用于檢測網絡設備的盜竊的裝置、系統和方法與流程

本申請的各實施例涉及用于檢測網絡設備的盜竊的裝置、系統和方法。

背景技術：

網絡設備(比如網關、路由器和/或交換機)經常有助于在網絡內和/或跨多個網絡的網絡流量。這些設備可以向具有因特網功能的設備的用戶提供與各種網站和在線服務的快速、靈活和/或廣泛的多媒體通信。可以在多種情形和位置(包括家里、辦公室、餐廳和甚至戶外和/或公共位置(比如路邊或者鐵路線中))安裝和/或部署網絡設備。在一個示例中，學校可以在跨它的校園的多個位置中安裝路由器和/或無線接入點。在另一示例中，包裹遞送企業可以在倉庫以外或者沿著遞送路線部署網絡設備。

盡管在這樣的位置中安裝網絡設備可以實現用于雇員、客戶和/或一般公眾的高效和廣泛的因特網接入，但是在外界或者在不安全位置中部署的網絡設備可能暴露于增加的盜竊風險。網絡設備的盜竊可能對于管理設備的企業招致成本和不便。此外，盜竊網絡設備可以允許罪犯訪問在設備內存儲和/或由設備處置的敏感信息。遺憾的是，用于標識網絡設備的盜竊的傳統方法可能不能實時準確地和/或高效地檢測盜竊危險。

本公開內容因此標識和解決了對于用于檢測網絡設備的盜竊的改進的裝置、系統和方法的需要。

技術實現要素：

如以下將更具體描述的那樣，本公開內容總體上涉及用于檢測網絡設備的盜竊的裝置、系統和方法。在一個示例中，一種用于實現這 樣的任務的裝置可以包括安全地存儲有助于網絡內的網絡流量的網絡設備的初始地理位置的安全存儲設備。這一裝置也可以包括通信地耦合到安全存儲設備的處理單元。處理單元可以確定有助于網絡內的網絡流量的網絡設備的當前地理位置。策略實行單元然后可以通過以下操作檢測網絡設備的盜竊證據：(1)比較網絡設備的當前地理位置與在安全存儲設備中安全地存儲的網絡設備的初始地理位置；以及(2)至少部分基于該比較來確定網絡設備的當前地理位置未與網絡設備的初始地理位置匹配。最后，處理單元可以響應于檢測到網絡設備的盜竊證據來執行至少一個安全動作。

相似地，一種并入了以上描述的裝置的系統可以包括安全地存儲有助于網絡內的網絡流量的路由器的初始地理位置的可信平臺模塊(TPM)芯片。這一系統也包括通信地耦合到TPM芯片的處理單元。處理單元可以確定有助于網絡內的網絡流量的路由器的當前地理位置。處理單元然后可以通過以下操作檢測路由器的盜竊證據：(1)比較路由器的當前地理位置與在TPM芯片中安全地存儲的路由器的初始地理位置；以及(2)至少部分基于該比較來確定路由器的當前地理位置未與路由器的初始地理位置匹配。最后，處理單元可以響應于檢測到路由器的盜竊證據來執行至少一個安全動作。

一種對應的方法可以包括確定有助于網絡內的網絡流量的網絡設備的當前地理位置。這一方法也可以包括通過以下操作檢測網絡設備的盜竊證據：(1)比較網絡設備的當前地理位置與結合網絡設備安全地存儲的網絡設備的初始地理位置；以及(2)至少部分基于該比較來確定網絡設備的當前地理位置未與網絡設備的初始地理位置匹配。此外，該方法可以包括響應于檢測到網絡設備的盜竊證據來執行至少一個安全動作。

可以根據這里描述的一般原理相互組合地使用來自以上提到的實施例中的任何實施例的特征。將在結合附圖和權利要求閱讀以下具體描述時更完全地理解這些和其它實施例、特征和優點。

附圖說明

附圖圖示了多個示例性實施例并且是說明書的一部分。與以下描述一起，這些附圖示范和說明了本公開內容的各種原理。

圖1是用于檢測網絡設備的盜竊的示例性裝置的框圖。

圖2是用于檢測網絡設備的盜竊的裝置的示例性實現方式的框圖。

圖3是標識網絡設備的位置的示例性信息的圖示。

圖4是網絡設備的示例性位置的圖示。

圖5是用于檢測網絡設備的盜竊的示例性方法的流程圖。

圖6是能夠實施這里描述和/或圖示的實施例中的一個或者多個實施例和/或結合該一個或者多個實施例使用的示例性計算系統的框圖。

貫穿附圖，相同標號和描述指示相似、但是未必相同的單元。盡管這里描述的示例性實施例易受各種修改和備選形式的影響，但是已經在附圖中通過示例示出并且這里將具體描述具體實施例。然而，這里描述的示例性實施例并未旨在于限于公開的特定形式。與其相反，本公開內容覆蓋落入所附權利要求的范圍內的所有修改、等效和備選。

具體實施方式

本公開內容描述了用于檢測網絡設備的盜竊的各種裝置、系統和方法。如以下將更具體說明的那樣，通過定期地確定網絡設備的地理位置，這里描述的各種裝置、系統和方法可以確定網絡設備當前在非預期或者異常位置中。這樣，公開的裝置、系統和方法可以推斷網絡設備已經被盜竊或者以其它方式被移除而無授權。

此外，這里描述的各種裝置、系統和方法可以能夠采取動作以最小化由網絡設備的丟失所招致的風險和/或損壞。例如，通過響應于檢測到網絡設備的盜竊證據來指引網絡設備進入受限操作模式，公開的裝置、系統和方法可以防止未授權用戶訪問在設備中存儲的數據和/ 或使用設備以有助于網絡流量。另外，通過在檢測到網絡設備的盜竊證據時立即向管理員分發通知，這里描述的各種裝置、系統和方法可以提供關于網絡設備的盜竊的實時通知、警報和/或更新。

以下將參照圖1提供有助于檢測網絡設備的盜竊的示例性裝置的具體描述。與圖2對應的討論將提供有助于檢測網絡設備的盜竊的示例性實現方式的具體描述。此外，與圖3和4對應的討論將分別提供對標識網絡設備的位置的示例性信息和網絡設備的示例性位置的具體描述。與圖5對應的討論將提供對用于檢測網絡設備的盜竊的示例性方法的具體描述。最后，與圖6對應的討論將提供可以包括圖1中所示的裝置的系統的許多示例。

圖1示出了用于檢測網絡設備的盜竊的示例性裝置100的框圖。術語“網絡設備的盜竊”如這里所用一般是指網絡設備的任何未授權、未安排和/或非希望的重新定位，該重新定位從擁有和/或管理網絡設備的管理員或者企業的物理控制移除網絡設備。此外，術語“網絡設備的盜竊證據”如這里所用一般是指網絡設備可能已經潛在地被盜竊的任何類型或者形式的指示或者提示。

如圖1中所示，裝置100可以包括存儲設備102。術語“存儲設備”如這里所用一般是指能夠存儲、記錄和/或訪問數據的任何類型或者形式的數字存儲器。在一些示例中，存儲設備102可以包括和/或代表外部存儲設備(例如，外部硬盤驅動或者服務器)。在其它示例中，存儲設備102可以包括和/或代表內部存儲設備(例如，在裝置100內的內部硬盤驅動或者隨機存取存儲器(RAM)或者只讀存儲器(ROM)的部分)。

在一些實施例中，存儲設備102可以安全地存儲數據，從而使得無恰當授權(例如，口令或者密碼密鑰)就不可訪問數據。存儲設備102可以實施任何物理和/或基于軟件的認證方案以保護存儲設備102的內容。在一個示例性實施例中，存儲設備102的全部或者部分可以包括和/或代表TPM芯片。術語“TPM芯片”如這里所用一般是指將密碼密鑰集成到計算設備中的任何類型或者形式的微處理器或者其它 計算平臺。

在一些示例中，可以在制造期間用唯一私鑰(和對應的公鑰)對TPM芯片編碼以便減少未授權方訪問私鑰的風險。附加地或者備選地，TPM芯片可以用公鑰對數據加密并且然后存儲加密的數據。由于用公鑰加密的數據僅可以用對應的私鑰來解密，所以加密的數據不可以被不知道私鑰的任何個人或者實體篡改或者變更。在一個示例中，在設備內實施的TPM芯片可以使用私鑰來對用公鑰加密的數據解密以作為在設備的引導操作期間的驗證過程的部分。如以下將更具體說明的那樣，公開的裝置、系統和方法可以利用網絡設備內的TPM芯片以幫助檢測和/或防止網絡設備的盜竊。

在一些示例中，存儲設備102可以包括或者存儲初始位置信息104。術語“位置”如這里所用一般是指計算設備可以暫時地或者持久地位于其中的任何類型或者形式的物理或者地理地點、定位、區域或者地區。位置的示例包括而不限于全球定位系統(GPS)坐標、地理位置、街道、地址、鄰里、城市、這些示例中的一個或者多個示例的組合、這些示例中的一個或者多個示例的變化和/或任何附加類型的位置。附加地，術語“初始位置”如這里所用一般是指計算設備的任何建立的、原始的、參考的和/或起始位置。另外，術語“位置信息”如這里所用一般是指描述計算設備的位置的任何類型或者形式的數據、文本和/或計算機可執行代碼。

作為可以在存儲設備102內存儲的位置信息的示例，圖3圖示了示例初始位置信息104。如圖3中所示，初始位置信息104可以用GPS坐標“44.9942°N，93.0936°W”(對應于明尼蘇達州的保羅街)來描述網絡設備的初始位置。

回顧圖1，存儲設備102可以通信地耦合到處理單元106。術語“處理單元”如這里所用一般是指執行與檢測網絡設備的盜竊有關的某些輸入/輸出(I/O)操作和/或計算任務的任何類型、形式或者部分的物理硬件、電路、設備和/或處理器。在一個示例中，處理單元106可以代表其配置和/或基礎設施被至少部分地固定的集成電路。附加地或者 備選地，處理單元106可以代表其配置和/或基礎設施至少部分地可變和/或可編程的集成電路。處理單元106的示例包括但不限于現場可編程門陣列(FPGA)、中央處理單元(CPU)、處理器、微處理器、微控制器、專用集成電路(ASIC)、在這些示例中的一個或者多個示例上安裝的軟件模塊、這些示例中的一個或者多個示例的部分、這些示例中的一個或者多個示例的變化、這些示例中的一個或者多個示例的組合或者任何其它適當處理單元。

圖2示出了包括用于檢測網絡設備的盜竊的裝置100的示例性實現方式200的框圖。如圖2中所示，實現方式200可以包括經由網絡204與計算設備206(1)-(N)通信的網絡設備202。術語“網絡”如這里所用一般是指有助于通信或者數據傳送的任何類型或者形式的介質和/或架構。網絡204的示例包括但不限于內聯網、局域網(LAN)、廣域網(WAN)、無線LAN、專用網(PAN)、因特網、功率線通信(PLC)網絡、蜂窩網絡(例如，全球移動通信系統(GSM)網絡)、這些示例中的一個或者多個示例的部分或者任何其它適當的網絡。網絡204可以有助于使用無線和/或有線連接的通信或者數據傳送。

此外，術語“網絡設備”如這里所用一般是指能夠在單個網絡(例如，LAN)內或者跨多個網絡(例如，多個WAN)的設備之中路由和/或轉發網絡流量的任何類型或者形式的設備、裝置、系統和/或應用。網絡設備202的示例包括但不限于路由器、GSM調制解調器、網關、交換機、集線器、重發器、這些示例中的一個或者多個示例的組合、這些示例中的一個或者多個示例的變化和/或任何附加類型的網絡設備。在一個示例性實施例中，網絡設備202可以代表悲劇具體設計用于室外使用的網絡設備(比如JUNIPER NETWORK的ACX500-O路由器)。

在一些示例中，網絡設備202可以有助于在多個網絡設備(比如計算設備206(1)-(N)中的一個或者多個計算設備)之間的網絡流量。術語“網絡流量”如這里所用一般是指在網絡內出現和/或從一個網絡向另一網絡傳遞的任何類型或者形式的數據傳送。在一些示例中， 網絡流量可以是指一個或者多個分組在多個計算設備之間的傳送。術語“分組”和“數據分組”如這里所用一般是指包括一個或者多個格式化的數據單位的任何類型或者形式的打包、封裝、抽象化和/或對象。

計算設備206(1)-(N)一般地代表能夠發送和/或接收分組的任何類型或者形式的設備。計算設備206(1)-(N)的示例包括但不限于臺式計算機、膝上型計算機、移動設備、具有因特網功能的電視和/或藍光播放器、服務器、網絡設備、這些示例中的一個或者多個示例的變化、這些示例中的一個或者多個示例的組合和/或任何附加類型的計算設備。

雖然圖2圖示了網絡204內的網絡設備，但是網絡設備202可以經由任何附加網絡與計算設備206(1)-(N)(和任何附加計算設備)通信。另外，網絡設備202無需連續地有助于、轉發或者路由網絡204或者另一網絡內的網絡流量。例如，在網絡設備202被盜竊的情況下，公開的裝置、系統和方法可以防止網絡設備202有助于網絡204或者任何附加網絡內的網絡流量。

另外，可以在多種位置中和出于多種目的而部署網絡設備202。例如，網絡設備202可以被安裝在公用交通車輛內以便向乘客提供無線因特網服務。在另一示例中，網絡設備202可以被安裝在倉庫或者制造廠以外以便有助于跟蹤傳入和/或傳出運送。一般而言，網絡設備202可以被安裝在任何類型或者形式的建筑物、車輛或者室外位置中。在示例性實施例中，這里描述的裝置、系統和方法可以用來檢測和/或防止在外界、在公用建筑物中或者在具有增加的盜竊風險的以其它方式不安全的位置中部署的網絡設備的盜竊。

如圖2中所示，網絡設備202可以包括圖1中的裝置100的全部或者部分。例如，存儲設備102和處理單元106可以代表網絡設備202內和/或與網絡設備202通信的存儲器和/或執行空間的任何部分。因而，網絡設備202可以經由處理單元106接收、存儲和/或訪問存儲設備102內的初始位置信息104。在一些實施例中，在網絡設備202內的處理單元106可以從管理網絡設備202的管理員或者企業接收初始 位置信息104。例如，網絡設備202的管理員可以在將網絡設備202部署于它的初始位置之前或者之時向網絡設備202配置初始位置信息104。

網絡設備202的管理員可以用多種方式向網絡設備202配置初始位置信息104。在一個示例性實施例中，管理員可以指引處理單元106通過查詢網絡設備202內的GPS來標識網絡設備202的初始位置。處理單元106也可以使用技術(比如IP地址地理位置、多點定位、信號強度分析、這些示例中的一個或者多個示例的組合、這些示例中的一個或者多個示例的變化/和/或附加地理位置技術)來標識網絡設備202的初始位置。在初始位置被標識之后，管理員可以提示網絡設備202將指示該位置的信息存儲為初始位置信息104。在另一實施例中，管理員可以將位置(例如，街道地址)人工地鍵入網絡設備202的用戶界面中。另外，管理員可以進入網絡設備202可以位于其中的位置地理區域或者范圍(例如，在網絡設備202可以被部署在大型建筑物內的多個位置中或者安裝在遵循某個路線的移動車輛內)。

處理單元106可以采取一個或者多個措施以保證存儲設備102內的初始位置信息104的安全。例如，處理單元106可以請求管理員在錄入初始位置信息104之前(或者在網絡設備202被重新定位的情況下在更新初始位置信息104之前)將恰當認證證書(例如，用戶名和/或口令)錄入到網絡設備202中。附加地或者備選地，處理單元106可以指引存儲設備102內的TPM芯片用密碼密鑰加密初始位置信息104。

在存儲設備102接收和存儲初始位置信息104之后，處理單元106可以定期地確定網絡設備202的當前位置。術語“當前位置”如這里所用一般是指計算設備當前位于其中的最新位置。處理單元106可以用任何適當方式(包括使用以上結合確定網絡設備202的初始位置討論的地理位置技術中的任何一種或者組合)來確定網絡設備202的當前位置。

在一些示例中，處理單元106可以在網絡設備202在操作中之時 以某個間隔(例如，每5秒、每分鐘等)確定網絡設備202的當前位置。附加地或者備選地，處理單元106可以響應于網絡設備202的重新引導來確定網絡設備202的當前位置。在一些實施例中，網絡設備202的管理員可以指定處理單元106確定網絡設備202的當前位置的定期基礎。

在確定網絡設備202的當前位置之后，處理單元106可以存儲標識當前位置的信息(例如，在處理單元106的存儲器的高速緩存或者其它快速訪問部分內)。作為標識網絡設備的當前位置的信息的示例，圖3圖示了當前位置信息302。在這一示例中，當前位置信息302可以用GPS坐標“44.9778°N，93.2650°W”(對應于明尼蘇達州明尼阿波利斯市)來描述網絡設備202的當前位置。

每當處理單元106確定網絡設備202的當前位置，處理單元106可以比較當前位置與網絡設備202的初始位置。在一個示例中，處理單元106可以確定描述網絡設備202的當前位置的GPS坐標是否與描述網絡設備202的初始位置的GPS坐標匹配。在另一示例中，處理單元106可以確定網絡設備202是否位于網絡設備202原先被安裝在的相同地址處。在這些示例中，處理單元106可以在用來描述初始和當前位置的信息(例如，地址和/或GPS坐標)未匹配的情況下檢測到網絡設備202的盜竊證據。

在其它示例中，處理單元106可以確定網絡設備202的當前位置是否在網絡設備202的初始位置的某個距離內。例如，處理單元106可以確定網絡設備202的當前位置是否滿足在初始位置的半英里內的閾值、在與初始位置相同的鄰里內的閾值或者在與初始位置相同的城市內的閾值。在這些示例中，處理單元106可以在網絡設備202的當前位置在距網絡設備202的初始位置的指定的閾值以外的情況下檢測到網絡設備202的盜竊證據。以這一方式，公開的裝置、系統和方法可以考慮在計算網絡設備202的位置和/或網絡設備202的正常移動(例如，在企業的建筑物或者校園內)時的正常誤差。

作為確定網絡設備的當前位置是否在初始位置的某個距離內的 示例，圖4圖示了初始地理位置402和當前地理位置404。如圖4中所示，初始地理位置404可以在初始地理位置402以外多于距離406。在一個示例中，初始地理位置402可以代表由圖3中的初始位置信息104指定的位置。當前地理位置404可以代表由當前位置信息302指定的位置。此外，距離406可以代表一英里的距離。

在這一示例中，處理單元106可以比較(描述初始地理位置402的)初始位置信息104內的GPS坐標與(描述當前地理位置404的)當前位置信息302內的GPS坐標。基于該比較，處理單元106可以確定網絡設備202的當前位置(明尼蘇達州明尼阿波利斯市)在距網絡設備202的初始位置(明尼蘇達州保羅街)的8.76英里遠。由于當前地理位置404在距初始地理位置402的距離406以外，所以處理單元106可以確定當前地理位置404未與初始地理位置402匹配。這樣，處理單元106可以檢測到網絡設備202的盜竊證據。

處理單元106可以響應于檢測到網絡設備202的盜竊證據來執行多種安全動作中的任何安全動作。在一些示例中，處理單元106可以指引網絡設備202在對網絡設備202的行為和/或功能施加限制的受限模式內操作。在一個示例中，處理單元106可以通過防止網絡設備202執行引導操作來指引網絡設備202在受限操作模式內操作。在這一示例中，在存儲設備102內的TPM芯片可以在平臺配置寄存器(PCR)內存儲網絡設備202的初始位置。處理單元106可以綁定PCR寄存器與網絡設備202的引導操作，從而使得在處理單元106確定網絡設備202的當前位置未與在PCR內存儲的網絡設備202的初始位置匹配的情況下防止網絡設備202引導。反言之，在存儲設備102內的TPM芯片可以響應于確定網絡設備202的當前位置與網絡設備202的初始位置匹配來允許網絡設備202正常地引導。

在另一示例中，處理單元106可以通過防止網絡設備202有助于網絡流量來指引網絡設備202在受限操作模式內操作。例如，處理單元106可以保持或者刪除向網絡設備202分發的分組的全部或者部分而不是將分組轉發到它們的既定目的地。附加地或者備選地，處理單 元106可以防止對網絡設備202的配置做出任何改變。例如，處理單元106可以防止竊賊配置網絡設備202以有助于它們自己的網絡內的網絡流量。

除了限制網絡設備202的用于有助于網絡流量的能力之外，處理單元106還可以通過防止用戶訪問在網絡設備202內存儲的數據來實行網絡設備202內的受限操作模式。例如，處理單元106可以禁止經由通用串行總線(USB)端口、高級技術附接(ATA)端口、火線端口和/或任何附加類型的數據傳送端口傳送數據。以這一方式，處理單元106可以保護在網絡設備202內存儲和/或由網絡設備202處置的敏感數據的內容。

在一些示例中，處理單元106可以使網絡設備202限于受限操作模式，直至確定網絡設備202不再在盜竊威脅之下或者為竊賊所擁有。例如，處理單元106可以實行受限操作模式，直至確定網絡設備202已經被歸還到它的初始地理位置。附加地或者備選地，處理單元106可以實行受限操作模式，直至確定用戶已經向網絡設備202中錄入了使網絡設備202能夠返回到正常操作模式和/或證實用戶的認證證書。

作為示例，在指引網絡設備202在受限操作模式內操作之后，處理單元106可以提示(例如，經由網絡設備202的用戶界面)網絡設備202的管理員錄入口令和/或用戶名。處理單元106然后可以比較錄入的證書與預定義的證書集合(例如，存儲在存儲設備102中的TPM芯片內)。在錄入的證書與存儲的證書匹配的情況下，處理單元106可以解除對網絡設備202的功能施加的任何限制，從而使網絡設備202能夠返回到它的原有操作模式。在錄入的證書未與存儲的證書匹配的情況下，處理單元106可以繼續施加受限操作模式和/或向網絡設備202的管理員通知不正確地錄入的證書。

除了指引網絡設備202在受限操作模式內操作之外或者取而代之，處理單元106可以響應于檢測到網絡設備202的盜竊證據來通知管理員。例如，處理單元106可以經由網絡204向預定目的地(例如，由管理員管理的電子郵件地址、電話號碼或者網站)分發消息(例如， 電子郵件、文本或者短媒體消息(SMS))。消息可以包含關于網絡設備202的盜竊證據的多種信息中的任何信息(比如潛在盜竊出現的位置和/或時間)。

在一些示例中，處理單元106可以指引網絡設備202繼續向管理員更新網絡設備202的當前位置，直至確定網絡設備202不再在盜竊威脅之下。例如，處理單元106可以繼續更新管理員，直至用戶已經向網絡設備202中錄入了適當認證證書或者直至網絡設備202返回到它的初始位置。在用戶錄入適當認證證書和/或網絡設備202已經返回到它的初始位置之后，處理單元106可以向網絡設備202的管理員分發最終消息。最終消息可以向管理員通知網絡設備202的當前位置和/或用戶已經推翻(override)了受限操作模式。

在一些示例中，企業可以向多個網絡設備配置這里描述的防盜竊裝置、系統和方法。在這些示例中，網絡設備可以與接收關于網絡設備的潛在盜竊的通知的中央服務器通信。在一些實施例中，中央服務器可以向適當方(例如，網絡設備的特定技術員或者管理者)分發通知。此外，中央服務器可以指引網絡設備服從某些操作模式和/或執行與維持網絡設備的安全有關的任何附加任務。

在一些實施例中，處理單元106可以不能準確地標識網絡設備202的當前位置。例如，在網絡設備202內的GPS可以由于惡劣天氣或者受損的零件而不工作。在這些實施例中，處理單元106可以指引網絡設備202在受限操作模式內操作，因為處理單元106可以不能驗證網絡設備202已經被盜竊。然而，處理單元106可以響應于用戶向網絡設備202中錄入適當認證證書來使網絡設備202能夠返回到正常操作模式。

在一些示例中，處理單元106可以針對網絡設備202監視網絡設備202的附加盜竊證據。例如，嘗試盜竊網絡設備202的個人可以從向網絡設備202提供功率的外部功率供應將網絡設備202斷開連接(例如，以便更容易地運送網絡設備202)。在另一示例中，在網絡設備202由電池供電的情況下，電池可以在網絡設備202已經被盜竊 之后的某點用完功率。這樣，處理單元106可以針對網絡設備202監視網絡設備202正在經歷未安排的功率停用的任何指示。

在一些實施例中，處理單元106可以利用網絡設備202內或者網絡設備202可訪問的掉電告警電容器或者任何類型的備用或者暫時功率源以檢測網絡設備202正在經歷未安排的功率停用。術語“掉電告警電容器”如這里所用一般是指電子電路中的在從電路移除功率供應之后放電相對少量能量的任何類型或者形式的電容或者電荷存儲元件。從掉電告警電容器放電的能量可以用來執行用于計算設備的任何最終任務(比如向管理員發送設備正在經歷功率停用的通知)。

在一個示例性實施例中，網絡設備202可以被配置響應于從外部功率供應斷開網絡設備202來放電某個數量的能量的掉電告警電容器。在這一實施例中，處理單元106可以利用來自掉電告警電容器的能量以向網絡設備202的管理員(例如，向由管理員管理的電子郵件地址、電話號碼或者網站)分發消息(例如，電子郵件、文本或者SMS)。消息可以包括關于功率停用的多種信息中的任何信息(比如功率停用出現的時間和/或位置)。

圖5是用于檢測網絡設備的盜竊證據的示例性方法500的流程圖。方法500可以包括確定有助于網絡內的網絡流量的網絡設備的當前地理位置的步驟(510)。可以用多種方式執行這一確定步驟。例如，處理單元106可以作為圖2中的網絡設備202的部分向網絡設備202內的GPS查詢網絡設備202的位置。附加地或者備選地，處理單元106可以使用網際協議(IP)地址地理位置和/或任何適當技術以標識網絡設備202的當前位置。在確定網絡設備202的當前位置之后，處理單元106可以存儲(例如在處理單元106的存儲器的快速訪問段內)標識網絡設備202的當前位置的信息。

處理單元106可以在多個時間和/或在多個情境中確定網絡設備202的當前地理位置。例如，處理單元106可以在定期基礎上(比如每5秒或者每分鐘)確定網絡設備202的當前位置。附加地或者備選地，處理單元106可以響應于網絡設備202的每次重新引導來確定網 絡設備202的當前位置。

回顧圖5，方法500可以附加地包括通過(1)比較網絡設備的當前地理位置與結合網絡設備安全地存儲的網絡設備的初始地理位置和(2)至少部分基于該比較來確定網絡設備的當前地理位置未與網絡設備的初始地理位置匹配來檢測網絡設備的盜竊證據的步驟(520、520(a)和520(b))。可以用多種方式執行這一檢測步驟。在一些示例中，處理單元106可以作為圖2中的網絡設備202的部分從存儲設備102內取回標識網絡設備202的初始地理位置的信息。處理單元106可以先前已經在存儲設備102內(例如，在存儲設備102的TPM芯片內)安全地存儲了這一信息。例如，存儲設備102可以在安裝或者部署網絡設備202之前或者期間已經用標識網絡設備202的初始位置的信息而被編程。

在取回標識網絡設備202的初始位置的信息之后，處理單元106可以比較初始位置信息與(在步驟510中標識的)當前位置信息。在一些示例中，處理單元106可以確定當前位置信息未與初始位置信息匹配。例如，處理單元106可以確定描述網絡設備202的當前位置的GPS坐標未與描述網絡設備202的初始位置的GPS坐標匹配。在這一示例中，處理單元106可以基于GPS坐標未與描述初始位置的GPS坐標匹配來檢測網絡設備202的盜竊證據。

在一些實施例中，處理單元106可以確定網絡設備202的當前位置在距網絡設備202的初始位置的某個距離以外。例如，處理單元106可以基于標識網絡設備202的初始和當前位置的信息來確定網絡設備202當前在距網絡設備202的初始位置的多于閾值距離(例如，一個街區、半英里等)。在另一示例中，處理單元106可以確定網絡設備202當前在與網絡設備202被安裝在其中的地理區域不同的地理區域中(例如，街道、鄰里、城市等)。在這一示例中，處理單元106可以基于確定網絡設備202的當前位置在距網絡設備202的初始位置的某個距離以外來檢測到網絡設備202的盜竊證據。

在一些示例中，處理單元106可以針對網絡設備202監視網絡設 備202的附加盜竊證據。例如，處理單元106可以監視網絡設備202以確定向網絡設備202提供功率的外部功率供應是否已經被斷開連接或者中斷從而造成意外功率停用。在一些示例中，向網絡設備202的意外功率停用可以指示竊賊已經從功率源移除了網絡設備202以便更容易地運送網絡設備202。響應于檢測到網絡設備202正在經歷意外功率停用，處理單元106可以利用掉電告警電容器以向管理員通知網絡設備202的附加盜竊證據。例如，處理單元106可以使用從掉電告警電容器放電的能量以向管理員分發關于網絡設備202在潛在盜竊出現時的時間和/或位置的消息。

返回到圖5，方法500還可以包括響應于檢測到網絡設備的盜竊證據來執行至少一個安全動作的步驟(530)。可以用多種方式執行這一執行步驟。在一個示例中，處理單元106可以作為圖2中的網絡設備202的部分響應于檢測到網絡設備202的盜竊證據來指引網絡設備202在受限操作模式內操作。處理單元106可以通過對網絡設備202的行為或者功能實行多種規則或者限制來實施受限操作模式。例如，處理單元106可以防止網絡設備202執行引導操作、防止網絡設備202有助于網絡流量、防止對網絡設備202的配置做出任何改變和/或防止訪問在網絡設備202內存儲的數據。在一些示例中，處理單元106可以實行受限操作模式，直至確定用戶已經向網絡設備202中錄入了使網絡設備202能夠返回到正常操作模式的認證證書。

除了指引網絡設備202在受限操作模式內操作之外或者取而代之，處理單元106可以向管理員通知網絡設備202的盜竊證據。例如，處理單元106可以向管理員發送消息，該消息向管理員提醒網絡設備202的盜竊證據以及潛在盜竊出現的時間和/或位置。在一些示例中，處理單元106可以繼續向管理員更新描述網絡設備202的位置的信息，直至已經恢復了網絡設備202或者已經消除了盜竊威脅。

如以上結合圖1至圖5說明的那樣，網絡設備(比如路由器或者交換機)可以安全地存儲網絡設備的初始位置。當在操作中之時，網絡設備可以定期地(例如，在某些時間間隔和/或響應于網絡設備的引 導操作)確定網絡設備的當前位置。網絡設備然后可以比較網絡設備的當前位置與網絡設備的初始位置。

在當前和初始位置未匹配(例如，當前位置在距初始位置的某個距離以外)的情況下，網絡設備可以檢測到網絡設備的盜竊證據。作為響應，網絡設備可以執行一個或者多個安全動作以減輕網絡設備的潛在盜竊所引起的威脅。例如，網絡設備可以進入限制網絡設備的功能和保護由網絡設備處置的敏感數據的受限操作模式。附加地或者備選地，網絡設備可以向網絡設備的管理員通知網絡設備的盜竊證據。

圖6是能夠實施這里描述和/或圖示的實施例中的一個或者多個實施例和/或結合該一個或者多個實施例使用的示例性計算系統600的框圖。在一些實施例中，計算系統600的全部或者部分可以單獨或者與其它單元組合執行結合圖5描述的步驟中的一個或者多個步驟和/或是用于單獨或者與其它單元組合執行結合圖5描述的步驟中的一個或者多個步驟的裝置。計算系統600的全部或者部分也可以執行和/或實施這里描述和/或圖示的任何其它步驟、方法或者過程和/或是用于執行和/或實施這里描述和/或圖示的任何其它步驟、方法或者過程的裝置。在一個示例中，計算系統600可以包括來自圖1的裝置100。

計算系統600廣義地代表任何類型或者形式的電負載，包括能夠執行計算機可讀指令的單或者多處理器計算設備或者系統。計算系統600的示例包括但不限于工作站、膝上型計算機、客戶端側終端、服務器、分布式計算系統、移動設備、網絡交換機、網絡路由器(例如，主干路由器、邊緣路由器、核心路由器、移動服務路由器、寬帶路由器等)、網絡裝置(例如，網絡安全裝置、網絡控制裝置、網絡定時裝置、SSL VPN(安全套接字層虛擬專用網絡)裝置等)、網絡控制器、網關(例如，服務網關、移動分組網關、多接入網關、安全網關等)和/或任何其它類型或者形式的計算系統或者設備。

計算系統600可以被編程、配置和/或以其它方式設計為遵循一個或者多個聯網協議。根據某些實施例，計算系統600可以被設計為用開放系統互連(OSI)參考模型的一層或者多層的協議，比如物理層 協議、鏈路層協議、網絡層協議、傳送層協議、會話層協議、表示層協議和/或應用層協議工作。例如，計算系統600可以包括根據USB協議、電氣和電子工程師協會(IEEE)1394協議、以太網協議、T1協議、同步光聯網(SONET)協議、同步數字分級(SDH)協議、綜合服務數字網(ISDN)協議、異步傳輸模式(ATM)協議、在ATM之上的點到點協議(PPPoA)、藍牙協議、IEEE 802.XX協議、幀中繼協議、令牌環協議、跨距樹協議和/或任何其它適當協議配置的網絡設備。

計算系統600可以包括各種網絡和/或計算部件。例如，計算系統600可以包括至少一個處理器614和系統存儲器616。處理器614一般地代表能夠處理數據或者解釋和執行指令的任何類型或者形式的處理單元。例如，處理器614可以代表ASIC、片上系統(例如，網絡處理器)、硬件加速器、通用處理器和/或任何其它適當處理單元。

處理器614可以根據以上討論的聯網協議中的一個或者多個聯網協議來處理數據。例如，處理器614可以執行或者實施協議棧的部分、可以處理分組、可以執行存儲器操作(例如，使分組排隊以用于以后處理)、可以執行終端用戶應用和/或可以執行任何其它處理任務。

系統存儲器616一般地代表能夠存儲數據和/或其它計算機可讀指令的任何類型或者形式的易失性或者非易失性存儲設備或者介質。系統存儲器616的示例包括但不限于RAM、ROM、閃存或者任何其它適當存儲器設備。雖然非必需，但是在某些實施例中，計算系統600可以包括易失性存儲器單元(如例如系統存儲器616)和非易失性存儲設備(如例如以下具體描述的主存儲設備632)。系統存儲器616可以被實施為網絡設備中的共享存儲器和/或分布式存儲器。另外，系統存儲器616可以存儲在聯網操作中使用的分組和/或其它信息。

在某些實施例中，示例計算系統600除了處理器614和系統存儲器616之外也可以包括一個或者多個部件或者單元。例如，如圖6中所示，計算系統600可以包括各自可以經由通信基礎設施612互連的存儲器控制器618、I/O控制器620和通信接口622。通信基礎設施 612一般地代表能夠有助于在計算設備的一個或者多個部件之間的通信的任何類型或者形式的基礎設施。通信基礎設施612的示例包括但不限于通信總線(比如串行ATA(SATA)、工業標準架構(ISA)、外圍部件互連(PCI)、PCI快速(PCIe)和/或任何其它適當總線)和網絡。

存儲器控制器618一般地代表能夠處置存儲器或者數據或者控制在計算系統600的一個或者多個部件之間的通信的任何類型或者形式的設備。例如，在某些實施例中，存儲器控制器618可以控制經由通信基礎設施612在處理器614、系統存儲器616和I/O控制器620之間的通信。在一些實施例中，存儲器控制器618可以包括可以向或者從鏈路適配器傳送數據(例如，分組)的直接存儲器訪問(DMA)單元。

I/O控制器620一般地代表能夠協調和/或控制計算設備的輸入和輸出功能的任何類型或者形式的設備或者模塊。例如，在某些實施例中，I/O控制器620可以控制或者有助于數據在計算系統600的一個或者多個單元(比如處理器614、系統存儲器616、通信接口622和存儲接口630)之間的傳送。

通信接口622廣義地代表能夠有助于在示例計算系統600與一個或者多個附加設備之間的通信的任何類型或者形式的通信設備或者適配器。例如，在某些實施例中，通信接口622可以有助于在計算系統600與包括附加計算系統的私有或者公用網絡之間的通信。通信接口622的示例包括但不限于鏈路適配器、有線網絡接口(比如網絡接口卡)、無線網絡接口(比如無線網絡接口卡)和任何其它適當接口。在至少一個實施例中，通信接口622可以經由與網絡(比如因特網)的直接鏈路來提供與遠程服務器的直接連接。通信接口622也可以例如通過局域網(比如以太網網絡)、專用網、廣域網、私有網絡(例如，虛擬私有網絡)、電話或者線纜網絡、蜂窩電話連接、衛星數據連接或者任何其它適當連接間接地提供這樣的連接。

在某些實施例中，通信接口622也可以代表被配置為有助于經由 外部總線或者通信信道在計算系統600與一個或者多個附加網絡或者存儲設備之間的通信的主機適配器。主機適配器的示例包括但不限于小型計算機系統接口(SCSI)主機適配器、USB、IEEE 1394主機適配器、ATA、并行ATA(PATA)、SATA和外部SATA(eSATA)主機適配器、光纖信道接口適配器、以太網適配器等。通信接口622也可以使計算系統600能夠參與分布式或者遠程計算。例如，通信接口622可以從遠程設備接收指令或者向遠程設備發送指令以用于執行。

如圖6中所示，示例計算系統600也可以包括經由存儲接口630耦合到通信基礎設施612的主存儲設備632和/或備用存儲設備634。存儲設備632和634一般地代表能夠存儲數據和/或其它計算機可讀指令的任何類型或者形式的存儲設備或者介質。例如，存儲設備632和634可以代表磁盤驅動(例如，所謂的硬盤驅動)、固態驅動軟盤驅動、磁帶驅動、光盤驅動、快閃驅動等。存儲接口630一般地代表用于在存儲設備632和634與計算系統600的其它部件之間傳送數據的任何類型或者形式的接口或者設備。

在某些實施例中，存儲設備632和634可以被配置為從被配置為存儲計算機軟件、數據或者其它計算機可讀信息的可移除存儲單元讀取和/或向該可移除存儲單元寫入。存儲設備632和634也可以包括用于允許向計算系統600中加載計算機軟件、數據或者其它計算機可讀指令的其它相似結構或者設備。例如，存儲設備632和634可以被配置為讀取和寫入軟件、數據或者其它計算機可讀信息。存儲設備632和634可以是計算系統600的部分或者可以是通過其它接口系統訪問的分離設備。

許多其它設備或者子系統可以連接到計算系統600。反言之，無需所有圖6中所示部件和設備存在以實現這里描述和/或圖示的實施例。也可以用與圖6中所示方式不同的方式互連以上參考的設備和子系統。計算系統600也可以運用任何數目的軟件、固件和/或硬件配置。例如，這里公開的示例性實施例中的一個或者多個示例性實施例可以 被編碼為計算機可讀介質上的計算機程序(也被稱為計算機軟件、軟件應用、計算機可讀指令或者計算機控制邏輯)。術語“計算機可讀介質”一般地是指能夠存儲或者攜帶計算機可讀指令的任何形式的設備、載體或者介質。計算機可讀介質的示例包括但不限于傳輸型介質(比如載波)和非瞬態型介質(比如磁存儲介質(例如，硬盤驅動和軟盤)、光存儲介質(例如，緊致盤(CD)和數字視頻盤(DVD))、電存儲介質(例如，固態驅動和快閃介質))和其它分發系統。

盡管前文公開內容使用特定框圖、流程圖和示例來闡述各種實施例，但是可以使用廣泛硬件、軟件或者固件(或者其任何組合)配置來個別地和/或共同地實施這里描述和/或圖示的每個框圖部件、流程圖步驟、操作和/或部件。此外，在其它部件內包含的部件的任何公開內容應當在性質上被視為舉例，因為可以實施許多其它架構以實現相同功能。

在一些示例中，圖1中的裝置100的全部或者部分可以代表云計算或者基于網絡的環境的部分。云計算和基于網絡的環境可以經由因特網提供各種服務和應用。這些云計算和基于網絡的服務(例如，軟件即服務、平臺即服務、基礎設施即服務等)可以通過web瀏覽器或者其它遠程接口可訪問。這里描述的各種功能也可以提供網絡切換能力、網關接入能力、網絡安全功能、用于網絡的內容高速緩存和遞送服務、網絡控制服務和/或其它聯網功能。

此外，這里描述的模塊中的一個或者多個模塊可以將數據、物理設備和/或物理設備的表示從一個形式變換成另一形式。例如，這里記載的模塊中的一個或者多個模塊可以接收網絡設備的地理位置、將網絡設備的地理位置變換成網絡設備的盜竊證據、向網絡設備的管理員輸出該變換的結果、使用該變換的結果以減輕網絡設備的盜竊和在數據庫或者服務器中存儲該變化的結果。附加地或者備選地，這里記載的模塊中的一個或者多個模塊可以通過在計算設備上執行、在計算設備上存儲數據和/或以別的方式與計算設備交互來將物理計算設備的處理器、易失性存儲器、非易失性存儲器和/或任何其它部分從一個形 式變換成另一形式。

這里描述和/或圖示的步驟的過程參數和序列僅通過示例而被給出并且可以如希望的那樣變化。例如，盡管可以按照特定順序示出或者討論這里圖示和/或描述的步驟，但是未必需要按照圖示或者討論的順序執行這些步驟。這里描述和/或圖示的各種示例性方法也可以省略這里描述的步驟中的一個或者多個步驟或者除了公開的步驟之外還包括附加步驟。

已經提供了前文描述以使本領域其他技術人員能夠最佳地利用這里公開的示例性實施例的各種方面。這一示例性描述并未旨在于窮舉或者限于公開的任何精確形式。許多修改和變化是可能的而未脫離本公開內容的精神實質和范圍。這里公開的實施例應當在所有方面被視為示例而非限制。應當在確定本公開內容的范圍時參照所附權利要求及其等效。

除非另有指明，術語“連接到”和“耦合到”(及其派生詞)如在說明書和權利要求書中所用將被解釋為允許直接和間接(即經由其它單元或者部件)連接。此外，術語“一個”如在說明書和權利要求書中所用將被解釋為意味著“的至少一個”。最后，為了易于使用，術語“包括”和“具有”(及其派生詞)如在說明書和權利要求書中所用與措辭“包括”可互換并且具有與該措辭相同的含義。