CN106663165B - 移动设备业务拆分器 - Google Patents
移动设备业务拆分器 Download PDFInfo
- Publication number
- CN106663165B CN106663165B CN201580016522.3A CN201580016522A CN106663165B CN 106663165 B CN106663165 B CN 106663165B CN 201580016522 A CN201580016522 A CN 201580016522A CN 106663165 B CN106663165 B CN 106663165B
- Authority
- CN
- China
- Prior art keywords
- destination
- traffic
- mdm
- mobile device
- delegate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/08—Allotting numbers to messages; Counting characters, words or messages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/563—Data redirection of data network streams
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
公开了一种移动设备业务接合器。在各种实施例中,从移动设备接收与目的地相关联的网络通信。至少部分地基于目的地使用与移动设备相关联的被存储的路由数据来决定将网络通信重新导向到与目的地相关联的委托。网络通信被发送到与目的地相关联的委托。在各种实施例中,可以基于目的地和/或域执行通过目的地和/或域的计量网络业务和过滤网络通信中的一个或两个和/或其部分。
Description
对其他申请的交叉引用
本申请要求于2014年3月31日提交的题目为“BYOD TRAFFIC SPLICER”的美国临时专利申请号为61/973,086的优先权,出于所有目的通过引用将所述美国临时专利申请结合到本文中。
背景技术
员工越来越多地可以使用个人设备(例如,移动电话、平板、膝上型计算机等)用于工作目的,有时被称为“带你自己的设备”(BYOD)。当设备被用在BYOD环境中时,公司可能需要在允许设备被用于工作之前管理员工的设备以保护内容和应用(app)。当设备由公司管理时,虽然设备拥有者是员工,但员工可能失去设备和隐私的至少一些控制(例如,应用和使用可以被报告给公司的管理服务器)。在某些情况下,当员工的设备与家庭成员共享时和/或当员工为多个公司工作时引入复杂度。例如,员工和/或设备可能不得不在多个公司的管理服务器中的每个之间来回地改变。在一些场景中,增加的复杂度可能使用户较少地倾向于在BYOD环境中使用他们的设备。
某些企业可能为了安全和审计而需要将应用的业务带到企业控制的网络,但运行设备级别的虚拟私有网络(VPN)和/或委托(proxy)可能是困难的,因为设备在企业之间被共享。并且在其中企业补偿(reimburse)数据使用的情况下,在员工使用跨多个企业的设备时准确地补偿使用成本可能是麻烦的。
附图说明
在以下详细描述和附图中公开了本发明的各种实施例。
图1是图示了被配置成管理由例如MDM服务器、使能MDM的应用服务器等的一个或多个MDM权限(authority)在移动设备的管理中的参与的MDM代理器系统的实施例的框图。
图2是图示了移动业务接合器系统的实施例的框图。
图3是图示了将MDM代理器配置成管理由多个服务器在移动设备的管理中的参与的过程的实施例的流程图。
图4是图示了在移动设备管理(MDM)系统的实施例中的被用来存储配置和策略信息的数据结构的示例的框图。
图5是图示了配置移动业务接合器的过程的实施例的流程图。
图6是图示了通过支付实体计量移动数据业务的过程的实施例的流程图。
具体实施方式
本发明可以以许多方式来实现,包括作为过程;装置;系统;物质的组成;被体现在计算机可读存储介质上的计算机程序产品;和/或处理器,诸如被配置成执行被存储在耦合到处理器的存储器上的和/或由耦合到处理器的存储器提供的指令的处理器。在本说明书中,这些实现或本发明可以采取的任何其他形式可以被称为技术。一般地,可以在本发明的范围内更改所公开的过程的步骤的顺序。除非被另外声明,被描述为被配置成执行任务的诸如处理器或存储器之类的部件可以被实现为被临时地配置成在给定时间执行任务的通用部件或被制造成执行任务的特定部件。如本文中使用的那样,术语“处理器”指被配置成处理诸如计算机程序指令之类的数据的一个或多个设备、电路和/或处理核。
下面提供了对本发明的一个或多个实施例的详细描述连同图示本发明的原理的附图。结合这样的实施例描述了本发明,但本发明不限于任何实施例。本发明的范围仅由权利要求限制并且本发明包含许多替代、修改和等同物。在以下描述中阐述了许多特定细节以便提供对本发明的透彻理解。出于示例的目的提供了这些细节并且可以在没有这些特定细节中的一些或全部的情况下根据权利要求实践本发明。出于清楚的目的,尚未详细地描述在与本发明相关的技术领域中已知的技术材料,使得本发明没有被不必要地模糊。
公开了取决于策略或其他配置数据、通过被配置成拆分业务并将业务路由到不同的目的地的安全节点路由移动设备业务。在各种实施例中,通过处理来自设备的业务并且拆分在企业和普通的云使用之间的业务的业务接合器来路由移动设备业务。在各种实施例中,业务接合器可以将业务中继到企业的网络(例如,直接连接,VPN和/或委托)。根据一些实施例,业务接合器可以计量业务使用和/或可以提供其他业务安全特征(例如,业务审计日志记录、应用编程接口(API)级别过滤等)。在一些实施例中,被计量的业务使用可以被计算为网络访问成本并且被补偿给设备的员工/拥有者。
图1是图示了被配置成管理由例如MDM服务器、使能MDM的应用服务器等的一个或多个MDM权限在移动设备的管理中的参与的MDM代理器系统的实施例的框图。
在各种实施例中,诸如图1中的MDM服务器100和102之类的设备管理服务器可以与企业、消费者和/或其他实体相关联。例如,一个或多个公司中的每个可以具有不同类型的MDM服务器,例如,MDM服务器100可以是来自第一个第三方MDM提供者的第一类型的MDM服务器,并且MDM服务器102可以是来自不同的第三方MDM提供者的第二类型的MDM服务器。在示出的示例中,设备管理代理110(例如,MDM代理)被安装在BYOD设备140上。在各种实施例中,管理代理110的类型可以例如取决于设备OS。代理110可以例如被嵌入到OS(例如,iOS、Windows phone)、具有设备管理许可的应用(例如,Android),和/或另一类型的管理代理110。
在各种实施例中,诸如应用服务器150之类的应用服务器可以经由MDM委托200向BYOD设备140发送设备管理命令。MDM委托200可以被配置成例如由设备140的用户向应用服务器150委派/准予关于设备140的特定范围的管理权限和/或特权。
在一些实施例中,MDM委托200可以从诸如MDM服务器100和/或MDM服务器102之类的设备管理服务器接收管理命令。例如,云MDM委托200可以(例如在认证和授权之后)将命令传递到设备管理代理110。云MDM委托200也可以在将设备信息从设备管理代理110发送到设备管理服务器100之前执行隐私过滤和/或信息加密。
虽然在图2中示出了“MDM委托”,但是在各种实施例中,在本文中被描述为由在图2中示出的示例中的MDM委托200执行的代理可以由另一管理、代理器或委托节点执行,诸如管理服务器。
在各种实施例中,本文中描述的移动设备管理的全部或部分,特别是保持一个企业的应用相关的内容和活动与另一企业的应用相关的内容和活动分离和/或就个人而言保持个人的应用内容和活动被保留给用户所要求的管理可以至少部分地通过使用移动操作系统的应用级别管理功能(诸如iOS7管理的应用或Android操作系统的“Android forWork”特征)和/或通过用以单独地管理应用的在设备上提供的第三方管理基础设施(诸如MobileIron的® AppConnect™技术)来提供。例如,MobileIron的® AppConnect™技术可以被用来将企业A的应用与可由那些应用访问的一个安全总线和与企业B的应用相关联的第二个分离的安全总线相关联。在(企业A或B)应用的每个相应的集合内的应用将具有对经由仅与应用的该集合相关联的AppConnect™总线共享的内容和信息的安全访问。
在各种实施例中,云业务接合器(splicer)210可以包括委托服务器,其例如经由连接270将设备蜂窝和/或Wi-Fi业务连接到因特网。
根据一些实施例,业务委托215、217可以例如与设备管理服务器100、102(例如,企业、消费者和/或其他服务器)相关联。例如,多个公司中的每个可以具有不同的委托服务器(例如,不同类型的委托服务器)。与MDM服务器100相关联的业务委托215可以将业务连接到企业A的内联网,而与MDM服务器102相关联的业务委托217可以将业务连接到企业B的内联网。
在各种实施例中,云MDM委托200可以管理(220)云业务接合器210。管理委托协议230、232可以允许设备管理服务器100、102与云MDM委托200通信。设备管理协议235可以促进设备管理代理110和云MDM委托200之间的通信。
在各种实施例中,设备拥有者(例如,员工)可以将BYOD设备140上的设备管理代理110配置成由云MDM委托200管理。云MDM委托200可以例如维护用于一列受信任的设备管理服务器100、应用服务器150和/或其他节点的配置。云MDM委托200可以授权设备管理功能/信息和/或执行其他操作。在各种实施例中,在注册期间,设备拥有者可以选择针对设备管理服务器(诸如MDM服务器100、102)和/或应用服务器(诸如应用服务器150)和/或其他节点的允许的许可。在设备管理服务器100、102要求设备信息的情况下,云MDM委托200可以过滤信息并将其发送到设备管理服务器100、102。在各种实施例中,取决于信息公开策略,云MDM委托200可以报告经过滤的信息,因此设备管理服务器100可以决定针对丢失的信息做什么。
根据一些实施例中,设备拥有者可以将BYOD设备140配置成使用云业务接合器210用于网络访问(例如,蜂窝、Wi-Fi和/或其他因特网访问)。在各种实施例中,云业务接合器210可以由云MDM委托200配置。例如,取决于通信的性质/内容、起源的应用等,云MDM委托200可以利用策略将云业务接合器210配置成将与企业A相关联的业务接合到业务委托215、将与企业B相关联的业务接合到业务委托217以及将其他业务接合到因特网和/或如配置的(一个或多个)其他目的地。在各种实施例中,云业务接合器可以被配置成计量与访问公司内联网相关联的数据业务使用,并且公司可以针对企业数据使用补偿(reimburse)员工,例如用以促进员工与公司呆在一起。
根据各种实施例,企业设备管理服务器100、应用服务器150和/或其他节点可以使用例如云MDM委托200提供的应用编程接口(API)向BYOD设备140发送推送消息传送。在各种实施例中,推送消息可以被用来唤醒BYOD设备140(例如,用以得到最新设备状态)。例如,可以使用设备OS推送消息框架(例如,iOS推送通知、Android的谷歌云消息传送、Windows的Windows推送消息传送等)将推送消息递送到设备。在另一示例中,可以使用消费者推送消息传送(例如,短消息传送服务(SMS)文本消息、定制消息传送递送机制等)来递送推送消息。
根据一些实施例,业务接合器210可以向MDM代理器/委托200提供数据使用计量报告240。
在各种实施例中,可以使用设备平台特征(例如,VPN、接入点名称(APN)、APN委托、设备广泛委托)、VPN软件和/或应用级别业务处理逻辑(例如,应用委托、应用隧道等)将业务250从设备140(重新)导向250到业务接合器210。在一些实施例中,业务接合器210可以接合业务并且经由连接260将业务路由到诸如业务委托215(例如,与企业、消费者等相关联)的业务委托、(一个或多个)企业后端服务器、云服务270和/或一个或多个其他节点。可以使用设备管理协议235由云MDM委托200使用设备管理代理110(例如,MDM代理)将这些配置推送到BYOD设备140。
根据各种实施例,业务接合器210可以处理来自设备140的业务并且拆分在企业、云(例如,普通的云使用)和/或其他节点之间的业务。云业务接合器210可以例如将业务260中继到企业的网络(例如,直接连接、VPN和/或委托215)、到因特网270和/或其他节点,取决于例如由云MDM代理200(例如,推送到业务接合器210)提供的配置。
在各种实施例中,云业务接合器210可以计量到企业260的业务、到因特网270的业务和/或其他目的地的的业务使用。云业务接合器210可以提供业务安全特征,包括例如业务审计日志记录、API级别过滤和/或其他保护/安全。云业务接合器210可以向云MDM委托200报告被计量的业务使用。云MDM委托200可以计算每设备和/或企业的使用成本。云MDM委托200可以基于来自设备管理服务器100、应用服务器150和/或被配置成(例如,允许)管理BYOD设备140的任何其他节点的命令来建立用于云业务接合器210的(一个或多个)配置。
根据一些实施例,使用来自云业务接合器210的使用数据,MDM委托200可以针对每个企业计算每设备的使用。取决于由企业使用的模型(例如,蜂窝使用计划),使用成本可以向企业索回。并且,针对补偿数据使用的企业,使用成本可以被记入到BYOD设备140。在一些实施例中,利用云业务接合器,企业可以针对企业数据使用补偿员工。
在各种实施例中,使用来自云业务接合器210的使用数据,MDM代理210可以提醒设备拥有者关于设备的网络使用(例如,过度漫游数据使用提醒)。可以例如在每应用、每API、每应用组和/或其他的基础上提供使用数据。
根据各种实施例,使用云MDM委托(或设备级别MDM委托代理)和云业务接合器,设备拥有者可以向同意的企业和/或应用委派管理。例如,用户可以委派某些管理特征并且数据可以由每个企业或应用管理。
在各种实施例中,企业设备管理服务器和/或应用服务器可以与云MDM委托(或设备级别MDM委托代理)交互并且管理设备和得到设备信息。云业务接合器可以在保护业务(例如,使用过滤、加密等)之后将设备的数据业务接合到互联网、企业后端和/或中继委托服务器。在各种实施例中,使用在本文中公开的技术,企业可以在建立与设备拥有者的信任之后安全地连接到云MDM委托(或设备级别MDM委托代理)。
图2是图示了移动业务接合器系统的实施例的框图。在示出的示例中,业务接合器210的实施例被示出包括管理接口272,其被配置成例如从诸如MDM委托200之类的MDM委托/代理器接收配置数据200。与将移动设备业务路由或接合到企业或其他网络目的地相关联的配置数据可以被存储在路由信息数据仓库274中,并且过滤和/或其他内处理规则(例如,加密)可以被存储在过滤器/规则数据仓库276中。可以经由VPN 或其他安全通信接口或模块278建立到移动设备的VPN连接250,其包括例如被配置成经由VPN连接250向移动设备提供安全连接性的网络或其他通信接口。例如经由VPN连接250和VPN模块/接口278从移动设备接收的业务被提供到业务路由器模块280,其基于被存储在路由信息仓库274中的路由信息将所选的业务接合到相应的目的地(例如,公共因特网、经由指定的企业委托的企业内联网,所述企业委托诸如委托215、217)。来自移动设备的业务可以被过滤(例如,以防止企业或其他受限内容经由公共因特网被发送)和/或由过滤/内处理模块282内处理(例如,加密),如/如果由被存储在过滤器/规则数据仓库276中的相应数据指示的那样。可以经由委托284和连接270来发送被路由到公共因特网的业务。可以经由相应的安全连接和相关联的接口286、260来发送例如已经经由诸如委托215之类的委托(重新)导向到企业或其他内联网的业务。使用可以通过目的地/域被计量并且被存储在使用计量数据仓库288中。报告模块290可以生成和发送使用包括240,例如用以指示与对诸如内联网之类的企业网络的访问相关联的数据业务的量或百分比。在一些实施例中,移动设备拥有者/用户可以接收基于如由业务接合器210搜集和报告的使用数据的补偿支付。
图3是图示了将MDM代理器配置成管理由多个服务器在设备的管理中的参与的过程的实施例的流程图。在各种实施例中,可以通过和/或关于被安装在移动设备上的MDM委托代理/代理器(诸如图1的MDM委托代理/代理器120)或外部MDM委托/代理器(诸如图2的MDM代理器200)来执行图3的过程。在示出的示例中,接收用以配置MDM代理器的请求(302)。例如,设备拥有者和/或管理用户可能已经访问基于web的用户接口或其他管理用户接口。接收移动设备和一个或多个管理权限(例如,MDM服务器100、MDM服务器102、应用服务器150等)的标识(304)。针对每个权限,接收关于设备的权限的相应的范围的指示(例如,一组管理权利和/或特权)(306)。例如,管理用户接口可以使得设备拥有者能够针对由用户标识的管理权限中的每个指示权限的范围。MDM代理器(例如,MDM代理器120或MDM代理器200)被配置成针对关于设备的被准予权限的每个权限来促进和实施由用户定义的权限的相应范围(308)。例如,MDM代理器可以被配置成按要求执行过滤以确保管理权限没有接收拥有者尚未准予该权限对其的访问的信息。
图4是图示了在移动设备管理(MDM)系统的实施例中的被用来存储配置和策略信息的数据结构的示例的框图。在一些实施例中,可以提供用户接口来使得诸如设备拥有者之类的用户能够定义策略和设置,诸如在图4中示出的示例中的那些。
在各种实施例中,通过配置例如MDM委托/代理器200的云MDM委托(或设备级别MDM委托代理,诸如MDM委托代理120)和诸如业务接合器210之类的云业务接合器,设备拥有者可以将管理委派给一个或多个企业MDM服务器和/或应用服务器。例如,用户可以委派由用户选择的特定管理特征,并且可以指定哪些数据可以由哪个企业MDM服务器和/或应用服务器管理。
根据一些实施例,企业设备管理服务器和/或应用服务器可以与云MDM委托(或设备级别MDM委托代理)交互来管理设备和/或得到设备信息。在各种实施例中,企业MDM服务器和/或应用服务器可以行使对所管理的设备上的应用和/或数据的控制和/或经由MDM委托来获得来自设备和/或关于设备的信息,到由设备的拥有者例如经由基于web的用户接口或其他用户接口定义的程度。
在图4中示出的示例中,例如,针对设备“1234”,拥有者已经授权分别与“企业1”和“企业2”相关联的MDM服务器关于与那些企业的Microsoft Exchange®服务器的设备交互来定义策略和/或调整设备上的设置。例如,这样的权限可以使得企业中的每个能够经由MDM委托200在设备1234上建立经受企业的控制和拥有的企业特定的电子邮件简档(profile)。每个企业然后可以例如通过经由被发送到MDM委托200的命令/请求移除简档和相关联的内容数据来控制其自己的企业内容。在一些实施例中,MDM委托200将检查数据结构,诸如基于企业MDM服务器已经准予其采取关于与该企业MDM服务器相关联的电子邮件简档的顺从动作的权限的表400中的相应条目确定的图4的表400,并且将使将导致移除简档和相关联的内容的命令中继或以其他方式转发到设备1234,在各种实施例中不影响与其他实体和/或拥有者就个人而言相关联的简档和/或内容。
进一步参考图4中示出的示例,相同的两个企业已经被准予关于被安装在设备1234上的应用的权限,但在该示例中用户(例如,设备拥有者)已经向企业准予稍微不同的特权。具体地,在该示例中,用户已经向“企业1”准予安装应用以及移除或获得仅由该企业安装的那些应用的详细目录的权利。相比之下,在该示例中“企业2”已经被准予安装、移除或获得设备上的所有应用的详细目录的权限。在该示例中,第二企业可以具有员工提供设备1234上的应用的该较高级别的权限的策略或要求,而第一企业可以仅要求其被给予对由该企业安装的应用的控制。在其他示例中,可以存在不同的要求,并且设备的用户/拥有者可以以各种级别的粒度和特异性分配和/或限制权限。
在一些实施例中,开着的设备或基于云的MDM代理器,诸如图1的MDM代理器120或图2的MDM代理器200,可以促进由MDM服务器和/或应用服务器对已经被准予给它们的权限的行使,所述权限如在图4中示出的示例中那样,经受由用户/拥有者指定的限制和资格。
在图4中示出的示例中,受限的管理权限已经被准予给“应用服务器1”,例如在图1中示出的示例中的应用服务器150。在各种实施例中,受限的MDM功能可以被内置于应用服务器侧上的应用中,以使得对设备的应用相关的控制能够被行使。例如,MDM模块或插件可以被提供,或者软件开发套件(SDK)或其他代码被提供并包括在应用服务器处运行的应用代码中,和/或应用开发者可以写代码来调用MDM代理器的应用编程接口(API)以使得MDM功能能够被结合和/或提供。
在图4中示出的示例中,“应用服务器1”已经被准予关于“设备下锁”的权限,但经受将应用限制到能够设置“相机捕捉锁定”以防止屏幕捕捉的“过滤器”。例如,应用(例如,Snapchat™)可以希望提供通信的隐私和/或通信的短暂性质将不通过设备屏幕捕捉而被损害的保证,并且可以要求用户准予权限(诸如在图4中示出的权限)作为使用应用的条件。在各种实施例中,应用服务器可以使用权限的这样的准予,例如用以在应用服务器促进的连接或会话的开始时经由MDM代理器向设备发送命令。
在各种实施例中,云业务接合器可以将设备数据业务接合到因特网、企业后端和/或中继委托服务器,这取决于接合器已经被如何配置。在一些实施例中,接合器可以被配置成保护业务(例如,过滤、加密等)。在图4中示出的示例中,第一企业(“企业1”)已经被准予将设备1234与其相关联的业务接合器配置成接合与企业1相关联的业务的权限,在该示例中权限的范围被定义为与“ent1.com”域相关联的业务。第二企业(“企业2”)已经被准予关于在被指示的范围中的业务关联的IP地址来配置业务接合器的权限,其可以对应于企业的内部网络,例如,内联网。
在各种实施例中,在图4中示出的权限的准予可以使得相应的MDM服务器能够经由与MDM代理器的交互将业务接合器配置成将与每个相应的企业相关联的业务接合到与该企业相关联的委托或其他节点。例如,参考图2,MDM服务器100、102可以经由协议230、232与MDM代理器200交互以使得接合器210被配置成经由通信220将每个企业的业务路由到由该企业指定的目的地,例如在MDM服务器100的情况下到委托215或在MDM服务器102的情况下到委托217。在一些实施例中,MDM/应用服务器或另一节点可以充当业务委托。
图5是图示了配置移动业务接合器的过程的实施例的流程图。在各种实施例中,可以由诸如图1的业务接合器270之类的业务接合器来执行图5的过程。在示出的示例中,例如从诸如图1的MDM代理器200之类的MDM代理器接收(502)业务路由数据。例如,诸如图1的MDM服务器100之类的MDM权限可能已经经由MDM代理器200发送指示与和MDM服务器100相关联的域和/或子网相关联的数据通信的配置数据应该被(重新)导向到诸如委托215之类的委托以提供到例如企业内联网或其他私有网络的安全连接性。一个或多个过滤策略可以(在一些实施例中可选地)被接收(504)。过滤策略的示例没有限制地包括用以防止企业或其他管理的内容被发送到公共因特网等的策略。一个或多个内处理策略可以(在一些实施例中可选地)被接收(506)。内处理策略的示例没有限制地包括用以在企业或其他管理的内容数据被发送到公共因特网之前对这样的数据加密的策略。如可适用的业务路由、过滤和/或内处理被配置成例如通过诸如在图2中示出的那些的可适用处理模块来执行(508)。
图6是图示了通过支付实体计量移动数据业务的过程的实施例的流程图。在各种实施例中,图6的过程可以由诸如图1的业务接合器270之类的业务接合器执行。在示出的示例中,如由路由配置数据指示的那样来路由业务(602)。例如,与企业相关联的移动设备业务可以经由诸如MDM代理器200之类的MDM代理器路由到诸如图1的委托215之类的委托,如由例如图1的MDM服务器100的相关联的MDM服务器配置的那样。由管理域存储反映数据业务使用的统计(例如,企业1对企业2对公共因特网)。按调度(在各种实施例中,或应要求、如由策略触发的那样等),数据使用报告被生成并且被例如经由诸如MDM代理器200之类的MDM代理器提供到相应的被指定的报告接收者(606)。在一些实施例中,可以基于数据使用报告来生成自动的补偿支付(608)。例如,MDM代理器和/或MDM服务器可以接收报告并且向移动设备的拥有者/用户自动地生成补偿支付以针对与个人移动设备访问基于企业网络的资源的使用相关联的数据计划使用和/或成本补偿拥有者/用户。
在各种实施例中,本文中公开的技术可以被用来使得与多个不同的管理域(例如,个人、一个或多个企业等)相关联的移动设备业务能够基于由每个域的相应的移动设备管理(MDM)权限建立的偏好和设置而被控制、过滤、修改、导向/重新导向等。本文中公开的技术可以使得移动设备业务能够被控制和保护,如由企业或数据的其他拥有者期望的那样。在一些实施例中,由管理域的使用可以被计量,使得部分补偿能够被提供到使用其个人移动设备执行用于企业或其他实体的工作的员工。
尽管出于理解的清楚的目的已经相当详细地描述了前述实施例,但本发明未限制于所提供的细节。存在实现本发明的许多替代方式。所公开的实施例是说明性的且不是限制性的。
Claims (20)
1.一种管理移动设备的方法,包括:
在业务接合器从移动设备接收与目的地相关联的网络通信;
使用与移动设备相关联的被存储的路由数据来至少部分地基于目的地决定将网络通信重新导向到与目的地相关联的委托;
将网络通信发送到与目的地相关联的委托;以及
通过业务接合器计量从移动设备到与目的地相关联的委托的业务使用,其中计量的业务使用包括在移动设备和与目的地相关联的委托之间的数据业务的度量。
2.根据权利要求1所述的方法,其中业务接合器被配置成接收和存储所述路由数据。
3.根据权利要求2所述的方法,其中通过与目的地相关联的MDM权限经由MDM代理器来提供路由数据。
4.根据权利要求1所述的方法,其中目的地包括域或其部分。
5.根据权利要求1所述的方法,其中目的地包括子网络或其他IP地址范围。
6.根据权利要求1所述的方法,进一步包括使用被存储的策略来决定对网络通信进行过滤。
7.根据权利要求6所述的方法,其中对网络通信进行过滤包括阻止或移除包括网络通信的数据的至少一部分。
8.根据权利要求1所述的方法,进一步包括使用被存储的策略来决定执行关于网络通信的内处理。
9.根据权利要求8所述的方法,其中内处理包括对包括网络通信的数据的至少一部分加密。
10.根据权利要求1所述的方法,其中委托与和目的地相关联的MDM服务器相关联。
11.根据权利要求1所述的方法,进一步包括更新与目的地相关联的使用统计以反映网络通信。
12.根据权利要求11所述的方法,进一步包括使用使用统计来生成报告。
13.根据权利要求11所述的方法,进一步包括使用使用统计来生成自动的补偿支付。
14.一种管理移动设备的系统,包括:
通信接口;以及
处理器,其被耦合到通信接口并且被配置成:
经由通信接口在业务接合器从所述移动设备接收与目的地相关联的网络通信;
使用与移动设备相关联的被存储的路由数据来至少部分地基于目的地来决定将网络通信重新导向到与目的地相关联的委托;以及
将网络通信发送到与目的地相关联的委托;
通过业务接合器计量从移动设备到与目的地相关联的委托的业务使用,其中计量的业务使用包括在移动设备和与目的地相关联的委托之间的数据业务的度量。
15.根据权利要求14所述的系统,进一步包括被配置成存储所述路由数据的存储设备。
16.根据权利要求15所述的系统,其中处理器被进一步配置成经由管理用户接口接收所述路由数据的定义并且被配置成将所述路由数据存储在所述存储设备中。
17.根据权利要求16所述的系统,其中通过与目的地相关联的MDM权限经由MDM代理器提供路由数据。
18.根据权利要求14所述的系统,其中目的地包括子网络或其他IP地址范围。
19.根据权利要求14所述的系统,其中处理器被进一步配置成使用被存储的策略来决定对网络通信进行过滤。
20.一种非瞬时计算机可读存储介质,包括计算机指令,用于:
在业务接合器从移动设备接收与目的地相关联的网络通信;
使用与移动设备相关联的被存储的路由数据来至少部分地基于目的地来决定将网络通信重新导向到与目的地相关联的委托;
将网络通信发送到与目的地相关联的委托;以及
通过业务接合器计量从移动设备到与目的地相关联的委托的业务使用,其中计量的业务使用包括在移动设备和与目的地相关联的委托之间的数据业务的度量。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201461973086P | 2014-03-31 | 2014-03-31 | |
US61/973086 | 2014-03-31 | ||
PCT/US2015/023716 WO2015153686A1 (en) | 2014-03-31 | 2015-03-31 | Mobile device traffic splitter |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106663165A CN106663165A (zh) | 2017-05-10 |
CN106663165B true CN106663165B (zh) | 2020-02-28 |
Family
ID=54192366
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201580016522.3A Active CN106663165B (zh) | 2014-03-31 | 2015-03-31 | 移动设备业务拆分器 |
Country Status (4)
Country | Link |
---|---|
US (2) | US9854443B2 (zh) |
EP (1) | EP3127035B1 (zh) |
CN (1) | CN106663165B (zh) |
WO (1) | WO2015153686A1 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11290912B2 (en) | 2011-12-14 | 2022-03-29 | Seven Networks, Llc | Mobile device configured for operating in a power save mode and a traffic optimization mode and related method |
DE102015014168A1 (de) * | 2015-11-03 | 2017-05-04 | Secardeo Gmbh | Verfahren zur Verteilung privater Schlüssel von Benutzern auf Mobilgeräte |
US9935955B2 (en) * | 2016-03-28 | 2018-04-03 | Zscaler, Inc. | Systems and methods for cloud based unified service discovery and secure availability |
US11533307B2 (en) | 2016-03-28 | 2022-12-20 | Zscaler, Inc. | Enforcing security policies on mobile devices in a hybrid architecture |
US11363022B2 (en) * | 2016-03-28 | 2022-06-14 | Zscaler, Inc. | Use of DHCP for location information of a user device for automatic traffic forwarding |
US11962589B2 (en) | 2016-03-28 | 2024-04-16 | Zscaler, Inc. | Disaster recovery for a cloud-based security service |
US11985129B2 (en) | 2016-03-28 | 2024-05-14 | Zscaler, Inc. | Cloud policy enforcement based on network trust |
US11297058B2 (en) * | 2016-03-28 | 2022-04-05 | Zscaler, Inc. | Systems and methods using a cloud proxy for mobile device management and policy |
US10650621B1 (en) | 2016-09-13 | 2020-05-12 | Iocurrents, Inc. | Interfacing with a vehicular controller area network |
US11196827B2 (en) * | 2019-10-30 | 2021-12-07 | At&T Intellectual Property I, L.P. | Data management for connected devices |
US11949663B2 (en) | 2020-05-21 | 2024-04-02 | Zscaler, Inc. | Cloud-based tunnel protocol systems and methods for multiple ports and protocols |
CN115809936A (zh) * | 2023-01-30 | 2023-03-17 | 北京四方启点科技有限公司 | 一种报销申请单生成方法和装置 |
Family Cites Families (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6754470B2 (en) * | 2000-09-01 | 2004-06-22 | Telephia, Inc. | System and method for measuring wireless device and network usage and performance metrics |
US7209977B2 (en) * | 2001-10-01 | 2007-04-24 | International Business Machines Corporation | Method and apparatus for content-aware web switching |
AU2003228415A1 (en) * | 2002-03-29 | 2003-10-13 | Network Genomics, Inc. | Systems and methods for end-to-end quality of service measurements in a distributed network environment |
US20070081543A1 (en) * | 2005-10-11 | 2007-04-12 | Manrique Brenes | Network utilization control apparatus and method of using |
US7808919B2 (en) * | 2008-03-18 | 2010-10-05 | Cisco Technology, Inc. | Network monitoring using a proxy |
US8924469B2 (en) * | 2008-06-05 | 2014-12-30 | Headwater Partners I Llc | Enterprise access control and accounting allocation for access networks |
US7948986B1 (en) * | 2009-02-02 | 2011-05-24 | Juniper Networks, Inc. | Applying services within MPLS networks |
CN101599901B (zh) * | 2009-07-15 | 2011-06-08 | 杭州华三通信技术有限公司 | 远程接入mpls vpn的方法、系统和网关 |
US8170016B2 (en) * | 2009-11-30 | 2012-05-01 | At&T Intellectual Property I, Lp | Packet flow offload to remote destination with routing bypass |
US8856300B2 (en) * | 2010-05-18 | 2014-10-07 | At&T Intellectual Property I, L.P. | End-to-end secure cloud computing |
US8484568B2 (en) * | 2010-08-25 | 2013-07-09 | Verizon Patent And Licensing Inc. | Data usage monitoring per application |
US8352630B2 (en) | 2010-09-01 | 2013-01-08 | Sonus Networks, Inc. | Dynamic classification and grouping of network traffic for service application across multiple nodes |
US8464335B1 (en) | 2011-03-18 | 2013-06-11 | Zscaler, Inc. | Distributed, multi-tenant virtual private network cloud systems and methods for mobile security and policy enforcement |
US9065800B2 (en) * | 2011-03-18 | 2015-06-23 | Zscaler, Inc. | Dynamic user identification and policy enforcement in cloud-based secure web gateways |
US9119017B2 (en) | 2011-03-18 | 2015-08-25 | Zscaler, Inc. | Cloud based mobile device security and policy enforcement |
US8560663B2 (en) * | 2011-09-30 | 2013-10-15 | Telefonaktiebolaget L M Ericsson (Publ) | Using MPLS for virtual private cloud network isolation in openflow-enabled cloud computing |
US20140040979A1 (en) * | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
WO2013090212A1 (en) * | 2011-12-14 | 2013-06-20 | Seven Networks, Inc. | Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system |
US9198016B2 (en) | 2012-09-04 | 2015-11-24 | Active Network, Llc | Enterprise wireless device usage reporting |
US8874761B2 (en) * | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
-
2015
- 2015-03-31 WO PCT/US2015/023716 patent/WO2015153686A1/en active Application Filing
- 2015-03-31 CN CN201580016522.3A patent/CN106663165B/zh active Active
- 2015-03-31 EP EP15773800.6A patent/EP3127035B1/en active Active
- 2015-03-31 US US14/675,475 patent/US9854443B2/en active Active
-
2017
- 2017-11-16 US US15/815,451 patent/US10595205B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN106663165A (zh) | 2017-05-10 |
EP3127035A1 (en) | 2017-02-08 |
US10595205B2 (en) | 2020-03-17 |
EP3127035B1 (en) | 2020-02-12 |
WO2015153686A1 (en) | 2015-10-08 |
US9854443B2 (en) | 2017-12-26 |
US20150282041A1 (en) | 2015-10-01 |
EP3127035A4 (en) | 2017-09-13 |
US20180077577A1 (en) | 2018-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106663165B (zh) | 移动设备业务拆分器 | |
US11457070B2 (en) | Virtual hosting device and service to provide software-defined networks in a cloud environment | |
RU2765567C2 (ru) | Провайдер доступа к базовой сети | |
CN106537368B (zh) | 移动设备管理代理器 | |
US10122761B2 (en) | Device authentication based upon tunnel client network requests | |
US11792202B2 (en) | TLS policy enforcement at a tunnel gateway | |
US10523636B2 (en) | Enterprise mobility management and network micro-segmentation | |
US20070143408A1 (en) | Enterprise to enterprise instant messaging | |
US20140020062A1 (en) | Techniques for protecting mobile applications | |
EP3459222A1 (en) | Device authentication based upon tunnel client network requests | |
US9727747B1 (en) | Location and time based mobile app policies | |
US10178127B2 (en) | Secured mobile communications device | |
KR101219662B1 (ko) | 클라우드 서비스 보안 시스템 및 그 방법 | |
US10375055B2 (en) | Device authentication based upon tunnel client network requests | |
US10936674B2 (en) | Policy-based trusted peer-to-peer connections | |
Seneviratne et al. | Integrated Corporate Network Service Architecture for Bring Your Own Device (BYOD) Policy | |
Maximov et al. | 5G-ENSURE D2. 4: Security Architecture (draft) | |
Pourzandi et al. | Setting up virtual security zones in a Linux cluster |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |