用于企业无线呼叫的系统、方法、装置及机器可读介质的制作方法
【专利摘要】本公开涉及用于企业无线呼叫的系统、方法、装置及机器可读介质。实施例包括经由安全隧道从用户设备接收Wi?Fi呼叫会话的一个或多个分组,其中,用户设备经由Wi?Fi接入点被连接至源网络。实施例还包括至少部分基于标识该一个或多个分组中的至少一个分组的异常来确定Wi?Fi呼叫会话是否是威胁。如果Wi?Fi呼叫通信被确定为是威胁,则采取动作。更具体的实施例包括:通过将至少一个分组中的信息与Wi?Fi呼叫会话的控制面数据进行关联来确定该分组与该Wi?Fi呼叫会话相关联。其他实施例可以包括:在演进型分组数据网关和关联于该用户设备的服务提供商网络之间建立的第二安全隧道中拦截该一个或多个分组。
【专利说明】用于企业无线呼叫的系统、方法、装置及机器可读介质
[0001]相关申请的交叉引用
[0002]本申请按照35 U.S.C.§119(e),要求于2015年3月I日提交的、题为“用于企业无线呼叫的系统、方法及装置”的美国临时申请N0.62/126,651的优先权权益,该申请的全部内容通过引用被合并于此。
技术领域
[0003]本公开总体涉及计算机网络领域,更具体地,涉及用于企业无线呼叫的系统、方法、装置及机器可读介质。
【背景技术】
[0004]计算机设备可以使得用户能够与操作其他计算机设备的其他用户进行通信以及例如经由互联网与全世界的其他计算机设备进行通信。计算机设备可以使用任意数目的通信技术来实现到互联网或其他网络的网络连接以获得所期望的服务、数据、媒体等。随着移动设备的出现以及无线通信服务可用性的增长,用户几乎可以在任何时候任何地点访问互联网和其他联网系统。
[0005]诸如服务提供商和企业之类的实体通常为端用户提供无线(和有线)服务。例如,企业可以向服务提供商进行订阅,从而接收企业的客户的互联网访问。企业可以向客户提供在特定位置处存在的未授权无线访问(例如,W1-Fi)。存在于同一位置的一些客户可以访问互联网或者使用其他技术(例如,授权蜂窝访问(例如,3G、4G等))进行呼叫(例如,语音、视频等)。客户经由企业的W1-Fi或其他技术而生成的网络流量可以提供大量的与客户、客户的设备以及正被使用的网络相关联的信息。然而,管理该信息并确保经由企业网络可访问的服务的安全性向设备制造商和网络管理员等提出了巨大挑战。
【发明内容】
[0006]本公开提供了一种方法,包括:经由安全隧道从用户设备接收W1-Fi呼叫会话的一个或多个分组,其中,所述用户设备经由W1-Fi接入点被连接至源网络;至少部分基于标识所述一个或多个分组中的至少一个分组的异常来确定所述W1-Fi呼叫会话是否是威胁;以及如果所述W1-Fi呼叫通信被确定为是威胁,则采取动作。
[0007]本公开提供了一种装置,包括至少一个存储器;和至少部分实现于硬件中的逻辑,该逻辑当被运行时,用于:经由安全隧道从用户设备接收W1-Fi呼叫会话的一个或多个分组,其中,所述用户设备经由W1-Fi接入点被连接至源网络;至少部分基于标识所述一个或多个分组中的至少一个分组的异常来确定所述W1-Fi呼叫会话是否是威胁;以及如果所述W1-Fi呼叫通信被确定为是威胁,则采取动作。
[0008]本公开提供了至少一种非暂态机器可读存储介质,其上存储有指令,所述指令当被至少一个处理器运行时使得所述至少一个处理器:经由安全隧道从用户设备接收W1-Fi呼叫会话的一个或多个分组,其中,所述用户设备经由W1-Fi接入点被连接至源网络;至少部分基于标识所述一个或多个分组中的至少一个分组的异常来确定所述W1-Fi呼叫会话是否是威胁;以及如果所述W1-Fi呼叫通信被确定为是威胁,则采取动作。
[0009]本公开提供了一种方法,包括:从用户设备接收W1-Fi呼叫通信的分组,其中所述用户设备经由W1-Fi接入点被连接至源网络;标识所述用户设备;至少部分基于由所述用户设备发起的一个或多个先前W1-Fi呼叫会话,来确定所述用户设备是否受到危害;以及如果所述用户设备被确定为受到危害,则至少部分基于策略来采取动作。
【附图说明】
[0010]为了提供对本公开以及其特征和优势更加全面的理解,结合附图,参照以下描述,其中,相似的参考标号表不相似的部分,其中:
[0011]图1是根据本公开的至少一个实施例的通信系统的一个实施例的简化框图;
[0012]图2是示出示例操作的简化流程图,这些示例操作可与根据本公开的至少一个实施例的通信系统相关联;
[0013]图3是根据本公开的至少一个实施例的通信系统的系统架构的一个实施例的简化框图;
[0014]图4是根据至少一个实施例的通信系统中的组件和数据流的高层框图;
[0015]图5是根据至少一个实施例的通信系统中的可能数据流进程的高层框图;
[0016]图6是根据至少一个实施例提供通信系统的智能数据的单面板可视化的示例屏幕显不;
[0017]图7A是根据至少一个实施例的W1-Fi呼叫系统的示例组件的高层框图;
[0018]图7B是根据至少一个实施例的W1-Fi呼叫系统的示例组件的另一高层框图;
[0019]图7C是根据至少一个实施例的W1-Fi呼叫系统的示例组件的另一高层框图;
[0020]图8是根据本公开的至少一个实施例的W1-Fi呼叫系统的简化框图;
[0021]图9是根据本公开的至少一个实施例示出W1-Fi呼叫系统的可能的额外细节的简化框图;
[0022]图10是根据至少一个实施例示出W1-Fi呼叫系统的某些组件之间的可能通信的简化交互图;
[0023]图11A-11C是根据至少一个实施例示出W1-Fi呼叫系统的某些组件之间的附加的可能通信的简化交互图;
[0024]图12是根据至少一个实施例示出与W1-Fi呼叫系统相关联的可能操作的简化流程图;
[0025]图13A是根据至少一个实施例示出与W1-Fi呼叫系统相关联的其他可能操作的简化流程图;以及
[0026]图13B是根据至少一个实施例示出与W1-Fi呼叫系统相关联的另外其他可能操作的简化流程图。
【具体实施方式】
[0027]挺述
[0028]本公开描述关于来自源网络的W1-Fi呼叫的方法。在本公开的一个示例中,提供了方法,该方法包括经由安全隧道从用户设备接收W1-Fi呼叫会话的一个或多个分组,其中,用户设备经由W1-Fi接入点被连接至源网络。该方法还包括至少部分基于标识该一个或多个分组中的至少一个分组的异常来确定W1-Fi呼叫会话是否是威胁。该方法还包括:如果W1-Fi呼叫通信被确定为是威胁,则采取动作。
[0029]在更具体的实施例中,该方法包括标识用户设备的唯一标识。采取动作可以包括如下中的至少一项:发送W1-Fi呼叫会话是威胁的警报和终止W1-Fi呼叫会话。另外,安全隧道可以是互联网协议安全(IPSec)隧道。在另外的更具体的实施例中,该方法包括通过将该至少一个分组中的信息与W1-Fi呼叫会话的控制面数据进行关联来确定该分组与W1-Fi呼叫会话相关联。
[0030]在其他更具体的实施例中,一个或多个分组在演进型分组数据网关和关联于发起W1-Fi呼叫通信的用户设备的服务提供商网络之间建立的第二隧道中被拦截。该方法还可以包括:如果分组被确定为不是威胁,则建立到源网络的信令链路,以及通过该信令链路向源网络发送消息以命令该源网络对与W1-Fi呼叫会话相关联的网络流量优先考虑(pr1ritize)。在其他具体的实施例中,该方法包括接收建立安全隧道的请求,标识与用户设备相关联的服务提供商网络,标识表示服务提供商的证书,以及将该证书发送给用户设备。此外,W1-Fi呼叫会话可以被基于如下中的一者而从用户设备重定向至W1-Fi漫游交换:源网络中的域名系统(DNS)覆写或源网络中的网络地址转换(NAT)系统提供的目的地互联网协议地址。
[0031]其他实施例可以包括:经由第二安全隧道从第二用户设备接收第二W1-Fi呼叫会话的一个或多个其他分组,其中第二用户设备经由第二 W1-Fi接入点被连接至第二源网络;以及如果第二 W1-Fi呼叫通信被确定为是另一威胁,则采取另一动作来保护第二网络。在更具体的实施例中,W1-Fi呼叫会话的一个或多个分组是由安全云或源网络之一中的演进型分组节点网关(ePDG)经由安全隧道接收的。
[0032]在本公开的另一实施例中,提供了方法,该方法包括:从用户设备接收W1-Fi呼叫通信的分组,其中用户设备经由W1-Fi接入点被连接至源网络;标识用户设备;至少部分基于由用户设备发起的一个或多个先前W1-Fi呼叫会话,来确定用户设备是否受到危害;以及如果用户设备被确定为受到危害,则至少部分基于策略来采取动作。在更具体的实施例中,该方法可以包括:标识与用户设备相关联的服务提供商,标识标识服务提供商的证书,以及如果用户设备被认证则将该证书发送至用户设备。在另一具体实施例中,该方法可以包括:如果用户设备被确定受到危害,则终止W1-Fi呼叫通信。
[0033]—些或全部元件、操作和特征可被包括在用于执行所描述的功能的相应系统、装置和设备中。另外,一些或全部特征可以被实现于至少一个机器可读存储介质中。
[0034]具体描述
[0035]转向图1,提供了用于实现企业无线呼叫的通信系统10的简化框图。在一个示例中,通信系统10包括与客户实体15和用户30进行通信的数据智能系统40。如本文所使用的,“云”意为指代允许存储、计算和/或联网的远程网络元件(例如,服务器等)和/或软件网络。云还可以提供对计算机服务或资源的在线访问。数据智能系统40可以基于云基础设施,该云基础设施包括云服务50、数据计算服务60以及数据中心70。云服务50可以提供至云中心70和数据计算服务60的安全连接。云服务50可以提供用于流式传输去往/来自客户实体15的网络的遥测传感器数据的安全连接。在至少一个实施例中,安全连接可以是到特定客户网络的虚拟私有网络(VPN) 12-1至12-N的形式,虚拟私有网络(VPN) 12-1至12-N使用诸如互联网协议安全(IPSec)之类的VPN协议来保护通过互联网的通信的安全。
[0036]客户实体15可以包括向其客户提供网络访问服务的任意实体。客户实体15的示例可以包括但不限于服务提供商20-1至20-N。服务提供商可以向其客户提供互联网访问和其他相关服务。服务提供商的客户可以包括大量实体(例如,企业、活动场馆、会议中心、购物中心、零售商店、餐馆等)或端用户。
[0037]在至少一个实施例中,数据中心70可以托管位置引擎78,该位置引擎78提供针对通过W1-Fi进行递送的服务部署的位置服务平台。数据中心70还可以包括网络管理器76,该网络管理器76是针对通过W1-Fi进行递送的服务部署的管理平台。在至少一个实施例中,数据计算服务60可以托管显示引擎64和至少一部分分析引擎100。显示引擎可以是企业智能平台(BIP)62的用户界面(Ul/Web层),并且可以由用户30访问以获得对来自穿越其所监控的网络的网络流量的商业数据智能、网络数据智能和用户数据智能的实时可视性。通常,访问显示引擎的用户30可与客户实体15相关联。例如,用户30可以包括服务提供商的获授权人士和/或某一企业的获授权人士,其中该企业是数据智能系统提供商的客户。在一些场景中,用户30可以包括网络管理员或运营商。然而,在至少一个实施例中,任何提供适当认证的获授权用户可以访问显示引擎。获得授权和适当证书的其他第三方用户(未示出)可以访问应用编程接口(API)来建立针对服务提供商和/或其客户的应用。
[0038]出于理解本文所公开的通信系统10的某些实施例的目的,理解可与穿越网络的网络通信相关联的技术和数据十分重要。下文的基本信息可被视作正确解释本公开的基础。
[0039]当端用户出现在向端用户(或客户端)提供服务或商品的实体的处所时,实体通常向这些端用户提供免费或收费的网络访问。例如,举办足球比赛的活动场地可以向参加足球比赛的端用户所操作的用户设备(UE)(例如,智能电话、平板、膝上型计算机等)提供免费的W1-Fi访问。可由活动场地的服务提供商来提供对互联网的W1-Fi访问。在另一示例中,企业可以向拜访其处所的雇员所操作的UE提供免费的W1-Fi访问。对互联网的W1-Fi访问可以由企业所有者的服务提供商来提供。
[0040]然而,至少部分由于互联网协议(IP)呼叫在其上建立的安全隧道,一般不提供来自企业处所或活动场所的W1-Fi呼叫。一些端用户可以使用许可蜂窝技术(例如,3G、4G等)来访问互联网并且进行呼叫(例如,语音和/或其他媒体)。而企业处所或活动场所处的其他端用户可经由有线连接来访问互联网。端用户生成的网络流量的量可能很大。此外,与网络流量相关联的数据可指示与网络和端用户相关的潜在有用信息。
[0041]网络中的网络元件的提供商通常提供用于这些网络元件的管理工具。管理工具可以被配设为管理网络内的特定一个或多个网络元件,并且提供与这些网络元件相关的网络信息。然而,不同管理工具的不同来源的网络信息不实现对这些信息的智能开发和利用。另夕卜,端用户可获得的各种网络访问选项(例如,未许可W1-F1、许可小小区、许可宏小区、有线等)妨碍企业或活动场所及其服务提供商采用有意义的方式来有效收集和计算网络流量数据的能力。
[0042]如果网络流量中所存在的端用户和网络信息可被有效地获得、聚合、关联、分析以及可视化,则服务提供商可以帮助其客户(例如,企业、学校、活动场所、会议中心、购物中心、零售商店、餐馆等)做出更好的商业决策并且向其客户(例如,端用户)提供更好的端用户体验。此外,对该网络信息的访问可以基于所分析的网络信息和客户实体和/或与所监控的网络相关联的它的客户所设定的商业规则,来驱动所监控的网络中的自动响应。
[0043]除了管理企业网络上可获得的网络信息,企业还期望确保可经由其局域网(LAN)访问的企业服务的安全性。一般地,企业期望限制在其局域网(LAN)上从用户设备(在本文中还被称为“用户设备”或“UE”)外输(outbound)的互联网协议安全隧道通信。W1-Fi呼叫是在从企业处所处的用户设备向服务提供商环境的长期IPSec会话的基础上建立的。企业信息安全关注点通常关注使用IPSec隧道来攻击企业网络的威胁。具有经由服务提供商建立的从企业处所到互联网的IPSec会话的用户设备还可以经由企业LAN访问企业服务。用户设备上的恶意软件可能拦截企业分组并且将这些企业分组隧穿到脱离企业环境的头端。因此,使用IPSec隧道来避免企业周边(perimeter)安全控制成为重要关注点。因此,企业网络通常包括防火墙,该防火墙防止从用户设备的外输安全隧道(例如,IPSec隧道)的建立。
[0044]企业通常通过成为中间人来解决安全性问题。在安全套接字层(SSL)和传输层安全(TLS)连接上,中间人可以确保企业管理的所有用户设备包括根证书,以实现对经过企业主机与目的地节点之间的加密隧道的网络流量的可视性。然而,W1-Fi呼叫在具有双向认证的情况下,妨碍企业成为中间人的能力。此外,当考虑大型企业时,其中在这些大型企业中,许多用户期望建立到其归属(home)运营商的W1-Fi呼叫服务,规模可能成为问题(例如,对于跨国企业,扩展到几十个或几百个运营商)。对于企业而言,需要更好的安全选项来在向其客户提供W1-Fi呼叫功能时保护其网络。
[0045]为了本文易于指代,客户实体可以被称为“服务提供商”。另外,对于本文所描述的至少一些实施例,服务提供商具有其自己的企业形式的客户。在一些场景中,企业和服务提供商可以是与数据智能系统相关联的提供商的客户。此外,企业的客户(其网络流量正被监控)在本文中也被称为“端用户”或“客户端”。然而,应当理解的是,客户实体15可以包括向端用户提供网络访问的其他实体。例如,服务提供商可以具有端用户形式的客户,这些客户操作用户设备(UE)以访问服务提供商所提供的移动无线服务。还应当理解的是,服务提供商可以具有任意数目的客户,并且这些客户可以包括接收来自服务提供商的网络访问服务的任意类型的实体或用户。
[0046]通信系统10可以解决前述问题(以及更多问题)。通信系统10的数据智能系统40针对服务提供商提供经托管的商业智能服务和经管理的W1-Fi呼叫终止服务。数据智能系统40可以经由商业智能平台(BIP)62的显示引擎被服务提供商用户和企业用户(例如,网络运营商)访问。在至少一个实施例中,BIP提供单个位置来管理、监控和货币化网络。
[0047]利用通信系统10,服务提供商可以通过利用通信系统10的基础设施和管理功能而易于缩放它们所管理的W1-Fi服务。此外,服务提供商可以针对它们现有的W1-Fi部署和任意经管理的W1-Fi服务二者利用商业智能平台(BIP)所提供的价值。BIP可以提供用户界面(UI),UI对于服务提供商及其企业客户将是可获得的。数据智能系统40还可以通过提供能被第三方应用开发方所访问的应用编程接口(API)而允许额外的创新。
[0048]数据智能系统40提供适当的架构和系统,以收集来自服务提供商及其企业客户的网络的遥测传感器数据(在本文中也被称为“传感器数据”),对该遥测传感器数据进行分析,并且随后基于该数据建立可以是自动化的动作。至少一些传感器数据可以采用各个端用户使用数据的形式。BIP 62可以查找用户模式(例如,一天中大多数端用户出现的时间),BIP 62可以当允许优质端用户进入企业的处所时该优质端用户被标识,或者BIP 62可以提供新的商业机会,尤其是围绕目标广告的商业机会。收集的传感器数据所来自的网络在本文中还被称为“被监控网络”。该被监控网络或其部分可以处于服务提供商的处所或服务提供商的企业客户的处所。被监控网络的至少一些部分可以完全由另一实体托管,该另一实体包括但不限于数据智能系统40。
[0049]在至少一个实施例中,数据智能系统40支持三个组件以从被监控网络得到智能数据:I)接入点(AP)统计方法,2)使用分析方法和3)位置分析方法。数据智能系统40从被监控网络收集AP统计数据和健康信息。数据智能系统40还例如经由NetFlow收集每个端用户的使用数据,其中,NetFlow可被在支持订户网关或访问网关功能的无线LAN控制器(WLC)和路由器上启用。接入点(AP)可被配置为向WLC连续报告用户设备(UE)活动。关键字段可以包括源IP地址和目的地IP地址、应用、协议、源端口和目的地端口、分组数、八位字节数、客户端媒体访问控制(MAC)地址以及W1-Fi AP MAC地址。此外,数据智能系统40可以经由位置弓丨擎78收集各个端用户位置数据。
[0050]应当注意,数据智能系统40不仅仅限于上文所标识的用于得到智能数据的组件。用于得到来自被监控网络的智能数据和/或其他类型的传感器数据的其他组件意为处于本公开的广义范围之内,并且易于包含在数据智能系统40中。例如,至少一些实施例可以包括W1-Fi呼叫系统,该W1-Fi呼叫系统在保护经由企业或其他实体的源网络所建立的针对W1-Fi呼叫会话的安全隧道的同时,实现在用户设备上对W1-Fi呼叫应用的使用。在这些实施例中,数据智能系统40还可以收集与被监控的源网络相关的接入网统计数据。订户网关功能可以被配置为例如使用认证、授权和计费(AAA)记录和/呼叫详情记录(⑶R)来连续报告UE活动。记录中所报告的信息可以包括但不一定限于,源IP地址和目的地IP地址、应用、协议、源端口和目的地端口、分组数以及八位字节数。此外,数据智能系统40可以经由位置分析模块106收集各个端用户位置数据。
[0051 ]传感器数据可以通过W1-F1、蜂窝(例如,3G、4G、nG、LTE等)或任意其他适当的无线技术来收集。可以对数据执行各种分析方法以生成智能报告并且经由用户界面提供数据的可视性。分析方法可以包括任意类型的数据聚合、分析、关联、比较、归一化、扩展、挖掘等或者其任意组合。BIP 62可以使用这些组件所提供的API来配置组件、显示数据、以及为用户提供报告。获授权的第三方也可以经由适当的API(例如,代表性状态转换(REST)API)来访问数据。
[0052]可由BIP生成并且通过API展示的智能数据的类型可以包括网络智能数据、用户智能数据以及商业智能数据。用户(例如,企业的网络运营商)可能需要的用于商业目的的数据包括但不限于:I)端用户访问哪些社交媒体网站,2)端用户实际去往企业(或其他实体)内的何处,以及3)端用户是否表现不合法(例如,实时流式传输演奏)或者是否没有获得授权。用户(例如,企业的网络运营商)可能需要的用于网络目的的数据示例包括但不限于:I)多少网络流量穿越网络,2)何种类型的流量穿越网络(例如,bit-torrent、VoIP流量等),3)连接了多少许可用户(例如,3G/4G/LTE用户),以及4)网络的特定区域中的网络流量浓度(例如,特定服务集标识符(SSID)的百分比等)。
[0053]数据智能系统40还可以提供W1-Fi漫游交换,该W1-Fi漫游交换实现针对由用户设备通过外输安全隧道从源网络(例如,企业网络)建立的W1-Fi呼叫会话的安全分析方法。W1-Fi漫游交换可以获得用户流的可视性,该用户流可与W1-Fi呼叫会话的控制面数据关联。该关联实现对源网络和呼叫通信被指向的服务提供商的标识。可以从用户流得到安全分析方法,以检测任何正通过安全隧道(例如,源网络与W1-Fi漫游交换之间的互联网协议安全(IPSec)隧道)发送的异常分组。
[0054]在至少一个实施例中,W1-Fi漫游交换可以经由门户提供对W1-Fi呼叫通信的可视性和工具。W1-Fi漫游交换还可以通过采取诸如对用户设备解除授权之类的动作来自动减轻检测到的威胁。这例如可以通过使用UE的国际移动用户标识(MSI)来完成。可以基于预配置策略来自动采取这样的动作,或者在至少一些实例中,可以基于获授权用户经由门户提供的指令来自动采取这样的动作。经由门户的可视性可以针对企业(或与源网络相关联的其他实体/用户/所有者)提供如下置信度:外输安全隧道未被用于攻击源网络,以使得外输安全隧道可以在源网络上被支持。此外,如果用户设备被确定先前受到危害,则在安全隧道被建立之前,W1-Fi呼叫通信可被终止。在其他实施例中,W1-Fi漫游交换可以被配置为命令源网络对W1-Fi呼叫会话的用户流优先考虑。这些指令可以基于与源网络相关联的策略。
[0055]转向图1,现在对提供通信系统10的可能的基础设施的描述。通信系统10可以支持多个服务或者可以被实现为针对每个服务提供商提供单个服务实例,其中每个服务提供商针对每个服务提供商(SP)支持单个租用框架。在图1中,示出了服务提供商网络与云服务50之间的逻辑连接。安全连接(例如,VPN 12-1)可以在服务提供商(例如,服务提供商20-1)与云服务50之间建立。每个服务提供商可以经由VPN被连接到云服务50,以使得每个SP的网络流量在其相应的VPN以及虚拟路由和转发(VRF)配置内是隔离的。一个或多个数据智能系统40可以被建立以向服务提供商20-1至20-N提供数据智能服务,并且可以在多个数据智能系统之间建立安全连接。
[0056]可以在数据智能系统40中配设各种组件,这些组件包括但不限于显示引擎64、位置引擎78、网络管理器76和用于经由定制适配器将旧式协议转换为另一协议的网关(未示出)。可以使用网络功能虚拟化(NFV)来配置这些组件,其中NFV是虚拟化网络节点功能的网络架构概念。这些NFV中的每个NFV可以具有其自己的集群域或其自动缩放群组。
[0057]在至少一个实施例中,数据计算服务60可以被配置有显示引擎。数据计算服务60的一个示例可以是提供设施即服务(IaaS)和平台即服务(PaaS)的云。显示引擎组件例如可以包括表示层(例如,web服务器)、服务层(例如,IQ引擎)和数据库。
[0058]在至少一个实施例中,云服务50可以是数据智能服务40的核心。在至少一个实施例中,云服务50可以包括传输核心、门户重定向以及邮件/SMTP(未示出)。传输核心可以包括去往驻留在其他云(例如,数据中心70)内的各种其他关键元件以及数据计算服务60中的显示引擎和用户分析(用户分析可以是分析引擎的一部分)的全部连接。传输核心还可以将数据智能系统40中的其他组件链接在一起。这样的组件可以包括客户VPN、门户重定向以及邮件/SMTP。在至少一些实施例中,云服务50还可以托管分析引擎(S卩,数据层核心)100的至少一部分。
[0059]分析引擎100可以包括用于对传感器数据执行各种分析方法的多个组件。根据特定的配置需求和/或要求,分析引擎的组件可以被配设在不同的云中或同一云中。如图1所示,分析引擎可以被配设在多个云中。例如,分析引擎的使用分析模块可以被配设在云服务50中,而分析引擎的其他模块(例如,位置分析模块和接入点统计模块)可以被配设在数据计算服务60中。
[0060]明显地,可以采用多种方式来配置数据智能系统40的云基础设施。尽管本文的各种组件被描述为配设在如图1所示的特定云中,但这些组件可以被配设在更多、更少或其他的云中,或者可以一起被配设在单个云(例如,云服务50)中。因此,NFV和数据智能系统的其他组件(例如,分析引擎、商业智能平台(BIP)等)可以被实例化于单个云中或任意数目的其他云中。图1是多种可能的实现方式中的一个示例。
[0061]转向图2,高层简化流程图示出了与通信系统10相关联的可能操作流200。在202处,从被监控网络获得传感器数据。在至少一个实施例中,云服务50可以通过经由VPN从被监控网络(被监控网络例如可以是服务提供商的网络)的网络元件(例如,WLC)进行流式传输来获得传感器数据。在涉及W1-Fi呼叫系统的至少一个其他实施例中,云服务50可以通过与用户网关相连接和/或通过分析穿越订户网关的流量来得到传感器数据。在204处,传感器数据被馈送至数据智能系统40中的分析引擎以进行分析,从而产生智能报告和数据的可视化表示方式。如本文所使用的,“分析”数据意为指对数据执行或应用分析方法(例如,评估、关联、比较、分析等)。这些报告和可视化可以涉及用户、网络和/或商业智能。
[0062]在206处,经分析的智能数据可用于用户消费。在至少一个实施例中,经分析的智能数据可经由图形用户界面(例如,由显示引擎生产和提供的用于显示的仪表板)消费,可由获授权用户通过数据智能系统40来访问该图形用户界面。在208处,从经分析的传感器数据得到的可行见解可以被提供给策略引擎。基于该见解和应用到该见解的规则,策略引擎可以接收用于生成用于被监控网络的网络策略的商业规则/处理。
[0063]转向图3,示出了通信系统10的示例架构的简化框图。服务提供商20(表示可被配设在通信系统10中的一个或多个服务提供商(例如,20-1至20-N))包括路由器22、无线局域网控制器(WLC)24、网络管理器26以及位置引擎28。一个或多个接入点(AP)29可以与WLC 24进行通信。服务提供商20经由互联网连接至数据智能系统40。用户30、第三方应用开发者32和/或第三方短消息服务(SMS)和电子邮件网关34可以经由互联网连接到数据智能系统40。数据智能系统40可以包括分析引擎100,分析引擎100可以包括使用分析模块102、接入点(AP)统计模块104以及位置分析模块106。数据智能系统40还包括商业智能平台62。数据智能系统40还可以包括安全分析模块105。在至少一个实施例中,安全分析模块105可以被作为分析引擎100的一部分进行配置。在至少一个实施例中,安全分析模块105可以被配设有W1-Fi呼叫系统。
[0064]在至少一个实施例中,BIP 62可以是多层web应用,包括web用户界面(在本文中也被称为显示引擎64)和外部应用编程接口(API) AIP 62可以在已被收集的网络数据与采用可用形式来消费该网络数据的用户之间提供链接。在至少一个实施例中,多层被用来对层进行去耦合并且在应用的寿命期间提供可缩放性、安全性和鲁棒性。这些层可以经由发布的API进行通信。在至少一个实施例中,用户30(例如,服务提供商20的获授权人士和/或服务提供商20的企业客户的获授权人士)可以经由超文本传输协议安全(HTTPS)通过互联网访问商业智能平台(BIP) 62的用户界面。
[0065]BIP 62可以被配置为允许第三方应用开发者32访问其API从而建立应用。例如,开发者32可以经由HTTPS通过互联网访问BIP 62的API,从而建立访问提供商或其企业客户的额外价值。这些应用可由任何获得授权且获得认证的用户来开发,所述用户包括具有用于访问的适当证书的服务提供商、企业或任意其他实体的开发者。在至少一个实施例中,BIPAPI可以允许拉取数据和推送数据。BIP 62和位置分析模块106还可以经由HTTPS通过互联网利用第三方服务,例如来自SMS提供商的短消息服务(SMSes)。例如,为了将SMS发送至感兴趣方,数据智能系统40可以使用第三方SMS服务,如34处所指示的。对数据智能系统40的各种访问中的一些或全部可以被认证。
[0066]服务提供商20可以将其现有W1-Fi服务部署集成到数据智能系统40中,以使得商业智能能够被生成。来自服务提供商的一个或多个被监控网络的遥测传感器数据(在本文中还被称为“传感器数据”)可以经由安全通道12被流式传输至分析引擎100。例如,安全通道可以是运行互联网协议安全(IP Secure)的虚拟专用网络。安全通道12表示VPN 12_1至12-N之一,如图1所示。可以创建站到站连接,该站到站连接给予数据智能系统40的组件到服务提供商20的某些网络元件的访问。IPSec终止组件终止从服务提供商至数据智能系统的站到站隧道,以使得商业智能数据可以安全地穿越互联网。由于网络可能存在重叠,因此IPSec终止组件可以执行网络地址转换(NAT)来使得这些重叠对于双方透明化。整数或预共享密钥可以被用来保护通信安全。
[0067]在至少一个实施例中,服务提供商的网络中将传感器数据流式传输至分析引擎100的网络元件可以包括路由器22、WLC 24、网络管理器26以及位置引擎28,其中接入点馈接WLC。在至少一个实施例中,商业智能数据被发送至分析引擎100,而用户流量在服务提供商20处被卸载。
[0068]在实施例中,路由器22可以提供至少两个功能。第一,路由器22可以作为支持W1-Fi 部署的智能服务网关 (ISG) 。在该模式下,路由器 22 控制对经认证的会话的访问 。路由器22还可以收集每用户使用数据,并且将该传感器数据流式传输到分析引擎100。当路由器22作为ISG或作为层3路由器时,这可以实现。在至少一些实现方式中,路由器22被托管于访问提供商20的处所。例如,由San Jose ,California的Cisco Systems,Inc提供的聚合服务路由器1000系列(ASRlK)可以被配设为路由器22。
[0069]WLC 24是管理W1-Fi接入点(AP)的网络元件。WLC 24可以使用无线接入点控制和配设(CAPWAP)协议。该管理可以通过数据报传输层安全(DTLS)来执行,其中DTLS有证书而保证安全。通常,WLC 24处理控制面和数据面二者。然而,在一些架构中,WLC处理控制面,数据面在W1-Fi AP处被卸载。在至少一个实施例中,WLC 24处理控制面和数据面二者以使得商业智能数据被收集并且被流式传输至分析引擎100。在至少一些实施例中,WLC 24被托管于服务提供商20的处所。
[0070]网络管理器26是用于W1-Fi部署的管理平台,并且可由AP分析模块104使用。网络管理器26可以将部署的详情和统计数据返回至分析引擎100。网络管理器26与位置引擎28相集成以提供地图和W1-Fi AP数据。位置引擎28可以是用于W1-Fi部署的位置服务平台并且可由位置分析模块106使用。位置引擎28(例如,通过诸如网络移动服务协议(匪SP)之类的协议)接收来自WLC 24的更新,并且可以使用这些更新来计算客户端的位置。位置引擎28可以将指示客户端当前位置的一个或多个位置度量以及历史位置数据返回至分析引擎100。位置引擎28还可以提供由位置分析模块106消费的位置更新流。在至少一个实施例中,网络管理器26和位置引擎28可以通过使用代表性状态转换(REST)API (例如,通过HTTP的Javascript Obiect Notat1n(JSON))将前述传感器数据返回至分析引擎100。网络管理器26和位置引擎28可以被托管于数据智能系统40的云基础设施中或者服务提供商20的处所。为了说明,在图1中,网络管理器(例如,网络管理器78)和位置引擎(例如,位置引擎76)被示出为云基础设施(例如,数据中心70)的一部分。
[0071]在至少一些实施例中,分析引擎100从服务提供商20接收传感器数据。对于涉及W1-Fi呼叫系统的实施例,分析引擎100可以从安全分析模块105以及接收和转发W1-Fi呼叫通信的网关(例如,演进型分组数据网关)接收传感器数据。分析引擎100可以聚合、归一化、扩展、关联以及以其他方式分析传感器数据,从而为用户30提供该数据的智能可视化。在至少一些实施例中,三个主要组件被实现于分析引擎100中。第一,在至少一个实施例中,使用分析模块102收集、归一化以及扩展从服务提供商的网络生成的网络使用数据以用于BIP62。使用分析模块102从本地元件和外部的由服务提供商容纳元件二者接收指示每用户使用数据的用户度量流。当接收到使用数据时,使用分析模块102可以利用可访问的额外信息(例如,来自位置引擎28的位置信息)或者利用先前接收到的数据(例如,客户端正在使用的W1-Fi AP)来扩展该使用数据。每个流可被归一化并被存储于历史数据库和在线数据库二者中,其中在线数据库可被优化以例如经由REST API进行快速检索。可以通过增加实例以及引入负载均衡器来水平缩放使用分析模块102。
[0072]第二,在至少一个实施例中,AP统计模块104收集、归一化以及扩展从服务提供商的网络收集的AP统计数据以用于BIP 62 JP统计模块104可以针对AP统计数据轮询网络管理器实例(例如,网络管理器26)。轮询AP统计模块104然后可以将接收到的AP统计数据以允许BIP 62进行快速访问的可搜索方式进行存储。
[0073]第三,在至少一个实施例中,位置分析模块106收集、归一化以及扩展从位置引擎28接收的位置数据以用于BIP 62。位置分析模块106从位置引擎(例如,位置引擎28)接收位置数据流。然后可以将接收到的位置数据以允许BIP 62进行快速访问的可搜索方式进行存储。可以提供对该数据的分析。BIP 62可以例如经由所发布的REST API来访问位置分析模块。BIP 62还可以利用部署维度数据(例如,“该AP是该市场中的该部署的一部分”)来更新位置分析模块62。这样的维度数据能够实现增强型查询。可以通过添加实例以及引入负载均衡器来水平缩放位置分析模块106。
[0074]安全分析模块105是可被提供在分析引擎100中的另一组件。在安全分析模块105中,用户流可被接收并且被与从W1-Fi呼叫通信得到的控制面数据进行关联。安全分析可以标识源网络、发起W1-Fi呼叫会话的UE以及UE所订阅的服务提供商。安全分析模块105可以对用户流进行评估,以确定该流是否是恶意的以及该UE是否受到危害。可以通过控制面数据来利用该信息,从而基于策略采取校正动作。
[0075]图3中示出的特定系统架构提供了若干优势。第一,通信系统10对于客户在其用户设备上所使用的访问类型(例如,未许可W1-F1、许可蜂窝、有线)是不可知的。网络控制路径是通过被监控网络中配设的各种网络遥测传感器而关联。传感器数据可以被从被监控网络中的各种网络元件连续地流式传输至数据智能系统40。在至少一个实施例中,流式传输网络遥测传感器包括:
[0076]a.从位置引擎获得位置信息流式传输数据;
[0077]b.从WLC/ISG获得用于AVC/DPI的用户/设备流信息流式传输数据;
[0078]c.从AAA获得用户/订户信息流式传输数据;
[0079]d.从GTPv2分接头(tap)或者从分组核心的IPNE获得用户设备IMSI/MSISDN相关蜂窝信息流式传输数据;
[0080]e.从网络设备获得SNMP陷阱数据和系统日志(syslog)数据;以及[0081 ] f.从WLC接收针对客户端RSSI/SNR相关数据的NMSP馈送,等等。
[0082]传感器数据可以被使用任意适当格式来归一化、被置于消息分发器中、被馈送至用例拓扑结构中、分别在数据摄取和数据扩展组件中被扩展。该经扩展的数据集(在每个传感器向经扩展的最终数据集提供信息比特的情况下,该经扩展的数据集在多个传感器上对于特定事件在时间序列上相关)可被添加到实时、长期的归档数据存储,而特定数据库针对大数据被优化。该经扩展的数据集可以被展示以经由高性能API引擎进行探索性分析,其中由表示层来使用该高性能API引擎。这些组件和模块可以通过云间交换结构混合(例如,公共云和私有云)来缝合在一起。在至少一个实施例中,可以使用多协议标签交换流量工程VPN0
[0083]图4是示出与分析引擎100相关联的通信系统10的一些可能层400的高层框图。遥测传感器数据通过安全隧道420(例如,IPSec隧道)被从传感器410流式传输至云基础设施中所托管的大数据平台。安全隧道的一个示例可以是虚拟专用网络12,云基础设施中的数据平台的一个示例可以是数据中心70。数据层430消费该数据并且采用API的形式经由传输安全层(TLS)440-1来将该数据展示给表示层450。在至少一个实施例中,单个API可以被用来将该数据展示给表示层。所展示的数据对于端用户(例如,服务提供商、企业、被授权访问该数据的对该数据感兴趣的第三方生态系统内)而言是可消费的。例如,用户30可以通过显示引擎64生成的仪表板来消费该数据。第二TLS隧道440-2可以使得显示引擎64能够接收该数据。
[0084]图5示出可与通信系统10的数据层430相关联的更多细节。数据层可以包括传感器数据431、对所接收的传感器数据的数据摄取431、对所接收的传感器数据的数据扩展433、用于存储经扩展的传感器数据的数据存储434以及展示经扩展的传感器数据的API引擎435。数据层可以被托管于数据智能系统40的云基础设施中。附录A还示出了核心元件,这些核心元件提供与通信系统10的数据层相关联的网络元件中配设的电路板的可能细节。
[0085]转向图6,示出了一个可能的实施例的示例屏幕600。示例屏幕600的图形和数字部分可以基于来自分析引擎的、由API展示的经分析的数据来生成。在至少一个实施例中,示例屏幕600可以被提供以经由计算设备的显示元件的图形用户界面由数据智能系统40的显示引擎进行显示。示例屏幕600提供获得的网络、用户以及商业智能信息,其中使用度量来量化该信息。这些度量可以被显示于计算设备的显示元件上的单个面板中。例如,屏幕600示出网络智能数据(例如,“AP健康状况”)和用户智能数据(例如,“用户体验”)。该单个面板还可以提供到各个工具的访问,以基于用户所期望的参数来操纵数据的表示。
[0086]W1-Fi呼叫系统
[0087]转向图7A-图12,示出了W1-Fi呼叫系统700的可能实施例并且现在提供其更详细的描述,其中W1-Fi呼叫系统700被配置为实现用户设备中W1-Fi呼叫应用的使用以及保护IPSec隧道的使用。如图7A-图12中所示,W1-Fi漫游交换在W1-Fi呼叫系统700中被定义,并且W1-Fi漫游交换可以向企业客户与UE提供获授权的中间人服务。在至少一个实施例中,W1-Fi呼叫系统700可以被配设有通信系统10或通信系统10的一部分。显然地,基于特定实现方式和需求,W1-Fi呼叫系统700和通信系统10的任意特征和组件可以采用任意适当的方式被集成或者结合。然而,还显然的是,W1-Fi呼叫系统700可以与通信系统10分别被配设。
[0088]图7A-图7C是W1-Fi呼叫系统700中的可能组件的简化框图,其中W1-Fi呼叫系统700在保护W1-Fi呼叫会话的安全隧道的同时,实现用户设备中W1-Fi呼叫应用的使用。如图7A所示,W1-Fi呼叫系统700可以包括用户设备(UE)770、企业网络780、互联网714、获授权的中间人(MITM)网关760以及归属公共陆地移动网络(HPLMN)715。企业网络780表示源网络,该源网络可以经由网络(例如,局域网、无线局域网、虚拟局域网等)提供服务,这些服务中的至少一些可由UE 770访问。在一些场景中,源网络可以形成与通用实体相关联的另一网络(例如,校园网、广域网等)的一部分。
[0089]HPLMN 715是特定服务提供商所负责的移动无线网络,并且HPLMN 715可以包括分组数据网络网关(P-GW)和W1-Fi呼叫服务,以与UE 770上的W1-Fi呼叫应用进行通信。在至少一个示例中,服务提供商可以负责一个或多个公共陆地移动网络(PLMN),并且订阅特定服务提供商的每个UE可以与该服务提供商的PLMN之一相关联。与进行订阅的UE相关联的PLMN被称为该UE的归属公共移动网络(HPLMN)。在图7A中,HPLMN 715表示与服务提供商相关联的网络,通过该网络,UE 770成为移动无线服务的订阅设备。在具有MITM网关760的W1-Fi呼叫系统700中,UE 770、企业网络780以及HPLMN 715分别表示UE、企业网络以及服务提供商(或服务提供商的归属运营商)的潜在多个实例。还显然地,多个MITM网关760可以例如随着规模增加而被配设。
[0090]W1-Fi呼叫应用可以针对企业网络以及针对服务提供商而被缩放规模。为了实现W1-Fi呼叫系统700中的配置以及规模缩放,企业与托管MITM网关760的W1-Fi漫游交换的提供商具有某一关系。在至少一个实施例中,数据智能系统40被配置为执行W1-Fi漫游交换的一个或多个功能。此外,W1-Fi漫游交换运营商可以与不同的服务提供商(例如,归属运营商)具有关系。
[0091]在至少一个实施例中,企业网络被配置为将W1-Fi呼叫UE(例如,UE 770)重定向至漫游交换。重定向可以基于域名系统(DNS)覆写或网络地址转换(NAT)下的目的地IP。例如,对服务提供商的演进型分组数据网关(ePDG)DNS解析可以被覆写以指向经授权MITM网关760。这确保分组流被指向W1-Fi漫游交换。W1-Fi漫游交换可以作为用于W1-Fi呼叫的有效的访问公共陆地移动网络(VPLMN)进行操作。因此,W1-Fi漫游交换可以获得用户流的可视性。W1-Fi漫游交换将用户面处理耦合至安全分析。
[0092]在至少一个实施例中,企业网络780中的防火墙的防火墙规则可以被配置为允许从UE 770到MITM网关760的外输安全隧道。在至少一个实施例中,MITM网关760是演进型分组数据网关(eTOG)或实现规模缩放的虚拟ePDG,MITM网关760被授权来从源网络(例如,企业网络780)接收由UE发送的W1-Fi呼叫通信。安全隧道可以是IPSec隧道,互联网密钥交换(IKEv2)协议可以被用来建立隧道。MITM 760可以终止来自企业网络780的安全隧道,并且可以通过安全隧道从UE 770接收用户面分组。MITM 760可以将用户面分组以可视性方式报告给安全智能仪表板(图8、图9以及图1lA-图1lC中示出)。安全智能仪表板可以将W1-Fi呼叫通信以可视性的方式报告给企业网络的信息安全(InfoSec)模块。呼叫详情记录(CDR)可以针对MITM服务而被生成。
[0093]图7B示出了W1-Fi呼叫系统700中的可能组件,W1-Fi呼叫系统700已被缩放从而使得多个UE通过企业网络780使用W1-Fi呼叫应用。一旦企业网络780已被配置为将W1-Fi呼叫重定向至MITM网关760,则W1-Fi呼叫系统700支持任意数目的W1-Fi呼叫网络,而不影响企业网络780的配置。例如,UE 770-1、770-2、770-3和770-4可以分别是归属公共陆地移动网络(HPLMN)715-l、715-2、715-3和715-4的服务提供商的订户。HPLMN可以与相同或不同的服务提供商相关联。UE 770-1、770-2、770-3和770-4可以经由企业网络780发起W1-Fi呼叫,该W1-Fi呼叫可被路由至适当的HPLMN 715-1、715-2、715-3和715-4。在其他场景中,多个UE可以是同一服务提供商的订户,并且在来自企业网络780的W1-Fi呼叫期间可以访问同一HPLMN0
[0094]图7C示出了W1-Fi呼叫系统700中的可能组件,W1-Fi呼叫系统700已针对服务提供商被缩放从而使得UE能够通过多个企业网络使用W1-Fi呼叫应用。W1-Fi呼叫系统700支持任意数目的LAN/WAN源网络,而不影响与UE相关联的HPLMN的配置。例如,UE 770可以是运行HPLMN 715的特定服务提供商的订户,其中HPLMN 715是该UE的归属网络。UE 770可以拜访通过各自企业网络780-1、780-2、780-3和780-4来提供W1-Fi呼叫的多个企业。UE 770可以在每个企业网络处发起W1-Fi呼叫,并且这些呼叫可被从相应的企业网络经由MITM网关760路由至HPLMN715。
[0095]转向图8,图8是示出W1-Fi呼叫系统700的一些可能细节的框图。W1-Fi漫游交换可以被具体化于安全云730中。一般地,W1-Fi漫游交换意为指某一系统,该系统促进由用户设备通过源网络无线地发起并且被路由至服务提供商网络的语音和其他媒体移动通信。为了便于说明,SP网络720被描绘于图9中,用以表示UE 770的示例归属运营商。然而,显然地,月艮务提供商网络720可以包括多个PLMN,每个PLMN具有被配置以支持其W1-Fi呼叫服务的唯一全称域名(FQDN),订阅UE可以请求访问这些PLMN。根据本文所描述的实施例,W1-Fi漫游交换还可以提供针对与移动通信相关联的用户流的安全分析以及基于策略减轻所检测到的威胁。
[0096]图8提供了W1-Fi呼叫系统700中一些可能组件以及当UE 770通过源网络(例如,企业网络780)处的W1-Fi发起W1-Fi呼叫会话时可能发生的通信的示例图解。W1-Fi漫游交换可以被配设于安全云730中,并且可以包括一个或多个网络元件(例如,服务器、处理器、网关等),其中可以配设MITM网关760、基于计费和位置的信息存储设备736、安全分析模块740以及安全智能仪表板750。一个或多个处理器和存储器元件(例如,处理器737和存储器元件739)也可以被配设于W1-Fi漫游交换的一个或多个网络元件中。
[0097]在至少一个实施例中,通信系统10的数据智能系统40可以被配置为(例如,利用安全云730)执行W1-Fi漫游交换的一个或多个功能。在其他实施例中,W1-Fi漫游交换的一个或多个功能可以被配设于诸如SP网络720之类的服务提供商网络中。在另外其他实施例中,W1-Fi呼叫交换的一个或多个功能可以被配设于源网络(例如,企业网络780)中。
[0098]在至少一个实施例中,企业网络780可以包括W1-Fi接入点(AP)782、无线局域网控制器(11^0 784、防火墙$¥)786以及重定向模块788。們^ AP可在W1-Fi AP的无线访问范围内被用户设备(例如,UE 770)访问。W1-Fi AP可以被配置为或可以不被配置为当UE尝试建立无线连接时需要UE的认证。UE 770可以包括W1-Fi呼叫应用,该W1-Fi呼叫应用使得UE770能够经由对企业网络780的W1-Fi访问来发起移动呼叫会话。在至少一个实施例中,防火墙786可以是无警戒区(demilitarized zone,DMZ),从而向企业网络780提供附加安全。然而,显然地,可以根据特定需求来使用其他类型的防火墙。防火墙786可以被配置为允许在用户设备(例如,UE 770)与安全云730中的MMT 760之间建立安全隧道712-1。在至少一个实施例中,安全隧道712-1可以是互联网协议(IPSec)隧道并且可以通过互联网714来建立。
[0099]企业网络780中的重定向模块788可以被配置为将UE的W1-Fi呼叫通信重定向至W1-Fi漫游交换。可以使用任意适当的技术来完成重定向,该适当的技术使得W1-Fi呼叫通信的分组具有与安全云750相关联的目的地网络地址。具体地,目的地网络地址可以对应于MITM 网关 760。
[0100]重定向模块788的示例技术包括域名系统(DNS),DNS被配置为利用安全云730中的MITM网关760的网络地址来覆写发起至SP网络(例如,SP网络720)的安全隧道的请求的目的地地址。重定向模块788的另一示例技术包括网络地址转换器(NAT),该NAT被配置为利用安全云730中的MITM网关760的网络地址来转换发起至SP网络(例如,SP网络720)的安全隧道的请求的目的地地址。在至少一些示例中,MITM 760可以包括演进型分组数据网关(eTOG),安全隧道的请求被重定向模块788重定向至该ePDG。
[0101]在至少一个实施例中,SP网络720可以包括防火墙(FW)726和分组数据网络网关(P-Gff)724,P-Gff 724被配置为将W1-Fi呼叫通信转发至互联网协议多媒体子系统(IMS)722oIMS 722表示SP提供商之间的集成网络,该集成网络促进通过无线或陆上线路进行的多种形式的分组通信(例如,电话、电子邮件、互联网、IP语音、视频会议、即时消息、视频点播、传真等)的IP使用。防火墙726可被配置为允许在P-GW 724与安全隧道W1-Fi漫游交换中的MITM网关760之间建立安全隧道。在至少一个实施例中,安全隧道可以是虚拟专用网络的虚拟专用网络(VPN)隧道712-2,例如,通用分组无线服务隧道协议(GTP)隧道。可以通过VPN来建立VPN隧道12-2,其中,VPN可被配设在互联网或其他适当的网络中。
[0102]在W1-F i呼叫系统700中,企业用户和服务提供商用户可以访问至少部分地由安全仪表板750提供的安全分析服务。安全分析服务可以经由用户界面(例如,图形用户界面(GUI))为与访问信息的用户相关联的服务提供商网络或源网络提供从安全分析模块740和/或基于计费和位置的信息存储设备736获得的信息。这样的用户示例包括但不限于HPLMN I用户716-1和HPLMN 2用户716-2,这些用户可与相同或不同的服务提供商中的不同HPLMN相关联。这样的用户的其他示例包括但不限于企业I用户716-3和企业2用户716-4,这些用户可以与不同的企业网络相关联。在至少一个实施例中,这些用户可被要求提供用于认证的证书,并且如果已认证,则经认证用户可以通过互联网或另一网络(通过其可建立安全隧道)经由安全隧道(例如,718-1至718-4)访问安全服务的相应web门户。
[0103]图9是根据至少一个实施例示出W1-Fi呼叫系统700的附加可能细节的框图。具体地,安全云730的W1-Fi漫游交换还可以包括服务质量(QoS)集成服务器731、证书存储设备732、域名系统(DNS)服务器733、收费网关(CGF)734、认证授权和计费(AAA)服务器735以及策略模块758。安全分析模块740可以包括相关器模块742和虚拟网络分析模块(vNAM) 744。
[0104]在至少一个实施例,MITM网关760可以是演进型分组数据网关(ePDG)。一般地,ePDG可以负责要求安全访问的不可信非3GPP (或其他)网络(例如,W1-Fi等)之间的网络互联。eTOG可被虚拟化以支持多个服务提供商和企业网络,其中多个UE可以从同一企业网络发起W1-Fi呼叫。eTOG的实例可以针对在MITM网关760与通过企业网络780和其他源网络进行传输的UE 770之间建立的每个IPSec隧道提供虚拟ePDG IPSec终止点762wPDG的虚拟化实例还可以针对在MITM网关760与SP网络720和其他SP网络之间建立的每个GTP隧道提供虚拟ePDG GTP终止点764。
[0105]在至少一个实施例中,当UE发起W1-Fi呼叫会话且其分组被重定向至MITM网关760时,UE向该网关标识其自身,并且MITM网关可以通过利用证书来标识其自身从而进行响应。证书可以包括与UE用来解析其服务提供商的IP地址的全称域名(FQDN)相对应的标识。服务提供商(或服务提供商的HPLMN)的FQDN被称为“域(realm)”。由于FQDN表示服务提供商(或服务提供商的HPLMN)的网关,因此MITM网关760的单个实例可被配置为支持多个FQDN。
[0106]在至少一个实施例中,W1-Fi漫游交换可被配设有证书存储设备(例如,证书存储设备732),该证书存储设备包括多个证书,每个证书对应于服务提供商(或服务提供商的PLMN)的FQDN。在至少一个实施例中,证书存储设备还包括接入点名称(APN)运营商标识符(OI)代替物。应当注意的是,图8和图9中的SP网络720意为表示订阅服务提供商的一个或多个UE(例如,UE 770)的HPLMN。
[0107]在至少一个实施例中,MITM网关760可操作来恢复UE的标识。可从UE与MITM网关之间交换的消息获得UE标识来建立W1-Fi呼叫会话的安全隧道。在一个示例中,安全隧道可以基于互联网工程任务组(IETF)标准被实现为互联网协议安全(IPSec)隧道,从而实现MITM网关与UE之间的W1-Fi呼叫通信的安全传输。C.Kaufman等提出的、题为“互联网密钥交换(IKEv2)协议”(2014年10月的IETF互联网标准认证请求(RFC)7296中所规定的的示例协议提供了用于获得建立IPSec隧道的密钥材料的机制。
[0108]在使用安全隧道IPSec来传输W1-Fi呼叫通信的实现方式中,标识发起方(IDi)可被包括在IKEv2认证请求净负荷中,并且IDi可以包括MITM网关所使用的信息。IDi可以被配置为用户@域(UserOrealm)13MITM网关可以从IDi恢复UE标识。MITM网关还可以基于UE标识来恢复为该UE服务的服务提供商的标识。可以通过IMSI格式进行分析,从而根据前导数位恢复移动国家代码(MCC)和移动网络代码(丽C),或者进行域分析JCC与丽C结合使用唯一标识了服务提供商(或HPLMNhMITM网关可以标识所存储的多个证书中哪个证书与服务提供商(或HPLMN)相对应,并且MITM网关能够将该证书递送至UE。由此,公共MITM网关能够在多个服务提供商和服务提供商的多个HPLMN运营商之间有效共享。因此,对于UE而言,虚拟化MITM服务显然可被实现。
[0109]DNS服务器733可以被配置为与SP网络的其他DNS服务器(例如,SP网络720的DNS月艮务器723)进行通信,从而解析服务提供商的P-GW的网络地址。在至少一个实施例中,MITM网关760可以针对SP网络处的P-GW配置要用于DNS请求的特定FQDN。这可以基于服务提供商的偏好进行配置。例如,服务提供商可能偏好于来自源网络的使用W1-Fi漫游交换的W1-Fi呼叫通信被路由至P-GW 724的特定实例。该信息可由获授权用户在W1-Fi漫游交换中配置。
[0110]AAA服务器735可以被配置为与SP网络的其他AAA服务器(例如,SP网络720的3GPPAAA服务器725)进行通信,从而当UE 770从企业网络780发起W1-Fi呼叫会话时对UE进行认证。该认证可以在MITM网关760与UE 770之间建立安全隧道之前进行。在至少一个实施例中,可扩展认证协议(EAP)可被用来执行认证。然而,显然地,任何适当的认证协议可被用来执行认证。在认证期间UE可以被唯一标识。此外,诸如W1-Fi呼叫会话的目的地(例如,SP网络720)和源(例如,企业网络780)的外部网络地址和内部网络地址之类的其他信息可被确定。
[0111]在至少一个实施例中,如果UE先前被确定为受到危害,则UE的标识可被用来防止建立IPSec会话。例如,当UE的标识(例如,在EAP认证期间)被确定时,可以针对如下方面做出确定:UE先前在使用W1-Fi呼叫时是否表现出不符合的流量。在该情形下,W1-Fi漫游交换可以防止UE建立IPSec会话以防止UE 770通过企业网络780调用W1-Fi呼叫服务。然而,可能不能防止UE 770通过具有无限制访问的公共网络来使用W1-Fi呼叫。
[0112]在至少一个实施例中,收费网关734可以被配设于W1-Fi漫游交换中,以针对穿越MITM网关760的W1-Fi呼叫会话生成呼叫详情记录(CDR)。⑶R中的信息可以包括但不限于W1-Fi呼叫会话的源(例如,企业网络780)和目的地(例如,SP网络720)的网络地址以及发起该W1-Fi呼叫会话的UE的頂SI。
[0113]当对UE 770的认证成功,可经由企业网络780在MITM网关760与UE 770之间建立安全隧道(例如,IPSec隧道712-1)。此外,可以在MITM网关760和SP网络720的P-GW 724之间建立隧道。可以使用通用分组无线服务(GPRS)隧道协议(GTP)来建立该另一隧道。在至少一个实施例中,可以在MITM网关760与P-GW 724之间通过虚拟专用网络(VPN)713_1在虚拟专用网络(VPN)隧道712-2中建立GTP隧道。
[0114]当针对UE建立器隧道时,在至少一个实施例中,用户面能够与安全分析模块740相集成。在至少一个实施例中,分组在W1-Fi呼叫会话期间被嵌入到MITM网关760与SP网络720之间的GTP隧道中。这样的分组例如可以包括实时传输协议(RTP)和会话发起协议(SIP)。这些分组在W1-Fi呼叫会话期间可被镜像到虚拟网络分析模块744。在至少一个实施例中,如图9所示,GTP隧道流量可在717处被(例如,被交换端口分析器(SPAN))拦截并且被隧穿至vNAM 744。在另一实施例中,如图8所示,vNAM 744可以与GTP隧道串联(in-line)放置以使得GTP分组可被拦截、复制以及分析。在这些实施例中,vNAM 744可以被配置为打开分组并且对其进行分析。
[0115]在替代实施例中,流量镜像可被用来当本地IP流量在GTP与IPSec之间进行切换时来对其进行镜像,随后使用分析装置来评估该流量。具体地,MITM网关760可以被配置为打开从UE 770接收到的或从SP网络720接收到的分组,并且将打开的分组的副本发送至vNAM744。对流量镜像的控制可以经由认证、授权和计费(AAA)服务器进行。控制信令还可以标识源企业(例如,通过源处相对于预配置的IP地址范围的IP地址来标识)。企业标识可(例如,使用虚拟LAN或不同的镜像头部)被包括在经镜像的分组中。
[0116]安全分析模块能够检测通过隧道发送至UE770的任何异常分组。异常分组可以指示W1-Fi呼叫会话是一威胁。异常分组的示例包括但不限于:使用W1-Fi呼叫会话中一般不使用的协议的分组,具有不寻常数据类型的分组,使用非标准端口的分组等等。在至少一个实施例中,vNAM 744可以基于对其接收的经镜像流量的分析来生成分析信息。该分析信息可被馈送至相关器模块742,相关器模块742可以将该分析信息与关联于W1-Fi呼叫会话的控制面数据进行关联。异常分组的具体示例可以包括非标准端口上的文件传输协议(FTP)。
[0117]可以基于特定需求和实现方式,使用任意适当的机制来获得控制面数据。在一个实施例中,由MITM网关760生成并通过信号发送至AAA服务器735的针对W1-Fi呼叫会话的认证、授权和计费(AAA)记录可被提供给相关器模块742。在另一实施例中,由MITM网关760生成并通过信号发送至收费网关734的针对W1-Fi呼叫会话的呼叫详情记录(CDR)可被提供给相关器模块742AAA记录和⑶R记录可以包含控制面数据,该控制面数据包括但不限于UE的頂S1、UE的内部IP地址、源网络(例如,企业网络780)的外部IP地址以及SP网络720的P-GW的IP地址。在一些实现方式中,如果在MITM网关760上设置过滤器,则这些过滤器可作为分离的子记录而被报告。
[0118]W1-Fi漫游交换的企业门户提供通过企业网络建立的W1-Fi呼叫会话的可视性。该可视性可以最小化企业可能在IPSec隧道方面存在的安全问题。W1-Fi漫游交换还可以经由服务提供商门户提供服务提供商的可视性。企业门户和服务提供商门户共同由安全智能仪表板750 (在本文中也被称为“安全仪表板”)来表不。
[0119]安全仪表板可以向每个通过W1-Fi漫游交换实现W1-Fi呼叫会话的企业提供企业特定信息的分析视图。在至少一个实施例中,特定企业可以查看针对其企业网络进行的(或尝试进行的)所有W1-Fi呼叫会话的分析。根据特定时间内进行的呼叫,特定时间的这些分析可以包括一个或多个UE和一个或多个服务提供商。因此,IPSec更有可能在企业LAN上被支持。显然地,安全仪表板可以提供通过W1-Fi漫游交换实现W1-Fi呼叫会话的任何源网络的分析视图。
[0120]安全仪表板750还可以将服务提供商特定信息的分析视图提供给服务提供商,这些服务提供商允许W1-Fi漫游交换配置和使用其证书来由其订户UE通过W1-Fi漫游交换建立W1-Fi呼叫会话。在至少一个实施例中,特定服务提供商可以查看从其订户UE经由源网络的W1-Fi进行的(或尝试进行的)所有W1-Fi呼叫会话的分析,其中源网络将这些W1-Fi呼叫通信重定向至W1-Fi漫游交换。根据特定时间内进行的呼叫,特定时间的这些分析可以包括一个或多个UE和一个或多个源网络(例如,企业网络720)。
[0121]在图9中,可由安全仪表板750和/或安全分析模块740利用策略模块758。在网络流量已被分析并且被(例如,被安全分析模块740)与控制面数据进行关联之后,可以做出关于该网络流量是否违背任何策略的确定。这样的策略可以特定于源网络(例如,企业网络720),服务提供商网络(例如,SP网络720)或这些网络的任意适当组合。例如,vNAM 744可以确定该网络流量表明攻击,并且相关器模块744可以标识与该网络流量相关联的UE。可以做出如下确定:被标识的特定攻击违背了企业策略,因而可以基于适当策略对W1-Fi呼叫会话执行动作。可执行的动作可以包括但不限于:阻塞当前会话、终止当前会话、隔离当前会话的用户流和/或阻塞未来由与所标识的攻击相关联的同一 UE发起的会话。在至少一些场景中,例如,安全仪表板750可以被配置为允许企业或服务提供商的获授权代理(例如,人工代理或软件代理)来经由仪表板发布适当的指令,从而实时采取校正动作。
[0122]各种方法可被用来终止W1-Fi呼叫会话或终止对建立W1-Fi呼叫会话的尝试。在一个示例中,如果对建立W1-Fi呼叫会话的尝试尚未完成,则可以通过结束与W1-Fi漫游交换中的AAA服务器735进行的交换来终止对建立W1-Fi呼叫会话的尝试。在另一示例中,对于被标识为威胁的特定W1-Fi呼叫会话,信息可被传递至SP网络720,相应的访问请求或与该W1-Fi 呼叫会话相关联的其他分组可以被标记,并且 SP 网络可以拒绝对所标记的分组的访问。应当注意,这些是可以被实现的说明性的可能技术,可以使用任意其他适当技术。
[0123]在至少一个实施例中,W1-Fi漫游交换还可以包括服务质量(QoS)集成服务器731,用于对穿越企业网络的W1-Fi呼叫流量优先考虑。企业网络780仅查看安全隧道,而不能确定隧道的内容。当网络流量已被评估并且被确定为有效W1-Fi呼叫通信时,QoS集成服务器731可以从安全分析模块740接收信息。例如,vNAM可以预期针对来自UE 770的合法W1-Fi呼叫流量来查看实时传输(RTP)分组和/或会话发起协议(SIP)分组。因此,如果这些分组被vNAM 744标识,则这样的信息可被馈送至QoS集成服务器731,以指示W1-Fi呼叫会话不被视作威胁。
[0124]响应于接收指示特定W1-Fi呼叫会话不是威胁的信息,QoS集成服务器731可以向企业网络发送请求以对W1-Fi呼叫会话的网络流量优先考虑。该请求可以经由QoS集成服务器731与企业网络780之间建立的安全信令链路(例如,VPN 713-2的安全隧道或使得在两个域之间进行安全通信的任意其他适当技术)被发送。在至少一个实施例中,在指示W1-Fi呼叫会话不是威胁的信息被QoS集成服务器731接收之前,该安全隧道可以被建立。在其他实施例中,该安全隧道可以响应于接收到W1-Fi呼叫会话不是威胁的通知而被建立。在一个特定实现方式中,可以在QoS集成服务器731与企业网络780中的控制器(未示出)之间建立安全隧道,该控制器可以将控制流量从QoS集成服务器731转发至WLC 784。
[0125]在至少一个实施例中,安全分析模块可以是数据智能系统40的安全分析模块。数据智能系统40的显示引擎例如可以由安全仪表板750用来向企业提供针对当端用户处于企业处所时进行的W1-Fi呼叫的安全分析信息。尽管本文已经相对于W1-Fi呼叫服务和数据智能系统40讨论了实施例,但显然,由于在安全隧道内隐藏流量而触发网络安全问题的企业网络的任何服务也可以得益于本文所公开的安全概念。
[0126]另外,显然地,各种替代实现方式可被应用于本文所描述的广义概念。在一个特定替代实现方式中,MITM网关760和VPN隧道712-2可以被配设于企业网络780中。因此,安全隧道(例如,IPSec)712-l可以被在企业网络中建立和维护。在至少一个实施例中,各种其他组件(例如,安全分析模块740、安全仪表板750、QoS集成服务器731等)可以保留在安全云730的W1-Fi漫游交换中。在该示例中,每个MITM网关可专用于来自该网关被配设于的特定源网络的W1-Fi呼叫会话。
[0127]转向图10和图11A-11C,简化交互图示出了可根据本文所描述的实施例发生的至少一些通信。图10示出了重定向模块788的替代的可能实施例,其用于当UE 770在企业网络780的W1-Fi范围之内使用W1-Fi呼叫应用发起W1-Fi呼叫时,将W1-Fi呼叫通信重定向至W1-Fi漫游交换。图10包括交互,这些交互涉及UE 770、企业网络780的DNS服务器783、企业网络780的网络地址转换器(NAT)服务器787、W1-Fi漫游交换的MITM网关760以及SP网络720的DNS服务器723。
[0128]重定向模块788的一个实施例包括NAT重定向流程1000,该NAT重定向流程1000使用网络地址转换来将通信从UE 770重定向至MITM 760,而不是直接路由至SP网络720。在NAT重定向流程中,当W1-Fi呼叫由UE 770在企业网络处发起时,在1002处,DNS查询被发送。DNS查询被发送以解析SP网络的全称域名(FQDN),其中UE被授权以基于订阅从该SP网络获得移动无线服务。在至少一个场景中,UE可以基于订阅被授权以从SP网络获得移动无线服务。在该示例中,FQDN对应于SP网络720。首先,DNS查询可被发送至企业网络780中的DNS月艮务器783,然后可能被路由至SP网络720的DNS服务器725。在1004处,包括SP网络720的IP地址的DNS响应被发送至UE 770。具体地,ePDG的外部IP地址可以被提供于DNS响应中。在该示例场景中,被返回至UE 770的外部IP地址为IP04。
[0129]在至少一个实施例中,互联网密钥交换协议版本2可以被用来建立UE上的W1-Fi呼叫应用所需的将W1-Fi呼叫通信从UE 770传输至SP网络720的安全隧道。本文为了便于说明,交互流程中的协议消息可以参照IKEv2协议进行描述。然而,显然地,可以使用任意其他适当协议,并且可以相应修改特定协议通信从而实现相同结果。
[0130]在1006处,UE 770可以发送初始化安全隧道的请求(例如,IKE_SA_INIT)以传输W1-Fi呼叫通信。该请求可以包括目的地和源,其中目的地为DNS响应中所返回的IP地址,源为企业网络780的内部源IP地址。在该示例中,企业网络780的内部源IP地址是IPOl。在1008处,NAT服务器787可以利用MITM网关760的IP地址来转换目的地地址(例如,IP(M)。在该示例中,MITM网关的IP地址被称为“eTOG IP@” JAT服务器也可以将内部源地址转换为企业网络的外部源IP地址。在该示例中,外部源IP地址是IP02。
[0131]在1010处,NAT服务器可以基于网络地址转换,使用新的源地址和目的地地址来发送安全隧道初始化请求。在该示例中,企业网络的外部源IP地址是IP02 O由于对W1-Fi呼叫通信的预配置转换,该请求的目的地IP地址是ePDG ΙΡ0。在至少一个实施例中,由UE发送的每个W1-Fi呼叫通信可由NAT服务器787进行转换以将该通信重定向至W1-Fi漫游交换。
[0132]重定向模块788的另一实施例包括DNS重定向流程1020,其使用域名系统(DNS)重定向将通信从UE 770重定向至MITM 760,而不是直接路由至SP网络720。在DNS重定向流程中,当W1-Fi呼叫由UE 770在企业网络处发起时,在1022处,DNS查询被发送。DNS查询可以与先前参照1002所描述的相同。DNS查询可以被发送至企业网络780的DNS服务器783。在1024处,DNS服务器783被配置为利用MITM网关760的网络地址来覆写经解析的H)QN。在该场景中,MITM网关的地址是ePDG ΙΡ0。在1026处,包含MITM网关760的IP地址的DNS响应被发送至UE 770。
[0133]在1028处,UE 770可以发送初始化安全隧道的请求(例如,IKE_SA_INIT)以传输W1-Fi呼叫通信。该请求可以包括作为目的地地址的DNS响应中所返回的IP地址以及作为源地址的企业网络780的内容部IP地址(或者如果使用了网络地址转换,则将外部IP地址作为源地址)。在该场景中,由于DNS覆写,源地址是IPOl,目的地地址是ePDG ΙΡ0。在至少一个实施例中,一旦H)QN被DNS服务器785解析,则UE可以继续使用DNS响应所返回的IP地址作为其W1-Fi呼叫通信的目的地地址,而无需重复的DNS查询。
[0134]图11A-11C示出了根据本文所描述的至少一个实施例的由UE770从企业网络780建立W1-Fi呼叫会话的交互流程1100。图11A-11C包括交互,这些交互涉及:a)企业网络780处的UE 770;b)W1-Fi漫游交换的MITM网关760、安全仪表板750、AAA服务器735、收费网关(CGF)734,vNAM 744以及相关器模块742;以及c)SP网络720的DNS服务器723、P_GW 724以及AAA服务器725。应当注意,交互流程1100可以发生于已经进行了安全隧道初始化请求和响应之后。参照图10所描述的DNS覆写或目的地IP NAT转换或者另一适当的重定向技术可在交互流程1100之前被执行。
[0135]在1102处,安全隧道授权请求(例如,IKE_AUTH)可以被从UE 770发送至MITM网关760。在至少一个实施例中,该请求可以包括目的地地址(例如,ePDG IPi)、源地址(例如,基于是否使用NAT为IPOl或2)、标识-发起方(IDi)以及标识-响应方(IDr) JDi可以采用“UE标识@域(UE identityOrealm)”的形式。IDr可以是具有运营商部分和网络部分的接入点名称(APN)。在1104处,MITM网关760可以基于IDi中的域来标识与UE相关联的服务提供商。在1106处,MITM网关可以针对所标识的服务提供商来标识证书。在至少一个实施例中,该证书可从证书存储设备732中获得,其中证书存储设备732可被预配置有证书和服务提供商标识。在1108处,MITM网关760可以尝试认证UE。在至少一个实施例中,AAA服务器735和725可以被用来基于可扩展认证协议(EAP)执行认证。MITM网关760可以向AAA服务器735发送认证和授权(AA)请求。AA请求可以包括EAP参数和UE的全球移动用户标识(MSI)。
[0136]在至少一个实施例中,AA请求可以被转发至相关器模块742。在1110处,相关器模块可以确定IMSI是否与已受危害的UE相关联。该确定可以基于UE的在先历史来做出。例如,如果UE先前通过W1-Fi呼叫会话表现出不符合的流量,或者违背与企业网络相关联的策略,则先前可能已存储了指示頂SI与受到危害的UE相关联的MSI的信息。如果(例如,基于其MSI)做出了UE受到危害的确定,则AAA交换可以被终止,并且不建立针对UE所请求的W1-Fi呼叫会话的安全隧道。因此,UE 770被防止经由企业网络780的W1-Fi来建立W1-Fi呼叫会话。然而,UE可以经由W1-Fi访问不安全网络或者经由可用的移动无线技术来访问SP网络720,从而进行W1-Fi呼叫。
[0137]如果頂SI被确定为不与受到危害的UE相关联,则在1112处,AA请求可以被转发至SP网络720中的AAA服务器725。在1114处,AA响应可被发送至AAA服务器735,随后被转发至MITM网关760。在1116处,MITM网关760可以将安全隧道授权响应发送至UE 770。该授权响应可以包括EAP消息和针对服务提供商所标识的证书。
[0138]在1118处,EAP交换可以在W1-Fi漫游交换和SP网络的AAA服务器之间继续。在至少一个实施例中,可以使用EAP认证和密钥协定(EAP-AKA)方法。EAP-AKA是基于从归属位置寄存器(HLR)和归属订户服务器(HSS)获得的信息,对W1-Fi用户的认证。HLR包含订户数据和与呼叫路由相关的信息。HSS是针对给定移动无线订户的、包含订阅相关信息的数据库。在EAP-AKA认证中,可以使用挑战-响应机制和对称密码学。
[0139]在1120处,如果EAP交换成功,则SP网络720中的AAA服务器可以向W1-Fi漫游交换中的AAA服务器发送AA应答。AA应答可以包括EAP交换成功的指示。W1-Fi漫游交换中的AAA服务器可以将AA应答转发至MITM网关760。在1122处,MITM网关可以向UE发送对安全隧道授权请求的响应。该响应可以指示EAP交换成功,因而UE已被认证。
[0140]在图1lB中,在1124处,UE 770可以向MITM网关760发送另一安全隧道授权请求,以确定要用于W1-Fi呼叫会话的地址。授权请求可以包括IDr,IDr可以是与SP网络720相关联的接入点名称(APN) ^PN可以包括运营商标识(OI)和网络标识(NI) JPN OI可以定义网关GPRS支持节点(GGSN)所位于的服务提供商的分组域网络。APN NI可以定义GGSN所连接的外部网络。
[0141]在1126处,MITM网关760可以基于授权请求中的APN获得APN运营商标识符(APN01)代替物。APN的APN NI可以被用来标识APN OI代替物。在至少一个实现方式中,针对SP网络720的APN OI代替物被存储于证书存储设备732中。当APN OI代替物被标识时,其可被添加到APN中。出于说明的目的,示例APN可以是“epc.mncl5.mcc235.3gppnetwork.0rg”,其中,“epc” 是APN NI,并且 “mncl5.mcc235.3gppnetwork.0rg” 是已被添加到APN NI 中的APNOI代替物。
[0142]在1128处,DNS查询可以由MITM网关发送至SP网络中的DNS服务器723 ANS查询可以包含APN,其包括网络标识符和运营商标识符。在1130处,DNS响应被从DNS服务器723发送至MITM网关。DNS响应可以包含SP网络中的P-GW 724的IP地址。在1132处,MITM网关可以将GTP创建会话请求发送至P-GW 724,以在W1-Fi漫游交换与SP网络之间建立用于W1-Fi呼叫的安全隧道。GTP创建会话请求被发送至在1130处的响应中所接收的IP地址以到达SP网络720中的P-GWATP创建会话请求可以包括UE 770的IMSI和APN。在1134处,P-GW 724可以向MITM网关发送响应。如果该响应被发送以建立GTP隧道,则该响应可以包括由P-GW 724分配给UE 770的内部IP地址,该内部IP地址可被用于经由GTP隧道发送流量。在该示例中,内部IP地址为IP03XTP隧道在1136处被建立。
[0143]在1138处,MITM网关760可以向UE 770发送安全隧道授权响应。授权响应可以包括配置净负荷,该配置净负荷包括但不限于由SP网络720中的P-GW 724分配给UE 770的内部IP地址。在1140处,可在UE 770与MITM网关760之间建立安全隧道(例如,IPSec隧道)。
[0144]当安全隧道被建立时,控制面数据可被生成并且被提供给相关器模块742。可以采用CD R和/或AAA记录的形式来生成控制面数据。在114 2处,AA请求开始消息可被从W 1-F i漫游交换中的MITM网关760发送至AAA服务器735。该请求可以包括但不限于頂S1、P-GW 724的IP地址、UE 770的内部IP地址以及UE 770的隧道的外部源IP地址。AAA服务器735可以生成具有该信息的AAA记录,并且在1144处,AAA服务器735可以将AAA记录发送至相关器模块742。在1146处,AAA服务器735可以向MITM网关发送响应。
[0145]在1148处,呼叫详情请求可以被从W1-Fi漫游交换中的MITM网关760发送至收费网关(CGF)734。该请求可以包括但不限于IMS1、P-GW724的IP地址、UE 770的内部IP地址以及UE 770的隧道的外部源IP地址。收费服务器734可以生成具有该信息的呼叫详情记录(⑶R),并且在1150处,收费服务器734可以将⑶R发送至相关器模块742。
[0146]如图1lC所示,在1152处,W1-Fi呼叫会话的网络流量可通过W1-Fi漫游交换经由安全隧道在UE 770和SP网络的P-GW 724之间进行传输。流量镜像1154(其实施例本文先前已描述)使得经隧穿的分组被拦截并被复制到W1-Fi漫游交换中的虚拟网络分析模块(vNAM)744以供分析。从1156至1166的流程对在经隧穿的分组被发送至vNAM 744时可进行的动作和分析进行说明。
[0147]当vNAM接收到W1-Fi呼叫分组时,分组可被打开,并且其内容可被分析。在1156处,分析信息可被发送至相关器模块742。此外,该分组中所包括的UE 770的内部IP地址也可以被提供给相关器模块。在1158处,相关器模块可以将内部IP地址与UE 770的頂SI进行关联。因此,UE 770的IMSI可以与W1-Fi呼叫分组相关联。策略可被评估以确定W1-Fi呼叫分组是否已违背任何策略和/或如果违背已发生则执行什么动作。
[0148]在1160处,关联和分析的结果可被提供给安全仪表板750。安全仪表板可以经由用户界面将分析信息提供给与企业网络780或SP网络720相关联的经认证用户。与来自特定源网络的W1-Fi呼叫会话相关的信息对于与该源(例如,企业)相关联的经授权用户而言可以是可获得的。与经由特定服务提供商的W1-Fi呼叫会话相关的信息对于与该服务提供商相关联的经授权用户而言可以是可获得的。
[0149]如果W1-Fi呼叫分组被确定违背了策略,则在1162处,相关器模块可以记录UE可能的(或实际的)受危害状态的指示。该记录可以基于UE的頂SI。在至少一个示例中,如果UE已被确定为处于受危害状态,则有关策略可以要求终止W1-Fi呼叫会话。在该情形中,在1164处,相关器模块744可以发送指令以终止W1-Fi呼叫会话。在至少一个实施例中,在1164处,指令可被发送至AAA服务器735,AAA服务器735可以将适当的指令提供给MITM网关760。在1166处,受危害的IMSI会话可被删除。然而,显然地,可以采取其他附加的或替换的动作。例如,W1-Fi呼叫会话流可被隔离,警告可被发送给管理员等。
[0150]转向图12,图12是可被在W1-Fi呼叫系统700的至少一个实施例中执行的可能操作的简化流程图1200。一组或多组操作可以对应于图12的活动。在至少一个实施例中,安全云730中的W1-Fi漫游交换可以包括诸如一个或多个处理器(例如,处理器737)之类的用于执行操作的装置。在一个示例中,至少一些操作可由MITM网关760和安全分析模块740(当被诸如处理器737之类的一个或多个处理器运行时)来执行。
[0151]在1202处,授权请求可被从UE接收以建立从源网络(例如,企业网络780)至W1-Fi漫游交换中的MITM网关(例如,MITM网关760)的安全隧道。在1204处,UE的服务提供商可以被标识。在至少一个实施例中,服务提供商是基于授权请求中所提供的网络接入标识符(例如,域)而被标识的。在1206处,与所标识的服务提供商相对应的证书被标识。在一个示例中,证书可被预配置并且例如被存储于证书存储设备(例如,安全云730的W1-Fi漫游交换中的证书存储设备732)中。
[0152]在1208处,关于UE是否受到危害做出确定。该确定可以至少部分基于由UE从W1-Fi源网络发起的一个或多个在先呼叫来做出。例如,当W1-Fi漫游交换做出UE受到危害的确定时,该信息可被存储(例如,被存储在存储器元件739中)以指示UE状态(例如,受到危害、可能受到危害等),以供稍后在UE尝试从同一W1-Fi源网络进行另一W1-Fi呼叫时进行访问。因此,如果所存储的UE状态如在1210处所评估的指示UE受到危害,则在1212处,可以基于策略采取动作。在一个示例中,该策略可以要求终止该会话发起过程,以使得针对UE的W1-Fi呼叫会话不建立安全隧道。在其他实现方式中,可以采取其他动作(例如,隔离、警告管理员等)。另外,UE的不同状态可具有要求采取不同动作的不同策略。在1214处,UE标识符(例如,IMSI)和UE状态可按需被存储以供稍后访问。
[0153]如果在1210处确定UE不受到危害,则在1216处,所标识的与UE的服务提供商相关联的证书被发送至UE。在1218处,UE可被认证。在一个示例中,EAP-AKA交换可在UE与UE尝试与其建立W1-Fi呼叫会话的SP网络中的AAA服务器之间执行。一旦UE认证成功,在1220处,确定要用于W1-Fi呼叫会话的网络地址。对于UE尝试与其建立W1-Fi呼叫会话的SP网络,这可以是网络地址、UE 770的外部IP和UE 770的内部IP。
[0154]如果UE认证成功并且获得P-GW的网络地址,则在1222处,可在W1-Fi漫游交换与SP网络之间建立安全隧道。在一个示例中,安全隧道可以是从W1-Fi漫游交换中的MITM网关到SP网络中的P-GW的GTP隧道。在1224处,可以在W1-Fi漫游交换与UE之间建立安全隧道。具体地,安全隧道可以是从W1-Fi漫游交换中的MITM网关经由W1-Fi源网络至UE的IPSec隧道。
[0155]当安全隧道已建立时,在1226处,控制面元数据可被生成并被提供给W1-Fi漫游交换中的安全分析模块。控制面元数据可由AAA服务器在AAA记录中生成或者可由收费网关在CDR中生成。控制面元数据可以包括但不限于UE的IMS1、UE内部和外部IP地址。还可以包括P-Gff IP地址。
[0156]图13A和图13B分别是可被在W1-Fi呼叫系统700的至少一个实施例中执行的其他可能操作的简化流程图1300和1320。一组或多组操作可以对应于图13A和图13B的活动。在至少一个实施例中,安全云730中的W1-Fi漫游交换可以包括诸如一个或多个处理器(例如,处理器737)之类的用于执行操作的装置。在一个示例中,至少一些操作可由MITM网关760、安全分析模块740和QoS集成服务器731(当被诸如处理器737之类的一个或多个处理器运行时)来执行。流程图1300和1320示出可在UE经由W1-Fi漫游交换与其SP网络建立起W1-Fi呼叫会话之后被执行的操作,其中,UE通过源网络处的W1-Fi发起会话。
[0157]在流程图1300中,在1302处,与W1-Fi呼叫会话相关联的隧穿分组被拦截。该分组可以是从UE接收到的分组或者从SP网络接收到的分组。在1304处,在WiFi漫游交换中,被拦截的分组可以被复制(或镜像)到安全分析模块。在1306处,安全分析模块可以分析所复制的分组并且生成分析信息。分析分组可以包括通过去除头部来打开分组以及分析分组的内容。数据类型和/或协议类型可以被标识。例如,W1-Fi呼叫会话一般可以包括RTP和SIP网络流量。分析信息可被提供给相关器模块。
[0158]在1308处,W1-Fi呼叫会话的控制面元数据可以与分析信息关联。在一个示例中,UE在SP网络中的内部IP地址可从分组的头部来标识。可访问在W1-Fi呼叫会话的初始化期间获得的控制面数据,并且可将P-GW的IP地址与UE的頂SI关联。
[0159]在1310处,可以关于分析信息是否指示已违背策略做出确定。例如,如果网络流量正在使用非标准协议(例如,除RTP或SIP以外的协议),则对于其中W1-Fi呼叫会话被发起的特定源网络,这可能违背策略。如果做出了被拦截的网络流量违背策略的确定,则在1312处,可以至少部分基于该策略采取动作。可以基于不同类型的策略违背并且依赖于配置该策略所针对的特定源网络,来采取不同的动作。例如,如果网络流量被确定为是非标准的,则特定源网络的策略可以要求终止W1-Fi呼叫会话。在另一示例中,除了或者代替终止会话,源网络的策略可以要求(例如,向网络管理员)发送警告。显然地,可以基于特定需求和实现方式来执行任意数目的动作。
[0160]在1314处,可以关于是否有更多的分组穿越W1-Fi呼叫会话的安全隧道做出确定。如果更多的分组被检测到,则流程返回至1302,在1302处,分组被拦截并且流程再次继续。如果没有检测到更多分组,或者如果检测到会话结束指示,则流程可以结束。
[0161]在1310处,如果策略未被确定为被违背,则流程可以行进至图13B中流程图1320的1322。在1322处,关于是否已经发送在源网络中对UE流优先考虑的指令做出确定。如果是,这指示其他被拦截的分组被确定为未违背任何策略。在该情形中,流程行进至图13A中的1314ο
[0162]如果在1322处确定在源网络中对UE流优先考虑的指令先前未被发送,则这可以指示W1-Fi呼叫会话是新建立的。流程可以行进至1324,在1324处,关于被拦截的分组中的数据类型通常是否用于W1-Fi呼叫会话做出确定。例如,如果被拦截的分组中的数据类型通常不被用于W1-Fi呼叫会话,则网络流量可能还需要评估并且不应被源网络优先考虑。因此,流程可以行进至图13Α中的1314。
[0163]如果RTP或SIP协议在被拦截的分组中被标识,或者如果类似类型的语音分组在被拦截的分组中被标识,则可以推断W1-Fi呼叫会话处于正常的呼叫状态。在该情形中,流程可以行进至1326,在1326处,可以关于策略是否要求由源网络对W1-Fi呼叫会话优先考虑进行评估。如果策略不要求优先考虑,则流程可以行进至图13Α中的1314。然而,如果策略要求优先考虑,则流程可以行进至1328,在1328处,在W1-Fi漫游交换(例如,QoS集成服务器731)和源网络之间建立安全通信隧道。随后在1330处,指令可被发送至源网络以在当前建立的W1-Fi呼叫会话期间对UE的流优先考虑。
[0164]变体和实现方式
[0165]在本公开的上下文中,通信系统10表示互连通信路径的一系列点、节点或网络元件,以用于接收和发送通过通信系统10传播的信息分组,其中,通信系统10可以包括W1-Fi呼叫系统700。通信系统10提供源和/或主机之间的通信接口,并且可以是任意局域网(LAN)、虚拟局域网(VLAN)、无线局域网(WLAN)、虚拟专用网络(VPN)、城域网(MAN)、广域网(WAN),例如,互联网、内联网、外联网或根据网络拓扑促进网络环境中的通信的任意其他适当的架构或系统。通信系统10可以包括任意数目的通过通信介质相互耦合的(或相互通信的)硬件和/或软件元件。通信介质可以包括任意适当的通信链路,例如,无线技术(例如,IEEE 802.11χ、802.16、胃丨冲丨、近场通信(肥0、03队等)、卫星、蜂窝技术(例如,36、46、WiMAX/LTE、GSM/WCDMA/HSPA、CDMAIx/EVDO等)、有线技术(例如,以太网)或其任意适当组合。一般地,可以使用任意适当的通信方式:电、声、光、红外或无线电。
[0166]网络环境中的通信在本文中被称为“网络流量”或“流量”,其可包括分组。分组是格式化数据单元,并且可以包含控制信息(例如,源地址和目的地地址等)和数据,其中数据也被称为净负荷。网络流量可以根据任意适当通信消息协议而被发送和接收。适当的通信消息协议可以包括多层方案,例如,开放系统互联(OSI)模型或其任何衍生或变体(例如,传输控制协议/IP(TCP/IP))、用户数据报协议/IP(UDP/IP)等)。本文所使用的术语“数据”指代任意类型的二进制、数字、语音、视频、文本或脚本数据,或者任意类型源代码或目标代码,或采用任意适当形式的可在电子设备和/或网络中被从一点传输至另一点的任意其他适当信息。此外,消息、请求、响应、回复、查询等是网络流量的形式,因而可以包括分组。
[0167]如本文中所使用的,术语“网络元件”是指包括任何前述元件以及路由器、无线LAN控制器(WLC)交换机、无线接入点(WAP)、网关、网桥、负载均衡器、装置、防火墙、服务器、处理器、模块(其中任一者可以是实体的或者可被虚拟实现在物理硬件上)或可操作来在网络环境中交换信息的任何其他适当设备、组件、元件、专用装置或对象。网络元件可以包括促进其操作的任意适当的硬件、软件、组件、模块、接口或对象。这可以包括允许进行有效的数据或信息交换的适当算法和通信协议。
[0168]在至少一个示例实现方式中,具有企业无线呼叫功能的节点包括实现(或培养)本文所概述的活动的逻辑。应注意,在至少一个示例中,这些元件中的每个元件可以具有促进本文所描述的一些操作的内部结构(例如,处理器、存储器元件、网络接口卡等)。在一些实施例中,这些活动可以在这些元件的外部运行,或者可被包括在一些其他网络元件中以实现所期望的功能。在至少一个实施例中,这些节点可以包括能够与其他网络元件进行协调以实现本文所概述的操作的逻辑(或往复式逻辑)。另外,一个或若干个逻辑可以包括促进其操作的任意适当算法、硬件、固件、软件、组件、模块、接口或对象。
[0169]在某些示例实现方式中,本文所概述的企业无线呼叫功能可由一个或多个有形介质(例如,专用集成电路(ASIC)中提供的嵌入式逻辑、数字信号处理器(DSP)指令、要由一个或多个处理器或其他类似机器运行的软件(可能包括目标代码和源代码)软件、硬件、固件中的指令,或者上述任意组合等)中编码的逻辑来实现。在至少一个实施例中,该有形介质可以是非暂态的。在一些实例中,一个或多个存储器元件可以存储用于本文所描述的操作的数据。这包括能够存储被运行以实施本文所描述的活动的软件、逻辑、代码和/或处理器指令的存储器元件。处理器可以运行与数据相关联的任意类型的指令,以实现本文所详述的操作。在一个示例中,处理器可以将元件或物品(例如,数据)从一个状态或事物转换到另一状态或事物。在另一示例中,本文所概述的活动可利用固定逻辑或可编程逻辑(例如,处理器运行的软件/计算机指令)来实现,并且本文所标识的元件可以是包括数字逻辑、软件、代码、电子指令或其任意适当组合的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA )、可擦除可编程只读存储器(EPROM)、电可擦除可编程ROM (EEPR0M))或者AS IC中的一些类型。
[0170]如本文所概述的,这些元件(例如,网络元件)中的任意元件可以包括存储器,用于存储要用来实现企业无线呼叫功能的信息。此外,如本文所概述的,这些网络元件可以包括至少一个处理器,其可运行软件、算法或其他指令以执行企业无线呼叫操作。这些网络元件还可以将信息保存在任意适当的存储器元件(随机存取存储器(RAM)、只读存储器(R0M)、EPR0M、EEPR0M、ASIC等)、软件、硬件中,或者适当地且基于特定需求,被保存在任意其他适当的组件、设备、元件或对象中,其中所述信息要被用于实现本文所讨论的企业无线呼叫活动。本文所讨论的存储器项(例如,仓库、存储、数据库、表格、缓存、缓冲等)中的任一者应被解释为被包括在广义“存储器元件”之内。类似地,本文所描述的任意可能的处理元件、模块以及机器应被解释为被包括在广义“处理器”中。每个网络元件还可以包括在网络环境中用于接收、发送和/或以另外方式传输数据或信息的适当接口。
[0171]注意,本文所使用的术语“端用户”意为包括任意类型的可与另一节点建立网络会话的计算机设备。它包括任意类型的用户设备、台式计算机、膝上型计算机、移动互联网设备、智能电话、平板计算机、个人数字助理(PDA)、终端计算机、或者能够在通信系统10内发起语音、音频、视频、媒体或数据交换的任意其他设备、组件、元件、端点或对象。这样的设备还可以包括针对人类用户的适当接口,例如,显示元件、键盘、触摸板、触摸屏(包括多点触摸屏)、远程控制或任意其他终端设备。
[0172]注意,在本文所提供的示例下,可以针对两个或更多个网络元件和/或两个或更多个云来描述交互。然而,这仅出于清楚和示例的目的来进行。在某些情形中,通过仅参照有限数目的网络元件或云来描述给定一组流程的一个或多个功能较为容易。应当理解,本文所描述的系统易于扩缩并且可以容纳大量组件以及更复杂/精细的安排和配置。相应地,所提供的示例在可能用于大量其他架构或实现方式时,不应限制范围或者抑制企业无线呼叫功能的广义教导。
[0173]如本文所使用的,除非明确地相反陈述,否则对短语“至少一个”的使用表示所指名的元件、条件或活动的任意组合。例如,“X、Y和Z中的至少一个”意为指如下中的任意一种:I)是X,但不是Y和Z; 2)是Y,但不是X和Z; 3)是Z,但不是X和Y ; 4)是X和Y,但不是Z; 5)是X和Ζ,但不是Υ;6)是Y和Ζ,但不是X;或者7)Χ、Υ和Ζ。此外,除非明确地相反陈述,否则术语“第一”、“第二”、“第三”等意为区分它们所修饰的特定名词(例如,元件、条件、模块、活动、操作等)。除非明确地相反陈述,否则对这些术语的使用不意为指示所修饰的名词的任何类型的顺序、分级、重要性、时间序列或层级。例如,“第一 X”和“第二 X”意为表示两个不同的X元件,而不一定由两个元件的任何顺序、分级、重要性、时间序列或层级进行限制。
[0174]尽管本文参照企业和企业网络描述并示出了W1-Fi呼叫系统的实施例,但应当注意,本说明书中所详述的W1-Fi呼叫系统的广义概念不意为进行如此限制。本文所描述的概念与W1-Fi呼叫系统有关,其可被应用于能够在网络接入点所限定的无线范围之内向用户设备提供W1-Fi服务的任何类型的局域网,其中W1-Fi服务可以例如经由服务提供商实现对互联网的访问。这样的局域网在本文中还可被称为“源网络”,并且可以与企业或任意其他适当实体(例如,互动场所、学校、政府、餐馆等)相关联。
[0175]还应当注意,本文所描述和所示出的活动、交互和操作仅示出可由具有企业无线呼叫功能的节点运行或者在这些节点中运行的一些可能的场景和模式。在不背离本公开的范围的情况下,这些活动、交互和/或操作中的一些可以按需被删除或移动,或者可以被大幅修改或更改。此外,这些活动、交互和/或操作中的一些已被描述为与一个或多个其他活动、交互和/或操作同时或并行运行。然而,这些活动、交互和/或操作的时序可被大幅改变。前述操作流程是出于示例和讨论的目的来提供的。具有企业无线呼叫功能的节点提供了大量灵活性,这是因为可以在不背离本公开的教导的情况下,可以提供任意适当的安排、时序、配置和时间机制。此外,这些互动可以由各种模块和/或组件来协助,这些模块和/或组件可以基于特定配置和/或配设需求,以任意适当方式进行组合,或者以任意适当方式进行划分。
[0176]尽管本公开已经参照特定安排和配置进行了详细描述,但这些示例配置和安排可以在不背离本公开的范围的情况下被大幅更改。另外,基于特定需求和实现方式,某些组件可被组合、分类、删除或添加。此外,尽管已针对特定元件和协议阐述了本文的实施例,但这些元件和协议可以由实现本文所公开的具有企业无线呼叫功能的节点所期望的功能的任意适当架构、协议和/或过程来代替。
【主权项】
1.一种方法,包括: 经由安全隧道从用户设备接收W1-Fi呼叫会话的一个或多个分组,其中,所述用户设备经由W1-Fi接入点被连接至源网络; 至少部分基于标识所述一个或多个分组中的至少一个分组的异常来确定所述W1-Fi呼叫会话是否是威胁;以及 如果所述W1-Fi呼叫通信被确定为是威胁,则采取动作。2.如权利要求1所述的方法,还包括标识所述用户设备的唯一标识。3.如权利要求1所述的方法,其中所述采取动作包括如下项中的至少一项:发送所述W1-Fi呼叫会话是威胁的警报和终止所述W1-Fi呼叫会话。4.如权利要求1所述的方法,还包括: 通过将所述至少一个分组中的信息与所述W1-Fi呼叫会话的控制面数据进行关联来确定该分组与该W1-Fi呼叫会话相关联。5.如权利要求1所述的方法,其中所述安全隧道是互联网协议安全(IPSec)隧道。6.如权利要求1所述的方法,其中所述一个或多个分组在演进型分组数据网关和关联于发起所述W1-Fi呼叫通信的所述用户设备的服务提供商网络之间建立的第二隧道中被拦截。7.如权利要求1所述的方法,还包括: 如果所述分组被确定为不是威胁,则建立到所述源网络的信令链路;以及通过该信令链路向所述源网络发送消息以命令所述源网络对与所述W1-Fi呼叫会话相关联的网络流量优先考虑。8.如权利要求1所述的方法,还包括: 接收建立所述安全隧道的请求; 标识与所述用户设备相关联的服务提供商网络; 标识表示所述服务提供商的证书;以及 将所述证书发送给所述用户设备。9.如权利要求1所述的方法,其中所述W1-Fi呼叫会话基于如下中的一者而被从所述用户设备重定向至W1-Fi漫游交换:所述源网络中的域名系统(DNS)覆写,或者所述源网络中的网络地址转换(NAT)系统提供的目的地互联网协议地址。10.如权利要求1所述的方法,还包括: 经由第二安全隧道从第二用户设备接收第二 W1-Fi呼叫会话的一个或多个其他分组,其中所述第二用户设备经由第二W1-Fi接入点被连接至第二源网络;以及 如果所述第二 W1-Fi呼叫通信被确定为是另一威胁,则采取另一动作来保护所述第二网络。11.如权利要求1所述的方法,其中所述W1-Fi呼叫会话的一个或多个分组是由安全云或所述源网络之一中的演进型分组节点网关(ePDG)经由所述安全隧道接收的。12.—种装置,包括: 至少一个存储器; 至少部分实现于硬件中的逻辑,该逻辑当被运行时,用于: 经由安全隧道从用户设备接收W1-Fi呼叫会话的一个或多个分组,其中,所述用户设备经由W1-Fi接入点被连接至源网络; 至少部分基于标识所述一个或多个分组中的至少一个分组的异常来确定所述W1-Fi呼叫会话是否是威胁;以及 如果所述W1-Fi呼叫通信被确定为是威胁,则采取动作。13.如权利要求12所述的装置,其中当所述逻辑被运行时采取动作,所述动作包括如下项中的至少一项:发送所述W1-Fi呼叫会话是威胁的警报和终止所述W1-Fi呼叫会话。14.如权利要求12所述的装置,其中所述逻辑当被运行时,用于: 通过将所述至少一个分组中的信息与所述W1-Fi呼叫会话的控制面数据进行关联来确定该分组与该W1-Fi呼叫会话相关联。15.如权利要求12所述的装置,其中所述逻辑当被运行时,用于: 接收建立所述安全隧道的请求; 标识与所述用户设备相关联的服务提供商网络; 标识表示所述服务提供商的证书;以及 将所述证书发送给所述用户设备。16.至少一种非暂态机器可读存储介质,其上存储有指令,所述指令当被至少一个处理器运行时使得所述至少一个处理器: 经由安全隧道从用户设备接收W1-Fi呼叫会话的一个或多个分组,其中,所述用户设备经由W1-Fi接入点被连接至源网络; 至少部分基于标识所述一个或多个分组中的至少一个分组的异常来确定所述W1-Fi呼叫会话是否是威胁;以及 如果所述W1-Fi呼叫通信被确定为是威胁,则采取动作。17.如权利要求16所述的至少一种非暂态机器可读存储介质,其中所述指令当被至少一个处理器运行时使得所述至少一个处理器: 通过将所述至少一个分组中的信息与所述W1-Fi呼叫会话的控制面数据进行关联来确定该分组与该W1-Fi呼叫会话相关联。18.如权利要求16所述的至少一种非暂态机器可读存储介质,其中所述指令当被至少一个处理器运行时使得所述至少一个处理器: 如果所述分组被确定为不是威胁,则建立到所述源网络的第二安全隧道;以及通过所述第二安全隧道向所述源网络发送消息以命令所述源网络对与所述W1-Fi呼叫会话相关联的网络流量优先考虑。19.如权利要求16所述的至少一种非暂态机器可读存储介质,其中所述一个或多个分组在演进型分组数据网关和关联于发起所述W1-Fi呼叫通信的所述用户设备的服务提供商网络之间建立的第二安全隧道中被拦截。20.一种方法,包括: 从用户设备接收W1-Fi呼叫通信的分组,其中所述用户设备经由W1-Fi接入点被连接至源网络; 标识所述用户设备; 至少部分基于由所述用户设备发起的一个或多个先前W1-Fi呼叫会话,来确定所述用户设备是否受到危害;以及如果所述用户设备被确定为受到危害,则至少部分基于策略来采取动作。21.如权利要求20所述的方法,还包括:标识与所述用户设备相关联的服务提供商;标识表示所述服务提供商的证书;以及如果所述用户设备被认证,则将该证书发送至所述用户设备。22.如权利要求20所述的方法,还包括:如果所述用户设备被确定受到危害,则终止所述W1-Fi呼叫通信。
【文档编号】H04L29/06GK105933279SQ201610113665
【公开日】2016年9月7日
【申请日】2016年2月29日
【发明人】马克·格雷森, 甘加达兰·比莒·普拉瑞卡尔, 迈克尔·杰姆斯·格拉哈姆, 桑托什·拉姆劳·帕蒂尔, 皮特·贾斯伯
【申请人】思科技术公司