基于网络状态控制访问的制作方法
【专利摘要】本文的实施例涉及基于网络的状态信息,控制对设备的访问。该设备连接至该网络并检测来自该网络的状态信息。此外,基于所检测的状态信息,该设备控制对该设备的特征的访问。不管该设备的电源状态和该设备的操作系统(OS)的操作状态中至少一种如何,该设备都检测该状态信息且控制访问。
【专利说明】基于网络状态控制访问
【背景技术】
[0001]客户端设备在通电时可以连接至网络。进一步,客户端设备可以基于该客户端设备所连接至的网络的状态而试图改变其提供哪些服务。例如,如果客户端设备连接至未知网络,则客户端设备可以禁用它的服务中的一些。否则,未经授权方会获得访问机密信息或服务的权限。为了提供用于基于外部条件(如与客户端设备连接的网络的状态)控制客户端设备的功能的更有效方法,制造商、供应商和/或用户面临挑战。
【专利附图】
【附图说明】
[0002]下面的详细描述参照附图,其中:
[0003]图1是设备的示例框图;
[0004]图2是设备的另一示例框图;
[0005]图3是包括用于基于网络状态控制访问的指令的计算设备的示例框图;以及
[0006]图4是用于基于网络状态控制访问的方法的示例流程图。
【具体实施方式】
[0007]在下面的描述中给出了具体细节,以提供对实施例的深入理解。然而,本领域技术人员将理解,实施例可以在没有这些具体细节的条件下实施。例如,系统可以在框图中示出,以便不以不必要的细节使实施例模糊。在其它实例中,可以在没有不必要细节的条件下示出众所周知的过程、结构和技术,以避免使实施例模糊。
[0008]客户端设备可以基于该客户端设备所连接至的网络的类型或状态来试图配置其设置或功能。例如,如果客户端设备连接至未知网络,则客户端设备可以试图禁用对该客户端设备的一些类型的机密信息或专有服务的访问。通常,在客户端设备已经通电且该客户端设备的操作系统(OS)已经加载之后,该客户端设备确定网络的状态。例如,OS可以经由网络控制器与网络通信,以确定网络是否安全。
[0009]然而,在客户端已连接至网络,但OS尚未运行或客户端设备未通电期间,客户端设备仍可能容易受攻击或未经授权的访问。例如,在已加载OS之前,或当客户端设备断电时,客户端设备仍可以经由网络控制器被访问。因此,在OS甚至有机会行动之前,机密信息、专有服务、系统资源等等可以被未经授权方访问。此外,未经授权方可能破坏OS或阻止OS运行,因此将专有服务、系统资源等等无限地暴露给向未经授权方。
[0010]实施例可以阻止或减少未经授权方通过网络访问客户端设备的可能性。例如,不管客户端设备的电源状态如何,或不管客户端设备的操作系统(OS)的操作状态如何,实施例都可以检测关于网络的状态信息。此外,实施例可以基于所检测的状态信息,控制对客户端设备的访问。例如,实施例可以检测网络的状态信息并禁用对客户端设备的服务或客户端设备处的信息的访问,甚至在OS运行或客户端设备通电之前。
[0011]现在参考附图,图1是设备100的示例框图。设备100可以被包括在与网络150连接的任意类型的用户设备中,如安全微处理器、笔记本计算机、台式计算机、一体机系统、平板计算设备、便携式阅读设备、无线电子邮件设备、移动电话等等。在图1的实施例中,设备100包括控制模块102及网络控制器104。
[0012]控制模块102可以包括例如硬件设备,该硬件设备包括用于实现下面描述的功能的电路,如控制逻辑和/或存储器。此外或作为替代,控制模块102可以被实现为在机器可读存储介质上编码并可由处理器执行的一系列指令。例如,控制模块102可以独立地运行用于与网络控制器104交互的应用程序和/或操作系统(OS)。
[0013]网络控制器104可以是连接至网络的任意类型的设备,如网络接口卡。例如,网络控制器104可以包括利用诸如以太网、W1-F1、令牌环网等等之类的物理层和数据链路层标准进行通信的电路。在图1中,网络控制器104可以将设备100(包括控制模块102)连接至网络150。
[0014]控制模块110会经由网络控制器104检测来自网络150的状态信息,并且基于所检测的状态信息控制对设备100的访问。在图1中,控制模块102被示出为输出控制访问信号,该控制访问信号可以限制对设备100的至少一部分的访问或设备100的至少一部分的功能。例如,控制模块102可以阻止通过网络150对设备100的访问,注销使用设备100的用户,限制对设备100的服务(如网页浏览器或电子邮件客户端)的访问,等等。
[0015]不管设备100的电源状态和该设备的操作系统(OS)的操作状态中至少之一如何,控制模块102都检测状态信息。例如,即便设备100未处于通电状态和/或OS尚未加载或OS在设备100上出故障,控制模块102也可以检测状态信息。因此,即使在设备100处于关闭状态或断电状态时,控制模块102也可以检测状态信息。此外,控制模块102可以在加载设备100的OS之前或与加载设备100的OS同时,检测状态信息。例如,控制模块102可以在设备100开机自检(POST)期间检测状态信息。
[0016]在一个实施例中,控制模块102可以沿独立的通信信道(如设备100的任意其它部件未使用的专用通信信道)与网络控制器104通信。因此,实施例可以,甚至在设备100通电或设备100的OS运行之前,通过控制设备100的配置或对设备100的服务或部件(未示出)的访问来提供更大的控制和/或安全。
[0017]为了甚至在设备100断电时检测状态信息,在设备100断电时,控制模块102和网络控制器104可以从电源接收电力。此外,控制模块102可以包括与设备100的OS分离地操作的软件和/或硬件逻辑。
[0018]例如,控制模块102可以包括允许控制模块102在网络层(例如,开放系统互连
(OSI)模型或互联网协议模型的第三层)执行操作的其自身的OS和/或应用程序。如下面关于图2更详细地说明的,在网络层,控制模块120可以与网络150中的组件(未示出)通信,以检测状态信息。
[0019]图2是设备200的另一示例框图。客户端200可以包括在与网络连接的任意类型的用户设备中,如安全微处理器、笔记本计算机、台式计算机、一体机系统、平板计算设备、便携式阅读设备、无线电子邮件设备、移动电话等等。在图2的实施例中,设备200包括控制模块202、网络控制器204、部件206、基本输入/输出系统(B1S) 208以及0S210。
[0020]图2的控制模块202和网络控制器204可以类似于图1中的控制模块102和网络控制器104。网络250包括网络组件252。网络组件252的示例包括路由器、交换机、网关、域控制器、服务器等等。控制模块202可以经由网络控制器204与网络组件252通信,以接收或检测来自网络组件252的状态信息。
[0021]所检测的状态信息可以包括网络250的类型、网络250内的设备200的状态、网络250的层次结构内设备200的身份等等。此外,设备200的状态可以包括被加入网络250或被隔离在网络250中。如果设备200被隔离,则可以限制设备200访问网络250的至少一部分。该网络的类型的示例可以包括个域网(PAN)、局域网(LAN)、家庭网络、存储域网(SAN)、校园网、主干网、城域网、广域网、企业私有网络、虚拟专用网(VPN)、互联网等等。
[0022]例如,如果控制模块202与网络250通信以具有给设备200分配的互联网协议(IP)地址,则设备200可以确定其在网络的层次结构内的身份。例如,控制模块202可以最初地具有通过使用诸如动态主机配置协议、无状态自动配置方法等之类的通信协议与网络组件252通信而被分配的IP地址。当接收该IP地址时,控制模块202可以确定网络内的互联网服务供应商(ISP)和/或设备200的位置。
[0023]例如,由于IP地址的分层寻址机制,控制模块202能够确定其在网络250中的身份和/或物理位置。例如,控制模块202能够通过分析该IP地址的连续片段来追踪其在网络250的层次结构内的位置。一种示例层次结构可以包括向下遍历以下级:组织、区域、位置(如区域或办公室)、公司内的组以及物理位置。此外或可替代地,控制模块202能够通过与域控制器通信来确定上述信息中的任一种。此外,如果控制模块202不能与网络250通信,则控制模块202可以确定其已被隔离。
[0024]当检测上述状态信息时,控制模块202可以控制对部件206、B10S208、0S210等等的访问和/或配置部件206、B10S208、0S210等等。例如,控制模块202可以响应于所检测的状态信息而控制对B1S的访问,如通过限制(如通过刷(flash)B1S)对B1S设置的改变或修改B1S。
[0025]此外,基于所检测的状态信息,控制模块202可以限制0S210的一些操作和/或阻止一些类型的服务或应用程序在OS上运行。此外,如果在设备200内包括多个OS,则基于所检测的状态信息,控制模块202可以确定将加载哪个OS或哪种OS。
[0026]例如,如果控制模块202确定设备200未连接至企业私有网络,则控制模块202可以阻止加载商业应用程序(如电子邮件客户端)或限制对设备200上存储的机密信息的访问。在另一示例中,如果设备200位于网络250的层次结构的职员组内,则控制模块202可以阻止对0S210的设置的任何改变,但如果设备200位于网络250的层次结构的管理员组内,则控制模块202可以允许对OS设置的改变。
[0027]此外,基于所检测的状态信息,控制模块202可以控制对部件206的硬件资源的访问或配置部件206。部件206的示例可以包括RAM、存储器、处理器、外围设备和输入/输出(I/O)设备。在一个实例中,如果确定设备200未连接至企业私有网络,则控制模块202可以阻止修改设备驱动。
[0028]在另一实例中,如果确定设备200未连接至企业私有网络,则控制模块202可以阻止I/o设备(如USB驱动器)从设备200上复制信息。可替代地,基于设备200所连接的网络250的类型,控制模块202可以确定哪种信息可以复制。例如,如果设备200连接至虚拟专用网(VPN),则控制模块202可以仅允许复制非机密信息,但如果设备200连接至家庭网络,则控制模块202可以不允许复制任意信息。
[0029]在又一实例中,基于所检测的状态信息,控制模块202可以确定将信息存储在哪儿。例如,如果设备200连接至家庭网络,则信息可以存储至设备200的本地存储器(如硬驱),或者如果该设备连接至企业私有网络,则信息可以存储至网络服务器。
[0030]虽然示出控制模块202与B10S208分离,但是实施例可以具有在B10S208中包括的控制模块202。可替代地,管理程序(hypervisor)(未示出)可以运行控制模块202和0S210。虽然图2显示控制模块202控制网络控制器204、部件206、B10S208以及0S210,但是实施例不限制于此。例如,控制模块202还可以响应于所检测的状态信息,控制处理器或电池。如上所述,实施例允许甚至在设备200断电时和/或在0S210或B10S209运行之前发生上述访问和配置控制。
[0031]图3是包括用于基于网络状态控制访问的指令的计算设备300的示例框图。在图
3的实施例中,计算设备300包括处理器310、机器可读存储介质320以及网络控制器330。图3的网络控制器330可以类似于图1和图2的网络控制器104或204。机器可读存储介质320进一步包括用于基于网络状态控制访问的指令322、324及326。
[0032]计算设备300可以是例如芯片组、笔记本计算机、平板计算设备、便携式阅读设备、无线电子邮件设备、移动电话或能够执行指令322、324和326的任意其它类型的用户设备。在特定示例中,计算设备300可以包括或连接至附加部件,如存储器、传感器、显示器等坐寸ο
[0033]处理器310可以是至少一个中央处理单元(CPU),至少一个基于半导体的微处理器,至少一个图形处理单元(GPU),适用于获取及执行在机器可读存储介质320中存储的指令的其它硬件设备,或它们的组合。处理器310可以提取、解码和执行指令322、324和326,以实现基于网络状态控制访问。作为获取及执行指令的替代或除获取及执行指令以外,处理器310可以包括包含用于执行指令322、324和326的功能的多个电子部件的至少一个集成电路(IC)、其它控制逻辑、其它电路或它们的组合。
[0034]机器可读存储介质320可以是包含或存储可执行指令的任何电的、磁的、光的或其它物理存储设备。因此,机器可读存储介质320可以是例如随机存取存储器(RAM)、电可擦除可编程只读存储器(EEPROM)、存储驱动器、光盘只读存储器(⑶-ROM)等等。因此,机器可读存储介质320可以是非瞬态的。如下面详细描述的,机器可读存储介质320可以用用于基于网络状态控制访问的一系列可执行指令进行编码。
[0035]此外,指令322、324和326在由处理器(例如,经由处理器的一个处理单元或多个处理单元)执行时可以引起处理器执行过程,如图4的过程。例如,通信指令322可以由处理器310执行,以沿通信信道(未示出)经由设备300的网络控制器330与网络(未示出)的网络组件(未示出)通信。设备300连接至网络,通信信道独立于设备300的电源状态和设备300的OS的操作状态中至少一种。
[0036]获取指令324可以由处理器310执行,以从网络组件获取与网络相关的状态信息。上面关于图1和图2提供状态信息的示例。限制指令326可以由处理器310执行,以基于所检测的状态信息限制对设备300的特征的访问。例如,基于所检测的状态信息,设备300可以限制访问设备的基本输入/输出系统(B1S)、设备的操作系统(OS)和/或设备的部件。
[0037]机器可读存储介质320还可以包括用于基于所检测的状态信息对设备300的部件(未示出)的设置进行配置的指令(未示出)。部件的示例可以包括RAM、存储器、处理器、外围设备和/或输入/输出(i/o)设备。
[0038]图4是用于基于网络状态控制访问的方法400的示例流程图。尽管下面参考设备200描述方法400的执行,但是可以利用用于执行方法400的其它合适部件,如设备100。此外,用于执行方法400的部件可以散布在多个设备(例如,与输入和输出设备通信的处理设备)之间。在特定场景中,协作工作的多个设备可以被认为是执行方法400的单个设备。方法400可以以在机器可读存储介质(如存储介质320)上存储的可执行指令的形式和/或以电路的形式实现。
[0039]在框405处,设备200经由与网络250连接的设备200的网络堆栈访问网络组件252。网络堆栈可以是计算机联网协议族的一部分,通常是与媒体层相关的低层协议。例如,在开放系统互连(OSI)模型或互联网协议模型中,网络堆栈可以包括物理层、数据链路层和网络层中至少一个。
[0040]然后,独立于设备200的OS的状态,设备200检测来自网络组件252的与网络250相关的状态信息。最后,设备200基于所检测的状态信息控制对设备200的特征的访问。所检测的状态信息可以包括以下至少一种:网络250的类型、网络250内的设备200的状态、网络250的层次结构内设备200的身份。设备200的状态包括以下至少一种:被加入网络250的一部分和被隔离在网络250的一部分内。上面关于图1和图2说明响应于所检测的状态信息由设备200可以控制的设备的特征。
[0041]根据前面,实施例提供用于基于设备所连接的网络的状态控制对设备的信息或服务的访问的方法和/或设备。此外,实施例可以防止或减少未经授权方通过网络访问设备的可能性。例如,实施例可以检测网络的状态信息并且禁用对设备的服务或信息的访问或配置设备的服务或信息,甚至在OS运行或设备通电之前。
【权利要求】
1.一种客户端设备,包括: 网络控制器,用于将所述客户端设备连接至网络;以及 控制模块,用于经由所述网络控制器检测来自所述网络的状态信息,并且基于所检测的状态信息控制对所述客户端设备的访问,其中 不管所述客户端设备的电源状态和所述客户端设备的操作系统(OS)的操作状态中至少一种如何,所述控制模块都检测所述状态信息。
2.根据权利要求1所述的客户端设备,其中当所述OS的所述操作状态不是开启状态以及所述客户端设备的所述电源状态是关闭状态中至少一种时,所述控制模块与所述网络控制器通信。
3.根据权利要求2所述的客户端设备,其中在加载所述客户端设备的OS之前,所述控制模块访问所述网络控制器,以检测所述状态信息。
4.根据权利要求3所述的客户端设备,其中基于所检测的状态信息,所述控制模块确定要加载的所述OS的类型。
5.根据权利要求1所述的客户端设备,其中基于所检测的状态信息,所述控制模块控制对以下至少一种的访问:所述客户端的基本输入/输出系统(B1S)、所述客户端设备的操作系统(OS)以及所述客户端设备的部件。
6.根据权利要求5所述的客户端设备,其中所述控制模块控制对所述客户端设备的访问进一步包括以下至少一种:控制对所述B1S的设置的访问、控制对所述部件的硬件资源的访问以及控制对所述OS执行服务的许可的访问。
7.根据权利要求6所述的客户端设备,其中基于所检测的状态信息,所述控制模块配置所述部件,所述部件包括以下至少一种:RAM、存储器、处理器、外围设备以及输入/输出(I/O)设备。
8.根据权利要求1所述的客户端设备,其中所述控制模块被包括在至少一个基本输入/输出系统(B1S)和管理程序中。
9.根据权利要求1所述的客户端设备,其中所检测的状态由所述控制模块从以下至少一种中获取:在所述网络中包括的路由器、交换机、网关、域控制器以及服务器。
10.根据权利要求1所述的客户端设备,其中 所检测的状态信息包括以下至少一种:所述网络的类型,所述网络内的所述客户端设备的状态,以及所述网络的层次结构内所述客户端设备的身份,并且 所述客户端设备的状态包括以下至少一种:被加入所述网络的一部分,以及被隔离在所述网络的一部分内。
11.一种方法,包括: 经由与网络连接的设备的网络堆栈,访问网络组件; 独立于所述设备的操作系统(OS)的状态,检测来自所述网络组件的与所述网络相关的状态信息;以及 基于所检测的状态信息,控制对所述设备的特征的访问。
12.根据权利要求11所述的方法,其中 所检测的状态信息包括以下至少一种:所述网络的类型,所述网络内的所述设备的状态,以及所述网络的层次结构内所述设备的身份,并且 所述设备的状态包括以下至少一种:被加入所述网络,以及被隔离在所述网络内。
13.一种非瞬态计算机可读存储介质,所述非瞬态计算机可读存储介质存储指令,所述指令如果由设备的处理器执行则引起所述处理器: 沿通信信道经由所述设备的网络控制器与网络的网络组件通信,其中所述设备连接至所述网络,并且所述通信信道独立于所述设备的电源状态和操作状态中至少一种; 获取来自所述网络组件的与所述网络相关的状态信息;以及 基于所检测的状态信息,限制对所述设备的特征的访问。
14.根据权利要求13所述的非瞬态计算机可读存储介质,其中所述限制包括基于所检测的状态信息限制对以下至少一种的访问:所述设备的基本输入/输出系统(B1S)、所述设备的操作系统(OS)以及所述设备的部件。
15.根据权利要求14所述的非瞬态计算机可读存储介质,进一步包括指令,该指令如果由所述处理器执行则引起所述处理器: 基于所检测的状态信息,配置所述部件的设置,所述部件包括以下至少一种:RAM、存储器、处理器、夕卜围设备和输入/输出(I/o)设备。
【文档编号】G06F21/57GK104205763SQ201280067338
【公开日】2014年12月10日 申请日期:2012年1月26日 优先权日:2012年1月26日
【发明者】克里斯托弗·J·格雷姆 申请人:惠普发展公司,有限责任合伙企业