成されたコアサービスプラットフォームを含む、請求項1に記載のエッジコンピューティング環境の装置。
【請求項11】
前記コアサービスプラットフォームは、前記エッジコンピューティング環境によって提供される機能の集中制御及びアグリゲーションを提供し、前記コアサービスプラットフォームは、特定の機能の範囲を独立したスケーリングのための専用インスタンスの集合に分離可能である、請求項10に記載のエッジコンピューティング環境の装置。
【請求項12】
前記処理プラットフォームはx86ハードウェアデバイスから提供され、前記1又は複数のプログラムは、クライアントデバイスまたはモバイルネットワーク事業者のために動作される、請求項1に記載のエッジコンピューティング環境の装置。
【請求項13】
エッジコンピューティング環境の装置の操作のための方法であって、前記方法は、ネットワークインタフェースを操作する段階であって、前記ネットワークインタフェースはコントローラでネットワークでの通信を実施するよう構成され、前記装置は前記ネットワークの境界において又は前記ネットワークの境界の近くに設置され、前記装置は更にクライアントデバイスと通信するように構成される、操作する段階と、
前記クライアントデバイスに関連付けられた1又は複数のプログラムの実行を、処理プラットフォームを用いてコーディネートする段階であって、以下の操作:
前記コントローラから受信したコマンド及び構成情報を実装する段階と、
前記装置内に第1のセキュリティ層を含むセキュリティ層を確立する段階であって、前記第1のセキュリティ層は、前記装置に格納された暗号鍵を含む、確立する段階と
を含む、コーディネートする段階と
を備え、
前記セキュリティ層は各層における種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点を阻害するために用いられ、前記セキュリティ層は前記装置内で実行されるアクションを認証するために、及び前記ネットワークから前記装置へ提供されるコマンドを認証するために用いられ、
前記コントローラは、モバイルネットワーク事業者(「MNO」)のコアネットワークを分散化する
エッジコンピューティング環境の装置の操作のための方法。
【請求項14】
前記装置は、管理されるネットワークの境界において又は前記管理されるネットワークの境界の近くに設置されるMECアプライアンスとしてモバイルエッジ計算(「MEC」)システム内に構成される、請求項13に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項15】
前記装置は、前記MECシステムのデータフロートラフィックをサポートするためのデータ平面として動作するよう構成される、請求項14に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項16】
前記コントローラは前記MECシステムにおいてMECコントローラとして動作するよう構成されており、前記装置は前記コマンド及び前記構成情報を、前記MECシステムのコントロール平面における方針及び構成パラメータとして受信するように構成されている、請求項14又は15に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項17】
前記装置は前記管理されるネットワークと前記モバイルネットワーク事業者(「MNO」)によって管理されるネットワークとの間のゲートウェイとして動作するよう構成され、前記ゲートウェイは、前記ネットワーク間で送信されるデータの必要な変換を行うように構成される、請求項14から16のいずれか一項に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項18】
前記装置は更に、管理されるネットワークのネットワーク周辺地域に設置され、前記管理されるネットワークで動作している1又は複数のサードパーティからのアプリケーションを実行可能にする、請求項13に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項19】
前記ネットワーク周辺地域は、ネットワーク定義方針に基づいて信頼された機能を実装するゲートウェイを用いて施行される、請求項18に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項20】
前記装置は更に、小型セル無線と前記モバイルネットワーク事業者(「MNO」)のネットワーク装置との間にインラインで設置され、前記モバイルネットワーク事業者のネットワークにおいて動作する1又は複数のサードパーティからのアプリケーションを実行可能にする、請求項13に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項21】
前記装置は更に、安全なトンネルによって画定されたデータ経路、又は前記小型セル無線と前記MNOの安全なゲートウェイとの間の安全なメッセージ経路に設置される、請求項20に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項22】
前記装置は、前記エッジコンピューティング環境において1又は複数のエッジコンピューティング装置として動作可能であり、前記ネットワークは、前記装置及び前記エッジコンピューティング環境の中のマイクロサービスアーキテクチャを管理するよう構成されたコアサービスプラットフォームを含む、請求項13に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項23】
前記コアサービスプラットフォームは、前記エッジコンピューティング環境によって提供される機能の集中制御及びアグリゲーションを提供し、前記コアサービスプラットフォームは、特定の機能の範囲を独立したスケーリングのための専用インスタンスの集合に分離可能である、請求項22に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項24】
前記処理プラットフォームはx86ハードウェアデバイスから提供され、前記1又は複数のプログラムは、クライアントデバイスのために、または前記クライアントデバイスにサービスを提供するモバイルネットワーク事業者のために動作される請求項13に記載のエッジコンピューティング環境の装置の操作のための方法。
【請求項25】
エッジコンピューティング環境の装置のハードウェア構成要素によって実行されたとき、前記ハードウェア構成要素に請求項13から24のいずれか一項に記載のエッジコンピューティング環境の装置の操作のための方法を実行させる、プログラム。
【請求項26】
命令を格納したマシン可読記憶媒体であって、前記命令は、エッジコンピューティング環境の装置のハードウェア構成要素によって実行されたとき、前記ハードウェア構成要素に請求項25に記載のプログラムを実行させる、命令を格納したマシン可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本特許出願は、参照することによりその全体として本明細書に組み込まれる、2016年2月25日に出願された同時係属米国仮特許出願第62/299,673号の利益を主張する。
【0002】
本発明の実施形態は、モバイルネットワーク周辺地域において及び/又はモバイルネットワーク周辺地域の近くで計算リソースを提供するためのソフトウェア構成要素及びハードウェア構成要素のプラットフォームに関する。
【背景技術】
【0003】
ネットワークシステム、及び特に無線ネットワークシステム/構造では、ネットワーク周辺地域は、ネットワークのプライベート管理側とネットワークのプロバイダ管理側との間の境界に存在する。モバイル技術及びクラウド技術以前、ネットワーク周辺地域は、プライベートに管理されるネットワークからのサービスが及ぶ、プライベートに管理されるネットワーク(例えば、キャンパス又はオフィスビルの物理的な境界)のサービスの限界であった。しかしながら、モバイル技術及び/又はクラウド技術の到来を受けて、ネットワーク周辺地域はより不定形となり、「物理的な」サービスの限界を越えて広がってきたが、依然としてプライベートに管理されるプラットフォームに限定されている。例えば、クライアントデバイスは法人オフィスから離れた位置で操作されているため、クライアントデバイスは、公に管理されているネットワークの範囲内にある間もプライベートに管理されるネットワークで動作する場合がある。したがって、モバイル技術及びクラウド技術により、クライアントデバイス及びアプリケーションは、ネットワーク周辺地域が、信頼されるプライベートに管理されるネットワークと信頼できない公に管理されるネットワークとの間の境界である場合がある拡大ネットワークで動作する場合がある。
【発明の概要】
【発明が解決しようとする課題】
【0004】
ネットワーク周辺地域において及び/又は近くで計算リソースを提供すると、セキュリティを損なう場合がある信頼できない及び/又は敵対する環境の中での動作につながる場合がある。しかも、セキュリティと操作有効性のバランスをとることは、ネットワーク周辺地域において及び/又はネットワーク周辺地域の近くで動作するクライアントネットワークデバイス及びクライアントネットワークアプリケーションに十分な保護戦略及びセキュリティ方針を与えることを困難にする場合がある。概して、係る操作環境の中でセキュリティと操作必要性のバランスをとることは、係る計算リソースを提供するプラットフォームの拡張性及びスケーラビリティの側面を妨げる傾向がある。
【0005】
本開示は、上述の問題のうちの1つ以上を克服することを目的とする。
【課題を解決するための手段】
【0006】
本明細書に開示されるのは、モバイルネットワーク周辺地域において及び/又はモバイルネットワーク周辺地域の近くで計算リソースを提供するためのソフトウェア構成要素及びハードウェア構成要素のプラットフォームである。プラットフォームは、ネットワーク周辺地域において及び/又は近くで提供される少なくとも1つのモバイルエッジ計算(「MEC」)アプライアンス及び少なくとも1つのMECコントローラを介して小型セル無線に隣接して計算リソースを提供するために使用されてよい。MECコントローラ及びMECアプライアンスのネットワークの中での実装は、安全である(例えば、安全なサンドボックス)プラットフォーム、及び分散型ネットワークの中でスケーラビリティ及び拡張性を促進するプラットフォーム(例えば、ネットワークの中での複数のクライアントデバイスの使用)を生成できる。さらに、プラットフォームは、クライアントデバイス及び/又はモバイルネットワーク事業者(「MNO」)のどちらかにより使用されるサードパーティアプリケーションのホスティングをさらに容易にできる。
【0007】
いくつかの実施形態では、MECアプライアンスは、クライアントデバイスとネットワークとの間のデータフロートラフィックをサポートするためにデータ平面としての機能を果たすことができる。例えば、MECアプライアンスは、サンドボックス方式を介してマルチテナント環境を実装することによってクライアントデバイスでサードパーティアプリケーションを実行するために使用できる。いくつかの実施形態では、MECコントローラは、制御プレーンとしての機能を果たし、すべての管理されているMECアプライアンスデバイスの構成、方針管理、及び動作の帯域外制御を提供できる。MECコントローラ自体は、回復力、スケーラビリティ、及び拡張性のために設計されたマイクロサービスアーキテクチャを使用又は実装できる。プラットフォームは、MNOのコアネットワーク及び/又は関連付けられたマクロセルネットワークトポロジーを分散化し、既存のプラットフォームよりもより柔軟で信頼性が高く且つ高性能であるプラットフォームを生成するために使用できる。
【0008】
本発明のプラットフォームは、ネットワーク周辺地域において及び/又はネットワーク周辺地域の近くで分散型トポロジーの中での効果的なプライバシー及びアクセスのためのセキュリティアーキテクチャを含む場合がある。これは、MECコントローラの機能に不可欠であり、各MECアプライアンス全体にわたって拡張するセキュリティモジュールを実装することによって達成できる。セキュリティモジュールは、ネットワークへのアクセスを許可される、又はMECアプライアンスの操作環境で1つ以上の構成要素の構成若しくは状態を変更するコマンドを発行する許可を与えられる前に、ネットワーク周辺地域環境の中で、ネットワーク周辺地域環境において、及び/又はネットワーク周辺地域の近くで任意のプラットフォーム構成要素による任意のアクションを認証するように構成できる。いくつかの実施形態では、セキュリティモジュールのフレームワークは、各構成要素が不正アクセスのリスクを最小限に抑えるために各層での種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構成された、複数の層を確立する複数の構成要素である場合がある。
【0009】
MECアプライアンスは、MNOのセキュリティゲートウェイへのインターネットプロトコルセキュリティ(「IPSec」)トンネルを開始する小型セル無線の代わりに、それ自体をそのデータ経路にインストールし、小型セル無線へのIPSecサーバ、及びMNOのセキュリティゲートウェイサーバへのIPSecクライアントデバイスとしての役割を果たす。MECコントローラは、マイクロサービスアーキテクチャとして設計されたコアサービスプラットフォームを含む場合があり、無関係に伸縮できる専用インスタンスの集合に対する特定の機能の範囲を分離できるプラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供できる。さらに、MECコントローラとの統合は、コアサービスプラットフォームの中のパブリックゲートウェイモジュールにより厳しく行うことができ、ゲートウェイモジュールと併せて又はゲートウェイモジュールに対する代替物としてサードパーティの統合及び制御を可能にする。
【0010】
いくつかの実施形態は、ネットワーク周辺地域において/ネットワーク周辺地域の近くの環境(the at/near network perimeter environment)の中での自律的なプロビジョニングを含む場合がある、フィールドのMECアプライアンスのプロビジョニングを担うプラットフォームの構成要素としてディスカバリーサービスを含む場合がある。
【0011】
分散化手法を用いて、セキュリティモジュールとともに、プラットフォームはネットワーク周辺地域環境の境界に対して及び/又は境界近くでモバイルアプリケーションを配備又は「プッシュ」し、技術的に可能であるエンドユーザに対して直近に位置するモバイルアプリケーションを生じさせることができる。さらに、MNO、及び/又はネットワーク周辺地域環境の中に、ネットワーク周辺地域環境において、及び/又はネットワーク周辺地域環境の近くに位置するアプライアンスを有するクライアントデバイスユーザは、プラットフォームの中の他のモジュールに対する混乱を最小限に又は混乱なく、需要に基づいて容易に且つ効果的に拡大及び/又は縮小できる。
【0012】
これらの潜在的な優位点は、本明細書に提供される技術的な解決策により可能にされるが、当該優位点は達成されることを必要とされていない。開示される本発明は、これらの潜在的な優位点が個別に又は組み合わせて求められるのか、それとも達成されるのかに関わりなく、技術的な優位点を達成するために実装できる。
【0013】
本発明の追加の特徴、態様、目的、優位点、及び考えられる応用は、図及び添付の特許請求の範囲と組み合わせて以下に説明される例示的な実施形態及び実施例の検討から明らかになる。
【0014】
本発明の上記及び他の目的、態様、特徴、優位点、及び考えられる応用は、以下の図面と併せて提示される、以下のそのより詳細な説明からより明らかになる。
【図面の簡単な説明】
【0015】
【図1】本発明とともに使用されてよい例示的なモバイルエッジ計算(「MEC」)サーバの構成を示す図である。
【図2】フィールドに廃部されたMECアプライアンスとともに使用されてよい例示的なMECコントローラを示す図である。
【図3】MECコントローラのために使用されてよい例示的なコアサービスプラットフォームのマイクロサービスアーキテクチャを示す図である。
【図4】本発明のプラットフォームとともに使用されてよいメッセージングアーキテクチャ用の例示的なアーキテクチャ設計を示す図である。
【図5】本発明のプラットフォームによって実行されてよいパブリックゲートウェイのモジュールによる例示的な認証実装方式を示す図である。
【図6】新しいMECアプライアンスを登録するためにディスカバリーサービスのモジュールによって実行されてよい例示的な処理ステップを示す図である。
【図7】無線ネットワーク、ネットワーク事業者、及びインターネットに対するMECアプライアンスとMECコントローラの両方を含む本発明のプラットフォームの例示的な高水準のアーキテクチャを示す図である。
【図8】本発明のプラットフォームにおけるMECコントローラエージェントアーキテクチャに加えて、サードパーティのNFV EPC構成要素の例示的な3GPP制御プレーン及びデータ平面アーキテクチャを示す図である。
【図9】セキュリティモジュールによって使用されてよい例示的なPKI実装方式を示す図である。
【図10】セキュリティモジュールによって使用されてよい例示的なRBAC実装方式を示す図である。
【発明を実施するための形態】
【0016】
以下の説明は、本発明を実施するために現在意図されている実施形態に関する。本説明は、制限的な意味で解釈されるべきではなく、本発明の一般的な原理及び特徴を説明するためだけに行われる。本発明の範囲は特許請求の範囲に関して決定される必要がある。
【0017】
開示されているのは、モバイルネットワーク周辺装置において及び/又はモバイルネットワーク周辺地域の近くで計算リソースを提供するためのソフトウェア構成要素及びハードウェア構成要素のプラットフォームである。プラットフォームは、プライベートに管理されるネットワーク(例えば、インターネット又はプライベートインターネット)と接続できる無線ネットワークの中で使用できる。無線ネットワークは、プライベートに管理されるネットワークのクライアントデバイス(例えば、パーソナルコンピュータ、タッチパッド、モバイルスマートフォン等)とサーバ及び/又は別のクライアントデバイスとの間の通信を可能にする少なくとも1つのサーバ(例えば、サーバコンピュータ)を含む場合がある。サーバは、無線ネットワークとの通信を容易にすることができる無線モデムを含んでよい。サーバはさらに、プライベートに管理されるネットワーク及び/又は他のネットワークとの通信を容易にすることができるネットワークインタフェースを含んでよい。したがって、サーバは、ネットワーク間のゲートウェイとしての役割を果たすことができる。サーバのゲートウェイ機能は、ネットワーク間で送信されるデータで任意の必要な変換を行うことができる。いくつかの実施形態では、プライベートに管理されるネットワークは、伝送制御プロトコル/インターネットプロトコル(「TCP/IP」)プロトコルで動作する場合があり、無線ネットワークは、サーバの中に実装されるルータを介してプライベートに管理されるネットワークと通信してよい。
【0018】
本発明のプラットフォームは、小型セル無線に隣接して計算リソース(例えば、ハードウェア構成要素及びソフトウェア構成要素、モジュール、アプリケーション、アプライアンス他)を提供するために使用されてよい。小型セル無線は、無線接続性のためのアクセスノードとして無線ネットワークで利用されてよい。さらに、小型セル無線のMECデバイスとの組合せは、スマートセル無線を生成するために使用できる。スマートセル無線は、複数のスペクトル範囲及び技術を介した無線接続性のためのアクセスノードとして無線ネットワークで利用されてよい。スマートセル接続は、静的なスペクトルに基づいていない(つまり、使用されているアンテナの構成に依存していない)。代わりに、スマートセル接続は、ソフトウェアを介してスペクトルを制御するその能力のために複数の周波数及び技術を伝送できる。無線接続性は、例えばマクロセル、Wi-Fi(登録商標)等の静的スペクトルに基づいた接続を含む他の手段により達成できる。
【0019】
本発明のプラットフォームは、ネットワーク周辺地域において又はネットワーク周辺地域の近くに設置された少なくとも1つのモバイルエッジ計算(「MEC」)、並びに少なくとも1つのMECコントローラを含む場合がある。いくつかの実施態様では、MECアプライアンスは、小型セルとモバイルネットワーク事業者(「MNO」)との間で、インラインで設置することができ、MECコントローラはMNOのコアネットワークの中に常駐できる。モバイル事業者のコアネットワークは、マクロセル(例えば、セルラー基地局、セルタワー等)を含む場合があるモバイルネットワークの中心的な部分であり、アクセスネットワークによってモバイルネットワークに接続されたクライアントデバイスにサービスを提供できる。MECコントローラ及びMECアプライアンスの組織的な実装は、分散型ネットワーク(例えば、ネットワーク(複数可)の中での複数のクライアントデバイスの使用)の下でのネットワーク周辺地域において及び/ネットワーク周辺地域の近くでのコンピューティングのために安全なプラットフォームを生成できる。本発明のプラットフォームは、さらに拡張性及びスケーラビリティを容易にし、クライアントデバイスユーザ及び/又はMNOが、ネットワークの機能を拡張する、追加する、削除する、及び/又は修正することを可能にする。本発明のプラットフォームは、さらにクライアントデバイス及び/またはMNOのどちらかによって使用されるサードパーティアプリケーションのホスティングも容易にすることができる。サードパーティは、MNOがネットワークの環境の管理上定義された範囲の委譲された制御のための許可を与えるエンティティである場合がある。
【0020】
MECアプライアンスは、未検証のサードパーティからの信頼できないプログラムを含む場合があるサードパーティからのプログラムを実行するためのデータサービス及びセキュリティ機構を提供するように構成され得るハードウェア構成要素である。いくつかの実施形態では、MECアプライアンスは、クライアントデバイスとネットワークとの間のデータフロートラフィックをサポートするためにデータ平面としての機能を果たす場合がある。例えば、MECアプライアンスは、データのルートを決定するルータアーキテクチャの一部である場合がある。コンピューティング規格は、MECアプライアンスをネットワークの中の任意の環境で規模を拡大して配備し、管理できるようにする追加の特徴、構成部品、及び/または機能を提供するためにMECアプライアンスによって使用できる。例えば、MECアプライアンスは、MECアプライアンスでサードパーティアプリケーションを実行しながら、メモリ、ファイル記述子、及び/またはシステムスペース等のリソースを制御するためにMECアプライアンスのプログラミング構成で実施されるサンドボクシング方式を介してマルチテナント環境(つまり、ネットワークの中の複数のクライアントデバイス)を実装することによってクライアントデバイス上でサードパーティアプリケーションを実行するために使用できる。一実施態様では、MECアプライアンスは、ネットワーク周辺地域において及び/又はネットワーク周辺地域の近くの環境の中のクライアントデバイスから生じるすべてのデータトラフィックにデータ処理サービスを提供するために第3世代パートナーシッププロジェクト(「3GPP」)規格の発展型パケットコア(「EPC」)インタフェース(例えば、3G、LTE、4G等)と直接的に統合するために使用されてよい。少なくとも1つの実施形態では、すべてのデータサービスは、ローカルアプリケーション及び/又はサービスへのデータトラフィックの選択的なルーティングを可能にする。また、データサービスは、トラフィックを検査し、分析するためにローカル又はリモートのアプリケーション及び/又はサービスの選択的な重複及び送達を可能にしてもよい。
【0021】
MECコントローラは、所与のMNOのためのすべてのMECアプライアンスのコマンド及び制御のために構造化されてよいハードウェア構成要素及びソフトウェア構成要素の集合体である。MECコントローラは、MECアプライアンス、MNO、及び/又はサードパーティの中に拡張する能力を提供することができ、MECコントローラは、規模を拡大してMECアプライアンスを操作可能にするために使用されてよい。いくつかの実施形態では、MECコントローラは制御プレーンとしての機能を果たし、MECアプライアンスがそれによってデータを転送する制御論理を介して方針及び構成パラメータを提供できる。例えば、MECコントローラは、ネットワークのアクセスポイント名(「APN」)への選択的なアクセスを可能にするために構造化することができ、APNは、音声をIPアプリケーションとして処理できるようにインターネットプロトコル(「IP」)アーキテクチャで音声及びデータを統一すること等であるが、これに限定されるものではないサービスのために使用できる。いくつかの実施形態では、MECコントローラは、MECアプライアンスとMNOの両方に安全でモジュール式且つスケーラブルなサービスを提供するために内部でマイクロサービスアーキテクチャを実装できる。
【0022】
マイクロサービスアーキテクチャは、回復力、スケーラビリティ、及び拡張性のために設計されてよい。例えば、MECコントローラの各構成要素は、水平に伸縮(例えば、単一のノードにリソースを追加するのと対照的にネットワークにより多くのノードを追加)し、独立して拡張することができる。MECコントローラの各構成要素は、認証され、符号化された通信の使用を含む、暗号によって保護されるだけではなく、障害分離及びセキュリティ分離のためにもさらに構成できる。さらに、MECコントローラは、おもにステートレスで非同期であり、帯域外通信活動を介して動作できる。したがって、MECコントローラは、MECアプライアンスの性能又は可用性に影響を及ぼさずに操作できる。
【0023】
上述されたように、MECコントローラ及びMECアプライアンスの組織的な実装は、分散型ネットワークの下のネットワーク周辺地域の中で、ネットワーク周辺装置において、及び/又はネットワーク周辺地域の近くでコンピューティング用の安全なプラットフォームを生成できる。本発明のプラットフォームがこれを達成する1つの方法は、MNOのコアネットワーク及び/又は関連付けられたマクロセルネットワークのトポロジーを分散化するためにプラットフォームを利用することである。MECアプライアンス及びMECコントローラを使用することによりトポロジーを分散化することは、既存のプラットフォームよりもより柔軟性があり、信頼性が高く、より高性能のプラットフォームを生成することができる。さらに、スケーラブルなプラットフォームは、ネットワーク周辺地域環境の中で、ネットワーク周辺地域環境において、及び/又はネットワーク周辺地域環境の近くで動作するすべての形式のクライアントデバイスに利用可能であり、MNOが、ネットワーク周辺地域に及び/又はネットワーク周辺地域の近くに常駐するリソースの高度にスケーラブルな分散型プールを配備できるようにする。例えば、本発明のプラットフォームは、ネットワークで実行するためにサードパーティアプリケーションの汎用x86プラットフォームエコシステムを送達するリソースを配備することを可能にし、任意のレガシーシステム、レガシー製品、又はレガシー技術のために設計された入力と動作できる命令セットを助長する。これらのソフトウェアリソースは、モバイルネットワークのアーキテクチャを収容するために変更される必要はなく、代わりに、当該ソフトウェアリソースがあたかも従来の企業ローカルエリアネットワーク(「LAN」)で実行しているかのように配備できる。
【0024】
係る分散化は、クライアントデバイスと実行中のアプリケーションとの間で直接的なアクセスを可能にすることによってクラウドコンピューティングで重大な機能拡張、つまり本明細書でクラウドエッジコンピューティングと呼ばれる動作を提供し得る。言い換えると、モバイルネットワークの外で動作する既存のインフラストラクチャアズアサービス(「IaaS」)又はプラットフォームアズアサービス(「PaaS」)のクラウドコンピュータサービスとは異なり、本発明のプラットフォームは、モバイルネットワーク周辺地域境界に対するアプリケーションの配備を可能にし、技術的に可能であるエンドユーザ(例えば、ネットワーク周辺地域における及び/又はネットワーク周辺地域の近くのクライアントデバイス)の直近に位置するアプリケーションを生じさせる場合がある。無線伝送を使用するクライアントデバイスにとって最も分散され、最も低遅延のネットワークを容易にするプラットフォームをアプリケーション開発者に提供するために、MECアプライアンスは、小さいユーザ対ホスト率のためにプログラミングされたコンパクト且つ強力なアプライアンスとしてさらに構成することができる。
【0025】
上述されたように、本発明のプラットフォームは、ネットワーク周辺地域の境界において及び/又はネットワーク周辺地域の境界の近くに常駐するx86計算リソースの保護された分散型ネットワーク環境を構築するために使用できる。これは、プラットフォームの中の種々の構成要素によってサポートされたサービスの組織的な実装を通して達成できる。例えば、MECアプライアンスサービスは、1)構成及び方針の施行、2)報告及びモニタリング、並びに3)ソフトウェア分散及びバージョニングを含んでよいが、これに限定されるものではない。MECコントローラ及び/又はMNOサービスは、1)サードパーティエンティティに委譲されたアクセスのためのサポートを含んだ、MECアプライアンス及び関連付けられたサービスの制御のためのオープンソース情報空間(例えば、ワールドワイドウェブ)のソフトウェアアーキテクチャを介してネットワークへのアクセスを調節する方法を生成するために、ロールベースアクセス制御(「RBAC」)で可能にされた代表状態転送(Representational State Transfer)(「REST」)アプリケーションプログラムインタフェース(「API」)、2)選択的なプロビジョニングのためのEPC統合、並びに3)MECアプライアンスからオフロードされ、集中した操作メタデータ処理を含むことがあるが、これに限定されるものではない。サードパーティサービスは、1)隣接するサーバハードウェア上でローカルに実行中のサービスの直接的な接続性をクライアントデバイスに拡張すること、2)既存のユーザ認証サービスへの統合、3)既存の通信サービスへの統合、及び4)委譲された及び/又は許可されたアクションの制御のためのREST APIを含んでよいが、これに限定されるものではない。
【0026】
本発明のプラットフォームは、ネットワーク周辺地域環境において及び/又はネットワーク周辺地域環境の近くの分散型トポロジーの中での効果的なプライバシー及びアクセスのためにセキュリティアーキテクチャを含む場合がある。これは、MECコントローラの機能にとって不可欠であり、各MECアプライアンス全体にわたって拡張するセキュリティモジュールの実装によって達成できる。例えば、セキュリティモジュールは、本発明のプラットフォームのホワイトリストに登録されたアクセス及び制御のために使用できる。いくつかの実施形態では、MECコントローラ及びMECアプライアンスのすべての構成要素は、セキュリティモジュールのフレームワークの上部に構築できる。一実施態様では、セキュリティモジュールのフレームワークはゼロトラストモデルである場合があり、それによりネットワーク周辺地域環境の中の、ネットワーク周辺地域環境における及び/又はネットワーク周辺地域環境の近くの任意の構成要素からの通信は、ネットワークへのアクセスを許可される前にそのアイデンティティを証明せざるを得ない場合がある。さらに、セキュリティモジュールは、ネットワークへのアクセスを許可される前に、ネットワーク周辺地域環境の中の、ネットワーク周辺地域環境における及び/又はネットワーク周辺地域環境の近くの任意のプラットフォーム構成要素の任意のアクションを認証するように構成できる。セキュリティモジュールは、いかなるサービス間通信も、通信アプリケーション間のプライバシーを保証するトランスポートレイヤセキュリティ(「TLS」)プロトコルを使用し、暗号化されたセッションとともに使用されるときだけ許可できるようにさらに構成できる。いくつかの実施態様では、暗号化されたTLSセッションは、ローカルインタフェース及び/又はリモートインタフェースを通して許可できる。一実施態様では、TLSプロトコルは、アクセスがネットワークに許可される前に明確な認証を必要とする場合がある。これは、通信伝送のあらゆるインスタンスのためにX.509証明書を使用することによって達成できる。
【0027】
証明書は、サービス/プリンシプル(principle)のアイデンティティだけではなく、TLSクライアントデバイスのため及びサービス認証のためのセキュリティアーキテクチャを通して広範囲に使用され得る。例えば、本発明のプラットフォームは、外部の公開鍵インフラストラクチャ(「PKI」)環境からの拡張された信頼チェーンですべての証明書を固定するように構造化できるか、又は新しいルートアンカーが確立され得るかのどちらかである。さらに、アクションのバリデーションは、以下のステップ、つまり1)有効なユーザによって要求が行われる、2)要求されたアクションが認証されたユーザに対して許可される、及び3)要求されたアクションがアクションの定義された範囲について許可される、に従う場合がある。バリデーションが成功すると、要求されたアクションは暗号によって署名し、アクションを実行できる目的地サービスに送信することができる。
【0028】
いくつかの実施形態では、セキュリティフレームワークは、各構成要素が不正アクセスのリスクを最小限に抑えるために、各層で種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構造化できる、複数の層を確立する複数の構成要素である場合がある。第1のセキュリティ層はMECアプライアンス内にあり、アプライアンスに記憶されたすべての鍵を暗号化するために使用されたマスタ鍵の記憶のためにローカルホストに物理的にアタッチされたトラステッドプラットフォームモジュール(「TPM」)等のハードウェア暗号ユニットを使用し、鍵暗号化の上に成り立っている場合がある。例えば、第1のセキュリティ層は、認証及び暗号化のために公開鍵及び秘密鍵を使用することができ、秘密鍵はクライアントデバイス及び/又はサービス間で共用されない。これは、存在する場合秘密鍵を復号するために使用されるTPMを使用することにより、秘密鍵が保護されることを保証することによって達成できる。秘密鍵が、サービス又はプリンシプルの間で絶対に共用されないことが所望される場合がある。さらに、セキュリティフレームワークは、それが、そのセキュリティを保護するために、サービスであるのか、MECアプライアンスインスタンスであるのか、それともパブリックAPIを使用して操作する人間であるのかに関わりなく、セキュリティフレームワークが秘密鍵の所有者の責任となるように構成されてよい。存在する場合、TPMモジュールの使用は、本発明のプラットフォームで実行中のサービス又はアプライアンスと関連付けられた秘密鍵のための鍵の追加のハードウェア保護を追加できる。
【0029】
TPMの使用は、ネットワークの中の動作環境の完全性を検証する信頼されるブートプラットフォームである場合がある第2のセキュリティ層の生成を容易にする場合がある。操作環境の中には、アプリケーション及びそのユーザがネットワーク要素と対話する能力を制御するためのセキュリティ機構を有する実行時セキュリティモジュールであってよい、第3のセキュリティ層がある場合がある。実行時セキュリティモジュールは、プロセス分離とメモリ暗号化の両方を使用できる。プロセス分離の使用は、システムリソースへのアクセスを、そのプロセスが実行するために必要とされるそれらのリソースに対してだけに制限することによって攻撃者が利用できる攻撃ベクトルを最小限に抑えてよい。メモリ暗号化の使用は、本発明のプラットフォームの構成要素上で実行中のサービスのためのメモリ内に記憶された極秘データへの不正アクセスからの追加の保護を提供できる。第4のセキュリティ層は、MECアプライアンス及び/又はMECコントローラで実行中の実際のアプリケーションコードによって実装されるセキュリティフレームワークである場合がある。追加の実施形態は、より多い又はより少ないセキュリティ層を含む場合がある。
【0030】
例示的な実施形態として、セキュリティフレームワークは、MECコントローラAPIへのアクセスを要求する任意のプリンシプルに、又は内部通信バスを介した環境内の構成要素間の通信のために認証、認可、及び課金(「AAA」)サービスを提供してよいセキュリティモジュールとして構成できる。セキュリティモジュールは、プリンシプルのアイデンティティ、役割、及び許可の永続的な記憶のための内部リレーショナルデータベースを実装し、MECアプライアンスの動作環境へのアクセスを制御するための完全なロールベースアクセス制御(「RBAC」)方針フレームワークをセキュリティモジュールに提供できる。セキュリティモジュールにおけるプリンシプルは、プラットフォームの一部であるサービスインスタンス、つまり、パブリックAPIにアクセスする外部サービス、または人間のオペレータを指す場合がある。セキュリティモジュールは、例えば、セキュリティアサーションマークアップ言語(「SAML」)データフォーマットの使用を介して外部アイデンティティプロバイダサービスにプリンシプルの認証及び認可を委譲してよい。また、セキュリティモジュールは、包括的な監査が、セキュリティモジュールによって受けられ、暗号によって署名されるプリンシプルによって実行されるアクションにとって所望される場合があるので、すべてのプリンシプル活動の包括的な監査を提供する場合もある。また、セキュリティモジュールは、プリンシプルの認証及び識別のために使用されるデジタル証明書の発行及び取消しのために公開鍵インフラストラクチャ(「PKI」)も提供できる。PKIにおけるアンカーオブトラスト(anchor of trust)は、MECコントローラルート証明機関によって、又はネットワーク事業者の既存の証明機関によって確立されてよい。セキュリティモジュールは、プリンシプルを暗号によって識別し、要求されたアクションの範囲(具体的にはアクション(複数可)によって影響を受けるサービス又はデバイス)を認証し、当該プリンシプルにより変更がなされることを認めるために、AAAサービス及びPKIサービスを構築することができる。
【0031】
セキュリティフレームワークは、(1)プリンシプルが、暗号化されたセッションを使用せず、プリンシプルのデジタル証明書を使用し、暗号によって認証される任意の他のプリンシプル又はサービスと通信するのを許されていない、認証された接続確立、(2)直接的な通信が許されていないため、環境の状態を変更又は改変するモジュール間のすべての通信が、セキュリティモジュールを介して通信することによってだけ通信することを必要とされる場合がある、通信の分離、(3)セキュリティモジュールの外部のモジュールは、命令を受け取り、それらの命令の実行から生じる応答を提供するようにだけ構成することができ、すべての命令がセキュリティモジュールに要求として送信されてよく、セキュリティモジュールから暗号によって署名された命令だけがそのそれぞれの構成に変更を加えるために環境内の任意の他のサービスによって受け入れられてよい、認可の制限、(4)セキュリティモジュールが、既存のセキュリティモジュールによって暗号により署名されたデジタル証明書を明示的に認可し、発行しない限り、セキュリティモジュールインスタンスの新しいインスタンスを含んだ構成要素が、環境で通信するために信頼されないように構成できる、非セキュリティモジュール構成要素に対する信頼の前提がないこと、及び(5)セキュリティモジュールが、モジュールが機能を共用せず、したがって独立した攻撃ベクトルを有するように構成することができ、あるモジュールのセキュリティ上の弱点が別のモジュールの機能又はセキュリティに直接的に影響を与えないことを意味する範囲及び機能の分離によって層を提供できる。
【0032】
図1は、本発明のプラットフォームとともに使用され得る例示的なMECサーバ構成を示す。MECアプライアンスは、強化されたLinux(登録商標)動作環境を実行する埋め込みx86ハードウェアデバイス、MECコントローラエージェント(つまり、アプライアンスサービスエージェント)、選択されたデータ平面ネットワーク機能仮想化(「NFV」)EPCモジュール、及びコアサードパーティアプリケーションである場合がある。Linux(登録商標)動作環境及びNFV EPCデータ平面モジュールは、通信セッションの各IPパケットを認証し、暗号化するための安全なインターネットプロトコル(「IPsec」)スイートを介してMECアプライアンスの中に及びMECアプライアンスの中からデータを受信し、送信することができる。MECアプライアンスは、MECコントローラエージェントと、NFV EPCデータ平面モジュール及びMECアプライアンスで実行中のローカル音声サービスによって提供される音声フィックスド・モバイル・カバレージ(Fixed Mobile Coverage)(「FMC」)機能性と、NEV EPCデータ平面モジュールとを含む場合がある。例示的なサードパーティアプリケーションは、コンテンツ配信ノード(「CDN」)、企業アプリパブリックウェブインタフェース、及びビデオ解析プローブであることが示されている。MECアプライアンスは、1)キャッシング-サードパーティキャッシングアプリケーションを介するローカルアプライアンス上でのコンテンツの選択的なキャッシング及び/又は記憶、2)ローカルIPアクセスとも呼ばれるローカルブレイクアウト-ローカルサービス又はローカルにアタッチされたサーバへの選択トラフィックのルーティング、及び3)エッジスイッチポートアナライザ(「SPAN」)-データ分析のためのすべてのトラフィックのミラーリングを含んでよいが、これに限定されるものではないコアデータ処理機能を提供できる。
【0033】
MNOのセキュリティゲートウェイへのIPSecトンネルを開始する小型セル無線の代わりに、MECアプライアンスは、それ自体をそのデータ経路にインストールし、小型セル無線へのIPSecサーバ及びMNOのセキュリティゲートサーバへのIPSecクライアントデバイスとしての役割を果たすことができる。したがって、小型セル無線の機能及び制御は、このトポロジーの下で変化する必要はない。むしろ、MECアプライアンスは、ネットワーク事業者のコアネットワークに送信される前に新しいデータ処理機能を追加できる。この機能は単独で、MECアプライアンスを、例えば屋外スタジアム又は共通オフィスエリア等の敵対する信頼できない環境での動作に適切にすることができる。
【0034】
MECコントローラは、複数のプラットフォームモジュールを介して、モバイルエッジコンピューティングのアプライアンス、機能、及びサービスのための集中プロビジョニング及び管理プラットフォームを提供できる。これらは、コアサービスプラットフォーム、キャリアサービスゲートウェイ、企業サービスゲートウェイ、アプライアンスサービスエージェント、及びディスカバリーサービスを含んでよいが、これに限定されるものではない。集合的に、プラットフォームモジュールは、以下のコアサービス、つまり1)ネットワーク周辺地域において/ネットワーク周辺地域の近くの環境の中のすべてのコンピューティングアプライアンスのハードウェア構成要素及びソフトウェア構成要素の集中した組織化、2)ネットワーク周辺地域において/ネットワーク周辺地域の近くの環境の中で実行中のサービスのためのサードパーティAPIのアグリゲーション及び正規化の選択、3)(動作環境を含む)アプライアンスファームウェア及びソフトウェア、コアアプライアンスソフトウェア特徴、並びにサードパーティソフトウェアのライフサイクル及び構成管理、4)集中報告及び容量計画、並びに5)RBAC、MECアプライアンス、及び既存のEPCモジュール及びサードパーティインフラストラクチャへの統合を伴うユーザプロビジョニングを提供してよい。
【0035】
図2は、例示的なトポロジー及び種々の構成要素間の関係を示す。コアサービスプラットフォームは、MECコントローラのコアとして機能してよく、それは制御プレーン及び操作サービスの処理のためのすべてを実行できる。例えば、コアサービスプラットフォームは、プラットフォームによって提供されるすべての機能の中央制御及びアグリゲーションを提供するマイクロサービスアーキテクチャとして設計できる。この設計は、特定の機能の範囲を、独立したスケーリング、障害、及び攻撃ベクトル分離のための専用インスタンスの集合に分離できる。企業サービスゲートウェイ及びキャリアサービスゲートウェイは、クライアントデバイスユーザ及びキャリアオペレータユーザそれぞれにウェブユーザインタフェースを提供するためのパブリックインタフェースであり、以下により詳細に説明される。
【0036】
図3~図4に示されるように、コアサービスプラットフォームは、複数の構成要素及び/又はモジュールを含む場合がある。これらは、1)セキュリティモジュール、2)アプライアンスモジュール、3)テレメトリモジュール、4)EPCモジュール、及び5)パブリックゲートウェイを含む場合があるが、これに限定されるものではない。コアサービスプラットフォームは、サービス間APIとして図3に示されるように、標準化されたAPIを通して各マイクロサービスと通信できる。
【0037】
セキュリティモジュールは、発行されたX.509証明書のサポートを介してすべてのアクションを暗号によって認証し、署名できる。いくつかの実施態様では、アクションは、所与のプリンシプル(例えば、ユーザ又はサービス)のための所望される範囲に対して認可できる。セキュリティモジュールは、連邦情報処理規格(「FIPS」)186-4及び/又は国家安全保障局(「NSA」)スイートB規格を使用できる。セキュリティモジュールは、内蔵RBAC機能及び監査機能を用いてあらゆるアクションを明示的に認可し、追跡するようにさらに構成できる。すべてのサービス及びプリンシプルは、そのアイデンティティをデジタルアイデンティティのために発行されたX.509証明書を介して提供できる。
【0038】
図9を参照すると、セキュリティモジュールPKIトポロジーは、ルート証明機関(「CA」)又はMNOによって管理される既存のPKIによって署名される中間CAのどちらかを実装するトラストアンカーを有する場合がある。各セキュリティモジュールは、トラストアンカーに対して中間CAとしての役割を果たすことができ、任意の1つのセキュリティモジュールインスタンスは、プリンシプルにデジタルアイデンティティを発行し、オンライン証明書状態プロトコル(「OCSP」)を介してすべてのサービスのための証明書チェーンを認証するために使用できる。
【0039】
アプライアンスモジュールは、MECアプライアンスの1対多の管理用に構成できる。例えば、アプライアンスモジュールは、配備されたMECアプライアンスとの通信を容易にすることができる。アプライアンスモジュールは、アプリケーション及びアプライアンスのライフサイクル管理を容易にすることができる。アプライアンスモジュールは、アプライアンスとの持続的な通信を維持するようにさらに構成でき、追加される最大100,000+のアプライアンスまで可能にするために水平に拡大させることができる。したがって、モジュールは、ノースバウンドビジネスサポートシステム(「BSS」)及びオペレーショナルサポートシステム(「OSS」)のプラットフォームへの組織化及び統合を簡略化してよい。アプライアンスモジュールは、MECアプライアンスに送信される非同期コマンドの状態の追跡を管理し、他のモジュールに要求の最終状態を観察するための抽象化を提供してよい。また、アプライアンスモジュールは、認証されたメッセージで指示されるように、コアサービスプラットフォームから受け取られた、認証され、認可されたメッセージの1つ以上のMECアプライアンスへの分散を管理してもよい。
【0040】
テレメトリモジュールは、統計及びロギングのために使用できる。例えば、MECアプライアンス及びMECコントローラの両方からのすべてのイベント及びメトリックスは、テレメトリモジュールによって取り込むことができる。また、テレメトリモジュールは、トリガベースのアクションをサポートし、環境全体のほぼリアルタイムの分析を提供し、MECアプライアンスからテレメトリ分析をオフロードできる。いくつかの実施態様では、すべてのイベントデータ処理は、テレメトリモジュールを介して実施される。これは、他のどこかでイベントデータ処理を実行することと比較して、アプライアンスの計算リソース要件を削減し得る。また、テレメトリモジュールは、コアサービスプラットフォームを支援して使用されるサードパーティアプリケーションからイベント処理のためのインタフェースを提供してもよい。例えば、サービングゲートウェイ(「SGW」)の制御プレーン要素は、テレメトリモジュールの一部である傾聴サービスに所有権通知を送信してよい。テレメトリモジュールは、コールバック機能、具体的には、閾値を超えられた場合、又は特定のイベントが発生した場合に異なるサービスを通知する能力を提供してよい。これは、適切なサービスに対する、それらのサービスが通知を受け取ることを希望している状況の種類について非同期プッシュ通知を可能にし、これは追加の取扱い及び処理に使用できる。
【0041】
EPCモジュールは、MNOのEPC構成部品と通信し、このようにしてネットワークプロビジョニング及び方針施行のために統合及びMNO EPCとの通信を可能にできる。EPCモジュールは、NFV EPC制御プレーンSGW及びパケットデータネットワークゲートウェイ(「PGW」)要素を含む場合がある。EPCモジュールは、Gxインタフェース、S5インタフェース、及びS11インタフェースをサポートするだけではなく、方針変更及びユーザ変更を実行するようにさらに構成できる。EPCモジュールは、MECアプライアンスがそれぞれ配備されるか、デコミッショニングされるかのどちらかのとき、MECアプライアンスで実行中のデータ平面インスタンスの追加又は削除に備えることができる。
【0042】
パブリックゲートウェイモジュールは、MECコントローラ及び/又はMECアプライアンスにパブリックREST APIを提供し、このようにして外部サービス及びユーザにプラットフォームへのREST API端点を提供することを可能にする。本発明のプラットフォームは、パブリックゲートウェイモジュールがコアサービスプラットフォームにアクセスするためのサードパーティ消費者用の唯一のパブリックインタフェースとなるように構成できる。言い換えると、本発明のプラットフォームとインタフェースをとる唯一の方法は、パブリックゲートウェイモジュールのREST APIを介してだろう。パブリックゲートウェイモジュールは、ネットワークへのすべてのアクセスが(例えば、MECアイデンティティストアを介して)事業者によって認可されるように構成できる。パブリックゲートウェイモジュールは、さらに、接続の試行を認可するためにセキュリティモジュールによって提供されるAAA認証フレームワークを使用し、ウェブユーザインタフェースゲートウェイをサポートするように構成することができ、スタンドアロンとして、又は既存のクライアントポータルREST APIをさらに拡張する若しくは消費するために構築できる。
【0043】
MECコントローラとの統合は、コアサービスプラットフォームの中でパブリックゲートウェイモジュールによって提供されるREST APIを通して厳しく行い、企業サービスゲートウェイ及び/若しくはキャリアサービスゲートウェイと併せて、又は企業サービスゲートウェイ及び/若しくはキャリアサービスゲートウェイに対する代替品としてサードパーティの統合及び制御を可能にできる。したがって、コアサービスプラットフォームとのユーザ対話は、企業サービスゲートウェイ及び/若しくはキャリアサービスゲートウェイを通して又はコアサービスプラットフォームパブリックゲートウェイAPIと準拠するサードパーティ製品を通してのどちらかで実行できる。
【0044】
さらに、プラットフォームは、任意のMECアプライアンスの制御が完全にアプライアンスとコアサービスプラットフォームとの間の安全で持続的な接続にだけ制限されるように構造化できる。上述されたように、任意のMECアプライアンスの制御は、コアサービスプラットフォームの機能の中核を成す場合がある。したがって、セキュリティフレームワークのコアは、コアサービスプラットフォームの中のセキュリティモジュールによって実装し、提供することができる。ソフトウェアのこのスイートは、ネットワークと通信しようと意図する任意の構成要素へのアクセスを許可することを担う場合がある。また、セキュリティモジュールは、任意のコマンドの完全性及び有効性を認証するために他のサービスに対するすべてのコマンドに暗号によって署名できる。
【0045】
図4を参照すると、セキュリティフレームワークは、例えばX.509証明書を使用する明確な認証なしにモジュールが別のモジュールと通信するために信頼されないように、コアサービスプラットフォーム全体にわたって実装できる。内部的に、コアサービスプラットフォーム(サービス間API)のモジュール間のすべての通信は、独占のJavaScript(登録商標)オブジェクト表記法(「JSON」)メッセージフォーマットによって処理し、別のモジュールから任意のあるモジュールの実装を取り除くアドバンストメッセージキューイングプロトコル(「AMQP」)を介してトランスポートできる。交換されるメッセージは、範囲、アクション、及び受信側マイクロサービスで実行されるために要求されるアクションのパラメータを表す、コマンドメッセージと呼ばれる統一フォーマットであってよい。標準化されたコマンドメッセージフォーマットは、遠隔マイクロサービスの設計又はアーキテクチャに対して依存することなく異なるマイクロサービスが通信できるようにする。AMQP準拠のメッセージバスは、サービス間でメッセージの安全で、分離された、及び/又は制御された送達を提供してよく、リモートプロシージャコール(「RPC」)等の同期通信又は非同期通信を実装するために使用できる。さらに、メッセージバスは、任意の1つの所与のマイクロサービスが、状態又は遠隔マイクロサービスとの通信を管理することを担わないように、障害ドメインの分離を可能にしてよい。コアサービスプラットフォームは、遠隔マイクロサービスで呼び出される非同期コマンドの状態を追跡し、記録するためのJSON鍵-値ストアを使用してよい。
【0046】
したがって、メッセージングプロトコルは、所与のモジュールの完全なアーキテクチャ分離を可能にし、以下の目的、つまり1)モジュールの基本的な実装を変更する、2)特徴を拡張又は追加する、3)生産におけるモジュールインスタンス数を増加又は減少させる、4)障害分離、及び5)攻撃ベクトル分離のために他のモジュールに影響を与えることなく、独立を可能にできる。係る設計は、さらにコアサービスプラットフォームを任意のクラウドホスティング環境で動的にスケーラブルにすることができる。追加の又はさらに多くの詳細なテレメトリデータが収集される必要がある場合、例えば、他のモジュールに影響を及ぼすことなく追加の処理要件を処理するために、追加のテレメトリモジュールを配備できる。このスケーリング方式は、コアサービスプラットフォームの中の任意のモジュールに適用でき、リソースを、それを必要とする正確な機能だけに割り当てることを可能にする。
【0047】
上述されるように、MECコントローラのコアサービスプラットフォーム構成要素は、REST APIを提供できる。企業サービスゲートウェイ及びキャリアサービスゲートウェイは、MECコントローラに対してRESTクライアントを実装するウェブユーザインタフェースを提供できる。これらの企業サービスゲートウェイ及びキャリアサービスゲートウェイは、ヒューマンインタフェースを環境に提供する唯一の機能を果たさせることができる。図5に示されるように、企業サービスゲートウェイ及びキャリアサービスゲートウェイは、MECコントローラによって要求される証明書認証を実装し、従来のユーザ認証方法を実装し、プロキシすることができる。したがって、本発明のプラットフォームは、企業サービスゲートウェイ及びキャリアサービスゲートウェイがプラットフォームのオプションの構成要素となるように構成できる。例えば、MNOの環境の制御のためにユーザインタフェースを実装する外部サービスは、企業サービスゲートウェイ及びキャリアサービスゲートウェイの存在を必要とすることなく、REST APIを消費できる。外部サービスは、MECコントローラのパブリックREST APIゲートウェイ仕様と準拠するRESTクライアントを作成することによって、及びREST APIとの認証された接続を開くために発行されたX.509デジタルアイデンティティ証明書を使用することによってREST APIを直接的に消費できる。
【0048】
アプライアンスサービスエージェントは、MECアプライアンスで実行中のすべての構成要素とサービスとの間のインタフェースとしての機能を果たすことができ、それらのサービスはMECコントローラによって管理されている。MECコントローラは、モバイルネットワークを介してデータを処理するためにMECアプライアンスに対して必要とされていないが、プラットフォームは、任意のコマンド及び制御機能がMECコントローラからだけ発行され得るように構成できる。例えば、(モバイルネットワークの周辺地域の境界に設置される)新しいMECアプライアンスが初期化され、ネットワークに接合されるとき、アプライアンスサービスエージェントは、EPC制御プレーン要素を更新するためにコアサービスプラットフォームと通信することを担い、このようにしてアプライアンスの中に常駐するEPCデータ平面モジュールに対する制御を確立できる。したがって、アプライアンスサービスエージェントは、ネットワーク周辺地域環境の中で、ネットワーク周辺地域環境において及び/又はネットワーク周辺地域環境の近くでMECアプライアンスのエコシステムを安全に管理する手段を提供できる。さらに、アプライアンスサービスエージェントは、MECアプライアンスで実行中のサードパーティアプリケーションの間で、API変換及び局所化メッセージング及び通知を提供できる。例えば、アプライアンスサービスエージェントは、位置情報を処理するために必要とされるデータを中継してよい、又はアプライアンスサービスエージェントは、ともにローカルで実行し、アプライアンスサービスエージェントによって仲介される、あるサービスから別のサービスに情報を転送してよい。
【0049】
ディスカバリーサービスは、自律的なプロビジョニングを含む場合があるフィールドで(つまり、ネットワーク周辺地域環境の中で、ネットワーク周辺地域環境において及び/又はネットワーク周辺地域環境の近くで)MECアプライアンスのプロビジョニングを担う場合がある本発明のプラットフォームの構成部品である場合がある。ディスカバリーサービスは、MNOの外部に常駐してよい。ディスカバリーサービスは、新しい工場配達のMECアプライアンスが、MNOに登録し、すべての通信及び認証のためにMNOに特有の暗号鍵及び署名済みのX.509デジタルアイデンティティ証明書を確立できるようにする。例えば、クライアントデバイスは、単にクライアントデバイスの電源を投入するだけで証明書を自動的に(つまり、自律的なプロビジョニング)登録し、入手するためにネットワーク事業者に接続できる。別個の機能及び/又は動作は、ネットワークに接合するクライアントデバイスを承認できるが、認証及びバリデーションのプロセスは、ディスカバリーサービスを介して自動にすることができる。図6は、秘密鍵が自律的なプロビジョニングの間の任意の時点で共用又は伝送されないことを保証するために、MECアプライアンス、クラウドでホストされるディスカバリーサービス、及びMNOの中で実行中のMECコントローラの間の通信を含む場合がある、関与され得る処理ステップを示す。このプロセスは、TLSクライアント認証の使用を含んでよい。
【0050】
上述されたように、本発明のプラットフォームは、ネットワーク周辺地域環境において及び/又はネットワーク周辺地域環境の近くでクラウドエッジコンピューティングに備えることができる。MNO及び/又はフィールドに位置するアプライアンスを有するクライアントデバイスユーザは、プラットフォームの中の他のモジュールに対する混乱を最小限に又は混乱なく、需要に基づいて容易に且つ効果的に拡大及び/又は縮小できる。これは、部分的にはMNOのコアネットワークを分散化することによって行うことができ、ゼロトラストのセキュリティモジュールによって管理される複数の小さいシステムを生じさせる。プラットフォームは、ネットワーク周辺地域の境界でモバイルアプリケーションを配備することができ、技術的に可能であるエンドユーザに対して直近に位置するモバイルアプリケーションを生じさせることができる。MNOのコアネットワークを分散化することは、モジュールに対する混乱なく、及びアプライアンスが追加されるたびにセキュリティフレームワークに対する調整なしにデータフロー要求を満たすために強化されたスケーリング管理をさらに容易にすることができる。さらに、MECアプライアンスは、MECコントローラから送信されたすべての通信及びコマンドの有効性を検証できる。したがって、クライアントデバイスは(例えば、クライアントデバイスをリブートするために)アプライアンスにコマンドを送信する場合、システムに加えてMECアプライアンスが、このアクションを認証できる。
【0051】
上述されたように、テレメトリモジュールは、MECアプライアンス及びMECコントローラの両方からすべてのイベント及びメトリックスを取り込むことができ、このようにしてMECアプライアンスで発生するあらゆるイベントはテレメトリモジュールに送信できる。クライアントデバイスユーザが、MECアプライアンスによって実行できない要求を発行する場合、そのイベントはテレメトリモジュールによって記録できる。この情報は、同じものに対する以後の要求を実行できるように、アプライアンスを更新するために使用できる。
【0052】
図7を参照すると、本発明のプラットフォームの例示的な高水準アーキテクチャが開示される。本実施形態は、無線ネットワーク、ネットワーク事業者、及びインターネットに対するMECアプライアンスとMECコントローラの両方を有するプラットフォームを示す。図中、MECアプライアンスは、モバイルエッジに常駐し、少なくとも1つの小型セル無線及びMNO EPCベンダと、セキュリティモジュールによって形成された暗号化されたトンネルを介して通信していると示されている。
【0053】
図8は、図7のアーキテクチャで使用されてよい、MECコントローラエージェントアーキテクチャに加えてサードパーティNFV EPC構成要素の例示的な3GPP制御プレーオン及びデータ平面アーキテクチャを示す。
【0054】
図9は、セキュリティモジュールによって使用されてよい例示的なPKI実装方式又はPKIトポロジーを示し、これは、トラストアンカーを通して発生し得るセキュリティモジュールの種々のインスタンスを明示する。
【0055】
図10は、セキュリティモジュールによって使用されてよい例示的なRBAC実装方式を示す。
【0056】
説明されている実施例及び実施形態の多数の変更形態及び変形形態が、本開示の上記教示を鑑みて可能であることが当業者に明らかになる。開示されている実施例及び実施形態は説明のためだけに提示される。他の代替実施形態が、本明細書に開示される特徴のいくつか又はすべてを含むことがある。したがって、その全容を示されるべきである本発明の真の範囲内に入る可能性があるすべての係る変更形態及び代替実施形態をカバーすることが意図である。さらに、一連の値の開示を含むその範囲の中のあらゆる数値の開示である。
[項目1]
無線ネットワークの中でのコンピューティングのためのプラットフォームであって、
プライベートに管理されるネットワークでサードパーティプロバイダと関連付けられたプログラムを実行するためのデータサービス及びセキュリティ機構を提供できるハードウェアデバイスを備えるモバイルエッジ計算(「MEC」)アプライアンスであって、前記プライベートに管理されるネットワークの境界において又は前記プライベートに管理されるネットワークの境界の近くに設置される前記MECアプライアンスと、
前記MECアプライアンスの命令及び制御が可能なMECコントローラであって、モバイルネットワーク事業者(「MNO」)のコアネットワークの中に常駐する前記MECコントローラと、
各構成要素が各層で種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構造化された、複数の層を確立する複数の構成要素を備えるセキュリティモジュールであって、前記MECコントローラの機能に不可欠であり、前記MECアプライアンス全体にわたって拡張する前記セキュリティモジュールと
を備え、
前記プラットフォームが、前記プライベートに管理されるネットワークのネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである環境の中で少なくとも1つのサードパーティアプリケーションをホストするために計算リソースを提供し、
前記セキュリティモジュールが、前記プライベートに管理されるネットワークへのアクセスを許可される前に、前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである前記環境の中で任意のプラットフォーム構成要素による任意のアクションを認証するように構成される、
プラットフォーム。
[項目2]
前記MECアプライアンスがデータ平面としての機能を果たすことができる、項目1に記載のプラットフォーム。
[項目3]
前記MECコントローラが制御プレーンとしての機能を果たすことができる、項目1に記載のプラットフォーム。
[項目4]
前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである環境が分散型トポロジーである、項目1に記載のプラットフォーム。
[項目5]
前記MECアプライアンスが、小型セル無線とMNOとの間で、インラインで設置される、項目1に記載のプラットフォーム。
[項目6]
前記MECアプライアンスが、前記MNOのセキュリティゲートウェイサーバへのインターネットプロトコルセキュリティ(「IPSec」)トンネルによって画定されたデータ経路にそれ自体をインストールし、前記小型セル無線へのIPSecサーバ及び前記MNOのセキュリティゲートウェイサーバへのIPSecクライアントデバイスとしての役割を果たす、項目5に記載のプラットフォーム。
[項目7]
前記MECコントローラが、マイクロサービスアーキテクチャとして設計されたコアサービスプラットフォームをさらに備え、前記プラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供し、独立したスケーリング、障害、攻撃ベクトル分離のために専用のインスタンスの集合に特定の機能の範囲を分離できる、項目1に記載のプラットフォーム。
[項目8]
前記コアサービスプラットフォームが、配備されたMECアプライアンスとの通信のためのアプライアンスモジュールと、前記プラットフォームのホワイトリストに登録されたアクセス及び制御のためのセキュリティモジュールと、ネットワークプロビジョニング及び方針施行のためのMNO EPCとの統合及び通信のためのEPCモジュールと、統計及びロギングのためのテレメトリモジュールと、外部サービス及びユーザのためのプラットフォームにREST API端点を提供するためのパブリックゲートウェイモジュールとをさらに備える、項目7に記載のプラットフォーム。
[項目9]
前記テレメトリモジュールが、前記MECアプライアンス及び前記MECコントローラの両方からすべてのイベント及びメトリックスを取り込むことができる、項目8に記載のプラットフォーム。
[項目10]
すべてのイベントデータ処理が、前記テレメトリモジュールを介して実施される、項目8に記載のプラットフォーム。
[項目11]
前記ハードウェアデバイスがx86ハードウェアデバイスを備える、項目1に記載のプラットフォーム。
[項目12]
前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである前記環境の中での前記MECアプライアンスのプロビジョニングを担うディスカバリーサービスをさらに備える、項目1に記載のプラットフォーム。
[項目13]
ネットワークシステムの中でのコンピューティングのためのプラットフォームであって、
プライベートに管理されるネットワークと接続できる無線ネットワークと、
それぞれが前記プライベートに管理されるネットワークと関連付けられた、複数のクライアントデバイスと、
少なくとも1つのサーバであって、前記無線ネットワークの一部であり、前記無線ネットワークと前記プライベートに管理されるネットワークとの間のゲートウェイとしての役割を果たし、各クライアントデバイスと前記サーバとの間の通信を可能にする、前記少なくとも1つのサーバと、
前記複数のクライアントデバイスと前記無線ネットワークとの間の無線接続性を助長するアクセスノードと、
前記プライベートに管理されるネットワークでサードパーティプロバイダと関連付けられたプログラムを実行するためのデータサービス及びセキュリティ機構を提供できるハードウェアデバイスを備えるモバイルエッジ計算(「MEC」)アプライアンスであって、前記プライベートに管理されるネットワークの境界において又は前記プライベートに管理されるネットワークの境界の近くに設置される前記MECアプライアンスと、
前記MECアプライアンスの命令及び制御が可能なMECコントローラであって、MNOのコアネットワークの中に常駐する前記MECコントローラと、
複数の層を確立する複数の構成要素を備えるセキュリティモジュールであって、前記MNOネットワークとの通信を確立する任意のプラットフォーム構成要素による任意のアクションを確証するように構成される前記セキュリティモジュールと
を備え、
前記プラットフォームが、少なくとも1つのクライアントデバイスで使用される少なくとも1つのサードパーティアプリケーションをホストするための計算リソースを提供する、
プラットフォーム。
[項目14]
前記プラットフォームが、前記MNOのコアネットワーク及び/又は関連付けられたマクロセルネットワークトポロジーを分散化するようにさらに構成される、項目13に記載のプラットフォーム
[項目15]
前記MECアプライアンスがデータ平面としての機能を果たすことができる、項目13に記載のプラットフォーム。
[項目16]
前記MECコントローラが制御プレーンとしての機能を果たすことができる、項目13に記載のプラットフォーム。
[項目17]
前記MECアプライアンスが、前記MNOのセキュリティゲートウェイサーバへのインターネットプロトコルセキュリティ(「IPSec」)トンネルによって画定されたデータ経路にそれ自体をインストールし、前記アクセスノードへのIPSecサーバ及び前記MNOのセキュリティゲートウェイサーバへのIPSecクライアントデバイスとしての役割を果たす、項目13に記載のプラットフォーム。
[項目18]
前記MECアプライアンスが、前記アクセスノードとMNOとの間で、インラインで設置される、項目17に記載のプラットフォーム。
[項目19]
前記アクセスノードが小型セル無線である、項目17に記載のプラットフォーム。
[項目20]
前記MECコントローラが、マイクロサービスアーキテクチャとして設計されたコアサービスプラットフォームをさらに備え、前記コアサービスプラットフォームが、前記プラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供し、独立したスケーリングのために専用のインスタンスの集合に特定の機能の範囲を分離できる、項目13に記載のプラットフォーム。
[項目21]
前記コアサービスプラットフォームが、統計及びロギングが可能であるテレメトリモジュールをさらに備える、項目20に記載のプラットフォーム。
[項目22]
前記MECアプライアンスのプロビジョニングを担うディスカバリーサービスモジュールをさらに備える、項目13に記載のプラットフォーム。
[項目23]
前記ハードウェアデバイスが、x86ハードウェアデバイスを備える、項目13に記載のプラットフォーム。
[項目24]
無線ネットワークの中でのコンピューティングのためのプラットフォームであって、
プライベートに管理されるネットワークでサードパーティプロバイダと関連付けられたプログラムを実行するためのデータサービス及びセキュリティ機構を提供できるx86ハードウェア装置を備えるモバイルエッジ計算(「MEC」)アプライアンスであって、小型セル無線とMNOとの間にインラインで設置される前記MECアプライアンスと、
前記MECアプライアンスの命令及び制御を可能にするMECコントローラであって、前記MECコントローラが前記MNOのコアネットワークの中に常駐し、
マイクロサービスアーキテクチャとして設計され、前記プラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供し、独立したスケーリングのために専用インスタンスの集合に特有の機能の範囲を分離できる、コアサービスプラットフォームであって、
すべてのアクションを暗号によって認証し、署名するために認証、認可、及び課金を提供するセキュリティモジュールと、
複数のMECアプライアンスの1対多の管理のために構成されたアプライアンスモジュールと、
統計及びロギングが可能であるように構成されたテレメトリモジュールと、
前記MNOのEPC構成要素との通信のために構成された発展型パケットコア(「EPC」)モジュールと、
前記コアサービスプラットフォームにアクセスするために前記サードパーティプロバイダに唯一のパブリックインタフェースを提供するように構成されたパブリックゲートウェイモジュールと
を備える前記コアサービスプラットフォームと、
それぞれクライアントデバイスユーザ及びキャリアオペレータユーザにウェブユーザインタフェースを提供できる企業サービスゲートウェイ及びキャリアサービスゲートウェイと、
前記MECアプライアンスで実行中のすべての構成要素とサービスとの間のインタフェースとしての機能を果たすためのアプライアンスサービスと、
前記MECアプライアンスのプロビジョニングを担う前記プラットフォームの構成要素としてのディスカバリーサービスモジュールと
を備える前記MECコントローラと、
各構成要素が各層で種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構造化された、複数の層を確立する複数の構成要素を備えるセキュリティモジュールであって、前記MECコントローラの機能に不可欠であり、前記MECアプライアンス全体にわたって拡張する前記セキュリティモジュールと
を備え、
前記プラットフォームが、前記プライベートに管理されるネットワークのネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである環境の中で少なくとも1つのサードパーティアプリケーションをホストするために計算リソースを提供し、
前記セキュリティモジュールが、前記プライベートに管理されるネットワークへのアクセスを許可される前に、前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである前記環境の中で任意のプラットフォーム構成要素による任意のアクションを確証するように構成される、
プラットフォーム。
[項目1]
無線ネットワークの中でのコンピューティングのためのプラットフォームであって、
プライベートに管理されるネットワークでサードパーティプロバイダと関連付けられたプログラムを実行するためのデータサービス及びセキュリティ機構を提供できるハードウェアデバイスを備えるモバイルエッジ計算(「MEC」)アプライアンスであって、前記プライベートに管理されるネットワークの境界において又は前記プライベートに管理されるネットワークの境界の近くに設置される前記MECアプライアンスと、
前記MECアプライアンスの命令及び制御が可能なMECコントローラであって、モバイルネットワーク事業者(「MNO」)のコアネットワークの中に常駐する前記MECコントローラと、
各構成要素が各層で種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構造化された、複数の層を確立する複数の構成要素を備えるセキュリティモジュールであって、前記MECコントローラの機能に不可欠であり、前記MECアプライアンス全体にわたって拡張する前記セキュリティモジュールと
を備え、
前記プラットフォームが、前記プライベートに管理されるネットワークのネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである環境の中で少なくとも1つのサードパーティアプリケーションをホストするために計算リソースを提供し、
前記セキュリティモジュールが、前記プライベートに管理されるネットワークへのアクセスを許可される前に、前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである前記環境の中で任意のプラットフォーム構成要素による任意のアクションを認証するように構成される、
プラットフォーム。
[項目2]
前記MECアプライアンスがデータ平面としての機能を果たすことができる、項目1に記載のプラットフォーム。
[項目3]
前記MECコントローラが制御プレーンとしての機能を果たすことができる、項目1に記載のプラットフォーム。
[項目4]
前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである環境が分散型トポロジーである、項目1に記載のプラットフォーム。
[項目5]
前記MECアプライアンスが、小型セル無線とMNOとの間で、インラインで設置される、項目1に記載のプラットフォーム。
[項目6]
前記MECアプライアンスが、前記MNOのセキュリティゲートウェイサーバへのインターネットプロトコルセキュリティ(「IPSec」)トンネルによって画定されたデータ経路にそれ自体をインストールし、前記小型セル無線へのIPSecサーバ及び前記MNOのセキュリティゲートウェイサーバへのIPSecクライアントデバイスとしての役割を果たす、項目5に記載のプラットフォーム。
[項目7]
前記MECコントローラが、マイクロサービスアーキテクチャとして設計されたコアサービスプラットフォームをさらに備え、前記プラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供し、独立したスケーリング、障害、攻撃ベクトル分離のために専用のインスタンスの集合に特定の機能の範囲を分離できる、項目1に記載のプラットフォーム。
[項目8]
前記コアサービスプラットフォームが、配備されたMECアプライアンスとの通信のためのアプライアンスモジュールと、前記プラットフォームのホワイトリストに登録されたアクセス及び制御のためのセキュリティモジュールと、ネットワークプロビジョニング及び方針施行のためのMNO EPCとの統合及び通信のためのEPCモジュールと、統計及びロギングのためのテレメトリモジュールと、外部サービス及びユーザのためのプラットフォームにREST API端点を提供するためのパブリックゲートウェイモジュールとをさらに備える、項目7に記載のプラットフォーム。
[項目9]
前記テレメトリモジュールが、前記MECアプライアンス及び前記MECコントローラの両方からすべてのイベント及びメトリックスを取り込むことができる、項目8に記載のプラットフォーム。
[項目10]
すべてのイベントデータ処理が、前記テレメトリモジュールを介して実施される、項目8に記載のプラットフォーム。
[項目11]
前記ハードウェアデバイスがx86ハードウェアデバイスを備える、項目1に記載のプラットフォーム。
[項目12]
前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである前記環境の中での前記MECアプライアンスのプロビジョニングを担うディスカバリーサービスをさらに備える、項目1に記載のプラットフォーム。
[項目13]
ネットワークシステムの中でのコンピューティングのためのプラットフォームであって、
プライベートに管理されるネットワークと接続できる無線ネットワークと、
それぞれが前記プライベートに管理されるネットワークと関連付けられた、複数のクライアントデバイスと、
少なくとも1つのサーバであって、前記無線ネットワークの一部であり、前記無線ネットワークと前記プライベートに管理されるネットワークとの間のゲートウェイとしての役割を果たし、各クライアントデバイスと前記サーバとの間の通信を可能にする、前記少なくとも1つのサーバと、
前記複数のクライアントデバイスと前記無線ネットワークとの間の無線接続性を助長するアクセスノードと、
前記プライベートに管理されるネットワークでサードパーティプロバイダと関連付けられたプログラムを実行するためのデータサービス及びセキュリティ機構を提供できるハードウェアデバイスを備えるモバイルエッジ計算(「MEC」)アプライアンスであって、前記プライベートに管理されるネットワークの境界において又は前記プライベートに管理されるネットワークの境界の近くに設置される前記MECアプライアンスと、
前記MECアプライアンスの命令及び制御が可能なMECコントローラであって、MNOのコアネットワークの中に常駐する前記MECコントローラと、
複数の層を確立する複数の構成要素を備えるセキュリティモジュールであって、前記MNOネットワークとの通信を確立する任意のプラットフォーム構成要素による任意のアクションを確証するように構成される前記セキュリティモジュールと
を備え、
前記プラットフォームが、少なくとも1つのクライアントデバイスで使用される少なくとも1つのサードパーティアプリケーションをホストするための計算リソースを提供する、
プラットフォーム。
[項目14]
前記プラットフォームが、前記MNOのコアネットワーク及び/又は関連付けられたマクロセルネットワークトポロジーを分散化するようにさらに構成される、項目13に記載のプラットフォーム
[項目15]
前記MECアプライアンスがデータ平面としての機能を果たすことができる、項目13に記載のプラットフォーム。
[項目16]
前記MECコントローラが制御プレーンとしての機能を果たすことができる、項目13に記載のプラットフォーム。
[項目17]
前記MECアプライアンスが、前記MNOのセキュリティゲートウェイサーバへのインターネットプロトコルセキュリティ(「IPSec」)トンネルによって画定されたデータ経路にそれ自体をインストールし、前記アクセスノードへのIPSecサーバ及び前記MNOのセキュリティゲートウェイサーバへのIPSecクライアントデバイスとしての役割を果たす、項目13に記載のプラットフォーム。
[項目18]
前記MECアプライアンスが、前記アクセスノードとMNOとの間で、インラインで設置される、項目17に記載のプラットフォーム。
[項目19]
前記アクセスノードが小型セル無線である、項目17に記載のプラットフォーム。
[項目20]
前記MECコントローラが、マイクロサービスアーキテクチャとして設計されたコアサービスプラットフォームをさらに備え、前記コアサービスプラットフォームが、前記プラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供し、独立したスケーリングのために専用のインスタンスの集合に特定の機能の範囲を分離できる、項目13に記載のプラットフォーム。
[項目21]
前記コアサービスプラットフォームが、統計及びロギングが可能であるテレメトリモジュールをさらに備える、項目20に記載のプラットフォーム。
[項目22]
前記MECアプライアンスのプロビジョニングを担うディスカバリーサービスモジュールをさらに備える、項目13に記載のプラットフォーム。
[項目23]
前記ハードウェアデバイスが、x86ハードウェアデバイスを備える、項目13に記載のプラットフォーム。
[項目24]
無線ネットワークの中でのコンピューティングのためのプラットフォームであって、
プライベートに管理されるネットワークでサードパーティプロバイダと関連付けられたプログラムを実行するためのデータサービス及びセキュリティ機構を提供できるx86ハードウェア装置を備えるモバイルエッジ計算(「MEC」)アプライアンスであって、小型セル無線とMNOとの間にインラインで設置される前記MECアプライアンスと、
前記MECアプライアンスの命令及び制御を可能にするMECコントローラであって、前記MECコントローラが前記MNOのコアネットワークの中に常駐し、
マイクロサービスアーキテクチャとして設計され、前記プラットフォームによって提供されるすべての機能の集中制御及びアグリゲーションを提供し、独立したスケーリングのために専用インスタンスの集合に特有の機能の範囲を分離できる、コアサービスプラットフォームであって、
すべてのアクションを暗号によって認証し、署名するために認証、認可、及び課金を提供するセキュリティモジュールと、
複数のMECアプライアンスの1対多の管理のために構成されたアプライアンスモジュールと、
統計及びロギングが可能であるように構成されたテレメトリモジュールと、
前記MNOのEPC構成要素との通信のために構成された発展型パケットコア(「EPC」)モジュールと、
前記コアサービスプラットフォームにアクセスするために前記サードパーティプロバイダに唯一のパブリックインタフェースを提供するように構成されたパブリックゲートウェイモジュールと
を備える前記コアサービスプラットフォームと、
それぞれクライアントデバイスユーザ及びキャリアオペレータユーザにウェブユーザインタフェースを提供できる企業サービスゲートウェイ及びキャリアサービスゲートウェイと、
前記MECアプライアンスで実行中のすべての構成要素とサービスとの間のインタフェースとしての機能を果たすためのアプライアンスサービスと、
前記MECアプライアンスのプロビジョニングを担う前記プラットフォームの構成要素としてのディスカバリーサービスモジュールと
を備える前記MECコントローラと、
各構成要素が各層で種々の攻撃ベクトル及び潜在的なセキュリティ上の弱点に対応するように構造化された、複数の層を確立する複数の構成要素を備えるセキュリティモジュールであって、前記MECコントローラの機能に不可欠であり、前記MECアプライアンス全体にわたって拡張する前記セキュリティモジュールと
を備え、
前記プラットフォームが、前記プライベートに管理されるネットワークのネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである環境の中で少なくとも1つのサードパーティアプリケーションをホストするために計算リソースを提供し、
前記セキュリティモジュールが、前記プライベートに管理されるネットワークへのアクセスを許可される前に、前記プライベートに管理されるネットワークの前記ネットワーク周辺地域において、及び前記プライベートに管理されるネットワークの前記ネットワーク周辺地域の近くでのうちの少なくとも1つである前記環境の中で任意のプラットフォーム構成要素による任意のアクションを確証するように構成される、
プラットフォーム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】