申请/专利权人：特夫诺斯公司

申请日：2015-11-06

公开（公告）日：2020-10-16

公开（公告）号：CN107209659B

主分类号：G06F7/04(20060101)

分类号：G06F7/04(20060101)

优先权：["20141107 US 62/076,703","20150107 US 62/100,816","20151105 US 14/934,051"]

专利状态码：有效-授权

法律状态：2020.10.16#授权;2017.11.14#实质审查的生效 ;2017.11.14#实质审查的生效;2017.09.26#公开

摘要：使用移动网络认证因素对移动装置进行认证的系统、方法和非暂时计算机可读存储介质。

主权项：1.一种存储指令的非暂时计算机可读介质，当由服务器的一个或多个计算机处理器执行时，所述指令促使所述服务器：接收向移动虚拟网络操作者MVNO托管的移动认证平台注册移动装置的请求；建立专用连接，该专用连接用于通过所述MVNO托管的移动认证平台向由所述服务器管理的企业网络路由来自运营商网络的请求；通过所述专用连接从所述移动装置接收访问所述企业网络的访问请求；由所述MVNO托管的移动认证平台检查提出所述请求的所述移动装置的网络标识符；由所述MVNO托管的移动认证平台检查为所述企业网络的成员分配给移动装置的网络标识符的数据库，以确定所述移动装置是被所述企业的成员使用，其中基于所述移动装置的一个或多个移动认证因素将所述网络标识符分配给所述移动装置；通过所述专用连接从所述移动装置接收通过所述企业网络访问资源的资源请求；从所述资源请求提取一个或多个资源请求因素；以及当所述一个或多个移动认证因素分别与所述一个或多个资源请求因素相对应时，由所述MVNO托管的移动认证平台对要通过所述专用连接访问所述资源的所述移动装置进行认证。

全文数据：移动虚拟网络中的移动认证[0001]相关申请的交叉参考[0002]本申请案主张2014年11月7日递交的美国临时申请号62076,703以及2015年1月7日递交的美国临时申请号62100，Sl6的优先权，所述申请的每个均以应用方式明确全文并入本文中。技术领域[0003]本发明技术涉及网络认证，并且更确切地说，涉及移动网络中的认证装置。背景技术[0004]企业通信网络通过标识授权用户、具有硬件标识符例如，以太网MAC地址）的授权装置例如，计算机、打印机和电话）以及可用于连接装置的具有已知位置的授权路由器，并且基于活动和用户的内容时间、装置标识符deviceld、假定装置类型以及参与该活动的路由器来对访问和使用进行调节，从而确保安全性。通常，此调节采用基于路由器分配装置IP地址，并且使用与所分配的IP地址相关的规则控制流量路由的形式。因此，装置的物理接入控制例如，办公室门锁是企业安全的一个重要部分。[0005]但是，用户越来越需要既访问企业，又访问企业网络之外的云服务通常通过移动装置访问），这两个需求导致基于企业IP的传统安全模式面临着挑战。在这些情况下，认证涉及在更强烈密码更换策略下的更频繁的密码挑战，以及各种形式“两种因素验证”技术，这种技术通常采用会通过另一种渠道语音呼叫、SMS或securlD卡）向用户发送临时唯一代码并且让用户在其密码之外输入该代码的形式。不断提高的密码挑战以及第二种因素挑战的提高均会给用户带来不便并且中断流量。密码会遭受各种形式的攻击，包括网络钓鱼、密码猜测、跨网站脚本和各种中间人攻击。由于各种呼叫和SMS转发服务，SMS和语音呼叫第二种因素挑战存在弱点。Securld要求用户记住携带另一个物理装置，而该物理装置在不使用时可能失窃，用户在下一挑战之前不会发现。这些技术均无法提供基于网络的位置信息，这种位置信息通常是有用的安全启发式信息。[0006]云服务例如，SalesForce可以通过允许来自特定企业网络通过企业单点登录服务或VPN进行的授权接入的配置来实现提高安全性，但是这就意味着，移动用户由于必须登入、且然后登出企业网络才能访问这些服务，因此网络延时增加。[0007]企业和云服务需要一种认证和保护与移动装置的会话的有效方式，以及使用现场网络硬件的直接接入方式。有所帮助的是，现代移动装置通常配有SIM卡，这样允许密码保护存在挑战的响应通信，其验证拥有运营商所用的物理SIM，以出于访问和计费目的而对移动网络认证移动装置。发明内容[0008]本公开案的其他特征和优点将在以下说明中阐述，它们的一部分可从说明书中明显，或者可以通过实践本文所公开的原理而习得。本公开案的特征和优点可以通过随附权利要求书中特别指出的仪表和组合而意识到并且获得。本公开案的这些和其他特征将从以下说明和随附权利要求书中完全清楚地了解，或者可以通过实践本文中所述的原理而习得。[0009]本发明技术的一些实施方案涉及用于为企业和云服务访问控制系统提供有权限访问移动认证因素的系统、方法和计算机可读介质。所述移动认证因素可以直接提供给与装置无线连接的移动运营商或者移动虚拟网络操作者MVN0。[0010]本发明技术还可以涉及一种用作互联网服务提供商（ISP或网关的安全系统，供移动装置访问企业网络和互联网。在一些实施方案中，所述安全系统可以向移动装置分配IP地址并且可以进行流量路由。[0011]一些实施方案涉及一种托管移动认证平台的移动虚拟网络操作者MVN0，其将移动装置注册为企业的一部分，基于装置标识符向所述装置分配网络标识符，并且当请求装置具有匹配网络标识符和或诸如位置信息等其他匹配的移动认证信息时，对网络资源的请求进行认证。[0012]MVN0托管的移动认证平台可以从移动装置接收访问企业网络的请求。当移动装置与蜂窝塔联系时，移动装置可以指定接入点名称APN，该接入点名称表明移动装置连接到MVN0托管的移动认证平台并且移动移动认证平台检查提出请求的移动装置的网络标识符。MVN0托管的移动认证平台可以维持分配给企业网络注册成员的移动装置的网络标识符的数据库，以确定企业成员使用移动装置。[0013]所述网络标识符可以基于移动装置的一个或多个移动认证因素，包括SIM号、MAC地址、一个或多个位置标识符等而分配给移动装置。[0014]一旦MVN0托管的移动认证平台为装置配置了网络标识符，所述装置可以提起经由企业专有连接访问资源的资源请求。当接收到资源请求时，MVN0托管的移动认证平台可以提取一个或多个资源请求因素例如请求装置的IP地址、由低层操作系统确定的装置位置等并且当移动认证因素分别与一个或多个资源请求因素相对应时，可以对移动装置进行认证。附图说明[0015]为了描述可以获得本公开案的上述和其他优点和特征的方式，将参考附图描绘的特定实施方案对上文简述原理进行更确切说明。在理解这些附图仅描绘本公开案的示例性实施方案并且因此而不视作为本发明范围的限制的前提下，通过使用附图更确切并且详细地描述和解释本文中的原理，在附图中：[0016]图1示出根据本发明技术的一些实施方案的移动网络环境中的移动认证平台的实例；[0017]图2示出根据本发明技术的一些实施方案的向MVN0托管移动认证平台注册移动装置的方法；[0018]图3示出根据本发明技术的一些实施方案的在MVN0托管移动认证平台上对移动装置进行认证的方法；[0019]图4示出示例性云计算系统；以及[0020]图5A和图5B示出可能的示例性系统实施方案。具体实施方式[0021]下文将详细描述本公开案的各个实施方案。尽管描述了具体实施，但是应了解，这仅出于说明的目的。相关领域中的技术人员将认识到，可以在不脱离本公开案的精神和范围的前提下使用其他部件和配置。[0022]本发明技术的一些实施方案涉及供无线运营商和移动虚拟网络操作者MVN0用于向企业和云服务访问控制系统提供访问移动因素的权限的系统、方法和计算机可读介质，所述移动因素直接提供给与装置无线连接的移动运营商或MVN0。移动因素可以包括与移动装置相关联的SIM卡号、由可看见所述移动装置的移动塔的所述移动装置的位置、这些移动塔的操作者以及用于验证运营商确实从具有该SIM卡号的装置传输信息的挑战响应界面。它还可以包括装置类型例如，iPhone6sGoogleNexusMiFi。[0023]移动网络运营商可以向移动虚拟网络操作者MNV0提供访问运营商无线电频谱分配和网络基础设施的权限。本公开技术解决本领域中对于基于移动装置认证因素对来自MVN0客户的针对网络资源的请求进行认证的系统、方法和计算机可读介质的需要。[0024]基于移动装置认证因素认证用户为企业、政府和非盈利组织以及其他企业提供了安全解决方案。例如，企业可以向MVN0注册其所有员工成员移动装置，并且MVN0可通过其在运营商与最终用户之间的独特位置，提供确保声明来自移动装置的请求可信任的额外级别的认证。[0025]尽管上文描述了用于对企业成员进行认证的MVN0托管认证服务器，但是受益于本公开案的本领域中的普通技术人员可轻易地认识到，各种用户和网络实体可受益于移动因素认证。[0026]在本发明技术的一些实施方案中，移动认证平台可向认证服务注册移动装置，并且可以检查针对网络资源的请求以确保只有经认证的装置得到资源的访问权限。[0027]所述认证平台可以从移动装置接收访问网络资源的请求。当移动装置与蜂窝塔连接时，移动装置可以指定接入点名称APN，该接入点名称表明移动装置连接到移动认证平台并且移动装置允许认证平台对请求进行检查。所述认证平台可以由各种实体（例如，MVN0、企业、云计算装置等托管，并且当APN指定所述请求是指向托管实体时，所述认证平台接收来自装置的请求。[0028]类似地，当接入点例如，无线路由器将流量路由到认证平台时，所述认证平台可接收由无线网络发起的请求并且验证装置因素例如，MAC地址）。[0029]在一些实施方案中，移动认证平台可以由MVN0托管，并且可以包括一个或多个移动认证服务器、用于注册移动装置的注册引擎以及用于与移动装置协商网络配置参数的网络配置引擎。[0030]在一些实施方案中，所述移动认证平台可为企业提供能力来在企业网络中注册移动装置、存储移动装置的认证信息、监测针对企业资源的请求并且基于预期认证信息与请求中接收到的实际信息匹配而对企业中的移动装置进行认证。[0031]图1示出根据本发明技术的一些实施方案的移动网络环境100中的移动认证平台110的实例。移动网络环境100包括通过一个或多个蜂窝塔130与蜂窝运营商网络130通信的移动装置120a、120b、…120x。[0032]移动认证平台110可以由移动虚拟网络操作者MVN0托管。MVN0可以针对企业注册装置，以使用移动认证平台110。例如，可以公布企业管理员网络界面135并且企业管理员可以使用该企业管理员网络界面登录移动因素认证，以注册用户装置、定义许可等。移动认证平台110还可以包括用于接收注册数据的注册引擎145以及用于存储关于已注册装置的信息的移动装置数据库150。例如，企业管理员可以通过在企业管理网络界面135中输入现有装置地址例如，MAC地址、用户标识模块SM号等来注册移动装置，并且注册引擎145可以使移动装置数据库150存储属于作为企业一部分的移动装置的装置地址记录。[0033]此外，如下文进一步详述，当向移动认证平台110注册移动装置时，MVN0可以在移动装置120a、12〇b、…120x的一个或多个与移动认证平台110之间布置专用连接。否则，来自移动装置1203、1201、〜1205[的请求可以涉及通过公共互联网115和防火墙105发送来自移动装置120a、120b、…120x的流量的传统工作流。[0034]移动认证平台110还可以包括安全系统，所述安全系统使用移动认证因素确定允许访问企业资源的时间以及互联网请求的路由方式。所述安全系统可以是认证服务器125，并且当移动装置120a、l2〇b、…120x的一个或多个连接到移动认证平台110时，认证服务器125可以对装置进行认证。移动认证平台110还可以包括向请求装置提出一个或多个挑战的防火墙155。[0035]认证服务器125和或防火墙155可以确定何时允许移动装置访问互联网115以及或者访问一个或多个访问受限资源190。例如，认证服务器125可以限制已经向企业注册的移动装置对企业资源的访问。[0036]此外，移动认证平台110可以包括网络配置引擎160,所述网络配置引擎通过移动认证平台110向请求访问网络资源的装置分配网络地址（例如，IP地址）。例如，当向移动认证平台110注册的移动装置尝试访问互联网115或访问受限资源190时，网络配置引擎160可以与装置协商并且为装置分配网络地址。此外，网络配置引擎160可以从请求装置访问一个或多个认证因素（例如，唯一用户标识模块SIM号、装置位置以及装置位置附近的一个或多个移动塔的标识等），并且可以使用认证因素来生成网络地址。移动认证平台110可以将认证因素存储在移动装置数据库150中，并且之后，当接收到来自装置或者声称是该装置、电子欺骗该装置等的装置的资源请求时，移动认证平台110可以使用网络地址来访问认证因素。[0037]接下来，认证服务器125可以从所述请求提取来自请求装置的实际因素，并且当预期移动认证因素与来自请求的一个或多个实际因素相对应时，可以对移动装置进行认证。例如，认证服务器125可以标记来自网络地址与网络配置引擎160分配的网络地址不同的已注册移动装置的网络资源请求。[0038]除了要求网络地址与己分配的网络地址相匹配之外，认证服务器125可以从网络请求进一步提取认证因素，并且与为所述移动装置存储的认证因素进行比较。例如，认证服务器125可以使用来自装置低层操作系统的蜂窝三角测量来访问位置标识，并且使用此位置数据作为实际因素，并且当网络配置引擎ieo已向移动装置分配网络地址时，所述实际因素需要与为移动装置存储的预期位置数据例如，基于应用层位置数据相匹配。[0039]由于当前系统依赖于用户装置来提供用于验证用户身份的有意义信息，因此所述当前系统可能会被滥用。例如，如果用户装置已经以特定方式被污染，则所述装置可能通过应用层将其位置呈现为与其实际位置存在一定差异。由于移动装置上最常访问的应用层不是底层网络访问操作系统，因此可以收集确认装置位置的第二启发式信息，而不依赖于顶层操作系统。[0040]为进一步解释，在一些装置上，存在顶层操作系统，其可能包含用户使用IP连接尝试进行认证的应用。当提出认证请求时，认证服务器125将使用装置低层操作系统例如，使用蜂窝塔接收的SIMIMSI信号的信号强度）向手机操作者的移动网络提出请求位置标识的请求。由于低层操作系统的接入负担高于顶层操作系统，因此，攻击者欺诈这两层位置身份的可能性很低。通过将低层操作系统提供的信息与顶层应用签名匹配，可以更确定地确认用户的身份。[0041]移动装置120a、120b、…120x与MVN0托管移动认证平台110之间的专用连接降低第三方参与中间人攻击的几率，并且缩短移动装置120a、120b、…120x与企业之间的通信延时。此外，相对于应用级密码而言，使用移动网络认证因素以高于大多数其他形式的两种因素或无密码认证的便利性和安全性，为与其通信的移动装置提供更好的启发式认证。此外，使用虚拟网络提供移动运营商本身的额外保护，并且允许降低与其他网络进行协商安全连接的延时企业网络，而不是在更长延时移动连接上迫使公共秘钥会话协商并且关闭不安全连接）。[0042]MVN0托管移动认证平台可以支持整个企业并且注册其所有移动装置。移动认证平台还可以为企业提供用于管理其移动舰队的管理工具、接口等。[0043]企业可以通过注册用户现有装置标识符（例如，SIM号、MAC地址等或者从MVN0托管移动认证平台订购已经注册的装置来引入新移动装置。通过任一种方式，认证平台可以针对企业注册装置、提供允许企业装置使用认证平台的专用连接，使用所述专用连接对请求进行认证，并且基于使用量对企业计费。[0044]图2示出根据本发明技术的一些实施方案的向MVNO托管移动认证平台注册移动装置的方法200。方法200涉及205,即接收向MVN0托管移动认证平台注册一个或多个移动装置的请求。如上所述，可以从企业管理员提出请求，并且可以通过注册现有装置标识符例如，SIM号、MAC地址等）、订购已经向认证平台注册的新装置、为已经向认证平台注册SIM卡的现有装置订购SM卡来提出请求。[0045]方法200还可以涉及210,即MVN0托管移动认证平台存储企业移动装置的装置数据和用户概况数据。例如，MVN0托管移动认证平台可以存储标识用户在企业中位置的用户数据例如，用于执行许可）。[0046]可任选地，方法200可以涉及215,即MVN0托管移动认证平台从已注册移动装置的用户请求一个或多个授权。例如，MVN0托管移动认证平台可以请求用户同意MVN0托管移动认证平台使用其位置数据来对移动装置进行认证。此外，MVN0托管移动认证平台可以请求用户是否想要加入MVNO托管移动认证平台，所述MVN0托管移动认证平台访问用户个人数据来更好地对用户进行认证。例如，用户可以加入以允许MVNO托管移动认证平台访问用户日历信息、数字行程信息例如，通过航空应用）、通勤应用例如，Uber以确定用作认证因素的用户位置。[0047]一旦企业向MVN0托管移动认证平台注册移动装置，方法2〇〇可以涉及220,即MVNO托管移动认证平台建立专用连接，从而通过MVN0托管移动认证平台为向MVN0托管移动认证平台注册的所有装置路由来自运营商网络的请求。[0048]方法200还涉及225,即当移动装置请求资源时，MVN0托管移动认证平台中的网络配置引擎基于装置标识符、位置信息等向装置分配网络地址例如，IP地址）。[0049]之后，当使用已注册装置请求资源时，方法200涉及230,即MVN0托管移动认证平台基于用量向企业计费。[0050]MVN0托管移动认证平台接入企业的成员之后，认证服务器可以通过专用连接检查针对资源的请求，并且当预期移动认证因素（网络地址、位置数据等）与针对资源的请求中的数据匹配时，对提出请求的装置进行认证。[0051]图3示出根据本发明技术的一些实施方案的在MVN0托管移动认证平台上对移动装置进行认证的方法300。方法300涉及305,即接收使用与企业网络的专用连接的请求，以及310,即确定该请求是从企业的成员接收的。[0052]接下来，方法300涉及315,即收集关于提出请求的移动装置的装置数据。例如，MVN0托管移动认证平台可以收集装置标识符例如，S頂号、MAC地址等和其他认证因素，例如，来自运营商的位置数据。方法300随后涉及320，即MVN0托管移动认证平台的网络配置引擎基于为移动装置收集的装置数据和认证因素数据向移动装置分配网络地址。[0053]方法300涉及325,即针对适当网络地址以及与预期认证因素匹配的额外认证因素，使用专用连接检查针对资源的后续请求。例如，当请求是从具有网络配置引擎所分配的IP地址的装置接收到的，并且当之前从应用层收集的位置数据与基本频带层在请求期间报告的位置数据相匹配时，MVN0托管移动认证平台可确定允许该网络流量。[0054]方法300涉及330,即当预期认证因素与装置信息匹配时，对移动装置进行认证。可任选地，方法300涉及335,即通过基于从请求中提取的数据查找装置用户概况来检查移动装置的一组许可。基于正在接受认证的装置和或许可，方法300可以涉及340,即向经认证的装置提供访问网络的权限，以及345,即，当装置具有适当许可时，提供访问受限企业资源的访问权限。类似地，企业可以通过限制来自具有基于与被禁止装置相关联的SIM的IP地址的移动装置的请求，在某些移动装置上阻止某些网络资源例如，社交媒体网站）。[0055]在本发明技术的一些实施方案中，移动认证平台还可以为在企业内提供额外功能的移动装置进行注册。例如，企业管理员可以注册基于蜂窝网络的热点装置，所述热点装置可以在移动认证平台上进行认证，并且可以用于提供与其他装置的连接。例如，基于蜂窝网络的热点装置可以用作WiFi路由器并且连接到打印机，以便使用专用连接的移动装置可以使用打印机。除了基于蜂窝网络的热点装置SIM卡信息之外，管理员可以使用移动认证平台注册企业中的基于蜂窝网络的热点装置功能，以便其他移动装置可以发现打印机。[0056]如上所述，尽管上文描述了用于对企业成员进行认证的MVN0托管认证服务器，但是受益于本公开案的本领域中的普通技术人员可轻易地认识到，各种用户和网络实体可受益于移动因素认证。[0057]一些实施方案包括维护以下信息的数据库的安全系统：用户、获得授权用于进行连接的SIM、可以传输与这些S顶相关联的流量的运营商以及这些装置能够代表这些用户连接的位置可通过选择加入以分享个人数据的用户的时刻和日历进行更新），以及关于从特定位置的特定装置用户以该位置和运营商的特定置信度水平可以实现的策略。一些实施方案包括仅维护这些访问约束中的子集的安全系统。L0058J在一些实施方案中，安全系统用作帮助移动装置访问企业网络和互联网的互联网服务提供商ISP或网关。在一些实施方案中，所述安全系统可以向移动装置分配1?地址并且可以进行流量路由。[0059]在一些实施方案中，企业级移动装置管理MDM软件安装在移动装置上，以要求所述移动装置仅通过具有这些安全属性的企业VPN与互联网通信。这样允许企业完全查看所有装置活动，如问它们是在企业物理网络上一样。[0060]本发明技术的一些实施方案包括采用通过MVNO平台或其他网络访问企业资源的形式的云计算。云计算是一种类型的基于互联网的计算，其中托管了各种资源和或通过实体控制这些资源并且由该实体经由互联网将这些资源提供给授权用户。图4中示出示例性云计算系统配置400,其中各种电子装置可以出于交换内容和其他数据的目的而经由网络进行通信。所述系统可以配置成用在促使电子装置相互通信的各种网络配置上。例如，图4中的系统400的每个部件可以以局部化或分布式方式在网络中实施。[0061]系统400可以配置成包括云计算资源420。云资源可以包括各种硬件和或软件资源，例如云服务器422、云数据库424、云存储装置4加、云网络428、云应用、云平台和或任何其他基于云的资源。在一些情况下，云资源是分布式的。例如，云存储装置426可以包括多个存储装置。在一些情况下，云资源可以分布到多个云计算系统和或各个启用网络的计算装置。例如，云计算资源42〇可以与服务器404i、4042、…、404n统称为“404”）、数据库406和或任何其他启用网络的计算装置通信，以提供云资源。[0062]此外，在一些情况下，云资源可能是冗余的。例如，如果云计算资源420配置成提供数据备份服务，则可以存储数据的多个副本以使如果一个存储资源不可用，则数据仍然对用户可用。在另一个实例中，如果云计算资源420配置成提供软件，则可从不同云服务^使用所述软件，以便可以从最近的服务器提供所述软件。[0063]在系统400中，用户通过经由直接和或间接通信连接到网络的用户终端4〇2i、4〇22、…、401统称为“4〇2”）与云计算资源42〇交互。云计算资源420可以支持来自各种不同电子装置的连接，例如，服务器；台式计算机;移动计算机;手持式通信装置，例如，移动手机、智能手机、平板设备;机顶盒；启用网络的硬盘驱动;和或任何其他启用网络的计算装置。此外，云计算资源420可以同时接受来自多个电子装置的连接并且与这些电子装置交互。[0064]云计算资源420可以通过各种部署模型提供云资源，例如公共、私人、社区、组合和或任何其他云部署模型。在一些情况下，云计算资源420可以支持多个部署模型。例如，云计算资源420可以通过公共部署模型提供一组资源并且通过私人部署模型提供另一组资源。[0065]在一些配置中，用户终端如土可以从互联网位置可用的任何位置访问云计算资源420。但是，在其他情况下，云计算资源42〇可以配置成限制对某些资源的访问，以使资源只能从某些位置访问。例如，如果云计算资源420配置成使用私人部署模型提供资源，则云计算资源42〇可以限制对资源的访问，例如，通过要求用户终端4〇1从防火墙背后访问资源。[0066]云计算资源似0可以通过各种服务模型向用户终端402提供云资源，例如，软件即服务SaaS、平台即服务PaaS、基础设施即服务IaaS和或任何其他云服务模型。在一些情况下，云计算资源420可向用户终端4〇2i提供多个服务模型。例如，云计算资源420可为用户终端401提供SaaS和IaaS两者。在一些情况下，云计算资源420可向不同用户终端402提供不同服务模型。例如，云计算资源420可以为用户终端402:提供SaaS，并且为用户终端4022提供PaaS。[0067]在一些情况下，云计算资源420可以维护账户数据库。账户数据库可以存储已注册用户的概况信息。所述概况信息可以包括资源访问权限，例如用户允许使用的软件、最大存储空间等。所述概况信息还可以包括使用信息，例如，所消耗的计算资源、数据存储位置、安全设置、个人配置设置等。[0068]云计算资源420可以提供需要用户交互的各种功能。因此，可以提供用户界面UI以与云计算资源42〇通信和或执行与云资源相关联的任务。UI可以经由与云计算资源420通信的最终用户终端402:访向。UI可以配置成以各种客户端模式操作，包括胖客户端模式、瘦客户端模式或者混合客户端模式，取决于云计算资源420和或用户终端402i的存储和处理能力。因此，在一些实施方案中，UI可以实施为在用户终端中操作的独立应用。在其他实施方案中，可使用基于网络浏览器的端口来提供UI。在各个实施方案中，还可以使用访问云计算资源420的任何其他配置。[0069]如上所述，在一些配置中，可以使用云计算资源存储用户数据。本公开案预期，在一些情况下，此收集的数据可以包括个人和或敏感数据。本公开案进一步预期，负责此类数据的收集、分析、公开、传输、存储或者其他使用的实体应实施并且不断使用满足或优于行业或政府要求的公认隐私权策略和做法来维持个人信息数据的隐私性和安全性。例如，应收集用户的个人数据，以合法和合理地使用实体，并且用户的个人数据不得在这些合法使用之外共享或销售。此外，此类收集应只在得知用户同意之后发生。此外，此类实体应采取任何必要步骤来保护并且确保访问此类个人数据的安全，并且确保拥有个人数据访问权限的他人遵守其隐私和安全策略和程序。此外，此类实体本身可能需要接受第三方的评估，以证明它们符合公认的隐私策略和做法。[0070]不论以上内容，本公开案还预期用户选择性阻止个人数据的使用或访问的实施方案。也就是说，本公开案预期，可以提供硬件和或软件元件以避免或阻止对此类个人数据的访问。例如，本发明技术可以配置成允许用户选择存储在云存储装置中的数据。[0071]因此，尽管本公开案广泛包括使用个人数据实施一个或多个各种公开实施方案，但是本公开案还预期，还可以在不需要访问此类个人数据的情况下实施各个实施方案。也就是说，不得由于缺乏此类个人数据的全部或一部分而将本发明技术的各个实施方案解释成不可操作的。例如，非个人数据可以存储在云存储装置中。[0072]图5A和图5B示出可能的示例性系统实施方案。实践本发明技术时，本领域中的普通技术人员将明显地了解更适当的实施方案。本领域中的普通技术人员还将易于了解到可能的其他系统实施方案。[0073]图5A示出常规系统总线计算系统体系结构500,其中所述系统的部件使用总线505彼此电气通信。示例性系统500包括处理单元CHJ或处理器510和系统总线505,所述系统总线将各个系统部件包括系统存储器515,例如只读存储器ROM520和随机存取存储器RAM5¾耦合到处理器510。系统500可包括与处理器510直接连接、在所述处理器附近或者集成为所述处理器的一部分的高速存储器的缓存。系统500可以从存储器515和或存储装置530向缓存512复制数据，以供处理器510快速访问。通过这种方式，缓存可以提升性能，进而避免处理器510在等待数据的同时发生延迟。这些和其他模块可以控制或者配置成控制处理器510来执行各个操作。其他系统存储器515也可供使用。存储器515可以包括具有不同性能特性的多种不同类型的存储器。处理器510可以包括任何通用处理器和硬件模块或软件模块，例如存储在存储装置530中的模块1532、模块2534和模块3536,其配置成控制处理器510,以及软件指令并入实际处理器设计的专用处理器。处理器510实质上可以是完全独立的计算系统，其中包含多个核心或处理器、总线、存储器控制器、缓存等。多核处理器可以是对称的或者不对称的。[0074]要使用户能够与计算装置500交互，输入装置545可以表示任何数量的输入机构，例如，用于语音的麦克风、用于手势或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等。输出装置535还可以是本领域中的技术人员已知的若干输出机构中的一个或多个。在一些情况下，多模态系统可以使用户能够提供多种类型的输入以与计算装置500通信。通信界面540可以大体上管控并且管理用户输入和系统输出。对任何特定硬件布置上的操作没有任何限制，且因此，可以轻易地替代此处的基本特征，以改进他们所开发的硬件或固件布置。[0075]存储装置530是非易失性存储器，并且可以是硬盘或可存储计算机能够访问的数据的其他类型的计算机可读介质，例如磁带盒、闪存卡、固态存储装置、数字通用光盘、盒式磁带、随机存取存储器RAM525、只读存储器ROM520及其组合。[0076]存储装置530可以包括用于控制处理器510的软件模块532、534、536。预期存在其他硬件或软件模块。存储装置530可以连接到系统总线505。在一个方面中，执行特定功能的硬件模块可以包括存储在与必要硬件部件连接的计算机可读介质中的软件部件，例如，处理器510、总线505、显示器535等，以执行所述功能。[0077]图5B示出计算机系统550,所述计算机系统具有芯片组体系结构，可用于执行所述方法并且生成和显示图形用户界面GUI。计算机系统550是可用于实施所公开技术的计算机硬件、软件和固件的实例。系统550可以包括处理器555,代表能够执行配置成执行标识的计算的软件、固件和硬件的任意数量的物理和或逻辑独立资源。处理器555可以与芯片组560通信，所述芯片组可以控制处理器555的输入和输出。在此实例中，芯片组560将信息输出到输出端565,例如，显示器，并且可以读取并且写入信息到存储装置570,例如，所述存储装置可以包括磁性介质和固态介质。芯片组560还可以从RAM575读取数据并且向其写入数据。可以提供与各种用户界面部件585连接的电桥580,以便与芯片组560连接。此类用户界面部件585可以包括键盘、麦克风、触摸检测和处理电路、指向装置例如鼠标等。通常，系统550的输入可以来自机器生成和或人工生成的各种来源的任何。[0078]芯片组560还可以与可具有不同物理接口的一个或多个通信接口590连接。此类通信接口可包括用于有线和无线局域网、用于宽频带无线网络以及个人区域网络的接口。用于生成、显示和使用本文中公开的GUI的方法的一些应用可以包括通过分析存储在存储装置570或575中的数据的处理器555,经由物理接口接收所订购或者机器本身生成的数据集。此外，机器可经由用户界面部件585接收来自用户的输入，并且通过使用处理器555解析这些输入来执行适当的功能，例如，浏览功能。[0079]可认识到，示例性系统500和550可以具有多于一个处理器510,或者是联网在一起的计算装置群组或群集中的一部分，以提供更大处理能力。[0080]为清楚说明，在一些情况下，本发明技术可以呈现成包括独立功能块，其中包括装置、装置部件、实施在软件中的方法中的步骤或例程，或者硬件和软件组合。[0081]在一些实施方案中，计算机可读存储装置、介质和存储器可以包括含有位流等的电缆或无线信号。但是，当提及时，非暂时计算机可读存储介质明确排除诸如能量、载波信号、电磁波和信号自身等的介质。[0082]根据上述实例的方法可以使用计算机可读介质存储或以其他方式提供的计算机可执行指令实施。例如，此类指令可以包括促使或以其他方式配置通用计算机、专用计算机或者专用处理装置的指令和数据，以执行特定功能和功能组。所用的计算机资源的一部分可以通过网络获取。例如，计算机可执行指令可以是二进制、中间格式的指令，例如汇编语言、固件或源代码。可用于存储指令、所用信息和或在方法执行期间根据所述实例创建的信息的计算机可读介质的实例包括磁盘或光盘、闪存、设有非易失性存储器的USB装置、联网存储装置等。[0083]实施根据这些公开的方法的装置可以包括硬件、固件和或软件，并且可以采用各种形式因素中的任何因素。此类形式因素的典型实例包括膝上型计算机、智能手机、小型形式因素个人计算机、个人数字助手等。本文中所述的功能也可以在外围设备或插入卡中实施。此类功能还可以在电路板上实施，再如，在单个装置中执行的不同芯片或不同过程之间。[0084]指令、用于传输此类指令的介质、用于执行这些指令的计算资源以及用于支持此类计算资源的其他指令是用于提供本公开案中所述的功能的方式。[0085]尽管使用各种实例和其他信息来说明随附权利要求书的范围内的方面，但是不得基于此类实例中的特定特征或布置而暗示对权利要求书的任何限制，因为本领域中的普通技术人员能够使用这些实例来衍生各种实施。进一步地且尽管己经以特定于结构特征和或方法步骤的实例的语言来描述一些主题，但是应了解，随附权利要求书中定义的主题不一定限制于所述的这些特征或操作。例如，此类功能可以以不同方式分布，或者在本文中所述的部件之外的部件中执行。相反，所述的特征和步骤作为在随附权利要求书范围内的系统部件和方法的实例公开。

权利要求：1.一种存储指令的非暂时计算机可读介质，当由服务器的一个或多个计算机处理器执行时，所述指令促使所述服务器：从移动装置接收访问由所述服务器管理的企业网络的访问请求；检查提出所述请求的所述移动装置的网络标识符；检查为所述企业网络的成员分配给移动装置的网络标识符的数据库，以确定所述移动装置是被所述企业的成员使用，其中基于所述移动装置的一个或多个移动认证因素将所述网络标识符分配给所述移动装置；从所述移动装置接收通过所述企业网络访问资源的资源请求；从所述资源请求提取一个或多个资源请求因素；以及当所述一个或多个移动认证因素分别与所述一个或多个资源请求因素相对应时，对所述移动装置进行认证。2.根据权利要求1所述的非暂时计算机可读介质，其中移动虚拟网络的操作者对所述服务器进行管理。3.根据权利要求1所述的非暂时计算机可读介质，其中所述一个或多个移动认证因素至少包括唯一用户标识模块SM号，并且其中当资源请求因素是所述S顶号时，服务器对所述移动装置进行认证。4.根据权利要求1所述的非暂时计算机可读介质，其中所述一个或多个移动认证因素至少包括应用层衍生的装置位置标识，并且其中当资源请求因素是与所述应用层衍生的装置位置标识相匹配的基本频带衍生的位置标识时，服务器对所述移动装置进行认证。5.根据权利要求1所述的非暂时计算机可读介质，其中所述一个或多个移动认证因素至少包括基于使用所述装置附近的一个或多个移动塔的位置衍生的位置标识符，并且其中当资源请求因素是与基于使用所述装置附近的一个或多个移动塔的位置衍生的所述位置标识符相匹配的蜂窝塔三角测量位置标识时，服务器对所述移动装置进行认证。6.根据权利要求1所述的非暂时计算机可读介质，其中所述指令进一步促使所述服务器：请求移动装置的用户加入，以允许所述服务器访问所述用户的移动装置上的个人位置数据；接收所述用户同意加入，以允许所述服务器访问所述用户的移动装置上的个人位置数据的确认；以及在接收通过所述企业网络访问资源的资源请求之后，访问作为所述资源请求因素的所述用户的个人位置数据，其中所述一个或多个移动认证因素至少包括应用层衍生的装置位置标识，并且其中当所述应用层衍生的装置位置标识与所述用户的个人位置数据相匹配时，所述服务器对所述移动装置进行认证。7.根据权利要求6所述的非暂时计算机可读介质，其中所述用户的个人位置数据包括以下项中的一个或多个：用户住所、用户常用位置、所述用户日历中的位置、从所述移动装置上的行程应用习得的位置以及基于所述移动装置中的上下文数据确定的位置。8.根据权利要求1所述的非暂时计算机可读介质，其中所述指令进一步促使所述服务器：基于所述移动装置的所述网络标识符，确定描述给予所述移动装置的用户的一个或多个许可以访问所述企业网络中的资源的企业标识信息；当所述网络标识符表明所述移动装置的所述用户获得访问所述访问受限资源的许可时，检索所述请求的资源。9.一种计算机实施的方法，所述方法包括：在服务器中，从移动装置接收访问由所述服务器管理的企业网络的访问请求；检查提出所述请求的所述移动装置的网络标识符；检查为所述企业网络的成员分配给移动装置的网络标识符的数据库，以确定所述移动装置是被所述企业的成员使用，其中基于所述移动装置的一个或多个移动认证因素将所述网络标识符分配给所述移动装置；从所述移动装置接收通过所述企业网络访问资源的资源请求；从所述资源请求提取一个或多个资源请求因素；以及当所述一个或多个移动认证因素分别与所述一个或多个资源请求因素相对应时，对所述移动装置进行认证。10.根据权利要求9所述的计算机实施的方法，其中移动虚拟网络的操作者对所述服务器进行管理。11.根据权利要求9所述的计算机实施的方法，其中所述一个或多个移动认证因素至少包括唯一用户标识模块SM号，并且其中对所述移动装置进行认证包括确定所述资源请求因素是所述S頂号。12.根据权利要求9所述的计算机实施的方法，其中所述一个或多个移动认证因素至少包括应用层衍生的装置位置标识，并且其中对所述移动装置进行认证包括确定所述资源请求因素是与所述应用层衍生的装置位置标识相匹配的基本频带衍生的位置标识。13.根据权利要求9所述的计算机实施的方法，其中所述一个或多个移动认证因素至少包括基于使用所述装置附近的一个或多个移动塔的位置衍生的位置标识符，并且其中对所述移动装置进行认证包括确定所述资源请求因素是与基于使用所述装置附近的一个或多个移动塔的位置衍生的所述位置标识符相匹配的蜂窝塔三角测量位置标识。14.根据权利要求9所述的计算机实施的方法，其进一步包括：请求移动装置的用户加入，以允许所述服务器访问所述用户的移动装置上的个人位置数据；接收所述用户同意加入，以允许所述服务器访问所述用户的移动装置上的个人位置数据的确认;以及在接收通过所述企业网络访问资源的资源请求之后，访问作为所述资源请求因素的所述用户的个人位置数据，其中所述一个或多个移动认证因素至少包括应用层衍生的装置位置标识，并且其中对所述移动装置进行认证包括确定所述应用层衍生的装置位置标识与所述用户的个人位置数据相匹配。15.根据权利要求14所述的计算机实施的方法，其中所述用户的个人位置数据包括以下项中的一个或多个：用户住所、用户常用位置、所述用户日历中的位置、从所述移动装置上的行程应用习得的位置以及基于所述移动装置中的上下文数据确定的位置。16.—种系统，其包括：一个或多个服务器，所述一个或多个服务器配置成托管企业的移动虚拟网络，以在多个移动装置与企业资源之间提供专用连接；存储指令的非暂时计算机可读介质，当由服务器的一个或多个计算机处理器执行时，所述指令促使所述一个或多个服务器：从移动装置接收访问由所述服务器管理的企业网络的访问请求；检查提出所述请求的所述移动装置的网络标识符；检查为所述企业网络的成员分配给移动装置的网络标识符的数据库，以确定所述移动装置是被所述企业的成员使用，其中基于所述移动装置的一个或多个移动认证因奉将所述网络标识符分配给所述移动装置；‘从所述移动装置接收通过所述企业网络访问资源的资源请求；从所述资源请求提取一个或多个资源请求因素；以及’财个^请求隨獅应时，对所1

百度查询： 特夫诺斯公司 移动虚拟网络中的移动认证

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD