用于检测网络设备的盗窃的装置、系统和方法与流程

本申请的各实施例涉及用于检测网络设备的盗窃的装置、系统和方法。

背景技术：

网络设备(比如网关、路由器和/或交换机)经常有助于在网络内和/或跨多个网络的网络流量。这些设备可以向具有因特网功能的设备的用户提供与各种网站和在线服务的快速、灵活和/或广泛的多媒体通信。可以在多种情形和位置(包括家里、办公室、餐厅和甚至户外和/或公共位置(比如路边或者铁路线中))安装和/或部署网络设备。在一个示例中，学校可以在跨它的校园的多个位置中安装路由器和/或无线接入点。在另一示例中，包裹递送企业可以在仓库以外或者沿着递送路线部署网络设备。

尽管在这样的位置中安装网络设备可以实现用于雇员、客户和/或一般公众的高效和广泛的因特网接入，但是在外界或者在不安全位置中部署的网络设备可能暴露于增加的盗窃风险。网络设备的盗窃可能对于管理设备的企业招致成本和不便。此外，盗窃网络设备可以允许罪犯访问在设备内存储和/或由设备处置的敏感信息。遗憾的是，用于标识网络设备的盗窃的传统方法可能不能实时准确地和/或高效地检测盗窃危险。

本公开内容因此标识和解决了对于用于检测网络设备的盗窃的改进的装置、系统和方法的需要。

技术实现要素：

如以下将更具体描述的那样，本公开内容总体上涉及用于检测网络设备的盗窃的装置、系统和方法。在一个示例中，一种用于实现这 样的任务的装置可以包括安全地存储有助于网络内的网络流量的网络设备的初始地理位置的安全存储设备。这一装置也可以包括通信地耦合到安全存储设备的处理单元。处理单元可以确定有助于网络内的网络流量的网络设备的当前地理位置。策略实行单元然后可以通过以下操作检测网络设备的盗窃证据：(1)比较网络设备的当前地理位置与在安全存储设备中安全地存储的网络设备的初始地理位置；以及(2)至少部分基于该比较来确定网络设备的当前地理位置未与网络设备的初始地理位置匹配。最后，处理单元可以响应于检测到网络设备的盗窃证据来执行至少一个安全动作。

相似地，一种并入了以上描述的装置的系统可以包括安全地存储有助于网络内的网络流量的路由器的初始地理位置的可信平台模块(TPM)芯片。这一系统也包括通信地耦合到TPM芯片的处理单元。处理单元可以确定有助于网络内的网络流量的路由器的当前地理位置。处理单元然后可以通过以下操作检测路由器的盗窃证据：(1)比较路由器的当前地理位置与在TPM芯片中安全地存储的路由器的初始地理位置；以及(2)至少部分基于该比较来确定路由器的当前地理位置未与路由器的初始地理位置匹配。最后，处理单元可以响应于检测到路由器的盗窃证据来执行至少一个安全动作。

一种对应的方法可以包括确定有助于网络内的网络流量的网络设备的当前地理位置。这一方法也可以包括通过以下操作检测网络设备的盗窃证据：(1)比较网络设备的当前地理位置与结合网络设备安全地存储的网络设备的初始地理位置；以及(2)至少部分基于该比较来确定网络设备的当前地理位置未与网络设备的初始地理位置匹配。此外，该方法可以包括响应于检测到网络设备的盗窃证据来执行至少一个安全动作。

可以根据这里描述的一般原理相互组合地使用来自以上提到的实施例中的任何实施例的特征。将在结合附图和权利要求阅读以下具体描述时更完全地理解这些和其它实施例、特征和优点。

附图说明

附图图示了多个示例性实施例并且是说明书的一部分。与以下描述一起，这些附图示范和说明了本公开内容的各种原理。

图1是用于检测网络设备的盗窃的示例性装置的框图。

图2是用于检测网络设备的盗窃的装置的示例性实现方式的框图。

图3是标识网络设备的位置的示例性信息的图示。

图4是网络设备的示例性位置的图示。

图5是用于检测网络设备的盗窃的示例性方法的流程图。

图6是能够实施这里描述和/或图示的实施例中的一个或者多个实施例和/或结合该一个或者多个实施例使用的示例性计算系统的框图。

贯穿附图，相同标号和描述指示相似、但是未必相同的单元。尽管这里描述的示例性实施例易受各种修改和备选形式的影响，但是已经在附图中通过示例示出并且这里将具体描述具体实施例。然而，这里描述的示例性实施例并未旨在于限于公开的特定形式。与其相反，本公开内容覆盖落入所附权利要求的范围内的所有修改、等效和备选。

具体实施方式

本公开内容描述了用于检测网络设备的盗窃的各种装置、系统和方法。如以下将更具体说明的那样，通过定期地确定网络设备的地理位置，这里描述的各种装置、系统和方法可以确定网络设备当前在非预期或者异常位置中。这样，公开的装置、系统和方法可以推断网络设备已经被盗窃或者以其它方式被移除而无授权。

此外，这里描述的各种装置、系统和方法可以能够采取动作以最小化由网络设备的丢失所招致的风险和/或损坏。例如，通过响应于检测到网络设备的盗窃证据来指引网络设备进入受限操作模式，公开的装置、系统和方法可以防止未授权用户访问在设备中存储的数据和/ 或使用设备以有助于网络流量。另外，通过在检测到网络设备的盗窃证据时立即向管理员分发通知，这里描述的各种装置、系统和方法可以提供关于网络设备的盗窃的实时通知、警报和/或更新。

以下将参照图1提供有助于检测网络设备的盗窃的示例性装置的具体描述。与图2对应的讨论将提供有助于检测网络设备的盗窃的示例性实现方式的具体描述。此外，与图3和4对应的讨论将分别提供对标识网络设备的位置的示例性信息和网络设备的示例性位置的具体描述。与图5对应的讨论将提供对用于检测网络设备的盗窃的示例性方法的具体描述。最后，与图6对应的讨论将提供可以包括图1中所示的装置的系统的许多示例。

图1示出了用于检测网络设备的盗窃的示例性装置100的框图。术语“网络设备的盗窃”如这里所用一般是指网络设备的任何未授权、未安排和/或非希望的重新定位，该重新定位从拥有和/或管理网络设备的管理员或者企业的物理控制移除网络设备。此外，术语“网络设备的盗窃证据”如这里所用一般是指网络设备可能已经潜在地被盗窃的任何类型或者形式的指示或者提示。

如图1中所示，装置100可以包括存储设备102。术语“存储设备”如这里所用一般是指能够存储、记录和/或访问数据的任何类型或者形式的数字存储器。在一些示例中，存储设备102可以包括和/或代表外部存储设备(例如，外部硬盘驱动或者服务器)。在其它示例中，存储设备102可以包括和/或代表内部存储设备(例如，在装置100内的内部硬盘驱动或者随机存取存储器(RAM)或者只读存储器(ROM)的部分)。

在一些实施例中，存储设备102可以安全地存储数据，从而使得无恰当授权(例如，口令或者密码密钥)就不可访问数据。存储设备102可以实施任何物理和/或基于软件的认证方案以保护存储设备102的内容。在一个示例性实施例中，存储设备102的全部或者部分可以包括和/或代表TPM芯片。术语“TPM芯片”如这里所用一般是指将密码密钥集成到计算设备中的任何类型或者形式的微处理器或者其它 计算平台。

在一些示例中，可以在制造期间用唯一私钥(和对应的公钥)对TPM芯片编码以便减少未授权方访问私钥的风险。附加地或者备选地，TPM芯片可以用公钥对数据加密并且然后存储加密的数据。由于用公钥加密的数据仅可以用对应的私钥来解密，所以加密的数据不可以被不知道私钥的任何个人或者实体篡改或者变更。在一个示例中，在设备内实施的TPM芯片可以使用私钥来对用公钥加密的数据解密以作为在设备的引导操作期间的验证过程的部分。如以下将更具体说明的那样，公开的装置、系统和方法可以利用网络设备内的TPM芯片以帮助检测和/或防止网络设备的盗窃。

在一些示例中，存储设备102可以包括或者存储初始位置信息104。术语“位置”如这里所用一般是指计算设备可以暂时地或者持久地位于其中的任何类型或者形式的物理或者地理地点、定位、区域或者地区。位置的示例包括而不限于全球定位系统(GPS)坐标、地理位置、街道、地址、邻里、城市、这些示例中的一个或者多个示例的组合、这些示例中的一个或者多个示例的变化和/或任何附加类型的位置。附加地，术语“初始位置”如这里所用一般是指计算设备的任何建立的、原始的、参考的和/或起始位置。另外，术语“位置信息”如这里所用一般是指描述计算设备的位置的任何类型或者形式的数据、文本和/或计算机可执行代码。

作为可以在存储设备102内存储的位置信息的示例，图3图示了示例初始位置信息104。如图3中所示，初始位置信息104可以用GPS坐标“44.9942°N，93.0936°W”(对应于明尼苏达州的保罗街)来描述网络设备的初始位置。

回顾图1，存储设备102可以通信地耦合到处理单元106。术语“处理单元”如这里所用一般是指执行与检测网络设备的盗窃有关的某些输入/输出(I/O)操作和/或计算任务的任何类型、形式或者部分的物理硬件、电路、设备和/或处理器。在一个示例中，处理单元106可以代表其配置和/或基础设施被至少部分地固定的集成电路。附加地或者 备选地，处理单元106可以代表其配置和/或基础设施至少部分地可变和/或可编程的集成电路。处理单元106的示例包括但不限于现场可编程门阵列(FPGA)、中央处理单元(CPU)、处理器、微处理器、微控制器、专用集成电路(ASIC)、在这些示例中的一个或者多个示例上安装的软件模块、这些示例中的一个或者多个示例的部分、这些示例中的一个或者多个示例的变化、这些示例中的一个或者多个示例的组合或者任何其它适当处理单元。

图2示出了包括用于检测网络设备的盗窃的装置100的示例性实现方式200的框图。如图2中所示，实现方式200可以包括经由网络204与计算设备206(1)-(N)通信的网络设备202。术语“网络”如这里所用一般是指有助于通信或者数据传送的任何类型或者形式的介质和/或架构。网络204的示例包括但不限于内联网、局域网(LAN)、广域网(WAN)、无线LAN、专用网(PAN)、因特网、功率线通信(PLC)网络、蜂窝网络(例如，全球移动通信系统(GSM)网络)、这些示例中的一个或者多个示例的部分或者任何其它适当的网络。网络204可以有助于使用无线和/或有线连接的通信或者数据传送。

此外，术语“网络设备”如这里所用一般是指能够在单个网络(例如，LAN)内或者跨多个网络(例如，多个WAN)的设备之中路由和/或转发网络流量的任何类型或者形式的设备、装置、系统和/或应用。网络设备202的示例包括但不限于路由器、GSM调制解调器、网关、交换机、集线器、重发器、这些示例中的一个或者多个示例的组合、这些示例中的一个或者多个示例的变化和/或任何附加类型的网络设备。在一个示例性实施例中，网络设备202可以代表悲剧具体设计用于室外使用的网络设备(比如JUNIPER NETWORK的ACX500-O路由器)。

在一些示例中，网络设备202可以有助于在多个网络设备(比如计算设备206(1)-(N)中的一个或者多个计算设备)之间的网络流量。术语“网络流量”如这里所用一般是指在网络内出现和/或从一个网络向另一网络传递的任何类型或者形式的数据传送。在一些示例中， 网络流量可以是指一个或者多个分组在多个计算设备之间的传送。术语“分组”和“数据分组”如这里所用一般是指包括一个或者多个格式化的数据单位的任何类型或者形式的打包、封装、抽象化和/或对象。

计算设备206(1)-(N)一般地代表能够发送和/或接收分组的任何类型或者形式的设备。计算设备206(1)-(N)的示例包括但不限于台式计算机、膝上型计算机、移动设备、具有因特网功能的电视和/或蓝光播放器、服务器、网络设备、这些示例中的一个或者多个示例的变化、这些示例中的一个或者多个示例的组合和/或任何附加类型的计算设备。

虽然图2图示了网络204内的网络设备，但是网络设备202可以经由任何附加网络与计算设备206(1)-(N)(和任何附加计算设备)通信。另外，网络设备202无需连续地有助于、转发或者路由网络204或者另一网络内的网络流量。例如，在网络设备202被盗窃的情况下，公开的装置、系统和方法可以防止网络设备202有助于网络204或者任何附加网络内的网络流量。

另外，可以在多种位置中和出于多种目的而部署网络设备202。例如，网络设备202可以被安装在公用交通车辆内以便向乘客提供无线因特网服务。在另一示例中，网络设备202可以被安装在仓库或者制造厂以外以便有助于跟踪传入和/或传出运送。一般而言，网络设备202可以被安装在任何类型或者形式的建筑物、车辆或者室外位置中。在示例性实施例中，这里描述的装置、系统和方法可以用来检测和/或防止在外界、在公用建筑物中或者在具有增加的盗窃风险的以其它方式不安全的位置中部署的网络设备的盗窃。

如图2中所示，网络设备202可以包括图1中的装置100的全部或者部分。例如，存储设备102和处理单元106可以代表网络设备202内和/或与网络设备202通信的存储器和/或执行空间的任何部分。因而，网络设备202可以经由处理单元106接收、存储和/或访问存储设备102内的初始位置信息104。在一些实施例中，在网络设备202内的处理单元106可以从管理网络设备202的管理员或者企业接收初始 位置信息104。例如，网络设备202的管理员可以在将网络设备202部署于它的初始位置之前或者之时向网络设备202配置初始位置信息104。

网络设备202的管理员可以用多种方式向网络设备202配置初始位置信息104。在一个示例性实施例中，管理员可以指引处理单元106通过查询网络设备202内的GPS来标识网络设备202的初始位置。处理单元106也可以使用技术(比如IP地址地理位置、多点定位、信号强度分析、这些示例中的一个或者多个示例的组合、这些示例中的一个或者多个示例的变化/和/或附加地理位置技术)来标识网络设备202的初始位置。在初始位置被标识之后，管理员可以提示网络设备202将指示该位置的信息存储为初始位置信息104。在另一实施例中，管理员可以将位置(例如，街道地址)人工地键入网络设备202的用户界面中。另外，管理员可以进入网络设备202可以位于其中的位置地理区域或者范围(例如，在网络设备202可以被部署在大型建筑物内的多个位置中或者安装在遵循某个路线的移动车辆内)。

处理单元106可以采取一个或者多个措施以保证存储设备102内的初始位置信息104的安全。例如，处理单元106可以请求管理员在录入初始位置信息104之前(或者在网络设备202被重新定位的情况下在更新初始位置信息104之前)将恰当认证证书(例如，用户名和/或口令)录入到网络设备202中。附加地或者备选地，处理单元106可以指引存储设备102内的TPM芯片用密码密钥加密初始位置信息104。

在存储设备102接收和存储初始位置信息104之后，处理单元106可以定期地确定网络设备202的当前位置。术语“当前位置”如这里所用一般是指计算设备当前位于其中的最新位置。处理单元106可以用任何适当方式(包括使用以上结合确定网络设备202的初始位置讨论的地理位置技术中的任何一种或者组合)来确定网络设备202的当前位置。

在一些示例中，处理单元106可以在网络设备202在操作中之时 以某个间隔(例如，每5秒、每分钟等)确定网络设备202的当前位置。附加地或者备选地，处理单元106可以响应于网络设备202的重新引导来确定网络设备202的当前位置。在一些实施例中，网络设备202的管理员可以指定处理单元106确定网络设备202的当前位置的定期基础。

在确定网络设备202的当前位置之后，处理单元106可以存储标识当前位置的信息(例如，在处理单元106的存储器的高速缓存或者其它快速访问部分内)。作为标识网络设备的当前位置的信息的示例，图3图示了当前位置信息302。在这一示例中，当前位置信息302可以用GPS坐标“44.9778°N，93.2650°W”(对应于明尼苏达州明尼阿波利斯市)来描述网络设备202的当前位置。

每当处理单元106确定网络设备202的当前位置，处理单元106可以比较当前位置与网络设备202的初始位置。在一个示例中，处理单元106可以确定描述网络设备202的当前位置的GPS坐标是否与描述网络设备202的初始位置的GPS坐标匹配。在另一示例中，处理单元106可以确定网络设备202是否位于网络设备202原先被安装在的相同地址处。在这些示例中，处理单元106可以在用来描述初始和当前位置的信息(例如，地址和/或GPS坐标)未匹配的情况下检测到网络设备202的盗窃证据。

在其它示例中，处理单元106可以确定网络设备202的当前位置是否在网络设备202的初始位置的某个距离内。例如，处理单元106可以确定网络设备202的当前位置是否满足在初始位置的半英里内的阈值、在与初始位置相同的邻里内的阈值或者在与初始位置相同的城市内的阈值。在这些示例中，处理单元106可以在网络设备202的当前位置在距网络设备202的初始位置的指定的阈值以外的情况下检测到网络设备202的盗窃证据。以这一方式，公开的装置、系统和方法可以考虑在计算网络设备202的位置和/或网络设备202的正常移动(例如，在企业的建筑物或者校园内)时的正常误差。

作为确定网络设备的当前位置是否在初始位置的某个距离内的 示例，图4图示了初始地理位置402和当前地理位置404。如图4中所示，初始地理位置404可以在初始地理位置402以外多于距离406。在一个示例中，初始地理位置402可以代表由图3中的初始位置信息104指定的位置。当前地理位置404可以代表由当前位置信息302指定的位置。此外，距离406可以代表一英里的距离。

在这一示例中，处理单元106可以比较(描述初始地理位置402的)初始位置信息104内的GPS坐标与(描述当前地理位置404的)当前位置信息302内的GPS坐标。基于该比较，处理单元106可以确定网络设备202的当前位置(明尼苏达州明尼阿波利斯市)在距网络设备202的初始位置(明尼苏达州保罗街)的8.76英里远。由于当前地理位置404在距初始地理位置402的距离406以外，所以处理单元106可以确定当前地理位置404未与初始地理位置402匹配。这样，处理单元106可以检测到网络设备202的盗窃证据。

处理单元106可以响应于检测到网络设备202的盗窃证据来执行多种安全动作中的任何安全动作。在一些示例中，处理单元106可以指引网络设备202在对网络设备202的行为和/或功能施加限制的受限模式内操作。在一个示例中，处理单元106可以通过防止网络设备202执行引导操作来指引网络设备202在受限操作模式内操作。在这一示例中，在存储设备102内的TPM芯片可以在平台配置寄存器(PCR)内存储网络设备202的初始位置。处理单元106可以绑定PCR寄存器与网络设备202的引导操作，从而使得在处理单元106确定网络设备202的当前位置未与在PCR内存储的网络设备202的初始位置匹配的情况下防止网络设备202引导。反言之，在存储设备102内的TPM芯片可以响应于确定网络设备202的当前位置与网络设备202的初始位置匹配来允许网络设备202正常地引导。

在另一示例中，处理单元106可以通过防止网络设备202有助于网络流量来指引网络设备202在受限操作模式内操作。例如，处理单元106可以保持或者删除向网络设备202分发的分组的全部或者部分而不是将分组转发到它们的既定目的地。附加地或者备选地，处理单 元106可以防止对网络设备202的配置做出任何改变。例如，处理单元106可以防止窃贼配置网络设备202以有助于它们自己的网络内的网络流量。

除了限制网络设备202的用于有助于网络流量的能力之外，处理单元106还可以通过防止用户访问在网络设备202内存储的数据来实行网络设备202内的受限操作模式。例如，处理单元106可以禁止经由通用串行总线(USB)端口、高级技术附接(ATA)端口、火线端口和/或任何附加类型的数据传送端口传送数据。以这一方式，处理单元106可以保护在网络设备202内存储和/或由网络设备202处置的敏感数据的内容。

在一些示例中，处理单元106可以使网络设备202限于受限操作模式，直至确定网络设备202不再在盗窃威胁之下或者为窃贼所拥有。例如，处理单元106可以实行受限操作模式，直至确定网络设备202已经被归还到它的初始地理位置。附加地或者备选地，处理单元106可以实行受限操作模式，直至确定用户已经向网络设备202中录入了使网络设备202能够返回到正常操作模式和/或证实用户的认证证书。

作为示例，在指引网络设备202在受限操作模式内操作之后，处理单元106可以提示(例如，经由网络设备202的用户界面)网络设备202的管理员录入口令和/或用户名。处理单元106然后可以比较录入的证书与预定义的证书集合(例如，存储在存储设备102中的TPM芯片内)。在录入的证书与存储的证书匹配的情况下，处理单元106可以解除对网络设备202的功能施加的任何限制，从而使网络设备202能够返回到它的原有操作模式。在录入的证书未与存储的证书匹配的情况下，处理单元106可以继续施加受限操作模式和/或向网络设备202的管理员通知不正确地录入的证书。

除了指引网络设备202在受限操作模式内操作之外或者取而代之，处理单元106可以响应于检测到网络设备202的盗窃证据来通知管理员。例如，处理单元106可以经由网络204向预定目的地(例如，由管理员管理的电子邮件地址、电话号码或者网站)分发消息(例如， 电子邮件、文本或者短媒体消息(SMS))。消息可以包含关于网络设备202的盗窃证据的多种信息中的任何信息(比如潜在盗窃出现的位置和/或时间)。

在一些示例中，处理单元106可以指引网络设备202继续向管理员更新网络设备202的当前位置，直至确定网络设备202不再在盗窃威胁之下。例如，处理单元106可以继续更新管理员，直至用户已经向网络设备202中录入了适当认证证书或者直至网络设备202返回到它的初始位置。在用户录入适当认证证书和/或网络设备202已经返回到它的初始位置之后，处理单元106可以向网络设备202的管理员分发最终消息。最终消息可以向管理员通知网络设备202的当前位置和/或用户已经推翻(override)了受限操作模式。

在一些示例中，企业可以向多个网络设备配置这里描述的防盗窃装置、系统和方法。在这些示例中，网络设备可以与接收关于网络设备的潜在盗窃的通知的中央服务器通信。在一些实施例中，中央服务器可以向适当方(例如，网络设备的特定技术员或者管理者)分发通知。此外，中央服务器可以指引网络设备服从某些操作模式和/或执行与维持网络设备的安全有关的任何附加任务。

在一些实施例中，处理单元106可以不能准确地标识网络设备202的当前位置。例如，在网络设备202内的GPS可以由于恶劣天气或者受损的零件而不工作。在这些实施例中，处理单元106可以指引网络设备202在受限操作模式内操作，因为处理单元106可以不能验证网络设备202已经被盗窃。然而，处理单元106可以响应于用户向网络设备202中录入适当认证证书来使网络设备202能够返回到正常操作模式。

在一些示例中，处理单元106可以针对网络设备202监视网络设备202的附加盗窃证据。例如，尝试盗窃网络设备202的个人可以从向网络设备202提供功率的外部功率供应将网络设备202断开连接(例如，以便更容易地运送网络设备202)。在另一示例中，在网络设备202由电池供电的情况下，电池可以在网络设备202已经被盗窃 之后的某点用完功率。这样，处理单元106可以针对网络设备202监视网络设备202正在经历未安排的功率停用的任何指示。

在一些实施例中，处理单元106可以利用网络设备202内或者网络设备202可访问的掉电告警电容器或者任何类型的备用或者暂时功率源以检测网络设备202正在经历未安排的功率停用。术语“掉电告警电容器”如这里所用一般是指电子电路中的在从电路移除功率供应之后放电相对少量能量的任何类型或者形式的电容或者电荷存储元件。从掉电告警电容器放电的能量可以用来执行用于计算设备的任何最终任务(比如向管理员发送设备正在经历功率停用的通知)。

在一个示例性实施例中，网络设备202可以被配置响应于从外部功率供应断开网络设备202来放电某个数量的能量的掉电告警电容器。在这一实施例中，处理单元106可以利用来自掉电告警电容器的能量以向网络设备202的管理员(例如，向由管理员管理的电子邮件地址、电话号码或者网站)分发消息(例如，电子邮件、文本或者SMS)。消息可以包括关于功率停用的多种信息中的任何信息(比如功率停用出现的时间和/或位置)。

图5是用于检测网络设备的盗窃证据的示例性方法500的流程图。方法500可以包括确定有助于网络内的网络流量的网络设备的当前地理位置的步骤(510)。可以用多种方式执行这一确定步骤。例如，处理单元106可以作为图2中的网络设备202的部分向网络设备202内的GPS查询网络设备202的位置。附加地或者备选地，处理单元106可以使用网际协议(IP)地址地理位置和/或任何适当技术以标识网络设备202的当前位置。在确定网络设备202的当前位置之后，处理单元106可以存储(例如在处理单元106的存储器的快速访问段内)标识网络设备202的当前位置的信息。

处理单元106可以在多个时间和/或在多个情境中确定网络设备202的当前地理位置。例如，处理单元106可以在定期基础上(比如每5秒或者每分钟)确定网络设备202的当前位置。附加地或者备选地，处理单元106可以响应于网络设备202的每次重新引导来确定网 络设备202的当前位置。

回顾图5，方法500可以附加地包括通过(1)比较网络设备的当前地理位置与结合网络设备安全地存储的网络设备的初始地理位置和(2)至少部分基于该比较来确定网络设备的当前地理位置未与网络设备的初始地理位置匹配来检测网络设备的盗窃证据的步骤(520、520(a)和520(b))。可以用多种方式执行这一检测步骤。在一些示例中，处理单元106可以作为图2中的网络设备202的部分从存储设备102内取回标识网络设备202的初始地理位置的信息。处理单元106可以先前已经在存储设备102内(例如，在存储设备102的TPM芯片内)安全地存储了这一信息。例如，存储设备102可以在安装或者部署网络设备202之前或者期间已经用标识网络设备202的初始位置的信息而被编程。

在取回标识网络设备202的初始位置的信息之后，处理单元106可以比较初始位置信息与(在步骤510中标识的)当前位置信息。在一些示例中，处理单元106可以确定当前位置信息未与初始位置信息匹配。例如，处理单元106可以确定描述网络设备202的当前位置的GPS坐标未与描述网络设备202的初始位置的GPS坐标匹配。在这一示例中，处理单元106可以基于GPS坐标未与描述初始位置的GPS坐标匹配来检测网络设备202的盗窃证据。

在一些实施例中，处理单元106可以确定网络设备202的当前位置在距网络设备202的初始位置的某个距离以外。例如，处理单元106可以基于标识网络设备202的初始和当前位置的信息来确定网络设备202当前在距网络设备202的初始位置的多于阈值距离(例如，一个街区、半英里等)。在另一示例中，处理单元106可以确定网络设备202当前在与网络设备202被安装在其中的地理区域不同的地理区域中(例如，街道、邻里、城市等)。在这一示例中，处理单元106可以基于确定网络设备202的当前位置在距网络设备202的初始位置的某个距离以外来检测到网络设备202的盗窃证据。

在一些示例中，处理单元106可以针对网络设备202监视网络设 备202的附加盗窃证据。例如，处理单元106可以监视网络设备202以确定向网络设备202提供功率的外部功率供应是否已经被断开连接或者中断从而造成意外功率停用。在一些示例中，向网络设备202的意外功率停用可以指示窃贼已经从功率源移除了网络设备202以便更容易地运送网络设备202。响应于检测到网络设备202正在经历意外功率停用，处理单元106可以利用掉电告警电容器以向管理员通知网络设备202的附加盗窃证据。例如，处理单元106可以使用从掉电告警电容器放电的能量以向管理员分发关于网络设备202在潜在盗窃出现时的时间和/或位置的消息。

返回到图5，方法500还可以包括响应于检测到网络设备的盗窃证据来执行至少一个安全动作的步骤(530)。可以用多种方式执行这一执行步骤。在一个示例中，处理单元106可以作为图2中的网络设备202的部分响应于检测到网络设备202的盗窃证据来指引网络设备202在受限操作模式内操作。处理单元106可以通过对网络设备202的行为或者功能实行多种规则或者限制来实施受限操作模式。例如，处理单元106可以防止网络设备202执行引导操作、防止网络设备202有助于网络流量、防止对网络设备202的配置做出任何改变和/或防止访问在网络设备202内存储的数据。在一些示例中，处理单元106可以实行受限操作模式，直至确定用户已经向网络设备202中录入了使网络设备202能够返回到正常操作模式的认证证书。

除了指引网络设备202在受限操作模式内操作之外或者取而代之，处理单元106可以向管理员通知网络设备202的盗窃证据。例如，处理单元106可以向管理员发送消息，该消息向管理员提醒网络设备202的盗窃证据以及潜在盗窃出现的时间和/或位置。在一些示例中，处理单元106可以继续向管理员更新描述网络设备202的位置的信息，直至已经恢复了网络设备202或者已经消除了盗窃威胁。

如以上结合图1至图5说明的那样，网络设备(比如路由器或者交换机)可以安全地存储网络设备的初始位置。当在操作中之时，网络设备可以定期地(例如，在某些时间间隔和/或响应于网络设备的引 导操作)确定网络设备的当前位置。网络设备然后可以比较网络设备的当前位置与网络设备的初始位置。

在当前和初始位置未匹配(例如，当前位置在距初始位置的某个距离以外)的情况下，网络设备可以检测到网络设备的盗窃证据。作为响应，网络设备可以执行一个或者多个安全动作以减轻网络设备的潜在盗窃所引起的威胁。例如，网络设备可以进入限制网络设备的功能和保护由网络设备处置的敏感数据的受限操作模式。附加地或者备选地，网络设备可以向网络设备的管理员通知网络设备的盗窃证据。

图6是能够实施这里描述和/或图示的实施例中的一个或者多个实施例和/或结合该一个或者多个实施例使用的示例性计算系统600的框图。在一些实施例中，计算系统600的全部或者部分可以单独或者与其它单元组合执行结合图5描述的步骤中的一个或者多个步骤和/或是用于单独或者与其它单元组合执行结合图5描述的步骤中的一个或者多个步骤的装置。计算系统600的全部或者部分也可以执行和/或实施这里描述和/或图示的任何其它步骤、方法或者过程和/或是用于执行和/或实施这里描述和/或图示的任何其它步骤、方法或者过程的装置。在一个示例中，计算系统600可以包括来自图1的装置100。

计算系统600广义地代表任何类型或者形式的电负载，包括能够执行计算机可读指令的单或者多处理器计算设备或者系统。计算系统600的示例包括但不限于工作站、膝上型计算机、客户端侧终端、服务器、分布式计算系统、移动设备、网络交换机、网络路由器(例如，主干路由器、边缘路由器、核心路由器、移动服务路由器、宽带路由器等)、网络装置(例如，网络安全装置、网络控制装置、网络定时装置、SSL VPN(安全套接字层虚拟专用网络)装置等)、网络控制器、网关(例如，服务网关、移动分组网关、多接入网关、安全网关等)和/或任何其它类型或者形式的计算系统或者设备。

计算系统600可以被编程、配置和/或以其它方式设计为遵循一个或者多个联网协议。根据某些实施例，计算系统600可以被设计为用开放系统互连(OSI)参考模型的一层或者多层的协议，比如物理层 协议、链路层协议、网络层协议、传送层协议、会话层协议、表示层协议和/或应用层协议工作。例如，计算系统600可以包括根据USB协议、电气和电子工程师协会(IEEE)1394协议、以太网协议、T1协议、同步光联网(SONET)协议、同步数字分级(SDH)协议、综合服务数字网(ISDN)协议、异步传输模式(ATM)协议、在ATM之上的点到点协议(PPPoA)、蓝牙协议、IEEE 802.XX协议、帧中继协议、令牌环协议、跨距树协议和/或任何其它适当协议配置的网络设备。

计算系统600可以包括各种网络和/或计算部件。例如，计算系统600可以包括至少一个处理器614和系统存储器616。处理器614一般地代表能够处理数据或者解释和执行指令的任何类型或者形式的处理单元。例如，处理器614可以代表ASIC、片上系统(例如，网络处理器)、硬件加速器、通用处理器和/或任何其它适当处理单元。

处理器614可以根据以上讨论的联网协议中的一个或者多个联网协议来处理数据。例如，处理器614可以执行或者实施协议栈的部分、可以处理分组、可以执行存储器操作(例如，使分组排队以用于以后处理)、可以执行终端用户应用和/或可以执行任何其它处理任务。

系统存储器616一般地代表能够存储数据和/或其它计算机可读指令的任何类型或者形式的易失性或者非易失性存储设备或者介质。系统存储器616的示例包括但不限于RAM、ROM、闪存或者任何其它适当存储器设备。虽然非必需，但是在某些实施例中，计算系统600可以包括易失性存储器单元(如例如系统存储器616)和非易失性存储设备(如例如以下具体描述的主存储设备632)。系统存储器616可以被实施为网络设备中的共享存储器和/或分布式存储器。另外，系统存储器616可以存储在联网操作中使用的分组和/或其它信息。

在某些实施例中，示例计算系统600除了处理器614和系统存储器616之外也可以包括一个或者多个部件或者单元。例如，如图6中所示，计算系统600可以包括各自可以经由通信基础设施612互连的存储器控制器618、I/O控制器620和通信接口622。通信基础设施 612一般地代表能够有助于在计算设备的一个或者多个部件之间的通信的任何类型或者形式的基础设施。通信基础设施612的示例包括但不限于通信总线(比如串行ATA(SATA)、工业标准架构(ISA)、外围部件互连(PCI)、PCI快速(PCIe)和/或任何其它适当总线)和网络。

存储器控制器618一般地代表能够处置存储器或者数据或者控制在计算系统600的一个或者多个部件之间的通信的任何类型或者形式的设备。例如，在某些实施例中，存储器控制器618可以控制经由通信基础设施612在处理器614、系统存储器616和I/O控制器620之间的通信。在一些实施例中，存储器控制器618可以包括可以向或者从链路适配器传送数据(例如，分组)的直接存储器访问(DMA)单元。

I/O控制器620一般地代表能够协调和/或控制计算设备的输入和输出功能的任何类型或者形式的设备或者模块。例如，在某些实施例中，I/O控制器620可以控制或者有助于数据在计算系统600的一个或者多个单元(比如处理器614、系统存储器616、通信接口622和存储接口630)之间的传送。

通信接口622广义地代表能够有助于在示例计算系统600与一个或者多个附加设备之间的通信的任何类型或者形式的通信设备或者适配器。例如，在某些实施例中，通信接口622可以有助于在计算系统600与包括附加计算系统的私有或者公用网络之间的通信。通信接口622的示例包括但不限于链路适配器、有线网络接口(比如网络接口卡)、无线网络接口(比如无线网络接口卡)和任何其它适当接口。在至少一个实施例中，通信接口622可以经由与网络(比如因特网)的直接链路来提供与远程服务器的直接连接。通信接口622也可以例如通过局域网(比如以太网网络)、专用网、广域网、私有网络(例如，虚拟私有网络)、电话或者线缆网络、蜂窝电话连接、卫星数据连接或者任何其它适当连接间接地提供这样的连接。

在某些实施例中，通信接口622也可以代表被配置为有助于经由 外部总线或者通信信道在计算系统600与一个或者多个附加网络或者存储设备之间的通信的主机适配器。主机适配器的示例包括但不限于小型计算机系统接口(SCSI)主机适配器、USB、IEEE 1394主机适配器、ATA、并行ATA(PATA)、SATA和外部SATA(eSATA)主机适配器、光纤信道接口适配器、以太网适配器等。通信接口622也可以使计算系统600能够参与分布式或者远程计算。例如，通信接口622可以从远程设备接收指令或者向远程设备发送指令以用于执行。

如图6中所示，示例计算系统600也可以包括经由存储接口630耦合到通信基础设施612的主存储设备632和/或备用存储设备634。存储设备632和634一般地代表能够存储数据和/或其它计算机可读指令的任何类型或者形式的存储设备或者介质。例如，存储设备632和634可以代表磁盘驱动(例如，所谓的硬盘驱动)、固态驱动软盘驱动、磁带驱动、光盘驱动、快闪驱动等。存储接口630一般地代表用于在存储设备632和634与计算系统600的其它部件之间传送数据的任何类型或者形式的接口或者设备。

在某些实施例中，存储设备632和634可以被配置为从被配置为存储计算机软件、数据或者其它计算机可读信息的可移除存储单元读取和/或向该可移除存储单元写入。存储设备632和634也可以包括用于允许向计算系统600中加载计算机软件、数据或者其它计算机可读指令的其它相似结构或者设备。例如，存储设备632和634可以被配置为读取和写入软件、数据或者其它计算机可读信息。存储设备632和634可以是计算系统600的部分或者可以是通过其它接口系统访问的分离设备。

许多其它设备或者子系统可以连接到计算系统600。反言之，无需所有图6中所示部件和设备存在以实现这里描述和/或图示的实施例。也可以用与图6中所示方式不同的方式互连以上参考的设备和子系统。计算系统600也可以运用任何数目的软件、固件和/或硬件配置。例如，这里公开的示例性实施例中的一个或者多个示例性实施例可以 被编码为计算机可读介质上的计算机程序(也被称为计算机软件、软件应用、计算机可读指令或者计算机控制逻辑)。术语“计算机可读介质”一般地是指能够存储或者携带计算机可读指令的任何形式的设备、载体或者介质。计算机可读介质的示例包括但不限于传输型介质(比如载波)和非瞬态型介质(比如磁存储介质(例如，硬盘驱动和软盘)、光存储介质(例如，紧致盘(CD)和数字视频盘(DVD))、电存储介质(例如，固态驱动和快闪介质))和其它分发系统。

尽管前文公开内容使用特定框图、流程图和示例来阐述各种实施例，但是可以使用广泛硬件、软件或者固件(或者其任何组合)配置来个别地和/或共同地实施这里描述和/或图示的每个框图部件、流程图步骤、操作和/或部件。此外，在其它部件内包含的部件的任何公开内容应当在性质上被视为举例，因为可以实施许多其它架构以实现相同功能。

在一些示例中，图1中的装置100的全部或者部分可以代表云计算或者基于网络的环境的部分。云计算和基于网络的环境可以经由因特网提供各种服务和应用。这些云计算和基于网络的服务(例如，软件即服务、平台即服务、基础设施即服务等)可以通过web浏览器或者其它远程接口可访问。这里描述的各种功能也可以提供网络切换能力、网关接入能力、网络安全功能、用于网络的内容高速缓存和递送服务、网络控制服务和/或其它联网功能。

此外，这里描述的模块中的一个或者多个模块可以将数据、物理设备和/或物理设备的表示从一个形式变换成另一形式。例如，这里记载的模块中的一个或者多个模块可以接收网络设备的地理位置、将网络设备的地理位置变换成网络设备的盗窃证据、向网络设备的管理员输出该变换的结果、使用该变换的结果以减轻网络设备的盗窃和在数据库或者服务器中存储该变化的结果。附加地或者备选地，这里记载的模块中的一个或者多个模块可以通过在计算设备上执行、在计算设备上存储数据和/或以别的方式与计算设备交互来将物理计算设备的处理器、易失性存储器、非易失性存储器和/或任何其它部分从一个形 式变换成另一形式。

这里描述和/或图示的步骤的过程参数和序列仅通过示例而被给出并且可以如希望的那样变化。例如，尽管可以按照特定顺序示出或者讨论这里图示和/或描述的步骤，但是未必需要按照图示或者讨论的顺序执行这些步骤。这里描述和/或图示的各种示例性方法也可以省略这里描述的步骤中的一个或者多个步骤或者除了公开的步骤之外还包括附加步骤。

已经提供了前文描述以使本领域其他技术人员能够最佳地利用这里公开的示例性实施例的各种方面。这一示例性描述并未旨在于穷举或者限于公开的任何精确形式。许多修改和变化是可能的而未脱离本公开内容的精神实质和范围。这里公开的实施例应当在所有方面被视为示例而非限制。应当在确定本公开内容的范围时参照所附权利要求及其等效。

除非另有指明，术语“连接到”和“耦合到”(及其派生词)如在说明书和权利要求书中所用将被解释为允许直接和间接(即经由其它单元或者部件)连接。此外，术语“一个”如在说明书和权利要求书中所用将被解释为意味着“的至少一个”。最后，为了易于使用，术语“包括”和“具有”(及其派生词)如在说明书和权利要求书中所用与措辞“包括”可互换并且具有与该措辞相同的含义。