用于控制平面以在以信息为中心的网络中管理基于域的安全性和移动性的方法和设备

摘要

一种网络系统，其包括：以信息为中心的网络中的虚拟组控制器，其用于启用所述以信息为中心的网络中的多个用户组的移动性和安全性；多个用户组，其耦接至所述虚拟组控制器并与用户关联；多个代理，所述多个代理中的每个代理与所述用户组中的一个用户组关联；以及受信任服务资料的数据库，其耦接至所述虚拟组控制器，其中所述虚拟组控制器用于与所述代理交互，以使用基于域的无服务器命名方案来启用所述用户组的移动性。

说明书

相关申请案的交叉参考

本发明要求2011年2月4日由王国强（Guo-Qiang Wang）等人递交的发 明名称为“用于控制平面以在内容导向网络中管理基于域的安全性、移动性和社 会组的方法和设备（Method and Apparatus for a Control Plane to Manage  Domain-Based Security,Mobility and Social Groups in a Content Oriented  Network）”的第61/439,769号美国临时专利申请案的在先申请优先权，并要求 2012年1月18日由王国强（Guo-Qiang Wang）等人递交的发明名称为“用于控 制平面以在以信息为中心的网络中管理基于域的安全性和移动性的方法和设备 （Method and Apparatus for a Control Plane to Manage Domain-Based Security and  Mobility in an Information Centric Network）”的第13/352835号美国临时专利申请 案的在先申请优先权，该在先申请的内容以全文引入的方式并入本文本中。

技术领域

本发明涉及通信网络，确切地说，涉及用于控制平面以在以信息为中心 的网络中管理基于域的安全性和移动性的方法和设备。

背景技术

以信息为中心的网络（ICN）是一种网络结构，其重点不在于连接交换 数据的终端主机，而在于确定信息的位置并将信息提供给用户。一种ICN为内 容导向网络（CON）。在也被称为以内容为中心的网络（CCN）的CON中，内 容路由器负责将用户请求和内容路由至正确的接收方。在CON中，将域范围内 唯一的名称分配给作为内容传送框架的一部分的每个实体。这些实体可包括视频 剪辑或网页等数据内容和/或路由器、交换机或服务器等基础设施元件。内容路 由器使用名称前缀在内容网络中路由内容包，这些名称前缀可用完整的内容名称 或内容名称的适当前缀来替代网络地址。

发明内容

一项实施例中，本发明包括一种网络系统，其包括：以信息为中心的网 络中的虚拟组控制器，其用于启用所述以信息为中心的网络中多个用户组的移动 性和安全性；多个用户组，其耦接至所述虚拟组控制器并与所述用户关联；多个 代理，所述多个代理中的每个代理与一个用户组关联；以及受信任服务资料的数 据库，其耦接至所述虚拟组控制器，其中所述虚拟组控制器用于与所述代理交互， 以使用基于域的无服务器命名方案来启用所述用户组的移动性。

在另一项实施例中，本发明包括一种在控制平面上运行的网络部件，其 包括：接收器，其用于通过以信息为中心的网络接收请求，其中所述请求与用户 组中的用户装置关联；虚拟组控制器，其用于在所述控制平面上运行，以根据从 所述请求获得的域名确定所述用户装置的域，并通过使用受信任服务资料信息对 所述请求中所述用户装置的名称进行映射，以正确路由所述请求；以及发射器， 其用于将所述请求转发至所述用户装置的所述域。

在第三方面中，本发明包括一种在网络部件上实施以向移动装置提供兴 趣的方法，其包括：在虚拟组控制器处接收从组代理发送至所述移动装置的请求， 所述虚拟组控制器在以信息为中心的网络中的控制平面中运行，其中所述组代理 从对等装置接收所述请求；使用所述移动装置的受信任服务资料通过所述虚拟组 控制器将所述请求映射至所述移动装置的接入点；以及通过所述虚拟组控制器将 所述请求发送至所述移动装置的所述接入点。

通过结合附图和权利要求书进行的以下详细描述将更清楚地理解这些和 其他特征。

附图说明

为了更完整地理解本发明，现在参考以下结合附图和详细描述进行的简 要描述，其中相同参考标号表示相同部分。

图1为包括基于域的安全移动虚拟组（SMVG）控制系统的CON的一项 实施例的示意图。

图2为名称映射方案的一项实施例的示意图。

图3为网关间移动性操作的一项实施例的示意图。

图4为名称至安全密钥映射方案的一项实施例的示意图。

图5为移动社会分组的推送模型的一项实施例的示意图。

图6为多域控制器和代理交互的一项实施例的示意图。

图7为多域服务保障框架的一项实施例的示意图。

图8为装置注册方法的另一项实施例的流程图。

图9为域间兴趣转发方法的另一项实施例的流程图。

图10为网络单元的一项实施例的示意图。

图11为通用计算机系统的一项实施例的示意图。

具体实施方式

首先应理解，尽管下文提供一项或多项实施例的说明性实施方案，但可 使用许多种技术，不管是当前已知还是现有的，来实施所揭示的系统和/或方法。 本发明决不应限于下文所说明的说明性实施方案、附图和技术，包括本文本所说 明并描述的示例性设计和实施方案，而是可在所附权利要求书的范围以及其等效 物的完整范围内修改。

在CON中，内容传送或传播包括发布、请求、管理（修改、删除）和 其他可基于内容名称而不基于位置的功能。例如，CON还可提供在用户提取数 据时缓存实时数据的功能，以及/缓存由用户或企业或社交网络等第三方内容提 供商140提供的持久数据的功能。CON不同于传统互联网协议（IP）网络的一 个方面在于，内容可达性可由内容名称确定，例如，而不由托管内容的装置的地 址确定。与基于地址的传统IP网络的情况不同，在CON系统中，已启用服务的 功能性构建模块可在基于名称的基础上实施。这些功能性构建模块或网络服务控 制功能（实体）可包括安全性功能、移动性功能、社会分组功能、组播功能、实 时处理功能和其他功能。在IP网络中，内容可在托管系统（如Google服务器） 上进行存储和提取，而在CON中，内容可在多个内容路由器上进行复制和检索。 当网络服务控制功能从集中式门户转移至分布式局部门户时，在多个内容路由器 上复制内容可引发根本性影响。

本文本所揭示的是一种用于实施SMVG控制系统的系统和方法。SMVG 系统可支持包括安全性、移动性和社会分组在内的多个服务支持件，以管理CON 用户和用户组的受信任服务资料。由于基于域的CON可以分布式方式配置或构 建，因此就性质而言，SMVG实施方案可基于名称且无服务器。在SMVG系统 中可使用基于域的命名结构来标识每个已命名对象。基于域的命名结构可用作控 制平面平台，它可让CON选择并混合用户/用户组的已命名对象，以提供具有私 密性、安全性、移动性和社交网络功能的受信任服务流。SMVG控制器可用作 控制平面实体，其以分布式动态方式使用并管理受信任服务资料。如下文所详细 描述，控制器可实施域内和域间操作。

图1所示为可实施SMVG控制系统的CON100的一项实施例，其中， 内容可根据名称前缀进行路由，并根据请求传送到用户或客户。CON100为ICN 的一个实例。但是，本文本所揭示的方法、系统和设备可通过除CON之外的其 他类型ICN实施。CON100可包括多个用户组120，这些用户组可为SMVG或 安全虚拟组（SVG）。SMVG控制系统可包括SMVG控制器110，其耦接至例如 归属域中的受信任服务资料（TSP）数据库112，并耦接至用户组120。用户组 120可位于例如归属域或多个域中的CON100中，或者可位于一个或多个访问 接入网络中的多个访问接入域中。例如，域可包括IP域、多协议标记交换（MPLS） 域、以太网域或以上域的组合。每个用户组120可与耦接至SMVG控制器110 的SMVG代理122关联，且本地接入资料数据库124和CON代理节点126耦接 至SMVG代理122。CON代理126也可耦接至一台或多台接入装置或一个或多 个接入点（AP）128，所述接入装置或所述接入点用于在每个用户组120上与多 台用户装置130通信。在一项实施例中，AP128可包括基站，其用于与移动智 能手机或其他移动装置等用户装置130（通过无线链路）进行无线通信。CON100 的部件可如图1所示那样进行布置。SMVG控制器110和SMVG代理122可为 使用硬件或软件或同时使用两者实施的功能。CON代理126可对应于CON100 中的边缘内容路由器。

CON100可包括多个内容路由器114，其包括用户组120上的CON代理 节点126。CON100还可包括多个内部节点，例如路由器、网桥和/或交换机（未 图示）。内容路由器114和内部节点可通过固定连接等网络链路彼此耦接。CON 代理节点126等一些内容路由器114也可直接或通过AP128且选择性地通过多 个接入网络（未图示）耦接至多个客户节点，包括用户装置130和/或客户站点。 内容路由器114和内部节点可为支持业务在CON100中以及在CON100和用户 装置130等外部部件之间传输的任意节点、装置或部件。内容路由器114可为 CON代理节点126等边缘节点，其例如根据客户请求或需要将内容业务从内部 节点和/或其他内容路由器114转发至包括用户装置130和/或其他客户站点在内 的客户节点。内容路由器还可接收来自客户节点的内容请求。例如，内容路由器 114可为根据内容名称前缀转发内容的路由器或网桥，例如骨干网边缘网桥 （BEB）、提供商边缘网桥（PEB）或标记边缘路由器（LER）。内容路由器114 和内部节点可包括或者可耦接到存储或缓存内容的多个内容服务器，所述内容可 例如根据需要提供给客户或订阅方。此外，内容路由器114可包括内容存储器， 其用于缓存在CON100中转发的至少一些内容。

客户节点可为用于将内容传送给用户或客户，并从用户或客户处接收内 容请求的节点、装置或部件。例如，包括用户装置130在内的客户节点可为固定 式或移动式用户导向装置，例如，台式计算机、笔记本计算机、个人数字助理 （PDA）或蜂窝式移动电话。或者，客户节点可为客户端上的连接装置，例如调 制解调器或机顶盒。客户节点也可包括客户设备（未图示），其可用于通过接入 网络从内容路由器接收内容，并将内容分发给多个客户。例如，客户节点可包括 应用服务器和相关虚拟机、数据中心存储装置、光纤网络终端（ONU）和/或住 宅位置上的极高位速率数字用户线（VDSL）收发器单元（VTU-R）。接入网络 可为对CON100中的内容提供访问的任意网络，例如虚拟专用网（VPN）。客户 站点可为用于从内容路由器接收内容，且可通过接入网络将内容发送到对应客户 节点的任何站点或办公环境。客户站点也可从客户节点接收内容请求，并将内容 请求发送到内容路由器。

SMVG控制系统可为基于域的控制平面平台，其用于让CON100选择并 混合特定用户/用户组的已命名对象，以提供具有私密性、安全性、移动性和社 交网络功能的受信任服务流。具体而言，SMVG控制器110可为位于归属域上的 控制平面实体，其用于采用分布式动态方式在CON100中使用并管理受信任服 务资料，下文将对此进行详细的描述。SMVG控制器110可位于或对应于路由器 （如内容路由器114）、内部节点或服务器等节点或网络部件。

就服务订阅方与供应商之间的关系而言，信任可包括例如基于要如预期 那样执行的一组规则的服务安全性、服务质量和相关服务责任。在CON100中， 服务订阅方和供应商可分别对应于内容订阅方和发布方，例如用户装置130的用 户。SMVG控制器110可用于在例如预定时间（如实时时间（TOD）、持续时间 或生存时间（TTL））内创建、维持、验证、执行并跟踪/测量用户/用户组、应用、 移动性、安全性和用户/网络装置之间的信任服务关系。该信任关系可由资料进 行描述和执行。

SMVG控制系统可支持例如CON100的移动环境中的多个用户/用户组。 在单个域的情况下，SMVG控制器110可位于归属域中，并与多个用户组120 进行协作。或者，用户组120可在CON100内的一个或多个访问接入域上或耦 接至CON100的多个外部接入网络上进行分发。SMVG代理122可位于或对应 于路由器（如内容路由器114）、内部节点或服务器等节点或网络部件。SMVG 控制器110可在确保安全性和移动性功能的虚拟组的上下文中与SMVG代理122 进行协作。

TSP数据库112可用于管理用户组120。每个用户组120可由标识符（ID）、 成员列表和与安全性功能（如密钥分发、完整性、机密性）和社会交互有关的元 数据进行标识，如果需要全局移动性，则所述标识符是唯一的。此外，TSP数据 库112可与社交网络或VPN等外部第三方实体链接，以实现应用/上下文用户组 交互，在服务提供商（SP）网络上可为相对于网络资源进行定制处理而实现应 用/上下文用户组交互。TSP数据库112中的信息可包括多个关联或（如TSP表 中的）条目，所述条目将用户ID、装置ID、组ID、网络锚定点、安全权限或以 上项的组合相关联。

域，如CON100中的归属域，可为由某些关系构建并约束的一组对象， 这些关系例如管理关系、所有关系、社会关系、地理关系、拓扑关系、其他已定 义关系或以上关系的组合。每个域均可具有一个代表域范围内对象的“领域”的 名称。域中的每个对象也可具有一个将域名用作前缀的名称。可以递归方式建立 域（也就是说，域可包含子域），这样，域中的每个对象均可分配得到一个分级 名称。例如，可使用名称 www.hollywood.com/movie/new_release/The_Company_Men，其中电影 “The_Company_Men”为好莱坞所有，且“Hollywood”为已命名电影的归属域。

SMVG代理122可与例如可位于访问接入网络上的CON代理节点126 进行协作，以管理移动性、安全密钥分发和社会所有权。此类操作可基于涉及内 容传播的对象的名称。已命名对象可包括用户、用户装置、接入点、社会组、SMVG 控制器和代理、其他对象或以上项的组合。在此上下文中，用户装置的名称并不 一定是“全局可达的”，也就是说，用户装置的名称可为本地名称。但是，归属 域SMVG控制器的名称和访问AP的名称（例如，第四代（4G）无线基站（BS） 或网关）可为“全局可达的”。从内容路由角度而言，全局可达的名称也可被称 为“知名”名称。本地接入资料数据库124可用于存储用户装置130的注册信息。

SMVG控制系统还可提供域内服务保障。正在处理自己的组的第三方与 CON SP之间的交互应在不侵犯用户权利和权限的范围内。在一种情形中，SP 可与第三方进行交互，以将SP的订阅方映射到已知的社交网络，从而使用可从 社交网络获得的订阅方行为统计信息来改善SP的服务，例如，广告服务。在另 一种情形中，SP可将订阅方或用户映射到网络内容路由器上的一个或多个虚拟 专用组（VPG）实例，例如以相对于SP的域上内容传播提供保障性能。

在一项实施例中，CON100还可包括多个内容路由器114，其可位于 SMVG控制器110与SMVG代理122之间。每个此类内容路由器114可用于在 SMVG控制器110与对应用户组120中的对应SMVG代理122之间进行转发或 实现二者之间的通信。每个内容路由器114和对应的CON代理节点126可与对 应的VPG实例关联。因此，与CON代理节点126通信的用户装置130可由SP 映射到同一个VPG实例。

在多种情形下，在CON100中，SMVG控制器110和SMVG代理122 可与CON代理节点126通信，以支持安全性、移动性和社交网络。下文的情形 描述如何针对这些受支持的服务创建、保存并使用服务资料。在这种情况下， SMVG控制器110和SMVG代理122可为控制平面实体，且CON代理节点126 可为内容数据传输平面实体。该SMVP控制系统可提供基于无服务器结构的集 成协作式服务控制平面，它独立于内容数据传输平面。

CON100中的SMVG控制系统可实施基于域的命名方案，其中建立的每 个域均可代表一组对象。这组对象可能受某些关系的约束，如上文所述。建立的 每个域均可代表一个具有域名的领域。在该领域内，所有对象的名称可能均以域 名开头，域名可用作对象的名称的前缀。在CON100中，域名可为已知的，也 就是说，域名可为全局可路由的。在CON基础设施中，每个元件或对象均可为 已命名对象，且每个对象可属于某个域。具体而言，每个移动装置130、用户、 用户组120、AP128、SMVG控制器110和SMVG代理122可以选定的域名作 为前缀进行命名，且它们均可属于选定的域。CON100中的多个或所有域名可 为全局可路由的。还可假设每个AP128是全局可路由的。例如，位于加利福尼 亚州（California）圣克拉拉市（Santa Clara），由AT&T公司所有且运营的长期 演进（LTE）基站可命名为top/att.us/CA/SantaClara/BS-1，其中“top”代表虚拟 名称，它可以代表抽象的组织或技术，例如“www”名称。

例如，用户装置130附接到CON100的AP128后，SMVG控制系统还 可实施注册和ID管理过程。当AP128进行装置/用户认证时，AP128可通过移 动装置名称的前缀得知（或推导出）归属域。这适用于移动装置130属于AP128 所在域的情况，也适用于移动装置130和AP128属于不同域的情况。在后一种 情况中，移动装置运营商（如电话公司）必须验证运营商的服务许可协议（SLA） 策略是否允许在访问接入域中接受移动装置130或对其进行授权。

在本地接入资料124中注册完移动装置130后，本地SMVG代理122可 将资料注册消息发送至归属SMVG控制器110。注册消息的目标名称可由从用户 装置130名称中提取的域名（或者，与用户名一起）确定。注册消息可包括移动 装置名称（如user-domain/user-name/My.IPhone）和AP的名称（如 top/att.us/CA/SantaClara/BS-1）。这两个名称可存储在归属域上的TSP数据库112 中，且可用于建立用户装置130与AP128之间的绑定关系。例如，当移动装置 更改其附接状态（如漫游、切换、游牧移动、摘机等）时，这一绑定关系可以动 态方式进行更新。

例如，如果用户拥有包括移动和/或固定装置在内的多台装置，并且/或者 由于AP128与移动装置130之间的策略进行了更新，则可实现多次注册。用户 还可在装置之间进行实时切换。注册可在归属域上的TSP数据库112或表中创 建对应的条目。TSP数据库112或表可具有用于启用服务和进行管理的其他字段。 例如，TSP表可包括主叫方名称字段，以指示哪种呼叫应转至哪种装置（如个人 移动）。TSP表还可包括指示用户所在组的社会组ID。TSP表还可包括指示已分 配给移动装置130的密码材料的类型的密钥定位器。TSP表还可包括用于ID管 理、接入控制、服务安全性、服务质量（QoS）和/或位置管理（mgmt）的各种 策略。TSP数据库112或文件可包含静态注册的字段（例如，当在归属域或社会 组和个人资料等第三方域上创建用户账户时）和动态注册的字段（例如，当将移 动装置130附接到访问接入网络时）。

SMVG控制系统还可支持CON100中的用户移动性。在一项实施例中， SMVG控制系统可实施三种类型的移动性控制：切换、游牧和全局漫游。通常 情况下，两个基站或AP128之间的切换（例如，在全球微波接入互操作性 （WiMAX）或LTE网关等同一个网关控制下）可由二层（L2）无线接入处理。 已命名对象级别上的CON100可要求支持移动装置130的游牧移动和全局漫游。 当使用上文所述的基于域的命名方案时，每个对象名称可具有域名前缀，且在 CON100中，域名可为全局可达的。因此，从用户装置130的名称推导出归属 域名并不困难。CON100中的SMVG控制器110和SMVG代理122还可支持基 于名称的移动性。

当将移动装置130附接到访问接入网络时，可触发本地SMVG代理122 以将注册消息发送至归属域SMVG控制器110。移动装置的归属域名可通过移动 装置的名称推导得出（或者可通过用户装置130上预配置的数据得到）。注册消 息可包括通过用户装置130和AP128得到的两个名称。SMVG控制器110可记 录TSP资料中用户装置130与AP128之间的绑定数据。当对应的对等体要将请 求或兴趣发送至移动装置130（例如，发起电话呼叫）时，耦接至相应AP128 的本地SMVG代理122可先通过被叫方名称推导得出归属域名，并将消息发送 至归属SMVG控制器110，以解析被叫方的当前位置。之后，主叫方站点的CON 代理126可通过将位置名称（例如，主叫方的AP名称）作为前缀与被叫方名称 一起进行级联，将兴趣发送至远端被叫方站点。由于通过两方的两个AP128得 出的名称可为全局可路由的，因此可通过全局可路由的已解析名称高效地建立主 叫方与被叫方之间的通信。在这种情况下，主叫方和被叫方的名称可能并非是全 局可路由的。在一些情况下，由于主叫方/被叫方的动态移动性和路由协议更新 可扩展性，可能难以将主叫方/被叫方可达性填充到全局网络（即使名称为全局 可路由的）。

图2描绘了可在例如类似于CON100的CON中例如用作上文所述 SMVG控制系统的一部分的名称映射方案200的一项实施例。名称映射方案200 可用于在归属名称210（在归属名称等级中）与外部名称220（在外部名称等级 中）之间进行映射。归属名称210可从CON中的归属域分配得到，外部名称220 可从访问接入域分配得到。归属名称210和外部名称220在CON中可为全局可 路由的，但位于不同的域中。例如，归属名称210可在归属域中使用或进行路由， 且可映射到对应访问接入域中的外部名称220。外部名称220可在对应的访问接 入域中使用并进行路由。

例如，归属名称210可用于为一位用户注册的两台用户装置（移动装置）： top/Huawei/Abel/Abel.IPhone和top/Huawei/Abel/Abel.iPad。用户装置也可拥有多 个外部名称（例如，每个无线接入网（RAN））。外部名称220可用于具有不同 接入技术的两个对应访问接入域或网络的两台用户装置。访问接入域或网络时， 用户装置可获得外部名称。例如，外部名称220可用于两个不同的RAN：用于 LTE接入的top/ATT.US/LTE/SF-GW/Huawei/Abel/Abel.IPhone和 top/ATT.US/WiFi/LA-GW/Huawei/Abel/Abel.iPad。

用户装置可在归属域中注册自己的外部名称。例如，当接收或发送包括 对象名称的请求（兴趣）或回复时，归属名称可映射至归属域中的外部名称。归 属SMVG控制器可管理归属域与外部域之间的映射。当在归属名称与外部名称 之间进行映射时，映射方案200可与基于ID的公用密钥基础设施（PKI）一起 使用，且可实施每个域的策略控制。

图3描绘了可在例如类似于CON100的CON中例如用作上文所述 SMVG控制系统的一部分的网关间移动性操作300的一项实施例。可实施网关 间移动性操作300以在移动装置于CON中的不同AP之间移动时正确地将数据 转发至移动装置，例如，以便维持服务连续性。CON可包括或可耦接至：服务 AP310，其耦接至第一CON代理或服务代理312；目标AP320，其耦接至第二 CON代理或目标代理322；以及对应的对等接入点（AP）330，其耦接至第三 CON代理或对等代理332。服务AP310可链接至第一移动装置314，其可（在 切换过程中）从服务AP310移动至目标AP320。对应的对等体330可链接至可 与第一移动装置314通信（例如，建立呼叫）的第二移动装置316。服务代理312、 目标代理322和对等代理332可为已启用CON的网关（或基站），其用于在CON 中将用户或移动装置与AP进行耦接或链接，并实现CON与装置之间的通信。

网关间移动性操作300可对应于网关间移动性管理的先接后断情形。在 第一移动装置314从服务AP310上的服务代理312移动至目标AP320上的目标 代理322之前，第一移动装置314可通过目标代理322/目标AP320开始附接过 程。之后，第一移动装置314可告知服务代理312目标代理322即为移动（切换） 的目标代理。之后，服务代理312可向对应的对等体330中的对等代理332通知 目标代理322的名称。因此，对等代理332可将目标代理322的名称用作前缀， 并将该前缀与第一移动装置314的名称进行级联，以进行数据锚定。

服务代理312还可使用目标代理322的名称替换所接收数据的名称前缀。 例如来自第二移动装置316的所接收数据可使用原前缀（如服务代理312的名称） 对第一移动装置314进行定位。目标代理322的名称可用作新前缀。数据可通过 第一路径（标记为“切换前路径”）从对等代理332发送至服务代理312。这样， 服务代理312可将所接收数据路由至目标代理322。在切换过程中，对等代理332 可将数据双播至服务代理312和目标代理322。如果对等代理332仅将单播业务 锚定至服务代理312，那么在切换之后，对等代理332可使用新前缀将数据切换 至目标AP320，且服务代理312可通过瞬时路径将剩余数据（在服务代理312 处接收的数据）逐渐移动或移动至目标AP320。当在切换之后，完成所有数据 的切换或逐渐移动时，对等代理332可通过第二路径（标记为“切换后路径”） 将数据发送至目标代理322。

在一项实施例中，当移动装置或其他对象在同一个无线接入域中转移位 置时，无线接入网可处理域内切换。如果网关已启用内容导向网络结构（CONA）， 那么CONA代理可对相应域内所有或多个基站或AP执行数据锚定功能。在网 关内和网关间切换情形中，CONA代理可以使用实体名称执行数据锚定功能。成 功执行切换后，目标AP上的本地SMVG代理可将新绑定信息注册到归属域 SMVG控制器，如上文所述。

SMVG控制系统还可通过为具有已启用CON的SMVG控制器和代理节 点的移动装置启用多个安全性服务，来支持CON（如CON100）中的用户安全 性。为实现数据真实性和完整性，CON中的所有数据均可使用发布方的私用密 钥进行签名，例如，使用用户、装置或应用专用的密钥进行签名，且接收方可使 用发布方的公用密钥来验证数据。分发此类密钥可使实施过程变得复杂。为简化 实施过程，SMVG控制系统可利用基于域的已命名数据来启用灵活数据真实性 验证。具体而言，因为AP可例如作为认证方处理移动装置的数据发布和订阅操 作。所以AP可代表装置提供证书验证和数据签名验证功能。

例如，根据归属域上的归属SMVG控制器与访问接入域中访问AP上的 SMVG代理之间已建立的信任关系，SMVG代理可验证属于相应归属域的移动 发布方的所有证书。在这种情况下，当对应的对等体（AP）查询移动装置的位 置时，归属SMVG控制器可向与对应的对等体耦接的SMVG代理发送移动装置 证书。SMVG代理可作为对应的对等体的代表运行，以验证证书，然后再将移 动发布方的公用密钥转发至对应的对等体。这样可节约从CON中检索并验证内 容发布方的公用密钥证书的成本。此外，为发布数据，AP可代表移动装置生成 数字签名，以确保数据传输的完整性。例如，在将移动发布方证书从归属SMVG 控制器传送至访问SMVG代理时，可使用SMVG控制器与SMVG代理之间已 建立的凭证来确保已命名对象。例如，根据（域内和域间的）两个AP之间预建 立的信任关系，安全名称也可适用于AP间通信。这可能比较实用，因为对功率 受限的装置而言，对大型数据签名这一操作通常要耗费大量成本。

为实现私密性和机密性，归属SMVG控制器可用作密钥服务器和分发 方。具体而言，当在CON代理上通过AP使用移动装置的社会组ID注册移动装 置时，SMVG控制器可根据域名或组ID生成新会话密钥。为使移动装置之间可 以进行安全的组通信，同一个组内的所有装置之间可共享密钥，这样，每台装置 可使用组密钥来建立指向组中其他对等体（装置）的逻辑安全通信信道。装置发 布的数据只可到达同一个组中的装置。因此，SMVG控制器可根据装置注册过 程和社会值或社会上下文用作密钥发布方、分发方和组成员资格管理器。

此外，装置的归属SMVG控制器可为跨越多个域的其他对等体（装置） 之间安全通信的代理。这样可实现用于域间通信的信任关系管理的代表模型。当 设置不同域中的装置以形成安全组时，装置的对应归属SMVG控制器可例如通 过在装置的归属SMVG控制器上注册的装置公用/私用密钥对，协商用于所有对 等体的唯一会话密钥，并将密钥分发给各装置。这样可为密钥协商中的每台移动 装置省去计算过程，从而节约功率。

图4描绘了可在例如类似于CON100的CON中例如用作上文所述 SMVG控制系统的一部分的名称至安全密钥映射方案400的一项实施例。名称 至安全密钥映射方案400可用于在归属名称410（在归属名称等级中）与对应密 钥420（在密钥等级中）之间进行映射。归属名称410可从CON中的归属域分 配得到，密钥420可由归属SMVG控制器使用归属名称410生成。归属名称410 可映射至对应密钥420，之后，对应密钥可例如通过访问接入域上的AP分发至 对应装置。

在名称至安全密钥映射方案400中，归属名称410可用作装置ID来生成 对应密钥420。装置ID或名称410可用于例如使用基于标识的密码（IBC）获得 公用密钥。密钥420可用于保障装置间数据/内容的发布/注册的安全。分级IBC （HIBC）可用于根据名称410推导得出密钥420，其中上级域可为中间密钥发布 方（或机构）。映射的密钥420可为域密钥用户（机构）、用户密钥发布方（机构） 和生成的装置密钥的组合。域密钥用户和用户密钥发布方可通过名称410得知。 例如，归属名称410可用于为一位用户注册的两台用户装置（移动装置）： top/Huawei/Abel/Abel.IPhone和top/Huawei/Abel/Abel.iPad。这样，两个密钥420 可用于两台用户装置：Huawei/Abel/key1-for-IPhone和Huawei/Abel/key1-for-iPad。

SMVG控制系统还可支持使用CON100等CON的社会工作组。SMVP 控制系统可用于支持固定/移动用户的社会分组功能。用户可在TSP资料中注册 自己的社会组信息（或社会组定位器）。例如，TSP资料可包括存储用户社会组 ID、VPN ID、社会活动状态、存在和/或其他相关组信息的条目。TSP还可存储 用户感兴趣的“社会事件类型”。

图5描绘了可在例如类似于CON100的CON中实施的移动社会分组的 推送模型500的一项实施例。移动社会分组的推送模型500可由CON中的SMVP 控制系统控制，以将事件推送给某个社会组中的多个成员。在这种情形下，当移 动装置514等事件发布方（通过代理512）将事件放入CON中时，（访问接入域 510中的）本地SMVG代理513可向（归属域502中的）归属域SMVG控制器 511发送“推送”兴趣。SMVG控制器511可为归属域502上VPN域管理器的 一部分。通过匹配社会组名称（和/或感兴趣的事件类型），SMVG控制器511可 将“推送”兴趣中继至例如一个或多个访问接入域510上的多个已注册移动装置 514。SMVG控制器511可与访问接入域510上的SMVG代理513进行通信，以 中继推送兴趣。推送兴趣可类似于“寻呼”消息，其可由域中的对应AP接收。 因此，域上的移动装置514可收到寻呼。之后，收到寻呼的移动装置514可将兴 趣发送至发布方（移动装置514），以检索事件。

在这种情形下，SMVG控制器511和SMVG代理513可传输控制消息， 而不传输事件数据。事实上，事件数据可在不同访问接入域510上（例如，在数 据平面上）的CON代理节点512之间进行传输。虽然事件数据在某些内容路由 器上进行复制，但如果某组中社会成员的兴趣沿着相同路径传播，那么社会成员 可共享事件数据。该方法的另一个优点是节能。对于同一个社会组中的所有移动 成员或装置514而言，成员无需“始终在线”，而是可以定时向其他成员“拉取” 事件（或社会状态更新）。如果发生某些事件，成员就会收到寻呼。组“寻呼” 可使移动装置514受益，因为它降低了对功率的要求，或者对功率的要求有限。 内容名称级别的“寻呼”也可与无线L2寻呼功能协作，以便在移动装置514处 于休眠状态时进一步节能。

在TSP表中，社会组条目可用作第三方社会域的定位器，从而可实现域 间服务资料交换。例如，AT&T域可能需要脸谱网（Facebook）域中的“用户喜 好/厌恶”信息。当AT&T AP将事件推送至移动装置时，AP可使用从第三方获 得的用户资料信息将某些广告插入用户的移动装置中。例如，当用户走进沃尔玛 （Wal-Mart）商店时，CON代理可将沃尔玛优惠券推送至用户的IPhone。如果 CON代理知道用户喜爱中国菜，那么CON代理还可以将附近中餐馆的菜单推送 至IPhone。这个实例展示了SMVG控制系统如何整合位置与社会组信息，以支 持新服务。

SMVG控制系统还可实施CON中的域间策略管理。当移动用户在域之 间移动时，域间策略管理可与域间策略资料交换和执行进行关联。图6描绘了例 如在类似于CON100的CON中例如可用作SMVG控制系统的一部分的多域控 制器和代理交互600的一项实施例。具体而言，耦接至CON的多个域可进行协 作，以使全局分布的虚拟组成员互相交互。通常情况下，社交网络可视作一种越 顶（OTT）现象，也就是说，在社交网络中，SP可能察觉不到或看不到社会交 互。使提供商成为此互动的一部分可让提供商创建针对每个虚拟组需要定制的新 服务，这样可改善全局上下文中的体验质量（QoE）支持。

域可包括CON的归属域602和多个访问接入域610，访问接入域可位于 耦接至CON的多个外部接入网络上。虚拟组的成员可包括耦接至外部接入网络 和/或CON的移动对象或装置614。归属域602可能包括归属SMVG控制器611 和TSP数据库609。每个外部接入网络或访问接入域610可包括访问SMVG控 制器615、本地SMVG代理613、本地访问资料数据库616和本地CON代理612。 CON代理612可通过AP（未图示）耦接至移动装置614。

CON还可包括耦接至归属域602的一个或多个用户组（未图示），每个 用户组包括SMVG代理、接入资料数据库以及可耦接至用户移动装置的CON代 理。归属域602中的SMVG代理和归属SMVG控制器611可在归属域内进行交 互（域内交互），如上文所述。本地SMVG代理613还可以与上文所述类似的方 式与对应访问接入域610中的访问SMVG控制器615进行交互。此外，归属域 602中的归属SMVG控制器611可与对应访问接入域610中的访问SMVG控制 器615进行交互，以实现域间交互，例如以实施和/或支持域间策略管理、域间 可达性、移动注册和服务保障，如下文所述。

CON中的SMVG控制系统可支持域间可达性。具体而言，要例如以类 似于处理IP网络的方式实现多个域之间的交互，CON的SP需要检查或查看不 同域中的边界点（AP）。可在一个域的AP处使用根据域间路由协议的控制平面 交互或双方同意的交换点来交换其他域的（用于内容对象、网络元件和其他实体 的）已命名前缀。这样可使每个域建立正确解析SMVG控制器的ID（名称）所 需的可达性，且可使CON代理节点正确解析边界网关点（AP）。

CON中的SMVG控制系统也可支持移动注册。最初，每台移动用户装 置可通过其归属CON代理和归属SMVG代理在归属SMVG控制器中注册。移 动装置进入另一个域，且新域中的关联访问CON代理发现该移动装置后，CON 代理可先检查本地域间对等数据库，以确定是否接受该移动装置。一旦移动装置 进入CON代理的附接范围内，CON代理就会使用移动装置用来进行自我通知的 用户ID（名称）对此进行检查。

例如，如果通过检查Verizon网络的本地对等数据库，允许来自AT&T 网络且名称中带有～/att的用户在Verizon网络中漫游，那么该用户可获得验证， Verizon网络的本地对等数据库可指示针对来自AT&T网络的用户的合适策略和 协议。如果移动装置可以在Verizon网络中漫游，则访问CON代理可先更新其 SMVG代理，SMVG代理可与（Verizon网络中的）本地归属SMVG控制器进行 交互，以注册漫游用户。之后，访问SMVG代理可触发漫游移动装置的归属 SMVG代理的控制平面更新。因此，任何移动装置均可先与移动装置自己的 SMVG控制器联系，以确定漫游移动装置是否在其当前域中，从而与漫游移动 装置建立会话。如果无法解析漫游装置的请求，则SMVG控制器可将请求转发 至漫游移动装置的归属SMVG控制器，该归属SMVG控制器可将用户解析至当 前域中。如果移动装置正处于实时会话中，且移动装置移动到访问接入域中（假 设该移动用户可以在访问接入域中漫游），则可使用上文所述的先接后断方案让 会话即使在完成域间切换之后也可以继续。此类交互甚至还可用于对应装置并不 属于归属域或访问接入域的情形。

SMVG系统还可实现跨多个域的社会组交互，以在分布于多个域中的成 员之间实现组交互。为实现不同域中用户之间的交互，不同域中的TSP可进行 协作，以将其自己域内受支持的组资料实例化。通常情况下，此类实例化需要运 营商干预，以填充可让不同域的TSP互相交互的适当策略。控制平面信息交换 可使每个TSP建立组资料信息。从实用角度来看，TSP无需支持所有组。组资 料信息还可通过运营商干预或应用/第三方级别触发机制来进行动态修改。

将组资料信息实例化后，可在移动用户（移动装置）的归属域或外部域 上针对移动用户（移动装置）应用组资料信息。对于漫游用户，组策略规则可按 以下方式应用：例如，在通过访问SMVG控制器进行注册的过程中，无论具有 对应组关联的移动用户装置何时进入访问域，用户都可以提交用户组凭证（除其 名称ID外）。SMVG控制器可将已提交用户组信息中的组与在自己的域中受支 持的组进行对比。SMVG控制器可从已提交的组中保留一个组子集。标识完访 问域中受支持的组集之后，访问SMVG控制器可告知（漫游装置的）归属SMVG 控制器移动装置所附接的新访问CON代理，以及访问SMVG控制器可支持的组 交互。这样可使归属SMVG控制器转发组成员的请求，以建立新会话，或者可 将“推送”操作扩散至同一个组的成员，即使成员位于不同域上也是如此。

例如，当某个组的用户在域之间进行漫游时，SMVG控制系统还可提供 服务保障，以遵守用于提供服务保障的所有合适协议。SMVG控制系统可让CON 传送内容，此类内容具有相对于QoS、可靠性、可用性和域间交换内容的安全性 的保障。确保精细QoS和高效内容分发的模型还可跨多个对等点（AP）进行扩 展。

图7描绘了在可使用VPG的例如类似于CON100的CON中的多域服务 保障框架700的一项实施例。CON中的VPG实例可跨多个对等点进行实例化。 这样，在于内容路由器中定义的组资料的上下文中，任何域间内容传播均可发生。 CON可耦接至多个域，包括第一域702（域-1）和第二域704（域-2）。第一域 702可能包括归属域SMVG控制器710、TSP数据库712和多个用户组720。每 个用户组720可能包括SMVG代理722、CON代理726、本地接入资料数据库 724以及可附接到移动装置740上的多个AP728。第一域702中的至少一个内容 路由器714可耦接至第二域704中的另一个内容路由器714。

第二域702可包括外部（或访问）域SMVG控制器711、另一个对应TSP 数据库712和多个对应用户组720。每个对应用户组720可包括外部（或访问） SMVG代理723、CON代理726、本地接入资料数据库724以及可附接到移动装 置740的多个AP728。第一域和第二域的部件可以与CON100的对应部件大体 类似的方式进行配置，且可如图7所示进行布置。外部SMVG代理722还可耦 接至对等数据库（DB）713，其可为本地域间对等数据库，用于确定是否允许移 动装置进入第二域704。对等DB713可包括有关移动装置740的信息，例如， 此类信息类似于第一域702中的信息。归属域SMVG控制器710、外部域SMVG 控制器711、SMVG代理722、外部SMVG代理723和两个域中的对应CON代 理节点726可以互相通信，以如上文所述实现域间交互。

图8描绘了例如可在CON100中由SMVG控制系统实施的装置注册方 法800的一项实施例。方法可从块810处开始，其中在本地接入资料中可注册移 动装置。移动装置可通过AP附接到CON的归属域或访问接入域（例如，在耦 接至CON的访问或外部接入网络中）。AP可认证移动装置/装置用户，并通过移 动装置名称的前缀推导得出归属域。之后，本地SMVG代理可在本地接入资料 中注册移动装置。在步骤820中，移动装置的资料注册消息可发送至归属域 SMVG控制器。归属域SMVG控制器可根据为移动装置推导得出的归属域来进 行标识。例如，在域内注册情形下，归属域SMVG控制器所在的域可与移动装 置附接至的域相同，而在域间注册情形下，归属域SMVG控制器所在的域不同 于移动装置附接至的域。

在块830处，可为移动装置创建对应于注册消息的TSP条目。TSP条目 可包括注册消息中所指示的移动装置注册信息和/或通过消息中转发的名称获得 的移动装置注册信息。可将TSP条目输入到耦接至SMVG控制器的归属域上的 TSP数据库或表中。TSP条目可包括移动装置与附接到移动装置上的AP之间的 绑定信息。TSP条目可包括附接到移动装置上的AP的名称，该名称指示移动装 置的位置，在CON中可为全局可路由的。随后，方法800可结束。

图9描绘了例如可在CON100中由SMVG控制系统实施的域间兴趣转 发方法900的一项实施例。方法可从块910处开始，其中可从对等装置接收要发 送至移动装置的兴趣。该兴趣可为由对等装置（主叫方）发送至移动装置（被叫 方）的语音呼叫请求。对等装置的本地域上的SMVG代理可接收兴趣。在块920 处，可推导得出移动装置的域。SMVG代理可通过已接收兴趣中移动装置的名 称推导得出移动装置的归属域名。在块930处，兴趣可发送至移动装置的归属域 SMVG控制器。SMVG代理可将兴趣发送至移动装置的已确定归属域SMVG控 制器，该控制器所在的域可不同于于对等装置所在的域。兴趣可先发送至对应于 本地SMVG代理的本地归属域SMVG控制器和对等装置，然后再转发至移动装 置的归属域SMVG控制器。例如，当对等装置与移动装置位于不同的网络中时， 每个网络均可拥有自己的归属域SMVG控制器。

在块940处，可对用于正确地将兴趣转发至移动装置的名称进行映射。 移动装置的归属域SMVG控制器（或对等装置的本地归属域SMVG控制器）可 先对兴趣中的名称进行映射，然后再例如使用TSP数据库将兴趣发送至移动装 置。可对名称进行映射，以指示附接到正确目的地或目标域中的被叫移动装置上 的正确AP。在块950处，兴趣可与已映射名称一起发送至移动装置。兴趣可由 归属域SMVG控制器和SMVG代理转发，然后再由域的CON代理转发，其中， 移动装置根据已映射名称信息进行附接。随后，方法900可结束。

图10描绘了网络单元1000的一项实施例，所述网络单元可为通过网络 来传输和处理数据的任何装置。例如，网络单元1000可位于内容路由器或CON 100中的任何节点中，或者位于上述方案中的任何节点中。内容路由器也可用于 实施或支持上述CON系统和方法。网络单元1000可包括一个或多个入端口或 单元1010，其耦接到接收器（RX）1012，所述接收器用于从其他网络部件接收 信号和帧/数据。网络单元1000可包括内容识别单元1020，用以确定将内容发送 到哪些网络部件。内容识别单元1020可使用硬件、软件或这两者来实施。网络 单元1000还可包括耦接到发射器（Tx）1032的一个或多个出端口或单元1030， 其用于将信号和帧/数据传输到其他网络部件。接收器1012、内容识别单元1020 和发射器1032也可用于实施至少一些所揭示的方案和方法，其可基于硬件、软 件或这两者。网络单元1000的部件可如图10所示进行布置。

内容识别单元1020也可包括可编程内容转发平面块1028，以及可耦接 到所述可编程内容转发平面块1028的一个或多个存储块1022。可编程内容转发 平面块1028可用于实施内容转发和处理功能，例如在应用层或L3上，其中内 容可根据内容名称或前缀进行转发，且可能根据将内容映射到网络业务的其他内 容相关信息进行转发。此类映射信息可保存在内容识别单元1020或网络单元 1000中的内容表中。可编程内容转发平面块1028可解译用户的内容请求，并相 应地例如根据元数据和/或内容名称从网络或其他网络路由器提取内容，且可例 如暂时地将内容存储在存储块1022中。可编程内容转发平面块1028随后可将所 缓存内容转发到用户。可编程内容转发平面块1028可使用软件、硬件或这两者 实施，且可在IP层或L2上运行。存储块1022可包括缓冲存储器1024，其用于 暂时地存储内容，例如订阅方所请求的内容。此外，存储块1022可包括长期存 储器1026，用于相对持久地存储内容，例如发布方所提交的内容。例如，缓冲 存储器1024和长期存储器1026可包括动态随机存取存储器（DRAM）、固态驱 动器（SSD）、硬盘，或这些项的组合。

上述网络部件可在任何通用网络部件上实施，例如计算机或特定网络部 件，其具有足够的处理能力、存储资源和网络吞吐能力来处理其上的必要工作量。 图11描绘典型的通用网络部件1100，其适用于实施本文本所揭示的部件的一项 或多项实施例。网络部件1100包括处理器1102（可称为中央处理器单元或CPU）， 其与包括以下项的存储装置通信：辅助存储器1104、只读存储器（ROM）1106、 随机存取存储器（RAM）1108、输入/输出（I/O）装置1110，以及网络连接装置 1112。处理器1102可作为一个或多个CPU芯片实施，或者可为一个或多个专用 集成电路（ASIC）的一部分。

辅助存储装置1104通常包括一个或多个磁盘驱动器或磁带驱动器，用于 数据的非易失性存储，且在RAM1108不够因而无法保持所有工作数据的情况下 用作溢流数据存储装置。辅助存储器1104可用于存储程序，当选择执行这些程 序时，将所述程序加载到RAM1108中。ROM1106用于存储在执行程序期间读 取的指令，且可能存储所读取的数据。ROM1106为非易失性存储装置，它的存 储容量相对于辅助存储器1104的较大存储容量而言通常较小。RAM1108用于 存储易失性数据，还可能用于存储指令。访问ROM1106和RAM1108通常比访 问辅助存储器1104要快。

本发明揭示至少一项实施例，且所属领域的技术人员对所述实施例和/ 或所述实施例的特征作出的变化、组合和/或修改在本发明的范围内。对实施例 的特征进行组合、合并和/或省略而得到的替代性实施例也在本发明的范围内。 在明确说明数字范围或限制的情况下，应将此类表达范围或限制理解成包含属于 明确说明的范围或限制内的类似量值的迭代范围或限制（例如，从约为1到约为 9包含2、3、4等；大于0.10包含0.11、0.12、0.13等）。例如，只要揭示具有 下限R_l和上限R_u的数字范围，则也特别揭示属于所述范围内的任何数字。具体 而言，所述范围内的以下数字是特别揭示的：R=R_l+k*(R_u-R_l)，其中k为从 1%到90%范围内以1%递增的变量，即，k为1%、2%、3%、4%、7%、……、 70%、71%、72%、……、97%、96%、97%、98%、99%或90%。此外，还特别 揭示由如上文所定义的两个R数字定义的任何数值范围。针对权利要求的任何 元素使用术语“选择性地”意味着所述元素是需要的，或者替代地，所述元素是 不需要的，这两种替代方案均在所述权利要求的范围内。应将使用“包括”、“包 含”和“具有”等范围较大的术语理解成支持“由……组成”、“基本上由…… 组成”以及“大体上由……组成”等范围较小的术语。因此，保护范围不受上文 所述的描述限制，而是由所附权利要求书界定，所述范围包含权利要求书的标的 物的所有等效物。每一和每条权利要求作为进一步揭示内容并入说明书中，且权 利要求书是本发明的实施例。揭示内容中对参考的论述并不是承认其为现有技 术，尤其是公开日期在本申请案的在先申请优先权日期之后的任何参考。本发明 中所引用的所有专利、专利申请案和公开案的揭示内容以引入的方式并入本文本 中，其提供补充本发明的示例性、程序性或其他细节。

虽然本发明中已提供若干实施例，但应理解，在不脱离本发明的精神或 范围的情况下，所揭示的系统和方法可以许多其他具体形式来实施。本发明实例 视作说明性而非限定性，且本发明并不限于本文本所给出的细节。例如，各种元 件或部件可在另一系统中组合或合并，或者某些特征可忽略或不实施。

此外，在不脱离本发明的范围的情况下，各种实施例中描述和说明为离 散或单独的技术、系统、子系统和方法可与其他系统、模块、技术或方法进行组 合或合并。展示或论述为彼此耦接或直接耦接或通信的其他项也可以电气方式、 机械方式或其他方式通过一些接口、装置或中间部件来间接耦接或通信。其他变 化、替代和改变实例可由所属领域的一般技术人员确定，且可在不脱离本文本所 揭示的范围和精神的情况下做出。