用于企業(yè)無線呼叫的系統(tǒng)�����、方法�、裝置及機器可讀介質(zhì)的制作方法
【專利摘要】本公開涉及用于企業(yè)無線呼叫的系統(tǒng)、方法��、裝置及機器可讀介質(zhì)�。實施例包括經(jīng)由安全隧道從用戶設(shè)備接收Wi?Fi呼叫會話的一個或多個分組,其中��,用戶設(shè)備經(jīng)由Wi?Fi接入點被連接至源網(wǎng)絡(luò)���。實施例還包括至少部分基于標識該一個或多個分組中的至少一個分組的異常來確定Wi?Fi呼叫會話是否是威脅����。如果Wi?Fi呼叫通信被確定為是威脅,則采取動作����。更具體的實施例包括:通過將至少一個分組中的信息與Wi?Fi呼叫會話的控制面數(shù)據(jù)進行關(guān)聯(lián)來確定該分組與該Wi?Fi呼叫會話相關(guān)聯(lián)。其他實施例可以包括:在演進型分組數(shù)據(jù)網(wǎng)關(guān)和關(guān)聯(lián)于該用戶設(shè)備的服務提供商網(wǎng)絡(luò)之間建立的第二安全隧道中攔截該一個或多個分組�����。
【專利說明】用于企業(yè)無線呼叫的系統(tǒng)�、方法、裝置及機器可讀介質(zhì)
[0001]相關(guān)申請的交叉引用
[0002]本申請按照35 U.S.C.§119(e)���,要求于2015年3月I日提交的��、題為“用于企業(yè)無線呼叫的系統(tǒng)�、方法及裝置”的美國臨時申請N0.62/126��,651的優(yōu)先權(quán)權(quán)益��,該申請的全部內(nèi)容通過引用被合并于此�����。
技術(shù)領(lǐng)域
[0003]本公開總體涉及計算機網(wǎng)絡(luò)領(lǐng)域�����,更具體地,涉及用于企業(yè)無線呼叫的系統(tǒng)�����、方法��、裝置及機器可讀介質(zhì)���。
【背景技術(shù)】
[0004]計算機設(shè)備可以使得用戶能夠與操作其他計算機設(shè)備的其他用戶進行通信以及例如經(jīng)由互聯(lián)網(wǎng)與全世界的其他計算機設(shè)備進行通信。計算機設(shè)備可以使用任意數(shù)目的通信技術(shù)來實現(xiàn)到互聯(lián)網(wǎng)或其他網(wǎng)絡(luò)的網(wǎng)絡(luò)連接以獲得所期望的服務���、數(shù)據(jù)�����、媒體等��。隨著移動設(shè)備的出現(xiàn)以及無線通信服務可用性的增長�����,用戶幾乎可以在任何時候任何地點訪問互聯(lián)網(wǎng)和其他聯(lián)網(wǎng)系統(tǒng)���。
[0005]諸如服務提供商和企業(yè)之類的實體通常為端用戶提供無線(和有線)服務�����。例如�����,企業(yè)可以向服務提供商進行訂閱�����,從而接收企業(yè)的客戶的互聯(lián)網(wǎng)訪問�����。企業(yè)可以向客戶提供在特定位置處存在的未授權(quán)無線訪問(例如�����,W1-Fi)�����。存在于同一位置的一些客戶可以訪問互聯(lián)網(wǎng)或者使用其他技術(shù)(例如��,授權(quán)蜂窩訪問(例如�,3G、4G等))進行呼叫(例如���,語音�����、視頻等)?�?蛻艚?jīng)由企業(yè)的W1-Fi或其他技術(shù)而生成的網(wǎng)絡(luò)流量可以提供大量的與客戶�、客戶的設(shè)備以及正被使用的網(wǎng)絡(luò)相關(guān)聯(lián)的信息。然而����,管理該信息并確保經(jīng)由企業(yè)網(wǎng)絡(luò)可訪問的服務的安全性向設(shè)備制造商和網(wǎng)絡(luò)管理員等提出了巨大挑戰(zhàn)。
【發(fā)明內(nèi)容】
[0006]本公開提供了一種方法��,包括:經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會話的一個或多個分組�,其中,所述用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò);至少部分基于標識所述一個或多個分組中的至少一個分組的異常來確定所述W1-Fi呼叫會話是否是威脅�;以及如果所述W1-Fi呼叫通信被確定為是威脅,則采取動作�����。
[0007]本公開提供了一種裝置,包括至少一個存儲器;和至少部分實現(xiàn)于硬件中的邏輯����,該邏輯當被運行時,用于:經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會話的一個或多個分組���,其中����,所述用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò)��;至少部分基于標識所述一個或多個分組中的至少一個分組的異常來確定所述W1-Fi呼叫會話是否是威脅����;以及如果所述W1-Fi呼叫通信被確定為是威脅,則采取動作�。
[0008]本公開提供了至少一種非暫態(tài)機器可讀存儲介質(zhì),其上存儲有指令��,所述指令當被至少一個處理器運行時使得所述至少一個處理器:經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會話的一個或多個分組��,其中,所述用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò)��;至少部分基于標識所述一個或多個分組中的至少一個分組的異常來確定所述W1-Fi呼叫會話是否是威脅;以及如果所述W1-Fi呼叫通信被確定為是威脅���,則采取動作���。
[0009]本公開提供了一種方法,包括:從用戶設(shè)備接收W1-Fi呼叫通信的分組��,其中所述用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò);標識所述用戶設(shè)備;至少部分基于由所述用戶設(shè)備發(fā)起的一個或多個先前W1-Fi呼叫會話�,來確定所述用戶設(shè)備是否受到危害;以及如果所述用戶設(shè)備被確定為受到危害�����,則至少部分基于策略來采取動作�����。
【附圖說明】
[0010]為了提供對本公開以及其特征和優(yōu)勢更加全面的理解���,結(jié)合附圖,參照以下描述���,其中����,相似的參考標號表不相似的部分,其中:
[0011]圖1是根據(jù)本公開的至少一個實施例的通信系統(tǒng)的一個實施例的簡化框圖���;
[0012]圖2是示出示例操作的簡化流程圖�����,這些示例操作可與根據(jù)本公開的至少一個實施例的通信系統(tǒng)相關(guān)聯(lián)���;
[0013]圖3是根據(jù)本公開的至少一個實施例的通信系統(tǒng)的系統(tǒng)架構(gòu)的一個實施例的簡化框圖;
[0014]圖4是根據(jù)至少一個實施例的通信系統(tǒng)中的組件和數(shù)據(jù)流的高層框圖����;
[0015]圖5是根據(jù)至少一個實施例的通信系統(tǒng)中的可能數(shù)據(jù)流進程的高層框圖;
[0016]圖6是根據(jù)至少一個實施例提供通信系統(tǒng)的智能數(shù)據(jù)的單面板可視化的示例屏幕顯不�;
[0017]圖7A是根據(jù)至少一個實施例的W1-Fi呼叫系統(tǒng)的示例組件的高層框圖;
[0018]圖7B是根據(jù)至少一個實施例的W1-Fi呼叫系統(tǒng)的示例組件的另一高層框圖���;
[0019]圖7C是根據(jù)至少一個實施例的W1-Fi呼叫系統(tǒng)的示例組件的另一高層框圖�;
[0020]圖8是根據(jù)本公開的至少一個實施例的W1-Fi呼叫系統(tǒng)的簡化框圖�;
[0021]圖9是根據(jù)本公開的至少一個實施例示出W1-Fi呼叫系統(tǒng)的可能的額外細節(jié)的簡化框圖;
[0022]圖10是根據(jù)至少一個實施例示出W1-Fi呼叫系統(tǒng)的某些組件之間的可能通信的簡化交互圖;
[0023]圖11A-11C是根據(jù)至少一個實施例示出W1-Fi呼叫系統(tǒng)的某些組件之間的附加的可能通信的簡化交互圖�����;
[0024]圖12是根據(jù)至少一個實施例示出與W1-Fi呼叫系統(tǒng)相關(guān)聯(lián)的可能操作的簡化流程圖��;
[0025]圖13A是根據(jù)至少一個實施例示出與W1-Fi呼叫系統(tǒng)相關(guān)聯(lián)的其他可能操作的簡化流程圖�;以及
[0026]圖13B是根據(jù)至少一個實施例示出與W1-Fi呼叫系統(tǒng)相關(guān)聯(lián)的另外其他可能操作的簡化流程圖。
【具體實施方式】
[0027]挺述
[0028]本公開描述關(guān)于來自源網(wǎng)絡(luò)的W1-Fi呼叫的方法�����。在本公開的一個示例中���,提供了方法�����,該方法包括經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會話的一個或多個分組��,其中,用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò)��。該方法還包括至少部分基于標識該一個或多個分組中的至少一個分組的異常來確定W1-Fi呼叫會話是否是威脅����。該方法還包括:如果W1-Fi呼叫通信被確定為是威脅����,則采取動作��。
[0029]在更具體的實施例中���,該方法包括標識用戶設(shè)備的唯一標識��。采取動作可以包括如下中的至少一項:發(fā)送W1-Fi呼叫會話是威脅的警報和終止W1-Fi呼叫會話�����。另外�����,安全隧道可以是互聯(lián)網(wǎng)協(xié)議安全(IPSec)隧道�����。在另外的更具體的實施例中���,該方法包括通過將該至少一個分組中的信息與W1-Fi呼叫會話的控制面數(shù)據(jù)進行關(guān)聯(lián)來確定該分組與W1-Fi呼叫會話相關(guān)聯(lián)�����。
[0030]在其他更具體的實施例中�����,一個或多個分組在演進型分組數(shù)據(jù)網(wǎng)關(guān)和關(guān)聯(lián)于發(fā)起W1-Fi呼叫通信的用戶設(shè)備的服務提供商網(wǎng)絡(luò)之間建立的第二隧道中被攔截����。該方法還可以包括:如果分組被確定為不是威脅�����,則建立到源網(wǎng)絡(luò)的信令鏈路���,以及通過該信令鏈路向源網(wǎng)絡(luò)發(fā)送消息以命令該源網(wǎng)絡(luò)對與W1-Fi呼叫會話相關(guān)聯(lián)的網(wǎng)絡(luò)流量優(yōu)先考慮(pr1ritize)�����。在其他具體的實施例中����,該方法包括接收建立安全隧道的請求����,標識與用戶設(shè)備相關(guān)聯(lián)的服務提供商網(wǎng)絡(luò),標識表示服務提供商的證書��,以及將該證書發(fā)送給用戶設(shè)備���。此外�,W1-Fi呼叫會話可以被基于如下中的一者而從用戶設(shè)備重定向至W1-Fi漫游交換:源網(wǎng)絡(luò)中的域名系統(tǒng)(DNS)覆寫或源網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)系統(tǒng)提供的目的地互聯(lián)網(wǎng)協(xié)議地址�。
[0031]其他實施例可以包括:經(jīng)由第二安全隧道從第二用戶設(shè)備接收第二W1-Fi呼叫會話的一個或多個其他分組,其中第二用戶設(shè)備經(jīng)由第二 W1-Fi接入點被連接至第二源網(wǎng)絡(luò)��;以及如果第二 W1-Fi呼叫通信被確定為是另一威脅��,則采取另一動作來保護第二網(wǎng)絡(luò)�。在更具體的實施例中,W1-Fi呼叫會話的一個或多個分組是由安全云或源網(wǎng)絡(luò)之一中的演進型分組節(jié)點網(wǎng)關(guān)(ePDG)經(jīng)由安全隧道接收的����。
[0032]在本公開的另一實施例中,提供了方法���,該方法包括:從用戶設(shè)備接收W1-Fi呼叫通信的分組��,其中用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò);標識用戶設(shè)備���;至少部分基于由用戶設(shè)備發(fā)起的一個或多個先前W1-Fi呼叫會話�,來確定用戶設(shè)備是否受到危害��;以及如果用戶設(shè)備被確定為受到危害�,則至少部分基于策略來采取動作。在更具體的實施例中��,該方法可以包括:標識與用戶設(shè)備相關(guān)聯(lián)的服務提供商����,標識標識服務提供商的證書,以及如果用戶設(shè)備被認證則將該證書發(fā)送至用戶設(shè)備�����。在另一具體實施例中����,該方法可以包括:如果用戶設(shè)備被確定受到危害,則終止W1-Fi呼叫通信����。
[0033]—些或全部元件、操作和特征可被包括在用于執(zhí)行所描述的功能的相應系統(tǒng)�、裝置和設(shè)備中��。另外�����,一些或全部特征可以被實現(xiàn)于至少一個機器可讀存儲介質(zhì)中。
[0034]具體描述
[0035]轉(zhuǎn)向圖1�����,提供了用于實現(xiàn)企業(yè)無線呼叫的通信系統(tǒng)10的簡化框圖���。在一個示例中��,通信系統(tǒng)10包括與客戶實體15和用戶30進行通信的數(shù)據(jù)智能系統(tǒng)40����。如本文所使用的�����,“云”意為指代允許存儲����、計算和/或聯(lián)網(wǎng)的遠程網(wǎng)絡(luò)元件(例如�,服務器等)和/或軟件網(wǎng)絡(luò)���。云還可以提供對計算機服務或資源的在線訪問�����。數(shù)據(jù)智能系統(tǒng)40可以基于云基礎(chǔ)設(shè)施��,該云基礎(chǔ)設(shè)施包括云服務50����、數(shù)據(jù)計算服務60以及數(shù)據(jù)中心70����。云服務50可以提供至云中心70和數(shù)據(jù)計算服務60的安全連接。云服務50可以提供用于流式傳輸去往/來自客戶實體15的網(wǎng)絡(luò)的遙測傳感器數(shù)據(jù)的安全連接�。在至少一個實施例中,安全連接可以是到特定客戶網(wǎng)絡(luò)的虛擬私有網(wǎng)絡(luò)(VPN) 12-1至12-N的形式���,虛擬私有網(wǎng)絡(luò)(VPN) 12-1至12-N使用諸如互聯(lián)網(wǎng)協(xié)議安全(IPSec)之類的VPN協(xié)議來保護通過互聯(lián)網(wǎng)的通信的安全�。
[0036]客戶實體15可以包括向其客戶提供網(wǎng)絡(luò)訪問服務的任意實體�����。客戶實體15的示例可以包括但不限于服務提供商20-1至20-N��。服務提供商可以向其客戶提供互聯(lián)網(wǎng)訪問和其他相關(guān)服務���。服務提供商的客戶可以包括大量實體(例如����,企業(yè)�����、活動場館�����、會議中心��、購物中心�����、零售商店���、餐館等)或端用戶����。
[0037]在至少一個實施例中�����,數(shù)據(jù)中心70可以托管位置引擎78�����,該位置引擎78提供針對通過W1-Fi進行遞送的服務部署的位置服務平臺�。數(shù)據(jù)中心70還可以包括網(wǎng)絡(luò)管理器76,該網(wǎng)絡(luò)管理器76是針對通過W1-Fi進行遞送的服務部署的管理平臺���。在至少一個實施例中���,數(shù)據(jù)計算服務60可以托管顯示引擎64和至少一部分分析引擎100。顯示引擎可以是企業(yè)智能平臺(BIP)62的用戶界面(Ul/Web層)�����,并且可以由用戶30訪問以獲得對來自穿越其所監(jiān)控的網(wǎng)絡(luò)的網(wǎng)絡(luò)流量的商業(yè)數(shù)據(jù)智能��、網(wǎng)絡(luò)數(shù)據(jù)智能和用戶數(shù)據(jù)智能的實時可視性。通常���,訪問顯示引擎的用戶30可與客戶實體15相關(guān)聯(lián)��。例如���,用戶30可以包括服務提供商的獲授權(quán)人士和/或某一企業(yè)的獲授權(quán)人士,其中該企業(yè)是數(shù)據(jù)智能系統(tǒng)提供商的客戶����。在一些場景中�,用戶30可以包括網(wǎng)絡(luò)管理員或運營商。然而��,在至少一個實施例中�,任何提供適當認證的獲授權(quán)用戶可以訪問顯示引擎。獲得授權(quán)和適當證書的其他第三方用戶(未示出)可以訪問應用編程接口(API)來建立針對服務提供商和/或其客戶的應用����。
[0038]出于理解本文所公開的通信系統(tǒng)10的某些實施例的目的,理解可與穿越網(wǎng)絡(luò)的網(wǎng)絡(luò)通信相關(guān)聯(lián)的技術(shù)和數(shù)據(jù)十分重要����。下文的基本信息可被視作正確解釋本公開的基礎(chǔ)。
[0039]當端用戶出現(xiàn)在向端用戶(或客戶端)提供服務或商品的實體的處所時,實體通常向這些端用戶提供免費或收費的網(wǎng)絡(luò)訪問���。例如����,舉辦足球比賽的活動場地可以向參加足球比賽的端用戶所操作的用戶設(shè)備(UE)(例如�����,智能電話���、平板����、膝上型計算機等)提供免費的W1-Fi訪問��??捎苫顒訄龅氐姆仗峁┥虂硖峁ヂ?lián)網(wǎng)的W1-Fi訪問。在另一示例中�����,企業(yè)可以向拜訪其處所的雇員所操作的UE提供免費的W1-Fi訪問�����。對互聯(lián)網(wǎng)的W1-Fi訪問可以由企業(yè)所有者的服務提供商來提供。
[0040]然而���,至少部分由于互聯(lián)網(wǎng)協(xié)議(IP)呼叫在其上建立的安全隧道�,一般不提供來自企業(yè)處所或活動場所的W1-Fi呼叫��。一些端用戶可以使用許可蜂窩技術(shù)(例如��,3G����、4G等)來訪問互聯(lián)網(wǎng)并且進行呼叫(例如,語音和/或其他媒體)��。而企業(yè)處所或活動場所處的其他端用戶可經(jīng)由有線連接來訪問互聯(lián)網(wǎng)��。端用戶生成的網(wǎng)絡(luò)流量的量可能很大�。此外���,與網(wǎng)絡(luò)流量相關(guān)聯(lián)的數(shù)據(jù)可指示與網(wǎng)絡(luò)和端用戶相關(guān)的潛在有用信息����。
[0041]網(wǎng)絡(luò)中的網(wǎng)絡(luò)元件的提供商通常提供用于這些網(wǎng)絡(luò)元件的管理工具。管理工具可以被配設(shè)為管理網(wǎng)絡(luò)內(nèi)的特定一個或多個網(wǎng)絡(luò)元件�,并且提供與這些網(wǎng)絡(luò)元件相關(guān)的網(wǎng)絡(luò)信息。然而�����,不同管理工具的不同來源的網(wǎng)絡(luò)信息不實現(xiàn)對這些信息的智能開發(fā)和利用�����。另夕卜�,端用戶可獲得的各種網(wǎng)絡(luò)訪問選項(例如,未許可W1-F1�����、許可小小區(qū)���、許可宏小區(qū)����、有線等)妨礙企業(yè)或活動場所及其服務提供商采用有意義的方式來有效收集和計算網(wǎng)絡(luò)流量數(shù)據(jù)的能力����。
[0042]如果網(wǎng)絡(luò)流量中所存在的端用戶和網(wǎng)絡(luò)信息可被有效地獲得��、聚合����、關(guān)聯(lián)����、分析以及可視化,則服務提供商可以幫助其客戶(例如��,企業(yè)�����、學校�、活動場所、會議中心���、購物中心�、零售商店�、餐館等)做出更好的商業(yè)決策并且向其客戶(例如��,端用戶)提供更好的端用戶體驗���。此外����,對該網(wǎng)絡(luò)信息的訪問可以基于所分析的網(wǎng)絡(luò)信息和客戶實體和/或與所監(jiān)控的網(wǎng)絡(luò)相關(guān)聯(lián)的它的客戶所設(shè)定的商業(yè)規(guī)則,來驅(qū)動所監(jiān)控的網(wǎng)絡(luò)中的自動響應���。
[0043]除了管理企業(yè)網(wǎng)絡(luò)上可獲得的網(wǎng)絡(luò)信息�����,企業(yè)還期望確?�?山?jīng)由其局域網(wǎng)(LAN)訪問的企業(yè)服務的安全性���。一般地,企業(yè)期望限制在其局域網(wǎng)(LAN)上從用戶設(shè)備(在本文中還被稱為“用戶設(shè)備”或“UE”)外輸(outbound)的互聯(lián)網(wǎng)協(xié)議安全隧道通信�����。W1-Fi呼叫是在從企業(yè)處所處的用戶設(shè)備向服務提供商環(huán)境的長期IPSec會話的基礎(chǔ)上建立的�����。企業(yè)信息安全關(guān)注點通常關(guān)注使用IPSec隧道來攻擊企業(yè)網(wǎng)絡(luò)的威脅����。具有經(jīng)由服務提供商建立的從企業(yè)處所到互聯(lián)網(wǎng)的IPSec會話的用戶設(shè)備還可以經(jīng)由企業(yè)LAN訪問企業(yè)服務����。用戶設(shè)備上的惡意軟件可能攔截企業(yè)分組并且將這些企業(yè)分組隧穿到脫離企業(yè)環(huán)境的頭端�����。因此����,使用IPSec隧道來避免企業(yè)周邊(perimeter)安全控制成為重要關(guān)注點。因此���,企業(yè)網(wǎng)絡(luò)通常包括防火墻����,該防火墻防止從用戶設(shè)備的外輸安全隧道(例如��,IPSec隧道)的建立��。
[0044]企業(yè)通常通過成為中間人來解決安全性問題�。在安全套接字層(SSL)和傳輸層安全(TLS)連接上,中間人可以確保企業(yè)管理的所有用戶設(shè)備包括根證書����,以實現(xiàn)對經(jīng)過企業(yè)主機與目的地節(jié)點之間的加密隧道的網(wǎng)絡(luò)流量的可視性。然而���,W1-Fi呼叫在具有雙向認證的情況下�,妨礙企業(yè)成為中間人的能力����。此外,當考慮大型企業(yè)時�����,其中在這些大型企業(yè)中����,許多用戶期望建立到其歸屬(home)運營商的W1-Fi呼叫服務,規(guī)??赡艹蔀閱栴}(例如,對于跨國企業(yè)�����,擴展到幾十個或幾百個運營商)。對于企業(yè)而言�,需要更好的安全選項來在向其客戶提供W1-Fi呼叫功能時保護其網(wǎng)絡(luò)。
[0045]為了本文易于指代����,客戶實體可以被稱為“服務提供商”。另外�����,對于本文所描述的至少一些實施例��,服務提供商具有其自己的企業(yè)形式的客戶�。在一些場景中,企業(yè)和服務提供商可以是與數(shù)據(jù)智能系統(tǒng)相關(guān)聯(lián)的提供商的客戶��。此外����,企業(yè)的客戶(其網(wǎng)絡(luò)流量正被監(jiān)控)在本文中也被稱為“端用戶”或“客戶端”。然而����,應當理解的是,客戶實體15可以包括向端用戶提供網(wǎng)絡(luò)訪問的其他實體��。例如,服務提供商可以具有端用戶形式的客戶���,這些客戶操作用戶設(shè)備(UE)以訪問服務提供商所提供的移動無線服務���。還應當理解的是��,服務提供商可以具有任意數(shù)目的客戶����,并且這些客戶可以包括接收來自服務提供商的網(wǎng)絡(luò)訪問服務的任意類型的實體或用戶。
[0046]通信系統(tǒng)10可以解決前述問題(以及更多問題)�����。通信系統(tǒng)10的數(shù)據(jù)智能系統(tǒng)40針對服務提供商提供經(jīng)托管的商業(yè)智能服務和經(jīng)管理的W1-Fi呼叫終止服務�。數(shù)據(jù)智能系統(tǒng)40可以經(jīng)由商業(yè)智能平臺(BIP)62的顯示引擎被服務提供商用戶和企業(yè)用戶(例如,網(wǎng)絡(luò)運營商)訪問����。在至少一個實施例中,BIP提供單個位置來管理����、監(jiān)控和貨幣化網(wǎng)絡(luò)。
[0047]利用通信系統(tǒng)10,服務提供商可以通過利用通信系統(tǒng)10的基礎(chǔ)設(shè)施和管理功能而易于縮放它們所管理的W1-Fi服務���。此外�,服務提供商可以針對它們現(xiàn)有的W1-Fi部署和任意經(jīng)管理的W1-Fi服務二者利用商業(yè)智能平臺(BIP)所提供的價值����。BIP可以提供用戶界面(UI),UI對于服務提供商及其企業(yè)客戶將是可獲得的���。數(shù)據(jù)智能系統(tǒng)40還可以通過提供能被第三方應用開發(fā)方所訪問的應用編程接口(API)而允許額外的創(chuàng)新���。
[0048]數(shù)據(jù)智能系統(tǒng)40提供適當?shù)募軜?gòu)和系統(tǒng),以收集來自服務提供商及其企業(yè)客戶的網(wǎng)絡(luò)的遙測傳感器數(shù)據(jù)(在本文中也被稱為“傳感器數(shù)據(jù)”)����,對該遙測傳感器數(shù)據(jù)進行分析,并且隨后基于該數(shù)據(jù)建立可以是自動化的動作�����。至少一些傳感器數(shù)據(jù)可以采用各個端用戶使用數(shù)據(jù)的形式�。BIP 62可以查找用戶模式(例如,一天中大多數(shù)端用戶出現(xiàn)的時間)�����,BIP 62可以當允許優(yōu)質(zhì)端用戶進入企業(yè)的處所時該優(yōu)質(zhì)端用戶被標識,或者BIP 62可以提供新的商業(yè)機會��,尤其是圍繞目標廣告的商業(yè)機會���。收集的傳感器數(shù)據(jù)所來自的網(wǎng)絡(luò)在本文中還被稱為“被監(jiān)控網(wǎng)絡(luò)”�����。該被監(jiān)控網(wǎng)絡(luò)或其部分可以處于服務提供商的處所或服務提供商的企業(yè)客戶的處所。被監(jiān)控網(wǎng)絡(luò)的至少一些部分可以完全由另一實體托管��,該另一實體包括但不限于數(shù)據(jù)智能系統(tǒng)40����。
[0049]在至少一個實施例中,數(shù)據(jù)智能系統(tǒng)40支持三個組件以從被監(jiān)控網(wǎng)絡(luò)得到智能數(shù)據(jù):I)接入點(AP)統(tǒng)計方法��,2)使用分析方法和3)位置分析方法�。數(shù)據(jù)智能系統(tǒng)40從被監(jiān)控網(wǎng)絡(luò)收集AP統(tǒng)計數(shù)據(jù)和健康信息。數(shù)據(jù)智能系統(tǒng)40還例如經(jīng)由NetFlow收集每個端用戶的使用數(shù)據(jù)�����,其中,NetFlow可被在支持訂戶網(wǎng)關(guān)或訪問網(wǎng)關(guān)功能的無線LAN控制器(WLC)和路由器上啟用����。接入點(AP)可被配置為向WLC連續(xù)報告用戶設(shè)備(UE)活動。關(guān)鍵字段可以包括源IP地址和目的地IP地址��、應用����、協(xié)議、源端口和目的地端口�����、分組數(shù)���、八位字節(jié)數(shù)����、客戶端媒體訪問控制(MAC)地址以及W1-Fi AP MAC地址�。此外,數(shù)據(jù)智能系統(tǒng)40可以經(jīng)由位置弓丨擎78收集各個端用戶位置數(shù)據(jù)����。
[0050]應當注意����,數(shù)據(jù)智能系統(tǒng)40不僅僅限于上文所標識的用于得到智能數(shù)據(jù)的組件�����。用于得到來自被監(jiān)控網(wǎng)絡(luò)的智能數(shù)據(jù)和/或其他類型的傳感器數(shù)據(jù)的其他組件意為處于本公開的廣義范圍之內(nèi)�,并且易于包含在數(shù)據(jù)智能系統(tǒng)40中。例如�,至少一些實施例可以包括W1-Fi呼叫系統(tǒng),該W1-Fi呼叫系統(tǒng)在保護經(jīng)由企業(yè)或其他實體的源網(wǎng)絡(luò)所建立的針對W1-Fi呼叫會話的安全隧道的同時�,實現(xiàn)在用戶設(shè)備上對W1-Fi呼叫應用的使用。在這些實施例中����,數(shù)據(jù)智能系統(tǒng)40還可以收集與被監(jiān)控的源網(wǎng)絡(luò)相關(guān)的接入網(wǎng)統(tǒng)計數(shù)據(jù)����。訂戶網(wǎng)關(guān)功能可以被配置為例如使用認證、授權(quán)和計費(AAA)記錄和/呼叫詳情記錄(⑶R)來連續(xù)報告UE活動�。記錄中所報告的信息可以包括但不一定限于,源IP地址和目的地IP地址���、應用����、協(xié)議、源端口和目的地端口�、分組數(shù)以及八位字節(jié)數(shù)�。此外,數(shù)據(jù)智能系統(tǒng)40可以經(jīng)由位置分析模塊106收集各個端用戶位置數(shù)據(jù)����。
[0051 ]傳感器數(shù)據(jù)可以通過W1-F1���、蜂窩(例如,3G���、4G����、nG����、LTE等)或任意其他適當?shù)臒o線技術(shù)來收集?��?梢詫?shù)據(jù)執(zhí)行各種分析方法以生成智能報告并且經(jīng)由用戶界面提供數(shù)據(jù)的可視性�。分析方法可以包括任意類型的數(shù)據(jù)聚合、分析�����、關(guān)聯(lián)��、比較��、歸一化��、擴展�����、挖掘等或者其任意組合��。BIP 62可以使用這些組件所提供的API來配置組件����、顯示數(shù)據(jù)��、以及為用戶提供報告�����。獲授權(quán)的第三方也可以經(jīng)由適當?shù)腁PI(例如,代表性狀態(tài)轉(zhuǎn)換(REST)API)來訪問數(shù)據(jù)�。
[0052]可由BIP生成并且通過API展示的智能數(shù)據(jù)的類型可以包括網(wǎng)絡(luò)智能數(shù)據(jù)、用戶智能數(shù)據(jù)以及商業(yè)智能數(shù)據(jù)�。用戶(例如,企業(yè)的網(wǎng)絡(luò)運營商)可能需要的用于商業(yè)目的的數(shù)據(jù)包括但不限于:I)端用戶訪問哪些社交媒體網(wǎng)站��,2)端用戶實際去往企業(yè)(或其他實體)內(nèi)的何處���,以及3)端用戶是否表現(xiàn)不合法(例如��,實時流式傳輸演奏)或者是否沒有獲得授權(quán)��。用戶(例如��,企業(yè)的網(wǎng)絡(luò)運營商)可能需要的用于網(wǎng)絡(luò)目的的數(shù)據(jù)示例包括但不限于:I)多少網(wǎng)絡(luò)流量穿越網(wǎng)絡(luò)���,2)何種類型的流量穿越網(wǎng)絡(luò)(例如,bit-torrent��、VoIP流量等)�����,3)連接了多少許可用戶(例如,3G/4G/LTE用戶)���,以及4)網(wǎng)絡(luò)的特定區(qū)域中的網(wǎng)絡(luò)流量濃度(例如�,特定服務集標識符(SSID)的百分比等)��。
[0053]數(shù)據(jù)智能系統(tǒng)40還可以提供W1-Fi漫游交換��,該W1-Fi漫游交換實現(xiàn)針對由用戶設(shè)備通過外輸安全隧道從源網(wǎng)絡(luò)(例如�����,企業(yè)網(wǎng)絡(luò))建立的W1-Fi呼叫會話的安全分析方法���。W1-Fi漫游交換可以獲得用戶流的可視性��,該用戶流可與W1-Fi呼叫會話的控制面數(shù)據(jù)關(guān)聯(lián)�。該關(guān)聯(lián)實現(xiàn)對源網(wǎng)絡(luò)和呼叫通信被指向的服務提供商的標識�。可以從用戶流得到安全分析方法��,以檢測任何正通過安全隧道(例如��,源網(wǎng)絡(luò)與W1-Fi漫游交換之間的互聯(lián)網(wǎng)協(xié)議安全(IPSec)隧道)發(fā)送的異常分組�。
[0054]在至少一個實施例中,W1-Fi漫游交換可以經(jīng)由門戶提供對W1-Fi呼叫通信的可視性和工具�。W1-Fi漫游交換還可以通過采取諸如對用戶設(shè)備解除授權(quán)之類的動作來自動減輕檢測到的威脅。這例如可以通過使用UE的國際移動用戶標識(MSI)來完成���?��?梢曰陬A配置策略來自動采取這樣的動作,或者在至少一些實例中�,可以基于獲授權(quán)用戶經(jīng)由門戶提供的指令來自動采取這樣的動作。經(jīng)由門戶的可視性可以針對企業(yè)(或與源網(wǎng)絡(luò)相關(guān)聯(lián)的其他實體/用戶/所有者)提供如下置信度:外輸安全隧道未被用于攻擊源網(wǎng)絡(luò)���,以使得外輸安全隧道可以在源網(wǎng)絡(luò)上被支持�。此外���,如果用戶設(shè)備被確定先前受到危害�,則在安全隧道被建立之前���,W1-Fi呼叫通信可被終止��。在其他實施例中��,W1-Fi漫游交換可以被配置為命令源網(wǎng)絡(luò)對W1-Fi呼叫會話的用戶流優(yōu)先考慮�。這些指令可以基于與源網(wǎng)絡(luò)相關(guān)聯(lián)的策略。
[0055]轉(zhuǎn)向圖1�,現(xiàn)在對提供通信系統(tǒng)10的可能的基礎(chǔ)設(shè)施的描述。通信系統(tǒng)10可以支持多個服務或者可以被實現(xiàn)為針對每個服務提供商提供單個服務實例���,其中每個服務提供商針對每個服務提供商(SP)支持單個租用框架���。在圖1中,示出了服務提供商網(wǎng)絡(luò)與云服務50之間的邏輯連接�。安全連接(例如,VPN 12-1)可以在服務提供商(例如��,服務提供商20-1)與云服務50之間建立��。每個服務提供商可以經(jīng)由VPN被連接到云服務50��,以使得每個SP的網(wǎng)絡(luò)流量在其相應的VPN以及虛擬路由和轉(zhuǎn)發(fā)(VRF)配置內(nèi)是隔離的�。一個或多個數(shù)據(jù)智能系統(tǒng)40可以被建立以向服務提供商20-1至20-N提供數(shù)據(jù)智能服務,并且可以在多個數(shù)據(jù)智能系統(tǒng)之間建立安全連接����。
[0056]可以在數(shù)據(jù)智能系統(tǒng)40中配設(shè)各種組件,這些組件包括但不限于顯示引擎64�、位置引擎78、網(wǎng)絡(luò)管理器76和用于經(jīng)由定制適配器將舊式協(xié)議轉(zhuǎn)換為另一協(xié)議的網(wǎng)關(guān)(未示出)�����?����?梢允褂镁W(wǎng)絡(luò)功能虛擬化(NFV)來配置這些組件����,其中NFV是虛擬化網(wǎng)絡(luò)節(jié)點功能的網(wǎng)絡(luò)架構(gòu)概念。這些NFV中的每個NFV可以具有其自己的集群域或其自動縮放群組����。
[0057]在至少一個實施例中,數(shù)據(jù)計算服務60可以被配置有顯示引擎�。數(shù)據(jù)計算服務60的一個示例可以是提供設(shè)施即服務(IaaS)和平臺即服務(PaaS)的云。顯示引擎組件例如可以包括表示層(例如���,web服務器)�、服務層(例如�,IQ引擎)和數(shù)據(jù)庫。
[0058]在至少一個實施例中�����,云服務50可以是數(shù)據(jù)智能服務40的核心。在至少一個實施例中��,云服務50可以包括傳輸核心����、門戶重定向以及郵件/SMTP(未示出)。傳輸核心可以包括去往駐留在其他云(例如����,數(shù)據(jù)中心70)內(nèi)的各種其他關(guān)鍵元件以及數(shù)據(jù)計算服務60中的顯示引擎和用戶分析(用戶分析可以是分析引擎的一部分)的全部連接。傳輸核心還可以將數(shù)據(jù)智能系統(tǒng)40中的其他組件鏈接在一起���。這樣的組件可以包括客戶VPN����、門戶重定向以及郵件/SMTP����。在至少一些實施例中,云服務50還可以托管分析引擎(S卩�,數(shù)據(jù)層核心)100的至少一部分。
[0059]分析引擎100可以包括用于對傳感器數(shù)據(jù)執(zhí)行各種分析方法的多個組件����。根據(jù)特定的配置需求和/或要求���,分析引擎的組件可以被配設(shè)在不同的云中或同一云中。如圖1所示�,分析引擎可以被配設(shè)在多個云中。例如�����,分析引擎的使用分析模塊可以被配設(shè)在云服務50中�����,而分析引擎的其他模塊(例如�,位置分析模塊和接入點統(tǒng)計模塊)可以被配設(shè)在數(shù)據(jù)計算服務60中���。
[0060]明顯地���,可以采用多種方式來配置數(shù)據(jù)智能系統(tǒng)40的云基礎(chǔ)設(shè)施。盡管本文的各種組件被描述為配設(shè)在如圖1所示的特定云中���,但這些組件可以被配設(shè)在更多��、更少或其他的云中�����,或者可以一起被配設(shè)在單個云(例如���,云服務50)中����。因此���,NFV和數(shù)據(jù)智能系統(tǒng)的其他組件(例如�����,分析引擎���、商業(yè)智能平臺(BIP)等)可以被實例化于單個云中或任意數(shù)目的其他云中。圖1是多種可能的實現(xiàn)方式中的一個示例���。
[0061]轉(zhuǎn)向圖2��,高層簡化流程圖示出了與通信系統(tǒng)10相關(guān)聯(lián)的可能操作流200���。在202處�����,從被監(jiān)控網(wǎng)絡(luò)獲得傳感器數(shù)據(jù)�����。在至少一個實施例中�,云服務50可以通過經(jīng)由VPN從被監(jiān)控網(wǎng)絡(luò)(被監(jiān)控網(wǎng)絡(luò)例如可以是服務提供商的網(wǎng)絡(luò))的網(wǎng)絡(luò)元件(例如�����,WLC)進行流式傳輸來獲得傳感器數(shù)據(jù)�����。在涉及W1-Fi呼叫系統(tǒng)的至少一個其他實施例中����,云服務50可以通過與用戶網(wǎng)關(guān)相連接和/或通過分析穿越訂戶網(wǎng)關(guān)的流量來得到傳感器數(shù)據(jù)�。在204處,傳感器數(shù)據(jù)被饋送至數(shù)據(jù)智能系統(tǒng)40中的分析引擎以進行分析���,從而產(chǎn)生智能報告和數(shù)據(jù)的可視化表示方式���。如本文所使用的��,“分析”數(shù)據(jù)意為指對數(shù)據(jù)執(zhí)行或應用分析方法(例如��,評估�����、關(guān)聯(lián)����、比較��、分析等)����。這些報告和可視化可以涉及用戶、網(wǎng)絡(luò)和/或商業(yè)智能����。
[0062]在206處,經(jīng)分析的智能數(shù)據(jù)可用于用戶消費�����。在至少一個實施例中,經(jīng)分析的智能數(shù)據(jù)可經(jīng)由圖形用戶界面(例如��,由顯示引擎生產(chǎn)和提供的用于顯示的儀表板)消費����,可由獲授權(quán)用戶通過數(shù)據(jù)智能系統(tǒng)40來訪問該圖形用戶界面。在208處����,從經(jīng)分析的傳感器數(shù)據(jù)得到的可行見解可以被提供給策略引擎?;谠撘娊夂蛻玫皆撘娊獾囊?guī)則,策略引擎可以接收用于生成用于被監(jiān)控網(wǎng)絡(luò)的網(wǎng)絡(luò)策略的商業(yè)規(guī)則/處理��。
[0063]轉(zhuǎn)向圖3���,示出了通信系統(tǒng)10的示例架構(gòu)的簡化框圖。服務提供商20(表示可被配設(shè)在通信系統(tǒng)10中的一個或多個服務提供商(例如�����,20-1至20-N))包括路由器22���、無線局域網(wǎng)控制器(WLC)24��、網(wǎng)絡(luò)管理器26以及位置引擎28��。一個或多個接入點(AP)29可以與WLC 24進行通信�。服務提供商20經(jīng)由互聯(lián)網(wǎng)連接至數(shù)據(jù)智能系統(tǒng)40。用戶30����、第三方應用開發(fā)者32和/或第三方短消息服務(SMS)和電子郵件網(wǎng)關(guān)34可以經(jīng)由互聯(lián)網(wǎng)連接到數(shù)據(jù)智能系統(tǒng)40。數(shù)據(jù)智能系統(tǒng)40可以包括分析引擎100�,分析引擎100可以包括使用分析模塊102、接入點(AP)統(tǒng)計模塊104以及位置分析模塊106�����。數(shù)據(jù)智能系統(tǒng)40還包括商業(yè)智能平臺62����。數(shù)據(jù)智能系統(tǒng)40還可以包括安全分析模塊105。在至少一個實施例中�,安全分析模塊105可以被作為分析引擎100的一部分進行配置。在至少一個實施例中�,安全分析模塊105可以被配設(shè)有W1-Fi呼叫系統(tǒng)。
[0064]在至少一個實施例中�����,BIP 62可以是多層web應用,包括web用戶界面(在本文中也被稱為顯示引擎64)和外部應用編程接口(API) AIP 62可以在已被收集的網(wǎng)絡(luò)數(shù)據(jù)與采用可用形式來消費該網(wǎng)絡(luò)數(shù)據(jù)的用戶之間提供鏈接���。在至少一個實施例中����,多層被用來對層進行去耦合并且在應用的壽命期間提供可縮放性�����、安全性和魯棒性����。這些層可以經(jīng)由發(fā)布的API進行通信。在至少一個實施例中�,用戶30(例如,服務提供商20的獲授權(quán)人士和/或服務提供商20的企業(yè)客戶的獲授權(quán)人士)可以經(jīng)由超文本傳輸協(xié)議安全(HTTPS)通過互聯(lián)網(wǎng)訪問商業(yè)智能平臺(BIP) 62的用戶界面�����。
[0065]BIP 62可以被配置為允許第三方應用開發(fā)者32訪問其API從而建立應用��。例如��,開發(fā)者32可以經(jīng)由HTTPS通過互聯(lián)網(wǎng)訪問BIP 62的API����,從而建立訪問提供商或其企業(yè)客戶的額外價值。這些應用可由任何獲得授權(quán)且獲得認證的用戶來開發(fā)���,所述用戶包括具有用于訪問的適當證書的服務提供商���、企業(yè)或任意其他實體的開發(fā)者。在至少一個實施例中�,BIPAPI可以允許拉取數(shù)據(jù)和推送數(shù)據(jù)。BIP 62和位置分析模塊106還可以經(jīng)由HTTPS通過互聯(lián)網(wǎng)利用第三方服務�����,例如來自SMS提供商的短消息服務(SMSes)�����。例如���,為了將SMS發(fā)送至感興趣方����,數(shù)據(jù)智能系統(tǒng)40可以使用第三方SMS服務,如34處所指示的��。對數(shù)據(jù)智能系統(tǒng)40的各種訪問中的一些或全部可以被認證���。
[0066]服務提供商20可以將其現(xiàn)有W1-Fi服務部署集成到數(shù)據(jù)智能系統(tǒng)40中��,以使得商業(yè)智能能夠被生成�。來自服務提供商的一個或多個被監(jiān)控網(wǎng)絡(luò)的遙測傳感器數(shù)據(jù)(在本文中還被稱為“傳感器數(shù)據(jù)”)可以經(jīng)由安全通道12被流式傳輸至分析引擎100��。例如��,安全通道可以是運行互聯(lián)網(wǎng)協(xié)議安全(IP Secure)的虛擬專用網(wǎng)絡(luò)�。安全通道12表示VPN 12_1至12-N之一,如圖1所示��??梢詣?chuàng)建站到站連接,該站到站連接給予數(shù)據(jù)智能系統(tǒng)40的組件到服務提供商20的某些網(wǎng)絡(luò)元件的訪問����。IPSec終止組件終止從服務提供商至數(shù)據(jù)智能系統(tǒng)的站到站隧道,以使得商業(yè)智能數(shù)據(jù)可以安全地穿越互聯(lián)網(wǎng)����。由于網(wǎng)絡(luò)可能存在重疊,因此IPSec終止組件可以執(zhí)行網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)來使得這些重疊對于雙方透明化����。整數(shù)或預共享密鑰可以被用來保護通信安全。
[0067]在至少一個實施例中�����,服務提供商的網(wǎng)絡(luò)中將傳感器數(shù)據(jù)流式傳輸至分析引擎100的網(wǎng)絡(luò)元件可以包括路由器22��、WLC 24��、網(wǎng)絡(luò)管理器26以及位置引擎28�����,其中接入點饋接WLC����。在至少一個實施例中,商業(yè)智能數(shù)據(jù)被發(fā)送至分析引擎100�,而用戶流量在服務提供商20處被卸載。
[0068]在實施例中���,路由器22可以提供至少兩個功能�。第一,路由器22可以作為支持W1-Fi 部署的智能服務網(wǎng)關(guān) (ISG) �����。在該模式下����,路由器 22 控制對經(jīng)認證的會話的訪問 。路由器22還可以收集每用戶使用數(shù)據(jù)��,并且將該傳感器數(shù)據(jù)流式傳輸?shù)椒治鲆?00��。當路由器22作為ISG或作為層3路由器時����,這可以實現(xiàn)。在至少一些實現(xiàn)方式中�,路由器22被托管于訪問提供商20的處所。例如�����,由San Jose ,California的Cisco Systems��,Inc提供的聚合服務路由器1000系列(ASRlK)可以被配設(shè)為路由器22。
[0069]WLC 24是管理W1-Fi接入點(AP)的網(wǎng)絡(luò)元件�。WLC 24可以使用無線接入點控制和配設(shè)(CAPWAP)協(xié)議。該管理可以通過數(shù)據(jù)報傳輸層安全(DTLS)來執(zhí)行�����,其中DTLS有證書而保證安全�����。通常�����,WLC 24處理控制面和數(shù)據(jù)面二者�。然而�,在一些架構(gòu)中,WLC處理控制面��,數(shù)據(jù)面在W1-Fi AP處被卸載�。在至少一個實施例中,WLC 24處理控制面和數(shù)據(jù)面二者以使得商業(yè)智能數(shù)據(jù)被收集并且被流式傳輸至分析引擎100�����。在至少一些實施例中,WLC 24被托管于服務提供商20的處所����。
[0070]網(wǎng)絡(luò)管理器26是用于W1-Fi部署的管理平臺,并且可由AP分析模塊104使用�。網(wǎng)絡(luò)管理器26可以將部署的詳情和統(tǒng)計數(shù)據(jù)返回至分析引擎100。網(wǎng)絡(luò)管理器26與位置引擎28相集成以提供地圖和W1-Fi AP數(shù)據(jù)���。位置引擎28可以是用于W1-Fi部署的位置服務平臺并且可由位置分析模塊106使用���。位置引擎28(例如,通過諸如網(wǎng)絡(luò)移動服務協(xié)議(匪SP)之類的協(xié)議)接收來自WLC 24的更新���,并且可以使用這些更新來計算客戶端的位置�����。位置引擎28可以將指示客戶端當前位置的一個或多個位置度量以及歷史位置數(shù)據(jù)返回至分析引擎100��。位置引擎28還可以提供由位置分析模塊106消費的位置更新流���。在至少一個實施例中,網(wǎng)絡(luò)管理器26和位置引擎28可以通過使用代表性狀態(tài)轉(zhuǎn)換(REST)API (例如�����,通過HTTP的Javascript Obiect Notat1n(JSON))將前述傳感器數(shù)據(jù)返回至分析引擎100。網(wǎng)絡(luò)管理器26和位置引擎28可以被托管于數(shù)據(jù)智能系統(tǒng)40的云基礎(chǔ)設(shè)施中或者服務提供商20的處所����。為了說明,在圖1中�����,網(wǎng)絡(luò)管理器(例如����,網(wǎng)絡(luò)管理器78)和位置引擎(例如���,位置引擎76)被示出為云基礎(chǔ)設(shè)施(例如�,數(shù)據(jù)中心70)的一部分����。
[0071]在至少一些實施例中,分析引擎100從服務提供商20接收傳感器數(shù)據(jù)���。對于涉及W1-Fi呼叫系統(tǒng)的實施例����,分析引擎100可以從安全分析模塊105以及接收和轉(zhuǎn)發(fā)W1-Fi呼叫通信的網(wǎng)關(guān)(例如,演進型分組數(shù)據(jù)網(wǎng)關(guān))接收傳感器數(shù)據(jù)�����。分析引擎100可以聚合��、歸一化�����、擴展�����、關(guān)聯(lián)以及以其他方式分析傳感器數(shù)據(jù)�,從而為用戶30提供該數(shù)據(jù)的智能可視化。在至少一些實施例中����,三個主要組件被實現(xiàn)于分析引擎100中。第一�,在至少一個實施例中,使用分析模塊102收集��、歸一化以及擴展從服務提供商的網(wǎng)絡(luò)生成的網(wǎng)絡(luò)使用數(shù)據(jù)以用于BIP62。使用分析模塊102從本地元件和外部的由服務提供商容納元件二者接收指示每用戶使用數(shù)據(jù)的用戶度量流���。當接收到使用數(shù)據(jù)時�,使用分析模塊102可以利用可訪問的額外信息(例如�����,來自位置引擎28的位置信息)或者利用先前接收到的數(shù)據(jù)(例如���,客戶端正在使用的W1-Fi AP)來擴展該使用數(shù)據(jù)��。每個流可被歸一化并被存儲于歷史數(shù)據(jù)庫和在線數(shù)據(jù)庫二者中,其中在線數(shù)據(jù)庫可被優(yōu)化以例如經(jīng)由REST API進行快速檢索���?���?梢酝ㄟ^增加實例以及引入負載均衡器來水平縮放使用分析模塊102����。
[0072]第二,在至少一個實施例中��,AP統(tǒng)計模塊104收集、歸一化以及擴展從服務提供商的網(wǎng)絡(luò)收集的AP統(tǒng)計數(shù)據(jù)以用于BIP 62 JP統(tǒng)計模塊104可以針對AP統(tǒng)計數(shù)據(jù)輪詢網(wǎng)絡(luò)管理器實例(例如�,網(wǎng)絡(luò)管理器26)。輪詢AP統(tǒng)計模塊104然后可以將接收到的AP統(tǒng)計數(shù)據(jù)以允許BIP 62進行快速訪問的可搜索方式進行存儲�。
[0073]第三,在至少一個實施例中��,位置分析模塊106收集��、歸一化以及擴展從位置引擎28接收的位置數(shù)據(jù)以用于BIP 62�����。位置分析模塊106從位置引擎(例如�����,位置引擎28)接收位置數(shù)據(jù)流�����。然后可以將接收到的位置數(shù)據(jù)以允許BIP 62進行快速訪問的可搜索方式進行存儲����。可以提供對該數(shù)據(jù)的分析��。BIP 62可以例如經(jīng)由所發(fā)布的REST API來訪問位置分析模塊。BIP 62還可以利用部署維度數(shù)據(jù)(例如����,“該AP是該市場中的該部署的一部分”)來更新位置分析模塊62。這樣的維度數(shù)據(jù)能夠?qū)崿F(xiàn)增強型查詢��?��?梢酝ㄟ^添加實例以及引入負載均衡器來水平縮放位置分析模塊106���。
[0074]安全分析模塊105是可被提供在分析引擎100中的另一組件。在安全分析模塊105中�,用戶流可被接收并且被與從W1-Fi呼叫通信得到的控制面數(shù)據(jù)進行關(guān)聯(lián)。安全分析可以標識源網(wǎng)絡(luò)����、發(fā)起W1-Fi呼叫會話的UE以及UE所訂閱的服務提供商��。安全分析模塊105可以對用戶流進行評估��,以確定該流是否是惡意的以及該UE是否受到危害�。可以通過控制面數(shù)據(jù)來利用該信息���,從而基于策略采取校正動作��。
[0075]圖3中示出的特定系統(tǒng)架構(gòu)提供了若干優(yōu)勢����。第一,通信系統(tǒng)10對于客戶在其用戶設(shè)備上所使用的訪問類型(例如�����,未許可W1-F1�、許可蜂窩、有線)是不可知的����。網(wǎng)絡(luò)控制路徑是通過被監(jiān)控網(wǎng)絡(luò)中配設(shè)的各種網(wǎng)絡(luò)遙測傳感器而關(guān)聯(lián)。傳感器數(shù)據(jù)可以被從被監(jiān)控網(wǎng)絡(luò)中的各種網(wǎng)絡(luò)元件連續(xù)地流式傳輸至數(shù)據(jù)智能系統(tǒng)40�。在至少一個實施例中,流式傳輸網(wǎng)絡(luò)遙測傳感器包括:
[0076]a.從位置引擎獲得位置信息流式傳輸數(shù)據(jù)�����;
[0077]b.從WLC/ISG獲得用于AVC/DPI的用戶/設(shè)備流信息流式傳輸數(shù)據(jù)����;
[0078]c.從AAA獲得用戶/訂戶信息流式傳輸數(shù)據(jù)����;
[0079]d.從GTPv2分接頭(tap)或者從分組核心的IPNE獲得用戶設(shè)備IMSI/MSISDN相關(guān)蜂窩信息流式傳輸數(shù)據(jù)��;
[0080]e.從網(wǎng)絡(luò)設(shè)備獲得SNMP陷阱數(shù)據(jù)和系統(tǒng)日志(syslog)數(shù)據(jù)�;以及[0081 ] f.從WLC接收針對客戶端RSSI/SNR相關(guān)數(shù)據(jù)的NMSP饋送,等等����。
[0082]傳感器數(shù)據(jù)可以被使用任意適當格式來歸一化、被置于消息分發(fā)器中�����、被饋送至用例拓撲結(jié)構(gòu)中��、分別在數(shù)據(jù)攝取和數(shù)據(jù)擴展組件中被擴展�����。該經(jīng)擴展的數(shù)據(jù)集(在每個傳感器向經(jīng)擴展的最終數(shù)據(jù)集提供信息比特的情況下�����,該經(jīng)擴展的數(shù)據(jù)集在多個傳感器上對于特定事件在時間序列上相關(guān))可被添加到實時���、長期的歸檔數(shù)據(jù)存儲�,而特定數(shù)據(jù)庫針對大數(shù)據(jù)被優(yōu)化�����。該經(jīng)擴展的數(shù)據(jù)集可以被展示以經(jīng)由高性能API引擎進行探索性分析�����,其中由表示層來使用該高性能API引擎���。這些組件和模塊可以通過云間交換結(jié)構(gòu)混合(例如����,公共云和私有云)來縫合在一起����。在至少一個實施例中,可以使用多協(xié)議標簽交換流量工程VPN0
[0083]圖4是示出與分析引擎100相關(guān)聯(lián)的通信系統(tǒng)10的一些可能層400的高層框圖����。遙測傳感器數(shù)據(jù)通過安全隧道420(例如,IPSec隧道)被從傳感器410流式傳輸至云基礎(chǔ)設(shè)施中所托管的大數(shù)據(jù)平臺。安全隧道的一個示例可以是虛擬專用網(wǎng)絡(luò)12�,云基礎(chǔ)設(shè)施中的數(shù)據(jù)平臺的一個示例可以是數(shù)據(jù)中心70。數(shù)據(jù)層430消費該數(shù)據(jù)并且采用API的形式經(jīng)由傳輸安全層(TLS)440-1來將該數(shù)據(jù)展示給表示層450�����。在至少一個實施例中����,單個API可以被用來將該數(shù)據(jù)展示給表示層。所展示的數(shù)據(jù)對于端用戶(例如��,服務提供商��、企業(yè)���、被授權(quán)訪問該數(shù)據(jù)的對該數(shù)據(jù)感興趣的第三方生態(tài)系統(tǒng)內(nèi))而言是可消費的�����。例如�����,用戶30可以通過顯示引擎64生成的儀表板來消費該數(shù)據(jù)�。第二TLS隧道440-2可以使得顯示引擎64能夠接收該數(shù)據(jù)�。
[0084]圖5示出可與通信系統(tǒng)10的數(shù)據(jù)層430相關(guān)聯(lián)的更多細節(jié)。數(shù)據(jù)層可以包括傳感器數(shù)據(jù)431�、對所接收的傳感器數(shù)據(jù)的數(shù)據(jù)攝取431、對所接收的傳感器數(shù)據(jù)的數(shù)據(jù)擴展433����、用于存儲經(jīng)擴展的傳感器數(shù)據(jù)的數(shù)據(jù)存儲434以及展示經(jīng)擴展的傳感器數(shù)據(jù)的API引擎435。數(shù)據(jù)層可以被托管于數(shù)據(jù)智能系統(tǒng)40的云基礎(chǔ)設(shè)施中�。附錄A還示出了核心元件,這些核心元件提供與通信系統(tǒng)10的數(shù)據(jù)層相關(guān)聯(lián)的網(wǎng)絡(luò)元件中配設(shè)的電路板的可能細節(jié)����。
[0085]轉(zhuǎn)向圖6,示出了一個可能的實施例的示例屏幕600�。示例屏幕600的圖形和數(shù)字部分可以基于來自分析引擎的、由API展示的經(jīng)分析的數(shù)據(jù)來生成�。在至少一個實施例中,示例屏幕600可以被提供以經(jīng)由計算設(shè)備的顯示元件的圖形用戶界面由數(shù)據(jù)智能系統(tǒng)40的顯示引擎進行顯示�。示例屏幕600提供獲得的網(wǎng)絡(luò)、用戶以及商業(yè)智能信息���,其中使用度量來量化該信息���。這些度量可以被顯示于計算設(shè)備的顯示元件上的單個面板中��。例如�����,屏幕600示出網(wǎng)絡(luò)智能數(shù)據(jù)(例如�,“AP健康狀況”)和用戶智能數(shù)據(jù)(例如�,“用戶體驗”)。該單個面板還可以提供到各個工具的訪問����,以基于用戶所期望的參數(shù)來操縱數(shù)據(jù)的表示。
[0086]W1-Fi呼叫系統(tǒng)
[0087]轉(zhuǎn)向圖7A-圖12��,示出了W1-Fi呼叫系統(tǒng)700的可能實施例并且現(xiàn)在提供其更詳細的描述���,其中W1-Fi呼叫系統(tǒng)700被配置為實現(xiàn)用戶設(shè)備中W1-Fi呼叫應用的使用以及保護IPSec隧道的使用��。如圖7A-圖12中所示�����,W1-Fi漫游交換在W1-Fi呼叫系統(tǒng)700中被定義����,并且W1-Fi漫游交換可以向企業(yè)客戶與UE提供獲授權(quán)的中間人服務。在至少一個實施例中�,W1-Fi呼叫系統(tǒng)700可以被配設(shè)有通信系統(tǒng)10或通信系統(tǒng)10的一部分。顯然地��,基于特定實現(xiàn)方式和需求��,W1-Fi呼叫系統(tǒng)700和通信系統(tǒng)10的任意特征和組件可以采用任意適當?shù)姆绞奖患苫蛘呓Y(jié)合�。然而���,還顯然的是��,W1-Fi呼叫系統(tǒng)700可以與通信系統(tǒng)10分別被配設(shè)���。
[0088]圖7A-圖7C是W1-Fi呼叫系統(tǒng)700中的可能組件的簡化框圖,其中W1-Fi呼叫系統(tǒng)700在保護W1-Fi呼叫會話的安全隧道的同時�����,實現(xiàn)用戶設(shè)備中W1-Fi呼叫應用的使用��。如圖7A所示����,W1-Fi呼叫系統(tǒng)700可以包括用戶設(shè)備(UE)770�、企業(yè)網(wǎng)絡(luò)780�����、互聯(lián)網(wǎng)714��、獲授權(quán)的中間人(MITM)網(wǎng)關(guān)760以及歸屬公共陸地移動網(wǎng)絡(luò)(HPLMN)715��。企業(yè)網(wǎng)絡(luò)780表示源網(wǎng)絡(luò)�,該源網(wǎng)絡(luò)可以經(jīng)由網(wǎng)絡(luò)(例如,局域網(wǎng)����、無線局域網(wǎng)、虛擬局域網(wǎng)等)提供服務�,這些服務中的至少一些可由UE 770訪問。在一些場景中�����,源網(wǎng)絡(luò)可以形成與通用實體相關(guān)聯(lián)的另一網(wǎng)絡(luò)(例如�,校園網(wǎng)、廣域網(wǎng)等)的一部分����。
[0089]HPLMN 715是特定服務提供商所負責的移動無線網(wǎng)絡(luò)����,并且HPLMN 715可以包括分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(P-GW)和W1-Fi呼叫服務�,以與UE 770上的W1-Fi呼叫應用進行通信。在至少一個示例中����,服務提供商可以負責一個或多個公共陸地移動網(wǎng)絡(luò)(PLMN),并且訂閱特定服務提供商的每個UE可以與該服務提供商的PLMN之一相關(guān)聯(lián)��。與進行訂閱的UE相關(guān)聯(lián)的PLMN被稱為該UE的歸屬公共移動網(wǎng)絡(luò)(HPLMN)�����。在圖7A中��,HPLMN 715表示與服務提供商相關(guān)聯(lián)的網(wǎng)絡(luò)����,通過該網(wǎng)絡(luò)�����,UE 770成為移動無線服務的訂閱設(shè)備��。在具有MITM網(wǎng)關(guān)760的W1-Fi呼叫系統(tǒng)700中,UE 770���、企業(yè)網(wǎng)絡(luò)780以及HPLMN 715分別表示UE�、企業(yè)網(wǎng)絡(luò)以及服務提供商(或服務提供商的歸屬運營商)的潛在多個實例����。還顯然地,多個MITM網(wǎng)關(guān)760可以例如隨著規(guī)模增加而被配設(shè)���。
[0090]W1-Fi呼叫應用可以針對企業(yè)網(wǎng)絡(luò)以及針對服務提供商而被縮放規(guī)模��。為了實現(xiàn)W1-Fi呼叫系統(tǒng)700中的配置以及規(guī)?��?s放,企業(yè)與托管MITM網(wǎng)關(guān)760的W1-Fi漫游交換的提供商具有某一關(guān)系�。在至少一個實施例中,數(shù)據(jù)智能系統(tǒng)40被配置為執(zhí)行W1-Fi漫游交換的一個或多個功能���。此外��,W1-Fi漫游交換運營商可以與不同的服務提供商(例如���,歸屬運營商)具有關(guān)系��。
[0091]在至少一個實施例中�,企業(yè)網(wǎng)絡(luò)被配置為將W1-Fi呼叫UE(例如�����,UE 770)重定向至漫游交換���。重定向可以基于域名系統(tǒng)(DNS)覆寫或網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)下的目的地IP����。例如�����,對服務提供商的演進型分組數(shù)據(jù)網(wǎng)關(guān)(ePDG)DNS解析可以被覆寫以指向經(jīng)授權(quán)MITM網(wǎng)關(guān)760����。這確保分組流被指向W1-Fi漫游交換���。W1-Fi漫游交換可以作為用于W1-Fi呼叫的有效的訪問公共陸地移動網(wǎng)絡(luò)(VPLMN)進行操作����。因此,W1-Fi漫游交換可以獲得用戶流的可視性�。W1-Fi漫游交換將用戶面處理耦合至安全分析。
[0092]在至少一個實施例中���,企業(yè)網(wǎng)絡(luò)780中的防火墻的防火墻規(guī)則可以被配置為允許從UE 770到MITM網(wǎng)關(guān)760的外輸安全隧道����。在至少一個實施例中�,MITM網(wǎng)關(guān)760是演進型分組數(shù)據(jù)網(wǎng)關(guān)(eTOG)或?qū)崿F(xiàn)規(guī)模縮放的虛擬ePDG��,MITM網(wǎng)關(guān)760被授權(quán)來從源網(wǎng)絡(luò)(例如�����,企業(yè)網(wǎng)絡(luò)780)接收由UE發(fā)送的W1-Fi呼叫通信����。安全隧道可以是IPSec隧道,互聯(lián)網(wǎng)密鑰交換(IKEv2)協(xié)議可以被用來建立隧道����。MITM 760可以終止來自企業(yè)網(wǎng)絡(luò)780的安全隧道,并且可以通過安全隧道從UE 770接收用戶面分組。MITM 760可以將用戶面分組以可視性方式報告給安全智能儀表板(圖8��、圖9以及圖1lA-圖1lC中示出)�。安全智能儀表板可以將W1-Fi呼叫通信以可視性的方式報告給企業(yè)網(wǎng)絡(luò)的信息安全(InfoSec)模塊。呼叫詳情記錄(CDR)可以針對MITM服務而被生成���。
[0093]圖7B示出了W1-Fi呼叫系統(tǒng)700中的可能組件�����,W1-Fi呼叫系統(tǒng)700已被縮放從而使得多個UE通過企業(yè)網(wǎng)絡(luò)780使用W1-Fi呼叫應用���。一旦企業(yè)網(wǎng)絡(luò)780已被配置為將W1-Fi呼叫重定向至MITM網(wǎng)關(guān)760,則W1-Fi呼叫系統(tǒng)700支持任意數(shù)目的W1-Fi呼叫網(wǎng)絡(luò)���,而不影響企業(yè)網(wǎng)絡(luò)780的配置���。例如��,UE 770-1��、770-2�����、770-3和770-4可以分別是歸屬公共陸地移動網(wǎng)絡(luò)(HPLMN)715-l、715-2���、715-3和715-4的服務提供商的訂戶�����。HPLMN可以與相同或不同的服務提供商相關(guān)聯(lián)�。UE 770-1����、770-2、770-3和770-4可以經(jīng)由企業(yè)網(wǎng)絡(luò)780發(fā)起W1-Fi呼叫�����,該W1-Fi呼叫可被路由至適當?shù)腍PLMN 715-1�、715-2、715-3和715-4����。在其他場景中,多個UE可以是同一服務提供商的訂戶���,并且在來自企業(yè)網(wǎng)絡(luò)780的W1-Fi呼叫期間可以訪問同一HPLMN0
[0094]圖7C示出了W1-Fi呼叫系統(tǒng)700中的可能組件��,W1-Fi呼叫系統(tǒng)700已針對服務提供商被縮放從而使得UE能夠通過多個企業(yè)網(wǎng)絡(luò)使用W1-Fi呼叫應用���。W1-Fi呼叫系統(tǒng)700支持任意數(shù)目的LAN/WAN源網(wǎng)絡(luò)�����,而不影響與UE相關(guān)聯(lián)的HPLMN的配置�����。例如���,UE 770可以是運行HPLMN 715的特定服務提供商的訂戶,其中HPLMN 715是該UE的歸屬網(wǎng)絡(luò)�����。UE 770可以拜訪通過各自企業(yè)網(wǎng)絡(luò)780-1��、780-2�����、780-3和780-4來提供W1-Fi呼叫的多個企業(yè)��。UE 770可以在每個企業(yè)網(wǎng)絡(luò)處發(fā)起W1-Fi呼叫��,并且這些呼叫可被從相應的企業(yè)網(wǎng)絡(luò)經(jīng)由MITM網(wǎng)關(guān)760路由至HPLMN715����。
[0095]轉(zhuǎn)向圖8,圖8是示出W1-Fi呼叫系統(tǒng)700的一些可能細節(jié)的框圖�。W1-Fi漫游交換可以被具體化于安全云730中。一般地�����,W1-Fi漫游交換意為指某一系統(tǒng)���,該系統(tǒng)促進由用戶設(shè)備通過源網(wǎng)絡(luò)無線地發(fā)起并且被路由至服務提供商網(wǎng)絡(luò)的語音和其他媒體移動通信�����。為了便于說明����,SP網(wǎng)絡(luò)720被描繪于圖9中��,用以表示UE 770的示例歸屬運營商。然而�,顯然地,月艮務提供商網(wǎng)絡(luò)720可以包括多個PLMN�����,每個PLMN具有被配置以支持其W1-Fi呼叫服務的唯一全稱域名(FQDN)��,訂閱UE可以請求訪問這些PLMN���。根據(jù)本文所描述的實施例,W1-Fi漫游交換還可以提供針對與移動通信相關(guān)聯(lián)的用戶流的安全分析以及基于策略減輕所檢測到的威脅�����。
[0096]圖8提供了W1-Fi呼叫系統(tǒng)700中一些可能組件以及當UE 770通過源網(wǎng)絡(luò)(例如���,企業(yè)網(wǎng)絡(luò)780)處的W1-Fi發(fā)起W1-Fi呼叫會話時可能發(fā)生的通信的示例圖解����。W1-Fi漫游交換可以被配設(shè)于安全云730中����,并且可以包括一個或多個網(wǎng)絡(luò)元件(例如���,服務器�、處理器、網(wǎng)關(guān)等)�����,其中可以配設(shè)MITM網(wǎng)關(guān)760��、基于計費和位置的信息存儲設(shè)備736��、安全分析模塊740以及安全智能儀表板750��。一個或多個處理器和存儲器元件(例如�,處理器737和存儲器元件739)也可以被配設(shè)于W1-Fi漫游交換的一個或多個網(wǎng)絡(luò)元件中。
[0097]在至少一個實施例中����,通信系統(tǒng)10的數(shù)據(jù)智能系統(tǒng)40可以被配置為(例如,利用安全云730)執(zhí)行W1-Fi漫游交換的一個或多個功能�����。在其他實施例中���,W1-Fi漫游交換的一個或多個功能可以被配設(shè)于諸如SP網(wǎng)絡(luò)720之類的服務提供商網(wǎng)絡(luò)中���。在另外其他實施例中���,W1-Fi呼叫交換的一個或多個功能可以被配設(shè)于源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò)780)中���。
[0098]在至少一個實施例中��,企業(yè)網(wǎng)絡(luò)780可以包括W1-Fi接入點(AP)782��、無線局域網(wǎng)控制器(11^0 784����、防火墻$¥)786以及重定向模塊788�。們^ AP可在W1-Fi AP的無線訪問范圍內(nèi)被用戶設(shè)備(例如,UE 770)訪問���。W1-Fi AP可以被配置為或可以不被配置為當UE嘗試建立無線連接時需要UE的認證�。UE 770可以包括W1-Fi呼叫應用��,該W1-Fi呼叫應用使得UE770能夠經(jīng)由對企業(yè)網(wǎng)絡(luò)780的W1-Fi訪問來發(fā)起移動呼叫會話。在至少一個實施例中���,防火墻786可以是無警戒區(qū)(demilitarized zone�����,DMZ),從而向企業(yè)網(wǎng)絡(luò)780提供附加安全���。然而��,顯然地����,可以根據(jù)特定需求來使用其他類型的防火墻����。防火墻786可以被配置為允許在用戶設(shè)備(例如,UE 770)與安全云730中的MMT 760之間建立安全隧道712-1����。在至少一個實施例中,安全隧道712-1可以是互聯(lián)網(wǎng)協(xié)議(IPSec)隧道并且可以通過互聯(lián)網(wǎng)714來建立����。
[0099]企業(yè)網(wǎng)絡(luò)780中的重定向模塊788可以被配置為將UE的W1-Fi呼叫通信重定向至W1-Fi漫游交換��?���?梢允褂萌我膺m當?shù)募夹g(shù)來完成重定向�����,該適當?shù)募夹g(shù)使得W1-Fi呼叫通信的分組具有與安全云750相關(guān)聯(lián)的目的地網(wǎng)絡(luò)地址�。具體地,目的地網(wǎng)絡(luò)地址可以對應于MITM 網(wǎng)關(guān) 760����。
[0100]重定向模塊788的示例技術(shù)包括域名系統(tǒng)(DNS),DNS被配置為利用安全云730中的MITM網(wǎng)關(guān)760的網(wǎng)絡(luò)地址來覆寫發(fā)起至SP網(wǎng)絡(luò)(例如�,SP網(wǎng)絡(luò)720)的安全隧道的請求的目的地地址。重定向模塊788的另一示例技術(shù)包括網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)����,該NAT被配置為利用安全云730中的MITM網(wǎng)關(guān)760的網(wǎng)絡(luò)地址來轉(zhuǎn)換發(fā)起至SP網(wǎng)絡(luò)(例如,SP網(wǎng)絡(luò)720)的安全隧道的請求的目的地地址��。在至少一些示例中����,MITM 760可以包括演進型分組數(shù)據(jù)網(wǎng)關(guān)(eTOG)��,安全隧道的請求被重定向模塊788重定向至該ePDG����。
[0101]在至少一個實施例中���,SP網(wǎng)絡(luò)720可以包括防火墻(FW)726和分組數(shù)據(jù)網(wǎng)絡(luò)網(wǎng)關(guān)(P-Gff)724,P-Gff 724被配置為將W1-Fi呼叫通信轉(zhuǎn)發(fā)至互聯(lián)網(wǎng)協(xié)議多媒體子系統(tǒng)(IMS)722oIMS 722表示SP提供商之間的集成網(wǎng)絡(luò)��,該集成網(wǎng)絡(luò)促進通過無線或陸上線路進行的多種形式的分組通信(例如,電話����、電子郵件、互聯(lián)網(wǎng)�、IP語音、視頻會議���、即時消息���、視頻點播、傳真等)的IP使用����。防火墻726可被配置為允許在P-GW 724與安全隧道W1-Fi漫游交換中的MITM網(wǎng)關(guān)760之間建立安全隧道�。在至少一個實施例中�����,安全隧道可以是虛擬專用網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)(VPN)隧道712-2���,例如����,通用分組無線服務隧道協(xié)議(GTP)隧道��?��?梢酝ㄟ^VPN來建立VPN隧道12-2���,其中,VPN可被配設(shè)在互聯(lián)網(wǎng)或其他適當?shù)木W(wǎng)絡(luò)中���。
[0102]在W1-F i呼叫系統(tǒng)700中����,企業(yè)用戶和服務提供商用戶可以訪問至少部分地由安全儀表板750提供的安全分析服務。安全分析服務可以經(jīng)由用戶界面(例如����,圖形用戶界面(GUI))為與訪問信息的用戶相關(guān)聯(lián)的服務提供商網(wǎng)絡(luò)或源網(wǎng)絡(luò)提供從安全分析模塊740和/或基于計費和位置的信息存儲設(shè)備736獲得的信息。這樣的用戶示例包括但不限于HPLMN I用戶716-1和HPLMN 2用戶716-2�����,這些用戶可與相同或不同的服務提供商中的不同HPLMN相關(guān)聯(lián)��。這樣的用戶的其他示例包括但不限于企業(yè)I用戶716-3和企業(yè)2用戶716-4���,這些用戶可以與不同的企業(yè)網(wǎng)絡(luò)相關(guān)聯(lián)�����。在至少一個實施例中,這些用戶可被要求提供用于認證的證書���,并且如果已認證����,則經(jīng)認證用戶可以通過互聯(lián)網(wǎng)或另一網(wǎng)絡(luò)(通過其可建立安全隧道)經(jīng)由安全隧道(例如��,718-1至718-4)訪問安全服務的相應web門戶。
[0103]圖9是根據(jù)至少一個實施例示出W1-Fi呼叫系統(tǒng)700的附加可能細節(jié)的框圖��。具體地�����,安全云730的W1-Fi漫游交換還可以包括服務質(zhì)量(QoS)集成服務器731��、證書存儲設(shè)備732���、域名系統(tǒng)(DNS)服務器733�、收費網(wǎng)關(guān)(CGF)734��、認證授權(quán)和計費(AAA)服務器735以及策略模塊758��。安全分析模塊740可以包括相關(guān)器模塊742和虛擬網(wǎng)絡(luò)分析模塊(vNAM) 744���。
[0104]在至少一個實施例�����,MITM網(wǎng)關(guān)760可以是演進型分組數(shù)據(jù)網(wǎng)關(guān)(ePDG)���。一般地�����,ePDG可以負責要求安全訪問的不可信非3GPP (或其他)網(wǎng)絡(luò)(例如�����,W1-Fi等)之間的網(wǎng)絡(luò)互聯(lián)���。eTOG可被虛擬化以支持多個服務提供商和企業(yè)網(wǎng)絡(luò),其中多個UE可以從同一企業(yè)網(wǎng)絡(luò)發(fā)起W1-Fi呼叫�。eTOG的實例可以針對在MITM網(wǎng)關(guān)760與通過企業(yè)網(wǎng)絡(luò)780和其他源網(wǎng)絡(luò)進行傳輸?shù)腢E 770之間建立的每個IPSec隧道提供虛擬ePDG IPSec終止點762wPDG的虛擬化實例還可以針對在MITM網(wǎng)關(guān)760與SP網(wǎng)絡(luò)720和其他SP網(wǎng)絡(luò)之間建立的每個GTP隧道提供虛擬ePDG GTP終止點764。
[0105]在至少一個實施例中����,當UE發(fā)起W1-Fi呼叫會話且其分組被重定向至MITM網(wǎng)關(guān)760時,UE向該網(wǎng)關(guān)標識其自身�,并且MITM網(wǎng)關(guān)可以通過利用證書來標識其自身從而進行響應。證書可以包括與UE用來解析其服務提供商的IP地址的全稱域名(FQDN)相對應的標識���。服務提供商(或服務提供商的HPLMN)的FQDN被稱為“域(realm)”。由于FQDN表示服務提供商(或服務提供商的HPLMN)的網(wǎng)關(guān)���,因此MITM網(wǎng)關(guān)760的單個實例可被配置為支持多個FQDN����。
[0106]在至少一個實施例中,W1-Fi漫游交換可被配設(shè)有證書存儲設(shè)備(例如���,證書存儲設(shè)備732)����,該證書存儲設(shè)備包括多個證書��,每個證書對應于服務提供商(或服務提供商的PLMN)的FQDN�����。在至少一個實施例中�����,證書存儲設(shè)備還包括接入點名稱(APN)運營商標識符(OI)代替物��。應當注意的是�����,圖8和圖9中的SP網(wǎng)絡(luò)720意為表示訂閱服務提供商的一個或多個UE(例如�����,UE 770)的HPLMN。
[0107]在至少一個實施例中�,MITM網(wǎng)關(guān)760可操作來恢復UE的標識?����?蓮腢E與MITM網(wǎng)關(guān)之間交換的消息獲得UE標識來建立W1-Fi呼叫會話的安全隧道�。在一個示例中,安全隧道可以基于互聯(lián)網(wǎng)工程任務組(IETF)標準被實現(xiàn)為互聯(lián)網(wǎng)協(xié)議安全(IPSec)隧道���,從而實現(xiàn)MITM網(wǎng)關(guān)與UE之間的W1-Fi呼叫通信的安全傳輸��。C.Kaufman等提出的�、題為“互聯(lián)網(wǎng)密鑰交換(IKEv2)協(xié)議”(2014年10月的IETF互聯(lián)網(wǎng)標準認證請求(RFC)7296中所規(guī)定的的示例協(xié)議提供了用于獲得建立IPSec隧道的密鑰材料的機制���。
[0108]在使用安全隧道IPSec來傳輸W1-Fi呼叫通信的實現(xiàn)方式中��,標識發(fā)起方(IDi)可被包括在IKEv2認證請求凈負荷中�����,并且IDi可以包括MITM網(wǎng)關(guān)所使用的信息�。IDi可以被配置為用戶@域(UserOrealm)13MITM網(wǎng)關(guān)可以從IDi恢復UE標識�����。MITM網(wǎng)關(guān)還可以基于UE標識來恢復為該UE服務的服務提供商的標識����。可以通過IMSI格式進行分析����,從而根據(jù)前導數(shù)位恢復移動國家代碼(MCC)和移動網(wǎng)絡(luò)代碼(麗C),或者進行域分析JCC與麗C結(jié)合使用唯一標識了服務提供商(或HPLMNhMITM網(wǎng)關(guān)可以標識所存儲的多個證書中哪個證書與服務提供商(或HPLMN)相對應����,并且MITM網(wǎng)關(guān)能夠?qū)⒃撟C書遞送至UE。由此�����,公共MITM網(wǎng)關(guān)能夠在多個服務提供商和服務提供商的多個HPLMN運營商之間有效共享����。因此,對于UE而言,虛擬化MITM服務顯然可被實現(xiàn)�。
[0109]DNS服務器733可以被配置為與SP網(wǎng)絡(luò)的其他DNS服務器(例如,SP網(wǎng)絡(luò)720的DNS月艮務器723)進行通信���,從而解析服務提供商的P-GW的網(wǎng)絡(luò)地址����。在至少一個實施例中����,MITM網(wǎng)關(guān)760可以針對SP網(wǎng)絡(luò)處的P-GW配置要用于DNS請求的特定FQDN。這可以基于服務提供商的偏好進行配置��。例如��,服務提供商可能偏好于來自源網(wǎng)絡(luò)的使用W1-Fi漫游交換的W1-Fi呼叫通信被路由至P-GW 724的特定實例�。該信息可由獲授權(quán)用戶在W1-Fi漫游交換中配置。
[0110]AAA服務器735可以被配置為與SP網(wǎng)絡(luò)的其他AAA服務器(例如���,SP網(wǎng)絡(luò)720的3GPPAAA服務器725)進行通信����,從而當UE 770從企業(yè)網(wǎng)絡(luò)780發(fā)起W1-Fi呼叫會話時對UE進行認證�����。該認證可以在MITM網(wǎng)關(guān)760與UE 770之間建立安全隧道之前進行。在至少一個實施例中��,可擴展認證協(xié)議(EAP)可被用來執(zhí)行認證���。然而,顯然地���,任何適當?shù)恼J證協(xié)議可被用來執(zhí)行認證��。在認證期間UE可以被唯一標識�。此外����,諸如W1-Fi呼叫會話的目的地(例如,SP網(wǎng)絡(luò)720)和源(例如���,企業(yè)網(wǎng)絡(luò)780)的外部網(wǎng)絡(luò)地址和內(nèi)部網(wǎng)絡(luò)地址之類的其他信息可被確定���。
[0111]在至少一個實施例中,如果UE先前被確定為受到危害�,則UE的標識可被用來防止建立IPSec會話。例如,當UE的標識(例如���,在EAP認證期間)被確定時��,可以針對如下方面做出確定:UE先前在使用W1-Fi呼叫時是否表現(xiàn)出不符合的流量���。在該情形下,W1-Fi漫游交換可以防止UE建立IPSec會話以防止UE 770通過企業(yè)網(wǎng)絡(luò)780調(diào)用W1-Fi呼叫服務�����。然而����,可能不能防止UE 770通過具有無限制訪問的公共網(wǎng)絡(luò)來使用W1-Fi呼叫。
[0112]在至少一個實施例中�����,收費網(wǎng)關(guān)734可以被配設(shè)于W1-Fi漫游交換中�,以針對穿越MITM網(wǎng)關(guān)760的W1-Fi呼叫會話生成呼叫詳情記錄(CDR)。⑶R中的信息可以包括但不限于W1-Fi呼叫會話的源(例如����,企業(yè)網(wǎng)絡(luò)780)和目的地(例如��,SP網(wǎng)絡(luò)720)的網(wǎng)絡(luò)地址以及發(fā)起該W1-Fi呼叫會話的UE的頂SI�����。
[0113]當對UE 770的認證成功���,可經(jīng)由企業(yè)網(wǎng)絡(luò)780在MITM網(wǎng)關(guān)760與UE 770之間建立安全隧道(例如�,IPSec隧道712-1)。此外��,可以在MITM網(wǎng)關(guān)760和SP網(wǎng)絡(luò)720的P-GW 724之間建立隧道����。可以使用通用分組無線服務(GPRS)隧道協(xié)議(GTP)來建立該另一隧道�����。在至少一個實施例中�����,可以在MITM網(wǎng)關(guān)760與P-GW 724之間通過虛擬專用網(wǎng)絡(luò)(VPN)713_1在虛擬專用網(wǎng)絡(luò)(VPN)隧道712-2中建立GTP隧道���。
[0114]當針對UE建立器隧道時����,在至少一個實施例中,用戶面能夠與安全分析模塊740相集成����。在至少一個實施例中,分組在W1-Fi呼叫會話期間被嵌入到MITM網(wǎng)關(guān)760與SP網(wǎng)絡(luò)720之間的GTP隧道中����。這樣的分組例如可以包括實時傳輸協(xié)議(RTP)和會話發(fā)起協(xié)議(SIP)。這些分組在W1-Fi呼叫會話期間可被鏡像到虛擬網(wǎng)絡(luò)分析模塊744�����。在至少一個實施例中���,如圖9所示����,GTP隧道流量可在717處被(例如�����,被交換端口分析器(SPAN))攔截并且被隧穿至vNAM 744。在另一實施例中��,如圖8所示�����,vNAM 744可以與GTP隧道串聯(lián)(in-line)放置以使得GTP分組可被攔截���、復制以及分析�����。在這些實施例中,vNAM 744可以被配置為打開分組并且對其進行分析��。
[0115]在替代實施例中���,流量鏡像可被用來當本地IP流量在GTP與IPSec之間進行切換時來對其進行鏡像�,隨后使用分析裝置來評估該流量��。具體地���,MITM網(wǎng)關(guān)760可以被配置為打開從UE 770接收到的或從SP網(wǎng)絡(luò)720接收到的分組����,并且將打開的分組的副本發(fā)送至vNAM744。對流量鏡像的控制可以經(jīng)由認證�����、授權(quán)和計費(AAA)服務器進行����。控制信令還可以標識源企業(yè)(例如���,通過源處相對于預配置的IP地址范圍的IP地址來標識)����。企業(yè)標識可(例如���,使用虛擬LAN或不同的鏡像頭部)被包括在經(jīng)鏡像的分組中��。
[0116]安全分析模塊能夠檢測通過隧道發(fā)送至UE770的任何異常分組�����。異常分組可以指示W(wǎng)1-Fi呼叫會話是一威脅����。異常分組的示例包括但不限于:使用W1-Fi呼叫會話中一般不使用的協(xié)議的分組,具有不尋常數(shù)據(jù)類型的分組�����,使用非標準端口的分組等等。在至少一個實施例中,vNAM 744可以基于對其接收的經(jīng)鏡像流量的分析來生成分析信息�。該分析信息可被饋送至相關(guān)器模塊742��,相關(guān)器模塊742可以將該分析信息與關(guān)聯(lián)于W1-Fi呼叫會話的控制面數(shù)據(jù)進行關(guān)聯(lián)。異常分組的具體示例可以包括非標準端口上的文件傳輸協(xié)議(FTP)��。
[0117]可以基于特定需求和實現(xiàn)方式�����,使用任意適當?shù)臋C制來獲得控制面數(shù)據(jù)。在一個實施例中���,由MITM網(wǎng)關(guān)760生成并通過信號發(fā)送至AAA服務器735的針對W1-Fi呼叫會話的認證�����、授權(quán)和計費(AAA)記錄可被提供給相關(guān)器模塊742���。在另一實施例中����,由MITM網(wǎng)關(guān)760生成并通過信號發(fā)送至收費網(wǎng)關(guān)734的針對W1-Fi呼叫會話的呼叫詳情記錄(CDR)可被提供給相關(guān)器模塊742AAA記錄和⑶R記錄可以包含控制面數(shù)據(jù)���,該控制面數(shù)據(jù)包括但不限于UE的頂S1��、UE的內(nèi)部IP地址���、源網(wǎng)絡(luò)(例如,企業(yè)網(wǎng)絡(luò)780)的外部IP地址以及SP網(wǎng)絡(luò)720的P-GW的IP地址�。在一些實現(xiàn)方式中,如果在MITM網(wǎng)關(guān)760上設(shè)置過濾器��,則這些過濾器可作為分離的子記錄而被報告�����。
[0118]W1-Fi漫游交換的企業(yè)門戶提供通過企業(yè)網(wǎng)絡(luò)建立的W1-Fi呼叫會話的可視性�����。該可視性可以最小化企業(yè)可能在IPSec隧道方面存在的安全問題。W1-Fi漫游交換還可以經(jīng)由服務提供商門戶提供服務提供商的可視性����。企業(yè)門戶和服務提供商門戶共同由安全智能儀表板750 (在本文中也被稱為“安全儀表板”)來表不。
[0119]安全儀表板可以向每個通過W1-Fi漫游交換實現(xiàn)W1-Fi呼叫會話的企業(yè)提供企業(yè)特定信息的分析視圖���。在至少一個實施例中��,特定企業(yè)可以查看針對其企業(yè)網(wǎng)絡(luò)進行的(或嘗試進行的)所有W1-Fi呼叫會話的分析�����。根據(jù)特定時間內(nèi)進行的呼叫��,特定時間的這些分析可以包括一個或多個UE和一個或多個服務提供商�。因此����,IPSec更有可能在企業(yè)LAN上被支持。顯然地�,安全儀表板可以提供通過W1-Fi漫游交換實現(xiàn)W1-Fi呼叫會話的任何源網(wǎng)絡(luò)的分析視圖���。
[0120]安全儀表板750還可以將服務提供商特定信息的分析視圖提供給服務提供商��,這些服務提供商允許W1-Fi漫游交換配置和使用其證書來由其訂戶UE通過W1-Fi漫游交換建立W1-Fi呼叫會話�。在至少一個實施例中,特定服務提供商可以查看從其訂戶UE經(jīng)由源網(wǎng)絡(luò)的W1-Fi進行的(或嘗試進行的)所有W1-Fi呼叫會話的分析���,其中源網(wǎng)絡(luò)將這些W1-Fi呼叫通信重定向至W1-Fi漫游交換����。根據(jù)特定時間內(nèi)進行的呼叫�����,特定時間的這些分析可以包括一個或多個UE和一個或多個源網(wǎng)絡(luò)(例如�,企業(yè)網(wǎng)絡(luò)720)。
[0121]在圖9中�,可由安全儀表板750和/或安全分析模塊740利用策略模塊758。在網(wǎng)絡(luò)流量已被分析并且被(例如�����,被安全分析模塊740)與控制面數(shù)據(jù)進行關(guān)聯(lián)之后��,可以做出關(guān)于該網(wǎng)絡(luò)流量是否違背任何策略的確定��。這樣的策略可以特定于源網(wǎng)絡(luò)(例如���,企業(yè)網(wǎng)絡(luò)720),服務提供商網(wǎng)絡(luò)(例如�����,SP網(wǎng)絡(luò)720)或這些網(wǎng)絡(luò)的任意適當組合��。例如���,vNAM 744可以確定該網(wǎng)絡(luò)流量表明攻擊���,并且相關(guān)器模塊744可以標識與該網(wǎng)絡(luò)流量相關(guān)聯(lián)的UE??梢宰龀鋈缦麓_定:被標識的特定攻擊違背了企業(yè)策略,因而可以基于適當策略對W1-Fi呼叫會話執(zhí)行動作���?��?蓤?zhí)行的動作可以包括但不限于:阻塞當前會話、終止當前會話����、隔離當前會話的用戶流和/或阻塞未來由與所標識的攻擊相關(guān)聯(lián)的同一 UE發(fā)起的會話。在至少一些場景中����,例如,安全儀表板750可以被配置為允許企業(yè)或服務提供商的獲授權(quán)代理(例如��,人工代理或軟件代理)來經(jīng)由儀表板發(fā)布適當?shù)闹噶?,從而實時采取校正動作。
[0122]各種方法可被用來終止W1-Fi呼叫會話或終止對建立W1-Fi呼叫會話的嘗試�����。在一個示例中�,如果對建立W1-Fi呼叫會話的嘗試尚未完成,則可以通過結(jié)束與W1-Fi漫游交換中的AAA服務器735進行的交換來終止對建立W1-Fi呼叫會話的嘗試���。在另一示例中�����,對于被標識為威脅的特定W1-Fi呼叫會話���,信息可被傳遞至SP網(wǎng)絡(luò)720,相應的訪問請求或與該W1-Fi 呼叫會話相關(guān)聯(lián)的其他分組可以被標記��,并且 SP 網(wǎng)絡(luò)可以拒絕對所標記的分組的訪問�����。應當注意,這些是可以被實現(xiàn)的說明性的可能技術(shù)�,可以使用任意其他適當技術(shù)。
[0123]在至少一個實施例中�,W1-Fi漫游交換還可以包括服務質(zhì)量(QoS)集成服務器731,用于對穿越企業(yè)網(wǎng)絡(luò)的W1-Fi呼叫流量優(yōu)先考慮�����。企業(yè)網(wǎng)絡(luò)780僅查看安全隧道����,而不能確定隧道的內(nèi)容。當網(wǎng)絡(luò)流量已被評估并且被確定為有效W1-Fi呼叫通信時���,QoS集成服務器731可以從安全分析模塊740接收信息��。例如�����,vNAM可以預期針對來自UE 770的合法W1-Fi呼叫流量來查看實時傳輸(RTP)分組和/或會話發(fā)起協(xié)議(SIP)分組�。因此��,如果這些分組被vNAM 744標識,則這樣的信息可被饋送至QoS集成服務器731�,以指示W(wǎng)1-Fi呼叫會話不被視作威脅。
[0124]響應于接收指示特定W1-Fi呼叫會話不是威脅的信息�����,QoS集成服務器731可以向企業(yè)網(wǎng)絡(luò)發(fā)送請求以對W1-Fi呼叫會話的網(wǎng)絡(luò)流量優(yōu)先考慮�����。該請求可以經(jīng)由QoS集成服務器731與企業(yè)網(wǎng)絡(luò)780之間建立的安全信令鏈路(例如��,VPN 713-2的安全隧道或使得在兩個域之間進行安全通信的任意其他適當技術(shù))被發(fā)送��。在至少一個實施例中��,在指示W(wǎng)1-Fi呼叫會話不是威脅的信息被QoS集成服務器731接收之前����,該安全隧道可以被建立����。在其他實施例中,該安全隧道可以響應于接收到W1-Fi呼叫會話不是威脅的通知而被建立��。在一個特定實現(xiàn)方式中,可以在QoS集成服務器731與企業(yè)網(wǎng)絡(luò)780中的控制器(未示出)之間建立安全隧道����,該控制器可以將控制流量從QoS集成服務器731轉(zhuǎn)發(fā)至WLC 784。
[0125]在至少一個實施例中��,安全分析模塊可以是數(shù)據(jù)智能系統(tǒng)40的安全分析模塊�����。數(shù)據(jù)智能系統(tǒng)40的顯示引擎例如可以由安全儀表板750用來向企業(yè)提供針對當端用戶處于企業(yè)處所時進行的W1-Fi呼叫的安全分析信息���。盡管本文已經(jīng)相對于W1-Fi呼叫服務和數(shù)據(jù)智能系統(tǒng)40討論了實施例��,但顯然�����,由于在安全隧道內(nèi)隱藏流量而觸發(fā)網(wǎng)絡(luò)安全問題的企業(yè)網(wǎng)絡(luò)的任何服務也可以得益于本文所公開的安全概念���。
[0126]另外,顯然地�,各種替代實現(xiàn)方式可被應用于本文所描述的廣義概念。在一個特定替代實現(xiàn)方式中,MITM網(wǎng)關(guān)760和VPN隧道712-2可以被配設(shè)于企業(yè)網(wǎng)絡(luò)780中��。因此���,安全隧道(例如����,IPSec)712-l可以被在企業(yè)網(wǎng)絡(luò)中建立和維護�����。在至少一個實施例中����,各種其他組件(例如�,安全分析模塊740、安全儀表板750���、QoS集成服務器731等)可以保留在安全云730的W1-Fi漫游交換中����。在該示例中��,每個MITM網(wǎng)關(guān)可專用于來自該網(wǎng)關(guān)被配設(shè)于的特定源網(wǎng)絡(luò)的W1-Fi呼叫會話���。
[0127]轉(zhuǎn)向圖10和圖11A-11C�����,簡化交互圖示出了可根據(jù)本文所描述的實施例發(fā)生的至少一些通信���。圖10示出了重定向模塊788的替代的可能實施例�,其用于當UE 770在企業(yè)網(wǎng)絡(luò)780的W1-Fi范圍之內(nèi)使用W1-Fi呼叫應用發(fā)起W1-Fi呼叫時�����,將W1-Fi呼叫通信重定向至W1-Fi漫游交換����。圖10包括交互,這些交互涉及UE 770�����、企業(yè)網(wǎng)絡(luò)780的DNS服務器783�����、企業(yè)網(wǎng)絡(luò)780的網(wǎng)絡(luò)地址轉(zhuǎn)換器(NAT)服務器787、W1-Fi漫游交換的MITM網(wǎng)關(guān)760以及SP網(wǎng)絡(luò)720的DNS服務器723����。
[0128]重定向模塊788的一個實施例包括NAT重定向流程1000,該NAT重定向流程1000使用網(wǎng)絡(luò)地址轉(zhuǎn)換來將通信從UE 770重定向至MITM 760�,而不是直接路由至SP網(wǎng)絡(luò)720。在NAT重定向流程中�����,當W1-Fi呼叫由UE 770在企業(yè)網(wǎng)絡(luò)處發(fā)起時���,在1002處����,DNS查詢被發(fā)送�。DNS查詢被發(fā)送以解析SP網(wǎng)絡(luò)的全稱域名(FQDN)����,其中UE被授權(quán)以基于訂閱從該SP網(wǎng)絡(luò)獲得移動無線服務。在至少一個場景中�����,UE可以基于訂閱被授權(quán)以從SP網(wǎng)絡(luò)獲得移動無線服務。在該示例中���,F(xiàn)QDN對應于SP網(wǎng)絡(luò)720����。首先����,DNS查詢可被發(fā)送至企業(yè)網(wǎng)絡(luò)780中的DNS月艮務器783,然后可能被路由至SP網(wǎng)絡(luò)720的DNS服務器725����。在1004處,包括SP網(wǎng)絡(luò)720的IP地址的DNS響應被發(fā)送至UE 770����。具體地,ePDG的外部IP地址可以被提供于DNS響應中��。在該示例場景中�����,被返回至UE 770的外部IP地址為IP04����。
[0129]在至少一個實施例中�����,互聯(lián)網(wǎng)密鑰交換協(xié)議版本2可以被用來建立UE上的W1-Fi呼叫應用所需的將W1-Fi呼叫通信從UE 770傳輸至SP網(wǎng)絡(luò)720的安全隧道���。本文為了便于說明,交互流程中的協(xié)議消息可以參照IKEv2協(xié)議進行描述�����。然而�����,顯然地����,可以使用任意其他適當協(xié)議��,并且可以相應修改特定協(xié)議通信從而實現(xiàn)相同結(jié)果�����。
[0130]在1006處,UE 770可以發(fā)送初始化安全隧道的請求(例如�,IKE_SA_INIT)以傳輸W1-Fi呼叫通信。該請求可以包括目的地和源�����,其中目的地為DNS響應中所返回的IP地址�,源為企業(yè)網(wǎng)絡(luò)780的內(nèi)部源IP地址。在該示例中���,企業(yè)網(wǎng)絡(luò)780的內(nèi)部源IP地址是IPOl��。在1008處��,NAT服務器787可以利用MITM網(wǎng)關(guān)760的IP地址來轉(zhuǎn)換目的地地址(例如�����,IP(M)���。在該示例中,MITM網(wǎng)關(guān)的IP地址被稱為“eTOG IP@” JAT服務器也可以將內(nèi)部源地址轉(zhuǎn)換為企業(yè)網(wǎng)絡(luò)的外部源IP地址�。在該示例中,外部源IP地址是IP02����。
[0131]在1010處�,NAT服務器可以基于網(wǎng)絡(luò)地址轉(zhuǎn)換��,使用新的源地址和目的地地址來發(fā)送安全隧道初始化請求���。在該示例中���,企業(yè)網(wǎng)絡(luò)的外部源IP地址是IP02 O由于對W1-Fi呼叫通信的預配置轉(zhuǎn)換,該請求的目的地IP地址是ePDG ΙΡ0��。在至少一個實施例中�����,由UE發(fā)送的每個W1-Fi呼叫通信可由NAT服務器787進行轉(zhuǎn)換以將該通信重定向至W1-Fi漫游交換��。
[0132]重定向模塊788的另一實施例包括DNS重定向流程1020�����,其使用域名系統(tǒng)(DNS)重定向?qū)⑼ㄐ艔腢E 770重定向至MITM 760����,而不是直接路由至SP網(wǎng)絡(luò)720。在DNS重定向流程中��,當W1-Fi呼叫由UE 770在企業(yè)網(wǎng)絡(luò)處發(fā)起時��,在1022處��,DNS查詢被發(fā)送����。DNS查詢可以與先前參照1002所描述的相同。DNS查詢可以被發(fā)送至企業(yè)網(wǎng)絡(luò)780的DNS服務器783�。在1024處,DNS服務器783被配置為利用MITM網(wǎng)關(guān)760的網(wǎng)絡(luò)地址來覆寫經(jīng)解析的H)QN��。在該場景中�����,MITM網(wǎng)關(guān)的地址是ePDG ΙΡ0����。在1026處,包含MITM網(wǎng)關(guān)760的IP地址的DNS響應被發(fā)送至UE 770����。
[0133]在1028處�����,UE 770可以發(fā)送初始化安全隧道的請求(例如�,IKE_SA_INIT)以傳輸W1-Fi呼叫通信��。該請求可以包括作為目的地地址的DNS響應中所返回的IP地址以及作為源地址的企業(yè)網(wǎng)絡(luò)780的內(nèi)容部IP地址(或者如果使用了網(wǎng)絡(luò)地址轉(zhuǎn)換���,則將外部IP地址作為源地址)��。在該場景中���,由于DNS覆寫,源地址是IPOl����,目的地地址是ePDG ΙΡ0。在至少一個實施例中�,一旦H)QN被DNS服務器785解析,則UE可以繼續(xù)使用DNS響應所返回的IP地址作為其W1-Fi呼叫通信的目的地地址��,而無需重復的DNS查詢�����。
[0134]圖11A-11C示出了根據(jù)本文所描述的至少一個實施例的由UE770從企業(yè)網(wǎng)絡(luò)780建立W1-Fi呼叫會話的交互流程1100。圖11A-11C包括交互�,這些交互涉及:a)企業(yè)網(wǎng)絡(luò)780處的UE 770;b)W1-Fi漫游交換的MITM網(wǎng)關(guān)760�����、安全儀表板750��、AAA服務器735�����、收費網(wǎng)關(guān)(CGF)734,vNAM 744以及相關(guān)器模塊742;以及c)SP網(wǎng)絡(luò)720的DNS服務器723�����、P_GW 724以及AAA服務器725��。應當注意�,交互流程1100可以發(fā)生于已經(jīng)進行了安全隧道初始化請求和響應之后。參照圖10所描述的DNS覆寫或目的地IP NAT轉(zhuǎn)換或者另一適當?shù)闹囟ㄏ蚣夹g(shù)可在交互流程1100之前被執(zhí)行���。
[0135]在1102處��,安全隧道授權(quán)請求(例如���,IKE_AUTH)可以被從UE 770發(fā)送至MITM網(wǎng)關(guān)760���。在至少一個實施例中,該請求可以包括目的地地址(例如�����,ePDG IPi)�����、源地址(例如����,基于是否使用NAT為IPOl或2)、標識-發(fā)起方(IDi)以及標識-響應方(IDr) JDi可以采用“UE標識@域(UE identityOrealm)”的形式�。IDr可以是具有運營商部分和網(wǎng)絡(luò)部分的接入點名稱(APN)。在1104處�,MITM網(wǎng)關(guān)760可以基于IDi中的域來標識與UE相關(guān)聯(lián)的服務提供商。在1106處���,MITM網(wǎng)關(guān)可以針對所標識的服務提供商來標識證書�����。在至少一個實施例中�,該證書可從證書存儲設(shè)備732中獲得,其中證書存儲設(shè)備732可被預配置有證書和服務提供商標識���。在1108處,MITM網(wǎng)關(guān)760可以嘗試認證UE�。在至少一個實施例中,AAA服務器735和725可以被用來基于可擴展認證協(xié)議(EAP)執(zhí)行認證���。MITM網(wǎng)關(guān)760可以向AAA服務器735發(fā)送認證和授權(quán)(AA)請求�����。AA請求可以包括EAP參數(shù)和UE的全球移動用戶標識(MSI)�����。
[0136]在至少一個實施例中��,AA請求可以被轉(zhuǎn)發(fā)至相關(guān)器模塊742��。在1110處����,相關(guān)器模塊可以確定IMSI是否與已受危害的UE相關(guān)聯(lián)。該確定可以基于UE的在先歷史來做出�。例如,如果UE先前通過W1-Fi呼叫會話表現(xiàn)出不符合的流量����,或者違背與企業(yè)網(wǎng)絡(luò)相關(guān)聯(lián)的策略,則先前可能已存儲了指示頂SI與受到危害的UE相關(guān)聯(lián)的MSI的信息�。如果(例如,基于其MSI)做出了UE受到危害的確定�,則AAA交換可以被終止,并且不建立針對UE所請求的W1-Fi呼叫會話的安全隧道���。因此��,UE 770被防止經(jīng)由企業(yè)網(wǎng)絡(luò)780的W1-Fi來建立W1-Fi呼叫會話��。然而���,UE可以經(jīng)由W1-Fi訪問不安全網(wǎng)絡(luò)或者經(jīng)由可用的移動無線技術(shù)來訪問SP網(wǎng)絡(luò)720,從而進行W1-Fi呼叫�����。
[0137]如果頂SI被確定為不與受到危害的UE相關(guān)聯(lián),則在1112處���,AA請求可以被轉(zhuǎn)發(fā)至SP網(wǎng)絡(luò)720中的AAA服務器725��。在1114處���,AA響應可被發(fā)送至AAA服務器735,隨后被轉(zhuǎn)發(fā)至MITM網(wǎng)關(guān)760�����。在1116處���,MITM網(wǎng)關(guān)760可以將安全隧道授權(quán)響應發(fā)送至UE 770。該授權(quán)響應可以包括EAP消息和針對服務提供商所標識的證書����。
[0138]在1118處,EAP交換可以在W1-Fi漫游交換和SP網(wǎng)絡(luò)的AAA服務器之間繼續(xù)���。在至少一個實施例中����,可以使用EAP認證和密鑰協(xié)定(EAP-AKA)方法。EAP-AKA是基于從歸屬位置寄存器(HLR)和歸屬訂戶服務器(HSS)獲得的信息��,對W1-Fi用戶的認證����。HLR包含訂戶數(shù)據(jù)和與呼叫路由相關(guān)的信息。HSS是針對給定移動無線訂戶的���、包含訂閱相關(guān)信息的數(shù)據(jù)庫�。在EAP-AKA認證中�,可以使用挑戰(zhàn)-響應機制和對稱密碼學。
[0139]在1120處��,如果EAP交換成功���,則SP網(wǎng)絡(luò)720中的AAA服務器可以向W1-Fi漫游交換中的AAA服務器發(fā)送AA應答��。AA應答可以包括EAP交換成功的指示����。W1-Fi漫游交換中的AAA服務器可以將AA應答轉(zhuǎn)發(fā)至MITM網(wǎng)關(guān)760�。在1122處,MITM網(wǎng)關(guān)可以向UE發(fā)送對安全隧道授權(quán)請求的響應�。該響應可以指示EAP交換成功�����,因而UE已被認證�����。
[0140]在圖1lB中��,在1124處����,UE 770可以向MITM網(wǎng)關(guān)760發(fā)送另一安全隧道授權(quán)請求���,以確定要用于W1-Fi呼叫會話的地址。授權(quán)請求可以包括IDr����,IDr可以是與SP網(wǎng)絡(luò)720相關(guān)聯(lián)的接入點名稱(APN) ^PN可以包括運營商標識(OI)和網(wǎng)絡(luò)標識(NI) JPN OI可以定義網(wǎng)關(guān)GPRS支持節(jié)點(GGSN)所位于的服務提供商的分組域網(wǎng)絡(luò)。APN NI可以定義GGSN所連接的外部網(wǎng)絡(luò)���。
[0141]在1126處�����,MITM網(wǎng)關(guān)760可以基于授權(quán)請求中的APN獲得APN運營商標識符(APN01)代替物��。APN的APN NI可以被用來標識APN OI代替物����。在至少一個實現(xiàn)方式中,針對SP網(wǎng)絡(luò)720的APN OI代替物被存儲于證書存儲設(shè)備732中���。當APN OI代替物被標識時�����,其可被添加到APN中����。出于說明的目的�����,示例APN可以是“epc.mncl5.mcc235.3gppnetwork.0rg”�,其中,“epc” 是APN NI����,并且 “mncl5.mcc235.3gppnetwork.0rg” 是已被添加到APN NI 中的APNOI代替物��。
[0142]在1128處���,DNS查詢可以由MITM網(wǎng)關(guān)發(fā)送至SP網(wǎng)絡(luò)中的DNS服務器723 ANS查詢可以包含APN,其包括網(wǎng)絡(luò)標識符和運營商標識符��。在1130處�,DNS響應被從DNS服務器723發(fā)送至MITM網(wǎng)關(guān)。DNS響應可以包含SP網(wǎng)絡(luò)中的P-GW 724的IP地址�。在1132處,MITM網(wǎng)關(guān)可以將GTP創(chuàng)建會話請求發(fā)送至P-GW 724�,以在W1-Fi漫游交換與SP網(wǎng)絡(luò)之間建立用于W1-Fi呼叫的安全隧道。GTP創(chuàng)建會話請求被發(fā)送至在1130處的響應中所接收的IP地址以到達SP網(wǎng)絡(luò)720中的P-GWATP創(chuàng)建會話請求可以包括UE 770的IMSI和APN�。在1134處,P-GW 724可以向MITM網(wǎng)關(guān)發(fā)送響應��。如果該響應被發(fā)送以建立GTP隧道����,則該響應可以包括由P-GW 724分配給UE 770的內(nèi)部IP地址�����,該內(nèi)部IP地址可被用于經(jīng)由GTP隧道發(fā)送流量��。在該示例中,內(nèi)部IP地址為IP03XTP隧道在1136處被建立��。
[0143]在1138處����,MITM網(wǎng)關(guān)760可以向UE 770發(fā)送安全隧道授權(quán)響應。授權(quán)響應可以包括配置凈負荷�,該配置凈負荷包括但不限于由SP網(wǎng)絡(luò)720中的P-GW 724分配給UE 770的內(nèi)部IP地址。在1140處����,可在UE 770與MITM網(wǎng)關(guān)760之間建立安全隧道(例如,IPSec隧道)����。
[0144]當安全隧道被建立時,控制面數(shù)據(jù)可被生成并且被提供給相關(guān)器模塊742���??梢圆捎肅D R和/或AAA記錄的形式來生成控制面數(shù)據(jù)�。在114 2處,AA請求開始消息可被從W 1-F i漫游交換中的MITM網(wǎng)關(guān)760發(fā)送至AAA服務器735�。該請求可以包括但不限于頂S1、P-GW 724的IP地址、UE 770的內(nèi)部IP地址以及UE 770的隧道的外部源IP地址��。AAA服務器735可以生成具有該信息的AAA記錄����,并且在1144處,AAA服務器735可以將AAA記錄發(fā)送至相關(guān)器模塊742��。在1146處���,AAA服務器735可以向MITM網(wǎng)關(guān)發(fā)送響應��。
[0145]在1148處�,呼叫詳情請求可以被從W1-Fi漫游交換中的MITM網(wǎng)關(guān)760發(fā)送至收費網(wǎng)關(guān)(CGF)734�����。該請求可以包括但不限于IMS1�、P-GW724的IP地址、UE 770的內(nèi)部IP地址以及UE 770的隧道的外部源IP地址�。收費服務器734可以生成具有該信息的呼叫詳情記錄(⑶R),并且在1150處����,收費服務器734可以將⑶R發(fā)送至相關(guān)器模塊742。
[0146]如圖1lC所示����,在1152處,W1-Fi呼叫會話的網(wǎng)絡(luò)流量可通過W1-Fi漫游交換經(jīng)由安全隧道在UE 770和SP網(wǎng)絡(luò)的P-GW 724之間進行傳輸���。流量鏡像1154(其實施例本文先前已描述)使得經(jīng)隧穿的分組被攔截并被復制到W1-Fi漫游交換中的虛擬網(wǎng)絡(luò)分析模塊(vNAM)744以供分析�。從1156至1166的流程對在經(jīng)隧穿的分組被發(fā)送至vNAM 744時可進行的動作和分析進行說明����。
[0147]當vNAM接收到W1-Fi呼叫分組時,分組可被打開��,并且其內(nèi)容可被分析����。在1156處,分析信息可被發(fā)送至相關(guān)器模塊742��。此外��,該分組中所包括的UE 770的內(nèi)部IP地址也可以被提供給相關(guān)器模塊�����。在1158處,相關(guān)器模塊可以將內(nèi)部IP地址與UE 770的頂SI進行關(guān)聯(lián)�����。因此�,UE 770的IMSI可以與W1-Fi呼叫分組相關(guān)聯(lián)。策略可被評估以確定W1-Fi呼叫分組是否已違背任何策略和/或如果違背已發(fā)生則執(zhí)行什么動作�。
[0148]在1160處,關(guān)聯(lián)和分析的結(jié)果可被提供給安全儀表板750�����。安全儀表板可以經(jīng)由用戶界面將分析信息提供給與企業(yè)網(wǎng)絡(luò)780或SP網(wǎng)絡(luò)720相關(guān)聯(lián)的經(jīng)認證用戶��。與來自特定源網(wǎng)絡(luò)的W1-Fi呼叫會話相關(guān)的信息對于與該源(例如�,企業(yè))相關(guān)聯(lián)的經(jīng)授權(quán)用戶而言可以是可獲得的。與經(jīng)由特定服務提供商的W1-Fi呼叫會話相關(guān)的信息對于與該服務提供商相關(guān)聯(lián)的經(jīng)授權(quán)用戶而言可以是可獲得的����。
[0149]如果W1-Fi呼叫分組被確定違背了策略,則在1162處�����,相關(guān)器模塊可以記錄UE可能的(或?qū)嶋H的)受危害狀態(tài)的指示����。該記錄可以基于UE的頂SI�����。在至少一個示例中,如果UE已被確定為處于受危害狀態(tài)�����,則有關(guān)策略可以要求終止W1-Fi呼叫會話��。在該情形中�����,在1164處��,相關(guān)器模塊744可以發(fā)送指令以終止W1-Fi呼叫會話�����。在至少一個實施例中����,在1164處����,指令可被發(fā)送至AAA服務器735��,AAA服務器735可以將適當?shù)闹噶钐峁┙oMITM網(wǎng)關(guān)760����。在1166處,受危害的IMSI會話可被刪除�����。然而����,顯然地,可以采取其他附加的或替換的動作�。例如,W1-Fi呼叫會話流可被隔離����,警告可被發(fā)送給管理員等。
[0150]轉(zhuǎn)向圖12����,圖12是可被在W1-Fi呼叫系統(tǒng)700的至少一個實施例中執(zhí)行的可能操作的簡化流程圖1200����。一組或多組操作可以對應于圖12的活動����。在至少一個實施例中,安全云730中的W1-Fi漫游交換可以包括諸如一個或多個處理器(例如��,處理器737)之類的用于執(zhí)行操作的裝置�����。在一個示例中���,至少一些操作可由MITM網(wǎng)關(guān)760和安全分析模塊740(當被諸如處理器737之類的一個或多個處理器運行時)來執(zhí)行。
[0151]在1202處���,授權(quán)請求可被從UE接收以建立從源網(wǎng)絡(luò)(例如����,企業(yè)網(wǎng)絡(luò)780)至W1-Fi漫游交換中的MITM網(wǎng)關(guān)(例如���,MITM網(wǎng)關(guān)760)的安全隧道�����。在1204處�,UE的服務提供商可以被標識。在至少一個實施例中��,服務提供商是基于授權(quán)請求中所提供的網(wǎng)絡(luò)接入標識符(例如���,域)而被標識的�����。在1206處���,與所標識的服務提供商相對應的證書被標識。在一個示例中����,證書可被預配置并且例如被存儲于證書存儲設(shè)備(例如,安全云730的W1-Fi漫游交換中的證書存儲設(shè)備732)中�����。
[0152]在1208處,關(guān)于UE是否受到危害做出確定�����。該確定可以至少部分基于由UE從W1-Fi源網(wǎng)絡(luò)發(fā)起的一個或多個在先呼叫來做出���。例如���,當W1-Fi漫游交換做出UE受到危害的確定時,該信息可被存儲(例如�����,被存儲在存儲器元件739中)以指示UE狀態(tài)(例如���,受到危害、可能受到危害等)���,以供稍后在UE嘗試從同一W1-Fi源網(wǎng)絡(luò)進行另一W1-Fi呼叫時進行訪問�����。因此�,如果所存儲的UE狀態(tài)如在1210處所評估的指示UE受到危害����,則在1212處�,可以基于策略采取動作���。在一個示例中�����,該策略可以要求終止該會話發(fā)起過程�,以使得針對UE的W1-Fi呼叫會話不建立安全隧道�����。在其他實現(xiàn)方式中���,可以采取其他動作(例如�����,隔離�、警告管理員等)��。另外,UE的不同狀態(tài)可具有要求采取不同動作的不同策略����。在1214處,UE標識符(例如���,IMSI)和UE狀態(tài)可按需被存儲以供稍后訪問�。
[0153]如果在1210處確定UE不受到危害�����,則在1216處���,所標識的與UE的服務提供商相關(guān)聯(lián)的證書被發(fā)送至UE�����。在1218處,UE可被認證�。在一個示例中,EAP-AKA交換可在UE與UE嘗試與其建立W1-Fi呼叫會話的SP網(wǎng)絡(luò)中的AAA服務器之間執(zhí)行����。一旦UE認證成功,在1220處,確定要用于W1-Fi呼叫會話的網(wǎng)絡(luò)地址��。對于UE嘗試與其建立W1-Fi呼叫會話的SP網(wǎng)絡(luò)�,這可以是網(wǎng)絡(luò)地址、UE 770的外部IP和UE 770的內(nèi)部IP��。
[0154]如果UE認證成功并且獲得P-GW的網(wǎng)絡(luò)地址�,則在1222處,可在W1-Fi漫游交換與SP網(wǎng)絡(luò)之間建立安全隧道�。在一個示例中,安全隧道可以是從W1-Fi漫游交換中的MITM網(wǎng)關(guān)到SP網(wǎng)絡(luò)中的P-GW的GTP隧道���。在1224處����,可以在W1-Fi漫游交換與UE之間建立安全隧道��。具體地�����,安全隧道可以是從W1-Fi漫游交換中的MITM網(wǎng)關(guān)經(jīng)由W1-Fi源網(wǎng)絡(luò)至UE的IPSec隧道���。
[0155]當安全隧道已建立時����,在1226處,控制面元數(shù)據(jù)可被生成并被提供給W1-Fi漫游交換中的安全分析模塊�����??刂泼嬖獢?shù)據(jù)可由AAA服務器在AAA記錄中生成或者可由收費網(wǎng)關(guān)在CDR中生成?����?刂泼嬖獢?shù)據(jù)可以包括但不限于UE的IMS1�、UE內(nèi)部和外部IP地址。還可以包括P-Gff IP地址���。
[0156]圖13A和圖13B分別是可被在W1-Fi呼叫系統(tǒng)700的至少一個實施例中執(zhí)行的其他可能操作的簡化流程圖1300和1320��。一組或多組操作可以對應于圖13A和圖13B的活動�����。在至少一個實施例中,安全云730中的W1-Fi漫游交換可以包括諸如一個或多個處理器(例如�����,處理器737)之類的用于執(zhí)行操作的裝置。在一個示例中��,至少一些操作可由MITM網(wǎng)關(guān)760����、安全分析模塊740和QoS集成服務器731(當被諸如處理器737之類的一個或多個處理器運行時)來執(zhí)行。流程圖1300和1320示出可在UE經(jīng)由W1-Fi漫游交換與其SP網(wǎng)絡(luò)建立起W1-Fi呼叫會話之后被執(zhí)行的操作����,其中,UE通過源網(wǎng)絡(luò)處的W1-Fi發(fā)起會話���。
[0157]在流程圖1300中�,在1302處�����,與W1-Fi呼叫會話相關(guān)聯(lián)的隧穿分組被攔截����。該分組可以是從UE接收到的分組或者從SP網(wǎng)絡(luò)接收到的分組。在1304處���,在WiFi漫游交換中����,被攔截的分組可以被復制(或鏡像)到安全分析模塊。在1306處��,安全分析模塊可以分析所復制的分組并且生成分析信息�。分析分組可以包括通過去除頭部來打開分組以及分析分組的內(nèi)容。數(shù)據(jù)類型和/或協(xié)議類型可以被標識�。例如,W1-Fi呼叫會話一般可以包括RTP和SIP網(wǎng)絡(luò)流量���。分析信息可被提供給相關(guān)器模塊��。
[0158]在1308處�,W1-Fi呼叫會話的控制面元數(shù)據(jù)可以與分析信息關(guān)聯(lián)����。在一個示例中,UE在SP網(wǎng)絡(luò)中的內(nèi)部IP地址可從分組的頭部來標識�����?���?稍L問在W1-Fi呼叫會話的初始化期間獲得的控制面數(shù)據(jù),并且可將P-GW的IP地址與UE的頂SI關(guān)聯(lián)�。
[0159]在1310處,可以關(guān)于分析信息是否指示已違背策略做出確定��。例如�����,如果網(wǎng)絡(luò)流量正在使用非標準協(xié)議(例如�,除RTP或SIP以外的協(xié)議),則對于其中W1-Fi呼叫會話被發(fā)起的特定源網(wǎng)絡(luò)�,這可能違背策略。如果做出了被攔截的網(wǎng)絡(luò)流量違背策略的確定���,則在1312處�,可以至少部分基于該策略采取動作����。可以基于不同類型的策略違背并且依賴于配置該策略所針對的特定源網(wǎng)絡(luò)�����,來采取不同的動作。例如��,如果網(wǎng)絡(luò)流量被確定為是非標準的���,則特定源網(wǎng)絡(luò)的策略可以要求終止W1-Fi呼叫會話���。在另一示例中,除了或者代替終止會話����,源網(wǎng)絡(luò)的策略可以要求(例如,向網(wǎng)絡(luò)管理員)發(fā)送警告���。顯然地����,可以基于特定需求和實現(xiàn)方式來執(zhí)行任意數(shù)目的動作��。
[0160]在1314處�����,可以關(guān)于是否有更多的分組穿越W1-Fi呼叫會話的安全隧道做出確定。如果更多的分組被檢測到�����,則流程返回至1302�,在1302處����,分組被攔截并且流程再次繼續(xù)。如果沒有檢測到更多分組����,或者如果檢測到會話結(jié)束指示,則流程可以結(jié)束����。
[0161]在1310處,如果策略未被確定為被違背�,則流程可以行進至圖13B中流程圖1320的1322。在1322處��,關(guān)于是否已經(jīng)發(fā)送在源網(wǎng)絡(luò)中對UE流優(yōu)先考慮的指令做出確定����。如果是,這指示其他被攔截的分組被確定為未違背任何策略。在該情形中�����,流程行進至圖13A中的1314ο
[0162]如果在1322處確定在源網(wǎng)絡(luò)中對UE流優(yōu)先考慮的指令先前未被發(fā)送�����,則這可以指示W(wǎng)1-Fi呼叫會話是新建立的�。流程可以行進至1324,在1324處�����,關(guān)于被攔截的分組中的數(shù)據(jù)類型通常是否用于W1-Fi呼叫會話做出確定���。例如����,如果被攔截的分組中的數(shù)據(jù)類型通常不被用于W1-Fi呼叫會話�����,則網(wǎng)絡(luò)流量可能還需要評估并且不應被源網(wǎng)絡(luò)優(yōu)先考慮�。因此,流程可以行進至圖13Α中的1314。
[0163]如果RTP或SIP協(xié)議在被攔截的分組中被標識�����,或者如果類似類型的語音分組在被攔截的分組中被標識�����,則可以推斷W1-Fi呼叫會話處于正常的呼叫狀態(tài)��。在該情形中����,流程可以行進至1326����,在1326處,可以關(guān)于策略是否要求由源網(wǎng)絡(luò)對W1-Fi呼叫會話優(yōu)先考慮進行評估���。如果策略不要求優(yōu)先考慮���,則流程可以行進至圖13Α中的1314。然而�����,如果策略要求優(yōu)先考慮,則流程可以行進至1328�,在1328處,在W1-Fi漫游交換(例如�,QoS集成服務器731)和源網(wǎng)絡(luò)之間建立安全通信隧道。隨后在1330處��,指令可被發(fā)送至源網(wǎng)絡(luò)以在當前建立的W1-Fi呼叫會話期間對UE的流優(yōu)先考慮�����。
[0164]變體和實現(xiàn)方式
[0165]在本公開的上下文中���,通信系統(tǒng)10表示互連通信路徑的一系列點���、節(jié)點或網(wǎng)絡(luò)元件,以用于接收和發(fā)送通過通信系統(tǒng)10傳播的信息分組��,其中�,通信系統(tǒng)10可以包括W1-Fi呼叫系統(tǒng)700。通信系統(tǒng)10提供源和/或主機之間的通信接口����,并且可以是任意局域網(wǎng)(LAN)�����、虛擬局域網(wǎng)(VLAN)����、無線局域網(wǎng)(WLAN)��、虛擬專用網(wǎng)絡(luò)(VPN)�����、城域網(wǎng)(MAN)�、廣域網(wǎng)(WAN)���,例如���,互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)�、外聯(lián)網(wǎng)或根據(jù)網(wǎng)絡(luò)拓撲促進網(wǎng)絡(luò)環(huán)境中的通信的任意其他適當?shù)募軜?gòu)或系統(tǒng)。通信系統(tǒng)10可以包括任意數(shù)目的通過通信介質(zhì)相互耦合的(或相互通信的)硬件和/或軟件元件�。通信介質(zhì)可以包括任意適當?shù)耐ㄐ沛溌罚?����,無線技術(shù)(例如,IEEE 802.11χ��、802.16�、胃丨沖丨、近場通信(肥0��、03隊等)�����、衛(wèi)星���、蜂窩技術(shù)(例如����,36���、46����、WiMAX/LTE�����、GSM/WCDMA/HSPA、CDMAIx/EVDO等)�����、有線技術(shù)(例如���,以太網(wǎng))或其任意適當組合����。一般地�,可以使用任意適當?shù)耐ㄐ欧绞?電、聲�����、光���、紅外或無線電。
[0166]網(wǎng)絡(luò)環(huán)境中的通信在本文中被稱為“網(wǎng)絡(luò)流量”或“流量”��,其可包括分組�����。分組是格式化數(shù)據(jù)單元,并且可以包含控制信息(例如���,源地址和目的地地址等)和數(shù)據(jù)�,其中數(shù)據(jù)也被稱為凈負荷���。網(wǎng)絡(luò)流量可以根據(jù)任意適當通信消息協(xié)議而被發(fā)送和接收�����。適當?shù)耐ㄐ畔f(xié)議可以包括多層方案�����,例如���,開放系統(tǒng)互聯(lián)(OSI)模型或其任何衍生或變體(例如,傳輸控制協(xié)議/IP(TCP/IP))�����、用戶數(shù)據(jù)報協(xié)議/IP(UDP/IP)等)���。本文所使用的術(shù)語“數(shù)據(jù)”指代任意類型的二進制�、數(shù)字、語音��、視頻��、文本或腳本數(shù)據(jù)�,或者任意類型源代碼或目標代碼,或采用任意適當形式的可在電子設(shè)備和/或網(wǎng)絡(luò)中被從一點傳輸至另一點的任意其他適當信息���。此外��,消息����、請求�����、響應�����、回復��、查詢等是網(wǎng)絡(luò)流量的形式�,因而可以包括分組。
[0167]如本文中所使用的��,術(shù)語“網(wǎng)絡(luò)元件”是指包括任何前述元件以及路由器�����、無線LAN控制器(WLC)交換機�����、無線接入點(WAP)����、網(wǎng)關(guān)、網(wǎng)橋��、負載均衡器���、裝置��、防火墻���、服務器����、處理器����、模塊(其中任一者可以是實體的或者可被虛擬實現(xiàn)在物理硬件上)或可操作來在網(wǎng)絡(luò)環(huán)境中交換信息的任何其他適當設(shè)備、組件���、元件�����、專用裝置或?qū)ο?����。網(wǎng)絡(luò)元件可以包括促進其操作的任意適當?shù)挠布?��、軟件、組件����、模塊�、接口或?qū)ο?��。這可以包括允許進行有效的數(shù)據(jù)或信息交換的適當算法和通信協(xié)議。
[0168]在至少一個示例實現(xiàn)方式中��,具有企業(yè)無線呼叫功能的節(jié)點包括實現(xiàn)(或培養(yǎng))本文所概述的活動的邏輯���。應注意���,在至少一個示例中,這些元件中的每個元件可以具有促進本文所描述的一些操作的內(nèi)部結(jié)構(gòu)(例如�,處理器、存儲器元件�、網(wǎng)絡(luò)接口卡等)。在一些實施例中�,這些活動可以在這些元件的外部運行,或者可被包括在一些其他網(wǎng)絡(luò)元件中以實現(xiàn)所期望的功能�����。在至少一個實施例中��,這些節(jié)點可以包括能夠與其他網(wǎng)絡(luò)元件進行協(xié)調(diào)以實現(xiàn)本文所概述的操作的邏輯(或往復式邏輯)�����。另外,一個或若干個邏輯可以包括促進其操作的任意適當算法��、硬件�、固件、軟件�����、組件�、模塊、接口或?qū)ο蟆?br>[0169]在某些示例實現(xiàn)方式中�����,本文所概述的企業(yè)無線呼叫功能可由一個或多個有形介質(zhì)(例如�����,專用集成電路(ASIC)中提供的嵌入式邏輯���、數(shù)字信號處理器(DSP)指令��、要由一個或多個處理器或其他類似機器運行的軟件(可能包括目標代碼和源代碼)軟件����、硬件、固件中的指令�����,或者上述任意組合等)中編碼的邏輯來實現(xiàn)����。在至少一個實施例中���,該有形介質(zhì)可以是非暫態(tài)的���。在一些實例中,一個或多個存儲器元件可以存儲用于本文所描述的操作的數(shù)據(jù)����。這包括能夠存儲被運行以實施本文所描述的活動的軟件、邏輯����、代碼和/或處理器指令的存儲器元件。處理器可以運行與數(shù)據(jù)相關(guān)聯(lián)的任意類型的指令���,以實現(xiàn)本文所詳述的操作�����。在一個示例中����,處理器可以將元件或物品(例如,數(shù)據(jù))從一個狀態(tài)或事物轉(zhuǎn)換到另一狀態(tài)或事物���。在另一示例中��,本文所概述的活動可利用固定邏輯或可編程邏輯(例如��,處理器運行的軟件/計算機指令)來實現(xiàn)�,并且本文所標識的元件可以是包括數(shù)字邏輯�����、軟件��、代碼�、電子指令或其任意適當組合的可編程處理器、可編程數(shù)字邏輯(例如�����,現(xiàn)場可編程門陣列(FPGA )、可擦除可編程只讀存儲器(EPROM)��、電可擦除可編程ROM (EEPR0M))或者AS IC中的一些類型����。
[0170]如本文所概述的,這些元件(例如�����,網(wǎng)絡(luò)元件)中的任意元件可以包括存儲器���,用于存儲要用來實現(xiàn)企業(yè)無線呼叫功能的信息。此外�,如本文所概述的,這些網(wǎng)絡(luò)元件可以包括至少一個處理器�,其可運行軟件、算法或其他指令以執(zhí)行企業(yè)無線呼叫操作�。這些網(wǎng)絡(luò)元件還可以將信息保存在任意適當?shù)拇鎯ζ髟?隨機存取存儲器(RAM)、只讀存儲器(R0M)�、EPR0M、EEPR0M�、ASIC等)���、軟件、硬件中����,或者適當?shù)厍一谔囟ㄐ枨螅槐4嬖谌我馄渌m當?shù)慕M件�����、設(shè)備�、元件或?qū)ο笾校渲兴鲂畔⒁挥糜趯崿F(xiàn)本文所討論的企業(yè)無線呼叫活動���。本文所討論的存儲器項(例如��,倉庫�����、存儲�����、數(shù)據(jù)庫���、表格�����、緩存�����、緩沖等)中的任一者應被解釋為被包括在廣義“存儲器元件”之內(nèi)���。類似地,本文所描述的任意可能的處理元件�、模塊以及機器應被解釋為被包括在廣義“處理器”中。每個網(wǎng)絡(luò)元件還可以包括在網(wǎng)絡(luò)環(huán)境中用于接收�����、發(fā)送和/或以另外方式傳輸數(shù)據(jù)或信息的適當接口����。
[0171]注意���,本文所使用的術(shù)語“端用戶”意為包括任意類型的可與另一節(jié)點建立網(wǎng)絡(luò)會話的計算機設(shè)備�。它包括任意類型的用戶設(shè)備、臺式計算機��、膝上型計算機�����、移動互聯(lián)網(wǎng)設(shè)備����、智能電話、平板計算機�、個人數(shù)字助理(PDA)、終端計算機����、或者能夠在通信系統(tǒng)10內(nèi)發(fā)起語音、音頻�����、視頻���、媒體或數(shù)據(jù)交換的任意其他設(shè)備�����、組件�、元件、端點或?qū)ο?。這樣的設(shè)備還可以包括針對人類用戶的適當接口,例如��,顯示元件��、鍵盤����、觸摸板、觸摸屏(包括多點觸摸屏)�、遠程控制或任意其他終端設(shè)備。
[0172]注意���,在本文所提供的示例下���,可以針對兩個或更多個網(wǎng)絡(luò)元件和/或兩個或更多個云來描述交互��。然而����,這僅出于清楚和示例的目的來進行�。在某些情形中�����,通過僅參照有限數(shù)目的網(wǎng)絡(luò)元件或云來描述給定一組流程的一個或多個功能較為容易��。應當理解����,本文所描述的系統(tǒng)易于擴縮并且可以容納大量組件以及更復雜/精細的安排和配置。相應地��,所提供的示例在可能用于大量其他架構(gòu)或?qū)崿F(xiàn)方式時�,不應限制范圍或者抑制企業(yè)無線呼叫功能的廣義教導。
[0173]如本文所使用的����,除非明確地相反陳述,否則對短語“至少一個”的使用表示所指名的元件���、條件或活動的任意組合�。例如����,“X����、Y和Z中的至少一個”意為指如下中的任意一種:I)是X�����,但不是Y和Z; 2)是Y�����,但不是X和Z; 3)是Z�����,但不是X和Y ����; 4)是X和Y,但不是Z; 5)是X和Ζ��,但不是Υ;6)是Y和Ζ��,但不是X;或者7)Χ��、Υ和Ζ�。此外,除非明確地相反陳述��,否則術(shù)語“第一”�、“第二”、“第三”等意為區(qū)分它們所修飾的特定名詞(例如��,元件����、條件、模塊���、活動�、操作等)�。除非明確地相反陳述,否則對這些術(shù)語的使用不意為指示所修飾的名詞的任何類型的順序�、分級、重要性���、時間序列或?qū)蛹?�。例如�����,“第?X”和“第二 X”意為表示兩個不同的X元件�����,而不一定由兩個元件的任何順序���、分級�����、重要性����、時間序列或?qū)蛹夁M行限制�。
[0174]盡管本文參照企業(yè)和企業(yè)網(wǎng)絡(luò)描述并示出了W1-Fi呼叫系統(tǒng)的實施例,但應當注意�,本說明書中所詳述的W1-Fi呼叫系統(tǒng)的廣義概念不意為進行如此限制。本文所描述的概念與W1-Fi呼叫系統(tǒng)有關(guān)�����,其可被應用于能夠在網(wǎng)絡(luò)接入點所限定的無線范圍之內(nèi)向用戶設(shè)備提供W1-Fi服務的任何類型的局域網(wǎng)�,其中W1-Fi服務可以例如經(jīng)由服務提供商實現(xiàn)對互聯(lián)網(wǎng)的訪問��。這樣的局域網(wǎng)在本文中還可被稱為“源網(wǎng)絡(luò)”�����,并且可以與企業(yè)或任意其他適當實體(例如,互動場所�����、學校�����、政府�、餐館等)相關(guān)聯(lián)。
[0175]還應當注意�,本文所描述和所示出的活動、交互和操作僅示出可由具有企業(yè)無線呼叫功能的節(jié)點運行或者在這些節(jié)點中運行的一些可能的場景和模式����。在不背離本公開的范圍的情況下,這些活動�����、交互和/或操作中的一些可以按需被刪除或移動,或者可以被大幅修改或更改����。此外,這些活動�����、交互和/或操作中的一些已被描述為與一個或多個其他活動��、交互和/或操作同時或并行運行�。然而,這些活動���、交互和/或操作的時序可被大幅改變����。前述操作流程是出于示例和討論的目的來提供的�����。具有企業(yè)無線呼叫功能的節(jié)點提供了大量靈活性�����,這是因為可以在不背離本公開的教導的情況下,可以提供任意適當?shù)陌才?����、時序�����、配置和時間機制��。此外���,這些互動可以由各種模塊和/或組件來協(xié)助,這些模塊和/或組件可以基于特定配置和/或配設(shè)需求�����,以任意適當方式進行組合���,或者以任意適當方式進行劃分�。
[0176]盡管本公開已經(jīng)參照特定安排和配置進行了詳細描述����,但這些示例配置和安排可以在不背離本公開的范圍的情況下被大幅更改�。另外���,基于特定需求和實現(xiàn)方式����,某些組件可被組合�、分類、刪除或添加�。此外,盡管已針對特定元件和協(xié)議闡述了本文的實施例���,但這些元件和協(xié)議可以由實現(xiàn)本文所公開的具有企業(yè)無線呼叫功能的節(jié)點所期望的功能的任意適當架構(gòu)���、協(xié)議和/或過程來代替。
【主權(quán)項】
1.一種方法����,包括: 經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會話的一個或多個分組,其中��,所述用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò)��; 至少部分基于標識所述一個或多個分組中的至少一個分組的異常來確定所述W1-Fi呼叫會話是否是威脅;以及 如果所述W1-Fi呼叫通信被確定為是威脅�,則采取動作。2.如權(quán)利要求1所述的方法���,還包括標識所述用戶設(shè)備的唯一標識��。3.如權(quán)利要求1所述的方法���,其中所述采取動作包括如下項中的至少一項:發(fā)送所述W1-Fi呼叫會話是威脅的警報和終止所述W1-Fi呼叫會話。4.如權(quán)利要求1所述的方法�����,還包括: 通過將所述至少一個分組中的信息與所述W1-Fi呼叫會話的控制面數(shù)據(jù)進行關(guān)聯(lián)來確定該分組與該W1-Fi呼叫會話相關(guān)聯(lián)����。5.如權(quán)利要求1所述的方法�,其中所述安全隧道是互聯(lián)網(wǎng)協(xié)議安全(IPSec)隧道。6.如權(quán)利要求1所述的方法�����,其中所述一個或多個分組在演進型分組數(shù)據(jù)網(wǎng)關(guān)和關(guān)聯(lián)于發(fā)起所述W1-Fi呼叫通信的所述用戶設(shè)備的服務提供商網(wǎng)絡(luò)之間建立的第二隧道中被攔截����。7.如權(quán)利要求1所述的方法��,還包括: 如果所述分組被確定為不是威脅�����,則建立到所述源網(wǎng)絡(luò)的信令鏈路�����;以及通過該信令鏈路向所述源網(wǎng)絡(luò)發(fā)送消息以命令所述源網(wǎng)絡(luò)對與所述W1-Fi呼叫會話相關(guān)聯(lián)的網(wǎng)絡(luò)流量優(yōu)先考慮���。8.如權(quán)利要求1所述的方法,還包括: 接收建立所述安全隧道的請求�; 標識與所述用戶設(shè)備相關(guān)聯(lián)的服務提供商網(wǎng)絡(luò); 標識表示所述服務提供商的證書�;以及 將所述證書發(fā)送給所述用戶設(shè)備。9.如權(quán)利要求1所述的方法���,其中所述W1-Fi呼叫會話基于如下中的一者而被從所述用戶設(shè)備重定向至W1-Fi漫游交換:所述源網(wǎng)絡(luò)中的域名系統(tǒng)(DNS)覆寫����,或者所述源網(wǎng)絡(luò)中的網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)系統(tǒng)提供的目的地互聯(lián)網(wǎng)協(xié)議地址�����。10.如權(quán)利要求1所述的方法,還包括: 經(jīng)由第二安全隧道從第二用戶設(shè)備接收第二 W1-Fi呼叫會話的一個或多個其他分組���,其中所述第二用戶設(shè)備經(jīng)由第二W1-Fi接入點被連接至第二源網(wǎng)絡(luò)���;以及 如果所述第二 W1-Fi呼叫通信被確定為是另一威脅,則采取另一動作來保護所述第二網(wǎng)絡(luò)��。11.如權(quán)利要求1所述的方法��,其中所述W1-Fi呼叫會話的一個或多個分組是由安全云或所述源網(wǎng)絡(luò)之一中的演進型分組節(jié)點網(wǎng)關(guān)(ePDG)經(jīng)由所述安全隧道接收的����。12.—種裝置,包括: 至少一個存儲器����; 至少部分實現(xiàn)于硬件中的邏輯�,該邏輯當被運行時,用于: 經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會話的一個或多個分組�,其中,所述用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò)����; 至少部分基于標識所述一個或多個分組中的至少一個分組的異常來確定所述W1-Fi呼叫會話是否是威脅���;以及 如果所述W1-Fi呼叫通信被確定為是威脅,則采取動作�。13.如權(quán)利要求12所述的裝置,其中當所述邏輯被運行時采取動作�����,所述動作包括如下項中的至少一項:發(fā)送所述W1-Fi呼叫會話是威脅的警報和終止所述W1-Fi呼叫會話���。14.如權(quán)利要求12所述的裝置���,其中所述邏輯當被運行時,用于: 通過將所述至少一個分組中的信息與所述W1-Fi呼叫會話的控制面數(shù)據(jù)進行關(guān)聯(lián)來確定該分組與該W1-Fi呼叫會話相關(guān)聯(lián)���。15.如權(quán)利要求12所述的裝置�����,其中所述邏輯當被運行時�,用于: 接收建立所述安全隧道的請求���; 標識與所述用戶設(shè)備相關(guān)聯(lián)的服務提供商網(wǎng)絡(luò)�����; 標識表示所述服務提供商的證書��;以及 將所述證書發(fā)送給所述用戶設(shè)備�����。16.至少一種非暫態(tài)機器可讀存儲介質(zhì)��,其上存儲有指令����,所述指令當被至少一個處理器運行時使得所述至少一個處理器: 經(jīng)由安全隧道從用戶設(shè)備接收W1-Fi呼叫會話的一個或多個分組,其中����,所述用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò); 至少部分基于標識所述一個或多個分組中的至少一個分組的異常來確定所述W1-Fi呼叫會話是否是威脅����;以及 如果所述W1-Fi呼叫通信被確定為是威脅�,則采取動作���。17.如權(quán)利要求16所述的至少一種非暫態(tài)機器可讀存儲介質(zhì),其中所述指令當被至少一個處理器運行時使得所述至少一個處理器: 通過將所述至少一個分組中的信息與所述W1-Fi呼叫會話的控制面數(shù)據(jù)進行關(guān)聯(lián)來確定該分組與該W1-Fi呼叫會話相關(guān)聯(lián)����。18.如權(quán)利要求16所述的至少一種非暫態(tài)機器可讀存儲介質(zhì),其中所述指令當被至少一個處理器運行時使得所述至少一個處理器: 如果所述分組被確定為不是威脅����,則建立到所述源網(wǎng)絡(luò)的第二安全隧道;以及通過所述第二安全隧道向所述源網(wǎng)絡(luò)發(fā)送消息以命令所述源網(wǎng)絡(luò)對與所述W1-Fi呼叫會話相關(guān)聯(lián)的網(wǎng)絡(luò)流量優(yōu)先考慮�����。19.如權(quán)利要求16所述的至少一種非暫態(tài)機器可讀存儲介質(zhì)���,其中所述一個或多個分組在演進型分組數(shù)據(jù)網(wǎng)關(guān)和關(guān)聯(lián)于發(fā)起所述W1-Fi呼叫通信的所述用戶設(shè)備的服務提供商網(wǎng)絡(luò)之間建立的第二安全隧道中被攔截�。20.一種方法�,包括: 從用戶設(shè)備接收W1-Fi呼叫通信的分組,其中所述用戶設(shè)備經(jīng)由W1-Fi接入點被連接至源網(wǎng)絡(luò)�����; 標識所述用戶設(shè)備����; 至少部分基于由所述用戶設(shè)備發(fā)起的一個或多個先前W1-Fi呼叫會話�����,來確定所述用戶設(shè)備是否受到危害����;以及如果所述用戶設(shè)備被確定為受到危害��,則至少部分基于策略來采取動作����。21.如權(quán)利要求20所述的方法,還包括:標識與所述用戶設(shè)備相關(guān)聯(lián)的服務提供商����;標識表示所述服務提供商的證書;以及如果所述用戶設(shè)備被認證��,則將該證書發(fā)送至所述用戶設(shè)備��。22.如權(quán)利要求20所述的方法���,還包括:如果所述用戶設(shè)備被確定受到危害�����,則終止所述W1-Fi呼叫通信���。
【文檔編號】H04L29/06GK105933279SQ201610113665
【公開日】2016年9月7日
【申請日】2016年2月29日
【發(fā)明人】馬克·格雷森, 甘加達蘭·比莒·普拉瑞卡爾, 邁克爾·杰姆斯·格拉哈姆, 桑托什·拉姆勞·帕蒂爾, 皮特·賈斯伯
【申請人】思科技術(shù)公司