用于企業(yè)無(wú)線呼叫的系統(tǒng)、方法、裝置及機(jī)器可讀介質(zhì)的制作方法
【專利摘要】本公開涉及用于企業(yè)無(wú)線呼叫的系統(tǒng)、方法、裝置及機(jī)器可讀介質(zhì)。實(shí)施例包括經(jīng)由安全隧道從用戶設(shè)備接收Wi?Fi呼叫會(huì)話的一個(gè)或多個(gè)分組,其中,用戶設(shè)備經(jīng)由Wi?Fi接入點(diǎn)被連接至源網(wǎng)絡(luò)。實(shí)施例還包括至少部分基于標(biāo)識(shí)該一個(gè)或多個(gè)分組中的至少一個(gè)分組的異常來(lái)確定Wi?Fi呼叫會(huì)話是否是威脅。如果Wi?Fi呼叫通信被確定為是威脅,則采取動(dòng)作。更具體的實(shí)施例包括:通過(guò)將至少一個(gè)分組中的信息與Wi?Fi呼叫會(huì)話的控制面數(shù)據(jù)進(jìn)行關(guān)聯(lián)來(lái)確定該分組與該Wi?Fi呼叫會(huì)話相關(guān)聯(lián)。其他實(shí)施例可以包括:在演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān)和關(guān)聯(lián)于該用戶設(shè)備的服務(wù)提供商網(wǎng)絡(luò)之間建立的第二安全隧道中攔截該一個(gè)或多個(gè)分組。
【專利說(shuō)明】用于企業(yè)無(wú)線呼叫的系統(tǒng)、方法、裝置及機(jī)器可讀介質(zhì)
[0001]相關(guān)申請(qǐng)的交叉引用
[0002]本申請(qǐng)按照35 U.S.C.§119(e),要求于2015年3月I日提交的、題為“用于企業(yè)無(wú)線呼叫的系統(tǒng)、方法及裝置”的美國(guó)臨時(shí)申請(qǐng)N0.62/126,651的優(yōu)先權(quán)權(quán)益,該申請(qǐng)的全部?jī)?nèi)容通過(guò)引用被合并于此。
技術(shù)領(lǐng)域
[0003]本公開總體涉及計(jì)算機(jī)網(wǎng)絡(luò)領(lǐng)域,更具體地,涉及用于企業(yè)無(wú)線呼叫的系統(tǒng)、方法、裝置及機(jī)器可讀介質(zhì)。
【背景技術(shù)】
[0004]計(jì)算機(jī)設(shè)備可以使得用戶能夠與操作其他計(jì)算機(jī)設(shè)備的其他用戶進(jìn)行通信以及例如經(jīng)由互聯(lián)網(wǎng)與全世界的其他計(jì)算機(jī)設(shè)備進(jìn)行通信。計(jì)算機(jī)設(shè)備可以使用任意數(shù)目的通信技術(shù)來(lái)實(shí)現(xiàn)到互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接以獲得所期望的服務(wù)、數(shù)據(jù)、媒體等。隨著移動(dòng)設(shè)備的出現(xiàn)以及無(wú)線通信服務(wù)可用性的增長(zhǎng),用戶幾乎可以在任何時(shí)候任何地點(diǎn)訪問(wèn)互聯(lián)網(wǎng)和其他聯(lián)網(wǎng)系統(tǒng)。
[0005]諸如服務(wù)提供商和企業(yè)之類的實(shí)體通常為端用戶提供無(wú)線(和有線)服務(wù)。例如,企業(yè)可以向服務(wù)提供商進(jìn)行訂閱,從而接收企業(yè)的客戶的互聯(lián)網(wǎng)訪問(wèn)。企業(yè)可以向客戶提供在特定位置處存在的未授權(quán)無(wú)線訪問(wèn)(例如,W1-Fi)。存在于同一位置的一些客戶可以訪問(wèn)互聯(lián)網(wǎng)或者使用其他技術(shù)(例如,授權(quán)蜂窩訪問(wèn)(例如,3G、4G等))進(jìn)行呼叫(例如,語(yǔ)音、視頻等)??蛻艚?jīng)由企業(yè)的W1-Fi或其他技術(shù)而生成的網(wǎng)絡(luò)流量可以提供大量的與客戶、客戶的設(shè)備以及正被使用的網(wǎng)絡(luò)相關(guān)聯(lián)的信息。然而,管理該信息并確保經(jīng)由企業(yè)網(wǎng)絡(luò)可訪問(wèn)的服務(wù)的安全性向設(shè)備制造商和網(wǎng)絡(luò)管理員等提出了巨大挑戰(zhàn)。
【發(fā)明內(nèi)容】
[0006]本公開提供了一種方法,包括:經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)分組,其中,所述用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò);至少部分基于標(biāo)識(shí)所述一個(gè)或多個(gè)分組中的至少一個(gè)分組的異常來(lái)確定所述W1-Fi呼叫會(huì)話是否是威脅;以及如果所述W1-Fi呼叫通信被確定為是威脅,則采取動(dòng)作。
[0007]本公開提供了一種裝置,包括至少一個(gè)存儲(chǔ)器;和至少部分實(shí)現(xiàn)于硬件中的邏輯,該邏輯當(dāng)被運(yùn)行時(shí),用于:經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)分組,其中,所述用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò);至少部分基于標(biāo)識(shí)所述一個(gè)或多個(gè)分組中的至少一個(gè)分組的異常來(lái)確定所述W1-Fi呼叫會(huì)話是否是威脅;以及如果所述W1-Fi呼叫通信被確定為是威脅,則采取動(dòng)作。
[0008]本公開提供了至少一種非暫態(tài)機(jī)器可讀存儲(chǔ)介質(zhì),其上存儲(chǔ)有指令,所述指令當(dāng)被至少一個(gè)處理器運(yùn)行時(shí)使得所述至少一個(gè)處理器:經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)分組,其中,所述用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò);至少部分基于標(biāo)識(shí)所述一個(gè)或多個(gè)分組中的至少一個(gè)分組的異常來(lái)確定所述W1-Fi呼叫會(huì)話是否是威脅;以及如果所述W1-Fi呼叫通信被確定為是威脅,則采取動(dòng)作。
[0009]本公開提供了一種方法,包括:從用戶設(shè)備接收W1-Fi呼叫通信的分組,其中所述用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò);標(biāo)識(shí)所述用戶設(shè)備;至少部分基于由所述用戶設(shè)備發(fā)起的一個(gè)或多個(gè)先前W1-Fi呼叫會(huì)話,來(lái)確定所述用戶設(shè)備是否受到危害;以及如果所述用戶設(shè)備被確定為受到危害,則至少部分基于策略來(lái)采取動(dòng)作。
【附圖說(shuō)明】
[0010]為了提供對(duì)本公開以及其特征和優(yōu)勢(shì)更加全面的理解,結(jié)合附圖,參照以下描述,其中,相似的參考標(biāo)號(hào)表不相似的部分,其中:
[0011]圖1是根據(jù)本公開的至少一個(gè)實(shí)施例的通信系統(tǒng)的一個(gè)實(shí)施例的簡(jiǎn)化框圖;
[0012]圖2是示出示例操作的簡(jiǎn)化流程圖,這些示例操作可與根據(jù)本公開的至少一個(gè)實(shí)施例的通信系統(tǒng)相關(guān)聯(lián);
[0013]圖3是根據(jù)本公開的至少一個(gè)實(shí)施例的通信系統(tǒng)的系統(tǒng)架構(gòu)的一個(gè)實(shí)施例的簡(jiǎn)化框圖;
[0014]圖4是根據(jù)至少一個(gè)實(shí)施例的通信系統(tǒng)中的組件和數(shù)據(jù)流的高層框圖;
[0015]圖5是根據(jù)至少一個(gè)實(shí)施例的通信系統(tǒng)中的可能數(shù)據(jù)流進(jìn)程的高層框圖;
[0016]圖6是根據(jù)至少一個(gè)實(shí)施例提供通信系統(tǒng)的智能數(shù)據(jù)的單面板可視化的示例屏幕顯不;
[0017]圖7A是根據(jù)至少一個(gè)實(shí)施例的W1-Fi呼叫系統(tǒng)的示例組件的高層框圖;
[0018]圖7B是根據(jù)至少一個(gè)實(shí)施例的W1-Fi呼叫系統(tǒng)的示例組件的另一高層框圖;
[0019]圖7C是根據(jù)至少一個(gè)實(shí)施例的W1-Fi呼叫系統(tǒng)的示例組件的另一高層框圖;
[0020]圖8是根據(jù)本公開的至少一個(gè)實(shí)施例的W1-Fi呼叫系統(tǒng)的簡(jiǎn)化框圖;
[0021]圖9是根據(jù)本公開的至少一個(gè)實(shí)施例示出W1-Fi呼叫系統(tǒng)的可能的額外細(xì)節(jié)的簡(jiǎn)化框圖;
[0022]圖10是根據(jù)至少一個(gè)實(shí)施例示出W1-Fi呼叫系統(tǒng)的某些組件之間的可能通信的簡(jiǎn)化交互圖;
[0023]圖11A-11C是根據(jù)至少一個(gè)實(shí)施例示出W1-Fi呼叫系統(tǒng)的某些組件之間的附加的可能通信的簡(jiǎn)化交互圖;
[0024]圖12是根據(jù)至少一個(gè)實(shí)施例示出與W1-Fi呼叫系統(tǒng)相關(guān)聯(lián)的可能操作的簡(jiǎn)化流程圖;
[0025]圖13A是根據(jù)至少一個(gè)實(shí)施例示出與W1-Fi呼叫系統(tǒng)相關(guān)聯(lián)的其他可能操作的簡(jiǎn)化流程圖;以及
[0026]圖13B是根據(jù)至少一個(gè)實(shí)施例示出與W1-Fi呼叫系統(tǒng)相關(guān)聯(lián)的另外其他可能操作的簡(jiǎn)化流程圖。
【具體實(shí)施方式】
[0027]挺述
[0028]本公開描述關(guān)于來(lái)自源網(wǎng)絡(luò)的W1-Fi呼叫的方法。在本公開的一個(gè)示例中,提供了方法,該方法包括經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)分組,其中,用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò)。該方法還包括至少部分基于標(biāo)識(shí)該一個(gè)或多個(gè)分組中的至少一個(gè)分組的異常來(lái)確定W1-Fi呼叫會(huì)話是否是威脅。該方法還包括:如果W1-Fi呼叫通信被確定為是威脅,則采取動(dòng)作。
[0029]在更具體的實(shí)施例中,該方法包括標(biāo)識(shí)用戶設(shè)備的唯一標(biāo)識(shí)。采取動(dòng)作可以包括如下中的至少一項(xiàng):發(fā)送W1-Fi呼叫會(huì)話是威脅的警報(bào)和終止W1-Fi呼叫會(huì)話。另外,安全隧道可以是互聯(lián)網(wǎng)協(xié)議安全(IPSec)隧道。在另外的更具體的實(shí)施例中,該方法包括通過(guò)將該至少一個(gè)分組中的信息與W1-Fi呼叫會(huì)話的控制面數(shù)據(jù)進(jìn)行關(guān)聯(lián)來(lái)確定該分組與W1-Fi呼叫會(huì)話相關(guān)聯(lián)。
[0030]在其他更具體的實(shí)施例中,一個(gè)或多個(gè)分組在演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān)和關(guān)聯(lián)于發(fā)起W1-Fi呼叫通信的用戶設(shè)備的服務(wù)提供商網(wǎng)絡(luò)之間建立的第二隧道中被攔截。該方法還可以包括:如果分組被確定為不是威脅,則建立到源網(wǎng)絡(luò)的信令鏈路,以及通過(guò)該信令鏈路向源網(wǎng)絡(luò)發(fā)送消息以命令該源網(wǎng)絡(luò)對(duì)與W1-Fi呼叫會(huì)話相關(guān)聯(lián)的網(wǎng)絡(luò)流量?jī)?yōu)先考慮(pr1ritize)。在其他具體的實(shí)施例中,該方法包括接收建立安全隧道的請(qǐng)求,標(biāo)識(shí)與用戶設(shè)備相關(guān)聯(lián)的服務(wù)提供商網(wǎng)絡(luò),標(biāo)識(shí)表示服務(wù)提供商的證書,以及將該證書發(fā)送給用戶設(shè)備。此外,W1-Fi呼叫會(huì)話可以被基于如下中的一者而從用戶設(shè)備重定向至W1-Fi漫游交換:源網(wǎng)絡(luò)中的域名系統(tǒng)(DNS)覆寫或源網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)系統(tǒng)提供的目的地互聯(lián)網(wǎng)協(xié)議地址。
[0031]其他實(shí)施例可以包括:經(jīng)由第二安全隧道從第二用戶設(shè)備接收第二W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)其他分組,其中第二用戶設(shè)備經(jīng)由第二 W1-Fi接入點(diǎn)被連接至第二源網(wǎng)絡(luò);以及如果第二 W1-Fi呼叫通信被確定為是另一威脅,則采取另一動(dòng)作來(lái)保護(hù)第二網(wǎng)絡(luò)。在更具體的實(shí)施例中,W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)分組是由安全云或源網(wǎng)絡(luò)之一中的演進(jìn)型分組節(jié)點(diǎn)網(wǎng)關(guān)(ePDG)經(jīng)由安全隧道接收的。
[0032]在本公開的另一實(shí)施例中,提供了方法,該方法包括:從用戶設(shè)備接收W1-Fi呼叫通信的分組,其中用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò);標(biāo)識(shí)用戶設(shè)備;至少部分基于由用戶設(shè)備發(fā)起的一個(gè)或多個(gè)先前W1-Fi呼叫會(huì)話,來(lái)確定用戶設(shè)備是否受到危害;以及如果用戶設(shè)備被確定為受到危害,則至少部分基于策略來(lái)采取動(dòng)作。在更具體的實(shí)施例中,該方法可以包括:標(biāo)識(shí)與用戶設(shè)備相關(guān)聯(lián)的服務(wù)提供商,標(biāo)識(shí)標(biāo)識(shí)服務(wù)提供商的證書,以及如果用戶設(shè)備被認(rèn)證則將該證書發(fā)送至用戶設(shè)備。在另一具體實(shí)施例中,該方法可以包括:如果用戶設(shè)備被確定受到危害,則終止W1-Fi呼叫通信。
[0033]—些或全部元件、操作和特征可被包括在用于執(zhí)行所描述的功能的相應(yīng)系統(tǒng)、裝置和設(shè)備中。另外,一些或全部特征可以被實(shí)現(xiàn)于至少一個(gè)機(jī)器可讀存儲(chǔ)介質(zhì)中。
[0034]具體描述
[0035]轉(zhuǎn)向圖1,提供了用于實(shí)現(xiàn)企業(yè)無(wú)線呼叫的通信系統(tǒng)10的簡(jiǎn)化框圖。在一個(gè)示例中,通信系統(tǒng)10包括與客戶實(shí)體15和用戶30進(jìn)行通信的數(shù)據(jù)智能系統(tǒng)40。如本文所使用的,“云”意為指代允許存儲(chǔ)、計(jì)算和/或聯(lián)網(wǎng)的遠(yuǎn)程網(wǎng)絡(luò)元件(例如,服務(wù)器等)和/或軟件網(wǎng)絡(luò)。云還可以提供對(duì)計(jì)算機(jī)服務(wù)或資源的在線訪問(wèn)。數(shù)據(jù)智能系統(tǒng)40可以基于云基礎(chǔ)設(shè)施,該云基礎(chǔ)設(shè)施包括云服務(wù)50、數(shù)據(jù)計(jì)算服務(wù)60以及數(shù)據(jù)中心70。云服務(wù)50可以提供至云中心70和數(shù)據(jù)計(jì)算服務(wù)60的安全連接。云服務(wù)50可以提供用于流式傳輸去往/來(lái)自客戶實(shí)體15的網(wǎng)絡(luò)的遙測(cè)傳感器數(shù)據(jù)的安全連接。在至少一個(gè)實(shí)施例中,安全連接可以是到特定客戶網(wǎng)絡(luò)的虛擬私有網(wǎng)絡(luò)(VPN) 12-1至12-N的形式,虛擬私有網(wǎng)絡(luò)(VPN) 12-1至12-N使用諸如互聯(lián)網(wǎng)協(xié)議安全(IPSec)之類的VPN協(xié)議來(lái)保護(hù)通過(guò)互聯(lián)網(wǎng)的通信的安全。
[0036]客戶實(shí)體15可以包括向其客戶提供網(wǎng)絡(luò)訪問(wèn)服務(wù)的任意實(shí)體。客戶實(shí)體15的示例可以包括但不限于服務(wù)提供商20-1至20-N。服務(wù)提供商可以向其客戶提供互聯(lián)網(wǎng)訪問(wèn)和其他相關(guān)服務(wù)。服務(wù)提供商的客戶可以包括大量實(shí)體(例如,企業(yè)、活動(dòng)場(chǎng)館、會(huì)議中心、購(gòu)物中心、零售商店、餐館等)或端用戶。
[0037]在至少一個(gè)實(shí)施例中,數(shù)據(jù)中心70可以托管位置引擎78,該位置引擎78提供針對(duì)通過(guò)W1-Fi進(jìn)行遞送的服務(wù)部署的位置服務(wù)平臺(tái)。數(shù)據(jù)中心70還可以包括網(wǎng)絡(luò)管理器76,該網(wǎng)絡(luò)管理器76是針對(duì)通過(guò)W1-Fi進(jìn)行遞送的服務(wù)部署的管理平臺(tái)。在至少一個(gè)實(shí)施例中,數(shù)據(jù)計(jì)算服務(wù)60可以托管顯示引擎64和至少一部分分析引擎100。顯示引擎可以是企業(yè)智能平臺(tái)(BIP)62的用戶界面(Ul/Web層),并且可以由用戶30訪問(wèn)以獲得對(duì)來(lái)自穿越其所監(jiān)控的網(wǎng)絡(luò)的網(wǎng)絡(luò)流量的商業(yè)數(shù)據(jù)智能、網(wǎng)絡(luò)數(shù)據(jù)智能和用戶數(shù)據(jù)智能的實(shí)時(shí)可視性。通常,訪問(wèn)顯示引擎的用戶30可與客戶實(shí)體15相關(guān)聯(lián)。例如,用戶30可以包括服務(wù)提供商的獲授權(quán)人士和/或某一企業(yè)的獲授權(quán)人士,其中該企業(yè)是數(shù)據(jù)智能系統(tǒng)提供商的客戶。在一些場(chǎng)景中,用戶30可以包括網(wǎng)絡(luò)管理員或運(yùn)營(yíng)商。然而,在至少一個(gè)實(shí)施例中,任何提供適當(dāng)認(rèn)證的獲授權(quán)用戶可以訪問(wèn)顯示引擎。獲得授權(quán)和適當(dāng)證書的其他第三方用戶(未示出)可以訪問(wèn)應(yīng)用編程接口(API)來(lái)建立針對(duì)服務(wù)提供商和/或其客戶的應(yīng)用。
[0038]出于理解本文所公開的通信系統(tǒng)10的某些實(shí)施例的目的,理解可與穿越網(wǎng)絡(luò)的網(wǎng)絡(luò)通信相關(guān)聯(lián)的技術(shù)和數(shù)據(jù)十分重要。下文的基本信息可被視作正確解釋本公開的基礎(chǔ)。
[0039]當(dāng)端用戶出現(xiàn)在向端用戶(或客戶端)提供服務(wù)或商品的實(shí)體的處所時(shí),實(shí)體通常向這些端用戶提供免費(fèi)或收費(fèi)的網(wǎng)絡(luò)訪問(wèn)。例如,舉辦足球比賽的活動(dòng)場(chǎng)地可以向參加足球比賽的端用戶所操作的用戶設(shè)備(UE)(例如,智能電話、平板、膝上型計(jì)算機(jī)等)提供免費(fèi)的W1-Fi訪問(wèn)??捎苫顒?dòng)場(chǎng)地的服務(wù)提供商來(lái)提供對(duì)互聯(lián)網(wǎng)的W1-Fi訪問(wèn)。在另一示例中,企業(yè)可以向拜訪其處所的雇員所操作的UE提供免費(fèi)的W1-Fi訪問(wèn)。對(duì)互聯(lián)網(wǎng)的W1-Fi訪問(wèn)可以由企業(yè)所有者的服務(wù)提供商來(lái)提供。
[0040]然而,至少部分由于互聯(lián)網(wǎng)協(xié)議(IP)呼叫在其上建立的安全隧道,一般不提供來(lái)自企業(yè)處所或活動(dòng)場(chǎng)所的W1-Fi呼叫。一些端用戶可以使用許可蜂窩技術(shù)(例如,3G、4G等)來(lái)訪問(wèn)互聯(lián)網(wǎng)并且進(jìn)行呼叫(例如,語(yǔ)音和/或其他媒體)。而企業(yè)處所或活動(dòng)場(chǎng)所處的其他端用戶可經(jīng)由有線連接來(lái)訪問(wèn)互聯(lián)網(wǎng)。端用戶生成的網(wǎng)絡(luò)流量的量可能很大。此外,與網(wǎng)絡(luò)流量相關(guān)聯(lián)的數(shù)據(jù)可指示與網(wǎng)絡(luò)和端用戶相關(guān)的潛在有用信息。
[0041]網(wǎng)絡(luò)中的網(wǎng)絡(luò)元件的提供商通常提供用于這些網(wǎng)絡(luò)元件的管理工具。管理工具可以被配設(shè)為管理網(wǎng)絡(luò)內(nèi)的特定一個(gè)或多個(gè)網(wǎng)絡(luò)元件,并且提供與這些網(wǎng)絡(luò)元件相關(guān)的網(wǎng)絡(luò)信息。然而,不同管理工具的不同來(lái)源的網(wǎng)絡(luò)信息不實(shí)現(xiàn)對(duì)這些信息的智能開發(fā)和利用。另夕卜,端用戶可獲得的各種網(wǎng)絡(luò)訪問(wèn)選項(xiàng)(例如,未許可W1-F1、許可小小區(qū)、許可宏小區(qū)、有線等)妨礙企業(yè)或活動(dòng)場(chǎng)所及其服務(wù)提供商采用有意義的方式來(lái)有效收集和計(jì)算網(wǎng)絡(luò)流量數(shù)據(jù)的能力。
[0042]如果網(wǎng)絡(luò)流量中所存在的端用戶和網(wǎng)絡(luò)信息可被有效地獲得、聚合、關(guān)聯(lián)、分析以及可視化,則服務(wù)提供商可以幫助其客戶(例如,企業(yè)、學(xué)校、活動(dòng)場(chǎng)所、會(huì)議中心、購(gòu)物中心、零售商店、餐館等)做出更好的商業(yè)決策并且向其客戶(例如,端用戶)提供更好的端用戶體驗(yàn)。此外,對(duì)該網(wǎng)絡(luò)信息的訪問(wèn)可以基于所分析的網(wǎng)絡(luò)信息和客戶實(shí)體和/或與所監(jiān)控的網(wǎng)絡(luò)相關(guān)聯(lián)的它的客戶所設(shè)定的商業(yè)規(guī)則,來(lái)驅(qū)動(dòng)所監(jiān)控的網(wǎng)絡(luò)中的自動(dòng)響應(yīng)。
[0043]除了管理企業(yè)網(wǎng)絡(luò)上可獲得的網(wǎng)絡(luò)信息,企業(yè)還期望確??山?jīng)由其局域網(wǎng)(LAN)訪問(wèn)的企業(yè)服務(wù)的安全性。一般地,企業(yè)期望限制在其局域網(wǎng)(LAN)上從用戶設(shè)備(在本文中還被稱為“用戶設(shè)備”或“UE”)外輸(outbound)的互聯(lián)網(wǎng)協(xié)議安全隧道通信。W1-Fi呼叫是在從企業(yè)處所處的用戶設(shè)備向服務(wù)提供商環(huán)境的長(zhǎng)期IPSec會(huì)話的基礎(chǔ)上建立的。企業(yè)信息安全關(guān)注點(diǎn)通常關(guān)注使用IPSec隧道來(lái)攻擊企業(yè)網(wǎng)絡(luò)的威脅。具有經(jīng)由服務(wù)提供商建立的從企業(yè)處所到互聯(lián)網(wǎng)的IPSec會(huì)話的用戶設(shè)備還可以經(jīng)由企業(yè)LAN訪問(wèn)企業(yè)服務(wù)。用戶設(shè)備上的惡意軟件可能攔截企業(yè)分組并且將這些企業(yè)分組隧穿到脫離企業(yè)環(huán)境的頭端。因此,使用IPSec隧道來(lái)避免企業(yè)周邊(perimeter)安全控制成為重要關(guān)注點(diǎn)。因此,企業(yè)網(wǎng)絡(luò)通常包括防火墻,該防火墻防止從用戶設(shè)備的外輸安全隧道(例如,IPSec隧道)的建立。
[0044]企業(yè)通常通過(guò)成為中間人來(lái)解決安全性問(wèn)題。在安全套接字層(SSL)和傳輸層安全(TLS)連接上,中間人可以確保企業(yè)管理的所有用戶設(shè)備包括根證書,以實(shí)現(xiàn)對(duì)經(jīng)過(guò)企業(yè)主機(jī)與目的地節(jié)點(diǎn)之間的加密隧道的網(wǎng)絡(luò)流量的可視性。然而,W1-Fi呼叫在具有雙向認(rèn)證的情況下,妨礙企業(yè)成為中間人的能力。此外,當(dāng)考慮大型企業(yè)時(shí),其中在這些大型企業(yè)中,許多用戶期望建立到其歸屬(home)運(yùn)營(yíng)商的W1-Fi呼叫服務(wù),規(guī)模可能成為問(wèn)題(例如,對(duì)于跨國(guó)企業(yè),擴(kuò)展到幾十個(gè)或幾百個(gè)運(yùn)營(yíng)商)。對(duì)于企業(yè)而言,需要更好的安全選項(xiàng)來(lái)在向其客戶提供W1-Fi呼叫功能時(shí)保護(hù)其網(wǎng)絡(luò)。
[0045]為了本文易于指代,客戶實(shí)體可以被稱為“服務(wù)提供商”。另外,對(duì)于本文所描述的至少一些實(shí)施例,服務(wù)提供商具有其自己的企業(yè)形式的客戶。在一些場(chǎng)景中,企業(yè)和服務(wù)提供商可以是與數(shù)據(jù)智能系統(tǒng)相關(guān)聯(lián)的提供商的客戶。此外,企業(yè)的客戶(其網(wǎng)絡(luò)流量正被監(jiān)控)在本文中也被稱為“端用戶”或“客戶端”。然而,應(yīng)當(dāng)理解的是,客戶實(shí)體15可以包括向端用戶提供網(wǎng)絡(luò)訪問(wèn)的其他實(shí)體。例如,服務(wù)提供商可以具有端用戶形式的客戶,這些客戶操作用戶設(shè)備(UE)以訪問(wèn)服務(wù)提供商所提供的移動(dòng)無(wú)線服務(wù)。還應(yīng)當(dāng)理解的是,服務(wù)提供商可以具有任意數(shù)目的客戶,并且這些客戶可以包括接收來(lái)自服務(wù)提供商的網(wǎng)絡(luò)訪問(wèn)服務(wù)的任意類型的實(shí)體或用戶。
[0046]通信系統(tǒng)10可以解決前述問(wèn)題(以及更多問(wèn)題)。通信系統(tǒng)10的數(shù)據(jù)智能系統(tǒng)40針對(duì)服務(wù)提供商提供經(jīng)托管的商業(yè)智能服務(wù)和經(jīng)管理的W1-Fi呼叫終止服務(wù)。數(shù)據(jù)智能系統(tǒng)40可以經(jīng)由商業(yè)智能平臺(tái)(BIP)62的顯示引擎被服務(wù)提供商用戶和企業(yè)用戶(例如,網(wǎng)絡(luò)運(yùn)營(yíng)商)訪問(wèn)。在至少一個(gè)實(shí)施例中,BIP提供單個(gè)位置來(lái)管理、監(jiān)控和貨幣化網(wǎng)絡(luò)。
[0047]利用通信系統(tǒng)10,服務(wù)提供商可以通過(guò)利用通信系統(tǒng)10的基礎(chǔ)設(shè)施和管理功能而易于縮放它們所管理的W1-Fi服務(wù)。此外,服務(wù)提供商可以針對(duì)它們現(xiàn)有的W1-Fi部署和任意經(jīng)管理的W1-Fi服務(wù)二者利用商業(yè)智能平臺(tái)(BIP)所提供的價(jià)值。BIP可以提供用戶界面(UI),UI對(duì)于服務(wù)提供商及其企業(yè)客戶將是可獲得的。數(shù)據(jù)智能系統(tǒng)40還可以通過(guò)提供能被第三方應(yīng)用開發(fā)方所訪問(wèn)的應(yīng)用編程接口(API)而允許額外的創(chuàng)新。
[0048]數(shù)據(jù)智能系統(tǒng)40提供適當(dāng)?shù)募軜?gòu)和系統(tǒng),以收集來(lái)自服務(wù)提供商及其企業(yè)客戶的網(wǎng)絡(luò)的遙測(cè)傳感器數(shù)據(jù)(在本文中也被稱為“傳感器數(shù)據(jù)”),對(duì)該遙測(cè)傳感器數(shù)據(jù)進(jìn)行分析,并且隨后基于該數(shù)據(jù)建立可以是自動(dòng)化的動(dòng)作。至少一些傳感器數(shù)據(jù)可以采用各個(gè)端用戶使用數(shù)據(jù)的形式。BIP 62可以查找用戶模式(例如,一天中大多數(shù)端用戶出現(xiàn)的時(shí)間),BIP 62可以當(dāng)允許優(yōu)質(zhì)端用戶進(jìn)入企業(yè)的處所時(shí)該優(yōu)質(zhì)端用戶被標(biāo)識(shí),或者BIP 62可以提供新的商業(yè)機(jī)會(huì),尤其是圍繞目標(biāo)廣告的商業(yè)機(jī)會(huì)。收集的傳感器數(shù)據(jù)所來(lái)自的網(wǎng)絡(luò)在本文中還被稱為“被監(jiān)控網(wǎng)絡(luò)”。該被監(jiān)控網(wǎng)絡(luò)或其部分可以處于服務(wù)提供商的處所或服務(wù)提供商的企業(yè)客戶的處所。被監(jiān)控網(wǎng)絡(luò)的至少一些部分可以完全由另一實(shí)體托管,該另一實(shí)體包括但不限于數(shù)據(jù)智能系統(tǒng)40。
[0049]在至少一個(gè)實(shí)施例中,數(shù)據(jù)智能系統(tǒng)40支持三個(gè)組件以從被監(jiān)控網(wǎng)絡(luò)得到智能數(shù)據(jù):I)接入點(diǎn)(AP)統(tǒng)計(jì)方法,2)使用分析方法和3)位置分析方法。數(shù)據(jù)智能系統(tǒng)40從被監(jiān)控網(wǎng)絡(luò)收集AP統(tǒng)計(jì)數(shù)據(jù)和健康信息。數(shù)據(jù)智能系統(tǒng)40還例如經(jīng)由NetFlow收集每個(gè)端用戶的使用數(shù)據(jù),其中,NetFlow可被在支持訂戶網(wǎng)關(guān)或訪問(wèn)網(wǎng)關(guān)功能的無(wú)線LAN控制器(WLC)和路由器上啟用。接入點(diǎn)(AP)可被配置為向WLC連續(xù)報(bào)告用戶設(shè)備(UE)活動(dòng)。關(guān)鍵字段可以包括源IP地址和目的地IP地址、應(yīng)用、協(xié)議、源端口和目的地端口、分組數(shù)、八位字節(jié)數(shù)、客戶端媒體訪問(wèn)控制(MAC)地址以及W1-Fi AP MAC地址。此外,數(shù)據(jù)智能系統(tǒng)40可以經(jīng)由位置弓丨擎78收集各個(gè)端用戶位置數(shù)據(jù)。
[0050]應(yīng)當(dāng)注意,數(shù)據(jù)智能系統(tǒng)40不僅僅限于上文所標(biāo)識(shí)的用于得到智能數(shù)據(jù)的組件。用于得到來(lái)自被監(jiān)控網(wǎng)絡(luò)的智能數(shù)據(jù)和/或其他類型的傳感器數(shù)據(jù)的其他組件意為處于本公開的廣義范圍之內(nèi),并且易于包含在數(shù)據(jù)智能系統(tǒng)40中。例如,至少一些實(shí)施例可以包括W1-Fi呼叫系統(tǒng),該W1-Fi呼叫系統(tǒng)在保護(hù)經(jīng)由企業(yè)或其他實(shí)體的源網(wǎng)絡(luò)所建立的針對(duì)W1-Fi呼叫會(huì)話的安全隧道的同時(shí),實(shí)現(xiàn)在用戶設(shè)備上對(duì)W1-Fi呼叫應(yīng)用的使用。在這些實(shí)施例中,數(shù)據(jù)智能系統(tǒng)40還可以收集與被監(jiān)控的源網(wǎng)絡(luò)相關(guān)的接入網(wǎng)統(tǒng)計(jì)數(shù)據(jù)。訂戶網(wǎng)關(guān)功能可以被配置為例如使用認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)記錄和/呼叫詳情記錄(⑶R)來(lái)連續(xù)報(bào)告UE活動(dòng)。記錄中所報(bào)告的信息可以包括但不一定限于,源IP地址和目的地IP地址、應(yīng)用、協(xié)議、源端口和目的地端口、分組數(shù)以及八位字節(jié)數(shù)。此外,數(shù)據(jù)智能系統(tǒng)40可以經(jīng)由位置分析模塊106收集各個(gè)端用戶位置數(shù)據(jù)。
[0051 ]傳感器數(shù)據(jù)可以通過(guò)W1-F1、蜂窩(例如,3G、4G、nG、LTE等)或任意其他適當(dāng)?shù)臒o(wú)線技術(shù)來(lái)收集??梢詫?duì)數(shù)據(jù)執(zhí)行各種分析方法以生成智能報(bào)告并且經(jīng)由用戶界面提供數(shù)據(jù)的可視性。分析方法可以包括任意類型的數(shù)據(jù)聚合、分析、關(guān)聯(lián)、比較、歸一化、擴(kuò)展、挖掘等或者其任意組合。BIP 62可以使用這些組件所提供的API來(lái)配置組件、顯示數(shù)據(jù)、以及為用戶提供報(bào)告。獲授權(quán)的第三方也可以經(jīng)由適當(dāng)?shù)腁PI(例如,代表性狀態(tài)轉(zhuǎn)換(REST)API)來(lái)訪問(wèn)數(shù)據(jù)。
[0052]可由BIP生成并且通過(guò)API展示的智能數(shù)據(jù)的類型可以包括網(wǎng)絡(luò)智能數(shù)據(jù)、用戶智能數(shù)據(jù)以及商業(yè)智能數(shù)據(jù)。用戶(例如,企業(yè)的網(wǎng)絡(luò)運(yùn)營(yíng)商)可能需要的用于商業(yè)目的的數(shù)據(jù)包括但不限于:I)端用戶訪問(wèn)哪些社交媒體網(wǎng)站,2)端用戶實(shí)際去往企業(yè)(或其他實(shí)體)內(nèi)的何處,以及3)端用戶是否表現(xiàn)不合法(例如,實(shí)時(shí)流式傳輸演奏)或者是否沒(méi)有獲得授權(quán)。用戶(例如,企業(yè)的網(wǎng)絡(luò)運(yùn)營(yíng)商)可能需要的用于網(wǎng)絡(luò)目的的數(shù)據(jù)示例包括但不限于:I)多少網(wǎng)絡(luò)流量穿越網(wǎng)絡(luò),2)何種類型的流量穿越網(wǎng)絡(luò)(例如,bit-torrent、VoIP流量等),3)連接了多少許可用戶(例如,3G/4G/LTE用戶),以及4)網(wǎng)絡(luò)的特定區(qū)域中的網(wǎng)絡(luò)流量濃度(例如,特定服務(wù)集標(biāo)識(shí)符(SSID)的百分比等)。
[0053]數(shù)據(jù)智能系統(tǒng)40還可以提供W1-Fi漫游交換,該W1-Fi漫游交換實(shí)現(xiàn)針對(duì)由用戶設(shè)備通過(guò)外輸安全隧道從源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò))建立的W1-Fi呼叫會(huì)話的安全分析方法。W1-Fi漫游交換可以獲得用戶流的可視性,該用戶流可與W1-Fi呼叫會(huì)話的控制面數(shù)據(jù)關(guān)聯(lián)。該關(guān)聯(lián)實(shí)現(xiàn)對(duì)源網(wǎng)絡(luò)和呼叫通信被指向的服務(wù)提供商的標(biāo)識(shí)??梢詮挠脩袅鞯玫桨踩治龇椒ǎ詸z測(cè)任何正通過(guò)安全隧道(例如,源網(wǎng)絡(luò)與W1-Fi漫游交換之間的互聯(lián)網(wǎng)協(xié)議安全(IPSec)隧道)發(fā)送的異常分組。
[0054]在至少一個(gè)實(shí)施例中,W1-Fi漫游交換可以經(jīng)由門戶提供對(duì)W1-Fi呼叫通信的可視性和工具。W1-Fi漫游交換還可以通過(guò)采取諸如對(duì)用戶設(shè)備解除授權(quán)之類的動(dòng)作來(lái)自動(dòng)減輕檢測(cè)到的威脅。這例如可以通過(guò)使用UE的國(guó)際移動(dòng)用戶標(biāo)識(shí)(MSI)來(lái)完成??梢曰陬A(yù)配置策略來(lái)自動(dòng)采取這樣的動(dòng)作,或者在至少一些實(shí)例中,可以基于獲授權(quán)用戶經(jīng)由門戶提供的指令來(lái)自動(dòng)采取這樣的動(dòng)作。經(jīng)由門戶的可視性可以針對(duì)企業(yè)(或與源網(wǎng)絡(luò)相關(guān)聯(lián)的其他實(shí)體/用戶/所有者)提供如下置信度:外輸安全隧道未被用于攻擊源網(wǎng)絡(luò),以使得外輸安全隧道可以在源網(wǎng)絡(luò)上被支持。此外,如果用戶設(shè)備被確定先前受到危害,則在安全隧道被建立之前,W1-Fi呼叫通信可被終止。在其他實(shí)施例中,W1-Fi漫游交換可以被配置為命令源網(wǎng)絡(luò)對(duì)W1-Fi呼叫會(huì)話的用戶流優(yōu)先考慮。這些指令可以基于與源網(wǎng)絡(luò)相關(guān)聯(lián)的策略。
[0055]轉(zhuǎn)向圖1,現(xiàn)在對(duì)提供通信系統(tǒng)10的可能的基礎(chǔ)設(shè)施的描述。通信系統(tǒng)10可以支持多個(gè)服務(wù)或者可以被實(shí)現(xiàn)為針對(duì)每個(gè)服務(wù)提供商提供單個(gè)服務(wù)實(shí)例,其中每個(gè)服務(wù)提供商針對(duì)每個(gè)服務(wù)提供商(SP)支持單個(gè)租用框架。在圖1中,示出了服務(wù)提供商網(wǎng)絡(luò)與云服務(wù)50之間的邏輯連接。安全連接(例如,VPN 12-1)可以在服務(wù)提供商(例如,服務(wù)提供商20-1)與云服務(wù)50之間建立。每個(gè)服務(wù)提供商可以經(jīng)由VPN被連接到云服務(wù)50,以使得每個(gè)SP的網(wǎng)絡(luò)流量在其相應(yīng)的VPN以及虛擬路由和轉(zhuǎn)發(fā)(VRF)配置內(nèi)是隔離的。一個(gè)或多個(gè)數(shù)據(jù)智能系統(tǒng)40可以被建立以向服務(wù)提供商20-1至20-N提供數(shù)據(jù)智能服務(wù),并且可以在多個(gè)數(shù)據(jù)智能系統(tǒng)之間建立安全連接。
[0056]可以在數(shù)據(jù)智能系統(tǒng)40中配設(shè)各種組件,這些組件包括但不限于顯示引擎64、位置引擎78、網(wǎng)絡(luò)管理器76和用于經(jīng)由定制適配器將舊式協(xié)議轉(zhuǎn)換為另一協(xié)議的網(wǎng)關(guān)(未示出)。可以使用網(wǎng)絡(luò)功能虛擬化(NFV)來(lái)配置這些組件,其中NFV是虛擬化網(wǎng)絡(luò)節(jié)點(diǎn)功能的網(wǎng)絡(luò)架構(gòu)概念。這些NFV中的每個(gè)NFV可以具有其自己的集群域或其自動(dòng)縮放群組。
[0057]在至少一個(gè)實(shí)施例中,數(shù)據(jù)計(jì)算服務(wù)60可以被配置有顯示引擎。數(shù)據(jù)計(jì)算服務(wù)60的一個(gè)示例可以是提供設(shè)施即服務(wù)(IaaS)和平臺(tái)即服務(wù)(PaaS)的云。顯示引擎組件例如可以包括表示層(例如,web服務(wù)器)、服務(wù)層(例如,IQ引擎)和數(shù)據(jù)庫(kù)。
[0058]在至少一個(gè)實(shí)施例中,云服務(wù)50可以是數(shù)據(jù)智能服務(wù)40的核心。在至少一個(gè)實(shí)施例中,云服務(wù)50可以包括傳輸核心、門戶重定向以及郵件/SMTP(未示出)。傳輸核心可以包括去往駐留在其他云(例如,數(shù)據(jù)中心70)內(nèi)的各種其他關(guān)鍵元件以及數(shù)據(jù)計(jì)算服務(wù)60中的顯示引擎和用戶分析(用戶分析可以是分析引擎的一部分)的全部連接。傳輸核心還可以將數(shù)據(jù)智能系統(tǒng)40中的其他組件鏈接在一起。這樣的組件可以包括客戶VPN、門戶重定向以及郵件/SMTP。在至少一些實(shí)施例中,云服務(wù)50還可以托管分析引擎(S卩,數(shù)據(jù)層核心)100的至少一部分。
[0059]分析引擎100可以包括用于對(duì)傳感器數(shù)據(jù)執(zhí)行各種分析方法的多個(gè)組件。根據(jù)特定的配置需求和/或要求,分析引擎的組件可以被配設(shè)在不同的云中或同一云中。如圖1所示,分析引擎可以被配設(shè)在多個(gè)云中。例如,分析引擎的使用分析模塊可以被配設(shè)在云服務(wù)50中,而分析引擎的其他模塊(例如,位置分析模塊和接入點(diǎn)統(tǒng)計(jì)模塊)可以被配設(shè)在數(shù)據(jù)計(jì)算服務(wù)60中。
[0060]明顯地,可以采用多種方式來(lái)配置數(shù)據(jù)智能系統(tǒng)40的云基礎(chǔ)設(shè)施。盡管本文的各種組件被描述為配設(shè)在如圖1所示的特定云中,但這些組件可以被配設(shè)在更多、更少或其他的云中,或者可以一起被配設(shè)在單個(gè)云(例如,云服務(wù)50)中。因此,NFV和數(shù)據(jù)智能系統(tǒng)的其他組件(例如,分析引擎、商業(yè)智能平臺(tái)(BIP)等)可以被實(shí)例化于單個(gè)云中或任意數(shù)目的其他云中。圖1是多種可能的實(shí)現(xiàn)方式中的一個(gè)示例。
[0061]轉(zhuǎn)向圖2,高層簡(jiǎn)化流程圖示出了與通信系統(tǒng)10相關(guān)聯(lián)的可能操作流200。在202處,從被監(jiān)控網(wǎng)絡(luò)獲得傳感器數(shù)據(jù)。在至少一個(gè)實(shí)施例中,云服務(wù)50可以通過(guò)經(jīng)由VPN從被監(jiān)控網(wǎng)絡(luò)(被監(jiān)控網(wǎng)絡(luò)例如可以是服務(wù)提供商的網(wǎng)絡(luò))的網(wǎng)絡(luò)元件(例如,WLC)進(jìn)行流式傳輸來(lái)獲得傳感器數(shù)據(jù)。在涉及W1-Fi呼叫系統(tǒng)的至少一個(gè)其他實(shí)施例中,云服務(wù)50可以通過(guò)與用戶網(wǎng)關(guān)相連接和/或通過(guò)分析穿越訂戶網(wǎng)關(guān)的流量來(lái)得到傳感器數(shù)據(jù)。在204處,傳感器數(shù)據(jù)被饋送至數(shù)據(jù)智能系統(tǒng)40中的分析引擎以進(jìn)行分析,從而產(chǎn)生智能報(bào)告和數(shù)據(jù)的可視化表示方式。如本文所使用的,“分析”數(shù)據(jù)意為指對(duì)數(shù)據(jù)執(zhí)行或應(yīng)用分析方法(例如,評(píng)估、關(guān)聯(lián)、比較、分析等)。這些報(bào)告和可視化可以涉及用戶、網(wǎng)絡(luò)和/或商業(yè)智能。
[0062]在206處,經(jīng)分析的智能數(shù)據(jù)可用于用戶消費(fèi)。在至少一個(gè)實(shí)施例中,經(jīng)分析的智能數(shù)據(jù)可經(jīng)由圖形用戶界面(例如,由顯示引擎生產(chǎn)和提供的用于顯示的儀表板)消費(fèi),可由獲授權(quán)用戶通過(guò)數(shù)據(jù)智能系統(tǒng)40來(lái)訪問(wèn)該圖形用戶界面。在208處,從經(jīng)分析的傳感器數(shù)據(jù)得到的可行見(jiàn)解可以被提供給策略引擎?;谠撘?jiàn)解和應(yīng)用到該見(jiàn)解的規(guī)則,策略引擎可以接收用于生成用于被監(jiān)控網(wǎng)絡(luò)的網(wǎng)絡(luò)策略的商業(yè)規(guī)則/處理。
[0063]轉(zhuǎn)向圖3,示出了通信系統(tǒng)10的示例架構(gòu)的簡(jiǎn)化框圖。服務(wù)提供商20(表示可被配設(shè)在通信系統(tǒng)10中的一個(gè)或多個(gè)服務(wù)提供商(例如,20-1至20-N))包括路由器22、無(wú)線局域網(wǎng)控制器(WLC)24、網(wǎng)絡(luò)管理器26以及位置引擎28。一個(gè)或多個(gè)接入點(diǎn)(AP)29可以與WLC 24進(jìn)行通信。服務(wù)提供商20經(jīng)由互聯(lián)網(wǎng)連接至數(shù)據(jù)智能系統(tǒng)40。用戶30、第三方應(yīng)用開發(fā)者32和/或第三方短消息服務(wù)(SMS)和電子郵件網(wǎng)關(guān)34可以經(jīng)由互聯(lián)網(wǎng)連接到數(shù)據(jù)智能系統(tǒng)40。數(shù)據(jù)智能系統(tǒng)40可以包括分析引擎100,分析引擎100可以包括使用分析模塊102、接入點(diǎn)(AP)統(tǒng)計(jì)模塊104以及位置分析模塊106。數(shù)據(jù)智能系統(tǒng)40還包括商業(yè)智能平臺(tái)62。數(shù)據(jù)智能系統(tǒng)40還可以包括安全分析模塊105。在至少一個(gè)實(shí)施例中,安全分析模塊105可以被作為分析引擎100的一部分進(jìn)行配置。在至少一個(gè)實(shí)施例中,安全分析模塊105可以被配設(shè)有W1-Fi呼叫系統(tǒng)。
[0064]在至少一個(gè)實(shí)施例中,BIP 62可以是多層web應(yīng)用,包括web用戶界面(在本文中也被稱為顯示引擎64)和外部應(yīng)用編程接口(API) AIP 62可以在已被收集的網(wǎng)絡(luò)數(shù)據(jù)與采用可用形式來(lái)消費(fèi)該網(wǎng)絡(luò)數(shù)據(jù)的用戶之間提供鏈接。在至少一個(gè)實(shí)施例中,多層被用來(lái)對(duì)層進(jìn)行去耦合并且在應(yīng)用的壽命期間提供可縮放性、安全性和魯棒性。這些層可以經(jīng)由發(fā)布的API進(jìn)行通信。在至少一個(gè)實(shí)施例中,用戶30(例如,服務(wù)提供商20的獲授權(quán)人士和/或服務(wù)提供商20的企業(yè)客戶的獲授權(quán)人士)可以經(jīng)由超文本傳輸協(xié)議安全(HTTPS)通過(guò)互聯(lián)網(wǎng)訪問(wèn)商業(yè)智能平臺(tái)(BIP) 62的用戶界面。
[0065]BIP 62可以被配置為允許第三方應(yīng)用開發(fā)者32訪問(wèn)其API從而建立應(yīng)用。例如,開發(fā)者32可以經(jīng)由HTTPS通過(guò)互聯(lián)網(wǎng)訪問(wèn)BIP 62的API,從而建立訪問(wèn)提供商或其企業(yè)客戶的額外價(jià)值。這些應(yīng)用可由任何獲得授權(quán)且獲得認(rèn)證的用戶來(lái)開發(fā),所述用戶包括具有用于訪問(wèn)的適當(dāng)證書的服務(wù)提供商、企業(yè)或任意其他實(shí)體的開發(fā)者。在至少一個(gè)實(shí)施例中,BIPAPI可以允許拉取數(shù)據(jù)和推送數(shù)據(jù)。BIP 62和位置分析模塊106還可以經(jīng)由HTTPS通過(guò)互聯(lián)網(wǎng)利用第三方服務(wù),例如來(lái)自SMS提供商的短消息服務(wù)(SMSes)。例如,為了將SMS發(fā)送至感興趣方,數(shù)據(jù)智能系統(tǒng)40可以使用第三方SMS服務(wù),如34處所指示的。對(duì)數(shù)據(jù)智能系統(tǒng)40的各種訪問(wèn)中的一些或全部可以被認(rèn)證。
[0066]服務(wù)提供商20可以將其現(xiàn)有W1-Fi服務(wù)部署集成到數(shù)據(jù)智能系統(tǒng)40中,以使得商業(yè)智能能夠被生成。來(lái)自服務(wù)提供商的一個(gè)或多個(gè)被監(jiān)控網(wǎng)絡(luò)的遙測(cè)傳感器數(shù)據(jù)(在本文中還被稱為“傳感器數(shù)據(jù)”)可以經(jīng)由安全通道12被流式傳輸至分析引擎100。例如,安全通道可以是運(yùn)行互聯(lián)網(wǎng)協(xié)議安全(IP Secure)的虛擬專用網(wǎng)絡(luò)。安全通道12表示VPN 12_1至12-N之一,如圖1所示。可以創(chuàng)建站到站連接,該站到站連接給予數(shù)據(jù)智能系統(tǒng)40的組件到服務(wù)提供商20的某些網(wǎng)絡(luò)元件的訪問(wèn)。IPSec終止組件終止從服務(wù)提供商至數(shù)據(jù)智能系統(tǒng)的站到站隧道,以使得商業(yè)智能數(shù)據(jù)可以安全地穿越互聯(lián)網(wǎng)。由于網(wǎng)絡(luò)可能存在重疊,因此IPSec終止組件可以執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)來(lái)使得這些重疊對(duì)于雙方透明化。整數(shù)或預(yù)共享密鑰可以被用來(lái)保護(hù)通信安全。
[0067]在至少一個(gè)實(shí)施例中,服務(wù)提供商的網(wǎng)絡(luò)中將傳感器數(shù)據(jù)流式傳輸至分析引擎100的網(wǎng)絡(luò)元件可以包括路由器22、WLC 24、網(wǎng)絡(luò)管理器26以及位置引擎28,其中接入點(diǎn)饋接WLC。在至少一個(gè)實(shí)施例中,商業(yè)智能數(shù)據(jù)被發(fā)送至分析引擎100,而用戶流量在服務(wù)提供商20處被卸載。
[0068]在實(shí)施例中,路由器22可以提供至少兩個(gè)功能。第一,路由器22可以作為支持W1-Fi 部署的智能服務(wù)網(wǎng)關(guān) (ISG) 。在該模式下,路由器 22 控制對(duì)經(jīng)認(rèn)證的會(huì)話的訪問(wèn) 。路由器22還可以收集每用戶使用數(shù)據(jù),并且將該傳感器數(shù)據(jù)流式傳輸?shù)椒治鲆?00。當(dāng)路由器22作為ISG或作為層3路由器時(shí),這可以實(shí)現(xiàn)。在至少一些實(shí)現(xiàn)方式中,路由器22被托管于訪問(wèn)提供商20的處所。例如,由San Jose ,California的Cisco Systems,Inc提供的聚合服務(wù)路由器1000系列(ASRlK)可以被配設(shè)為路由器22。
[0069]WLC 24是管理W1-Fi接入點(diǎn)(AP)的網(wǎng)絡(luò)元件。WLC 24可以使用無(wú)線接入點(diǎn)控制和配設(shè)(CAPWAP)協(xié)議。該管理可以通過(guò)數(shù)據(jù)報(bào)傳輸層安全(DTLS)來(lái)執(zhí)行,其中DTLS有證書而保證安全。通常,WLC 24處理控制面和數(shù)據(jù)面二者。然而,在一些架構(gòu)中,WLC處理控制面,數(shù)據(jù)面在W1-Fi AP處被卸載。在至少一個(gè)實(shí)施例中,WLC 24處理控制面和數(shù)據(jù)面二者以使得商業(yè)智能數(shù)據(jù)被收集并且被流式傳輸至分析引擎100。在至少一些實(shí)施例中,WLC 24被托管于服務(wù)提供商20的處所。
[0070]網(wǎng)絡(luò)管理器26是用于W1-Fi部署的管理平臺(tái),并且可由AP分析模塊104使用。網(wǎng)絡(luò)管理器26可以將部署的詳情和統(tǒng)計(jì)數(shù)據(jù)返回至分析引擎100。網(wǎng)絡(luò)管理器26與位置引擎28相集成以提供地圖和W1-Fi AP數(shù)據(jù)。位置引擎28可以是用于W1-Fi部署的位置服務(wù)平臺(tái)并且可由位置分析模塊106使用。位置引擎28(例如,通過(guò)諸如網(wǎng)絡(luò)移動(dòng)服務(wù)協(xié)議(匪SP)之類的協(xié)議)接收來(lái)自WLC 24的更新,并且可以使用這些更新來(lái)計(jì)算客戶端的位置。位置引擎28可以將指示客戶端當(dāng)前位置的一個(gè)或多個(gè)位置度量以及歷史位置數(shù)據(jù)返回至分析引擎100。位置引擎28還可以提供由位置分析模塊106消費(fèi)的位置更新流。在至少一個(gè)實(shí)施例中,網(wǎng)絡(luò)管理器26和位置引擎28可以通過(guò)使用代表性狀態(tài)轉(zhuǎn)換(REST)API (例如,通過(guò)HTTP的Javascript Obiect Notat1n(JSON))將前述傳感器數(shù)據(jù)返回至分析引擎100。網(wǎng)絡(luò)管理器26和位置引擎28可以被托管于數(shù)據(jù)智能系統(tǒng)40的云基礎(chǔ)設(shè)施中或者服務(wù)提供商20的處所。為了說(shuō)明,在圖1中,網(wǎng)絡(luò)管理器(例如,網(wǎng)絡(luò)管理器78)和位置引擎(例如,位置引擎76)被示出為云基礎(chǔ)設(shè)施(例如,數(shù)據(jù)中心70)的一部分。
[0071]在至少一些實(shí)施例中,分析引擎100從服務(wù)提供商20接收傳感器數(shù)據(jù)。對(duì)于涉及W1-Fi呼叫系統(tǒng)的實(shí)施例,分析引擎100可以從安全分析模塊105以及接收和轉(zhuǎn)發(fā)W1-Fi呼叫通信的網(wǎng)關(guān)(例如,演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān))接收傳感器數(shù)據(jù)。分析引擎100可以聚合、歸一化、擴(kuò)展、關(guān)聯(lián)以及以其他方式分析傳感器數(shù)據(jù),從而為用戶30提供該數(shù)據(jù)的智能可視化。在至少一些實(shí)施例中,三個(gè)主要組件被實(shí)現(xiàn)于分析引擎100中。第一,在至少一個(gè)實(shí)施例中,使用分析模塊102收集、歸一化以及擴(kuò)展從服務(wù)提供商的網(wǎng)絡(luò)生成的網(wǎng)絡(luò)使用數(shù)據(jù)以用于BIP62。使用分析模塊102從本地元件和外部的由服務(wù)提供商容納元件二者接收指示每用戶使用數(shù)據(jù)的用戶度量流。當(dāng)接收到使用數(shù)據(jù)時(shí),使用分析模塊102可以利用可訪問(wèn)的額外信息(例如,來(lái)自位置引擎28的位置信息)或者利用先前接收到的數(shù)據(jù)(例如,客戶端正在使用的W1-Fi AP)來(lái)擴(kuò)展該使用數(shù)據(jù)。每個(gè)流可被歸一化并被存儲(chǔ)于歷史數(shù)據(jù)庫(kù)和在線數(shù)據(jù)庫(kù)二者中,其中在線數(shù)據(jù)庫(kù)可被優(yōu)化以例如經(jīng)由REST API進(jìn)行快速檢索。可以通過(guò)增加實(shí)例以及引入負(fù)載均衡器來(lái)水平縮放使用分析模塊102。
[0072]第二,在至少一個(gè)實(shí)施例中,AP統(tǒng)計(jì)模塊104收集、歸一化以及擴(kuò)展從服務(wù)提供商的網(wǎng)絡(luò)收集的AP統(tǒng)計(jì)數(shù)據(jù)以用于BIP 62 JP統(tǒng)計(jì)模塊104可以針對(duì)AP統(tǒng)計(jì)數(shù)據(jù)輪詢網(wǎng)絡(luò)管理器實(shí)例(例如,網(wǎng)絡(luò)管理器26)。輪詢AP統(tǒng)計(jì)模塊104然后可以將接收到的AP統(tǒng)計(jì)數(shù)據(jù)以允許BIP 62進(jìn)行快速訪問(wèn)的可搜索方式進(jìn)行存儲(chǔ)。
[0073]第三,在至少一個(gè)實(shí)施例中,位置分析模塊106收集、歸一化以及擴(kuò)展從位置引擎28接收的位置數(shù)據(jù)以用于BIP 62。位置分析模塊106從位置引擎(例如,位置引擎28)接收位置數(shù)據(jù)流。然后可以將接收到的位置數(shù)據(jù)以允許BIP 62進(jìn)行快速訪問(wèn)的可搜索方式進(jìn)行存儲(chǔ)??梢蕴峁?duì)該數(shù)據(jù)的分析。BIP 62可以例如經(jīng)由所發(fā)布的REST API來(lái)訪問(wèn)位置分析模塊。BIP 62還可以利用部署維度數(shù)據(jù)(例如,“該AP是該市場(chǎng)中的該部署的一部分”)來(lái)更新位置分析模塊62。這樣的維度數(shù)據(jù)能夠?qū)崿F(xiàn)增強(qiáng)型查詢。可以通過(guò)添加實(shí)例以及引入負(fù)載均衡器來(lái)水平縮放位置分析模塊106。
[0074]安全分析模塊105是可被提供在分析引擎100中的另一組件。在安全分析模塊105中,用戶流可被接收并且被與從W1-Fi呼叫通信得到的控制面數(shù)據(jù)進(jìn)行關(guān)聯(lián)。安全分析可以標(biāo)識(shí)源網(wǎng)絡(luò)、發(fā)起W1-Fi呼叫會(huì)話的UE以及UE所訂閱的服務(wù)提供商。安全分析模塊105可以對(duì)用戶流進(jìn)行評(píng)估,以確定該流是否是惡意的以及該UE是否受到危害。可以通過(guò)控制面數(shù)據(jù)來(lái)利用該信息,從而基于策略采取校正動(dòng)作。
[0075]圖3中示出的特定系統(tǒng)架構(gòu)提供了若干優(yōu)勢(shì)。第一,通信系統(tǒng)10對(duì)于客戶在其用戶設(shè)備上所使用的訪問(wèn)類型(例如,未許可W1-F1、許可蜂窩、有線)是不可知的。網(wǎng)絡(luò)控制路徑是通過(guò)被監(jiān)控網(wǎng)絡(luò)中配設(shè)的各種網(wǎng)絡(luò)遙測(cè)傳感器而關(guān)聯(lián)。傳感器數(shù)據(jù)可以被從被監(jiān)控網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)元件連續(xù)地流式傳輸至數(shù)據(jù)智能系統(tǒng)40。在至少一個(gè)實(shí)施例中,流式傳輸網(wǎng)絡(luò)遙測(cè)傳感器包括:
[0076]a.從位置引擎獲得位置信息流式傳輸數(shù)據(jù);
[0077]b.從WLC/ISG獲得用于AVC/DPI的用戶/設(shè)備流信息流式傳輸數(shù)據(jù);
[0078]c.從AAA獲得用戶/訂戶信息流式傳輸數(shù)據(jù);
[0079]d.從GTPv2分接頭(tap)或者從分組核心的IPNE獲得用戶設(shè)備IMSI/MSISDN相關(guān)蜂窩信息流式傳輸數(shù)據(jù);
[0080]e.從網(wǎng)絡(luò)設(shè)備獲得SNMP陷阱數(shù)據(jù)和系統(tǒng)日志(syslog)數(shù)據(jù);以及[0081 ] f.從WLC接收針對(duì)客戶端RSSI/SNR相關(guān)數(shù)據(jù)的NMSP饋送,等等。
[0082]傳感器數(shù)據(jù)可以被使用任意適當(dāng)格式來(lái)歸一化、被置于消息分發(fā)器中、被饋送至用例拓?fù)浣Y(jié)構(gòu)中、分別在數(shù)據(jù)攝取和數(shù)據(jù)擴(kuò)展組件中被擴(kuò)展。該經(jīng)擴(kuò)展的數(shù)據(jù)集(在每個(gè)傳感器向經(jīng)擴(kuò)展的最終數(shù)據(jù)集提供信息比特的情況下,該經(jīng)擴(kuò)展的數(shù)據(jù)集在多個(gè)傳感器上對(duì)于特定事件在時(shí)間序列上相關(guān))可被添加到實(shí)時(shí)、長(zhǎng)期的歸檔數(shù)據(jù)存儲(chǔ),而特定數(shù)據(jù)庫(kù)針對(duì)大數(shù)據(jù)被優(yōu)化。該經(jīng)擴(kuò)展的數(shù)據(jù)集可以被展示以經(jīng)由高性能API引擎進(jìn)行探索性分析,其中由表示層來(lái)使用該高性能API引擎。這些組件和模塊可以通過(guò)云間交換結(jié)構(gòu)混合(例如,公共云和私有云)來(lái)縫合在一起。在至少一個(gè)實(shí)施例中,可以使用多協(xié)議標(biāo)簽交換流量工程VPN0
[0083]圖4是示出與分析引擎100相關(guān)聯(lián)的通信系統(tǒng)10的一些可能層400的高層框圖。遙測(cè)傳感器數(shù)據(jù)通過(guò)安全隧道420(例如,IPSec隧道)被從傳感器410流式傳輸至云基礎(chǔ)設(shè)施中所托管的大數(shù)據(jù)平臺(tái)。安全隧道的一個(gè)示例可以是虛擬專用網(wǎng)絡(luò)12,云基礎(chǔ)設(shè)施中的數(shù)據(jù)平臺(tái)的一個(gè)示例可以是數(shù)據(jù)中心70。數(shù)據(jù)層430消費(fèi)該數(shù)據(jù)并且采用API的形式經(jīng)由傳輸安全層(TLS)440-1來(lái)將該數(shù)據(jù)展示給表示層450。在至少一個(gè)實(shí)施例中,單個(gè)API可以被用來(lái)將該數(shù)據(jù)展示給表示層。所展示的數(shù)據(jù)對(duì)于端用戶(例如,服務(wù)提供商、企業(yè)、被授權(quán)訪問(wèn)該數(shù)據(jù)的對(duì)該數(shù)據(jù)感興趣的第三方生態(tài)系統(tǒng)內(nèi))而言是可消費(fèi)的。例如,用戶30可以通過(guò)顯示引擎64生成的儀表板來(lái)消費(fèi)該數(shù)據(jù)。第二TLS隧道440-2可以使得顯示引擎64能夠接收該數(shù)據(jù)。
[0084]圖5示出可與通信系統(tǒng)10的數(shù)據(jù)層430相關(guān)聯(lián)的更多細(xì)節(jié)。數(shù)據(jù)層可以包括傳感器數(shù)據(jù)431、對(duì)所接收的傳感器數(shù)據(jù)的數(shù)據(jù)攝取431、對(duì)所接收的傳感器數(shù)據(jù)的數(shù)據(jù)擴(kuò)展433、用于存儲(chǔ)經(jīng)擴(kuò)展的傳感器數(shù)據(jù)的數(shù)據(jù)存儲(chǔ)434以及展示經(jīng)擴(kuò)展的傳感器數(shù)據(jù)的API引擎435。數(shù)據(jù)層可以被托管于數(shù)據(jù)智能系統(tǒng)40的云基礎(chǔ)設(shè)施中。附錄A還示出了核心元件,這些核心元件提供與通信系統(tǒng)10的數(shù)據(jù)層相關(guān)聯(lián)的網(wǎng)絡(luò)元件中配設(shè)的電路板的可能細(xì)節(jié)。
[0085]轉(zhuǎn)向圖6,示出了一個(gè)可能的實(shí)施例的示例屏幕600。示例屏幕600的圖形和數(shù)字部分可以基于來(lái)自分析引擎的、由API展示的經(jīng)分析的數(shù)據(jù)來(lái)生成。在至少一個(gè)實(shí)施例中,示例屏幕600可以被提供以經(jīng)由計(jì)算設(shè)備的顯示元件的圖形用戶界面由數(shù)據(jù)智能系統(tǒng)40的顯示引擎進(jìn)行顯示。示例屏幕600提供獲得的網(wǎng)絡(luò)、用戶以及商業(yè)智能信息,其中使用度量來(lái)量化該信息。這些度量可以被顯示于計(jì)算設(shè)備的顯示元件上的單個(gè)面板中。例如,屏幕600示出網(wǎng)絡(luò)智能數(shù)據(jù)(例如,“AP健康狀況”)和用戶智能數(shù)據(jù)(例如,“用戶體驗(yàn)”)。該單個(gè)面板還可以提供到各個(gè)工具的訪問(wèn),以基于用戶所期望的參數(shù)來(lái)操縱數(shù)據(jù)的表示。
[0086]W1-Fi呼叫系統(tǒng)
[0087]轉(zhuǎn)向圖7A-圖12,示出了W1-Fi呼叫系統(tǒng)700的可能實(shí)施例并且現(xiàn)在提供其更詳細(xì)的描述,其中W1-Fi呼叫系統(tǒng)700被配置為實(shí)現(xiàn)用戶設(shè)備中W1-Fi呼叫應(yīng)用的使用以及保護(hù)IPSec隧道的使用。如圖7A-圖12中所示,W1-Fi漫游交換在W1-Fi呼叫系統(tǒng)700中被定義,并且W1-Fi漫游交換可以向企業(yè)客戶與UE提供獲授權(quán)的中間人服務(wù)。在至少一個(gè)實(shí)施例中,W1-Fi呼叫系統(tǒng)700可以被配設(shè)有通信系統(tǒng)10或通信系統(tǒng)10的一部分。顯然地,基于特定實(shí)現(xiàn)方式和需求,W1-Fi呼叫系統(tǒng)700和通信系統(tǒng)10的任意特征和組件可以采用任意適當(dāng)?shù)姆绞奖患苫蛘呓Y(jié)合。然而,還顯然的是,W1-Fi呼叫系統(tǒng)700可以與通信系統(tǒng)10分別被配設(shè)。
[0088]圖7A-圖7C是W1-Fi呼叫系統(tǒng)700中的可能組件的簡(jiǎn)化框圖,其中W1-Fi呼叫系統(tǒng)700在保護(hù)W1-Fi呼叫會(huì)話的安全隧道的同時(shí),實(shí)現(xiàn)用戶設(shè)備中W1-Fi呼叫應(yīng)用的使用。如圖7A所示,W1-Fi呼叫系統(tǒng)700可以包括用戶設(shè)備(UE)770、企業(yè)網(wǎng)絡(luò)780、互聯(lián)網(wǎng)714、獲授權(quán)的中間人(MITM)網(wǎng)關(guān)760以及歸屬公共陸地移動(dòng)網(wǎng)絡(luò)(HPLMN)715。企業(yè)網(wǎng)絡(luò)780表示源網(wǎng)絡(luò),該源網(wǎng)絡(luò)可以經(jīng)由網(wǎng)絡(luò)(例如,局域網(wǎng)、無(wú)線局域網(wǎng)、虛擬局域網(wǎng)等)提供服務(wù),這些服務(wù)中的至少一些可由UE 770訪問(wèn)。在一些場(chǎng)景中,源網(wǎng)絡(luò)可以形成與通用實(shí)體相關(guān)聯(lián)的另一網(wǎng)絡(luò)(例如,校園網(wǎng)、廣域網(wǎng)等)的一部分。
[0089]HPLMN 715是特定服務(wù)提供商所負(fù)責(zé)的移動(dòng)無(wú)線網(wǎng)絡(luò),并且HPLMN 715可以包括分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(P-GW)和W1-Fi呼叫服務(wù),以與UE 770上的W1-Fi呼叫應(yīng)用進(jìn)行通信。在至少一個(gè)示例中,服務(wù)提供商可以負(fù)責(zé)一個(gè)或多個(gè)公共陸地移動(dòng)網(wǎng)絡(luò)(PLMN),并且訂閱特定服務(wù)提供商的每個(gè)UE可以與該服務(wù)提供商的PLMN之一相關(guān)聯(lián)。與進(jìn)行訂閱的UE相關(guān)聯(lián)的PLMN被稱為該UE的歸屬公共移動(dòng)網(wǎng)絡(luò)(HPLMN)。在圖7A中,HPLMN 715表示與服務(wù)提供商相關(guān)聯(lián)的網(wǎng)絡(luò),通過(guò)該網(wǎng)絡(luò),UE 770成為移動(dòng)無(wú)線服務(wù)的訂閱設(shè)備。在具有MITM網(wǎng)關(guān)760的W1-Fi呼叫系統(tǒng)700中,UE 770、企業(yè)網(wǎng)絡(luò)780以及HPLMN 715分別表示UE、企業(yè)網(wǎng)絡(luò)以及服務(wù)提供商(或服務(wù)提供商的歸屬運(yùn)營(yíng)商)的潛在多個(gè)實(shí)例。還顯然地,多個(gè)MITM網(wǎng)關(guān)760可以例如隨著規(guī)模增加而被配設(shè)。
[0090]W1-Fi呼叫應(yīng)用可以針對(duì)企業(yè)網(wǎng)絡(luò)以及針對(duì)服務(wù)提供商而被縮放規(guī)模。為了實(shí)現(xiàn)W1-Fi呼叫系統(tǒng)700中的配置以及規(guī)模縮放,企業(yè)與托管MITM網(wǎng)關(guān)760的W1-Fi漫游交換的提供商具有某一關(guān)系。在至少一個(gè)實(shí)施例中,數(shù)據(jù)智能系統(tǒng)40被配置為執(zhí)行W1-Fi漫游交換的一個(gè)或多個(gè)功能。此外,W1-Fi漫游交換運(yùn)營(yíng)商可以與不同的服務(wù)提供商(例如,歸屬運(yùn)營(yíng)商)具有關(guān)系。
[0091]在至少一個(gè)實(shí)施例中,企業(yè)網(wǎng)絡(luò)被配置為將W1-Fi呼叫UE(例如,UE 770)重定向至漫游交換。重定向可以基于域名系統(tǒng)(DNS)覆寫或網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)下的目的地IP。例如,對(duì)服務(wù)提供商的演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān)(ePDG)DNS解析可以被覆寫以指向經(jīng)授權(quán)MITM網(wǎng)關(guān)760。這確保分組流被指向W1-Fi漫游交換。W1-Fi漫游交換可以作為用于W1-Fi呼叫的有效的訪問(wèn)公共陸地移動(dòng)網(wǎng)絡(luò)(VPLMN)進(jìn)行操作。因此,W1-Fi漫游交換可以獲得用戶流的可視性。W1-Fi漫游交換將用戶面處理耦合至安全分析。
[0092]在至少一個(gè)實(shí)施例中,企業(yè)網(wǎng)絡(luò)780中的防火墻的防火墻規(guī)則可以被配置為允許從UE 770到MITM網(wǎng)關(guān)760的外輸安全隧道。在至少一個(gè)實(shí)施例中,MITM網(wǎng)關(guān)760是演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān)(eTOG)或?qū)崿F(xiàn)規(guī)??s放的虛擬ePDG,MITM網(wǎng)關(guān)760被授權(quán)來(lái)從源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò)780)接收由UE發(fā)送的W1-Fi呼叫通信。安全隧道可以是IPSec隧道,互聯(lián)網(wǎng)密鑰交換(IKEv2)協(xié)議可以被用來(lái)建立隧道。MITM 760可以終止來(lái)自企業(yè)網(wǎng)絡(luò)780的安全隧道,并且可以通過(guò)安全隧道從UE 770接收用戶面分組。MITM 760可以將用戶面分組以可視性方式報(bào)告給安全智能儀表板(圖8、圖9以及圖1lA-圖1lC中示出)。安全智能儀表板可以將W1-Fi呼叫通信以可視性的方式報(bào)告給企業(yè)網(wǎng)絡(luò)的信息安全(InfoSec)模塊。呼叫詳情記錄(CDR)可以針對(duì)MITM服務(wù)而被生成。
[0093]圖7B示出了W1-Fi呼叫系統(tǒng)700中的可能組件,W1-Fi呼叫系統(tǒng)700已被縮放從而使得多個(gè)UE通過(guò)企業(yè)網(wǎng)絡(luò)780使用W1-Fi呼叫應(yīng)用。一旦企業(yè)網(wǎng)絡(luò)780已被配置為將W1-Fi呼叫重定向至MITM網(wǎng)關(guān)760,則W1-Fi呼叫系統(tǒng)700支持任意數(shù)目的W1-Fi呼叫網(wǎng)絡(luò),而不影響企業(yè)網(wǎng)絡(luò)780的配置。例如,UE 770-1、770-2、770-3和770-4可以分別是歸屬公共陸地移動(dòng)網(wǎng)絡(luò)(HPLMN)715-l、715-2、715-3和715-4的服務(wù)提供商的訂戶。HPLMN可以與相同或不同的服務(wù)提供商相關(guān)聯(lián)。UE 770-1、770-2、770-3和770-4可以經(jīng)由企業(yè)網(wǎng)絡(luò)780發(fā)起W1-Fi呼叫,該W1-Fi呼叫可被路由至適當(dāng)?shù)腍PLMN 715-1、715-2、715-3和715-4。在其他場(chǎng)景中,多個(gè)UE可以是同一服務(wù)提供商的訂戶,并且在來(lái)自企業(yè)網(wǎng)絡(luò)780的W1-Fi呼叫期間可以訪問(wèn)同一HPLMN0
[0094]圖7C示出了W1-Fi呼叫系統(tǒng)700中的可能組件,W1-Fi呼叫系統(tǒng)700已針對(duì)服務(wù)提供商被縮放從而使得UE能夠通過(guò)多個(gè)企業(yè)網(wǎng)絡(luò)使用W1-Fi呼叫應(yīng)用。W1-Fi呼叫系統(tǒng)700支持任意數(shù)目的LAN/WAN源網(wǎng)絡(luò),而不影響與UE相關(guān)聯(lián)的HPLMN的配置。例如,UE 770可以是運(yùn)行HPLMN 715的特定服務(wù)提供商的訂戶,其中HPLMN 715是該UE的歸屬網(wǎng)絡(luò)。UE 770可以拜訪通過(guò)各自企業(yè)網(wǎng)絡(luò)780-1、780-2、780-3和780-4來(lái)提供W1-Fi呼叫的多個(gè)企業(yè)。UE 770可以在每個(gè)企業(yè)網(wǎng)絡(luò)處發(fā)起W1-Fi呼叫,并且這些呼叫可被從相應(yīng)的企業(yè)網(wǎng)絡(luò)經(jīng)由MITM網(wǎng)關(guān)760路由至HPLMN715。
[0095]轉(zhuǎn)向圖8,圖8是示出W1-Fi呼叫系統(tǒng)700的一些可能細(xì)節(jié)的框圖。W1-Fi漫游交換可以被具體化于安全云730中。一般地,W1-Fi漫游交換意為指某一系統(tǒng),該系統(tǒng)促進(jìn)由用戶設(shè)備通過(guò)源網(wǎng)絡(luò)無(wú)線地發(fā)起并且被路由至服務(wù)提供商網(wǎng)絡(luò)的語(yǔ)音和其他媒體移動(dòng)通信。為了便于說(shuō)明,SP網(wǎng)絡(luò)720被描繪于圖9中,用以表示UE 770的示例歸屬運(yùn)營(yíng)商。然而,顯然地,月艮務(wù)提供商網(wǎng)絡(luò)720可以包括多個(gè)PLMN,每個(gè)PLMN具有被配置以支持其W1-Fi呼叫服務(wù)的唯一全稱域名(FQDN),訂閱UE可以請(qǐng)求訪問(wèn)這些PLMN。根據(jù)本文所描述的實(shí)施例,W1-Fi漫游交換還可以提供針對(duì)與移動(dòng)通信相關(guān)聯(lián)的用戶流的安全分析以及基于策略減輕所檢測(cè)到的威脅。
[0096]圖8提供了W1-Fi呼叫系統(tǒng)700中一些可能組件以及當(dāng)UE 770通過(guò)源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò)780)處的W1-Fi發(fā)起W1-Fi呼叫會(huì)話時(shí)可能發(fā)生的通信的示例圖解。W1-Fi漫游交換可以被配設(shè)于安全云730中,并且可以包括一個(gè)或多個(gè)網(wǎng)絡(luò)元件(例如,服務(wù)器、處理器、網(wǎng)關(guān)等),其中可以配設(shè)MITM網(wǎng)關(guān)760、基于計(jì)費(fèi)和位置的信息存儲(chǔ)設(shè)備736、安全分析模塊740以及安全智能儀表板750。一個(gè)或多個(gè)處理器和存儲(chǔ)器元件(例如,處理器737和存儲(chǔ)器元件739)也可以被配設(shè)于W1-Fi漫游交換的一個(gè)或多個(gè)網(wǎng)絡(luò)元件中。
[0097]在至少一個(gè)實(shí)施例中,通信系統(tǒng)10的數(shù)據(jù)智能系統(tǒng)40可以被配置為(例如,利用安全云730)執(zhí)行W1-Fi漫游交換的一個(gè)或多個(gè)功能。在其他實(shí)施例中,W1-Fi漫游交換的一個(gè)或多個(gè)功能可以被配設(shè)于諸如SP網(wǎng)絡(luò)720之類的服務(wù)提供商網(wǎng)絡(luò)中。在另外其他實(shí)施例中,W1-Fi呼叫交換的一個(gè)或多個(gè)功能可以被配設(shè)于源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò)780)中。
[0098]在至少一個(gè)實(shí)施例中,企業(yè)網(wǎng)絡(luò)780可以包括W1-Fi接入點(diǎn)(AP)782、無(wú)線局域網(wǎng)控制器(11^0 784、防火墻$¥)786以及重定向模塊788。們^ AP可在W1-Fi AP的無(wú)線訪問(wèn)范圍內(nèi)被用戶設(shè)備(例如,UE 770)訪問(wèn)。W1-Fi AP可以被配置為或可以不被配置為當(dāng)UE嘗試建立無(wú)線連接時(shí)需要UE的認(rèn)證。UE 770可以包括W1-Fi呼叫應(yīng)用,該W1-Fi呼叫應(yīng)用使得UE770能夠經(jīng)由對(duì)企業(yè)網(wǎng)絡(luò)780的W1-Fi訪問(wèn)來(lái)發(fā)起移動(dòng)呼叫會(huì)話。在至少一個(gè)實(shí)施例中,防火墻786可以是無(wú)警戒區(qū)(demilitarized zone,DMZ),從而向企業(yè)網(wǎng)絡(luò)780提供附加安全。然而,顯然地,可以根據(jù)特定需求來(lái)使用其他類型的防火墻。防火墻786可以被配置為允許在用戶設(shè)備(例如,UE 770)與安全云730中的MMT 760之間建立安全隧道712-1。在至少一個(gè)實(shí)施例中,安全隧道712-1可以是互聯(lián)網(wǎng)協(xié)議(IPSec)隧道并且可以通過(guò)互聯(lián)網(wǎng)714來(lái)建立。
[0099]企業(yè)網(wǎng)絡(luò)780中的重定向模塊788可以被配置為將UE的W1-Fi呼叫通信重定向至W1-Fi漫游交換。可以使用任意適當(dāng)?shù)募夹g(shù)來(lái)完成重定向,該適當(dāng)?shù)募夹g(shù)使得W1-Fi呼叫通信的分組具有與安全云750相關(guān)聯(lián)的目的地網(wǎng)絡(luò)地址。具體地,目的地網(wǎng)絡(luò)地址可以對(duì)應(yīng)于MITM 網(wǎng)關(guān) 760。
[0100]重定向模塊788的示例技術(shù)包括域名系統(tǒng)(DNS),DNS被配置為利用安全云730中的MITM網(wǎng)關(guān)760的網(wǎng)絡(luò)地址來(lái)覆寫發(fā)起至SP網(wǎng)絡(luò)(例如,SP網(wǎng)絡(luò)720)的安全隧道的請(qǐng)求的目的地地址。重定向模塊788的另一示例技術(shù)包括網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT),該NAT被配置為利用安全云730中的MITM網(wǎng)關(guān)760的網(wǎng)絡(luò)地址來(lái)轉(zhuǎn)換發(fā)起至SP網(wǎng)絡(luò)(例如,SP網(wǎng)絡(luò)720)的安全隧道的請(qǐng)求的目的地地址。在至少一些示例中,MITM 760可以包括演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān)(eTOG),安全隧道的請(qǐng)求被重定向模塊788重定向至該ePDG。
[0101]在至少一個(gè)實(shí)施例中,SP網(wǎng)絡(luò)720可以包括防火墻(FW)726和分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(P-Gff)724,P-Gff 724被配置為將W1-Fi呼叫通信轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)(IMS)722oIMS 722表示SP提供商之間的集成網(wǎng)絡(luò),該集成網(wǎng)絡(luò)促進(jìn)通過(guò)無(wú)線或陸上線路進(jìn)行的多種形式的分組通信(例如,電話、電子郵件、互聯(lián)網(wǎng)、IP語(yǔ)音、視頻會(huì)議、即時(shí)消息、視頻點(diǎn)播、傳真等)的IP使用。防火墻726可被配置為允許在P-GW 724與安全隧道W1-Fi漫游交換中的MITM網(wǎng)關(guān)760之間建立安全隧道。在至少一個(gè)實(shí)施例中,安全隧道可以是虛擬專用網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)(VPN)隧道712-2,例如,通用分組無(wú)線服務(wù)隧道協(xié)議(GTP)隧道??梢酝ㄟ^(guò)VPN來(lái)建立VPN隧道12-2,其中,VPN可被配設(shè)在互聯(lián)網(wǎng)或其他適當(dāng)?shù)木W(wǎng)絡(luò)中。
[0102]在W1-F i呼叫系統(tǒng)700中,企業(yè)用戶和服務(wù)提供商用戶可以訪問(wèn)至少部分地由安全儀表板750提供的安全分析服務(wù)。安全分析服務(wù)可以經(jīng)由用戶界面(例如,圖形用戶界面(GUI))為與訪問(wèn)信息的用戶相關(guān)聯(lián)的服務(wù)提供商網(wǎng)絡(luò)或源網(wǎng)絡(luò)提供從安全分析模塊740和/或基于計(jì)費(fèi)和位置的信息存儲(chǔ)設(shè)備736獲得的信息。這樣的用戶示例包括但不限于HPLMN I用戶716-1和HPLMN 2用戶716-2,這些用戶可與相同或不同的服務(wù)提供商中的不同HPLMN相關(guān)聯(lián)。這樣的用戶的其他示例包括但不限于企業(yè)I用戶716-3和企業(yè)2用戶716-4,這些用戶可以與不同的企業(yè)網(wǎng)絡(luò)相關(guān)聯(lián)。在至少一個(gè)實(shí)施例中,這些用戶可被要求提供用于認(rèn)證的證書,并且如果已認(rèn)證,則經(jīng)認(rèn)證用戶可以通過(guò)互聯(lián)網(wǎng)或另一網(wǎng)絡(luò)(通過(guò)其可建立安全隧道)經(jīng)由安全隧道(例如,718-1至718-4)訪問(wèn)安全服務(wù)的相應(yīng)web門戶。
[0103]圖9是根據(jù)至少一個(gè)實(shí)施例示出W1-Fi呼叫系統(tǒng)700的附加可能細(xì)節(jié)的框圖。具體地,安全云730的W1-Fi漫游交換還可以包括服務(wù)質(zhì)量(QoS)集成服務(wù)器731、證書存儲(chǔ)設(shè)備732、域名系統(tǒng)(DNS)服務(wù)器733、收費(fèi)網(wǎng)關(guān)(CGF)734、認(rèn)證授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器735以及策略模塊758。安全分析模塊740可以包括相關(guān)器模塊742和虛擬網(wǎng)絡(luò)分析模塊(vNAM) 744。
[0104]在至少一個(gè)實(shí)施例,MITM網(wǎng)關(guān)760可以是演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān)(ePDG)。一般地,ePDG可以負(fù)責(zé)要求安全訪問(wèn)的不可信非3GPP (或其他)網(wǎng)絡(luò)(例如,W1-Fi等)之間的網(wǎng)絡(luò)互聯(lián)。eTOG可被虛擬化以支持多個(gè)服務(wù)提供商和企業(yè)網(wǎng)絡(luò),其中多個(gè)UE可以從同一企業(yè)網(wǎng)絡(luò)發(fā)起W1-Fi呼叫。eTOG的實(shí)例可以針對(duì)在MITM網(wǎng)關(guān)760與通過(guò)企業(yè)網(wǎng)絡(luò)780和其他源網(wǎng)絡(luò)進(jìn)行傳輸?shù)腢E 770之間建立的每個(gè)IPSec隧道提供虛擬ePDG IPSec終止點(diǎn)762wPDG的虛擬化實(shí)例還可以針對(duì)在MITM網(wǎng)關(guān)760與SP網(wǎng)絡(luò)720和其他SP網(wǎng)絡(luò)之間建立的每個(gè)GTP隧道提供虛擬ePDG GTP終止點(diǎn)764。
[0105]在至少一個(gè)實(shí)施例中,當(dāng)UE發(fā)起W1-Fi呼叫會(huì)話且其分組被重定向至MITM網(wǎng)關(guān)760時(shí),UE向該網(wǎng)關(guān)標(biāo)識(shí)其自身,并且MITM網(wǎng)關(guān)可以通過(guò)利用證書來(lái)標(biāo)識(shí)其自身從而進(jìn)行響應(yīng)。證書可以包括與UE用來(lái)解析其服務(wù)提供商的IP地址的全稱域名(FQDN)相對(duì)應(yīng)的標(biāo)識(shí)。服務(wù)提供商(或服務(wù)提供商的HPLMN)的FQDN被稱為“域(realm)”。由于FQDN表示服務(wù)提供商(或服務(wù)提供商的HPLMN)的網(wǎng)關(guān),因此MITM網(wǎng)關(guān)760的單個(gè)實(shí)例可被配置為支持多個(gè)FQDN。
[0106]在至少一個(gè)實(shí)施例中,W1-Fi漫游交換可被配設(shè)有證書存儲(chǔ)設(shè)備(例如,證書存儲(chǔ)設(shè)備732),該證書存儲(chǔ)設(shè)備包括多個(gè)證書,每個(gè)證書對(duì)應(yīng)于服務(wù)提供商(或服務(wù)提供商的PLMN)的FQDN。在至少一個(gè)實(shí)施例中,證書存儲(chǔ)設(shè)備還包括接入點(diǎn)名稱(APN)運(yùn)營(yíng)商標(biāo)識(shí)符(OI)代替物。應(yīng)當(dāng)注意的是,圖8和圖9中的SP網(wǎng)絡(luò)720意為表示訂閱服務(wù)提供商的一個(gè)或多個(gè)UE(例如,UE 770)的HPLMN。
[0107]在至少一個(gè)實(shí)施例中,MITM網(wǎng)關(guān)760可操作來(lái)恢復(fù)UE的標(biāo)識(shí)。可從UE與MITM網(wǎng)關(guān)之間交換的消息獲得UE標(biāo)識(shí)來(lái)建立W1-Fi呼叫會(huì)話的安全隧道。在一個(gè)示例中,安全隧道可以基于互聯(lián)網(wǎng)工程任務(wù)組(IETF)標(biāo)準(zhǔn)被實(shí)現(xiàn)為互聯(lián)網(wǎng)協(xié)議安全(IPSec)隧道,從而實(shí)現(xiàn)MITM網(wǎng)關(guān)與UE之間的W1-Fi呼叫通信的安全傳輸。C.Kaufman等提出的、題為“互聯(lián)網(wǎng)密鑰交換(IKEv2)協(xié)議”(2014年10月的IETF互聯(lián)網(wǎng)標(biāo)準(zhǔn)認(rèn)證請(qǐng)求(RFC)7296中所規(guī)定的的示例協(xié)議提供了用于獲得建立IPSec隧道的密鑰材料的機(jī)制。
[0108]在使用安全隧道IPSec來(lái)傳輸W1-Fi呼叫通信的實(shí)現(xiàn)方式中,標(biāo)識(shí)發(fā)起方(IDi)可被包括在IKEv2認(rèn)證請(qǐng)求凈負(fù)荷中,并且IDi可以包括MITM網(wǎng)關(guān)所使用的信息。IDi可以被配置為用戶@域(UserOrealm)13MITM網(wǎng)關(guān)可以從IDi恢復(fù)UE標(biāo)識(shí)。MITM網(wǎng)關(guān)還可以基于UE標(biāo)識(shí)來(lái)恢復(fù)為該UE服務(wù)的服務(wù)提供商的標(biāo)識(shí)??梢酝ㄟ^(guò)IMSI格式進(jìn)行分析,從而根據(jù)前導(dǎo)數(shù)位恢復(fù)移動(dòng)國(guó)家代碼(MCC)和移動(dòng)網(wǎng)絡(luò)代碼(麗C),或者進(jìn)行域分析JCC與麗C結(jié)合使用唯一標(biāo)識(shí)了服務(wù)提供商(或HPLMNhMITM網(wǎng)關(guān)可以標(biāo)識(shí)所存儲(chǔ)的多個(gè)證書中哪個(gè)證書與服務(wù)提供商(或HPLMN)相對(duì)應(yīng),并且MITM網(wǎng)關(guān)能夠?qū)⒃撟C書遞送至UE。由此,公共MITM網(wǎng)關(guān)能夠在多個(gè)服務(wù)提供商和服務(wù)提供商的多個(gè)HPLMN運(yùn)營(yíng)商之間有效共享。因此,對(duì)于UE而言,虛擬化MITM服務(wù)顯然可被實(shí)現(xiàn)。
[0109]DNS服務(wù)器733可以被配置為與SP網(wǎng)絡(luò)的其他DNS服務(wù)器(例如,SP網(wǎng)絡(luò)720的DNS月艮務(wù)器723)進(jìn)行通信,從而解析服務(wù)提供商的P-GW的網(wǎng)絡(luò)地址。在至少一個(gè)實(shí)施例中,MITM網(wǎng)關(guān)760可以針對(duì)SP網(wǎng)絡(luò)處的P-GW配置要用于DNS請(qǐng)求的特定FQDN。這可以基于服務(wù)提供商的偏好進(jìn)行配置。例如,服務(wù)提供商可能偏好于來(lái)自源網(wǎng)絡(luò)的使用W1-Fi漫游交換的W1-Fi呼叫通信被路由至P-GW 724的特定實(shí)例。該信息可由獲授權(quán)用戶在W1-Fi漫游交換中配置。
[0110]AAA服務(wù)器735可以被配置為與SP網(wǎng)絡(luò)的其他AAA服務(wù)器(例如,SP網(wǎng)絡(luò)720的3GPPAAA服務(wù)器725)進(jìn)行通信,從而當(dāng)UE 770從企業(yè)網(wǎng)絡(luò)780發(fā)起W1-Fi呼叫會(huì)話時(shí)對(duì)UE進(jìn)行認(rèn)證。該認(rèn)證可以在MITM網(wǎng)關(guān)760與UE 770之間建立安全隧道之前進(jìn)行。在至少一個(gè)實(shí)施例中,可擴(kuò)展認(rèn)證協(xié)議(EAP)可被用來(lái)執(zhí)行認(rèn)證。然而,顯然地,任何適當(dāng)?shù)恼J(rèn)證協(xié)議可被用來(lái)執(zhí)行認(rèn)證。在認(rèn)證期間UE可以被唯一標(biāo)識(shí)。此外,諸如W1-Fi呼叫會(huì)話的目的地(例如,SP網(wǎng)絡(luò)720)和源(例如,企業(yè)網(wǎng)絡(luò)780)的外部網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址之類的其他信息可被確定。
[0111]在至少一個(gè)實(shí)施例中,如果UE先前被確定為受到危害,則UE的標(biāo)識(shí)可被用來(lái)防止建立IPSec會(huì)話。例如,當(dāng)UE的標(biāo)識(shí)(例如,在EAP認(rèn)證期間)被確定時(shí),可以針對(duì)如下方面做出確定:UE先前在使用W1-Fi呼叫時(shí)是否表現(xiàn)出不符合的流量。在該情形下,W1-Fi漫游交換可以防止UE建立IPSec會(huì)話以防止UE 770通過(guò)企業(yè)網(wǎng)絡(luò)780調(diào)用W1-Fi呼叫服務(wù)。然而,可能不能防止UE 770通過(guò)具有無(wú)限制訪問(wèn)的公共網(wǎng)絡(luò)來(lái)使用W1-Fi呼叫。
[0112]在至少一個(gè)實(shí)施例中,收費(fèi)網(wǎng)關(guān)734可以被配設(shè)于W1-Fi漫游交換中,以針對(duì)穿越MITM網(wǎng)關(guān)760的W1-Fi呼叫會(huì)話生成呼叫詳情記錄(CDR)。⑶R中的信息可以包括但不限于W1-Fi呼叫會(huì)話的源(例如,企業(yè)網(wǎng)絡(luò)780)和目的地(例如,SP網(wǎng)絡(luò)720)的網(wǎng)絡(luò)地址以及發(fā)起該W1-Fi呼叫會(huì)話的UE的頂SI。
[0113]當(dāng)對(duì)UE 770的認(rèn)證成功,可經(jīng)由企業(yè)網(wǎng)絡(luò)780在MITM網(wǎng)關(guān)760與UE 770之間建立安全隧道(例如,IPSec隧道712-1)。此外,可以在MITM網(wǎng)關(guān)760和SP網(wǎng)絡(luò)720的P-GW 724之間建立隧道??梢允褂猛ㄓ梅纸M無(wú)線服務(wù)(GPRS)隧道協(xié)議(GTP)來(lái)建立該另一隧道。在至少一個(gè)實(shí)施例中,可以在MITM網(wǎng)關(guān)760與P-GW 724之間通過(guò)虛擬專用網(wǎng)絡(luò)(VPN)713_1在虛擬專用網(wǎng)絡(luò)(VPN)隧道712-2中建立GTP隧道。
[0114]當(dāng)針對(duì)UE建立器隧道時(shí),在至少一個(gè)實(shí)施例中,用戶面能夠與安全分析模塊740相集成。在至少一個(gè)實(shí)施例中,分組在W1-Fi呼叫會(huì)話期間被嵌入到MITM網(wǎng)關(guān)760與SP網(wǎng)絡(luò)720之間的GTP隧道中。這樣的分組例如可以包括實(shí)時(shí)傳輸協(xié)議(RTP)和會(huì)話發(fā)起協(xié)議(SIP)。這些分組在W1-Fi呼叫會(huì)話期間可被鏡像到虛擬網(wǎng)絡(luò)分析模塊744。在至少一個(gè)實(shí)施例中,如圖9所示,GTP隧道流量可在717處被(例如,被交換端口分析器(SPAN))攔截并且被隧穿至vNAM 744。在另一實(shí)施例中,如圖8所示,vNAM 744可以與GTP隧道串聯(lián)(in-line)放置以使得GTP分組可被攔截、復(fù)制以及分析。在這些實(shí)施例中,vNAM 744可以被配置為打開分組并且對(duì)其進(jìn)行分析。
[0115]在替代實(shí)施例中,流量鏡像可被用來(lái)當(dāng)本地IP流量在GTP與IPSec之間進(jìn)行切換時(shí)來(lái)對(duì)其進(jìn)行鏡像,隨后使用分析裝置來(lái)評(píng)估該流量。具體地,MITM網(wǎng)關(guān)760可以被配置為打開從UE 770接收到的或從SP網(wǎng)絡(luò)720接收到的分組,并且將打開的分組的副本發(fā)送至vNAM744。對(duì)流量鏡像的控制可以經(jīng)由認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器進(jìn)行??刂菩帕钸€可以標(biāo)識(shí)源企業(yè)(例如,通過(guò)源處相對(duì)于預(yù)配置的IP地址范圍的IP地址來(lái)標(biāo)識(shí))。企業(yè)標(biāo)識(shí)可(例如,使用虛擬LAN或不同的鏡像頭部)被包括在經(jīng)鏡像的分組中。
[0116]安全分析模塊能夠檢測(cè)通過(guò)隧道發(fā)送至UE770的任何異常分組。異常分組可以指示W(wǎng)1-Fi呼叫會(huì)話是一威脅。異常分組的示例包括但不限于:使用W1-Fi呼叫會(huì)話中一般不使用的協(xié)議的分組,具有不尋常數(shù)據(jù)類型的分組,使用非標(biāo)準(zhǔn)端口的分組等等。在至少一個(gè)實(shí)施例中,vNAM 744可以基于對(duì)其接收的經(jīng)鏡像流量的分析來(lái)生成分析信息。該分析信息可被饋送至相關(guān)器模塊742,相關(guān)器模塊742可以將該分析信息與關(guān)聯(lián)于W1-Fi呼叫會(huì)話的控制面數(shù)據(jù)進(jìn)行關(guān)聯(lián)。異常分組的具體示例可以包括非標(biāo)準(zhǔn)端口上的文件傳輸協(xié)議(FTP)。
[0117]可以基于特定需求和實(shí)現(xiàn)方式,使用任意適當(dāng)?shù)臋C(jī)制來(lái)獲得控制面數(shù)據(jù)。在一個(gè)實(shí)施例中,由MITM網(wǎng)關(guān)760生成并通過(guò)信號(hào)發(fā)送至AAA服務(wù)器735的針對(duì)W1-Fi呼叫會(huì)話的認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA)記錄可被提供給相關(guān)器模塊742。在另一實(shí)施例中,由MITM網(wǎng)關(guān)760生成并通過(guò)信號(hào)發(fā)送至收費(fèi)網(wǎng)關(guān)734的針對(duì)W1-Fi呼叫會(huì)話的呼叫詳情記錄(CDR)可被提供給相關(guān)器模塊742AAA記錄和⑶R記錄可以包含控制面數(shù)據(jù),該控制面數(shù)據(jù)包括但不限于UE的頂S1、UE的內(nèi)部IP地址、源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò)780)的外部IP地址以及SP網(wǎng)絡(luò)720的P-GW的IP地址。在一些實(shí)現(xiàn)方式中,如果在MITM網(wǎng)關(guān)760上設(shè)置過(guò)濾器,則這些過(guò)濾器可作為分離的子記錄而被報(bào)告。
[0118]W1-Fi漫游交換的企業(yè)門戶提供通過(guò)企業(yè)網(wǎng)絡(luò)建立的W1-Fi呼叫會(huì)話的可視性。該可視性可以最小化企業(yè)可能在IPSec隧道方面存在的安全問(wèn)題。W1-Fi漫游交換還可以經(jīng)由服務(wù)提供商門戶提供服務(wù)提供商的可視性。企業(yè)門戶和服務(wù)提供商門戶共同由安全智能儀表板750 (在本文中也被稱為“安全儀表板”)來(lái)表不。
[0119]安全儀表板可以向每個(gè)通過(guò)W1-Fi漫游交換實(shí)現(xiàn)W1-Fi呼叫會(huì)話的企業(yè)提供企業(yè)特定信息的分析視圖。在至少一個(gè)實(shí)施例中,特定企業(yè)可以查看針對(duì)其企業(yè)網(wǎng)絡(luò)進(jìn)行的(或嘗試進(jìn)行的)所有W1-Fi呼叫會(huì)話的分析。根據(jù)特定時(shí)間內(nèi)進(jìn)行的呼叫,特定時(shí)間的這些分析可以包括一個(gè)或多個(gè)UE和一個(gè)或多個(gè)服務(wù)提供商。因此,IPSec更有可能在企業(yè)LAN上被支持。顯然地,安全儀表板可以提供通過(guò)W1-Fi漫游交換實(shí)現(xiàn)W1-Fi呼叫會(huì)話的任何源網(wǎng)絡(luò)的分析視圖。
[0120]安全儀表板750還可以將服務(wù)提供商特定信息的分析視圖提供給服務(wù)提供商,這些服務(wù)提供商允許W1-Fi漫游交換配置和使用其證書來(lái)由其訂戶UE通過(guò)W1-Fi漫游交換建立W1-Fi呼叫會(huì)話。在至少一個(gè)實(shí)施例中,特定服務(wù)提供商可以查看從其訂戶UE經(jīng)由源網(wǎng)絡(luò)的W1-Fi進(jìn)行的(或嘗試進(jìn)行的)所有W1-Fi呼叫會(huì)話的分析,其中源網(wǎng)絡(luò)將這些W1-Fi呼叫通信重定向至W1-Fi漫游交換。根據(jù)特定時(shí)間內(nèi)進(jìn)行的呼叫,特定時(shí)間的這些分析可以包括一個(gè)或多個(gè)UE和一個(gè)或多個(gè)源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò)720)。
[0121]在圖9中,可由安全儀表板750和/或安全分析模塊740利用策略模塊758。在網(wǎng)絡(luò)流量已被分析并且被(例如,被安全分析模塊740)與控制面數(shù)據(jù)進(jìn)行關(guān)聯(lián)之后,可以做出關(guān)于該網(wǎng)絡(luò)流量是否違背任何策略的確定。這樣的策略可以特定于源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò)720),服務(wù)提供商網(wǎng)絡(luò)(例如,SP網(wǎng)絡(luò)720)或這些網(wǎng)絡(luò)的任意適當(dāng)組合。例如,vNAM 744可以確定該網(wǎng)絡(luò)流量表明攻擊,并且相關(guān)器模塊744可以標(biāo)識(shí)與該網(wǎng)絡(luò)流量相關(guān)聯(lián)的UE??梢宰龀鋈缦麓_定:被標(biāo)識(shí)的特定攻擊違背了企業(yè)策略,因而可以基于適當(dāng)策略對(duì)W1-Fi呼叫會(huì)話執(zhí)行動(dòng)作??蓤?zhí)行的動(dòng)作可以包括但不限于:阻塞當(dāng)前會(huì)話、終止當(dāng)前會(huì)話、隔離當(dāng)前會(huì)話的用戶流和/或阻塞未來(lái)由與所標(biāo)識(shí)的攻擊相關(guān)聯(lián)的同一 UE發(fā)起的會(huì)話。在至少一些場(chǎng)景中,例如,安全儀表板750可以被配置為允許企業(yè)或服務(wù)提供商的獲授權(quán)代理(例如,人工代理或軟件代理)來(lái)經(jīng)由儀表板發(fā)布適當(dāng)?shù)闹噶?,從而?shí)時(shí)采取校正動(dòng)作。
[0122]各種方法可被用來(lái)終止W1-Fi呼叫會(huì)話或終止對(duì)建立W1-Fi呼叫會(huì)話的嘗試。在一個(gè)示例中,如果對(duì)建立W1-Fi呼叫會(huì)話的嘗試尚未完成,則可以通過(guò)結(jié)束與W1-Fi漫游交換中的AAA服務(wù)器735進(jìn)行的交換來(lái)終止對(duì)建立W1-Fi呼叫會(huì)話的嘗試。在另一示例中,對(duì)于被標(biāo)識(shí)為威脅的特定W1-Fi呼叫會(huì)話,信息可被傳遞至SP網(wǎng)絡(luò)720,相應(yīng)的訪問(wèn)請(qǐng)求或與該W1-Fi 呼叫會(huì)話相關(guān)聯(lián)的其他分組可以被標(biāo)記,并且 SP 網(wǎng)絡(luò)可以拒絕對(duì)所標(biāo)記的分組的訪問(wèn)。應(yīng)當(dāng)注意,這些是可以被實(shí)現(xiàn)的說(shuō)明性的可能技術(shù),可以使用任意其他適當(dāng)技術(shù)。
[0123]在至少一個(gè)實(shí)施例中,W1-Fi漫游交換還可以包括服務(wù)質(zhì)量(QoS)集成服務(wù)器731,用于對(duì)穿越企業(yè)網(wǎng)絡(luò)的W1-Fi呼叫流量?jī)?yōu)先考慮。企業(yè)網(wǎng)絡(luò)780僅查看安全隧道,而不能確定隧道的內(nèi)容。當(dāng)網(wǎng)絡(luò)流量已被評(píng)估并且被確定為有效W1-Fi呼叫通信時(shí),QoS集成服務(wù)器731可以從安全分析模塊740接收信息。例如,vNAM可以預(yù)期針對(duì)來(lái)自UE 770的合法W1-Fi呼叫流量來(lái)查看實(shí)時(shí)傳輸(RTP)分組和/或會(huì)話發(fā)起協(xié)議(SIP)分組。因此,如果這些分組被vNAM 744標(biāo)識(shí),則這樣的信息可被饋送至QoS集成服務(wù)器731,以指示W(wǎng)1-Fi呼叫會(huì)話不被視作威脅。
[0124]響應(yīng)于接收指示特定W1-Fi呼叫會(huì)話不是威脅的信息,QoS集成服務(wù)器731可以向企業(yè)網(wǎng)絡(luò)發(fā)送請(qǐng)求以對(duì)W1-Fi呼叫會(huì)話的網(wǎng)絡(luò)流量?jī)?yōu)先考慮。該請(qǐng)求可以經(jīng)由QoS集成服務(wù)器731與企業(yè)網(wǎng)絡(luò)780之間建立的安全信令鏈路(例如,VPN 713-2的安全隧道或使得在兩個(gè)域之間進(jìn)行安全通信的任意其他適當(dāng)技術(shù))被發(fā)送。在至少一個(gè)實(shí)施例中,在指示W(wǎng)1-Fi呼叫會(huì)話不是威脅的信息被QoS集成服務(wù)器731接收之前,該安全隧道可以被建立。在其他實(shí)施例中,該安全隧道可以響應(yīng)于接收到W1-Fi呼叫會(huì)話不是威脅的通知而被建立。在一個(gè)特定實(shí)現(xiàn)方式中,可以在QoS集成服務(wù)器731與企業(yè)網(wǎng)絡(luò)780中的控制器(未示出)之間建立安全隧道,該控制器可以將控制流量從QoS集成服務(wù)器731轉(zhuǎn)發(fā)至WLC 784。
[0125]在至少一個(gè)實(shí)施例中,安全分析模塊可以是數(shù)據(jù)智能系統(tǒng)40的安全分析模塊。數(shù)據(jù)智能系統(tǒng)40的顯示引擎例如可以由安全儀表板750用來(lái)向企業(yè)提供針對(duì)當(dāng)端用戶處于企業(yè)處所時(shí)進(jìn)行的W1-Fi呼叫的安全分析信息。盡管本文已經(jīng)相對(duì)于W1-Fi呼叫服務(wù)和數(shù)據(jù)智能系統(tǒng)40討論了實(shí)施例,但顯然,由于在安全隧道內(nèi)隱藏流量而觸發(fā)網(wǎng)絡(luò)安全問(wèn)題的企業(yè)網(wǎng)絡(luò)的任何服務(wù)也可以得益于本文所公開的安全概念。
[0126]另外,顯然地,各種替代實(shí)現(xiàn)方式可被應(yīng)用于本文所描述的廣義概念。在一個(gè)特定替代實(shí)現(xiàn)方式中,MITM網(wǎng)關(guān)760和VPN隧道712-2可以被配設(shè)于企業(yè)網(wǎng)絡(luò)780中。因此,安全隧道(例如,IPSec)712-l可以被在企業(yè)網(wǎng)絡(luò)中建立和維護(hù)。在至少一個(gè)實(shí)施例中,各種其他組件(例如,安全分析模塊740、安全儀表板750、QoS集成服務(wù)器731等)可以保留在安全云730的W1-Fi漫游交換中。在該示例中,每個(gè)MITM網(wǎng)關(guān)可專用于來(lái)自該網(wǎng)關(guān)被配設(shè)于的特定源網(wǎng)絡(luò)的W1-Fi呼叫會(huì)話。
[0127]轉(zhuǎn)向圖10和圖11A-11C,簡(jiǎn)化交互圖示出了可根據(jù)本文所描述的實(shí)施例發(fā)生的至少一些通信。圖10示出了重定向模塊788的替代的可能實(shí)施例,其用于當(dāng)UE 770在企業(yè)網(wǎng)絡(luò)780的W1-Fi范圍之內(nèi)使用W1-Fi呼叫應(yīng)用發(fā)起W1-Fi呼叫時(shí),將W1-Fi呼叫通信重定向至W1-Fi漫游交換。圖10包括交互,這些交互涉及UE 770、企業(yè)網(wǎng)絡(luò)780的DNS服務(wù)器783、企業(yè)網(wǎng)絡(luò)780的網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)服務(wù)器787、W1-Fi漫游交換的MITM網(wǎng)關(guān)760以及SP網(wǎng)絡(luò)720的DNS服務(wù)器723。
[0128]重定向模塊788的一個(gè)實(shí)施例包括NAT重定向流程1000,該NAT重定向流程1000使用網(wǎng)絡(luò)地址轉(zhuǎn)換來(lái)將通信從UE 770重定向至MITM 760,而不是直接路由至SP網(wǎng)絡(luò)720。在NAT重定向流程中,當(dāng)W1-Fi呼叫由UE 770在企業(yè)網(wǎng)絡(luò)處發(fā)起時(shí),在1002處,DNS查詢被發(fā)送。DNS查詢被發(fā)送以解析SP網(wǎng)絡(luò)的全稱域名(FQDN),其中UE被授權(quán)以基于訂閱從該SP網(wǎng)絡(luò)獲得移動(dòng)無(wú)線服務(wù)。在至少一個(gè)場(chǎng)景中,UE可以基于訂閱被授權(quán)以從SP網(wǎng)絡(luò)獲得移動(dòng)無(wú)線服務(wù)。在該示例中,F(xiàn)QDN對(duì)應(yīng)于SP網(wǎng)絡(luò)720。首先,DNS查詢可被發(fā)送至企業(yè)網(wǎng)絡(luò)780中的DNS月艮務(wù)器783,然后可能被路由至SP網(wǎng)絡(luò)720的DNS服務(wù)器725。在1004處,包括SP網(wǎng)絡(luò)720的IP地址的DNS響應(yīng)被發(fā)送至UE 770。具體地,ePDG的外部IP地址可以被提供于DNS響應(yīng)中。在該示例場(chǎng)景中,被返回至UE 770的外部IP地址為IP04。
[0129]在至少一個(gè)實(shí)施例中,互聯(lián)網(wǎng)密鑰交換協(xié)議版本2可以被用來(lái)建立UE上的W1-Fi呼叫應(yīng)用所需的將W1-Fi呼叫通信從UE 770傳輸至SP網(wǎng)絡(luò)720的安全隧道。本文為了便于說(shuō)明,交互流程中的協(xié)議消息可以參照IKEv2協(xié)議進(jìn)行描述。然而,顯然地,可以使用任意其他適當(dāng)協(xié)議,并且可以相應(yīng)修改特定協(xié)議通信從而實(shí)現(xiàn)相同結(jié)果。
[0130]在1006處,UE 770可以發(fā)送初始化安全隧道的請(qǐng)求(例如,IKE_SA_INIT)以傳輸W1-Fi呼叫通信。該請(qǐng)求可以包括目的地和源,其中目的地為DNS響應(yīng)中所返回的IP地址,源為企業(yè)網(wǎng)絡(luò)780的內(nèi)部源IP地址。在該示例中,企業(yè)網(wǎng)絡(luò)780的內(nèi)部源IP地址是IPOl。在1008處,NAT服務(wù)器787可以利用MITM網(wǎng)關(guān)760的IP地址來(lái)轉(zhuǎn)換目的地地址(例如,IP(M)。在該示例中,MITM網(wǎng)關(guān)的IP地址被稱為“eTOG IP@” JAT服務(wù)器也可以將內(nèi)部源地址轉(zhuǎn)換為企業(yè)網(wǎng)絡(luò)的外部源IP地址。在該示例中,外部源IP地址是IP02。
[0131]在1010處,NAT服務(wù)器可以基于網(wǎng)絡(luò)地址轉(zhuǎn)換,使用新的源地址和目的地地址來(lái)發(fā)送安全隧道初始化請(qǐng)求。在該示例中,企業(yè)網(wǎng)絡(luò)的外部源IP地址是IP02 O由于對(duì)W1-Fi呼叫通信的預(yù)配置轉(zhuǎn)換,該請(qǐng)求的目的地IP地址是ePDG ΙΡ0。在至少一個(gè)實(shí)施例中,由UE發(fā)送的每個(gè)W1-Fi呼叫通信可由NAT服務(wù)器787進(jìn)行轉(zhuǎn)換以將該通信重定向至W1-Fi漫游交換。
[0132]重定向模塊788的另一實(shí)施例包括DNS重定向流程1020,其使用域名系統(tǒng)(DNS)重定向?qū)⑼ㄐ艔腢E 770重定向至MITM 760,而不是直接路由至SP網(wǎng)絡(luò)720。在DNS重定向流程中,當(dāng)W1-Fi呼叫由UE 770在企業(yè)網(wǎng)絡(luò)處發(fā)起時(shí),在1022處,DNS查詢被發(fā)送。DNS查詢可以與先前參照1002所描述的相同。DNS查詢可以被發(fā)送至企業(yè)網(wǎng)絡(luò)780的DNS服務(wù)器783。在1024處,DNS服務(wù)器783被配置為利用MITM網(wǎng)關(guān)760的網(wǎng)絡(luò)地址來(lái)覆寫經(jīng)解析的H)QN。在該場(chǎng)景中,MITM網(wǎng)關(guān)的地址是ePDG ΙΡ0。在1026處,包含MITM網(wǎng)關(guān)760的IP地址的DNS響應(yīng)被發(fā)送至UE 770。
[0133]在1028處,UE 770可以發(fā)送初始化安全隧道的請(qǐng)求(例如,IKE_SA_INIT)以傳輸W1-Fi呼叫通信。該請(qǐng)求可以包括作為目的地地址的DNS響應(yīng)中所返回的IP地址以及作為源地址的企業(yè)網(wǎng)絡(luò)780的內(nèi)容部IP地址(或者如果使用了網(wǎng)絡(luò)地址轉(zhuǎn)換,則將外部IP地址作為源地址)。在該場(chǎng)景中,由于DNS覆寫,源地址是IPOl,目的地地址是ePDG ΙΡ0。在至少一個(gè)實(shí)施例中,一旦H)QN被DNS服務(wù)器785解析,則UE可以繼續(xù)使用DNS響應(yīng)所返回的IP地址作為其W1-Fi呼叫通信的目的地地址,而無(wú)需重復(fù)的DNS查詢。
[0134]圖11A-11C示出了根據(jù)本文所描述的至少一個(gè)實(shí)施例的由UE770從企業(yè)網(wǎng)絡(luò)780建立W1-Fi呼叫會(huì)話的交互流程1100。圖11A-11C包括交互,這些交互涉及:a)企業(yè)網(wǎng)絡(luò)780處的UE 770;b)W1-Fi漫游交換的MITM網(wǎng)關(guān)760、安全儀表板750、AAA服務(wù)器735、收費(fèi)網(wǎng)關(guān)(CGF)734,vNAM 744以及相關(guān)器模塊742;以及c)SP網(wǎng)絡(luò)720的DNS服務(wù)器723、P_GW 724以及AAA服務(wù)器725。應(yīng)當(dāng)注意,交互流程1100可以發(fā)生于已經(jīng)進(jìn)行了安全隧道初始化請(qǐng)求和響應(yīng)之后。參照?qǐng)D10所描述的DNS覆寫或目的地IP NAT轉(zhuǎn)換或者另一適當(dāng)?shù)闹囟ㄏ蚣夹g(shù)可在交互流程1100之前被執(zhí)行。
[0135]在1102處,安全隧道授權(quán)請(qǐng)求(例如,IKE_AUTH)可以被從UE 770發(fā)送至MITM網(wǎng)關(guān)760。在至少一個(gè)實(shí)施例中,該請(qǐng)求可以包括目的地地址(例如,ePDG IPi)、源地址(例如,基于是否使用NAT為IPOl或2)、標(biāo)識(shí)-發(fā)起方(IDi)以及標(biāo)識(shí)-響應(yīng)方(IDr) JDi可以采用“UE標(biāo)識(shí)@域(UE identityOrealm)”的形式。IDr可以是具有運(yùn)營(yíng)商部分和網(wǎng)絡(luò)部分的接入點(diǎn)名稱(APN)。在1104處,MITM網(wǎng)關(guān)760可以基于IDi中的域來(lái)標(biāo)識(shí)與UE相關(guān)聯(lián)的服務(wù)提供商。在1106處,MITM網(wǎng)關(guān)可以針對(duì)所標(biāo)識(shí)的服務(wù)提供商來(lái)標(biāo)識(shí)證書。在至少一個(gè)實(shí)施例中,該證書可從證書存儲(chǔ)設(shè)備732中獲得,其中證書存儲(chǔ)設(shè)備732可被預(yù)配置有證書和服務(wù)提供商標(biāo)識(shí)。在1108處,MITM網(wǎng)關(guān)760可以嘗試認(rèn)證UE。在至少一個(gè)實(shí)施例中,AAA服務(wù)器735和725可以被用來(lái)基于可擴(kuò)展認(rèn)證協(xié)議(EAP)執(zhí)行認(rèn)證。MITM網(wǎng)關(guān)760可以向AAA服務(wù)器735發(fā)送認(rèn)證和授權(quán)(AA)請(qǐng)求。AA請(qǐng)求可以包括EAP參數(shù)和UE的全球移動(dòng)用戶標(biāo)識(shí)(MSI)。
[0136]在至少一個(gè)實(shí)施例中,AA請(qǐng)求可以被轉(zhuǎn)發(fā)至相關(guān)器模塊742。在1110處,相關(guān)器模塊可以確定IMSI是否與已受危害的UE相關(guān)聯(lián)。該確定可以基于UE的在先歷史來(lái)做出。例如,如果UE先前通過(guò)W1-Fi呼叫會(huì)話表現(xiàn)出不符合的流量,或者違背與企業(yè)網(wǎng)絡(luò)相關(guān)聯(lián)的策略,則先前可能已存儲(chǔ)了指示頂SI與受到危害的UE相關(guān)聯(lián)的MSI的信息。如果(例如,基于其MSI)做出了UE受到危害的確定,則AAA交換可以被終止,并且不建立針對(duì)UE所請(qǐng)求的W1-Fi呼叫會(huì)話的安全隧道。因此,UE 770被防止經(jīng)由企業(yè)網(wǎng)絡(luò)780的W1-Fi來(lái)建立W1-Fi呼叫會(huì)話。然而,UE可以經(jīng)由W1-Fi訪問(wèn)不安全網(wǎng)絡(luò)或者經(jīng)由可用的移動(dòng)無(wú)線技術(shù)來(lái)訪問(wèn)SP網(wǎng)絡(luò)720,從而進(jìn)行W1-Fi呼叫。
[0137]如果頂SI被確定為不與受到危害的UE相關(guān)聯(lián),則在1112處,AA請(qǐng)求可以被轉(zhuǎn)發(fā)至SP網(wǎng)絡(luò)720中的AAA服務(wù)器725。在1114處,AA響應(yīng)可被發(fā)送至AAA服務(wù)器735,隨后被轉(zhuǎn)發(fā)至MITM網(wǎng)關(guān)760。在1116處,MITM網(wǎng)關(guān)760可以將安全隧道授權(quán)響應(yīng)發(fā)送至UE 770。該授權(quán)響應(yīng)可以包括EAP消息和針對(duì)服務(wù)提供商所標(biāo)識(shí)的證書。
[0138]在1118處,EAP交換可以在W1-Fi漫游交換和SP網(wǎng)絡(luò)的AAA服務(wù)器之間繼續(xù)。在至少一個(gè)實(shí)施例中,可以使用EAP認(rèn)證和密鑰協(xié)定(EAP-AKA)方法。EAP-AKA是基于從歸屬位置寄存器(HLR)和歸屬訂戶服務(wù)器(HSS)獲得的信息,對(duì)W1-Fi用戶的認(rèn)證。HLR包含訂戶數(shù)據(jù)和與呼叫路由相關(guān)的信息。HSS是針對(duì)給定移動(dòng)無(wú)線訂戶的、包含訂閱相關(guān)信息的數(shù)據(jù)庫(kù)。在EAP-AKA認(rèn)證中,可以使用挑戰(zhàn)-響應(yīng)機(jī)制和對(duì)稱密碼學(xué)。
[0139]在1120處,如果EAP交換成功,則SP網(wǎng)絡(luò)720中的AAA服務(wù)器可以向W1-Fi漫游交換中的AAA服務(wù)器發(fā)送AA應(yīng)答。AA應(yīng)答可以包括EAP交換成功的指示。W1-Fi漫游交換中的AAA服務(wù)器可以將AA應(yīng)答轉(zhuǎn)發(fā)至MITM網(wǎng)關(guān)760。在1122處,MITM網(wǎng)關(guān)可以向UE發(fā)送對(duì)安全隧道授權(quán)請(qǐng)求的響應(yīng)。該響應(yīng)可以指示EAP交換成功,因而UE已被認(rèn)證。
[0140]在圖1lB中,在1124處,UE 770可以向MITM網(wǎng)關(guān)760發(fā)送另一安全隧道授權(quán)請(qǐng)求,以確定要用于W1-Fi呼叫會(huì)話的地址。授權(quán)請(qǐng)求可以包括IDr,IDr可以是與SP網(wǎng)絡(luò)720相關(guān)聯(lián)的接入點(diǎn)名稱(APN) ^PN可以包括運(yùn)營(yíng)商標(biāo)識(shí)(OI)和網(wǎng)絡(luò)標(biāo)識(shí)(NI) JPN OI可以定義網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)所位于的服務(wù)提供商的分組域網(wǎng)絡(luò)。APN NI可以定義GGSN所連接的外部網(wǎng)絡(luò)。
[0141]在1126處,MITM網(wǎng)關(guān)760可以基于授權(quán)請(qǐng)求中的APN獲得APN運(yùn)營(yíng)商標(biāo)識(shí)符(APN01)代替物。APN的APN NI可以被用來(lái)標(biāo)識(shí)APN OI代替物。在至少一個(gè)實(shí)現(xiàn)方式中,針對(duì)SP網(wǎng)絡(luò)720的APN OI代替物被存儲(chǔ)于證書存儲(chǔ)設(shè)備732中。當(dāng)APN OI代替物被標(biāo)識(shí)時(shí),其可被添加到APN中。出于說(shuō)明的目的,示例APN可以是“epc.mncl5.mcc235.3gppnetwork.0rg”,其中,“epc” 是APN NI,并且 “mncl5.mcc235.3gppnetwork.0rg” 是已被添加到APN NI 中的APNOI代替物。
[0142]在1128處,DNS查詢可以由MITM網(wǎng)關(guān)發(fā)送至SP網(wǎng)絡(luò)中的DNS服務(wù)器723 ANS查詢可以包含APN,其包括網(wǎng)絡(luò)標(biāo)識(shí)符和運(yùn)營(yíng)商標(biāo)識(shí)符。在1130處,DNS響應(yīng)被從DNS服務(wù)器723發(fā)送至MITM網(wǎng)關(guān)。DNS響應(yīng)可以包含SP網(wǎng)絡(luò)中的P-GW 724的IP地址。在1132處,MITM網(wǎng)關(guān)可以將GTP創(chuàng)建會(huì)話請(qǐng)求發(fā)送至P-GW 724,以在W1-Fi漫游交換與SP網(wǎng)絡(luò)之間建立用于W1-Fi呼叫的安全隧道。GTP創(chuàng)建會(huì)話請(qǐng)求被發(fā)送至在1130處的響應(yīng)中所接收的IP地址以到達(dá)SP網(wǎng)絡(luò)720中的P-GWATP創(chuàng)建會(huì)話請(qǐng)求可以包括UE 770的IMSI和APN。在1134處,P-GW 724可以向MITM網(wǎng)關(guān)發(fā)送響應(yīng)。如果該響應(yīng)被發(fā)送以建立GTP隧道,則該響應(yīng)可以包括由P-GW 724分配給UE 770的內(nèi)部IP地址,該內(nèi)部IP地址可被用于經(jīng)由GTP隧道發(fā)送流量。在該示例中,內(nèi)部IP地址為IP03XTP隧道在1136處被建立。
[0143]在1138處,MITM網(wǎng)關(guān)760可以向UE 770發(fā)送安全隧道授權(quán)響應(yīng)。授權(quán)響應(yīng)可以包括配置凈負(fù)荷,該配置凈負(fù)荷包括但不限于由SP網(wǎng)絡(luò)720中的P-GW 724分配給UE 770的內(nèi)部IP地址。在1140處,可在UE 770與MITM網(wǎng)關(guān)760之間建立安全隧道(例如,IPSec隧道)。
[0144]當(dāng)安全隧道被建立時(shí),控制面數(shù)據(jù)可被生成并且被提供給相關(guān)器模塊742??梢圆捎肅D R和/或AAA記錄的形式來(lái)生成控制面數(shù)據(jù)。在114 2處,AA請(qǐng)求開始消息可被從W 1-F i漫游交換中的MITM網(wǎng)關(guān)760發(fā)送至AAA服務(wù)器735。該請(qǐng)求可以包括但不限于頂S1、P-GW 724的IP地址、UE 770的內(nèi)部IP地址以及UE 770的隧道的外部源IP地址。AAA服務(wù)器735可以生成具有該信息的AAA記錄,并且在1144處,AAA服務(wù)器735可以將AAA記錄發(fā)送至相關(guān)器模塊742。在1146處,AAA服務(wù)器735可以向MITM網(wǎng)關(guān)發(fā)送響應(yīng)。
[0145]在1148處,呼叫詳情請(qǐng)求可以被從W1-Fi漫游交換中的MITM網(wǎng)關(guān)760發(fā)送至收費(fèi)網(wǎng)關(guān)(CGF)734。該請(qǐng)求可以包括但不限于IMS1、P-GW724的IP地址、UE 770的內(nèi)部IP地址以及UE 770的隧道的外部源IP地址。收費(fèi)服務(wù)器734可以生成具有該信息的呼叫詳情記錄(⑶R),并且在1150處,收費(fèi)服務(wù)器734可以將⑶R發(fā)送至相關(guān)器模塊742。
[0146]如圖1lC所示,在1152處,W1-Fi呼叫會(huì)話的網(wǎng)絡(luò)流量可通過(guò)W1-Fi漫游交換經(jīng)由安全隧道在UE 770和SP網(wǎng)絡(luò)的P-GW 724之間進(jìn)行傳輸。流量鏡像1154(其實(shí)施例本文先前已描述)使得經(jīng)隧穿的分組被攔截并被復(fù)制到W1-Fi漫游交換中的虛擬網(wǎng)絡(luò)分析模塊(vNAM)744以供分析。從1156至1166的流程對(duì)在經(jīng)隧穿的分組被發(fā)送至vNAM 744時(shí)可進(jìn)行的動(dòng)作和分析進(jìn)行說(shuō)明。
[0147]當(dāng)vNAM接收到W1-Fi呼叫分組時(shí),分組可被打開,并且其內(nèi)容可被分析。在1156處,分析信息可被發(fā)送至相關(guān)器模塊742。此外,該分組中所包括的UE 770的內(nèi)部IP地址也可以被提供給相關(guān)器模塊。在1158處,相關(guān)器模塊可以將內(nèi)部IP地址與UE 770的頂SI進(jìn)行關(guān)聯(lián)。因此,UE 770的IMSI可以與W1-Fi呼叫分組相關(guān)聯(lián)。策略可被評(píng)估以確定W1-Fi呼叫分組是否已違背任何策略和/或如果違背已發(fā)生則執(zhí)行什么動(dòng)作。
[0148]在1160處,關(guān)聯(lián)和分析的結(jié)果可被提供給安全儀表板750。安全儀表板可以經(jīng)由用戶界面將分析信息提供給與企業(yè)網(wǎng)絡(luò)780或SP網(wǎng)絡(luò)720相關(guān)聯(lián)的經(jīng)認(rèn)證用戶。與來(lái)自特定源網(wǎng)絡(luò)的W1-Fi呼叫會(huì)話相關(guān)的信息對(duì)于與該源(例如,企業(yè))相關(guān)聯(lián)的經(jīng)授權(quán)用戶而言可以是可獲得的。與經(jīng)由特定服務(wù)提供商的W1-Fi呼叫會(huì)話相關(guān)的信息對(duì)于與該服務(wù)提供商相關(guān)聯(lián)的經(jīng)授權(quán)用戶而言可以是可獲得的。
[0149]如果W1-Fi呼叫分組被確定違背了策略,則在1162處,相關(guān)器模塊可以記錄UE可能的(或?qū)嶋H的)受危害狀態(tài)的指示。該記錄可以基于UE的頂SI。在至少一個(gè)示例中,如果UE已被確定為處于受危害狀態(tài),則有關(guān)策略可以要求終止W1-Fi呼叫會(huì)話。在該情形中,在1164處,相關(guān)器模塊744可以發(fā)送指令以終止W1-Fi呼叫會(huì)話。在至少一個(gè)實(shí)施例中,在1164處,指令可被發(fā)送至AAA服務(wù)器735,AAA服務(wù)器735可以將適當(dāng)?shù)闹噶钐峁┙oMITM網(wǎng)關(guān)760。在1166處,受危害的IMSI會(huì)話可被刪除。然而,顯然地,可以采取其他附加的或替換的動(dòng)作。例如,W1-Fi呼叫會(huì)話流可被隔離,警告可被發(fā)送給管理員等。
[0150]轉(zhuǎn)向圖12,圖12是可被在W1-Fi呼叫系統(tǒng)700的至少一個(gè)實(shí)施例中執(zhí)行的可能操作的簡(jiǎn)化流程圖1200。一組或多組操作可以對(duì)應(yīng)于圖12的活動(dòng)。在至少一個(gè)實(shí)施例中,安全云730中的W1-Fi漫游交換可以包括諸如一個(gè)或多個(gè)處理器(例如,處理器737)之類的用于執(zhí)行操作的裝置。在一個(gè)示例中,至少一些操作可由MITM網(wǎng)關(guān)760和安全分析模塊740(當(dāng)被諸如處理器737之類的一個(gè)或多個(gè)處理器運(yùn)行時(shí))來(lái)執(zhí)行。
[0151]在1202處,授權(quán)請(qǐng)求可被從UE接收以建立從源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò)780)至W1-Fi漫游交換中的MITM網(wǎng)關(guān)(例如,MITM網(wǎng)關(guān)760)的安全隧道。在1204處,UE的服務(wù)提供商可以被標(biāo)識(shí)。在至少一個(gè)實(shí)施例中,服務(wù)提供商是基于授權(quán)請(qǐng)求中所提供的網(wǎng)絡(luò)接入標(biāo)識(shí)符(例如,域)而被標(biāo)識(shí)的。在1206處,與所標(biāo)識(shí)的服務(wù)提供商相對(duì)應(yīng)的證書被標(biāo)識(shí)。在一個(gè)示例中,證書可被預(yù)配置并且例如被存儲(chǔ)于證書存儲(chǔ)設(shè)備(例如,安全云730的W1-Fi漫游交換中的證書存儲(chǔ)設(shè)備732)中。
[0152]在1208處,關(guān)于UE是否受到危害做出確定。該確定可以至少部分基于由UE從W1-Fi源網(wǎng)絡(luò)發(fā)起的一個(gè)或多個(gè)在先呼叫來(lái)做出。例如,當(dāng)W1-Fi漫游交換做出UE受到危害的確定時(shí),該信息可被存儲(chǔ)(例如,被存儲(chǔ)在存儲(chǔ)器元件739中)以指示UE狀態(tài)(例如,受到危害、可能受到危害等),以供稍后在UE嘗試從同一W1-Fi源網(wǎng)絡(luò)進(jìn)行另一W1-Fi呼叫時(shí)進(jìn)行訪問(wèn)。因此,如果所存儲(chǔ)的UE狀態(tài)如在1210處所評(píng)估的指示UE受到危害,則在1212處,可以基于策略采取動(dòng)作。在一個(gè)示例中,該策略可以要求終止該會(huì)話發(fā)起過(guò)程,以使得針對(duì)UE的W1-Fi呼叫會(huì)話不建立安全隧道。在其他實(shí)現(xiàn)方式中,可以采取其他動(dòng)作(例如,隔離、警告管理員等)。另外,UE的不同狀態(tài)可具有要求采取不同動(dòng)作的不同策略。在1214處,UE標(biāo)識(shí)符(例如,IMSI)和UE狀態(tài)可按需被存儲(chǔ)以供稍后訪問(wèn)。
[0153]如果在1210處確定UE不受到危害,則在1216處,所標(biāo)識(shí)的與UE的服務(wù)提供商相關(guān)聯(lián)的證書被發(fā)送至UE。在1218處,UE可被認(rèn)證。在一個(gè)示例中,EAP-AKA交換可在UE與UE嘗試與其建立W1-Fi呼叫會(huì)話的SP網(wǎng)絡(luò)中的AAA服務(wù)器之間執(zhí)行。一旦UE認(rèn)證成功,在1220處,確定要用于W1-Fi呼叫會(huì)話的網(wǎng)絡(luò)地址。對(duì)于UE嘗試與其建立W1-Fi呼叫會(huì)話的SP網(wǎng)絡(luò),這可以是網(wǎng)絡(luò)地址、UE 770的外部IP和UE 770的內(nèi)部IP。
[0154]如果UE認(rèn)證成功并且獲得P-GW的網(wǎng)絡(luò)地址,則在1222處,可在W1-Fi漫游交換與SP網(wǎng)絡(luò)之間建立安全隧道。在一個(gè)示例中,安全隧道可以是從W1-Fi漫游交換中的MITM網(wǎng)關(guān)到SP網(wǎng)絡(luò)中的P-GW的GTP隧道。在1224處,可以在W1-Fi漫游交換與UE之間建立安全隧道。具體地,安全隧道可以是從W1-Fi漫游交換中的MITM網(wǎng)關(guān)經(jīng)由W1-Fi源網(wǎng)絡(luò)至UE的IPSec隧道。
[0155]當(dāng)安全隧道已建立時(shí),在1226處,控制面元數(shù)據(jù)可被生成并被提供給W1-Fi漫游交換中的安全分析模塊。控制面元數(shù)據(jù)可由AAA服務(wù)器在AAA記錄中生成或者可由收費(fèi)網(wǎng)關(guān)在CDR中生成。控制面元數(shù)據(jù)可以包括但不限于UE的IMS1、UE內(nèi)部和外部IP地址。還可以包括P-Gff IP地址。
[0156]圖13A和圖13B分別是可被在W1-Fi呼叫系統(tǒng)700的至少一個(gè)實(shí)施例中執(zhí)行的其他可能操作的簡(jiǎn)化流程圖1300和1320。一組或多組操作可以對(duì)應(yīng)于圖13A和圖13B的活動(dòng)。在至少一個(gè)實(shí)施例中,安全云730中的W1-Fi漫游交換可以包括諸如一個(gè)或多個(gè)處理器(例如,處理器737)之類的用于執(zhí)行操作的裝置。在一個(gè)示例中,至少一些操作可由MITM網(wǎng)關(guān)760、安全分析模塊740和QoS集成服務(wù)器731(當(dāng)被諸如處理器737之類的一個(gè)或多個(gè)處理器運(yùn)行時(shí))來(lái)執(zhí)行。流程圖1300和1320示出可在UE經(jīng)由W1-Fi漫游交換與其SP網(wǎng)絡(luò)建立起W1-Fi呼叫會(huì)話之后被執(zhí)行的操作,其中,UE通過(guò)源網(wǎng)絡(luò)處的W1-Fi發(fā)起會(huì)話。
[0157]在流程圖1300中,在1302處,與W1-Fi呼叫會(huì)話相關(guān)聯(lián)的隧穿分組被攔截。該分組可以是從UE接收到的分組或者從SP網(wǎng)絡(luò)接收到的分組。在1304處,在WiFi漫游交換中,被攔截的分組可以被復(fù)制(或鏡像)到安全分析模塊。在1306處,安全分析模塊可以分析所復(fù)制的分組并且生成分析信息。分析分組可以包括通過(guò)去除頭部來(lái)打開分組以及分析分組的內(nèi)容。數(shù)據(jù)類型和/或協(xié)議類型可以被標(biāo)識(shí)。例如,W1-Fi呼叫會(huì)話一般可以包括RTP和SIP網(wǎng)絡(luò)流量。分析信息可被提供給相關(guān)器模塊。
[0158]在1308處,W1-Fi呼叫會(huì)話的控制面元數(shù)據(jù)可以與分析信息關(guān)聯(lián)。在一個(gè)示例中,UE在SP網(wǎng)絡(luò)中的內(nèi)部IP地址可從分組的頭部來(lái)標(biāo)識(shí)??稍L問(wèn)在W1-Fi呼叫會(huì)話的初始化期間獲得的控制面數(shù)據(jù),并且可將P-GW的IP地址與UE的頂SI關(guān)聯(lián)。
[0159]在1310處,可以關(guān)于分析信息是否指示已違背策略做出確定。例如,如果網(wǎng)絡(luò)流量正在使用非標(biāo)準(zhǔn)協(xié)議(例如,除RTP或SIP以外的協(xié)議),則對(duì)于其中W1-Fi呼叫會(huì)話被發(fā)起的特定源網(wǎng)絡(luò),這可能違背策略。如果做出了被攔截的網(wǎng)絡(luò)流量違背策略的確定,則在1312處,可以至少部分基于該策略采取動(dòng)作??梢曰诓煌愋偷牟呗赃`背并且依賴于配置該策略所針對(duì)的特定源網(wǎng)絡(luò),來(lái)采取不同的動(dòng)作。例如,如果網(wǎng)絡(luò)流量被確定為是非標(biāo)準(zhǔn)的,則特定源網(wǎng)絡(luò)的策略可以要求終止W1-Fi呼叫會(huì)話。在另一示例中,除了或者代替終止會(huì)話,源網(wǎng)絡(luò)的策略可以要求(例如,向網(wǎng)絡(luò)管理員)發(fā)送警告。顯然地,可以基于特定需求和實(shí)現(xiàn)方式來(lái)執(zhí)行任意數(shù)目的動(dòng)作。
[0160]在1314處,可以關(guān)于是否有更多的分組穿越W1-Fi呼叫會(huì)話的安全隧道做出確定。如果更多的分組被檢測(cè)到,則流程返回至1302,在1302處,分組被攔截并且流程再次繼續(xù)。如果沒(méi)有檢測(cè)到更多分組,或者如果檢測(cè)到會(huì)話結(jié)束指示,則流程可以結(jié)束。
[0161]在1310處,如果策略未被確定為被違背,則流程可以行進(jìn)至圖13B中流程圖1320的1322。在1322處,關(guān)于是否已經(jīng)發(fā)送在源網(wǎng)絡(luò)中對(duì)UE流優(yōu)先考慮的指令做出確定。如果是,這指示其他被攔截的分組被確定為未違背任何策略。在該情形中,流程行進(jìn)至圖13A中的1314ο
[0162]如果在1322處確定在源網(wǎng)絡(luò)中對(duì)UE流優(yōu)先考慮的指令先前未被發(fā)送,則這可以指示W(wǎng)1-Fi呼叫會(huì)話是新建立的。流程可以行進(jìn)至1324,在1324處,關(guān)于被攔截的分組中的數(shù)據(jù)類型通常是否用于W1-Fi呼叫會(huì)話做出確定。例如,如果被攔截的分組中的數(shù)據(jù)類型通常不被用于W1-Fi呼叫會(huì)話,則網(wǎng)絡(luò)流量可能還需要評(píng)估并且不應(yīng)被源網(wǎng)絡(luò)優(yōu)先考慮。因此,流程可以行進(jìn)至圖13Α中的1314。
[0163]如果RTP或SIP協(xié)議在被攔截的分組中被標(biāo)識(shí),或者如果類似類型的語(yǔ)音分組在被攔截的分組中被標(biāo)識(shí),則可以推斷W1-Fi呼叫會(huì)話處于正常的呼叫狀態(tài)。在該情形中,流程可以行進(jìn)至1326,在1326處,可以關(guān)于策略是否要求由源網(wǎng)絡(luò)對(duì)W1-Fi呼叫會(huì)話優(yōu)先考慮進(jìn)行評(píng)估。如果策略不要求優(yōu)先考慮,則流程可以行進(jìn)至圖13Α中的1314。然而,如果策略要求優(yōu)先考慮,則流程可以行進(jìn)至1328,在1328處,在W1-Fi漫游交換(例如,QoS集成服務(wù)器731)和源網(wǎng)絡(luò)之間建立安全通信隧道。隨后在1330處,指令可被發(fā)送至源網(wǎng)絡(luò)以在當(dāng)前建立的W1-Fi呼叫會(huì)話期間對(duì)UE的流優(yōu)先考慮。
[0164]變體和實(shí)現(xiàn)方式
[0165]在本公開的上下文中,通信系統(tǒng)10表示互連通信路徑的一系列點(diǎn)、節(jié)點(diǎn)或網(wǎng)絡(luò)元件,以用于接收和發(fā)送通過(guò)通信系統(tǒng)10傳播的信息分組,其中,通信系統(tǒng)10可以包括W1-Fi呼叫系統(tǒng)700。通信系統(tǒng)10提供源和/或主機(jī)之間的通信接口,并且可以是任意局域網(wǎng)(LAN)、虛擬局域網(wǎng)(VLAN)、無(wú)線局域網(wǎng)(WLAN)、虛擬專用網(wǎng)絡(luò)(VPN)、城域網(wǎng)(MAN)、廣域網(wǎng)(WAN),例如,互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)、外聯(lián)網(wǎng)或根據(jù)網(wǎng)絡(luò)拓?fù)浯龠M(jìn)網(wǎng)絡(luò)環(huán)境中的通信的任意其他適當(dāng)?shù)募軜?gòu)或系統(tǒng)。通信系統(tǒng)10可以包括任意數(shù)目的通過(guò)通信介質(zhì)相互耦合的(或相互通信的)硬件和/或軟件元件。通信介質(zhì)可以包括任意適當(dāng)?shù)耐ㄐ沛溌?,例如,無(wú)線技術(shù)(例如,IEEE 802.11χ、802.16、胃丨沖丨、近場(chǎng)通信(肥0、03隊(duì)等)、衛(wèi)星、蜂窩技術(shù)(例如,36、46、WiMAX/LTE、GSM/WCDMA/HSPA、CDMAIx/EVDO等)、有線技術(shù)(例如,以太網(wǎng))或其任意適當(dāng)組合。一般地,可以使用任意適當(dāng)?shù)耐ㄐ欧绞?電、聲、光、紅外或無(wú)線電。
[0166]網(wǎng)絡(luò)環(huán)境中的通信在本文中被稱為“網(wǎng)絡(luò)流量”或“流量”,其可包括分組。分組是格式化數(shù)據(jù)單元,并且可以包含控制信息(例如,源地址和目的地地址等)和數(shù)據(jù),其中數(shù)據(jù)也被稱為凈負(fù)荷。網(wǎng)絡(luò)流量可以根據(jù)任意適當(dāng)通信消息協(xié)議而被發(fā)送和接收。適當(dāng)?shù)耐ㄐ畔f(xié)議可以包括多層方案,例如,開放系統(tǒng)互聯(lián)(OSI)模型或其任何衍生或變體(例如,傳輸控制協(xié)議/IP(TCP/IP))、用戶數(shù)據(jù)報(bào)協(xié)議/IP(UDP/IP)等)。本文所使用的術(shù)語(yǔ)“數(shù)據(jù)”指代任意類型的二進(jìn)制、數(shù)字、語(yǔ)音、視頻、文本或腳本數(shù)據(jù),或者任意類型源代碼或目標(biāo)代碼,或采用任意適當(dāng)形式的可在電子設(shè)備和/或網(wǎng)絡(luò)中被從一點(diǎn)傳輸至另一點(diǎn)的任意其他適當(dāng)信息。此外,消息、請(qǐng)求、響應(yīng)、回復(fù)、查詢等是網(wǎng)絡(luò)流量的形式,因而可以包括分組。
[0167]如本文中所使用的,術(shù)語(yǔ)“網(wǎng)絡(luò)元件”是指包括任何前述元件以及路由器、無(wú)線LAN控制器(WLC)交換機(jī)、無(wú)線接入點(diǎn)(WAP)、網(wǎng)關(guān)、網(wǎng)橋、負(fù)載均衡器、裝置、防火墻、服務(wù)器、處理器、模塊(其中任一者可以是實(shí)體的或者可被虛擬實(shí)現(xiàn)在物理硬件上)或可操作來(lái)在網(wǎng)絡(luò)環(huán)境中交換信息的任何其他適當(dāng)設(shè)備、組件、元件、專用裝置或?qū)ο蟆>W(wǎng)絡(luò)元件可以包括促進(jìn)其操作的任意適當(dāng)?shù)挠布?、軟件、組件、模塊、接口或?qū)ο?。這可以包括允許進(jìn)行有效的數(shù)據(jù)或信息交換的適當(dāng)算法和通信協(xié)議。
[0168]在至少一個(gè)示例實(shí)現(xiàn)方式中,具有企業(yè)無(wú)線呼叫功能的節(jié)點(diǎn)包括實(shí)現(xiàn)(或培養(yǎng))本文所概述的活動(dòng)的邏輯。應(yīng)注意,在至少一個(gè)示例中,這些元件中的每個(gè)元件可以具有促進(jìn)本文所描述的一些操作的內(nèi)部結(jié)構(gòu)(例如,處理器、存儲(chǔ)器元件、網(wǎng)絡(luò)接口卡等)。在一些實(shí)施例中,這些活動(dòng)可以在這些元件的外部運(yùn)行,或者可被包括在一些其他網(wǎng)絡(luò)元件中以實(shí)現(xiàn)所期望的功能。在至少一個(gè)實(shí)施例中,這些節(jié)點(diǎn)可以包括能夠與其他網(wǎng)絡(luò)元件進(jìn)行協(xié)調(diào)以實(shí)現(xiàn)本文所概述的操作的邏輯(或往復(fù)式邏輯)。另外,一個(gè)或若干個(gè)邏輯可以包括促進(jìn)其操作的任意適當(dāng)算法、硬件、固件、軟件、組件、模塊、接口或?qū)ο蟆?br>[0169]在某些示例實(shí)現(xiàn)方式中,本文所概述的企業(yè)無(wú)線呼叫功能可由一個(gè)或多個(gè)有形介質(zhì)(例如,專用集成電路(ASIC)中提供的嵌入式邏輯、數(shù)字信號(hào)處理器(DSP)指令、要由一個(gè)或多個(gè)處理器或其他類似機(jī)器運(yùn)行的軟件(可能包括目標(biāo)代碼和源代碼)軟件、硬件、固件中的指令,或者上述任意組合等)中編碼的邏輯來(lái)實(shí)現(xiàn)。在至少一個(gè)實(shí)施例中,該有形介質(zhì)可以是非暫態(tài)的。在一些實(shí)例中,一個(gè)或多個(gè)存儲(chǔ)器元件可以存儲(chǔ)用于本文所描述的操作的數(shù)據(jù)。這包括能夠存儲(chǔ)被運(yùn)行以實(shí)施本文所描述的活動(dòng)的軟件、邏輯、代碼和/或處理器指令的存儲(chǔ)器元件。處理器可以運(yùn)行與數(shù)據(jù)相關(guān)聯(lián)的任意類型的指令,以實(shí)現(xiàn)本文所詳述的操作。在一個(gè)示例中,處理器可以將元件或物品(例如,數(shù)據(jù))從一個(gè)狀態(tài)或事物轉(zhuǎn)換到另一狀態(tài)或事物。在另一示例中,本文所概述的活動(dòng)可利用固定邏輯或可編程邏輯(例如,處理器運(yùn)行的軟件/計(jì)算機(jī)指令)來(lái)實(shí)現(xiàn),并且本文所標(biāo)識(shí)的元件可以是包括數(shù)字邏輯、軟件、代碼、電子指令或其任意適當(dāng)組合的可編程處理器、可編程數(shù)字邏輯(例如,現(xiàn)場(chǎng)可編程門陣列(FPGA )、可擦除可編程只讀存儲(chǔ)器(EPROM)、電可擦除可編程ROM (EEPR0M))或者AS IC中的一些類型。
[0170]如本文所概述的,這些元件(例如,網(wǎng)絡(luò)元件)中的任意元件可以包括存儲(chǔ)器,用于存儲(chǔ)要用來(lái)實(shí)現(xiàn)企業(yè)無(wú)線呼叫功能的信息。此外,如本文所概述的,這些網(wǎng)絡(luò)元件可以包括至少一個(gè)處理器,其可運(yùn)行軟件、算法或其他指令以執(zhí)行企業(yè)無(wú)線呼叫操作。這些網(wǎng)絡(luò)元件還可以將信息保存在任意適當(dāng)?shù)拇鎯?chǔ)器元件(隨機(jī)存取存儲(chǔ)器(RAM)、只讀存儲(chǔ)器(R0M)、EPR0M、EEPR0M、ASIC等)、軟件、硬件中,或者適當(dāng)?shù)厍一谔囟ㄐ枨?,被保存在任意其他適當(dāng)?shù)慕M件、設(shè)備、元件或?qū)ο笾?,其中所述信息要被用于?shí)現(xiàn)本文所討論的企業(yè)無(wú)線呼叫活動(dòng)。本文所討論的存儲(chǔ)器項(xiàng)(例如,倉(cāng)庫(kù)、存儲(chǔ)、數(shù)據(jù)庫(kù)、表格、緩存、緩沖等)中的任一者應(yīng)被解釋為被包括在廣義“存儲(chǔ)器元件”之內(nèi)。類似地,本文所描述的任意可能的處理元件、模塊以及機(jī)器應(yīng)被解釋為被包括在廣義“處理器”中。每個(gè)網(wǎng)絡(luò)元件還可以包括在網(wǎng)絡(luò)環(huán)境中用于接收、發(fā)送和/或以另外方式傳輸數(shù)據(jù)或信息的適當(dāng)接口。
[0171]注意,本文所使用的術(shù)語(yǔ)“端用戶”意為包括任意類型的可與另一節(jié)點(diǎn)建立網(wǎng)絡(luò)會(huì)話的計(jì)算機(jī)設(shè)備。它包括任意類型的用戶設(shè)備、臺(tái)式計(jì)算機(jī)、膝上型計(jì)算機(jī)、移動(dòng)互聯(lián)網(wǎng)設(shè)備、智能電話、平板計(jì)算機(jī)、個(gè)人數(shù)字助理(PDA)、終端計(jì)算機(jī)、或者能夠在通信系統(tǒng)10內(nèi)發(fā)起語(yǔ)音、音頻、視頻、媒體或數(shù)據(jù)交換的任意其他設(shè)備、組件、元件、端點(diǎn)或?qū)ο?。這樣的設(shè)備還可以包括針對(duì)人類用戶的適當(dāng)接口,例如,顯示元件、鍵盤、觸摸板、觸摸屏(包括多點(diǎn)觸摸屏)、遠(yuǎn)程控制或任意其他終端設(shè)備。
[0172]注意,在本文所提供的示例下,可以針對(duì)兩個(gè)或更多個(gè)網(wǎng)絡(luò)元件和/或兩個(gè)或更多個(gè)云來(lái)描述交互。然而,這僅出于清楚和示例的目的來(lái)進(jìn)行。在某些情形中,通過(guò)僅參照有限數(shù)目的網(wǎng)絡(luò)元件或云來(lái)描述給定一組流程的一個(gè)或多個(gè)功能較為容易。應(yīng)當(dāng)理解,本文所描述的系統(tǒng)易于擴(kuò)縮并且可以容納大量組件以及更復(fù)雜/精細(xì)的安排和配置。相應(yīng)地,所提供的示例在可能用于大量其他架構(gòu)或?qū)崿F(xiàn)方式時(shí),不應(yīng)限制范圍或者抑制企業(yè)無(wú)線呼叫功能的廣義教導(dǎo)。
[0173]如本文所使用的,除非明確地相反陳述,否則對(duì)短語(yǔ)“至少一個(gè)”的使用表示所指名的元件、條件或活動(dòng)的任意組合。例如,“X、Y和Z中的至少一個(gè)”意為指如下中的任意一種:I)是X,但不是Y和Z; 2)是Y,但不是X和Z; 3)是Z,但不是X和Y ; 4)是X和Y,但不是Z; 5)是X和Ζ,但不是Υ;6)是Y和Ζ,但不是X;或者7)Χ、Υ和Ζ。此外,除非明確地相反陳述,否則術(shù)語(yǔ)“第一”、“第二”、“第三”等意為區(qū)分它們所修飾的特定名詞(例如,元件、條件、模塊、活動(dòng)、操作等)。除非明確地相反陳述,否則對(duì)這些術(shù)語(yǔ)的使用不意為指示所修飾的名詞的任何類型的順序、分級(jí)、重要性、時(shí)間序列或?qū)蛹?jí)。例如,“第一 X”和“第二 X”意為表示兩個(gè)不同的X元件,而不一定由兩個(gè)元件的任何順序、分級(jí)、重要性、時(shí)間序列或?qū)蛹?jí)進(jìn)行限制。
[0174]盡管本文參照企業(yè)和企業(yè)網(wǎng)絡(luò)描述并示出了W1-Fi呼叫系統(tǒng)的實(shí)施例,但應(yīng)當(dāng)注意,本說(shuō)明書中所詳述的W1-Fi呼叫系統(tǒng)的廣義概念不意為進(jìn)行如此限制。本文所描述的概念與W1-Fi呼叫系統(tǒng)有關(guān),其可被應(yīng)用于能夠在網(wǎng)絡(luò)接入點(diǎn)所限定的無(wú)線范圍之內(nèi)向用戶設(shè)備提供W1-Fi服務(wù)的任何類型的局域網(wǎng),其中W1-Fi服務(wù)可以例如經(jīng)由服務(wù)提供商實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)的訪問(wèn)。這樣的局域網(wǎng)在本文中還可被稱為“源網(wǎng)絡(luò)”,并且可以與企業(yè)或任意其他適當(dāng)實(shí)體(例如,互動(dòng)場(chǎng)所、學(xué)校、政府、餐館等)相關(guān)聯(lián)。
[0175]還應(yīng)當(dāng)注意,本文所描述和所示出的活動(dòng)、交互和操作僅示出可由具有企業(yè)無(wú)線呼叫功能的節(jié)點(diǎn)運(yùn)行或者在這些節(jié)點(diǎn)中運(yùn)行的一些可能的場(chǎng)景和模式。在不背離本公開的范圍的情況下,這些活動(dòng)、交互和/或操作中的一些可以按需被刪除或移動(dòng),或者可以被大幅修改或更改。此外,這些活動(dòng)、交互和/或操作中的一些已被描述為與一個(gè)或多個(gè)其他活動(dòng)、交互和/或操作同時(shí)或并行運(yùn)行。然而,這些活動(dòng)、交互和/或操作的時(shí)序可被大幅改變。前述操作流程是出于示例和討論的目的來(lái)提供的。具有企業(yè)無(wú)線呼叫功能的節(jié)點(diǎn)提供了大量靈活性,這是因?yàn)榭梢栽诓槐畴x本公開的教導(dǎo)的情況下,可以提供任意適當(dāng)?shù)陌才?、時(shí)序、配置和時(shí)間機(jī)制。此外,這些互動(dòng)可以由各種模塊和/或組件來(lái)協(xié)助,這些模塊和/或組件可以基于特定配置和/或配設(shè)需求,以任意適當(dāng)方式進(jìn)行組合,或者以任意適當(dāng)方式進(jìn)行劃分。
[0176]盡管本公開已經(jīng)參照特定安排和配置進(jìn)行了詳細(xì)描述,但這些示例配置和安排可以在不背離本公開的范圍的情況下被大幅更改。另外,基于特定需求和實(shí)現(xiàn)方式,某些組件可被組合、分類、刪除或添加。此外,盡管已針對(duì)特定元件和協(xié)議闡述了本文的實(shí)施例,但這些元件和協(xié)議可以由實(shí)現(xiàn)本文所公開的具有企業(yè)無(wú)線呼叫功能的節(jié)點(diǎn)所期望的功能的任意適當(dāng)架構(gòu)、協(xié)議和/或過(guò)程來(lái)代替。
【主權(quán)項(xiàng)】
1.一種方法,包括: 經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)分組,其中,所述用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò); 至少部分基于標(biāo)識(shí)所述一個(gè)或多個(gè)分組中的至少一個(gè)分組的異常來(lái)確定所述W1-Fi呼叫會(huì)話是否是威脅;以及 如果所述W1-Fi呼叫通信被確定為是威脅,則采取動(dòng)作。2.如權(quán)利要求1所述的方法,還包括標(biāo)識(shí)所述用戶設(shè)備的唯一標(biāo)識(shí)。3.如權(quán)利要求1所述的方法,其中所述采取動(dòng)作包括如下項(xiàng)中的至少一項(xiàng):發(fā)送所述W1-Fi呼叫會(huì)話是威脅的警報(bào)和終止所述W1-Fi呼叫會(huì)話。4.如權(quán)利要求1所述的方法,還包括: 通過(guò)將所述至少一個(gè)分組中的信息與所述W1-Fi呼叫會(huì)話的控制面數(shù)據(jù)進(jìn)行關(guān)聯(lián)來(lái)確定該分組與該W1-Fi呼叫會(huì)話相關(guān)聯(lián)。5.如權(quán)利要求1所述的方法,其中所述安全隧道是互聯(lián)網(wǎng)協(xié)議安全(IPSec)隧道。6.如權(quán)利要求1所述的方法,其中所述一個(gè)或多個(gè)分組在演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān)和關(guān)聯(lián)于發(fā)起所述W1-Fi呼叫通信的所述用戶設(shè)備的服務(wù)提供商網(wǎng)絡(luò)之間建立的第二隧道中被攔截。7.如權(quán)利要求1所述的方法,還包括: 如果所述分組被確定為不是威脅,則建立到所述源網(wǎng)絡(luò)的信令鏈路;以及通過(guò)該信令鏈路向所述源網(wǎng)絡(luò)發(fā)送消息以命令所述源網(wǎng)絡(luò)對(duì)與所述W1-Fi呼叫會(huì)話相關(guān)聯(lián)的網(wǎng)絡(luò)流量?jī)?yōu)先考慮。8.如權(quán)利要求1所述的方法,還包括: 接收建立所述安全隧道的請(qǐng)求; 標(biāo)識(shí)與所述用戶設(shè)備相關(guān)聯(lián)的服務(wù)提供商網(wǎng)絡(luò); 標(biāo)識(shí)表示所述服務(wù)提供商的證書;以及 將所述證書發(fā)送給所述用戶設(shè)備。9.如權(quán)利要求1所述的方法,其中所述W1-Fi呼叫會(huì)話基于如下中的一者而被從所述用戶設(shè)備重定向至W1-Fi漫游交換:所述源網(wǎng)絡(luò)中的域名系統(tǒng)(DNS)覆寫,或者所述源網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)系統(tǒng)提供的目的地互聯(lián)網(wǎng)協(xié)議地址。10.如權(quán)利要求1所述的方法,還包括: 經(jīng)由第二安全隧道從第二用戶設(shè)備接收第二 W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)其他分組,其中所述第二用戶設(shè)備經(jīng)由第二W1-Fi接入點(diǎn)被連接至第二源網(wǎng)絡(luò);以及 如果所述第二 W1-Fi呼叫通信被確定為是另一威脅,則采取另一動(dòng)作來(lái)保護(hù)所述第二網(wǎng)絡(luò)。11.如權(quán)利要求1所述的方法,其中所述W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)分組是由安全云或所述源網(wǎng)絡(luò)之一中的演進(jìn)型分組節(jié)點(diǎn)網(wǎng)關(guān)(ePDG)經(jīng)由所述安全隧道接收的。12.—種裝置,包括: 至少一個(gè)存儲(chǔ)器; 至少部分實(shí)現(xiàn)于硬件中的邏輯,該邏輯當(dāng)被運(yùn)行時(shí),用于: 經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)分組,其中,所述用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò); 至少部分基于標(biāo)識(shí)所述一個(gè)或多個(gè)分組中的至少一個(gè)分組的異常來(lái)確定所述W1-Fi呼叫會(huì)話是否是威脅;以及 如果所述W1-Fi呼叫通信被確定為是威脅,則采取動(dòng)作。13.如權(quán)利要求12所述的裝置,其中當(dāng)所述邏輯被運(yùn)行時(shí)采取動(dòng)作,所述動(dòng)作包括如下項(xiàng)中的至少一項(xiàng):發(fā)送所述W1-Fi呼叫會(huì)話是威脅的警報(bào)和終止所述W1-Fi呼叫會(huì)話。14.如權(quán)利要求12所述的裝置,其中所述邏輯當(dāng)被運(yùn)行時(shí),用于: 通過(guò)將所述至少一個(gè)分組中的信息與所述W1-Fi呼叫會(huì)話的控制面數(shù)據(jù)進(jìn)行關(guān)聯(lián)來(lái)確定該分組與該W1-Fi呼叫會(huì)話相關(guān)聯(lián)。15.如權(quán)利要求12所述的裝置,其中所述邏輯當(dāng)被運(yùn)行時(shí),用于: 接收建立所述安全隧道的請(qǐng)求; 標(biāo)識(shí)與所述用戶設(shè)備相關(guān)聯(lián)的服務(wù)提供商網(wǎng)絡(luò); 標(biāo)識(shí)表示所述服務(wù)提供商的證書;以及 將所述證書發(fā)送給所述用戶設(shè)備。16.至少一種非暫態(tài)機(jī)器可讀存儲(chǔ)介質(zhì),其上存儲(chǔ)有指令,所述指令當(dāng)被至少一個(gè)處理器運(yùn)行時(shí)使得所述至少一個(gè)處理器: 經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會(huì)話的一個(gè)或多個(gè)分組,其中,所述用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò); 至少部分基于標(biāo)識(shí)所述一個(gè)或多個(gè)分組中的至少一個(gè)分組的異常來(lái)確定所述W1-Fi呼叫會(huì)話是否是威脅;以及 如果所述W1-Fi呼叫通信被確定為是威脅,則采取動(dòng)作。17.如權(quán)利要求16所述的至少一種非暫態(tài)機(jī)器可讀存儲(chǔ)介質(zhì),其中所述指令當(dāng)被至少一個(gè)處理器運(yùn)行時(shí)使得所述至少一個(gè)處理器: 通過(guò)將所述至少一個(gè)分組中的信息與所述W1-Fi呼叫會(huì)話的控制面數(shù)據(jù)進(jìn)行關(guān)聯(lián)來(lái)確定該分組與該W1-Fi呼叫會(huì)話相關(guān)聯(lián)。18.如權(quán)利要求16所述的至少一種非暫態(tài)機(jī)器可讀存儲(chǔ)介質(zhì),其中所述指令當(dāng)被至少一個(gè)處理器運(yùn)行時(shí)使得所述至少一個(gè)處理器: 如果所述分組被確定為不是威脅,則建立到所述源網(wǎng)絡(luò)的第二安全隧道;以及通過(guò)所述第二安全隧道向所述源網(wǎng)絡(luò)發(fā)送消息以命令所述源網(wǎng)絡(luò)對(duì)與所述W1-Fi呼叫會(huì)話相關(guān)聯(lián)的網(wǎng)絡(luò)流量?jī)?yōu)先考慮。19.如權(quán)利要求16所述的至少一種非暫態(tài)機(jī)器可讀存儲(chǔ)介質(zhì),其中所述一個(gè)或多個(gè)分組在演進(jìn)型分組數(shù)據(jù)網(wǎng)關(guān)和關(guān)聯(lián)于發(fā)起所述W1-Fi呼叫通信的所述用戶設(shè)備的服務(wù)提供商網(wǎng)絡(luò)之間建立的第二安全隧道中被攔截。20.一種方法,包括: 從用戶設(shè)備接收W1-Fi呼叫通信的分組,其中所述用戶設(shè)備經(jīng)由W1-Fi接入點(diǎn)被連接至源網(wǎng)絡(luò); 標(biāo)識(shí)所述用戶設(shè)備; 至少部分基于由所述用戶設(shè)備發(fā)起的一個(gè)或多個(gè)先前W1-Fi呼叫會(huì)話,來(lái)確定所述用戶設(shè)備是否受到危害;以及如果所述用戶設(shè)備被確定為受到危害,則至少部分基于策略來(lái)采取動(dòng)作。21.如權(quán)利要求20所述的方法,還包括:標(biāo)識(shí)與所述用戶設(shè)備相關(guān)聯(lián)的服務(wù)提供商;標(biāo)識(shí)表示所述服務(wù)提供商的證書;以及如果所述用戶設(shè)備被認(rèn)證,則將該證書發(fā)送至所述用戶設(shè)備。22.如權(quán)利要求20所述的方法,還包括:如果所述用戶設(shè)備被確定受到危害,則終止所述W1-Fi呼叫通信。
【文檔編號(hào)】H04L29/06GK105933279SQ201610113665
【公開日】2016年9月7日
【申請(qǐng)日】2016年2月29日
【發(fā)明人】馬克·格雷森, 甘加達(dá)蘭·比莒·普拉瑞卡爾, 邁克爾·杰姆斯·格拉哈姆, 桑托什·拉姆勞·帕蒂爾, 皮特·賈斯伯
【申請(qǐng)人】思科技術(shù)公司