CN106663165B - 移动设备业务拆分器 - Google Patents

移动设备业务拆分器 Download PDF

Info

Publication number
CN106663165B
CN106663165B CN201580016522.3A CN201580016522A CN106663165B CN 106663165 B CN106663165 B CN 106663165B CN 201580016522 A CN201580016522 A CN 201580016522A CN 106663165 B CN106663165 B CN 106663165B
Authority
CN
China
Prior art keywords
destination
traffic
mdm
mobile device
delegate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201580016522.3A
Other languages
English (en)
Other versions
CN106663165A (zh
Inventor
S.K.巴楚
M.金
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
MobileIron Inc
Original Assignee
MobileIron Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by MobileIron Inc filed Critical MobileIron Inc
Publication of CN106663165A publication Critical patent/CN106663165A/zh
Application granted granted Critical
Publication of CN106663165B publication Critical patent/CN106663165B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/08Allotting numbers to messages; Counting characters, words or messages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/563Data redirection of data network streams
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

公开了一种移动设备业务接合器。在各种实施例中,从移动设备接收与目的地相关联的网络通信。至少部分地基于目的地使用与移动设备相关联的被存储的路由数据来决定将网络通信重新导向到与目的地相关联的委托。网络通信被发送到与目的地相关联的委托。在各种实施例中,可以基于目的地和/或域执行通过目的地和/或域的计量网络业务和过滤网络通信中的一个或两个和/或其部分。

Description

移动设备业务拆分器
对其他申请的交叉引用
本申请要求于2014年3月31日提交的题目为“BYOD TRAFFIC SPLICER”的美国临时专利申请号为61/973,086的优先权,出于所有目的通过引用将所述美国临时专利申请结合到本文中。
背景技术
员工越来越多地可以使用个人设备(例如,移动电话、平板、膝上型计算机等)用于工作目的,有时被称为“带你自己的设备”(BYOD)。当设备被用在BYOD环境中时,公司可能需要在允许设备被用于工作之前管理员工的设备以保护内容和应用(app)。当设备由公司管理时,虽然设备拥有者是员工,但员工可能失去设备和隐私的至少一些控制(例如,应用和使用可以被报告给公司的管理服务器)。在某些情况下,当员工的设备与家庭成员共享时和/或当员工为多个公司工作时引入复杂度。例如,员工和/或设备可能不得不在多个公司的管理服务器中的每个之间来回地改变。在一些场景中,增加的复杂度可能使用户较少地倾向于在BYOD环境中使用他们的设备。
某些企业可能为了安全和审计而需要将应用的业务带到企业控制的网络,但运行设备级别的虚拟私有网络(VPN)和/或委托(proxy)可能是困难的,因为设备在企业之间被共享。并且在其中企业补偿(reimburse)数据使用的情况下,在员工使用跨多个企业的设备时准确地补偿使用成本可能是麻烦的。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1是图示了被配置成管理由例如MDM服务器、使能MDM的应用服务器等的一个或多个MDM权限(authority)在移动设备的管理中的参与的MDM代理器系统的实施例的框图。
图2是图示了移动业务接合器系统的实施例的框图。
图3是图示了将MDM代理器配置成管理由多个服务器在移动设备的管理中的参与的过程的实施例的流程图。
图4是图示了在移动设备管理(MDM)系统的实施例中的被用来存储配置和策略信息的数据结构的示例的框图。
图5是图示了配置移动业务接合器的过程的实施例的流程图。
图6是图示了通过支付实体计量移动数据业务的过程的实施例的流程图。
具体实施方式
本发明可以以许多方式来实现,包括作为过程;装置;系统;物质的组成;被体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行被存储在耦合到处理器的存储器上的和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现或本发明可以采取的任何其他形式可以被称为技术。一般地,可以在本发明的范围内更改所公开的过程的步骤的顺序。除非被另外声明,被描述为被配置成执行任务的诸如处理器或存储器之类的部件可以被实现为被临时地配置成在给定时间执行任务的通用部件或被制造成执行任务的特定部件。如本文中使用的那样,术语“处理器”指被配置成处理诸如计算机程序指令之类的数据的一个或多个设备、电路和/或处理核。
下面提供了对本发明的一个或多个实施例的详细描述连同图示本发明的原理的附图。结合这样的实施例描述了本发明,但本发明不限于任何实施例。本发明的范围仅由权利要求限制并且本发明包含许多替代、修改和等同物。在以下描述中阐述了许多特定细节以便提供对本发明的透彻理解。出于示例的目的提供了这些细节并且可以在没有这些特定细节中的一些或全部的情况下根据权利要求实践本发明。出于清楚的目的,尚未详细地描述在与本发明相关的技术领域中已知的技术材料,使得本发明没有被不必要地模糊。
公开了取决于策略或其他配置数据、通过被配置成拆分业务并将业务路由到不同的目的地的安全节点路由移动设备业务。在各种实施例中,通过处理来自设备的业务并且拆分在企业和普通的云使用之间的业务的业务接合器来路由移动设备业务。在各种实施例中,业务接合器可以将业务中继到企业的网络(例如,直接连接,VPN和/或委托)。根据一些实施例,业务接合器可以计量业务使用和/或可以提供其他业务安全特征(例如,业务审计日志记录、应用编程接口(API)级别过滤等)。在一些实施例中,被计量的业务使用可以被计算为网络访问成本并且被补偿给设备的员工/拥有者。
图1是图示了被配置成管理由例如MDM服务器、使能MDM的应用服务器等的一个或多个MDM权限在移动设备的管理中的参与的MDM代理器系统的实施例的框图。
在各种实施例中,诸如图1中的MDM服务器100和102之类的设备管理服务器可以与企业、消费者和/或其他实体相关联。例如,一个或多个公司中的每个可以具有不同类型的MDM服务器,例如,MDM服务器100可以是来自第一个第三方MDM提供者的第一类型的MDM服务器,并且MDM服务器102可以是来自不同的第三方MDM提供者的第二类型的MDM服务器。在示出的示例中,设备管理代理110(例如,MDM代理)被安装在BYOD设备140上。在各种实施例中,管理代理110的类型可以例如取决于设备OS。代理110可以例如被嵌入到OS(例如,iOS、Windows phone)、具有设备管理许可的应用(例如,Android),和/或另一类型的管理代理110。
在各种实施例中,诸如应用服务器150之类的应用服务器可以经由MDM委托200向BYOD设备140发送设备管理命令。MDM委托200可以被配置成例如由设备140的用户向应用服务器150委派/准予关于设备140的特定范围的管理权限和/或特权。
在一些实施例中,MDM委托200可以从诸如MDM服务器100和/或MDM服务器102之类的设备管理服务器接收管理命令。例如,云MDM委托200可以(例如在认证和授权之后)将命令传递到设备管理代理110。云MDM委托200也可以在将设备信息从设备管理代理110发送到设备管理服务器100之前执行隐私过滤和/或信息加密。
虽然在图2中示出了“MDM委托”,但是在各种实施例中,在本文中被描述为由在图2中示出的示例中的MDM委托200执行的代理可以由另一管理、代理器或委托节点执行,诸如管理服务器。
在各种实施例中,本文中描述的移动设备管理的全部或部分,特别是保持一个企业的应用相关的内容和活动与另一企业的应用相关的内容和活动分离和/或就个人而言保持个人的应用内容和活动被保留给用户所要求的管理可以至少部分地通过使用移动操作系统的应用级别管理功能(诸如iOS7管理的应用或Android操作系统的“Android forWork”特征)和/或通过用以单独地管理应用的在设备上提供的第三方管理基础设施(诸如MobileIron的® AppConnect™技术)来提供。例如,MobileIron的® AppConnect™技术可以被用来将企业A的应用与可由那些应用访问的一个安全总线和与企业B的应用相关联的第二个分离的安全总线相关联。在(企业A或B)应用的每个相应的集合内的应用将具有对经由仅与应用的该集合相关联的AppConnect™总线共享的内容和信息的安全访问。
在各种实施例中,云业务接合器(splicer)210可以包括委托服务器,其例如经由连接270将设备蜂窝和/或Wi-Fi业务连接到因特网。
根据一些实施例,业务委托215、217可以例如与设备管理服务器100、102(例如,企业、消费者和/或其他服务器)相关联。例如,多个公司中的每个可以具有不同的委托服务器(例如,不同类型的委托服务器)。与MDM服务器100相关联的业务委托215可以将业务连接到企业A的内联网,而与MDM服务器102相关联的业务委托217可以将业务连接到企业B的内联网。
在各种实施例中,云MDM委托200可以管理(220)云业务接合器210。管理委托协议230、232可以允许设备管理服务器100、102与云MDM委托200通信。设备管理协议235可以促进设备管理代理110和云MDM委托200之间的通信。
在各种实施例中,设备拥有者(例如,员工)可以将BYOD设备140上的设备管理代理110配置成由云MDM委托200管理。云MDM委托200可以例如维护用于一列受信任的设备管理服务器100、应用服务器150和/或其他节点的配置。云MDM委托200可以授权设备管理功能/信息和/或执行其他操作。在各种实施例中,在注册期间,设备拥有者可以选择针对设备管理服务器(诸如MDM服务器100、102)和/或应用服务器(诸如应用服务器150)和/或其他节点的允许的许可。在设备管理服务器100、102要求设备信息的情况下,云MDM委托200可以过滤信息并将其发送到设备管理服务器100、102。在各种实施例中,取决于信息公开策略,云MDM委托200可以报告经过滤的信息,因此设备管理服务器100可以决定针对丢失的信息做什么。
根据一些实施例中,设备拥有者可以将BYOD设备140配置成使用云业务接合器210用于网络访问(例如,蜂窝、Wi-Fi和/或其他因特网访问)。在各种实施例中,云业务接合器210可以由云MDM委托200配置。例如,取决于通信的性质/内容、起源的应用等,云MDM委托200可以利用策略将云业务接合器210配置成将与企业A相关联的业务接合到业务委托215、将与企业B相关联的业务接合到业务委托217以及将其他业务接合到因特网和/或如配置的(一个或多个)其他目的地。在各种实施例中,云业务接合器可以被配置成计量与访问公司内联网相关联的数据业务使用,并且公司可以针对企业数据使用补偿(reimburse)员工,例如用以促进员工与公司呆在一起。
根据各种实施例,企业设备管理服务器100、应用服务器150和/或其他节点可以使用例如云MDM委托200提供的应用编程接口(API)向BYOD设备140发送推送消息传送。在各种实施例中,推送消息可以被用来唤醒BYOD设备140(例如,用以得到最新设备状态)。例如,可以使用设备OS推送消息框架(例如,iOS推送通知、Android的谷歌云消息传送、Windows的Windows推送消息传送等)将推送消息递送到设备。在另一示例中,可以使用消费者推送消息传送(例如,短消息传送服务(SMS)文本消息、定制消息传送递送机制等)来递送推送消息。
根据一些实施例,业务接合器210可以向MDM代理器/委托200提供数据使用计量报告240。
在各种实施例中,可以使用设备平台特征(例如,VPN、接入点名称(APN)、APN委托、设备广泛委托)、VPN软件和/或应用级别业务处理逻辑(例如,应用委托、应用隧道等)将业务250从设备140(重新)导向250到业务接合器210。在一些实施例中,业务接合器210可以接合业务并且经由连接260将业务路由到诸如业务委托215(例如,与企业、消费者等相关联)的业务委托、(一个或多个)企业后端服务器、云服务270和/或一个或多个其他节点。可以使用设备管理协议235由云MDM委托200使用设备管理代理110(例如,MDM代理)将这些配置推送到BYOD设备140。
根据各种实施例,业务接合器210可以处理来自设备140的业务并且拆分在企业、云(例如,普通的云使用)和/或其他节点之间的业务。云业务接合器210可以例如将业务260中继到企业的网络(例如,直接连接、VPN和/或委托215)、到因特网270和/或其他节点,取决于例如由云MDM代理200(例如,推送到业务接合器210)提供的配置。
在各种实施例中,云业务接合器210可以计量到企业260的业务、到因特网270的业务和/或其他目的地的的业务使用。云业务接合器210可以提供业务安全特征,包括例如业务审计日志记录、API级别过滤和/或其他保护/安全。云业务接合器210可以向云MDM委托200报告被计量的业务使用。云MDM委托200可以计算每设备和/或企业的使用成本。云MDM委托200可以基于来自设备管理服务器100、应用服务器150和/或被配置成(例如,允许)管理BYOD设备140的任何其他节点的命令来建立用于云业务接合器210的(一个或多个)配置。
根据一些实施例,使用来自云业务接合器210的使用数据,MDM委托200可以针对每个企业计算每设备的使用。取决于由企业使用的模型(例如,蜂窝使用计划),使用成本可以向企业索回。并且,针对补偿数据使用的企业,使用成本可以被记入到BYOD设备140。在一些实施例中,利用云业务接合器,企业可以针对企业数据使用补偿员工。
在各种实施例中,使用来自云业务接合器210的使用数据,MDM代理210可以提醒设备拥有者关于设备的网络使用(例如,过度漫游数据使用提醒)。可以例如在每应用、每API、每应用组和/或其他的基础上提供使用数据。
根据各种实施例,使用云MDM委托(或设备级别MDM委托代理)和云业务接合器,设备拥有者可以向同意的企业和/或应用委派管理。例如,用户可以委派某些管理特征并且数据可以由每个企业或应用管理。
在各种实施例中,企业设备管理服务器和/或应用服务器可以与云MDM委托(或设备级别MDM委托代理)交互并且管理设备和得到设备信息。云业务接合器可以在保护业务(例如,使用过滤、加密等)之后将设备的数据业务接合到互联网、企业后端和/或中继委托服务器。在各种实施例中,使用在本文中公开的技术,企业可以在建立与设备拥有者的信任之后安全地连接到云MDM委托(或设备级别MDM委托代理)。
图2是图示了移动业务接合器系统的实施例的框图。在示出的示例中,业务接合器210的实施例被示出包括管理接口272,其被配置成例如从诸如MDM委托200之类的MDM委托/代理器接收配置数据200。与将移动设备业务路由或接合到企业或其他网络目的地相关联的配置数据可以被存储在路由信息数据仓库274中,并且过滤和/或其他内处理规则(例如,加密)可以被存储在过滤器/规则数据仓库276中。可以经由VPN 或其他安全通信接口或模块278建立到移动设备的VPN连接250,其包括例如被配置成经由VPN连接250向移动设备提供安全连接性的网络或其他通信接口。例如经由VPN连接250和VPN模块/接口278从移动设备接收的业务被提供到业务路由器模块280,其基于被存储在路由信息仓库274中的路由信息将所选的业务接合到相应的目的地(例如,公共因特网、经由指定的企业委托的企业内联网,所述企业委托诸如委托215、217)。来自移动设备的业务可以被过滤(例如,以防止企业或其他受限内容经由公共因特网被发送)和/或由过滤/内处理模块282内处理(例如,加密),如/如果由被存储在过滤器/规则数据仓库276中的相应数据指示的那样。可以经由委托284和连接270来发送被路由到公共因特网的业务。可以经由相应的安全连接和相关联的接口286、260来发送例如已经经由诸如委托215之类的委托(重新)导向到企业或其他内联网的业务。使用可以通过目的地/域被计量并且被存储在使用计量数据仓库288中。报告模块290可以生成和发送使用包括240,例如用以指示与对诸如内联网之类的企业网络的访问相关联的数据业务的量或百分比。在一些实施例中,移动设备拥有者/用户可以接收基于如由业务接合器210搜集和报告的使用数据的补偿支付。
图3是图示了将MDM代理器配置成管理由多个服务器在设备的管理中的参与的过程的实施例的流程图。在各种实施例中,可以通过和/或关于被安装在移动设备上的MDM委托代理/代理器(诸如图1的MDM委托代理/代理器120)或外部MDM委托/代理器(诸如图2的MDM代理器200)来执行图3的过程。在示出的示例中,接收用以配置MDM代理器的请求(302)。例如,设备拥有者和/或管理用户可能已经访问基于web的用户接口或其他管理用户接口。接收移动设备和一个或多个管理权限(例如,MDM服务器100、MDM服务器102、应用服务器150等)的标识(304)。针对每个权限,接收关于设备的权限的相应的范围的指示(例如,一组管理权利和/或特权)(306)。例如,管理用户接口可以使得设备拥有者能够针对由用户标识的管理权限中的每个指示权限的范围。MDM代理器(例如,MDM代理器120或MDM代理器200)被配置成针对关于设备的被准予权限的每个权限来促进和实施由用户定义的权限的相应范围(308)。例如,MDM代理器可以被配置成按要求执行过滤以确保管理权限没有接收拥有者尚未准予该权限对其的访问的信息。
图4是图示了在移动设备管理(MDM)系统的实施例中的被用来存储配置和策略信息的数据结构的示例的框图。在一些实施例中,可以提供用户接口来使得诸如设备拥有者之类的用户能够定义策略和设置,诸如在图4中示出的示例中的那些。
在各种实施例中,通过配置例如MDM委托/代理器200的云MDM委托(或设备级别MDM委托代理,诸如MDM委托代理120)和诸如业务接合器210之类的云业务接合器,设备拥有者可以将管理委派给一个或多个企业MDM服务器和/或应用服务器。例如,用户可以委派由用户选择的特定管理特征,并且可以指定哪些数据可以由哪个企业MDM服务器和/或应用服务器管理。
根据一些实施例,企业设备管理服务器和/或应用服务器可以与云MDM委托(或设备级别MDM委托代理)交互来管理设备和/或得到设备信息。在各种实施例中,企业MDM服务器和/或应用服务器可以行使对所管理的设备上的应用和/或数据的控制和/或经由MDM委托来获得来自设备和/或关于设备的信息,到由设备的拥有者例如经由基于web的用户接口或其他用户接口定义的程度。
在图4中示出的示例中,例如,针对设备“1234”,拥有者已经授权分别与“企业1”和“企业2”相关联的MDM服务器关于与那些企业的Microsoft Exchange®服务器的设备交互来定义策略和/或调整设备上的设置。例如,这样的权限可以使得企业中的每个能够经由MDM委托200在设备1234上建立经受企业的控制和拥有的企业特定的电子邮件简档(profile)。每个企业然后可以例如通过经由被发送到MDM委托200的命令/请求移除简档和相关联的内容数据来控制其自己的企业内容。在一些实施例中,MDM委托200将检查数据结构,诸如基于企业MDM服务器已经准予其采取关于与该企业MDM服务器相关联的电子邮件简档的顺从动作的权限的表400中的相应条目确定的图4的表400,并且将使将导致移除简档和相关联的内容的命令中继或以其他方式转发到设备1234,在各种实施例中不影响与其他实体和/或拥有者就个人而言相关联的简档和/或内容。
进一步参考图4中示出的示例,相同的两个企业已经被准予关于被安装在设备1234上的应用的权限,但在该示例中用户(例如,设备拥有者)已经向企业准予稍微不同的特权。具体地,在该示例中,用户已经向“企业1”准予安装应用以及移除或获得仅由该企业安装的那些应用的详细目录的权利。相比之下,在该示例中“企业2”已经被准予安装、移除或获得设备上的所有应用的详细目录的权限。在该示例中,第二企业可以具有员工提供设备1234上的应用的该较高级别的权限的策略或要求,而第一企业可以仅要求其被给予对由该企业安装的应用的控制。在其他示例中,可以存在不同的要求,并且设备的用户/拥有者可以以各种级别的粒度和特异性分配和/或限制权限。
在一些实施例中,开着的设备或基于云的MDM代理器,诸如图1的MDM代理器120或图2的MDM代理器200,可以促进由MDM服务器和/或应用服务器对已经被准予给它们的权限的行使,所述权限如在图4中示出的示例中那样,经受由用户/拥有者指定的限制和资格。
在图4中示出的示例中,受限的管理权限已经被准予给“应用服务器1”,例如在图1中示出的示例中的应用服务器150。在各种实施例中,受限的MDM功能可以被内置于应用服务器侧上的应用中,以使得对设备的应用相关的控制能够被行使。例如,MDM模块或插件可以被提供,或者软件开发套件(SDK)或其他代码被提供并包括在应用服务器处运行的应用代码中,和/或应用开发者可以写代码来调用MDM代理器的应用编程接口(API)以使得MDM功能能够被结合和/或提供。
在图4中示出的示例中,“应用服务器1”已经被准予关于“设备下锁”的权限,但经受将应用限制到能够设置“相机捕捉锁定”以防止屏幕捕捉的“过滤器”。例如,应用(例如,Snapchat™)可以希望提供通信的隐私和/或通信的短暂性质将不通过设备屏幕捕捉而被损害的保证,并且可以要求用户准予权限(诸如在图4中示出的权限)作为使用应用的条件。在各种实施例中,应用服务器可以使用权限的这样的准予,例如用以在应用服务器促进的连接或会话的开始时经由MDM代理器向设备发送命令。
在各种实施例中,云业务接合器可以将设备数据业务接合到因特网、企业后端和/或中继委托服务器,这取决于接合器已经被如何配置。在一些实施例中,接合器可以被配置成保护业务(例如,过滤、加密等)。在图4中示出的示例中,第一企业(“企业1”)已经被准予将设备1234与其相关联的业务接合器配置成接合与企业1相关联的业务的权限,在该示例中权限的范围被定义为与“ent1.com”域相关联的业务。第二企业(“企业2”)已经被准予关于在被指示的范围中的业务关联的IP地址来配置业务接合器的权限,其可以对应于企业的内部网络,例如,内联网。
在各种实施例中,在图4中示出的权限的准予可以使得相应的MDM服务器能够经由与MDM代理器的交互将业务接合器配置成将与每个相应的企业相关联的业务接合到与该企业相关联的委托或其他节点。例如,参考图2,MDM服务器100、102可以经由协议230、232与MDM代理器200交互以使得接合器210被配置成经由通信220将每个企业的业务路由到由该企业指定的目的地,例如在MDM服务器100的情况下到委托215或在MDM服务器102的情况下到委托217。在一些实施例中,MDM/应用服务器或另一节点可以充当业务委托。
图5是图示了配置移动业务接合器的过程的实施例的流程图。在各种实施例中,可以由诸如图1的业务接合器270之类的业务接合器来执行图5的过程。在示出的示例中,例如从诸如图1的MDM代理器200之类的MDM代理器接收(502)业务路由数据。例如,诸如图1的MDM服务器100之类的MDM权限可能已经经由MDM代理器200发送指示与和MDM服务器100相关联的域和/或子网相关联的数据通信的配置数据应该被(重新)导向到诸如委托215之类的委托以提供到例如企业内联网或其他私有网络的安全连接性。一个或多个过滤策略可以(在一些实施例中可选地)被接收(504)。过滤策略的示例没有限制地包括用以防止企业或其他管理的内容被发送到公共因特网等的策略。一个或多个内处理策略可以(在一些实施例中可选地)被接收(506)。内处理策略的示例没有限制地包括用以在企业或其他管理的内容数据被发送到公共因特网之前对这样的数据加密的策略。如可适用的业务路由、过滤和/或内处理被配置成例如通过诸如在图2中示出的那些的可适用处理模块来执行(508)。
图6是图示了通过支付实体计量移动数据业务的过程的实施例的流程图。在各种实施例中,图6的过程可以由诸如图1的业务接合器270之类的业务接合器执行。在示出的示例中,如由路由配置数据指示的那样来路由业务(602)。例如,与企业相关联的移动设备业务可以经由诸如MDM代理器200之类的MDM代理器路由到诸如图1的委托215之类的委托,如由例如图1的MDM服务器100的相关联的MDM服务器配置的那样。由管理域存储反映数据业务使用的统计(例如,企业1对企业2对公共因特网)。按调度(在各种实施例中,或应要求、如由策略触发的那样等),数据使用报告被生成并且被例如经由诸如MDM代理器200之类的MDM代理器提供到相应的被指定的报告接收者(606)。在一些实施例中,可以基于数据使用报告来生成自动的补偿支付(608)。例如,MDM代理器和/或MDM服务器可以接收报告并且向移动设备的拥有者/用户自动地生成补偿支付以针对与个人移动设备访问基于企业网络的资源的使用相关联的数据计划使用和/或成本补偿拥有者/用户。
在各种实施例中,本文中公开的技术可以被用来使得与多个不同的管理域(例如,个人、一个或多个企业等)相关联的移动设备业务能够基于由每个域的相应的移动设备管理(MDM)权限建立的偏好和设置而被控制、过滤、修改、导向/重新导向等。本文中公开的技术可以使得移动设备业务能够被控制和保护,如由企业或数据的其他拥有者期望的那样。在一些实施例中,由管理域的使用可以被计量,使得部分补偿能够被提供到使用其个人移动设备执行用于企业或其他实体的工作的员工。
尽管出于理解的清楚的目的已经相当详细地描述了前述实施例,但本发明未限制于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的且不是限制性的。

Claims (20)

1.一种管理移动设备的方法,包括:
在业务接合器从移动设备接收与目的地相关联的网络通信;
使用与移动设备相关联的被存储的路由数据来至少部分地基于目的地决定将网络通信重新导向到与目的地相关联的委托;
将网络通信发送到与目的地相关联的委托;以及
通过业务接合器计量从移动设备到与目的地相关联的委托的业务使用,其中计量的业务使用包括在移动设备和与目的地相关联的委托之间的数据业务的度量。
2.根据权利要求1所述的方法,其中业务接合器被配置成接收和存储所述路由数据。
3.根据权利要求2所述的方法,其中通过与目的地相关联的MDM权限经由MDM代理器来提供路由数据。
4.根据权利要求1所述的方法,其中目的地包括域或其部分。
5.根据权利要求1所述的方法,其中目的地包括子网络或其他IP地址范围。
6.根据权利要求1所述的方法,进一步包括使用被存储的策略来决定对网络通信进行过滤。
7.根据权利要求6所述的方法,其中对网络通信进行过滤包括阻止或移除包括网络通信的数据的至少一部分。
8.根据权利要求1所述的方法,进一步包括使用被存储的策略来决定执行关于网络通信的内处理。
9.根据权利要求8所述的方法,其中内处理包括对包括网络通信的数据的至少一部分加密。
10.根据权利要求1所述的方法,其中委托与和目的地相关联的MDM服务器相关联。
11.根据权利要求1所述的方法,进一步包括更新与目的地相关联的使用统计以反映网络通信。
12.根据权利要求11所述的方法,进一步包括使用使用统计来生成报告。
13.根据权利要求11所述的方法,进一步包括使用使用统计来生成自动的补偿支付。
14.一种管理移动设备的系统,包括:
通信接口;以及
处理器,其被耦合到通信接口并且被配置成:
经由通信接口在业务接合器从所述移动设备接收与目的地相关联的网络通信;
使用与移动设备相关联的被存储的路由数据来至少部分地基于目的地来决定将网络通信重新导向到与目的地相关联的委托;以及
将网络通信发送到与目的地相关联的委托;
通过业务接合器计量从移动设备到与目的地相关联的委托的业务使用,其中计量的业务使用包括在移动设备和与目的地相关联的委托之间的数据业务的度量。
15.根据权利要求14所述的系统,进一步包括被配置成存储所述路由数据的存储设备。
16.根据权利要求15所述的系统,其中处理器被进一步配置成经由管理用户接口接收所述路由数据的定义并且被配置成将所述路由数据存储在所述存储设备中。
17.根据权利要求16所述的系统,其中通过与目的地相关联的MDM权限经由MDM代理器提供路由数据。
18.根据权利要求14所述的系统,其中目的地包括子网络或其他IP地址范围。
19.根据权利要求14所述的系统,其中处理器被进一步配置成使用被存储的策略来决定对网络通信进行过滤。
20.一种非瞬时计算机可读存储介质,包括计算机指令,用于:
在业务接合器从移动设备接收与目的地相关联的网络通信;
使用与移动设备相关联的被存储的路由数据来至少部分地基于目的地来决定将网络通信重新导向到与目的地相关联的委托;
将网络通信发送到与目的地相关联的委托;以及
通过业务接合器计量从移动设备到与目的地相关联的委托的业务使用,其中计量的业务使用包括在移动设备和与目的地相关联的委托之间的数据业务的度量。
CN201580016522.3A 2014-03-31 2015-03-31 移动设备业务拆分器 Active CN106663165B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201461973086P 2014-03-31 2014-03-31
US61/973086 2014-03-31
PCT/US2015/023716 WO2015153686A1 (en) 2014-03-31 2015-03-31 Mobile device traffic splitter

Publications (2)

Publication Number Publication Date
CN106663165A CN106663165A (zh) 2017-05-10
CN106663165B true CN106663165B (zh) 2020-02-28

Family

ID=54192366

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580016522.3A Active CN106663165B (zh) 2014-03-31 2015-03-31 移动设备业务拆分器

Country Status (4)

Country Link
US (2) US9854443B2 (zh)
EP (1) EP3127035B1 (zh)
CN (1) CN106663165B (zh)
WO (1) WO2015153686A1 (zh)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11290912B2 (en) 2011-12-14 2022-03-29 Seven Networks, Llc Mobile device configured for operating in a power save mode and a traffic optimization mode and related method
DE102015014168A1 (de) * 2015-11-03 2017-05-04 Secardeo Gmbh Verfahren zur Verteilung privater Schlüssel von Benutzern auf Mobilgeräte
US9935955B2 (en) * 2016-03-28 2018-04-03 Zscaler, Inc. Systems and methods for cloud based unified service discovery and secure availability
US11533307B2 (en) 2016-03-28 2022-12-20 Zscaler, Inc. Enforcing security policies on mobile devices in a hybrid architecture
US11363022B2 (en) * 2016-03-28 2022-06-14 Zscaler, Inc. Use of DHCP for location information of a user device for automatic traffic forwarding
US11962589B2 (en) 2016-03-28 2024-04-16 Zscaler, Inc. Disaster recovery for a cloud-based security service
US11985129B2 (en) 2016-03-28 2024-05-14 Zscaler, Inc. Cloud policy enforcement based on network trust
US11297058B2 (en) * 2016-03-28 2022-04-05 Zscaler, Inc. Systems and methods using a cloud proxy for mobile device management and policy
US10650621B1 (en) 2016-09-13 2020-05-12 Iocurrents, Inc. Interfacing with a vehicular controller area network
US11196827B2 (en) * 2019-10-30 2021-12-07 At&T Intellectual Property I, L.P. Data management for connected devices
US11949663B2 (en) 2020-05-21 2024-04-02 Zscaler, Inc. Cloud-based tunnel protocol systems and methods for multiple ports and protocols
CN115809936A (zh) * 2023-01-30 2023-03-17 北京四方启点科技有限公司 一种报销申请单生成方法和装置

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6754470B2 (en) * 2000-09-01 2004-06-22 Telephia, Inc. System and method for measuring wireless device and network usage and performance metrics
US7209977B2 (en) * 2001-10-01 2007-04-24 International Business Machines Corporation Method and apparatus for content-aware web switching
AU2003228415A1 (en) * 2002-03-29 2003-10-13 Network Genomics, Inc. Systems and methods for end-to-end quality of service measurements in a distributed network environment
US20070081543A1 (en) * 2005-10-11 2007-04-12 Manrique Brenes Network utilization control apparatus and method of using
US7808919B2 (en) * 2008-03-18 2010-10-05 Cisco Technology, Inc. Network monitoring using a proxy
US8924469B2 (en) * 2008-06-05 2014-12-30 Headwater Partners I Llc Enterprise access control and accounting allocation for access networks
US7948986B1 (en) * 2009-02-02 2011-05-24 Juniper Networks, Inc. Applying services within MPLS networks
CN101599901B (zh) * 2009-07-15 2011-06-08 杭州华三通信技术有限公司 远程接入mpls vpn的方法、系统和网关
US8170016B2 (en) * 2009-11-30 2012-05-01 At&T Intellectual Property I, Lp Packet flow offload to remote destination with routing bypass
US8856300B2 (en) * 2010-05-18 2014-10-07 At&T Intellectual Property I, L.P. End-to-end secure cloud computing
US8484568B2 (en) * 2010-08-25 2013-07-09 Verizon Patent And Licensing Inc. Data usage monitoring per application
US8352630B2 (en) 2010-09-01 2013-01-08 Sonus Networks, Inc. Dynamic classification and grouping of network traffic for service application across multiple nodes
US8464335B1 (en) 2011-03-18 2013-06-11 Zscaler, Inc. Distributed, multi-tenant virtual private network cloud systems and methods for mobile security and policy enforcement
US9065800B2 (en) * 2011-03-18 2015-06-23 Zscaler, Inc. Dynamic user identification and policy enforcement in cloud-based secure web gateways
US9119017B2 (en) 2011-03-18 2015-08-25 Zscaler, Inc. Cloud based mobile device security and policy enforcement
US8560663B2 (en) * 2011-09-30 2013-10-15 Telefonaktiebolaget L M Ericsson (Publ) Using MPLS for virtual private cloud network isolation in openflow-enabled cloud computing
US20140040979A1 (en) * 2011-10-11 2014-02-06 Citrix Systems, Inc. Policy-Based Application Management
WO2013090212A1 (en) * 2011-12-14 2013-06-20 Seven Networks, Inc. Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system
US9198016B2 (en) 2012-09-04 2015-11-24 Active Network, Llc Enterprise wireless device usage reporting
US8874761B2 (en) * 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols

Also Published As

Publication number Publication date
CN106663165A (zh) 2017-05-10
EP3127035A1 (en) 2017-02-08
US10595205B2 (en) 2020-03-17
EP3127035B1 (en) 2020-02-12
WO2015153686A1 (en) 2015-10-08
US9854443B2 (en) 2017-12-26
US20150282041A1 (en) 2015-10-01
EP3127035A4 (en) 2017-09-13
US20180077577A1 (en) 2018-03-15

Similar Documents

Publication Publication Date Title
CN106663165B (zh) 移动设备业务拆分器
US11457070B2 (en) Virtual hosting device and service to provide software-defined networks in a cloud environment
RU2765567C2 (ru) Провайдер доступа к базовой сети
CN106537368B (zh) 移动设备管理代理器
US10122761B2 (en) Device authentication based upon tunnel client network requests
US11792202B2 (en) TLS policy enforcement at a tunnel gateway
US10523636B2 (en) Enterprise mobility management and network micro-segmentation
US20070143408A1 (en) Enterprise to enterprise instant messaging
US20140020062A1 (en) Techniques for protecting mobile applications
EP3459222A1 (en) Device authentication based upon tunnel client network requests
US9727747B1 (en) Location and time based mobile app policies
US10178127B2 (en) Secured mobile communications device
KR101219662B1 (ko) 클라우드 서비스 보안 시스템 및 그 방법
US10375055B2 (en) Device authentication based upon tunnel client network requests
US10936674B2 (en) Policy-based trusted peer-to-peer connections
Seneviratne et al. Integrated Corporate Network Service Architecture for Bring Your Own Device (BYOD) Policy
Maximov et al. 5G-ENSURE D2. 4: Security Architecture (draft)
Pourzandi et al. Setting up virtual security zones in a Linux cluster

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant