相關(guān)申請的交叉參考

本申請案主張2014年11月7日遞交的美國臨時申請?zhí)?2/076,703以及2015年1月7日遞交的美國臨時申請?zhí)?2/100,816的優(yōu)先權(quán)，所述申請的每個均以應(yīng)用方式明確全文并入本文中。

本發(fā)明技術(shù)涉及網(wǎng)絡(luò)認(rèn)證，并且更確切地說，涉及移動網(wǎng)絡(luò)中的認(rèn)證裝置。

背景技術(shù)：

企業(yè)通信網(wǎng)絡(luò)通過標(biāo)識授權(quán)用戶、具有硬件標(biāo)識符(例如，以太網(wǎng)mac地址)的授權(quán)裝置(例如，計算機、打印機和電話)以及可用于連接裝置的具有已知位置的授權(quán)路由器，并且基于活動和用戶的內(nèi)容/時間、裝置標(biāo)識符(deviceid)、假定裝置類型以及參與該活動的路由器來對訪問和使用進行調(diào)節(jié)，從而確保安全性。通常，此調(diào)節(jié)采用基于路由器分配裝置ip地址，并且使用與所分配的ip地址相關(guān)的規(guī)則控制流量路由的形式。因此，裝置的物理接入控制(例如，辦公室門鎖)是企業(yè)安全的一個重要部分。

但是，用戶越來越需要既訪問企業(yè)，又訪問企業(yè)網(wǎng)絡(luò)之外的云服務(wù)(通常通過移動裝置訪問)，這兩個需求導(dǎo)致基于企業(yè)ip的傳統(tǒng)安全模式面臨著挑戰(zhàn)。在這些情況下，認(rèn)證涉及在更強烈密碼更換策略下的更頻繁的密碼挑戰(zhàn)，以及各種形式“兩種因素驗證”技術(shù)，這種技術(shù)通常采用會通過另一種渠道(語音呼叫、sms或securid卡)向用戶發(fā)送臨時唯一代碼并且讓用戶在其密碼之外輸入該代碼的形式。不斷提高的密碼挑戰(zhàn)以及第二種因素挑戰(zhàn)的提高均會給用戶帶來不便并且中斷流量。密碼會遭受各種形式的攻擊，包括網(wǎng)絡(luò)釣魚、密碼猜測、跨網(wǎng)站腳本和各種中間人攻擊。由于各種呼叫和sms轉(zhuǎn)發(fā)服務(wù)，sms和語音呼叫第二種因素挑戰(zhàn)存在弱點。securid要求用戶記住攜帶另一個物理裝置，而該物理裝置在不使用時可能失竊，用戶在下一挑戰(zhàn)之前不會發(fā)現(xiàn)。這些技術(shù)均無法提供基于網(wǎng)絡(luò)的位置信息，這種位置信息通常是有用的安全啟發(fā)式信息。

云服務(wù)(例如，salesforce)可以通過允許來自特定企業(yè)網(wǎng)絡(luò)通過企業(yè)單點登錄服務(wù)或vpn進行的授權(quán)接入的配置來實現(xiàn)提高安全性，但是這就意味著，移動用戶由于必須登入、且然后登出企業(yè)網(wǎng)絡(luò)才能訪問這些服務(wù)，因此網(wǎng)絡(luò)延時增加。

企業(yè)和云服務(wù)需要一種認(rèn)證和保護與移動裝置的會話的有效方式，以及使用現(xiàn)場網(wǎng)絡(luò)硬件的直接接入方式。有所幫助的是，現(xiàn)代移動裝置通常配有sim卡，這樣允許密碼保護存在挑戰(zhàn)的響應(yīng)通信，其驗證擁有運營商所用的物理sim，以出于訪問和計費目的而對移動網(wǎng)絡(luò)認(rèn)證移動裝置。

技術(shù)實現(xiàn)要素：

本公開案的其他特征和優(yōu)點將在以下說明中闡述，它們的一部分可從說明書中明顯，或者可以通過實踐本文所公開的原理而習(xí)得。本公開案的特征和優(yōu)點可以通過隨附權(quán)利要求書中特別指出的儀表和組合而意識到并且獲得。本公開案的這些和其他特征將從以下說明和隨附權(quán)利要求書中完全清楚地了解，或者可以通過實踐本文中所述的原理而習(xí)得。

本發(fā)明技術(shù)的一些實施方案涉及用于為企業(yè)和云服務(wù)訪問控制系統(tǒng)提供有權(quán)限訪問移動認(rèn)證因素的系統(tǒng)、方法和計算機可讀介質(zhì)。所述移動認(rèn)證因素可以直接提供給與裝置無線連接的移動運營商或者移動虛擬網(wǎng)絡(luò)操作者(mvno)。

本發(fā)明技術(shù)還可以涉及一種用作互聯(lián)網(wǎng)服務(wù)提供商(isp)或網(wǎng)關(guān)的安全系統(tǒng)，供移動裝置訪問企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)。在一些實施方案中，所述安全系統(tǒng)可以向移動裝置分配ip地址并且可以進行流量路由。

一些實施方案涉及一種托管移動認(rèn)證平臺的移動虛擬網(wǎng)絡(luò)操作者(mvno)，其將移動裝置注冊為企業(yè)的一部分，基于裝置標(biāo)識符向所述裝置分配網(wǎng)絡(luò)標(biāo)識符，并且當(dāng)請求裝置具有匹配網(wǎng)絡(luò)標(biāo)識符和/或諸如位置信息等其他匹配的移動認(rèn)證信息時，對網(wǎng)絡(luò)資源的請求進行認(rèn)證。

mvno托管的移動認(rèn)證平臺可以從移動裝置接收訪問企業(yè)網(wǎng)絡(luò)的請求。當(dāng)移動裝置與蜂窩塔聯(lián)系時，移動裝置可以指定接入點名稱(apn)，該接入點名稱表明移動裝置連接到mvno托管的移動認(rèn)證平臺并且移動移動認(rèn)證平臺檢查提出請求的移動裝置的網(wǎng)絡(luò)標(biāo)識符。mvno托管的移動認(rèn)證平臺可以維持分配給企業(yè)網(wǎng)絡(luò)注冊成員的移動裝置的網(wǎng)絡(luò)標(biāo)識符的數(shù)據(jù)庫，以確定企業(yè)成員使用移動裝置。

所述網(wǎng)絡(luò)標(biāo)識符可以基于移動裝置的一個或多個移動認(rèn)證因素，包括sim號、mac地址、一個或多個位置標(biāo)識符等而分配給移動裝置。

一旦mvno托管的移動認(rèn)證平臺為裝置配置了網(wǎng)絡(luò)標(biāo)識符，所述裝置可以提起經(jīng)由企業(yè)專有連接訪問資源的資源請求。當(dāng)接收到資源請求時，mvno托管的移動認(rèn)證平臺可以提取一個或多個資源請求因素(例如請求裝置的ip地址、由低層操作系統(tǒng)確定的裝置位置等)并且當(dāng)移動認(rèn)證因素分別與一個或多個資源請求因素相對應(yīng)時，可以對移動裝置進行認(rèn)證。

附圖說明

為了描述可以獲得本公開案的上述和其他優(yōu)點和特征的方式，將參考附圖描繪的特定實施方案對上文簡述原理進行更確切說明。在理解這些附圖僅描繪本公開案的示例性實施方案并且因此而不視作為本發(fā)明范圍的限制的前提下，通過使用附圖更確切并且詳細地描述和解釋本文中的原理，在附圖中：

圖1示出根據(jù)本發(fā)明技術(shù)的一些實施方案的移動網(wǎng)絡(luò)環(huán)境中的移動認(rèn)證平臺的實例；

圖2示出根據(jù)本發(fā)明技術(shù)的一些實施方案的向mvno托管移動認(rèn)證平臺注冊移動裝置的方法；

圖3示出根據(jù)本發(fā)明技術(shù)的一些實施方案的在mvno托管移動認(rèn)證平臺上對移動裝置進行認(rèn)證的方法；

圖4示出示例性云計算系統(tǒng)；以及

圖5a和圖5b示出可能的示例性系統(tǒng)實施方案。

具體實施方式

下文將詳細描述本公開案的各個實施方案。盡管描述了具體實施，但是應(yīng)了解，這僅出于說明的目的。相關(guān)領(lǐng)域中的技術(shù)人員將認(rèn)識到，可以在不脫離本公開案的精神和范圍的前提下使用其他部件和配置。

本發(fā)明技術(shù)的一些實施方案涉及供無線運營商和移動虛擬網(wǎng)絡(luò)操作者(mvno)用于向企業(yè)和云服務(wù)訪問控制系統(tǒng)提供訪問移動因素的權(quán)限的系統(tǒng)、方法和計算機可讀介質(zhì)，所述移動因素直接提供給與裝置無線連接的移動運營商或mvno。移動因素可以包括與移動裝置相關(guān)聯(lián)的sim卡號、由可看見所述移動裝置的移動塔的所述移動裝置的位置、這些移動塔的操作者以及用于驗證運營商確實從具有該sim卡號的裝置傳輸信息的挑戰(zhàn)響應(yīng)界面。它還可以包括裝置類型(例如，iphone6s/googlenexus/mifi)。

移動網(wǎng)絡(luò)運營商可以向移動虛擬網(wǎng)絡(luò)操作者(mnvo)提供訪問運營商無線電頻譜分配和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的權(quán)限。本公開技術(shù)解決本領(lǐng)域中對于基于移動裝置認(rèn)證因素對來自mvno客戶的針對網(wǎng)絡(luò)資源的請求進行認(rèn)證的系統(tǒng)、方法和計算機可讀介質(zhì)的需要。

基于移動裝置認(rèn)證因素認(rèn)證用戶為企業(yè)、政府和非盈利組織以及其他企業(yè)提供了安全解決方案。例如，企業(yè)可以向mvno注冊其所有員工/成員移動裝置，并且mvno可通過其在運營商與最終用戶之間的獨特位置，提供確保聲明來自移動裝置的請求可信任的額外級別的認(rèn)證。

盡管上文描述了用于對企業(yè)成員進行認(rèn)證的mvno托管認(rèn)證服務(wù)器，但是受益于本公開案的本領(lǐng)域中的普通技術(shù)人員可輕易地認(rèn)識到，各種用戶和網(wǎng)絡(luò)實體可受益于移動因素認(rèn)證。

在本發(fā)明技術(shù)的一些實施方案中，移動認(rèn)證平臺可向認(rèn)證服務(wù)注冊移動裝置，并且可以檢查針對網(wǎng)絡(luò)資源的請求以確保只有經(jīng)認(rèn)證的裝置得到資源的訪問權(quán)限。

所述認(rèn)證平臺可以從移動裝置接收訪問網(wǎng)絡(luò)資源的請求。當(dāng)移動裝置與蜂窩塔連接時，移動裝置可以指定接入點名稱(apn)，該接入點名稱表明移動裝置連接到移動認(rèn)證平臺并且移動裝置允許認(rèn)證平臺對請求進行檢查。所述認(rèn)證平臺可以由各種實體(例如，mvno、企業(yè)、云計算裝置等)托管，并且當(dāng)apn指定所述請求是指向托管實體時，所述認(rèn)證平臺接收來自裝置的請求。

類似地，當(dāng)接入點(例如，無線路由器)將流量路由到認(rèn)證平臺時，所述認(rèn)證平臺可接收由無線網(wǎng)絡(luò)發(fā)起的請求并且驗證裝置因素(例如，mac地址)。

在一些實施方案中，移動認(rèn)證平臺可以由mvno托管，并且可以包括一個或多個移動認(rèn)證服務(wù)器、用于注冊移動裝置的注冊引擎以及用于與移動裝置協(xié)商網(wǎng)絡(luò)配置參數(shù)的網(wǎng)絡(luò)配置引擎。

在一些實施方案中，所述移動認(rèn)證平臺可為企業(yè)提供能力來在企業(yè)網(wǎng)絡(luò)中注冊移動裝置、存儲移動裝置的認(rèn)證信息、監(jiān)測針對企業(yè)資源的請求并且基于預(yù)期認(rèn)證信息與請求中接收到的實際信息匹配而對企業(yè)中的移動裝置進行認(rèn)證。

圖1示出根據(jù)本發(fā)明技術(shù)的一些實施方案的移動網(wǎng)絡(luò)環(huán)境100中的移動認(rèn)證平臺110的實例。移動網(wǎng)絡(luò)環(huán)境100包括通過一個或多個蜂窩塔130與蜂窩運營商網(wǎng)絡(luò)130通信的移動裝置120a、120b、…120x。

移動認(rèn)證平臺110可以由移動虛擬網(wǎng)絡(luò)操作者(mvno)托管。mvno可以針對企業(yè)注冊裝置，以使用移動認(rèn)證平臺110。例如，可以公布企業(yè)管理員網(wǎng)絡(luò)界面135并且企業(yè)管理員可以使用該企業(yè)管理員網(wǎng)絡(luò)界面登錄移動因素認(rèn)證，以注冊用戶裝置、定義許可等。移動認(rèn)證平臺110還可以包括用于接收注冊數(shù)據(jù)的注冊引擎145以及用于存儲關(guān)于已注冊裝置的信息的移動裝置數(shù)據(jù)庫150。例如，企業(yè)管理員可以通過在企業(yè)管理網(wǎng)絡(luò)界面135中輸入現(xiàn)有裝置地址(例如，mac地址、用戶標(biāo)識模塊(sim)號等)來注冊移動裝置，并且注冊引擎145可以使移動裝置數(shù)據(jù)庫150存儲屬于作為企業(yè)一部分的移動裝置的裝置地址記錄。

此外，如下文進一步詳述，當(dāng)向移動認(rèn)證平臺110注冊移動裝置時，mvno可以在移動裝置120a、120b、…120x的一個或多個與移動認(rèn)證平臺110之間布置專用連接。否則，來自移動裝置120a、120b、…120x的請求可以涉及通過公共互聯(lián)網(wǎng)115和防火墻105發(fā)送來自移動裝置120a、120b、…120x的流量的傳統(tǒng)工作流。

移動認(rèn)證平臺110還可以包括安全系統(tǒng)，所述安全系統(tǒng)使用移動認(rèn)證因素確定允許訪問企業(yè)資源的時間以及互聯(lián)網(wǎng)請求的路由方式。所述安全系統(tǒng)可以是認(rèn)證服務(wù)器125，并且當(dāng)移動裝置120a、120b、…120x的一個或多個連接到移動認(rèn)證平臺110時，認(rèn)證服務(wù)器125可以對裝置進行認(rèn)證。移動認(rèn)證平臺110還可以包括向請求裝置提出一個或多個挑戰(zhàn)的防火墻155。

認(rèn)證服務(wù)器125和/或防火墻155可以確定何時允許移動裝置訪問互聯(lián)網(wǎng)115以及/或者訪問一個或多個訪問受限資源190。例如，認(rèn)證服務(wù)器125可以限制已經(jīng)向企業(yè)注冊的移動裝置對企業(yè)資源的訪問。

此外，移動認(rèn)證平臺110可以包括網(wǎng)絡(luò)配置引擎160，所述網(wǎng)絡(luò)配置引擎通過移動認(rèn)證平臺110向請求訪問網(wǎng)絡(luò)資源的裝置分配網(wǎng)絡(luò)地址(例如，ip地址)。例如，當(dāng)向移動認(rèn)證平臺110注冊的移動裝置嘗試訪問互聯(lián)網(wǎng)115或訪問受限資源190時，網(wǎng)絡(luò)配置引擎160可以與裝置協(xié)商并且為裝置分配網(wǎng)絡(luò)地址。此外，網(wǎng)絡(luò)配置引擎160可以從請求裝置訪問一個或多個認(rèn)證因素(例如，唯一用戶標(biāo)識模塊(sim)號、裝置位置以及裝置位置附近的一個或多個移動塔的標(biāo)識等)，并且可以使用認(rèn)證因素來生成網(wǎng)絡(luò)地址。移動認(rèn)證平臺110可以將認(rèn)證因素存儲在移動裝置數(shù)據(jù)庫150中，并且之后，當(dāng)接收到來自裝置(或者聲稱是該裝置、電子欺騙該裝置等的裝置)的資源請求時，移動認(rèn)證平臺110可以使用網(wǎng)絡(luò)地址來訪問認(rèn)證因素。

接下來，認(rèn)證服務(wù)器125可以從所述請求提取來自請求裝置的實際因素，并且當(dāng)預(yù)期移動認(rèn)證因素與來自請求的一個或多個實際因素相對應(yīng)時，可以對移動裝置進行認(rèn)證。例如，認(rèn)證服務(wù)器125可以標(biāo)記來自網(wǎng)絡(luò)地址與網(wǎng)絡(luò)配置引擎160分配的網(wǎng)絡(luò)地址不同的已注冊移動裝置的網(wǎng)絡(luò)資源請求。

除了要求網(wǎng)絡(luò)地址與已分配的網(wǎng)絡(luò)地址相匹配之外，認(rèn)證服務(wù)器125可以從網(wǎng)絡(luò)請求進一步提取認(rèn)證因素，并且與為所述移動裝置存儲的認(rèn)證因素進行比較。例如，認(rèn)證服務(wù)器125可以使用來自裝置低層操作系統(tǒng)的蜂窩三角測量來訪問位置標(biāo)識，并且使用此位置數(shù)據(jù)作為實際因素，并且當(dāng)網(wǎng)絡(luò)配置引擎160已向移動裝置分配網(wǎng)絡(luò)地址時，所述實際因素需要與為移動裝置存儲的預(yù)期位置數(shù)據(jù)(例如，基于應(yīng)用層位置數(shù)據(jù))相匹配。

由于當(dāng)前系統(tǒng)依賴于用戶裝置來提供用于驗證用戶身份的有意義信息，因此所述當(dāng)前系統(tǒng)可能會被濫用。例如，如果用戶裝置已經(jīng)以特定方式被污染，則所述裝置可能通過應(yīng)用層將其位置呈現(xiàn)為與其實際位置存在一定差異。由于移動裝置上最常訪問的應(yīng)用層不是底層網(wǎng)絡(luò)訪問操作系統(tǒng)，因此可以收集確認(rèn)裝置位置的第二啟發(fā)式信息，而不依賴于頂層操作系統(tǒng)。

為進一步解釋，在一些裝置上，存在頂層操作系統(tǒng)，其可能包含用戶使用ip連接嘗試進行認(rèn)證的應(yīng)用。當(dāng)提出認(rèn)證請求時，認(rèn)證服務(wù)器125將使用裝置低層操作系統(tǒng)(例如，使用蜂窩塔接收的sim/imsi信號的信號強度)向手機操作者的移動網(wǎng)絡(luò)提出請求位置標(biāo)識的請求。由于低層操作系統(tǒng)的接入負(fù)擔(dān)高于頂層操作系統(tǒng)，因此，攻擊者欺詐這兩層位置身份的可能性很低。通過將低層操作系統(tǒng)提供的信息與頂層應(yīng)用簽名匹配，可以更確定地確認(rèn)用戶的身份。

移動裝置120a、120b、…120x與mvno托管移動認(rèn)證平臺110之間的專用連接降低第三方參與中間人攻擊的幾率，并且縮短移動裝置120a、120b、…120x與企業(yè)之間的通信延時。此外，相對于應(yīng)用級密碼而言，使用移動網(wǎng)絡(luò)認(rèn)證因素以高于大多數(shù)其他形式的兩種因素或無密碼認(rèn)證的便利性和安全性，為與其通信的移動裝置提供更好的啟發(fā)式認(rèn)證。此外，使用虛擬網(wǎng)絡(luò)提供移動運營商本身的額外保護，并且允許降低與其他網(wǎng)絡(luò)進行協(xié)商安全連接的延時企業(yè)網(wǎng)絡(luò)，而不是在更長延時移動連接上迫使公共秘鑰會話協(xié)商(并且關(guān)閉不安全連接)。

mvno托管移動認(rèn)證平臺可以支持整個企業(yè)并且注冊其所有移動裝置。移動認(rèn)證平臺還可以為企業(yè)提供用于管理其移動艦隊的管理工具、接口等。

企業(yè)可以通過注冊用戶現(xiàn)有裝置標(biāo)識符(例如，sim號、mac地址等)或者從mvno托管移動認(rèn)證平臺訂購已經(jīng)注冊的裝置來引入新移動裝置。通過任一種方式，認(rèn)證平臺可以針對企業(yè)注冊裝置、提供允許企業(yè)裝置使用認(rèn)證平臺的專用連接，使用所述專用連接對請求進行認(rèn)證，并且基于使用量對企業(yè)計費。

圖2示出根據(jù)本發(fā)明技術(shù)的一些實施方案的向mvno托管移動認(rèn)證平臺注冊移動裝置的方法200。方法200涉及205，即接收向mvno托管移動認(rèn)證平臺注冊一個或多個移動裝置的請求。如上所述，可以從企業(yè)管理員提出請求，并且可以通過注冊現(xiàn)有裝置標(biāo)識符(例如，sim號、mac地址等)、訂購已經(jīng)向認(rèn)證平臺注冊的新裝置、為已經(jīng)向認(rèn)證平臺注冊sim卡的現(xiàn)有裝置訂購sim卡來提出請求。

方法200還可以涉及210，即mvno托管移動認(rèn)證平臺存儲企業(yè)移動裝置的裝置數(shù)據(jù)和用戶概況數(shù)據(jù)。例如，mvno托管移動認(rèn)證平臺可以存儲標(biāo)識用戶在企業(yè)中位置的用戶數(shù)據(jù)(例如，用于執(zhí)行許可)。

可任選地，方法200可以涉及215，即mvno托管移動認(rèn)證平臺從已注冊移動裝置的用戶請求一個或多個授權(quán)。例如，mvno托管移動認(rèn)證平臺可以請求用戶同意mvno托管移動認(rèn)證平臺使用其位置數(shù)據(jù)來對移動裝置進行認(rèn)證。此外，mvno托管移動認(rèn)證平臺可以請求用戶是否想要加入mvno托管移動認(rèn)證平臺，所述mvno托管移動認(rèn)證平臺訪問用戶個人數(shù)據(jù)來更好地對用戶進行認(rèn)證。例如，用戶可以加入以允許mvno托管移動認(rèn)證平臺訪問用戶日歷信息、數(shù)字行程信息(例如，通過航空應(yīng)用)、通勤應(yīng)用(例如，uber)以確定用作認(rèn)證因素的用戶位置。

一旦企業(yè)向mvno托管移動認(rèn)證平臺注冊移動裝置，方法200可以涉及220，即mvno托管移動認(rèn)證平臺建立專用連接，從而通過mvno托管移動認(rèn)證平臺為向mvno托管移動認(rèn)證平臺注冊的所有裝置路由來自運營商網(wǎng)絡(luò)的請求。

方法200還涉及225，即當(dāng)移動裝置請求資源時，mvno托管移動認(rèn)證平臺中的網(wǎng)絡(luò)配置引擎基于裝置標(biāo)識符、位置信息等向裝置分配網(wǎng)絡(luò)地址(例如，ip地址)。

之后，當(dāng)使用已注冊裝置請求資源時，方法200涉及230，即mvno托管移動認(rèn)證平臺基于用量向企業(yè)計費。

mvno托管移動認(rèn)證平臺接入企業(yè)的成員之后，認(rèn)證服務(wù)器可以通過專用連接檢查針對資源的請求，并且當(dāng)預(yù)期移動認(rèn)證因素(網(wǎng)絡(luò)地址、位置數(shù)據(jù)等)與針對資源的請求中的數(shù)據(jù)匹配時，對提出請求的裝置進行認(rèn)證。

圖3示出根據(jù)本發(fā)明技術(shù)的一些實施方案的在mvno托管移動認(rèn)證平臺上對移動裝置進行認(rèn)證的方法300。方法300涉及305，即接收使用與企業(yè)網(wǎng)絡(luò)的專用連接的請求，以及310，即確定該請求是從企業(yè)的成員接收的。

接下來，方法300涉及315，即收集關(guān)于提出請求的移動裝置的裝置數(shù)據(jù)。例如，mvno托管移動認(rèn)證平臺可以收集裝置標(biāo)識符(例如，sim號、mac地址等)和其他認(rèn)證因素，例如，來自運營商的位置數(shù)據(jù)。方法300隨后涉及320，即mvno托管移動認(rèn)證平臺的網(wǎng)絡(luò)配置引擎基于為移動裝置收集的裝置數(shù)據(jù)和認(rèn)證因素數(shù)據(jù)向移動裝置分配網(wǎng)絡(luò)地址。

方法300涉及325，即針對適當(dāng)網(wǎng)絡(luò)地址以及與預(yù)期認(rèn)證因素匹配的額外認(rèn)證因素，使用專用連接檢查針對資源的后續(xù)請求。例如，當(dāng)請求是從具有網(wǎng)絡(luò)配置引擎所分配的ip地址的裝置接收到的，并且當(dāng)之前從應(yīng)用層收集的位置數(shù)據(jù)與基本頻帶層在請求期間報告的位置數(shù)據(jù)相匹配時，mvno托管移動認(rèn)證平臺可確定允許該網(wǎng)絡(luò)流量。

方法300涉及330，即當(dāng)預(yù)期認(rèn)證因素與裝置信息匹配時，對移動裝置進行認(rèn)證?？扇芜x地，方法300涉及335，即通過基于從請求中提取的數(shù)據(jù)查找裝置用戶概況來檢查移動裝置的一組許可?；谡诮邮苷J(rèn)證的裝置和/或許可，方法300可以涉及340，即向經(jīng)認(rèn)證的裝置提供訪問網(wǎng)絡(luò)的權(quán)限，以及345，即，當(dāng)裝置具有適當(dāng)許可時，提供訪問受限企業(yè)資源的訪問權(quán)限。類似地，企業(yè)可以通過限制來自具有基于與被禁止裝置相關(guān)聯(lián)的sim的ip地址的移動裝置的請求，在某些移動裝置上阻止某些網(wǎng)絡(luò)資源(例如，社交媒體網(wǎng)站)。

在本發(fā)明技術(shù)的一些實施方案中，移動認(rèn)證平臺還可以為在企業(yè)內(nèi)提供額外功能的移動裝置進行注冊。例如，企業(yè)管理員可以注冊基于蜂窩網(wǎng)絡(luò)的熱點裝置，所述熱點裝置可以在移動認(rèn)證平臺上進行認(rèn)證，并且可以用于提供與其他裝置的連接。例如，基于蜂窩網(wǎng)絡(luò)的熱點裝置可以用作wifi路由器并且連接到打印機，以便使用專用連接的移動裝置可以使用打印機。除了基于蜂窩網(wǎng)絡(luò)的熱點裝置sim卡信息之外，管理員可以使用移動認(rèn)證平臺注冊企業(yè)中的基于蜂窩網(wǎng)絡(luò)的熱點裝置功能，以便其他移動裝置可以發(fā)現(xiàn)打印機。

如上所述，盡管上文描述了用于對企業(yè)成員進行認(rèn)證的mvno托管認(rèn)證服務(wù)器，但是受益于本公開案的本領(lǐng)域中的普通技術(shù)人員可輕易地認(rèn)識到，各種用戶和網(wǎng)絡(luò)實體可受益于移動因素認(rèn)證。

一些實施方案包括維護以下信息的數(shù)據(jù)庫的安全系統(tǒng)：用戶、獲得授權(quán)用于進行連接的sim、可以傳輸與這些sim相關(guān)聯(lián)的流量的運營商以及這些裝置能夠代表這些用戶連接的位置(可通過選擇加入以分享個人數(shù)據(jù)的用戶的時刻和日歷進行更新)，以及關(guān)于從特定位置的特定裝置用戶以該位置和運營商的特定置信度水平可以實現(xiàn)的策略。一些實施方案包括僅維護這些訪問約束中的子集的安全系統(tǒng)。

在一些實施方案中，安全系統(tǒng)用作幫助移動裝置訪問企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)的互聯(lián)網(wǎng)服務(wù)提供商(isp)或網(wǎng)關(guān)。在一些實施方案中，所述安全系統(tǒng)可以向移動裝置分配ip地址并且可以進行流量路由。

在一些實施方案中，企業(yè)級移動裝置管理(mdm)軟件安裝在移動裝置上，以要求所述移動裝置僅通過具有這些安全屬性的企業(yè)vpn與互聯(lián)網(wǎng)通信。這樣允許企業(yè)完全查看所有裝置活動，如同它們是在企業(yè)物理網(wǎng)絡(luò)上一樣。

本發(fā)明技術(shù)的一些實施方案包括采用通過mvno平臺或其他網(wǎng)絡(luò)訪問企業(yè)資源的形式的云計算。云計算是一種類型的基于互聯(lián)網(wǎng)的計算，其中托管了各種資源和/或通過實體控制這些資源并且由該實體經(jīng)由互聯(lián)網(wǎng)將這些資源提供給授權(quán)用戶。圖4中示出示例性云計算系統(tǒng)配置400，其中各種電子裝置可以出于交換內(nèi)容和其他數(shù)據(jù)的目的而經(jīng)由網(wǎng)絡(luò)進行通信。所述系統(tǒng)可以配置成用在促使電子裝置相互通信的各種網(wǎng)絡(luò)配置上。例如，圖4中的系統(tǒng)400的每個部件可以以局部化或分布式方式在網(wǎng)絡(luò)中實施。

系統(tǒng)400可以配置成包括云計算資源420。云資源可以包括各種硬件和/或軟件資源，例如云服務(wù)器422、云數(shù)據(jù)庫424、云存儲裝置426、云網(wǎng)絡(luò)428、云應(yīng)用、云平臺和/或任何其他基于云的資源。在一些情況下，云資源是分布式的。例如，云存儲裝置426可以包括多個存儲裝置。在一些情況下，云資源可以分布到多個云計算系統(tǒng)和/或各個啟用網(wǎng)絡(luò)的計算裝置。例如，云計算資源420可以與服務(wù)器4041、4042、…、404n(統(tǒng)稱為“404”)、數(shù)據(jù)庫406和/或任何其他啟用網(wǎng)絡(luò)的計算裝置通信，以提供云資源。

此外，在一些情況下，云資源可能是冗余的。例如，如果云計算資源420配置成提供數(shù)據(jù)備份服務(wù)，則可以存儲數(shù)據(jù)的多個副本以使如果一個存儲資源不可用，則數(shù)據(jù)仍然對用戶可用。在另一個實例中，如果云計算資源420配置成提供軟件，則可從不同云服務(wù)器使用所述軟件，以便可以從最近的服務(wù)器提供所述軟件。

在系統(tǒng)400中，用戶通過經(jīng)由直接和/或間接通信連接到網(wǎng)絡(luò)的用戶終端4021、4022、…、402n(統(tǒng)稱為“402”)與云計算資源420交互。云計算資源420可以支持來自各種不同電子裝置的連接，例如，服務(wù)器；臺式計算機；移動計算機；手持式通信裝置，例如，移動手機、智能手機、平板設(shè)備；機頂盒；啟用網(wǎng)絡(luò)的硬盤驅(qū)動；和/或任何其他啟用網(wǎng)絡(luò)的計算裝置。此外，云計算資源420可以同時接受來自多個電子裝置的連接并且與這些電子裝置交互。

云計算資源420可以通過各種部署模型提供云資源，例如公共、私人、社區(qū)、組合和/或任何其他云部署模型。在一些情況下，云計算資源420可以支持多個部署模型。例如，云計算資源420可以通過公共部署模型提供一組資源并且通過私人部署模型提供另一組資源。

在一些配置中，用戶終端402i可以從互聯(lián)網(wǎng)位置可用的任何位置訪問云計算資源420。但是，在其他情況下，云計算資源420可以配置成限制對某些資源的訪問，以使資源只能從某些位置訪問。例如，如果云計算資源420配置成使用私人部署模型提供資源，則云計算資源420可以限制對資源的訪問，例如，通過要求用戶終端402i從防火墻背后訪問資源。

云計算資源420可以通過各種服務(wù)模型向用戶終端402提供云資源，例如，軟件即服務(wù)(saas)、平臺即服務(wù)(paas)、基礎(chǔ)設(shè)施即服務(wù)(iaas)和/或任何其他云服務(wù)模型。在一些情況下，云計算資源420可向用戶終端402i提供多個服務(wù)模型。例如，云計算資源420可為用戶終端402i提供saas和iaas兩者。在一些情況下，云計算資源420可向不同用戶終端402提供不同服務(wù)模型。例如，云計算資源420可以為用戶終端4021提供saas，并且為用戶終端4022提供paas。

在一些情況下，云計算資源420可以維護賬戶數(shù)據(jù)庫。賬戶數(shù)據(jù)庫可以存儲已注冊用戶的概況信息。所述概況信息可以包括資源訪問權(quán)限，例如用戶允許使用的軟件、最大存儲空間等。所述概況信息還可以包括使用信息，例如，所消耗的計算資源、數(shù)據(jù)存儲位置、安全設(shè)置、個人配置設(shè)置等。

云計算資源420可以提供需要用戶交互的各種功能。因此，可以提供用戶界面(ui)以與云計算資源420通信和/或執(zhí)行與云資源相關(guān)聯(lián)的任務(wù)。ui可以經(jīng)由與云計算資源420通信的最終用戶終端402i訪問。ui可以配置成以各種客戶端模式操作，包括胖客戶端模式、瘦客戶端模式或者混合客戶端模式，取決于云計算資源420和/或用戶終端402i的存儲和處理能力。因此，在一些實施方案中，ui可以實施為在用戶終端中操作的獨立應(yīng)用。在其他實施方案中，可使用基于網(wǎng)絡(luò)瀏覽器的端口來提供ui。在各個實施方案中，還可以使用訪問云計算資源420的任何其他配置。

如上所述，在一些配置中，可以使用云計算資源存儲用戶數(shù)據(jù)。本公開案預(yù)期，在一些情況下，此收集的數(shù)據(jù)可以包括個人和/或敏感數(shù)據(jù)。本公開案進一步預(yù)期，負(fù)責(zé)此類數(shù)據(jù)的收集、分析、公開、傳輸、存儲或者其他使用的實體應(yīng)實施并且不斷使用滿足或優(yōu)于行業(yè)或政府要求的公認(rèn)隱私權(quán)策略和做法來維持個人信息數(shù)據(jù)的隱私性和安全性。例如，應(yīng)收集用戶的個人數(shù)據(jù)，以合法和合理地使用實體，并且用戶的個人數(shù)據(jù)不得在這些合法使用之外共享或銷售。此外，此類收集應(yīng)只在得知用戶同意之后發(fā)生。此外，此類實體應(yīng)采取任何必要步驟來保護并且確保訪問此類個人數(shù)據(jù)的安全，并且確保擁有個人數(shù)據(jù)訪問權(quán)限的他人遵守其隱私和安全策略和程序。此外，此類實體本身可能需要接受第三方的評估，以證明它們符合公認(rèn)的隱私策略和做法。

不論以上內(nèi)容，本公開案還預(yù)期用戶選擇性阻止個人數(shù)據(jù)的使用或訪問的實施方案。也就是說，本公開案預(yù)期，可以提供硬件和/或軟件元件以避免或阻止對此類個人數(shù)據(jù)的訪問。例如，本發(fā)明技術(shù)可以配置成允許用戶選擇存儲在云存儲裝置中的數(shù)據(jù)。

因此，盡管本公開案廣泛包括使用個人數(shù)據(jù)實施一個或多個各種公開實施方案，但是本公開案還預(yù)期，還可以在不需要訪問此類個人數(shù)據(jù)的情況下實施各個實施方案。也就是說，不得由于缺乏此類個人數(shù)據(jù)的全部或一部分而將本發(fā)明技術(shù)的各個實施方案解釋成不可操作的。例如，非個人數(shù)據(jù)可以存儲在云存儲裝置中。

圖5a和圖5b示出可能的示例性系統(tǒng)實施方案。實踐本發(fā)明技術(shù)時，本領(lǐng)域中的普通技術(shù)人員將明顯地了解更適當(dāng)?shù)膶嵤┓桨?。本領(lǐng)域中的普通技術(shù)人員還將易于了解到可能的其他系統(tǒng)實施方案。

圖5a示出常規(guī)系統(tǒng)總線計算系統(tǒng)體系結(jié)構(gòu)500，其中所述系統(tǒng)的部件使用總線505彼此電氣通信。示例性系統(tǒng)500包括處理單元(cpu或處理器)510和系統(tǒng)總線505，所述系統(tǒng)總線將各個系統(tǒng)部件(包括系統(tǒng)存儲器515，例如只讀存儲器(rom)520和隨機存取存儲器(ram)525)耦合到處理器510。系統(tǒng)500可包括與處理器510直接連接、在所述處理器附近或者集成為所述處理器的一部分的高速存儲器的緩存。系統(tǒng)500可以從存儲器515和/或存儲裝置530向緩存512復(fù)制數(shù)據(jù)，以供處理器510快速訪問。通過這種方式，緩存可以提升性能，進而避免處理器510在等待數(shù)據(jù)的同時發(fā)生延遲。這些和其他模塊可以控制或者配置成控制處理器510來執(zhí)行各個操作。其他系統(tǒng)存儲器515也可供使用。存儲器515可以包括具有不同性能特性的多種不同類型的存儲器。處理器510可以包括任何通用處理器和硬件模塊或軟件模塊，例如存儲在存儲裝置530中的模塊1532、模塊2534和模塊3536，其配置成控制處理器510，以及軟件指令并入實際處理器設(shè)計的專用處理器。處理器510實質(zhì)上可以是完全獨立的計算系統(tǒng)，其中包含多個核心或處理器、總線、存儲器控制器、緩存等。多核處理器可以是對稱的或者不對稱的。

要使用戶能夠與計算裝置500交互，輸入裝置545可以表示任何數(shù)量的輸入機構(gòu)，例如，用于語音的麥克風(fēng)、用于手勢或圖形輸入的觸敏屏幕、鍵盤、鼠標(biāo)、運動輸入、語音等。輸出裝置535還可以是本領(lǐng)域中的技術(shù)人員已知的若干輸出機構(gòu)中的一個或多個。在一些情況下，多模態(tài)系統(tǒng)可以使用戶能夠提供多種類型的輸入以與計算裝置500通信。通信界面540可以大體上管控并且管理用戶輸入和系統(tǒng)輸出。對任何特定硬件布置上的操作沒有任何限制，且因此，可以輕易地替代此處的基本特征，以改進他們所開發(fā)的硬件或固件布置。

存儲裝置530是非易失性存儲器，并且可以是硬盤或可存儲計算機能夠訪問的數(shù)據(jù)的其他類型的計算機可讀介質(zhì)，例如磁帶盒、閃存卡、固態(tài)存儲裝置、數(shù)字通用光盤、盒式磁帶、隨機存取存儲器(ram)525、只讀存儲器(rom)520及其組合。

存儲裝置530可以包括用于控制處理器510的軟件模塊532、534、536。預(yù)期存在其他硬件或軟件模塊。存儲裝置530可以連接到系統(tǒng)總線505。在一個方面中，執(zhí)行特定功能的硬件模塊可以包括存儲在與必要硬件部件連接的計算機可讀介質(zhì)中的軟件部件，例如，處理器510、總線505、顯示器535等，以執(zhí)行所述功能。

圖5b示出計算機系統(tǒng)550，所述計算機系統(tǒng)具有芯片組體系結(jié)構(gòu)，可用于執(zhí)行所述方法并且生成和顯示圖形用戶界面(gui)。計算機系統(tǒng)550是可用于實施所公開技術(shù)的計算機硬件、軟件和固件的實例。系統(tǒng)550可以包括處理器555，代表能夠執(zhí)行配置成執(zhí)行標(biāo)識的計算的軟件、固件和硬件的任意數(shù)量的物理和/或邏輯獨立資源。處理器555可以與芯片組560通信，所述芯片組可以控制處理器555的輸入和輸出。在此實例中，芯片組560將信息輸出到輸出端565，例如，顯示器，并且可以讀取并且寫入信息到存儲裝置570，例如，所述存儲裝置可以包括磁性介質(zhì)和固態(tài)介質(zhì)。芯片組560還可以從ram575讀取數(shù)據(jù)并且向其寫入數(shù)據(jù)。可以提供與各種用戶界面部件585連接的電橋580，以便與芯片組560連接。此類用戶界面部件585可以包括鍵盤、麥克風(fēng)、觸摸檢測和處理電路、指向裝置例如鼠標(biāo)等。通常，系統(tǒng)550的輸入可以來自機器生成和/或人工生成的各種來源的任何。

芯片組560還可以與可具有不同物理接口的一個或多個通信接口590連接。此類通信接口可包括用于有線和無線局域網(wǎng)、用于寬頻帶無線網(wǎng)絡(luò)以及個人區(qū)域網(wǎng)絡(luò)的接口。用于生成、顯示和使用本文中公開的gui的方法的一些應(yīng)用可以包括通過分析存儲在存儲裝置570或575中的數(shù)據(jù)的處理器555，經(jīng)由物理接口接收所訂購或者機器本身生成的數(shù)據(jù)集。此外，機器可經(jīng)由用戶界面部件585接收來自用戶的輸入，并且通過使用處理器555解析這些輸入來執(zhí)行適當(dāng)?shù)墓δ?，例如，瀏覽功能。

可認(rèn)識到，示例性系統(tǒng)500和550可以具有多于一個處理器510，或者是聯(lián)網(wǎng)在一起的計算裝置群組或群集中的一部分，以提供更大處理能力。

為清楚說明，在一些情況下，本發(fā)明技術(shù)可以呈現(xiàn)成包括獨立功能塊，其中包括裝置、裝置部件、實施在軟件中的方法中的步驟或例程，或者硬件和軟件組合。

在一些實施方案中，計算機可讀存儲裝置、介質(zhì)和存儲器可以包括含有位流等的電纜或無線信號。但是，當(dāng)提及時，非暫時計算機可讀存儲介質(zhì)明確排除諸如能量、載波信號、電磁波和信號自身等的介質(zhì)。

根據(jù)上述實例的方法可以使用計算機可讀介質(zhì)存儲或以其他方式提供的計算機可執(zhí)行指令實施。例如，此類指令可以包括促使或以其他方式配置通用計算機、專用計算機或者專用處理裝置的指令和數(shù)據(jù)，以執(zhí)行特定功能和功能組。所用的計算機資源的一部分可以通過網(wǎng)絡(luò)獲取。例如，計算機可執(zhí)行指令可以是二進制、中間格式的指令，例如匯編語言、固件或源代碼?？捎糜诖鎯χ噶?、所用信息和/或在方法執(zhí)行期間根據(jù)所述實例創(chuàng)建的信息的計算機可讀介質(zhì)的實例包括磁盤或光盤、閃存、設(shè)有非易失性存儲器的usb裝置、聯(lián)網(wǎng)存儲裝置等。

實施根據(jù)這些公開的方法的裝置可以包括硬件、固件和/或軟件，并且可以采用各種形式因素中的任何因素。此類形式因素的典型實例包括膝上型計算機、智能手機、小型形式因素個人計算機、個人數(shù)字助手等。本文中所述的功能也可以在外圍設(shè)備或插入卡中實施。此類功能還可以在電路板上實施，再如，在單個裝置中執(zhí)行的不同芯片或不同過程之間。

指令、用于傳輸此類指令的介質(zhì)、用于執(zhí)行這些指令的計算資源以及用于支持此類計算資源的其他指令是用于提供本公開案中所述的功能的方式。

盡管使用各種實例和其他信息來說明隨附權(quán)利要求書的范圍內(nèi)的方面，但是不得基于此類實例中的特定特征或布置而暗示對權(quán)利要求書的任何限制，因為本領(lǐng)域中的普通技術(shù)人員能夠使用這些實例來衍生各種實施。進一步地且盡管已經(jīng)以特定于結(jié)構(gòu)特征和/或方法步驟的實例的語言來描述一些主題，但是應(yīng)了解，隨附權(quán)利要求書中定義的主題不一定限制于所述的這些特征或操作。例如，此類功能可以以不同方式分布，或者在本文中所述的部件之外的部件中執(zhí)行。相反，所述的特征和步驟作為在隨附權(quán)利要求書范圍內(nèi)的系統(tǒng)部件和方法的實例公開。