該公開提供對于管理無線通信網絡中的虛擬防火墻的裝置和方法的示例細節，該無線通信網絡包括核心網絡（CN）和關聯的無線電接入網絡（RAN）。虛擬防火墻處理對于網絡所支持的相應無線設備的業務。例如，與指定無線設備關聯的虛擬防火墻在支持設備的RAN節點處維持在RAN中，并且響應于檢測到牽涉設備的切換事件而從該RAN節點遷移。有利地，遷移可以是“水平的”，其中關聯虛擬防火墻在RAN中的節點之間移動，或可以是“垂直的”，其中關聯虛擬防火墻從RAN移到CN。

技術領域

本發明大體上涉及無線通信網絡，并且特別涉及在這樣的網絡中加虛擬防火墻。

背景技術

無線設備提供到它們用戶的永遠在線連接以及廣泛的業務可用性。消費者和生活方式應用從實施銀行交易、預訂餐廳、web瀏覽和一般電子內容消費方面使得這樣的設備成為日常生活的一體化部分。遺憾地是，它們的使用普遍程度和范圍使得無線設備對各種電子入侵（包括計算機病毒、惡意軟件等）成為越來越有吸引力的目標。因此，在無線設備上實現某一形式的防火墻變得越來越常見。

在這里，術語“防火墻”具有計算機領域內通常所理解的含義并且泛指在硬件和/或軟件中實現并且配置成基于分析通過防火墻的網絡業務來檢測可疑或未經授權活動的網絡安全機制。簡單的防火墻采用無狀態方式操作并且評估個別業務包而不考慮它們相應的包流或連接。更先進的防火墻稱為“有狀態”防火墻并且該類型的防火墻基于檢測到新的連接并且使對于個別連接的包信息累積來分析網絡業務。防火墻還可在應用級操作，其中利用對應用行為和協議的了解來檢測可疑或未經授權的活動。

在指定無線設備的上下文中，它的防火墻基于分析在設備與支持的無線通信網絡之間來回的業務而在設備與其他設備或系統之間建立安全邊界。在這里，將意識到該業務大體上是關于無線通信網絡的直通業務，其中加防火墻的設備作為一個端點并且外部網絡中的某一設備或系統作為另一端點。

盡管一些類型的無線設備可具有足夠的計算資源來支持這樣的防火墻的本地實現，這樣的資源在其他類型的無線設備中十分有限。資源約束隨著防火墻先進程度的增加而變得更加嚴重。例如，先進的有狀態防火墻可比使用簡單的無狀態包過濾的防火墻消耗明顯更多的存儲器和計算周期。

發明內容

該公開提供對于管理無線通信網絡中的虛擬防火墻的裝置和方法的示例細節，該無線通信網絡包括核心網絡（CN）和關聯的無線電接入網絡（RAN）。虛擬防火墻處理網絡所支持的相應無線設備的業務。例如，與指定無線設備關聯的虛擬防火墻在支持設備的RAN節點處維持在RAN中，并且響應于檢測到牽涉設備的切換事件從該RAN節點遷移。有利地，遷移可以是“水平的”，其中關聯的虛擬防火墻在RAN中的節點之間移動，或可以是“垂直的”，其中關聯的虛擬防火墻從RAN移到CN。

在一個示例中，第一控制節點為在無線通信網絡中的操作而配置并且更特定地配置成執行虛擬防火墻管理的方法。根據一個實施例的方法包括檢測牽涉無線設備從網絡中的第一RAN節點到網絡中的第二RAN節點的切換的切換事件，其中關聯的虛擬防火墻對于無線設備維持在第一RAN節點處。此外，響應于檢測到切換事件，方法包括發起關聯的虛擬防火墻從第一RAN節點的遷移。該遷移是關聯虛擬防火墻到第二RAN節點的水平遷移，或是關聯虛擬防火墻到CN內的垂直遷移。

第一控制節點包括用于與第一RAN節點通信的通信接口，并且包括處理電路，其操作地與該通信接口關聯并且配置成實現上文的方法或其變化。處理電路包括例如固定處理電路、編程處理電路或其某一組合，并且根據至少一個實施例，第一控制節點是服務網關或其他包路由器，其提供用于在RAN節點與CN之間運送用戶業務的接口。

在另一個方面中，虛擬防火墻管理的方法在第一RAN節點處執行并且包括對該第一RAN節點所服務的無線設備維持關聯的虛擬防火墻，以及從網絡中的控制節點接收要遷移關聯虛擬防火墻的轉移發起信令。方法進一步包括根據轉移發起信令來轉移關聯的虛擬防火墻，其中遷移是水平或垂直的。