专利名称:防盗管理系统和方法
技术领域:
本申请整体涉及电子设备领域。更具体的,本发明中一些实施例涉及防盗管理系 统和方法。
背景技术:
当前的一些计算设备防盗技术会依赖于硬化系统认证、基于硬件的加密和带内 (IB)远程锁定分组。可以将(借助于IB远程锁定分组的)失窃警报通过用户操作系统(OS) 经由互联网发送到计算设备的芯片组。芯片组会在收到该失窃警报之后禁用该计算设备。 然而,这种失窃警报机制需要互联网协议/互联网连通性和用户的操作系统来向计算设备 的芯片组路由该失窃警报。
请求保护主题的实施例的特征在以下参照附图的详细说明过程中得以明确,在附 图中,类似的数字描述了类似的部分,其中图1表示根据一个实施例描述的防盗管理方法;图2表示根据一个实施例描述的防盗管理系统的结构;图3表示根据一些实施例描述的在防盗管理服务器与计算设备的管理引擎 (manageability engine) ^.f^^ffl^M.;图4表示根据一些实施例描述的可以用于各个组件的协议栈的方框图;以及图5-6表示根据一些实施例描述的计算系统的方框图。尽管将参考请求保护主题的说明性实施例进行以下详细说明,但其许多变换、修 改和变化对本领域技术人员来说将会是显而易见的。因此,其旨在广泛地看待请求保护主 题,请求保护主题仅由附带的权利要求来定义。
具体实施例方式在以下说明中,阐述了许多的具体细节,以便提供对各个实施例的透彻理解。然 而,一些实施例在无需这些具体细节的情况下也可以实现。在其他情况下,为了不使具体的 实施例模糊不清,并没有详细说明众所周知的方法、流程、组件和电路。正如以下将更详细地讨论的,本发明的一些实施例可以提供经由无线通信信道向 计算设备传递失窃警报的技术,例如,而不考虑在该计算设备上运行的主机/用户操作系 统和/或预先建立或启动的通信信道(例如,由用户预先建立或启动的通信信道)。如在此 使用的,术语“传递”及其派生词旨在可与“发送”及其派生词互换。该计算设备可以是任何 一种具有无线通信能力的计算设备,其包括例如移动设备(例如,移动电话、膝上型电脑、 个人数字助理(PDA)、超便携式个人电脑等)或非移动计算设备(例如,台式电脑、服务器
等) 0无线通信能力可以由任何可用的无线连接来提供,例如,利用诸如第三代(3G)WWAN的无线广域网(WWAN)(例如,其依照IMT-2000下的国际电信联盟(ITU)系列标准); 利用微波接入全球互通(WiMAX,例如,其依照电气电子工程师学会(IEEE) 802. 16的2004、 2005修订版以及后续版本);利用蓝牙 (例如,依照IEEE 802. 15. 1,2007标准)、射频 (RF)、WiFi (例如,依照 IEEE 802. lla、802. lib 或 802. llg 标准);等等。在一个实施例中,可以通过计算设备的网络接口卡过滤输入的短信业务(SMS)消 息,以检测带外SMS消息,并向该计算设备的芯片组传递该带外消息。在一个实施例中,可 以通过硬件安全来进行失窃警报消息处理,而不是在该计算设备的软件或基本输入/输出 系统(BIOS)中进行失窃警报消息处理。首先参照图1,其表示根据一个实施例描述的防盗管理方法10。在块12处,接收 到指示计算设备失窃(或被非法移除)的通知。如以上讨论的,计算设备可以包括任何一 种具有无线通信能力的计算设备,例如,台式电脑、膝上型电脑、服务器或手持计算设备。例 如,用户可以向防盗管理服务器报告计算设备的失窃。而且,由于计算设备带有RF标签,所 以检测器会通知计算设备移到预定范围之外,例如,指示其被非法移除或失窃。防盗管理服 务器可以是公司网络或服务机构的一部分。在块14处,向计算设备传递失窃警报消息,例 如,使用无线网络。在一个实施例中,使用WWAN向计算设备传递失窃消息。在一个实施例 中,使用3G网络向计算设备传递失窃消息。在一个实施例中,在操作12处,防盗管理服务器向3G短信业务(SMS)网关传递失 窃消息,例如,使用互联网协议(IP)连接。在操作12处,该失窃消息的类型会被标识为带 外(00B)消息。此外,在操作14处,3G SMS网关通过3G SMS接口向计算设备的网络接口卡 (NIC)传递该失窃消息。在一些实施例中,SMS有效载荷(即,失窃消息)可以包括应用报 头,以指示此SMS承载了 00B消息。应用报头还可以包括供应商标识(ID)以及由运营商分 配给服务器的运行商地址(例如,以短码或长数的形式)。在一个实施例中,当接收到输入SMS消息时,3G NIC检验应用报头以寻找其供应 商ID,如果该供应商ID与预先配置的供应商ID匹配,NIC就判定这是00B SMS。为了避免 在(负责处理00B SMS消息的)芯片组上出现SMS欺骗和拒绝服务(DOS)攻击,NIC检验 SMS报头以确保所接收的00B SMS消息不是移动设备发起的SMS,以检测来自于移动手机的 欺骗00B SMS消息。此外,NIC可以对比SMS发送者的地址与嵌入SMS有效载荷的应用报头 中的地址,以检测攻击者从网页服务器中产生的流氓00B SMS。如果检测到任何欺骗,NIC 就会默默地丢弃该SMS。否则,NIC会在分配给00B SMS消息的闪存中存储该SMS消息,使 其与正常的用户SMS消息分离。在一个实施例中,管理引擎(ME)实施用于发送和接收SMS消息的注意(AT)命令 (例如,由第三代合作伙伴(3GPP)所定义的AT命令)。ME可以被耦合到计算设备的各种 组件(例如,直接地或者通过总线或互连),这些组件包括例如3G NIC、芯片组和/或处理 器。在一些实施例中,将会使用系统管理总线(SMBus)及其传输协议栈来在ME与3G NIC 之间传输AT命令和响应。然而,本发明的实施例不限于SMBus,而是可以使用其他通信信 道在本文所讨论的各个组件之间传送命令、数据或信号,这些通信信道包括例如通用串行 总线(USB)、蓝牙、任何直接线连接、总线/互连、外围组件互连(PCI)、PCI Express (PCIe) 等。3G NIC可以区分出AT命令的来源(其是否是从主机/用户的OS或ME发出),因此3G NIC可以同时处理用户SMS和00B消息,并将它们适当地发送到主机/用户的OS或ME。因此,在一个实施例中,用户SMS的正常操作将不会受到影响。在块16处,向计算设备的管理引擎发送来自于该计算设备的网络接口卡的失窃 消息,例如,使用诸如SMBus的边带总线且无需依赖于主机/用户的操作系统。在操作16 处,如果ME是不可用的,则该消息会被存储在OTC的存储器内(例如,其是非易失性存储 器)以供稍后传递(例如,当ME变为可用时)。在块18处,响应于收到失窃消息而管理计 算设备(例如,禁用该计算设备)。具体而言,管理引擎可以响应于失窃消息而采取适当的 动作来管理计算设备,例如,禁用/锁定计算设备中一个或多个组件,这些组件包括例如 芯片组、硬盘驱动器、显示设备等。在一个实施例中,向计算设备的管理引擎传递失窃警报(例如,远程锁定)消息。 该远程锁定消息可以通过系统管理总线(SMBus)被传递到计算设备的芯片组。随后,响应 于计算设备的芯片组收到该锁定消息而禁用整个计算设备或其一部分。在一些实施例中, 可以向防盗管理服务器传递对成功锁定或禁用计算设备的确认。此外,在一个实施例中,还可以向防盗管理服务器发送处于失窃模式下的计算设 备的位置。例如,ME可以通过适当的AT命令从3G NIC中获得全球定位系统(GPS)或IEEE 802. lln位置信息,并将其(以加密或未加密的形式)无线地发送到防盗管理服务器,例如, 通过3G SMS传输。在计算设备从该位置中复得(recover)时,防盗管理服务器向计算设备 的芯片组发送远程解锁消息,以解锁该设备。在一个实施例中,通过3G SMS接口向芯片组 发送解锁消息。在一些实施例中,可以使用该00B消息传递机制来向管理引擎通知出现诸如计算 设备的无线电的关闭、WWAN链路关闭等等事件。在收到这种警报时,管理引擎可以采取适 当的动作,例如,禁用计算设备或迫使用户重新认证。根据一些实施例所述,该消息传递机 制并不对计算设备的用户/主机操作系统有着任何依赖性或者要求计算设备保持IP连通 性。此外,防盗管理服务器可以在所有高级配置与电源接口(ACPI)功率和主机/用户操作 系统状态下向计算设备传递带外消息。另外,计算设备的盗贼无法通过执行诸如关闭无线 电的动作或通过移除网络接口卡来消除上述防盗管理技术。图2表示根据一个实施例描述的防盗管理系统的结构200。可以由图2的组件来 执行参考图1所讨论的一个或多个操作。如上所示,系统200包括计算设备202和防盗管 理服务器204 (例如,用来检测计算设备202的失窃,并向计算设备202传递表示失窃的失 窃警报消息)。在一个实施例中,防盗管理服务器204使用无线广域网向计算设备202传递 失窃警报消息。防盗管理服务器204可以位于公司网络或服务机构内联网中。系统200还 包括可以由3G业务运行商来管理的3G SMS网关206。SMS网关206包括诸如互联网协议(IP)接口的第一接口 208,用来与防盗管理服 务器204进行通信。SMS网关208还包括诸如3G SMS接口的第二接口 210,用来与计算设 备202进行通信(例如,经由SMS中心进行通信)。在一个实施例中,计算设备202包括诸 如网络接口卡的嵌入式无线广域网硬件(例如,3G模块212),用来接收和处理移动设备产 生的和/或SMS网关产生的短信业务消息。计算设备202还包括管理引擎214,用来从网络接口卡212接收失窃消息,并响应 于收到失窃消息而管理计算设备202。计算设备202还可以包括用来存储主机/用户OS 216的存储器(该主机/用户OS 216可以运行在计算设备202的一个或多个处理器上)。如上所示,主机/用户OS 216可以经由总线(例如,所示的USB)与NIC 212进行通信。此 夕卜,ME 214可以经由另一不同的总线(例如,所示的SMBus)与NIC 212进行通信。可供选 择地,同一总线可以将NIC 212耦合到OS 216和/或ME 214。在一个实施例中,如果单个 总线/互连将NIC 212耦合到OS 216和/或ME 214,就可以使用不同类型的消息/分组/ 信令来区分NIC与OS之间的通信以及NIC与ME之间的通信。此外,在ME 214和NIC 212 之间可以使用任何类型的总线/互连、专用线、信令等。在一个实施例中,管理引擎214响 应于从网络接口卡212接收到锁定消息而禁用计算设备或其一个或多个组件,例如,该计 算设备的芯片组、处理器、硬盘驱动器等。在一个实施例中,响应于失窃报告,通过IP连接208向3G SMS网关206传递失窃 消息。该失窃消息的类型可以被标识为带外(00B)消息。随后,3G SMS网关206通过3G SMS接口 210向网络接口卡212发送失窃消息有效载荷,例如,作为网络发起的SMS。在网络 接口卡收到包含失窃消息的SMS时,马上向计算设备202的芯片组(未显示)传递该SMS, 或者在管理引擎214的边带总线不可用来传输或接收该消息或其不具有传输或接收该消 息的功率时,存储该SMS以供稍后传递。管理引擎于是可以响应于包含失窃消息的SMS而 采取适当的动作,例如,参考图1的块18所讨论的。图3表示在防盗管理服务器(例如,图2的服务器204)与计算设备的管理引擎 (例如,图2的ME 214)之间的消息流。防盗管理服务器204接收向计算设备202发送(1) 失窃消息的通知。可以看出,防盗管理服务器204向3G SMS网关206发送(2)失窃消息, 例如,使用IP接口 208。此外,3G SMS网关206通过3G SMS接口 210向无线广域网(WWAN) 网络接口卡212发送(3)失窃消息有效载荷(如图所示,该网络接口卡212可以包括用户 身份识别模块(SIM))。随后,可以向计算设备202的芯片组302传递该消息有效载荷(4)。 在网络接口卡212与芯片组302之间的消息传递协议可以被实施为系统管理总线(SMBus) 上的专有消息。在一个实施例中,在收到该消息(3)之后,网络接口卡212提取失窃有效载 荷,并通过SMBus向管理引擎(例如,图2的ME 214)发送该有效载荷。在一个实施例中,可以利用标准AT命令,通过SMBus来传递该消息。管理引擎将 接收输入的失窃警报SMS消息(还称为带外SMS消息),其有效载荷包含(或被预先附加 了)00B报头(还称为应用报头),其中该00B报头向NIC固件(FW)指示出这是00B SMS, 而且是要发往管理引擎。随后,网络接口卡212将通过SMBus向管理引擎发送适当的AT命 令,表示收到该消息。管理引擎将使用适当的AT命令来读取SMS消息。在一些实施例中, 如果管理引擎未准备好读取SMS消息,则网路接口卡212将存储该消息,并在一段时间之后 向管理引擎传递该消息。管理引擎可以响应于收到失窃消息(4)而管理计算设备202。在一个实施例中,管 理引擎响应于从网络接口卡212接收的锁定消息而禁用整个计算设备202或其一部分。可 以看出,来自于芯片组302/管理引擎214的消息可以以相似的方式传递到防盗管理服务器 204。更具体地说,可以用参考数字5、6和7来表示从芯片组302到防盗管理服务器204 的消息流。在一些实施例中,响应于计算设备202的芯片组302收到锁定消息而禁用计算 设备202 (例如,参照图1-2所讨论的)。此外,可以如消息流5、6和7所示的,向防盗管理 服务器传递对于成功锁定计算设备的确认。
此外,在一个实施例中,还可以通过3G SMS接口,以安全的方式向防盗管理服务器 204发送关于处在失窃模式下的计算设备202的位置的信息。在计算设备202从该特定的 位置中复得时,防盗管理服务器204可以向计算设备的芯片组发送远程解锁消息,以解锁 该设备。此外,可以使用WWAN向芯片组传递该解锁消息。在一些实施例中,利用预先提供的密码,通过完整性检验和重放攻击防御来保护 在防盗管理服务器204和管理引擎214之间交换的失窃有效载荷。因此,失窃有效载荷对 于中间节点而言是透明的,所述中间节点即是在防盗管理服务器204与管理引擎214之间 的节点,例如,3G SMS网关206和WWAN网络接口卡212。应该注意到,根据一个实施例,中 间节点将不改变有效载荷,并将通过适当的接口来转发该有效载荷。在操作过程中,在管理引擎验证了所接收到的失窃消息(例如,“锁定请求”消息) 的完整性之后,对适当的动作(例如,计算设备禁用动作)进行排队。该动作可以在成功发 送了锁定应答后立即被执行。此外,管理引擎使用“锁定应答”来发送确认,该确认指示了 对“锁定请求”的接收以及其运行状态。以上在实施例中描述的带外消息传递技术对于用户/主机操作系统不具有依赖 性,而且不要求计算设备保持IP连通性。此外,防盗管理服务器204可以在所有ACPI功率 和主机/用户操作系统健康状态下,向计算设备202传递失窃消息。由于失窃消息由计算 设备202的芯片组302来处理和运行,所以提供了相对安全和稳健的计算设备防盗技术。在一些实施例中,由于3G网络不担保可靠且有序地传递SMS消息,所以出于各种 原因(例如,设备未接入,空中接口资源发布等),可以在网络中对防盗管理服务器204发送 的SMS消息进行排队。此外,所有失窃警报可以带有或者包含序列号或时间戳,这将帮助ME 214 (和/或芯片组302)来判定所接收到的SMS消息的正确顺序,以防止任何紊乱情况,并 在需要的时候丢弃特定的消息。图4表示根据一些实施例描述的可以用于各个组件的协议栈的方框图。在一个实 施例中,图1-3的ME 214,NIC 212、SMS网关206和防盗管理服务器204可以包括图4所示 的各协议栈。如图所示,ME 214可以包括00B客户业务(例如,包括诸如之前所讨论的AT命 令)、组件管理传输协议业务(例如,用来支持系统中构成平台管理子系统的不同智能组 件之间的通信,该子系统用于在管理系统内部提供监测和控制功能,该管理系统例如由 Distributed Management TaskForce 公司(DMTF) 2007 年 7 月提供的 1. 0. 0a 修订版的管理 组件传输协议(MCTP)) /SMBus协议支持、SMBus数据链路和/或SMBus物理层(PHY)。虽然 图4以MCTP作为示例来进行讨论,实施例也可以通过使用MCTP、MCTP的子集或专有的传输 协议(例如,用来支持系统中构成平台管理子系统的不同智能组件之间的通信,该子系统 用于在管理系统内部提供监测和控制功能)来实现。NIC 212可以包括00B业务、MCTP/SMBus协议支持、SMBus数据链路和/或SMBus PHY(例如,用来与其在ME 214内的对端进行通信)。为了实现经由3G网络的通信,NIC 212 可以包括3G SMS、3G数据链路和/或3G无线PHY。SMS网关206可以包括3G SMS、3G数据 链路和/或3G无线PHY(例如,用来与其在NIC 212内的对端进行通信),SMS网关206还 可以包括超文本传输协议(HTTP)、传输层安全(TLS)、传输控制协议(TCP)/IP、IEEE 802数 据链路和/或IEEE 802PHY。而且,服务器204可以包括00B应用,用来与ME 214的00B客户业务进行通信。服务器204还可以包括HTTP、TLS、TCP/IP、IEEE 802数据链路和/或 IEEE 802PHY (例如,用来与其在SMS网关206内的对端进行通信)。在一些实施例中,尽管本文所述的向芯片组传递00B消息的目的可以是激活防盗 技术(TDT)的使用(例如,远程锁定、解锁和定位信标等),但在此讨论的技术还可以用于其 他用途,这些其他用途可以受益于在对用户/主机OS或用户启动的通信没有任何依赖性的 情况下向计算设备传递00B消息。例如,管理服务器可以向ME请求资产信息。或者,一些 安全服务器可以通过向ME发送00B SMS(无需通过主机/用户OS)以便在处理交易之前请 求一些数据,来检验计算设备的可靠性。上述防盗管理系统可以用于计算机系统(例如,参考图5和/或6所讨论的系统)、 无线通信器、手持设备等。例如,图5表示根据本发明的一个实施例描述的计算系统500的 方框图。例如,图2的计算设备202、服务器204和/或SMS网关206可以包括系统500中 的一个或多个组件。计算系统500可以包括一个或多个中央处理单元(CPU) 502或处理器, 其经由互连网络(或总线)504进行通信。在一些实施例中,管理单元(ME)505可以被耦合 到总线504 (然而,ME可以被提供在系统500中别的地方,例如在设备530、芯片组506、CPU 502内,等等,此外,ME可以经由边带总线耦合到系统500的组件,例如,参考图1-4所讨论 的)。处理器502可以包括通用处理器、网络处理器(其处理通过计算机网络503传送的 数据)或其他类型的处理器(包括精简指令集计算机(RISC)处理器或复杂指令集计算机 (CISC))。此外,处理器502可以具有单核或多核设计。具有多核设计的处理器502可以在 同一集成电路(IC)管芯上集成不同类型的处理器核。而且,具有多核设计的处理器502可 以被实施为对称或不对称的多处理器。而且,可以由图500中一个或多个组件来执行参考 图1-4所讨论的操作。芯片组506还可以与互连网络504进行通信。芯片组506可以包括存储器控制中 心(MCH)508。MCH 508可以包括存储器控制器510,其与存储器512进行通信。存储器512 可以存储数据,包括可以由CPU 502或其他任何包含在计算系统500内的设备运行的指令 序列。在本发明的一个实施例中,存储器512可以包括一个或多个易失性存储设备(或存 储器),例如,随机存取存储器(RAM)、动态RAM (DRAM)、同步DRAM (SDRAM)、静态RAM (SRAM) 或其他类型的存储设备。还可以使用非易失性存储器,例如硬盘。其他设备可以经由互连 网络504进行通信,例如多个CPU和/或多个系统存储器。MCH 508还可以包括与显示设备516通信的图形接口 514。在本发明的一个实施 例中,图形接口 514可以经由加速图形端口(AGP)或PCIe与显示设备516进行通信。在本 发明的一个实施例中,显示器516(例如,平板显示器)可以通过例如信号转换器与图形接 口 514进行通信,该信号转换器将存储设备(例如,视频存储器或系统存储器)内存储的数 字图像表示转换成由显示器516解释和显示的显示信号。由显示设备产生的显示信号在被 显示器516解释并随后显示在该显示器516之前,会穿过各种控制设备。中心接口 518可以允许MCH 508与输入/输出控制中心(ICH)520进行通信。ICH 520可以提供到I/O设备的接口,所述I/O设备与计算系统500进行通信。ICH 520可以通 过外围桥(或控制器)524与总线522进行通信,例如,外围组件互连(PCI)桥、通用串行总 线(USB)控制器或其他类型的外围桥或控制器。桥524可以在CPU 502与外围设备之间提 供数据路径。可以使用其他类型的拓扑结构。而且,多个总线可以与ICH 520进行通信,
9例如,通过多个桥或控制器。而且,在本发明的各个实施例中,与ICH 520进行通信的其他 外围设备可以包括集成驱动电子设备(IDE)或小型计算机系统接口(SCSI)硬盘驱动器、 USB端口、键盘、鼠标、并行端口、串行端口、软盘驱动器、数字输出支持(例如,数字视频接 口 (DVI))或其他设备。总线522可以与音频设备526、一个或多个盘片驱动器528和网络接口设备 530 (其与计算机网络503进行通信)进行通信。在一个实施例中,网络接口设备530可以 与图1-4中的NIC 212相同或相似。其他设备可以经由总线522进行通信。而且,在本发 明的一些实施例中,各个组件(例如,网络适配器530)可以被耦合到MCH 508。另外,处理 器502和MCH 508可以被组合以形成单个芯片。在一个实施例中,可以在其中一个或多个 CPTO02中提供存储器控制器510。此外,在一个实施例中,MCH 508和ICH 520可以被组合 到外围设备控制中心(PCH)中。此外,计算系统500可以包括易失性和/或非易失性存储器(或存储设备)。例 如,非易失性存储器可以包括以下一个或多个只读存储器(ROM)、可编程ROM(PR0M)、可擦 除 PROM(EPROM)、电 EPROM(EEPROM)、盘片驱动器(例如,528)、软盘、致密盘 ROM (CD-ROM)、 数字多用途盘(DVD)、闪存、磁光盘或其他任何类型的能够存储电子数据(例如,包括指令) 的非易失性机器可读介质。图6表示根据本发明的一个实施例描述的以点对点(PtP)结构配置的计算系统 600。具体而言,图6显示了一种系统,其中通过多个点对点接口来互连处理器、存储器和输 入/输出设备。参考图1-5所讨论的操作可以由系统600的一个或多个组件来执行。如图6所示,系统600可以包括几个处理器,为了简单起见,仅仅显示了其中的两 个处理器602和604。每一个处理器602和604可以包括本地存储器控制器中心(MCH) 606 和608,用来实现与存储器610和612的通信。存储器610和/或612可以存储各种数据, 例如,参考图5中存储器512所讨论的那些数据。在一个实施例中,处理器602和604可以是参考图5所讨论的处理器502中的一 个处理器。处理器602和604可以分别使用PtP接口电路616和618,经由点对点(PtP)接 口 614来交换数据。而且,每一个处理器602和604可以使用点对点接口电路626、628、630 和632,经由各自的PtP接口 622和624来与芯片组620交换数据。芯片组620还可以经由 图形接口 636来与图形电路634交换数据,例如,使用PtP接口电路637。本发明中至少一个实施例可以被提供于处理器602和604中。然而,本发明的其 他实施例可以存在于图6的系统600中的其他电路、逻辑单元或设备中。此外,可以将本发 明的其他实施例分布于如图6所示的几个电路、逻辑单元或设备中。芯片组620可以使用PtP接口电路641与总线640进行通信。总线640可以与一 个或多个设备进行通信,例如,总线桥642、ME 505(其可以经由边带总线来耦合,例如,参 考图1-5所讨论的)和/或1/0设备643。总线桥642可以经由总线644与其他设备进行 通信,例如键盘/鼠标645、通信设备646 (例如,调制解调器、网络接口设备或其他可以与计 算机网络503进行通信的通信设备)、音频1/0设备647和/或数据存储设备648。在一个 实施例中,通信设备646可以与图1-4中的NIC 212相同或相似。数据存储设备648可以 存储代码649,该代码649可以由处理器602和/或604来运行。在本发明的各个实施例中,在此讨论的操作(例如,参考图1-6所讨论的操作)可
10以被实施为硬件(例如,电路)、软件、固件、微代码或其组合,其可以被提供作为计算机程 序产品,例如,包括机器可读或计算机可读介质,其上存储了用来编程计算机以执行在此讨 论的处理的指令(或软件过程)。而且,作为示例,术语“逻辑”可以包括软件、硬件或软件 与硬件的组合。机器可读介质可以包括存储设备,例如,在此讨论的那些存储设备。另外, 这种计算机可读介质可以作为计算机程序产品而被下载,其中,可以经由通信链路(例如, 总线、调制解调器或网络连接),从远程计算机(例如,服务器)向请求中的计算机(例如, 客户端)传送该程序。说明书中引用的“一个实施例”或“实施例”意味着结合实施例一起描述的具体特 征、结构或特性可以被包含在至少一种实现方式中。在说明书中各个地方出现的短语“在一 个实施例中,,可以或可能不指代同一实施例。而且,在说明书和权利要求中,可以使用术语“耦合”和“连接”及其派生词。在本 发明的一些实施例中,可以使用“连接”来指示两个或更多个元件彼此直接物理接触或电接 触。“耦合”可以意味着两个或更多个元件直接物理接触或电接触。然而,“耦合”还可以意 味着两个或更多个元件彼此可能不直接接触,但彼此仍然可以合作或相互作用。因而,尽管已经以专用于结构特征和/或方法动作的语言描述了本发明的各个实 施例,但是,要理解此请求保护主题不限于所述具体特征或动作。反而,该具体特征和动作 是作为实现请求保护主题的示例形式而被公开的。
权利要求
一种方法,包括以下步骤接收指示计算设备的失窃的带外(OOB)通知;经由无线广域网向所述计算设备发送表示所述失窃的失窃消息,其中,响应于收到所述失窃消息而禁用所述计算设备的至少一个组件。
2.如权利要求1所述的方法,其中,在企业网络或服务机构或其组合的防盗管理服务 器处执行接收所述通知的步骤。
3.如权利要求2所述的方法,其中,发送所述失窃消息的步骤包括以下步骤经由3G 网络从所述防盗管理服务器向所述计算设备发送所述失窃消息。
4.如权利要求3所述的方法,其中,通过3G短信业务(SMS)网关来执行向所述计算设 备发送所述失窃消息的步骤。
5.如权利要求1所述的方法,其中,响应于向所述计算设备的网络接口卡发送远程锁 定消息而禁用所述计算设备的所述至少一个组件。
6.如权利要求5所述的方法,其中,通过3GSMS网关向所述计算设备发送所述远程锁 定消息。
7.如权利要求5所述的方法,还包括以下步骤导致通过边带总线向所述计算设备的 芯片组发送所述失窃消息。
8.如权利要求7所述的方法,其中,根据对输入SMS消息的过滤来检测所述带外SMS消息ο
9.如权利要求8所述的方法,其中,发送所述失窃消息是为了使所述计算设备的芯片 组响应于收到所述失窃消息而锁定所述计算设备。
10.如权利要求1所述的方法,还包括以下步骤经由所述无线广域网接收所述计算设 备的位置。
11.如权利要求10所述的方法,还包括以下步骤响应于所述计算设备从所述位置中 复得,向所述计算设备发送远程解锁消息。
12.如权利要求1所述的方法,还包括以下步骤向所述计算设备的芯片组发送解锁消 息,以使所述计算设备解锁。
13.如权利要求1所述的方法,其中,发送所述失窃消息是为了导致通过硬件安全来处 理所述失窃消息,而不是在所述计算设备的软件或基本输入/输出系统(BIOS)中处理所述 失窃消息。
14.一种系统,包括防盗管理服务器,用于响应于OOB通知而检测到计算设备的失窃,其中,所述防盗管理 服务器经由消息业务网关向所述计算设备的无线模块发送失窃警报消息。
15.如权利要求14所述的系统,其中,所述消息业务网关是3GSMS网关,所述防盗管 理服务器使用互联网协议连接,经由所述3G SMS网关向所述无线模块发送所述失窃警报消 息ο
16.如权利要求14所述的系统,其中,所述计算设备包括管理引擎,用于从所述无线模 块接收所述失窃警报消息,并响应于收到所述失窃警报消息而管理所述计算设备。
17.如权利要求16所述的系统,其中,所述管理引擎响应于从所述无线模块接收的锁 定消息而禁用所述计算设备的至少一个组件。
18.如权利要求17所述的系统,其中,所述管理引擎向所述防盗管理服务器发送指示 所述计算设备的已禁用状态的消息。
19.如权利要求16所述的系统,其中,所述管理引擎在所述系统处于失窃模式中时,经 由无线广域网向所述防盗管理服务器发送所述计算设备的位置。
20.如权利要求14所述的系统,其中,所述防盗管理服务器和所述计算设备在不依赖 于所述计算系统的用户或主机操作系统的情况下发送和接收消息。
21.一种装置,包括管理单元,用于通过边带总线从无线网络接口接收锁定消息,并使计算设备的一个或 多个组件被禁用;其中,从远程服务器接收所述锁定消息,并且其中,所述远程服务器响应于指示所述计 算设备的失窃的OOB消息而产生所述锁定消息。
22.如权利要求21所述的装置,其中,所述锁定消息的有效载荷包括应用报头。
23.如权利要求22所述的装置,其中,所述应用报头包括供应商标识和运营商地址。
24.如权利要求21所述的装置,其中,所述无线网络接口检验所述消息的一部分,以判 断所述消息是否为移动设备发起的SMS。
25.如权利要求21所述的装置,其中,所述无线网络接口检验所述消息的一部分,以判 断所述消息是否来自与所述消息的发起者不同的发起者。
26.如权利要求21所述的装置,其中,所述无线网络接口根据以下一项或多项进行通 信3G、WiMAX、蓝牙、射频、WiFi或电气电子工程师学会(IEEE)802. Iln0
27.一种计算机可读介质,包括一个或多个指令,当所述指令运行在处理器上时,配置 所述处理器执行一个或多个操作以接收指示计算设备的失窃的带外(OOB)通知;经由无线广域网向所述计算设备发送表示所述失窃的失窃消息,其中,响应于收到所 述失窃消息而禁用所述计算设备的至少一个组件。
28.如权利要求27所述的计算机可读介质,还包括一个或多个指令,当所述指令运行 在处理器上,配置所述处理器在企业网络或服务机构或其组合的防盗管理服务器处接收 所述OOB通知。
29.如权利要求28所述的计算机可读介质,还包括一个或多个指令,当所述指令运行 在处理器上,配置所述处理器经由3G网络从所述防盗管理服务器向所述计算设备发送所 述失窃消息。
30.如权利要求29所述的计算机可读介质,还包括一个或多个指令,当所述指令运行 在处理器上,配置所述处理器通过3G SMS网关向所述计算设备发送所述失窃消息。
全文摘要
一种防盗管理方法和装置。在实施例中,接收指示计算设备失窃的带外通知。作为响应,通过无线广域网向所述计算设备传递失窃消息。还公开和请求保护其他实施例。
文档编号H04W4/14GK101854446SQ20101015860
公开日2010年10月6日 申请日期2010年3月31日 优先权日2009年3月31日
发明者F·阿德兰基 申请人:英特尔公司