用于动态实施防火墙例外的系统
阅读:1073发布:2020-05-11
专利汇可以提供用于动态实施防火墙例外的系统专利检索,专利查询,专利分析的服务。并且一种用于动态实施 防火墙 例外的系统,该系统具有客户端应用 接口 ,该客户端应用接口接受来自客户端装置的数据链路 请求 。机上连接管理器包括:防火墙接口,该防火墙接口连接至机上网络防火墙以响应于连接授权而请求例外;以及客户端存在管理器,该客户端存在管理器接受由客户端应用接口从客户端装置中继的数据链路请求。客户端装置的存在状态在数据链路请求之后被激活并保持。远程连接管理器连接至远程应用服务并且与机上连接管理器通信。远程连接管理器对照由远程应用服务设定的条件,基于对客户端装置的存在状态的评估来生成连接授权。,下面是用于动态实施防火墙例外的系统专利的具体信息内容。
1.一种系统,用于动态地实施机上网络防火墙中的例外,以使飞行器上的数据通信网络上的一个或多个客户端装置按照远程应用服务所授权的通过卫星通信链路连接至远程网络节点,
所述系统包括:
客户端应用接口,所述客户端应用接口接受来自所述一个或更多个客户端装置的数据链路请求;
机上连接管理器,包括:
防火墙接口,所述防火墙接口连接至所述机上网络防火墙,以响应于连接授权而请求所述例外;
客户端存在管理器,所述客户端存在管理器接受由所述客户端应用接口从所述一个或多个客户端装置中继的所述数据链路请求,所述一个或多个客户端装置的存在状态在所述数据链路请求之后被激活并保持;以及
远程连接管理器,所述远程连接管理器连接至所述远程应用服务并且与所述机上连接管理器通信;
其中,所述远程连接管理器执行下述操作中至少之一:(i)对照由所述远程应用服务设定的一个或多个条件,基于对所述一个或多个客户端装置的存在状态的评估来生成所述连接授权;以及(ii)在来自客户端装置的数据链路请求之前生成所述连接授权。
2.根据权利要求1所述的系统,其中,所述连接授权包括与远程网络节点对应的节点标识,其中所述一个或多个客户端装置中的特定一个客户端装置被允许通过所述卫星通信链路与所述远程网络节点进行通信。
3.根据权利要求2所述的系统,其中,所述节点标识包括节点地址和节点端口定义。
4.根据权利要求2所述的系统,还包括:
安装在所述客户端装置上的与所述远程应用服务协作的应用,所述节点标识特定于所述应用。
5.根据权利要求1所述的系统,其中,所述远程网络节点对应于所述远程应用服务。
6.根据权利要求1所述的系统,其中,从所述机上连接管理器至所述远程连接管理器的所述存在状态的传输独立于所述一个或多个客户端装置与所述远程网络节点之间的传输。
7.根据权利要求1所述的系统,其中,所述机上连接管理器生成有关打开卫星通信链路中的边带信道的请求。
8.根据权利要求1所述的系统,其中,所述一个或多个客户端装置中的多个客户端装置的存在状态被聚集到对所述远程连接管理器的单个传输中。
9.根据权利要求1所述的系统,其中,所述存在状态包括一个或多个数据元素,并且所述一个或多个数据元素选自以下组成的组中:与所述飞行器相关联的航空公司标识符、与所述飞行器相关联的航班的航班标识符、所述航班的目的地标识符、所述航班的起点标识符、与所述航班对应的到达时间、与所述航班对应的起飞时间、所述一个或多个客户端装置中的特定一个客户端装置的实时网络连接状态、所述一个或多个客户端装置中的所述特定一个客户端装置的专用网络地址分配、所述一个或多个客户端装置中的所述特定一个客户端装置的网络连接预购买状态、乘客服务类别指示符、以及所述卫星通信链路的波束负载。
10.根据权利要求1所述的系统,还包括:
与所述客户端应用接口通信的飞行娱乐IFE系统终端;以及
安装在所述IFE系统终端上的与所述远程应用服务协作的应用。
11.根据权利要求1所述的系统,还包括:
与所述远程连接管理器通信的空中机组消息传递服务器;
其中,所述存在状态包括在接收到所述存在状态时从所述远程连接管理器中继到所述空中机组消息传递服务器的一个或多个机组消息。
12.根据权利要求1所述的系统,还包括:
与所述一个或多个客户端装置中的特定一个客户端装置的存在状态相关联的用户配置文件;
投标引擎,所述投标引擎与所述远程连接管理器协作,与所述一个或多个客户端装置中的特定一个客户端装置相关地生成连接报价,所述连接报价包括所述用户配置文件和所述存在状态,所述投标引擎接受响应于所述连接报价而来自于所述远程应用服务的连接出价;
其中,对所述连接出价的接受生成针对所述一个或多个客户端装置中的所述特定一个客户端装置的连接授权。
13.一种连接管理器,其与网络网关协作以从远程连接管理器远程地允许客户端节点与上游网络之间的数据流量,所述连接管理器包括:
网络访问控制接口,所述网络访问控制接口与连接所述客户端节点的所述网络网关通信,按照经由提供给所述网络访问控制接口的网关授权而至少部分地指定的,发起自所述客户端节点到所述上游网络、并且从所述上游网络到目的地所述客户端节点的数据流量选择性地通过所述网络网关;以及
客户端节点存在管理器,所述客户端节点存在管理器与所述网络访问控制接口和所述远程连接管理器协作,所述客户端节点存在管理器维护所述客户端节点的存在状态,并且所述存在状态被传递至所述远程连接管理器以用于基于所述客户端节点的存在状态来评估连接授权;
其中,所述连接授权被所述客户端节点存在管理器接收,并且对所述网络访问控制接口的网关授权基于所述连接授权。
14.根据权利要求13所述的连接管理器,其中,所述远程连接管理器连接至远程应用服务,所述远程应用服务动态地限定一个或多个条件,所述一个或多个条件与所述客户端节点的存在状态相关,用于由所述远程连接管理器评估所述连接授权。
15.根据权利要求13所述的连接管理器,其中,所述客户端节点存在管理器连接至客户端节点应用,所述客户端节点应用请求至所述上游网络的数据通信链路。
16.根据权利要求13所述的连接管理器,其中,所述上游网络是基于卫星通信的因特网连接。
17.根据权利要求13所述的连接管理器,其中,从所述客户端节点存在管理器至所述远程连接管理器的所述存在状态的传输独立于所述客户端节点与所述上游网络之间的传输。
18.根据权利要求13所述的连接管理器,其中:
所述客户端节点连接至飞行器上的本地网络;以及
所述上游网络是基于卫星通信的因特网连接;以及
所述存在状态包括一个或多个数据元素,并且所述一个或多个数据元素选自以下组成的组中:与所述飞行器相关联的航空公司标识符、与所述飞行器相关联的航班的航班标识符、所述航班的目的地标识符、所述航班的起点标识符、与所述航班对应的到达时间、与所述航班对应的起飞时间、所述客户端节点的实时网络连接状态、所述客户端节点的专用网络地址分配、所述客户端节点的网络连接预购买状态、乘客服务类别指示符、以及所述卫星通信链路的波束负载。
19.一种用于动态实施网络防火墙的例外的方法,所述方法包括:
在机上连接管理器上通过客户端应用接口接收来自于客户端装置上所安装的应用的连接请求;
得出所述客户端装置的存在状态;
将所述客户端装置的存在状态从所述机上连接管理器发送至远程连接管理器;
响应于匹配一个或多个条件对所述客户端装置的存在状态的评估,在所述机上连接管理器上从所述远程连接管理器接收由所述远程连接管理器生成的连接授权,其中所述一个或多个条件由连接至所述远程连接管理器的远程应用服务设定;
响应于所述连接授权,生成与例外相对应的对网络防火墙的命令,所述例外允许所述客户端装置与所述远程应用服务之间的数据流量。
20.根据权利要求19所述的方法,其中,所述客户端节点连接至飞行器上的本地网络,并且所述存在状态包括一个或多个数据元素,所述一个或多个数据元素选自以下组成的组中:与所述飞行器相关联的航空公司标识符、与所述飞行器相关联的航班的航班标识符、所述航班的目的地标识符、所述航班的起点标识符、与所述航班对应的到达时间、与所述航班对应的起飞时间、所述客户端装置的实时网络连接状态、所述客户端装置的专用网络地址分配、乘客服务类别指示符、以及所述客户端装置的网络连接预购买状态。
用于动态实施防火墙例外的系统
技术领域
背景技术
[0002] 航空旅行通常涉及最起码需要几个小时才能完成的远距离行程。一些较长的直飞国际航班安排了超过16个小时的持续时间的超过上万英里的出行距离。飞行器上的乘客在整个飞行持续时间都被局限在指定座位的封闭空间内,只有使用厕所等少数有限的机会离开座位。因此,即使在最短的旅行中,航空公司的乘客仍有一些空闲时间,乘客可以用这些空闲时间来工作、休闲和/或休息。
[0003] 因此,航空公司提供机上飞行娱乐(IFE)系统,该系统为乘客娱乐提供各种各样的多媒体内容。最新发行的电影是受欢迎的观看选择,电视节目如新闻节目、情景喜剧和单人喜剧、纪录片等也是。也经常呈现关于目的地的有用信息,如离开机场的手续、移民和海关手续等。也提供纯音频节目,通常包括适合于共同的主题或流派的歌曲的播放列表。同样地,提供纯视频内容,如航班进程图、航班状态显示等。许多飞行娱乐系统还包括可以由乘客玩的视频游戏。
[0004] 虽然机舱中安装的IFE系统对于乘客而言仍然是受欢迎的选择,但是越来越多的乘客选择携带自己的便携式电子装置(PED)如智能手机、媒体播放器、电子阅读器、平板电脑、膝上型计算机等登机。这些装置通常装载有用户选择的音乐、视频、游戏以及其他多媒体内容,使用户在飞行期间娱乐以及从事其他,虽然这样的装置大多起到与IFE系统相同的作用。
[0005] 然而,将PED用于更具有生产性用途的一些乘客中的一部分也有要求,其通常要求访问因特网。例如,PED上可能安装有各种电子邮件和即时通讯客户端应用、股票交易应用、银行应用、文件共享应用、基于云的笔记应用以及无数其他生产性软件。此外,可能存在着具有在旅行期间特别有用的功能的专用应用,诸如行程与转机/登机口跟踪。同样受欢迎的是不一定与生产性相关但是仍需要因特网访问的应用,如体育比分更新、基于文本的消息等。
[0006] 飞行中的因特网访问通常经由与PED连接的机上WiFi网络来提供。在这方面,可能存在着遍布整个机舱的若干个WiFi接入点,每个WiFi接入点连接至与卫星通信的卫星上行链路模块。卫星进而可以与连接至因特网的地面站通信。
[0007] 由于对航空公司而言昂贵的原因,卫星下行链路的带宽是有限的,因此因特网连接可能仅提供给付费客户。一种模式是基于订阅的模式,其中对按月的访问时段支付固定费用。这样的计划可能更适合于经常出行的人。可替代地,可以有以按航班、按天、按小时或者其他时间限制为基础的短期访问,以换取更低的支付费用,尽管通常每单位时间的费率较高。
[0008] 在一些IFE实现中,PED可以连接至WiFi网络而无需访问基于卫星的因特网链路。一种应用是在飞行期间经由PED从供消费的机上内容服务器中获取多媒体内容和相关数据(如重放所需要的数字版权管理密钥)。沿着这些线路,PED可能有必要通过本地网络访问登录网页,通过本地网络可以提交对于因特网访问的支付,以及在被允许访问因特网之前输入对航空公司以及数据链路提供商的条款和条件的接受等。
[0009] 因此,WiFi接入点可以与防火墙协作,该防火墙根据访问/订阅费用的支付来选择性地限制和允许特定PED对因特网的访问。例如,防火墙可以对要被允许访问因特网的特定PED开始倒数计时器,例如,允许在预定持续时间内从PED传输数据和向PED传输数据,并且在定时器到期时防止进一步从PED传输数据和向PED传输数据。
[0010] 目前,所有前述的PED应用都是围绕下述假设来开发的:因特网访问是可用的或者将是可用的,而将如何获得访问的选择留给用户和基础服务提供商(underlying service provider)。当因特网访问不可用时,涉及更新或刷新数据的任何功能停止,仅呈现预先存储的数据。为了使购买这样有限持续时间的因特网访问的价值最大化,客户需要考虑PED上的需要这种访问的其他可能的应用,并且在从因特网访问获得数据或信息的收益与访问成本之间进行权衡。经常地,这种成本-收益计算导致乘客简单地在飞行期间不使用这些应用,并且使PED降级为对于预先存储的内容的基本消费装置。即使在最低的价格点,乘客也通常不为连接支付,除非可以从雇主报销等等。
[0011] 从应用提供商的角度来看,在应用使用的每个情况下都可能存在许多收益,特别是对于受制的观众(captive audience)如航空公司航班的乘客。例如,在购物应用中,每次购买可以使应用提供商得到销售价格的一定百分比的净值。更间接的示例是转机查看应用,其中能够按照需求访问状态信息在一定程度上产生了信任度和忠诚度,这样,该应用的未来的付费的升级更容易被购买,以及其他这样的无形收益。
[0012] 使用在机上防火墙上安装的白名单(其中包括支付费用的应用提供商)是用于限制因特网访问某些网站的一种可能性。然而,这样的方法也存在一些局限性。通常的因特网服务引用二级域或统一资源定位符(URL)来提供内容和/或服务,并且这些二级URL进而可以引用进一步的三级URL。由于主URL和二级URL之间的关系以及二级URL与三级URL之间的关系不断地演进,并且必须被记录在白名单中,因此维护这样的白名单具有挑战性。从发现有故障的URL、建议更新并且将这些更新应用到白名单中是繁琐的多步骤过程。一般地,白名单实现方式具有显著的失控成本风险,特别是在许多航班和许多使用情况下。以按应用为基础的计费应用服务提供商是不可能的,因为跟踪对若干个应用所共享的二级URL的流量是不可能的。
[0013] 因此,在本领域中存在着对航班上PED上的基于因特网的应用的使用进行扩展的需要,该应用不依赖于乘客或客户购买因特网访问。在本领域中还存在着如下需要:对于机上防火墙的改进的特定于应用的控制,而不是宽泛和不精确的访问限定(如难以维护的白名单)。发明内容
[0014] 本公开内容涉及启用安装在PED上的任何基于因特网的应用,以选择性地激活飞行中的因特网连接,并且降低应用提供商的成本而不需要乘客购买访问。根据各种实施方式,应用提供商对打开机上防火墙进行实时决策,并且将乘客排除在购买因特网访问的决策之外。明确构想的是不必向乘客提醒带宽/访问成本。因此,应用提供商可以选择性地启用该应用提供商愿意支付的流入和流出飞行器的因特网流量。
[0015] 本公开内容的一个实施方式是一种系统,用于动态地实施机上网络和/或地面网络的防火墙中的例外,以使飞行器上的数据通信网络上的一个或多个客户端装置通过卫星通信链路连接至远程网络节点。该连接由远程应用服务授权。可以存在客户端应用接口,该客户端应用接口接受来自一个或多个客户端装置的数据链路请求。此外,可以存在机上连接管理器,该机上连接管理器可以包括防火墙接口和客户端存在管理器。防火墙接口可以连接至机上网络防火墙,以在感测到来自客户端装置的应用流量时请求例外。一个或多个客户端装置的存在状态可以在数据链路请求之后被激活并保持。该系统还可以包括远程连接管理器,该远程连接管理器连接至远程应用服务并且与机上连接管理器通信。远程连接管理器可以对照由远程应用服务设定的一个或多个条件,基于对一个或多个客户端装置的存在状态的评估来生成连接授权。
[0016] 在另一实施方式中,客户端与客户端存在管理器之间的API集成可能是不必要的。应用提供商可以在其特定窗口期间从特定航班上的所有客户端装置中选择性地授权对其因特网存在的连接。连接管理器可以对特定应用启用连接,该特定应用可以是不修改的,并且是商用现成品或技术(commercial,off-the-shelf)(COTS)。代替于乘客调用应用以触发逻辑来启用因特网连接,机上系统可以利用蓝牙低功耗(BLE)信标通知,以便根据授权就因特网连接的可用性主动提醒客户端装置。
[0017] 本公开内容的另一个实施方式是用于将连接权限拍卖给一组应用提供商中出价最高者的系统。在本实施方式中,应用提供商不仅向航空公司补偿在乘客使用该应用提供商的应用期间所发生的卫星通信带宽消费成本,而且还向航空公司支付用于使这些乘客能够使用该应用提供商的应用的特权的费用。
附图说明
[0019] 相对于以下描述和附图,本文中所公开的各种实施方式的这些以及其他特征和优点将被更好地理解,其中,贯穿全文相似的附图标记指代相似的部件,并且在附图中:
[0020] 图1是示出根据各种实施方式可以部署用于动态实施防火墙例外的本系统的环境的图。
[0021] 图2是用于动态实施防火墙例外的基于API的系统的各种部件的框图;
[0022] 图3A是示出基于API的系统的相关部件连同这些部件之间的典型数据传输交互的数据通信顺序图;
[0023] 图3B是示出不需要客户端API集成的防火墙系统的交互的数据通信顺序图;
[0024] 图4A是示出以下系统的示例性实现的概要的框图:在该系统中,乘客个人电子装置(PED)具有跨各种网络与因特网的无缝连接;
[0025] 图4B是示出还包括椅背客户端的系统的另一示例性实现的框图;以及[0026] 图5是基于乘客配置文件和投标引擎,关于允许或拒绝对上游网络连接的访问的、具有另外级别的细化的系统的实施方式的框图。
具体实施方式
[0027] 下面结合附图所阐述的详细描述意在作为对用于动态实施防火墙限制的系统的若干当前构想实施方式的描述。该描述不意在表示所公开的发明的实施方式可以被开发或利用的唯一形式。该描述结合所示出的实施方式阐述了功能和特征。然而要理解的是,相同或等同功能可以通过意在也被包含在本公开内容范围内的不同实施方式来实现。还要理解的是,诸如第一、第二等的关系术语的使用仅用于将一个实体与另一个实体进行区分,而不必要求或暗示这样的实体之间的任何实际的这种关系或顺序。
[0028] 图1是在本文中通常称为交通工具的飞行器10,连同结合本公开内容的实施方式而使用的选择子系统及其部件的简化框图。在飞行器10的机身12内,可能存在布置成多个排16的座椅14,每个座椅14容纳一名乘客。虽然本公开内容的特征将在飞行器10的背景环境中描述,但是这仅作为示例而非限制。用于动态实施防火墙例外的当前公开的系统可以根据需要在任何其他背景环境中使用。
[0029] 一个或多个乘客可以在飞行期间使用便携式电子装置(PED)18。根据一个实施方式,本公开内容一般地构想以用户在地面上习惯的方式(例如具有数据连接)使用这样的PED 18。用于本公开内容的目的的PED 18指的是智能电话、平板计算机、膝上型计算机、以及包括通用数据处理器的其它类似装置,该通用数据处理器执行预先编程的指令,以使用用于控制指令执行的输入来生成显示器上的各种输出。虽然这些装置最经常的是由乘客自己带到飞行器10上,但是运输公司也可以为乘客提供这些装置以供临时使用。
[0030] 除了其他功能以外,飞行器10并入了提供这样的连接的飞行娱乐与通信(IFEC)系统20。在进一步的详情中,IFEC系统20包括数据通信模块22。几乎所有常规PED 18具有WLAN(WiFi)模块,因此IFEC系统20的数据通信模块22包括WLAN接入点22a。PED 18可以经由机上WLAN网络连接至IFEC系统20,以访问IFEC系统20上提供的各种服务,例如内容下载/观看、购物等。
[0031] IFEC系统20还可以对所连接的PED 18提供因特网访问。与IFEC系统20进行操作的一种构想形式是卫星模块24,该卫星模块24建立至通信卫星28的数据上行链路26。根据一个示例性实施方式,数据上行链路26可以是Ku波段微波传输。然而,在不脱离本公开内容的前提下,也可以使用任何合适的通信卫星28,如国际海事卫星组织或铱星。传输至通信卫星28的数据被中继到卫星通信服务提供商30。数据下行链路32建立在通信卫星28与卫星通信服务提供商30之间,卫星通信服务提供商30进而包括与因特网36连接的网络网关34。如本领域普通技术人员将认识到的,存在着可以经由因特网36访问的许多服务器,尽管在本公开内容的各种实施方式中,PED 18连接至特定的应用服务器38以访问该应用服务器38上的服务。在另一实施方式中,代替于用于远程连接的卫星模块24或者除了用于远程连接的卫星模块24以外,飞行器10还可以配备有蜂窝调制解调器。
[0032] PED 18被理解为经由WLAN接入点22a连接至IFEC系统20,IFEC系统20将数据传输中继到卫星模块24。数据通过数据链路26被传输至通信卫星28,并且卫星通过数据下行链路32将数据中继到卫星通信服务提供商30。网络网关34然后将传输路由至因特网36,并且最终路由至应用服务器38。从应用服务器38至PED 18的数据传输被理解为沿着逆方向进行。由于与通信卫星28相关联的高成本,该成本被传递给数据上行链路26和数据下行链路32的用户,航空公司可以使用防火墙40来限制流入和流出卫星模块24的数据流量。
[0033] 应当理解,防火墙40可以是任何常规的网络装置,防火墙40包括:至数据通信模块22的下游网络连接,该数据通信模块22建立机上局域网;以及至卫星模块24的上游网络连接。防火墙40可以根据某些行政限定的条件来选择性地阻止或允许与防火墙40连接的特定装置经由机上局域网访问上游网络连接,例如卫星模块24。例如,可以设定规则/例外,以允许已支付订阅费用的特定PED 18之间的流量,而对没有订阅的其他PED18进行限制。此外,可以阻止不适合于通过公共网络访问的某些网络节点目的地。例如,当用户购买一小时的访问、整个飞行期间的访问等时,可以使这些规则/例外激活达设定的持续时间。本领域普通技术人员将认识到,可以按照特定于防火墙40的语法通过限定这样的规则/例外来设定用于上游数据流量的许多其他规则/例外。在这方面,虽然语法可以取决于防火墙40的具体实现方式而不同,但是规则/例外的逻辑被理解为无论实现方式为何都可以适用。因此,在根据特定于给定防火墙40的语法来描述这样的规则/例外的程度上,应该理解的是,这仅作为示例而非限制。
[0034] 乘客可以利用通过IFEC系统20提供的服务的另一种可能的方式是个人椅背模块,个人椅背模块通常包括终端单元42、显示器44、音频输出46和遥控器48。对于给定排16的座椅14,终端单元42和音频输出46被设置在提供其的座椅14上,但是显示器44和遥控器48可以被设置在提供其的座椅14前面的一排16上。即,显示器44和遥控器48被安装在该座椅前面一排的椅背上。这仅作为示例,并且其他显示器44和遥控器48的安装和访问配置也是可能的,例如可伸缩臂等被安装到座椅14的扶手或安装在舱壁上。
[0035] 显示器44被理解为常规液晶显示器(LCD)屏幕或者适合于安装在椅背上的具有小体积(low profile)的其他类型。每个乘客可以利用由航空公司或者由乘客提供的单独的头戴式耳机50,其用于提供更私人的收听体验。在示出的实施方式中,音频输出46是标准的环/尖端/套筒插座的耳机插孔。耳机插孔可以被设置为接近显示器44或者在座椅14的扶手上,如图所示。耳机插孔可以是具有噪声消除并且包括两个或三个插座的主动型,或者是不具有噪声消除的标准音频输出。在替代实施方式中,每个显示器44可以结合终端单元42以形成在本领域中被称为智能显示器的显示单元。
[0036] 安装在飞行器上的终端单元42的常见用途是重放各种多媒体内容。终端单元42可以使用通用数据处理器来实现,通用数据处理器将与多媒体内容对应的数据文件进行解码,并且分别生成用于显示器44和音频输出46的视频和音频信号。多媒体内容的数据文件可以被存储在与IFEC系统20相关联的一个或多个储存库中,并且可以通过有线局域网52将每个座椅14的每个终端单元42连接至这些数据文件,有线局域网52可以优选地为以太网。除了上述包括用于PED 18的接入点的数据通信模块22以外,还存在以太网数据通信模块
22b。更具体地,以太网数据通信模块22b被理解为以太网交换机或路由器。
22b。更具体地,以太网数据通信模块22b被理解为以太网交换机或路由器。
[0037] 在最常见的使用场景中,终端单元42向存储这样的内容的IFEC系统20发出对于多媒体内容的请求。数据通过有线局域网52被传输至进行请求的终端单元42,因此大部分的数据流量保持在本地。但是,存在着预期可能依赖于与因特网36的连接的若干个另外的应用,在这种情况下,只要以与以上关于WLAN网络所描述的相同方式由防火墙40授予了权限并且请求源自于PED 18,则数据被传递至卫星模块24。部分地涉及实施防火墙40的规则/例外的本公开内容被理解为:除了如前所述的PED 18以外,还适合于调节来自安装在飞行器上的终端单元42的数据流量。
[0038] 参照图2的框图,根据各种实施方式,一个或多个客户端应用54被安装在PED 18上。在本公开的上下文中,信息的呈现或者通过客户端应用54与PED 18的用户的其他交互被理解为涉及从远程源(例如连接至因特网36的应用服务器38)取回数据。
[0039] 不是PED 18的用户为访问上游网络连接(如卫星模块24)的特权付费,而是应用服务器38可以替代地提供以补贴卫星因特网连接的成本,使得可以以意图的方式来使用客户端应用54。允许PED 18的用户访问卫星模块24以与应用服务器38或者机上网络以外的任何其他节点进行交易的条件可以由应用服务器38来设定,并且允许数据流量流入和流出PED18的授权被理解为源自于应用服务器38。授权过程可以对PED 18的用户保持隐藏,其中不利用请求允许为访问付费来提示用户,或者甚至使其知晓可能存在与访问相关联的费用。因此,可以设想,客户端应用54在飞行中的因特网连接和在地面上可用的常规因特网连接之间,如公用/私用/商业WiFi网络、蜂窝网络等之间无缝地进行工作。
[0040] 当通常的客户端应用54试图执行需要连接至远程服务(如应用服务器38)的功能时,调用作为PED 18的一部分的低级别数据通信协议栈,并且可以相对于客户端应用54的主要功能抽象出建立链路的详情。然而,当协议栈试图通过机上网络建立链路时,上述防火墙40(在本文中更一般地也称为访问控制器)可以限制这样的连接尝试,无论是因为超过用于该特定PED 18的授权,还是因为不存在的上游网络节点(或者两者)。在这一点上,如图3A所示,根据顺序步骤1000,确保向特定PED 18打开数据链路26的授权的步骤可以开始于客户端应用54使用其本地协议进行请求。
[0041] 在PED 18上还安装有连接应用编程接口(API)56,其可以由客户端应用54调用,以试图建立至因特网36并且具体地连接至应用服务器38的替选网络连接。这可以发生在顺序步骤1002中,在顺序步骤1002中由客户端应用54向API 56生成请求。作为响应,在顺序步骤1004中,API 56可以向客户端应用54报告关于当前航班的详情。这包括诸如下述的信息:
PED 18的用户当前正在其上飞行的航空公司、PED 18的用户当前正在其上飞行的航班号、该飞行的目的地、该飞行的起点/出发点、该飞行的预计到达时间以及该飞行的起飞时间。
此外,可以报告卫星上行链路连接状态以及数据上行链路26和/或数据下行链路32的当前波束负载。根据顺序步骤1006,使用返回的航班详情数据,客户端应用54直接地或者通过API 56,使用机上连接管理器58完成登记处理。通过该登记处理,可以记录所分配的因特网协议地址以及关于PED 18的其他详情。
PED 18的用户当前正在其上飞行的航空公司、PED 18的用户当前正在其上飞行的航班号、该飞行的目的地、该飞行的起点/出发点、该飞行的预计到达时间以及该飞行的起飞时间。
此外,可以报告卫星上行链路连接状态以及数据上行链路26和/或数据下行链路32的当前波束负载。根据顺序步骤1006,使用返回的航班详情数据,客户端应用54直接地或者通过API 56,使用机上连接管理器58完成登记处理。通过该登记处理,可以记录所分配的因特网协议地址以及关于PED 18的其他详情。
[0042] 根据顺序步骤1008,在整个飞行中,API 56可以周期性地更新航班详情数据。客户端应用54与机上连接管理器58保持通信,以提供关于PED 18的存在状态(presence state)59。存在状态59被理解为包括上述的航班详情数据以及关于用户或PED 18的其他数据,如机上网络地址分配。在一个实施方式中,存在状态59可以与可扩展消息传递和到场协议(XMPP)共享。如上所述,乘客可以为因特网连接预先付费,并且因为服务器38不必具体授权防火墙40允许对卫星模块24的访问,因此存在状态59还可以包括订户状态数据。
[0043] 在顺序步骤1010a中,PED 18的存在状态59被从客户端应用54直接地或者通过API 56而传输至机上连接管理器58。在顺序步骤1010b中,同样在飞行器本地网络上的PED 18的其他存在状态被从机上连接管理器58聚集,并且被传输至远程连接管理器60。因为用于传输存在状态59的成本可能不能分配给特定的应用服务器38,因此其可以由航空公司吸收。
构想将多个存在状态聚集在单个传输中,以使这种成本负担最小化。
构想将多个存在状态聚集在单个传输中,以使这种成本负担最小化。
[0044] 机上连接管理器58通常包括客户端存在管理器62,并且前述的维持、聚集和传输存在状态59的功能被理解为由客户端存在管理器62执行。此外,机上连接管理器58包括防火墙接口64,后面将更全面地描述防火墙接口64的详情。如本文所引用的,客户端存在管理器62和防火墙接口64被理解为是实现为IFEC系统20上的持续有效的软件模块或部件,这些软件模块或部件接受输入、处理这些输入并且作为响应生成输出。基于本文所描述的功能,本领域普通技术人员将认识到,可以以多种方式来编写这样的软件。客户端存在管理器62与防火墙接口64之间的逻辑隔离通过示例而非限制的方式呈现,并且在不脱离本公开内容的情况下可以使用任何其他合适的将功能分离为不同逻辑单元的方式。
[0045] 在将存在状态存储在远程连接管理器60中时,应用服务器38可以访问该存在状态。由应用服务器38设定的某些条件被理解为由PED 18管理对访问卫星模块24的授权或拒绝。更详细地,存在状态59中的航空公司的标识可以用来确定是否存在用于管理对因特网访问的授权的任何促进或协议(promotions or agreements)。此外,航班号、出发位置、目的地位置可以帮助提供商定位特定人群,或者将对应用服务器38的访问限制为某些位置。飞行的阶段(开头、中间或结尾)可有助于关注乘客这时候最感兴趣的提供产品。沿着这种思路,剩余的飞行时间和连接窗口可有助于确定授权访问将是否对提供商有利。例如,如果与应用或服务的平均交互时间段为15分钟,但是在开始着陆过程之前只剩下五分钟,则对于要参与该时间段的用户而言为访问因特网而付费是不值得的。飞行器飞行的空域的司法管辖区或国家可能对于允许访问在该司法管辖区或国家中合法的内容或服务是有用的。机上网络上的其他PED 18的数目可以指示潜在的容量,并且具有主动因特网访问订阅的PED
18的列表可以指示必要性。此外,波束负载,即,数据上行链路26和数据下行链路32上的流量可以改变访问的成本,所以应用或服务提供商可以考虑要被补贴的最大成本。
18的列表可以指示必要性。此外,波束负载,即,数据上行链路26和数据下行链路32上的流量可以改变访问的成本,所以应用或服务提供商可以考虑要被补贴的最大成本。
[0046] 在一个示例使用情况中,依赖于应用内购买(in-app purchases)的游戏开发公司可以对支付连接成本持开放态度,只要总体上从购买中得到的比与这些成本相关联的损失更多即可。类似的应用是在线博弈公司,在线博弈公司可以基于如下期望对支付连接成本持开放态度:与该成本造成的公司损失相比,用户在博弈时将失去更多的钱。
[0047] 授权/拒绝访问被理解为是实现为在防火墙40上设定的一般性限制的例外。根据顺序步骤1100,为了使应用服务器38以设想的方式远程地授权或拒绝因特网访问,设想了使用远程连接管理器60的登记过程。与应用服务器38协作的客户端应用54的标识与应用服务器38相关联,因此,源自客户端应用54的连接请求可以被定向到与客户端应用54进行交互的特定应用服务器38。
[0048] 根据顺序步骤1010c,被中继到远程连接管理器60的客户端应用54的存在状态59也被传输至应用服务器38。应用服务器38进而评估存在状态59,以确定在存在状态59所属的PED 18上运行的客户端应用54的实例是否应当被允许访问卫星模块24以便与应用服务器38进行交易。应当理解的是,虽然应用服务器38可以与远程连接管理器60持续联系,以评估存在状态59的每次更新,但这是可选的。连接被授权的条件的定义可以被预先加载到远程连接管理器60上,从而可以将处理和通信的负担传递给远程连接管理器60。
[0049] 根据顺序步骤1200a,用以设定防火墙40的例外的授权可以源自于应用服务器38,并且被传输至远程连接管理器60。根据本公开内容的一个实施方式,授权可以是请求边带信道(sideband channel)的XEM-0500的消息的形式。根据顺序步骤1200b,该授权由远程连接管理器60中继到机上连接管理器58。机上连接管理器58的防火墙接口64设定访问控制器或防火墙40的例外,该例外授权流入和流出指定客户端应用54/PED18的流量能够访问卫星模块24,以用于建立至应用服务器38的数据通信链路。在输出数据的情况下,可以在所允许的目的地地址和应用服务器38的端口方面指定例外,并且在输入数据的情况下,可以在所允许的源地址和应用服务器38的端口方面指定例外。此后,根据顺序步骤1300,客户端应用54与应用服务器之间的所有流量被理解为按照应用本地协议而发生。因为以按用户、按应用为基础来许可流量,因此可以将卫星链路的成本分配到客户端应用54和/或应用服务器
38的特定提供商。
38的特定提供商。
[0050] 虽然在图示的示例中,授权是连接至应用服务器38,但是这仅作为示例。应用服务器38可以指定另一服务器节点,使得防火墙40限制用于使客户端应用54连接至该替选服务器的因特网连接。当前构思的系统被理解为允许应用和服务提供商微调用于负载平衡和其他目的的第二服务器和第三服务器。在不依赖于白名单以及难以更新和维护的其他大批访问限定的情况下,这是可能的。预想到系统的灵活性将导致以对于应用和服务提供商较低的成本为用户提供更好的服务。
[0051] 结合图3A示出的前述顺序被理解为需要最小量的时间。优选地,数据交换发生在从初始请求到授权发生,在几秒钟之内并且在后台中,所以用户不知道上述过程。对于用户而言,对客户端应用54的使用看起来与连接至家庭WLAN网络或连接至蜂窝网络时没有什么不同。
[0052] 图3B示出了上述基于API的系统实现的替选方案。在这些飞行事件发生时,为应用提供商提供了所参与的航空公司机队内的所有飞行器的航班详情。具体地,根据顺序步骤1104,连接管理器60提供这样的航班详情。然而,没有为应用提供商提供个人PED 18的存在属性。在预期一个或多个PED 18在该飞行期间的某一点可能试图接触应用54的情况下,应用提供商在该飞行期间的任何时间处可以向任何航班请求防火墙例外。这可以按照顺序步骤1106而进行。
[0053] 不是精确地在正确的时间处精确地向正确的装置打开防火墙洞,这种实现方式在较长的时间段上向大量装置打开防火墙洞。在进一步的详情中,根据顺序步骤1108,远程连接管理器60与访问控制器40通信以做出该请求。根据顺序步骤1101,在允许应用提供商/应用服务器54做出这样的请求之前,应用提供商可以根据应用的需要向远程连接管理器60登记自己的URL和任何支持URL。驻留在PED 18上的客户端应用54被理解为以与地面因特网连接一致的方式来操作,例如,如同在前往/离开机场时在飞行之前和之后一样。
[0054] 如图3B所示,根据顺序步骤1110,系统可以经由信标通知来提醒乘客17使用应用的机会,根据顺序步骤1111,这进而又向乘客17提供提醒。然而,许多乘客17可能尚未启用他们的个人装置来接收信标通知。当然,乘客17可以因为任何数量的原因而选择打开客户端应用,如在顺序步骤1113中所描述的。例如,机组人员可以作出PA公告,或者在IFE系统内提供广告。根据顺序步骤1300,PED 18与应用服务器38之间的所有流量被理解为根据应用本地协议而发生。根据顺序步骤1400,在飞行末尾时,连接管理器60可以关闭连接/航班。本实施方式的任何实现方式中的共同线索是可以通过征求(soliciting)连接,而不是仅是在他们尝试时授权连接,来实现较高的吸收率(uptake rate)。
[0055] 现在参照图4A的框图,乘客PED 18a连接至机上WLAN接入点22a,并且经由机上连接管理器58和远程连接管理器60来访问因特网36。另外,当不在飞行器10上时,用户可以通过各种常规形式,包括家庭网络(其也可以是WiFi网络)、工作网络以及蜂窝(GSM)网络,来访问因特网36。根据本公开内容的各种实施方式,如上所述的由应用服务器38授权的因特网连接与常规因特网连接之间的过渡可以无需用户干预地发生并且无需通知用户。
[0056] 图4B的框图示出了替选实施方式,该替选实施方式结合了机组PED18b以及可以利用所公开的用于实现防火墙例外的系统的IFE终端。机组PED 18b被理解为与上述乘客PED 18a的功能的相似之处在于,在飞行器上时连接至WLAN接入点22a。在飞行期间,机组PED
18b可以同样被授权经由机上连接管理器58和远程连接管理器60连接至因特网36。与乘客PED 18a类似,机组PED 18b还可以经由普通访问形式(如工作和家庭WLAN网络和GSM/蜂窝网络)连接至因特网36。
18b可以同样被授权经由机上连接管理器58和远程连接管理器60连接至因特网36。与乘客PED 18a类似,机组PED 18b还可以经由普通访问形式(如工作和家庭WLAN网络和GSM/蜂窝网络)连接至因特网36。
[0057] 除了与乘客PED 18a共同的用途以外,机组PED 18b还可以用于基于飞机通信寻址与报告系统(ACARS)的机组消息传递。从机上连接管理器58传送到远程连接管理器60的存在状态59可以包括从ARINC 429总线取得的航空电子数据,因为连接至ARINC 429总线的节点之一为IFEC系统20。此外,可以使用常规的XMPP服务器将存在状态59提供给传统的ACARS地面目的地。XMPP存在状态59可以承载文本消息,因此,可以支持包括所有形式的ACARS消息传递的空中和地勤人员消息传递。
[0058] 图4B中示出的实施方式还设想在椅背显示器(如IFEC系统20的终端单元42)上安装客户端应用54。在一些情况下,客户端应用54可以被限制为与本地服务(诸如IFE应用服务器66)通信,虽然其也被理解为可以连接至远离飞行器10的应用服务器38。
[0059] 各种各样的应用,包括面向旅行的以及更一般的应用,被设想为受益于提供商授权的(和补贴的)因特网连接。特别适用于航空旅行的一个示例性应用是在飞行期间查看转机登机口信息。该信息可以经由椅背显示器44上的、机舱头顶监视器上的或者PED 18上的IFEC系统20来呈现。机场内部署的信标可以通过将旅行者引导到期望的登机口来提供进一级别的协助。由于航空公司可以在到达之前授权访问用于转机登机口信息的数据源,因此使用当前构想的系统可以在飞行期间在PED 18上获得转机登机口信息。此外,当乘客已经从飞行器10下来时,可以将因特网连接转变成机场航站楼内可以访问的本地WLAN网络。
[0060] 另一种空中旅行特定应用是免税品销售。经由PED 18或IFEC系统20的终端单元42,用户可以在飞行期间浏览可用商品的目录。在飞行期间,可以经由经授权的基于卫星的因特网连接将任何购买的收据从应用服务器38下载至PED 18,并且可以在机场落地时按照收据的表示来提取商品。收据可以包括用于验证购买和客户的QR码或其他机器可读代码。
客户还可以在机场浏览时更改在飞机上的预购。与机上空乘员集成在一起的订餐、地面基地门房服务是可以经由IFEC系统20的终端单元访问的具有搭售功能的其他可能的应用。
客户还可以在机场浏览时更改在飞机上的预购。与机上空乘员集成在一起的订餐、地面基地门房服务是可以经由IFEC系统20的终端单元访问的具有搭售功能的其他可能的应用。
[0061] 在所有这些示例用途中,传送至PED 18的数据被理解为经由XMPP存在状态来传递,尽管可以通过如上所述请求打开边带信道来使用其他协议,如浏览器内的HTTP。一般来说,航空公司控制的IFEC系统20和与之相关的客户端应用54之间的更紧密的关系鼓励了对基于订阅的因特网连接服务的更广泛的采用和更广泛的使用。
[0062] 如前所述,不依赖于行程的应用还可以使用提供商授权的因特网连接。一个示例是运动更新,并且本文所公开的基于文本的消息传递系统被理解为特别适于在比赛得分变化或播放时段结束时发送更新。当重大赛事如美国职业橄榄球锦标赛或世界杯被广泛关注时,大多数用户通常将对更小的赛事兴趣不大。因此,前10名或前100名比赛的新闻推送将不会是有效的,并且对于用户而言进行导航以找到感兴趣的赛事是繁琐的。因此,本公开内容的各种实施方式构想了可以通过对存在状态的更新来传输的文本消息类型提醒。对于忠实粉丝而言接收到这样的更新可能是期望的,因为否则乘客在飞行期间与世界的其余部分失去连接。
[0063] 又一示例性应用是股票交易,因为交易者无法承受当市场正在运行时处于离线状态。虽然专门的日间交易者等可以订阅飞行中因特网访问服务,但是大多数乘客在飞行期间不会从事股票交易。因此,设想了在形式上与前述运动比分更新类似的更新,其中针对选定数目的所关注股票生成基于文本的更新/提醒。本申请被理解为需要最小带宽。
[0064] 利用根据本公开内容的各种实施方式的结合了选择性因特网连接的众多可能的客户端应用,与其相关联的使用数据可以被用于对潜在客户的定位进一步细化。一般地,飞行中的乘客被理解为符合消费者人群中的特别理想的子集,因为这种乘客共享共同属性,例如,买得起机票、知道目的地和/或出发点。如上所述,PED 18的存在状态59是应用服务器38用来决定是否要为其打开防火墙40的基础。根据本公开内容的另一个方面,具有与飞行前和飞行中服务进行交互的特定历史、使用特定应用的乘客相关的另外的详情也可作为决定的基础。
[0065] 参照图5的框图,再次,机上连接管理器58和远程连接管理器60维护乘客PED 18a(其也可以是IFEC系统20的终端单元42)的存在状态59。应用服务器38可以处理存在状态59,以确定PED 18是否被授权访问机上因特网连接,并且根据分析的结果来提供授权。然而,除了存在状态59以外,示出的实施方式还基于与PED 18相关联的乘客配置文件68来考虑要作出的决定。
[0066] 仅作为示例而非限制,乘客配置文件68可以包括乘客的归属城市、国家、区号。此外,乘客配置文件68可以包括频繁旅客状态/类别、转机和机票预订。可以在乘客配置文件68中捕获并保持在当前或过去的航班上乘客与特定飞行中服务的过去的交互69。乘客配置文件的详细级别取决于航空公司的具体需要,并且可以变化。
[0067] 在授权连接至PED 18时,应用服务器38可以访问存在状态59和乘客配置文件68,并且由应用服务器38作出决定。然而,如果有多方都可能有兴趣提供连接以换取向乘客的推销的机会,则可以使用允许航空公司考虑多种提供的投标引擎(bidding engine)(70)。投标引擎70被理解为具有若干操作模式,包括将连接限制为出价最高者,以固定价格提供连接、以及补贴连接。在这些模式中的每种模式中,投标引擎70生成应用服务器38的报价
72,并且应用服务器38以出价74来进行响应。投标引擎70考虑出价74,并且将出价授予76胜出者。在这一点上,可以为应用服务器38提供请求连接的PED 18的标识。
72,并且应用服务器38以出价74来进行响应。投标引擎70考虑出价74,并且将出价授予76胜出者。在这一点上,可以为应用服务器38提供请求连接的PED 18的标识。
[0068] 有助于说明这些操作模式的示例性场景是:乘客配置文件68指示乘客需要预订航班目的地处的酒店房间的很大可能性。这可以基于乘客浏览与酒店相关内容的IFEC系统20和/或PED 18的最近活动历史。在连接被限制为出价最高者的操作模式中,可能存在多个酒店预订网站(例如,Hotels.com和Expedia.com)。从投标引擎70传送至这些网站的相应应用服务器38的报价72可以排他地指示出价最高者将是被允许的唯一酒店预订网站。在出价74中,一个网站指定1美元,而另一网站指定2美元。投标引擎70接收这两个出价,并且将请求连接的PED 18的标识提供给在授权76中获胜的2美元出价。
[0069] 应该理解,如果用户正在经由网络浏览酒店预订网站,不会通知该用户打开了因特网连接,特别是由赞助商支付的因特网连接。在这种情况下,排他性的价值可能会减少,因此,网页浏览通常被认为是低价值的应用。可以在所显示的内容中突出显示属于获胜的应用服务器38的项目。如果酒店预订服务客户端应用被安装在PED 18上,则可以在PED 18上生成存在连接的提醒。
[0070] 在以固定价格提供连接的操作模式中,继续以乘客配置文件68指示用户需要预订酒店的可能性为例,投标引擎70可以提供分别至十几个酒店预订相关网站的10美分的连接。另一个示例是投标引擎70以5美元向乘客提供至老虎机博弈提供商的连接。在该操作模式和这些示例的上下文中的出价74被理解为由应用服务器38对所提出的项目的肯定应答,在此之后请求连接的PED 18的标识被投标引擎70传递至应用服务器38。
[0071] 对于补贴连接操作模式,可能存在下述情况:航空公司有偏向于特定的应用服务器38的原因。在这种情况下,报价72被理解为是免费的,并且可以包括为因特网连接进行支付的实体的指示,该实体可以是航空公司或者客户端应用54/应用服务器38的提供商。
[0072] 投标引擎70的操作模式可以在飞行中被切换,或者可以基于对可用乘客配置文件68的分析来动态地改变。使用这些操作模式,应用提供商可以在对以下机会进行响应时应用更复杂的商业规则:对进行请求的PED 18和IFEC系统终端单元42启用飞行中因特网连接的机会。
[0073] 本文中所示的细节仅作为示例并且用于示例性讨论的目的,并且该细节是为了以下而提出的:提供被认为是对本公开内容中阐述的用于动态实施防火墙例外的系统的各种实施方式的原理和概念性方面的最有用且最容易理解的描述。在这点上,不试图示出比各种实施方式的不同特征的基本理解所必需的细节更多的细节,描述与附图一起使得对于本领域技术人员来说明显的是,这些细节可以如何在实践中被实施。
| 标题 | 发布/更新时间 | 阅读量 |
|---|---|---|
| 一种机械设计制实施例辅助系统 | 2020-05-11 | 1034 |
| 利用经过调节的气流处理例如待孵化蛋的产品的方法以及用于实施该方法的气候室 | 2020-05-12 | 130 |
| 键盘-视频-鼠标系统以及提供和使用此系统的方法 | 2020-05-13 | 753 |
| 用于皮肤处理的方法、系统和设备 | 2020-05-13 | 723 |
| 用于生产带有空气输送器的同心芯烟丝条制造机的设备、系统及方法的各种实施例 | 2020-05-12 | 933 |
| 用于获得等密度偏差并控制制造处理的方法和设备 | 2020-05-13 | 70 |
| 阶层式滤波器 | 2020-05-12 | 721 |
| 一种以至少一个喂纱或落纱在双针筒圆型织机上当形成管状产品例如袜子制品或类似物完成时准备该制品以便自动拾取的方法和实施该方法的双针筒圆型织机 | 2020-05-12 | 608 |
| 电磁辐射转换器的光转换部分(不同的实施例)以及电磁辐射转换器 | 2020-05-12 | 354 |
| 流体喷射设备 | 2020-05-13 | 836 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
分析报告
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。
QQ群二维码
意见反馈
意见反馈