硬件管理接口.pdf

识别网络上的计算设备的管理控制器，并针对计算设备的属性进行询问。管理控制器在计算设备的硬件中被安全实现且其独立于计算设备的中央处理单元(CPU)。从管理控制器接收标识计算设备的一个或多个属性的数据。基于一个或多个属性针对计算设备来实现网络的安全策略。

权利要求书
1.  一种方法，包括：
识别网络上的第一计算设备的第一管理控制器，所述第一管理控制器在所述第一计算设备的硬件中实现且独立于所述第一计算设备的中央处理单元(CPU)；
针对所述第一计算设备的属性来询问所述第一管理控制器；
从所述第一管理控制器接收标识所述第一计算设备的一个或多个属性的数据；以及
基于所述一个或多个属性在所述第一计算设备上实现所述网络的安全策略。

2.  根据权利要求1所述的方法，其中，实现所述安全策略使得所述第一计算设备对域中的至少一些资源的访问根据所述安全策略而受到限制。

3.  根据权利要求1所述的方法，其中，所述安全策略是企业计算系统的策略。

4.  根据权利要求1所述的方法，还包括识别针对所述第一计算设备的第一设备驱动器，其中，所述安全策略通过使用所述第一设备驱动器与所述第一计算设备的通信来实现。

5.  根据权利要求1所述的方法，还包括使得代理安装在所述第一计算设备上。

6.  根据权利要求5所述的方法，其中，所述代理通过所述第一管理控制器来安装。

7.  根据权利要求5所述的方法，其中，所述代理是可分解的。

8.  根据权利要求5所述的方法，其中，所述代理安装在所述第一计算设备的操作系统上。

9.  根据权利要求5所述的方法，其中，使用所安装的代理来实现所述安全策略。

10.  根据权利要求5所述的方法，还包括使用所安装的代理来获得描述所述第一计算设备的额外属性的数据。

11.  根据权利要求5所述的方法，还包括确定代理是否安装在所述第一计算设备上。

12.  根据权利要求1所述的方法，其中，所述属性包括所述第一计算设备的模型标识符。

13.  根据权利要求1所述的方法，其中，所述属性包括所述第一计算设备的制造商。

14.  根据权利要求1所述的方法，其中，所述属性包括所述第一计算设备的硬件属性。

15.  根据权利要求1所述的方法，其中，所述属性包括所述第一计算设备的软件属性。

16.  至少一种机器可访问的存储介质，具有存储于其上的指令，当所述指令在机器上执行时，使得所述机器进行以下操作：
识别网络上的第一计算设备的第一管理控制器，所述第一管理控制器在所述第一计算设备的硬件中实现且独立于所述第一计算设备的CPU；
针对所述第一计算设备的属性来询问所述第一管理控制器；
从所述第一管理控制器接收标识所述第一计算设备的一个或多个属性 的数据；以及
基于所述一个或多个属性在所述第一计算设备上实现所述网络的安全策略。

17.  根据权利要求16所述的存储介质，其中，当所述指令被执行时，还使得所述机器识别针对所述第一计算设备的第一设备驱动器，其中，所述安全策略通过使用所述第一设备驱动器与所述第一计算设备的通信来实现。

18.  根据权利要求17所述的存储介质，其中，当所述指令被执行时，还使得所述机器基于所述第一设备驱动器来识别所述第一计算设备的一个或多个能力。

19.  根据权利要求16所述的存储介质，其中，当所述指令被执行时，还使得所述机器基于从嵌入到所述第一计算设备的硬件中的安全数据所导出的标识符来认证所述第一计算设备。

20.  根据权利要求19所述的存储介质，其中，所述安全数据存储在所述第一管理控制器的安全存储器中。

21.  根据权利要求19所述的存储介质，其中，当所述指令被执行时，还使得所述机器向所述第一管理控制器发送认证数据，以在所述第一管理控制器处相互认证。

22.  根据权利要求19所述的存储介质，其中，所述标识符对于所述第一计算设备和特定域的配对是唯一的。

23.  根据权利要求16所述的存储介质，其中，当所述指令被执行时，还使得所述机器发送认证数据以进行以下操作：
识别所述网络上的第二计算设备的第二管理控制器，所述第二管理控 制器在所述第二计算设备的硬件中实现且独立于所述第二计算设备的CPU；
针对所述第二计算设备的属性来询问所述第二管理控制器；
从所述第二管理控制器接收标识所述第二计算设备的一个或多个属性的数据；以及
基于所述第二计算设备的所述一个或多个属性在所述第二计算设备上实现所述网络的另一安全策略。

24.  根据权利要求23所述的存储介质，其中，所述第一计算设备的所述属性与所述第二计算设备的所述属性不同，并且应用于所述第一计算设备的所述安全策略与应用于所述第二计算设备的所述安全策略不同。

25.  根据权利要求23所述的存储介质，其中，所述第一计算设备具有与所述第二计算设备不同的类型。

26.  根据权利要求16所述的存储介质，其中，所述属性包括所述第一计算设备的模型、制造、软件功能和硬件功能中的一个或多个。

27.  一种系统，包括：
至少一个处理器设备；
至少一个存储器元件；以及
管理系统，当其由所述至少一个处理器设备执行时，适于进行以下操作：
识别网络上的第一计算设备的第一管理控制器，所述第一管理控制器在所述第一计算设备的硬件中实现且独立于所述第一计算设备的CPU；
针对所述第一计算设备的属性来询问所述第一管理控制器；
从所述第一管理控制器接收标识所述第一计算设备的一个或多个属性的数据；以及
基于所述一个或多个属性在所述第一计算设备上实现所述网络的安全策略。

说明书硬件管理接口
技术领域
概括的说，本公开内容涉及计算机管理的领域，并且更具体的说，涉及基于硬件的计算机管理。
背景技术
现代企业和网络中的计算机系统管理可以包括使用工具和技术以及用于发现网络中各个子系统的属性的工具。可以例如通过针对网络中的设备来分配和实施安全策略，来执行安全任务和管理。例如，可以基于设备的已知属性向特定的设备分配策略。此外，获得对网络中的各种设备的访问和/或与网络中的各种设备进行通信可以包括基于软件的工具被配置成使各种数据能够在不同的操作系统和设备之间进行传送。此外，可以将基于软件的代理安装在系统内的各种设备上，以向管理员提供检查、控制和执行设备上的任务(包括安全相关的任务)的能力。传统地，基于软件的代理通过主机设备的操作系统来安装，且当代理是活动的时，操作系统被启动，并且能够通过所述代理与利用并执行任务的管理服务进行通信。在这样的实例中，主机设备的管理可以被认为是基于主机设备的操作系统的存在(和可操作性)和/或所安装的代理的存在和可操作性(和安全性)。
附图说明
图1是根据至少一个实施例的示例性计算系统的简化示意图，其包括具有基于硬件的管理控制器的系统设备；
图2是根据至少一个实施例的示例性计算系统的简化框图，其包括适于与该系统中的一个或多个系统设备上的基于硬件的管理控制器对接以及使用该管理控制器的示例性管理系统；
图3是根据至少一个实施例的示例性系统设备芯片集的简化框图，其包括示例性的基于硬件的管理控制器；
图4A-4E是根据至少一个实施例示出了示例性操作的简化框图，其包括具有基于硬件的管理控制器的示例性安全管理系统和一个或多个系统设备；
图5A-5E是根据至少一个实施例示出了示例性操作的简化框图，其包括具有基于硬件的管理控制器的示例性设备管理系统和一个或多个系统设备；
图6A-6B是根据至少一个实施例示出了用于管理具有基于硬件的管理控制器的一个或多个系统设备的示例性技术的简化流程图。
在各个附图中，相同的附图标记和名称指示相同的元件。
具体实施方式
图1是示出了示例性计算系统100的简化框图，该系统100包括系统设备105，该系统设备105具有计算处理器和基于硬件的管理控制器，所述管理控制器允许管理系统和服务在带外并且独立于系统设备105的操作系统来与系统设备105通信。此外，系统设备105可以包括用于通过一个或多个通信网络110、115的信道进行通信的能力。在一个示例中，一些网络可以包括专用的或个人的计算设备的个人网络，例如在专用网110中，包括系统设备的阵列，所述系统设备包括计算机处理设备，例如智能电视120、车载计算机125、智能电话130、智能装置(例如，140)、以及其他计算设备和其他的至少部分计算机控制的或辅助的装置和设备。在一些实例中，例如当系统设备105位于家里或专用网所位于的或可访问的其他位置(例如，专用局域网的接入点)处时，系统设备105可以加入包括系统设备120、125、130、140的专用网110。在其他实例中，例如当系统设备105的用户在工作、在大学、或具有由另一组织控制的网络的另一环境中时，系统设备105可以被包括在该网络(例如企业网115)中。该第二网络115也可以包括多个各种系统设备，所述多个各种系统设备包括其他个人计算设备(例如，145、165)、计算外围设备(例如，打印机150)、企业服务器(例如，155)，以及其他潜在的系统设备。
网络110、115或域中的每一个可以包括各自的管理系统170、175，每一个管理系统170、175包括用于识别与网络对接的系统设备的基于硬件的 管理控制器的功能。管理系统170、175可以另外地与系统设备(例如105)的管理控制器对接和通信，以利用管理控制器108为系统设备105或在该系统设备105上执行设备管理任务。在一些实现中，管理控制器(例如，108)可以在系统设备105的母板或芯片集上存在，并且在独立于系统设备105的中央处理单元(CPU)(以及任何操作系统)的微控制器或专用处理器上实施。从而，管理系统170、175可以通过管理控制器108来访问系统设备105的至少一些数据和控制，并通过信任的、基于硬件的控制器108来执行系统设备105的任务和扫描。
在一些实例中，管理系统170、175可以提供适用于允许系统设备105的管理控制器与管理服务器170、175对接并接收和响应管理服务器170、175的指令和请求。例如，管理系统可以提供系统安全相关的API，其中管理服务器170、175通过系统设备的管理控制器为网络110、115执行安全相关的任务。此外，系统设备的管理控制器(例如，108)可以将系统设备中的API暴露到管理系统(例如，170、175)。这样的API使用系统设备的基于硬件的管理控制器与相应域的管理系统之间的、基于硬件的通信信道。这样的通信信道可能是安全的通信信道，例如经由加密而被保护的。另外，API可以基于具有管理系统的管理控制器和/或具有管理控制器的管理系统的认证。在一些实现中，对管理控制器的认证可以基于从基于硬件的管理控制器的专用数据导出的、系统设备的安全标识符。例如，可以根据2012年12月23日提交的、名称为“Hardware-Based Device Authentication”的美国专利申请13/726140以及2012年12月23日提交的、名称为“Hardware-Based Device Authentication”的美国专利申请13/726148、和/或2012年12月23日提交的、名称为“Trusted Container”的美国专利申请13/726167中描述的原理，通过引用方式将其整体分别并入本文。
通常，在示例性的计算环境100中，“服务器”、“客户端”、“计算设备”、“网络元素”、“主机”、“系统类型的系统实体”以及“系统”(例如，105、120、125、130、140、145、150、155、165、170、175等)可以包括可以操作为接收、发送、处理、存储、或管理与计算环境100相关联的数据和信息的电子计算设备。如在本文档中所使用的，词语“计算机”、“处理器”、“处理器设备”、或“处理设备”旨在包含任何适当的处理设备。例如，被 示出为计算环境100中的单个设备的元素可以使用多个计算设备和处理器来实现，例如包括多个服务器计算机的服务器池。此外，计算设备中的任何计算设备、全部计算设备、或一些计算设备可以适用于执行任何操作系统，所述操作系统包括Linux、UNIX、微软Windows、苹果OS、苹果iOS、谷歌安卓、Windows服务器等，以及适用于虚拟化特定操作系统(包括定制的和专有的操作系统)的执行的虚拟机。
此外，除了其他的特征和硬件之外，服务器、客户端、网络元件、系统和计算设备(例如，105、120、125、130、140、145、150、155、165、170、175等)可以各自包括一个或多个处理器、计算机可读存储器、以及一个或多个接口。服务器可以包括任何适当的软件组件或模块，或能够托管(hosting)和/或提供软件应用和服务的计算设备(例如，管理系统170、175、服务器155的服务和应用等)，所述软件应用和服务包括分布式的、企业的、或基于云的软件应用、数据和服务。例如，在一些实现中，管理系统服务器170、175或计算机系统100的其他子系统可以是云实现的系统，其被配置成远程地托管、服务或管理与系统100中的其他服务和设备对接、协调、基于系统100中的其他服务和设备、由系统100中的其他服务和设备使用的数据、软件服务和应用。在一些实例中，服务器、系统、子系统、或计算设备可以实现为可以在常见的计算系统、服务器、服务器池、或云计算环境以及共享计算资源(包括共享的存储器、处理器和接口)上托管的设备的某一组合。
用户、端点、或客户端计算设备(例如，105、130、145、165等)可以包括传统的和移动的计算设备，所述传统的和移动的计算设备包括个人计算机、膝上型计算机、平板计算机、智能电话、个人数字助理、功能手机、手持视频游戏操纵杆、台式计算机、具有互联网功能的电视、以及设计成与人类用户对接且能够通过一个或多个网络(例如，110、115)与其他设备通信的其他设备。计算机辅助的，或“智能的”装置可以包括家庭的和工业的设备和机器，所述家庭的和工业的设备和机器包括计算机处理器、其他硬件、和/或由计算机处理器执行的一个或多个软件程序，所述家庭的和工业的设备和机器由计算机处理器控制、监视、辅助、补充，或者增强设备的功能。计算机辅助的装置可以包括各种各样的计算机辅助的机 器和产品，包括冰箱、洗衣机、汽车、HVAC系统、工业机械、烤箱、安全系统等。
用户计算设备、计算机辅助的装置、服务器、以及计算设备(例如，105、120、125、130、140、145、150、155、165、170、175等)的属性通常可以从设备到设备很大地变化，所述属性包括相应的操作系统和所加载的、安装的、执行的、操作的、或对每个设备来说可访问的软件集合。例如，计算设备可以运行、执行、已经安装有、或包括各种程序集，所述程序集包括以下各项的各种组合：能够由各自的设备来运行、执行、或使用的操作系统、应用、插件、小程序、虚拟机、机器图像、驱动器、可执行文件、和其他基于软件的程序。
一些系统设备还可以包括由系统设备的计算机处理器所支持的至少一个图形显示设备和用户接口，其允许用户观看系统100中提供的应用和其他程序的图形用户接口并与其进行交互，所述图形显示设备和用户接口包括与系统设备中所托管的应用进行交互的程序的用户接口和图形表示、以及与管理系统170、175等相关联的图形用户接口。此外，虽然可以在由一个用户使用方面来描述系统设备，但是本公开内容预期许多用户可以使用一个计算机或一个用户可以使用多个计算机。
虽然图1被描述为包含多个元件或与多个元件相关联，但是并非图1的计算环境100中所示出的所有元件都可以在本公开内容的各个可替代实现中使用。另外，结合图1中的示例所描述的元件中的一个或多个可以位于计算环境100的外部，而在其他实例中，某些元素可以包含在所描述的一个或多个其他元件以及所示出的实现中未描述的一个或多个其他元件中或作为其一部分。此外，图1中示出的某些元件可以与其他组件组合，并且用于除了本文中描述的这些目的之外的可替代目的或另外目的。
检测、识别、跟踪和管理计算系统中的资产一直是系统管理员面对的很大的挑战，尤其是当其与系统安全相关时。连接到网络的单个未知的、理解不足的、或监视不足的设备可能潜在地将整个系统暴露给各种安全威胁和漏洞，所述安全威胁和漏洞包括恶意软件、未授权的数据访问、流氓用户等。在一些实例中，可以将代理安装在系统设备上以辅助管理员获得系统设备的属性的概观，容易地检测并与网络上的设备通信，以及对系统 设备实施特定的安全策略。但是，未管理的设备(即，不拥有所安装的代理的设备)可能停留在管理系统的通信、控制和监视之外，所述管理系统被设计成启用设备间通信和操作、当设备进入和离开网络时检测所述设备、对各种设备应用策略，以及对网络实施安全。实际上，考虑到代理会被与未被管理的设备有关的非常缺乏的信息所危害，在一些设备上安装代理可能是困难的。此外，不同于一般的能够将未管理的设备并入到网络中并且使其对用户或网络有益，在一些实例中，可以将未管理的设备发送至隔离的或被管理的子网络，直到该未管理的设备可以被管理员可以更仔细地检查、安装了代理、更好地理解等为止。另外，随着越来越多的设备由于其越来越多地由计算处理器来控制、包括网络通信适配器、且能够与其他系统通信而变得“智能”，潜在地未管理的设备的范围持续增加。
本公开内容中描述的系统中的至少一些，例如图1和图2中的系统，可以包括在一些情况下克服了上文所讨论的缺陷以及本申请中未明确描述的其他缺陷的功能。例如，管理系统可以配备有用于与在加入或已经在由管理系统所管理的网络或域上的系统设备的芯片集上的、基于硬件的管理控制器对接的功能。除了其他的功能之外，管理系统可以利用系统设备的管理控制器硬件接口来认证和/或将管理控制器与管理系统配对、允许管理系统来检测系统设备的关键系统元件、在管理系统和系统设备之间建立安全通信、使得在系统设备上能够提供安全性、证明系统设备的状态、以及执行对系统设备的度量和监视。此外，通过经由系统设备的管理控制器来与系统设备进行通信，管理系统可以在带外或通过视野之外的信道来直接对设备交谈，影响、访问、或控制系统设备的操作系统(和/或系统设备CPU)，并独立于系统设备上代理的存在。
转到图2的示例，示出了说明示例性系统的简化框图200，该示例系统包括管理网络201、203的管理系统202、204，上述网络201、203包括各自的系统设备205、206、208、210、212、214、216、218，其中的一些具有管理控制器(例如，220、222、224、225、226、228、230)，所述管理控制器可以由管理系统202、204在其网络(例如，110、115)的管理和包括系统设备(例如，205、208、210、212、214、216、218等)的环境中使用。
在一些实现中，可以将各种不同的管理系统202、204设置成能够与各种不同的系统设备的硬件实现的管理控制器(例如，220、222、224、225、226、228、230等)对接和通信。在一些实例中，管理控制器可以在各种不同的系统设备和芯片集(包括各种制造商的芯片集)上实施。这样的芯片集可以包括系统母板、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、以及结合其他的芯片集、微处理器、和微控制器。在一些实例中，可以根据特定的标准或接口来实现管理控制器220、222、224、225、226、228、230，以允许任何管理系统适用于使用管理控制器来与要兼容的、所定义的管理控制器标准对接以及与系统实体对接。
转到图3，示出了包括示例性的基于硬件的管理控制器(例如，315)的示例性系统设备305的示例性系统设备芯片集310的简化框图300。如上文所记载的，系统设备305可以包括至少一些计算处理硬件(例如，310)，其用于至少部分地来自动化、来提供计算机辅助的控制、监视、或与系统设备305结合的其他计算机辅助功能。在该特定的示例中，系统芯片集310可以至少部分地提供系统设备305的计算机辅助的功能，包括允许系统设备通过芯片集310与一个或多个网络(例如320)连接并通信。在一个具体的示例中，系统芯片集310可以包括中央处理单元330，其利用系统存储器335来执行操作系统以及系统存储器335中的一个或多个软件程序。系统芯片集310还可以包括管理微控制器子系统315，其实施硬件实现的管理控制器，并与中央处理单元(CPU)330分离。在图3中的特定示例中，管理微控制器315可以例如被实现为系统芯片集310的硬件上的嵌入式微控制器(例如，在芯片集310的北桥芯片340上，作为专用管理控制器芯片等)。
在一些实现中，示例性管理微控制器315可以运行提供低功率的、带外管理控制器的轻型微核操作系统。在受限的、信任的、并且安全的环境中，可以在功能上将管理微控制器从CPU及其操作隔离开来。在一些实现中，管理微控制器315可以利用与系统存储器335相分离的存储器335，例如管理微控制器的闪存组件，管理控制器指令码可以从其处加载。此外，安全存储器355也可以用于存储可以由管理控制器访问和使用的认证数据、系统设备305的安全标识符、以及系统设备305(和/或芯片集310)的属性信息数据。这样的实现可以在当CPU 330、操作系统、和/或系统设备305 的其他的硬件和软件组件断电、睡眠、休眠、未装载到系统存储器335或不可获得时，允许管理微控制器315运行和可操作。实际上，在一些实现中，管理微控制器315的功率状态可以独立于其他硬件(包括芯片集310的CPU 330)的功率状态。
管理微控制器315还可以被配置成在系统设备305的操作系统不可用时访问网络。因此，管理微控制器315可以直接访问系统设备的网络接口。在一些实现中，管理微控制器可以运行完全独立的、带外通信信道(例如，通过专用TCP/IP栈)，其允许微控制器检查并接收未由CPU处理的分组以及在CPU访问其之前检查入站(inbound)和出站(outbound)的业务。有效地，可以在单个物理网络连接器(例如，在350)上维持两个逻辑网络连接，一个通过CPU 330，是带内的，并且另一个通过管理微控制器315，是带外的。可以例如基于端口号，利用网络控制器350中的网络滤波器以编程的方式将业务重新定向到主机操作系统接口或微管理控制器315处的管理控制器的接口。例如，独立的网络通信信道可以允许管理微控制器315(和使用管理微控制器实现的管理控制器)来执行各种通信以及在不考虑操作系统的状态的情况下一直有效发生的远程管理功能。
管理微控制器315可以利用其独立的和/或专用的网络通信信道来与外部系统通信，包括通过网络320与管理系统325通信。标识数据360可以在管理控制器可访问的存储器(例如，355)上维持且可以交换或用于导出与管理系统(例如，325)所交换的安全标识符，以向管理系统325认证管理控制器以及(或者可供选择地)向管理控制器认证管理系统325(除了其他的示例之外，例如，通过比较从管理系统325接收的证书与在标识数据360中维持的证书)。还可以在管理控制器可访问的存储器(例如，355)中维持属性数据365。在管理控制器和管理系统之间的安全会话中，可以向经认证的管理系统(例如，325)传送这样的属性数据365。例如，管理控制器可以经由管理系统和管理控制器之间提供的API将属性数据暴露给管理系统325，来为管理微控制器315与管理系统325之间进行消息传送提供通信接口。
管理控制器可访问的存储器(例如，355)还可以由管理微控制器来写入。在一些实现中，管理控制器可访问的存储器(例如，355)可以是非易 失性的、受保护的存储器，这是因为系统设备305的其他的硬件组件和系统设备305的操作系统无法访问该存储器，从而确保了在存储器355上存储的信息的完整性和保密性。在一些实现中，可以将对管理控制器可访问的存储器(例如，355)资源(例如，360、365)的修改限制为删除对标识数据360的请求，从而允许用户清除标识数据(例如，在卖出或重复利用系统设备之前或为了保护用户的隐私)。此外，除了受保护的管理控制器可访问的存储器(例如，355)之外，在一些实现中，管理微控制器315可以额外地访问系统存储器335自身，这允许通过管理控制器的接口来访问和暴露关于系统设备305的额外信息。例如，管理微控制器315可以用于检查系统设备305的其他组件以识别和收集系统设备的属性信息，所述属性信息包括在系统存储器中可发现的属性(例如，系统设备上的应用、系统设备上的历史活动、设备状态、网络连接、系统设备的用户简档等)。除了其他的示例之外，在其他实现中，可以向管理微控制器315提供以下功能和接口：允许管理微控制器315向系统存储器335写入或访问系统存储器335，以及在将代理、其他程序和数据加载到系统设备上时执行这种任务的功能和接口。
返回图2的示例，在管理系统202的一些示例性实现中，可以将管理系统202定制成针对诸如企业网(例如，203)之类的域来提供安全管理和其他服务。例如，安全管理系统202可以包括处理器232和存储器元件234、以及除了其他潜在的组件之外还包括包含控制器管理器236、代理管理器238、资产管理器240、以及策略管理器引擎247的一个或多个硬件和软件组件。
在一些实现中，控制器管理器236可以包括用于与域203中系统设备(例如，205、210)上的硬件实现的管理器控制器(例如，220、224)对接的功能。例如，控制器管理器236可以用于带外地与膝上型计算机210的管理控制器224对接以与管理控制器224配对。这可以包括管理控制器(例如，224)与管理系统202之间的相互认证。在一些实现中，可以在管理系统202与管理控制器(例如，224)之间交换证书、安全的标识符、以及其他的认证数据(例如，244)。在一些实例中，在配对管理系统202与管理控制器中所使用的证书或其他认证数据可以是特定于该对的(即，由 于管理控制器在与其他的管理系统(例如，204)的通信和交易中使用和期望不同的认证数据，因此可以至少部分地通过管理控制器(例如，224)来帮助维护可访问的系统设备(210)的隐私和安全性)。例如，可以根据通过引用方式并入本文的2012年12月23日提交的、名称为“Hardware-Based Device Authentication”的美国专利申请13/726140以及2012年12月23日提交的、名称为“Hardware-Based Device Authentication”的美国专利申请13/726148中描述的原理来完成管理系统和管理控制器之间的相互认证。除了其他示例之外，通过向管理系统202认证管理控制器(以及在一些实例中反之亦然)，管理系统202和管理控制器可以配对且可以在其间建立安全通信信道或API，这允许管理系统202询问管理控制器以及请求管理控制器的数据、从管理控制器接收数据，以及向管理控制器发送指令。
控制器管理器236还可以例如通过膝上型计算机210的管理控制器224来与管理控制器对接，以获得系统设备的计算功能的至少一部分属性信息。这样的属性信息可以包括存储器中存储的、管理控制器224(例如，与系统存储器相分离)可访问的数据，其标识了计算设备的制造、建模、和/或生产商，以及例如膝上型计算机的软件(例如，操作系统)、其版本等。属性信息可以由管理系统202使用，以更好地理解和管理相应的系统设备。例如，控制器管理器236可以基于属性信息来识别一个或多个设备驱动器(例如，246)，其可以由管理系统202使用以与膝上型计算机210通信，包括通过膝上型计算机210的中央处理器和操作系统的带内通信。此外，属性信息可以包括可由管理系统202在访问相应系统设备(例如，210)的安全性中可使用的信息。在一个示例中，除了管理控制器可以访问或识别的其它的信息和数据(包括当系统设备休眠或掉电或具有不能操作的操作系统等时)之外，属性信息可以包括系统设备的一个或多个设备标识符(ID)、设备的安全性设置状态(例如，该设备是否安装有代理或代理在设备上是否可操作)、自从管理系统202对管理控制器的上一次质问起设备的安全历史、系统设备已经连接超过特定时间段的网络网关、设备的网络状态(例如，其是开启的/关闭的、当前在网络上是活动的等)。
如上文所描述的，与管理控制器配对可以允许管理系统202与管理控制器通信并从管理控制器接收数据。设备控制器管理器236可以利用从管 理控制器(例如，224)获得的信息来触发额外的动作，所述额外的动作是由管理系统202进行的、与由管理系统202管理的域的安全性相关的。例如，管理系统202可以与一组安全工具合作地操作或管理一组安全工具，该组安全工具本地地部署在目标系统设备上和/或远离域中的系统设备，除了其他的示例之外，所述安全工具例如，举例来说：防火墙、网络网关、邮件网关、主机入侵保护(HIP)工具、网络入侵保护(NIP)工具、防恶意软件工具、数据丢失防护(DLP)工具、系统漏洞管理器、系统策略遵守管理器、资产临界(criticality)工具、入侵检测系统(IDS)、入侵保护系统(IPS)、和/或安全性信息管理(SIM)工具。可以定义管理着由系统设备上的安全工具如何使用以及系统设备上的安全工具要使用什么操作的安全策略。尽管如此，在一些实例中，在用于实施策略的接口直接在目标设备处的情况下，例如通过安全工具运行、加载、或与系统设备直接对接以及提供管理系统205，本地地在目标系统设备上的安全实施也是可能的。例如，在一些示例中，系统设备上的代理(例如，248、250)可以充当安全实施工具，除了其他示例之外，其例如根据应用于特定系统设备的一个或多个安全策略来阻挡本地地在设备处的特定活动、将策略指令传递到特定系统设备上的其他安全工具。可以基于系统设备的属性来将安全策略应用到系统设备。如上文所记载的，除了其他示例之外，可以使用在设备上安装的代理和/或系统设备的基于硬件的管理控制器来识别和收集这样的属性。
在一些实例中，管理系统202可以确定管理控制器(例如，224)的系统设备(例如，210)上是否安装了代理以及安装了什么类型的代理，并确定是否可以将代理(以及什么类型的代理)安装在相应的系统设备(例如，212)上，以向管理系统202提供更多的工具来扫描系统设备(例如，在管理控制器之外)、与该系统设备通信、以及在该系统设备上实施安全。实际上，在一些示例中，控制器管理器236可以使用管理控制器向系统设备210提供代理。在其他示例中，针对系统设备获得或识别的属性信息和/或设备驱动器(例如，246)(基于从管理控制器(例如，224)获得的信息)可以用于例如通过系统设备的操作系统来将代理安装在系统设备上。在一些情况下，在系统设备(例如，210)上提供的代理可以是可分解的或暂时的代 理，例如当系统设备(例如，210)在所管理的网络(例如，203)上时暂时提供的代理，当系统设备离开网络215时其被拆掉。
如在图2的示例中所示出的，示例性管理系统202还可以包括适用于与网络215上的系统设备的代理对接的代理管理器238。代理(例如，248、250)(包括基于和/或通过各自的系统设备的管理控制器在系统设备上提供的代理)，可以包括允许管理系统202来检查相应系统设备的特定属性、配置、和活动的基于软件的代理。这样的代理可以使得检测网络上的相应设备、监视特定的重要的设备属性、以及在系统设备处实行特定的安全策略非常简单。在一些实例中，管理系统202可以利用还在系统设备上的基于硬件的管理控制器(例如，222)提供的接口来将通过基于软件的代理(例如，250)提供的接口补充到其主机(例如，208)，以获得相关的安全信息并在系统设备上执行特定的安全任务。实际上，管理控制器可以提供针对系统设备的操作系统的失败的一种形式的故障保护(failsafe)，并从而系统设备上的任何代理向管理系统提供了到系统设备的工作的另一视角。
示例性管理系统202还可以包括资产管理器240。管理系统202可以将被检测为在网络215或使用网络215的系统设备与各相应的系统设备的已知的属性一起编入目录。与在网络215上检测的该组系统设备相关的这种信息可以被记录在资产库254(或其他数据库、数据结构等)中。这样的资产库254可以例如由资产管理器240构建、补充、以及管理。此外，管理系统202可以基于在资产库254中被编入目录的系统设备的属性，利用资产库254来跟踪网络内的系统设备并自动化地应用特定策略252到特定的、所检测的系统设备(例如，205、206、208、210)。此外，从对系统设备的相应管理控制器(例如，220、222、224)的询问以及与其通信所获得的各种系统设备的属性信息可以被存储在资产库254中并在资产库254中使用，以通知策略254如何被应用到网络215中的系统设备以及针对网络215中的系统设备来实施。
在一些实现中，策略管理器引擎242可以提供用于向特定系统设备分配策略252并实施所述策略的功能。此外，在一些实现中，策略管理器引擎242还可以包括用于定义新策略、修改现有策略、针对应用策略到特定的系统设备(例如，基于所检测的设备的属性)建立规则和标准的功能等。 策略管理器引擎242可以与网络中部署的以及在系统设备自身上本地地部署的一个或多个各种安全工具合作操作。例如，一些安全工具可以远离系统设备来部署，这允许策略实施远离并代表目标系统设备、应用、或个人而发生，从而允许在不将策略(或实施)推向目标自身的情况下的安全实施。例如，这在移入和移出被监视的网络的移动设备的安全实施以及未管理的设备(例如，不包括代理或能够实施重要的安全策略的其他本地安全工具的设备)的安全实施中可能是有用的。
其他域(例如，专用网201)的其他管理系统(例如，204)可以包括聚焦在辅助管理和计算环境中不同设备的互操作性上的功能。例如，设备管理系统204可以包括处理器256和存储器元件258以及实现管理系统204的功能的一个或多个组件，所述一个或多个组件包括例如控制器管理器260、关联管理器262、参考引擎264、设备间通信引擎266等。管理系统204的控制器管理器260可以适用于与网络201上的管理控制器对接。管理系统204的控制器管理器260可以拥有与上文所描述的管理系统202的控制器管理器236的功能类似的功能。例如，当不同的管理系统202、204中的每一个适用于各自与相应网络203、201中的各种系统设备上包括的常见类型或标准的控制器管理器对接和通信时，可能尤其是这样。例如，控制器管理器260可以包括用于检测系统设备(通过其控制器管理器)以及识别该系统设备是否在网络201上的功能。此外，控制器管理器260可以用于认证及配对到管理控制器(例如，225、226、228、230等)，并建立用于在相应的管理控制器和控制器管理器260之间进行消息传送的通信协议和保护用于在相应的管理控制器和控制器管理器260之间进行消息传送的通信信道。
此外，可以使用管理系统204的控制器管理器260将在系统设备处存储且管理器控制器可访问的属性信息传送至认证的管理系统204。这样的信息可以包括标识系统设备的类型和系统设备上的计算设备的信息，这允许管理系统识别和/或取得与系统设备相应的设备驱动器。这样的信息还可以包括在设备的硬件中获得的系统设备的安全标识符。
作为说明性示例，可以使用诸如家庭网络之类的专用网201上的特定智能电视设备214的管理控制器226向管理系统204发送属性信息。在该 特定的示例中，属性信息可以包括对系统设备的计算设备和/或系统设备自身的制造、模型和制造商的标识。属性信息还可以包括对由系统设备的计算设备使用的固件、操作系统、以及其他的软件的标识(包括版本信息)。使用该属性信息，管理系统(例如，使用控制器管理器)可以标识为系统设备和/或其技术设备提供设备驱动器的源(例如，245)。例如，在一个说明性的示例中，控制器管理器260可以与汽车216的内置计算系统的管理控制器228对接并获得诸如汽车的制造、模型和制造商的信息，以及在一些情况下，获得内置计算系统的制造、模型、制造商和软件版本的信息。除了其他的示例之外，控制器管理器260可以类似地与诸如个人膝上型计算机212之类的更传统的计算设备的管理控制器(例如，225)对接。在任一情况下，控制器管理器260可以使用从管理控制器获得的信息通过互联网180来询问源，例如，以识别用于下载到管理系统204的设备驱动器，以便由管理系统204在与系统设备(例如，216)通信以及暴露可用的功能、互操作性、和系统设备(例如，216)的特征中使用。
除了使用从系统设备的管理控制器获得的系统设备的属性信息来识别和获得针对系统设备的设备驱动器之外，属性信息还可以由管理系统使用以识别来自第三方源的关于系统设备的额外信息。例如，继续使用汽车216内的车载计算机的示例，汽车216(和/或车载计算机)的制造、模型、和制造商可以通过与控制器管理器260的带外通信来确定，并由管理系统204使用来识别托管关于该汽车的额外信息的源服务器(例如，255)。例如，源服务器255可以包括与汽车的制造商、交通工具历史数据库、关联于汽车的汽车维修提供商等相关联的服务器。通过与源服务器通信，管理系统204可以与源服务器共享从管理控制器228获得的信息的至少一部分，例如汽车的制造和模型、汽车的交通工具标识号(VIN)等，且可以从源服务器255获得与特定汽车相关的额外信息。这样的额外信息可以包括来自制造商的召回警示、换油记录和状态、里程信息、保养信息、以及其他信息。由管理系统204获得的信息可以用于例如生成并向用户推送警告以及关于汽车的其他消息(例如，通过诸如智能电话218之类的另一系统设备)、或针对汽车的特定属性来定制管理系统204的其他任务和通信。除了其他的示例之外，基于从域201中的其他设备(例如，212、215、218)的兼容的管 理控制器(例如，225、226、230)中的任何一个所获得的属性信息，补充数据的适当的源和类型可以类似地由管理系统204识别并使用。
在一些示例中，系统管理器204可以包括用于将网络上的两个不同的系统设备进行关联的功能，否则这两个不同的设备不适用于彼此通信或配对。如上文所记载的，在一些示例中，管理系统204可以识别与专用网110中的一个系统设备有关的信息并将该信息传送至另一系统设备，以由其他系统设备使用。例如，可以使用管理系统204的关联管理器262来生成关联(例如，272)，所述关联管理器262识别或定义专用网110中的两个或更多系统设备212、214、216、218之间的关系。例如，可以基于由管理系统经由管理系统的一个或多个用户接口从用户接收的、要将用户的系统设备212、214、216、218中的两个或更多个进行关联的用户请求来定义这样的关联。在其他实例中，管理系统可以自动地识别两个或更多个系统设备212、214、216、218之间的关联，且在一些情况下，自动地定义两个或更多个系统设备212、214、216、218之间的关联。例如，管理系统204可以识别已经被识别为在与其他类别的系统设备进行关联方面具有一些效用的不同系统设备的类别。例如，可以定义涉及智能家用装置和智能电视(或其他显示设备)的互操作，在一示例中，这允许在用户在观察或使用显示设备的同时向显示器的用户传送关于装置的状态(例如，洗衣已经完成、冰箱里没有冰激凌了、空调是开着的等)的消息。除了其他的示例之外，可以定义各种其他的关系类型和互操作，并使其可用于关联管理器262，以识别网络110中的两个不同的系统设备是有助于根据预先定义的关系或互操作来进行配对的类别。
由关联管理器262定义的、两个不同的系统设备之间的关联262可以使得关联的系统设备中的至少一个对与该关联中的另一设备相关的消息进行订阅。使用控制器管理器260，可以从网络110中的各系统设备212、214、216、218的相应管理控制器225、226、228、230获得信息，且进一步的信息可以由管理系统204使用为设备获得的设备驱动器来获得(例如，基于通过管理控制器225、226、228、230获得的信息)。例如，管理系统204可以带内或带外(或两者)询问各系统设备以针对属性信息来询问系统设备，以在识别和建立设备之间的关系中使用。在其他实例中，可以将系统 设备配置成向管理系统204推送警告、属性变化、以及其他的信息。管理系统204的设备管理器264可以管理网络110上系统设备的信息、驱动器、通信协议、状态和检测。
设备管理器264还可以例如负责使用从系统设备获得的信息，以针对额外的系统设备信息或用于为系统设备接收的消息提供上下文的信息，来询问外部源(例如，255)(例如，以确定特定错误码的定义、规范值、或其他的系统设备属性)。在已经定义了两个系统设备之间的关联、配对或订阅的情况下，管理系统204(例如，使用设备间通信引擎266)可以例如根据为第二系统设备获得的设备驱动器(例如，基于通过第二设备的管理控制器对第二系统设备的检测)，来识别关于该关联中的第一系统设备的属性信息，识别由该关联中的第二系统设备订阅的或可使用的信息类型，从该信息识别该设备的能力，以及将该信息转换成可由第二系统设备使用的形式。除了其他的示例之外，在一些实例中，在关联的系统设备之间的消息传送可以通过由管理系统204建立的统一的消息传送格式且在管理系统204与网络201中的每一系统设备之间协商。
在一些实例中，基于从第二系统设备获得的数据，从管理系统204向第一系统设备传送的消息可以遵照第一系统设备来执行，这导致了第一设备通过管理系统与第二设备互操作。仅作为一示例，汽车的内置计算机可以跟踪汽车216的各种属性，包括汽车是否被锁、其燃油液面高度、其油位、其温度、GPS数据、以及其他的特征和诊断。可以在内置计算机的管理控制器228上提供管理系统204的API，内置计算机的驱动器可以由管理系统204获得，且可以建立汽车216的管理系统204与内置计算机之间的配对和通信。从而，管理系统204可以针对汽车216的特定属性信息来询问内置计算机。此外，可以在管理系统204与智能电视214之间建立类似的配对和通信信道(例如，通过管理系统API、驱动器等)。虽然汽车216的内置计算机可能不支持与智能电视214的直接通信或互操作性(且反之亦然)，但是智能电视214和汽车的内置计算机中每一个的与管理系统204对接和通信的能力可以允许管理系统204对数据格式化并将数据从一个关联的设备推送至另一设备以由另一设备使用。例如，智能电视的屏上通知显示功能(其通过由管理系统204获得的智能电视的设备驱动器而暴露) 可以由管理系统204使用以产生可由智能电视使用以显示作为屏幕上通知的消息，所述消息包括从由用于汽车216的管理系统获得的属性信息所产生的消息。在一些实现中，从汽车216导出的消息可以通过经由管理系统204接收的通信而在智能电视上呈现为通知，这允许用户在其观看智能电视214上的节目的同时，看到与汽车216相关的通知，除了其他的属性之外，所述通知例如指示汽车216的GPS位置、汽车216是否未锁、窗户是否开着、是否燃油不足的通知。应该明白的是，该(智能电视与汽车(即，其内部计算系统)之间的关联的)示例仅是潜在地无限的各种示例中的一个，其可以通过管理系统利用硬件实现的(在一些情况下，各种非常不同的设备的)管理控制器来实现，以获得对设备的功能和通信协议和语言的洞察并促进其之间某一程度的互操作。
除了促进由管理系统204管理的专用网201中的不同设备之间的通信和互操作，管理系统204还可以通过互联网180或其它网络来促进系统设备212、214、216、218和外部服务器设备、应用、服务、或在网络201外部远离的其他源之间(例如，使用设备间通信引擎266)的互操作性。如上文所记载的，可以至少部分地向外部源服务器传送管理系统204从系统设备获得的数据(例如，通过系统设备的管理控制器)，以在提供针对设备的额外信息方面使用。这样的信息也可以连同代表远端服务器处的系统设备的各种服务的性能，由管理系统204传送。此外，除了其他的示例之外，可以向管理系统204上的系统设备传送由源服务器返回的结果以由系统设备使用。
虽然图2中的示例呈现了管理两个不同的网络115、110的两个不同的管理系统202、204，但是应该明白的是，在一些实现中，可以在关注企业的、以系统安全为中心的管理系统202的功能的顶层或除了关注企业的、以系统安全为中心的管理系统202的功能之外，来实现结合关注消费者的、以设备管理为中心的管理系统(例如，204)所描述的特征。实际上，可以开发各种不同的管理系统。这样的管理系统可以包括结合管理系统202、204所描述的特征的全部或一部分，同时适用于与各种系统设备的管理控制器对接和通信，以执行特定的管理任务。此外，如上文所记载的，除了许多其他的示例之外，具有嵌入式管理控制器的单个系统设备可以在所有者、 网络、和域之间迁移，并且因此可以在诸如家庭管理系统和办公室管理系统之类的多种不同的管理系统进行的管理之间以及与上述多种不同的管理系统的通信之间迁移。
转到图4A-4E的示例，示出了简化框图400a-e，所述简化框图400a-e说明了包括示例性管理系统(例如，405)与网络(例如，433)中的系统设备(例如，460)的管理控制器(例如，465)对接的示例性操作。在该特定的示例中，多个被管理的系统设备415、420、425、430设置在网络433上，各系统设备具有安装在系统设备上的一个或多个相应的代理440、445、450、455。安全管理系统405可以包括用于进行以下操作的功能：检测网络433上系统设备415、420、425、430的存在、从系统设备415、420、425、430获取系统设备属性数据、识别网络433上系统设备415、420、425、430的活动、对系统设备415、420、425、430提供系统安全策略、以及通过系统设备415、420、425、430的相应代理440、445、450、455实施分配的策略。
未知的设备460可以进入网络433并由管理系统405检测。在该示例中，管理系统405可以尝试与未知设备460上的管理控制器通信，并基于该尝试的结果来确定该未知的设备460是否包括管理控制器。管理系统405还可以尝试与未知设备上的代理通信或识别未知设备上的代理。在一些实现中，在识别出未知设备460包括代理时，管理系统405可以跳过对识别管理控制器和与管理控制器的通信的尝试，而是通过代理来接合(engaging)该未知设备460。此外，无法识别设备上的代理可以提示尝试与设备的基于硬件的管理控制器进行通信。
在图4A的特定示例中，未知设备460被管理系统405确定为没有代理且其进一步被识别为具有管理控制器465，管理系统405适用于与该管理控制器465对接。因此，例如，基于确定管理系统是可信的实体且管理控制器465实际上是安全的、基于硬件的管理控制器，管理系统405可以尝试向管理控制器465认证470未知设备460并与管理控制器465配对。例如，管理系统可以向管理控制器465发送由相互可信的证书权威机构颁发的证书，且管理控制器465可以验证管理系统405是证书的有效持有者。管理系统405和管理控制器465的配对还可以包括建立安全接口或通信信道(例 如，通过管理系统的API)，且可以向管理系统405暴露或发送通过管理控制器465可访问的属性数据472。除了其他的潜在设备属性之外，这样的属性数据472可以识别未知设备的唯一的设备标识符，识别该设备在最近的一段时间内连接到的网络网关，识别设备的应用和硬件，识别部署在设备460上的其他代理、安全工具、对策等。
使用从未知设备460获得的属性，安全管理系统405可以确定未知设备460的身份并认证(例如，470)该设备460。在一些实例中，管理系统405可以将从管理控制器465接收的身份和属性认为是比从设备460接收的其他的数据质量更高、值得信赖或安全。此外，在一些示例中，管理系统405可以识别设备460的属性足够识别来自一个或多个源(例如，476)的、关于该设备的额外信息。除了其他的示例之外，这样的属性可以包括设备的制造商和模型、设备的序列号、通过设备提供的服务。在一些实例中，管理系统405可以根据在安全姿态数据472中传送的属性来识别与设备相关联的远程源476。管理系统405可以利用来自源476的该额外信息，以更好的通知其与设备的交互以及增强向设备(和/或其用户)提供的服务。另外，在又一示例中，可以根据属性信息识别未知设备的驱动器，例如通过询问识别的源476。管理系统405可以识别到其已经拥有未知设备460的驱动器以及例如通过诸如互联网475之类的广域网从源476(或另一源)下载该驱动器。管理系统405可以利用该驱动器来更好地与未知设备通信以及执行涉及未知设备的动作，以及在企业网域433中协调设备460的操作。
转到图4B，在认证未知设备460之后，除了其他的任务之外，基于针对该设备460所识别的属性，可以提供480安全API，其允许管理系统与设备460对接以在设备上执行一个或多个安全相关的任务，应用企业安全并遵守设备上的策略。在图4B中所示出的一示例中，可以发现(例如，通过与管理控制器465的通信或探测(pinging)该设备460)设备460是未被管理的，这是因为其不具有与管理系统405兼容的代理(和/或相应企业域的其他安全工具、扫描器等)。因此，管理系统405可以通过管理控制器465将代理483提供到设备460上。在一些实现中，所提供的代理483可以是每一次设备460进入企业域，在设备460上存在的永久代理(至少直到代理由用户或设备460的其他设施移开)。在其他示例中，可以通过管理控制 器465将可分解的代理上载到设备460上，以由管理系统405在与设备460的当前的会话期间使用。在会话的结尾(或某一其他时间段)，可以自动地去激活、解构、和/或删除该代理。
现在转到图4C，已经建立了与管理控制器465和/或所提供的具有代理(例如，485)的设备460之间的通信，管理系统405可以通过管理控制器465来实施一个或多个安全策略。另外，基于设备460的属性(如经由管理控制器465向管理系统405传送的)，管理系统405可以确定企业的哪些安全策略与该设备相关且另外地利用安全工具、网络元件、以及企业域的其他元件来实施这样的策略。举例而言，数据访问策略可以存在于企业域中，其管理访问权限并使用存储在域中的一个或多个服务器(例如，410)上的数据资产。在图4C的示例中，根据从管理控制器460和/或代理485获得的信息，可以识别设备460的与该示例性数据访问策略相关的属性。因此，管理系统405可以根据所报告的设备属性来实施设备460上的策略(例如，在企业域中通过路由器、数据访问控制等方式)。例如，除了许多其他潜在示例之外，管理系统405可以基于该策略使得访问尝试484被阻挡486。
例如，在图4D中所示出的另一示例中，除了实施涉及设备160的、与企业域的资产(例如，系统资产410的数据资产)的直接交互的策略之外，管理系统405可以另外地实施定义资产的能力的策略，以利用域的网络433以及通过网络433利用域之外的访问资源。例如，系统设备可以利用企业网433的互联网连接来将威胁和漏洞从基于网络的资源引入企业域。例如，敏感的数据可能被泄露或被传送、与在域之外的源(例如，492)共享专用于该域的数据。此外，由外部源(例如，492)提供的资源也可能威胁域，其例如被引入该域的病毒、蠕虫、恶意软件、间谍软件、以及其他漏洞利用。
在图4D的示例中，设备460可能在连接到企业网433的同时，尝试访问由特定服务器492通过互联网475所托管的在线资源。如在图4C的示例中，管理系统可以根据从设备的管理控制器465和/或代理485接收的属性信息来发现适用于设备460的策略，并使用诸如互联网网关、防火墙以及其他工具之类的安全工具将策略应用于设备460。此外，在一些实现中，管理系统405可以与管理控制器465对接以在设备460上设施这样的策略。 在一示例中，对访问服务器492的资源的490a的尝试应用策略，使用具有由设备460共享的属性的设备可能导致该尝试被阻挡495(至少当设备460仍然在由管理系统405管理的企业网上时)。但是，当设备460离开企业网时，在一些实例中，例如当设备460使用专用家庭网络498来连接到互联网475时，可以允许设备460访问490b服务器492的资源，如在图4E的示例中所示出的。除了其他的示例之外，在可替代的实现中，即使在设备离开企业域之后，管理控制器可以允许企业域中的一些策略坚持在设备460上。
转到图5A-5E的示例，示出了简化框图500a-e，其说明了包括系统设备的示例性管理控制器的额外的示例性操作。实际上，在图5A的示例中，专用家庭网络510可以包括能够在网络510上与一个或多个智能设备通信的安全管理系统505，除了潜在的许多其他的示例之外，上述一个或多个智能设备包括个人计算设备(例如，515、530)、智能电视(例如，525)、车载计算设备520(例如，车载信息娱乐(IVI)系统)。家庭网络510中的设备(例如，515、520、525、530)可以包括能够连接到管理系统505并与管理系统505通信的、装备有芯片集的基于硬件的管理控制器(例如，535、540、545、550)。
在图5A中所示出的一示例中，未知设备555可以尝试与专用网对接并由管理系统505识别。管理系统505可以尝试识别设备555是否包括管理控制器560或用于允许在管理系统505与设备555之间协调的其他设施。在该特定的示例中，管理系统505通过管理控制器560来请求与设备的安全的、基于硬件的连接。管理系统505和管理控制器560可以建立安全的通信信道并且可以相互认证562。在管理控制器560的情况下，可以与管理系统505共享管理控制器的基于硬件的安全标识符，以在管理系统505处认证设备555和管理控制器560。此外，管理控制器555可以向管理系统505提供值得信任的属性数据564，识别系统设备555的至少一些属性以辅助管理系统505理解什么类型的设备555已经进入到网络510。属性数据564还可以包括系统设备555的唯一安全标识符且管理系统505可以根据安全标识符来识别系统设备是已知的设备，且可以基于系统设备555的值得信任的安全标识符的传输，进一步将先前生成的或获得的简档数据与系统 设备相关联。
在一示例中，在图5A中示出的，管理系统505可以根据属性数据564(或为该设备555维护的简档数据)来识别信息，例如模型号、制造商名称、或其他信息，并识别一个或多个源，包括与设备555相关的额外信息的远程源服务器(例如，570、580)。在一示例中，管理系统505可以确定其针对设备555缺少设备驱动器，并且，例如基于设备555的属性，通过搜索或询问互联网资源来识别针对设备555的驱动器的、驱动器的源570。因此，管理系统505可以与驱动器的源570通信(例如，通过互联网575)，以获得针对设备555的驱动器565。然后，驱动器565可以由管理系统505使用以更好地与设备555通信以及在专用网545上的不同设备之间促进、转换、和启用通信，否则的话其将不能彼此通信且合作地操作。
除了驱动器之外，管理系统505还可以基于设备555的属性来识别与设备555相关的其他信息的源并与源(例如，580)通信，以获得针对设备555的额外信息。管理系统505可以使用该信息来补充针对设备555获得的其他信息，例如在由管理系统505针对该设备555维护的属性数据564或简档数据中获得的信息。在图5B的示例中，管理系统505可以将先前未知的设备555识别为智能装置(例如冰箱)，所述智能装置位于家庭网络510的范围之内且拥有包括管理控制器560的计算模块。在一特定的示例中，管理系统505可以获得驱动器，以在向智能装置555传送某一组的指令中使用。另外，管理系统505可以识别与智能装置555的制造商、零售商等相关联的服务器(例如，580)。管理系统505可以与源580通信582以获得关于智能装置555模型的额外信息，例如安全特征、保修信息、维修信息、错误代码、以及来自所识别的源580的装置555的额外规范和配置信息。管理系统505可以进一步在其与装置555的交互中应用该信息。
此外，在一些实例中，管理系统505还可以使用从源580之外收集的信息来执行或辅助事务。例如，管理系统505可以通过传送所收集的或装置555的管理控制器560已知并与管理系统505共享(例如，585)的属性信息来辅助维修票据、保修审计或索赔、产品召回、软件或硬件更新等。另外，管理系统505还可以与装置555传输(例如，585)从源580获得的信息，所述信息例如装置在改进其功能中不可使用的信息。通过源580、管 理系统505和管理控制器560的合作，管理系统505可以利用与管理控制器560的安全且可信的连接来辅助提供服务并执行涉及装置555的任务，其包括但不限于：远程诊断、性能监视(例如，识别用户使用设备的倾向、设备的能源性能、置于设备上的典型负载等)、远程维修、及其他特征。实际上，可以想象并启用使用来自第三方的数据的其他服务，除了其他示例之外，在智能冰箱的示例中，所述服务例如在线购买服务、冰箱维修提供商、或可以利用从设备(例如，555)可获得的信息或通过管理控制器(例如，560)可传递到设备的信息、连同与管理系统505的安全会话的其它服务。
现在转到图5C和5D，管理系统505可以另外地充当域中两个或更多个系统设备的通信和互操作的促进器或启用器，其包括以其它方式未被设计、启用、或可配置用于相互通信和互操作的设备。举例而言，如在图5C中所示出的，特定的系统设备(例如，车载计算系统520)的一组命令和能力可以由管理系统505基于从设备520的管理控制器540以及其他源(例如，源570、580)获得的信息来识别，所述其它源包括由管理系统505针对该设备获得的驱动器。类似地，管理系统505还可以获得域510中其他设备的属性信息，例如智能装置555的命令、操作、特征、功能等。
在仅说明性的示例中，示例性的管理系统505可以协调车载计算机520和智能装置555(或潜在地在具有管理控制器535、540、545、550、560的域510中在两个或更多不同的设备515、520、525、530、555的任意组合之间)的操作。例如，可以识别或定义互操作。例如，可以识别例如在管理系统505的存储器中或编排各种设备组合之间的潜在互操作和关系的目录的外部服务器的存储器中的预定义的互操作。在其他实例中，用户可以定义两个设备之间的互操作(除了其它的示例之外，例如，使用呈现两个或更多设备的所识别的能力和功能的接口并允许用户来定义相应的操作之间的依赖性)。作为示例性的示例，可以定义互操作，当使用例如管理控制器560确定了智能冰箱中缺少容量时(例如，从冰箱中包括的量级或其他的功能获得的数据，其识别特定的冷藏室何时(例如，牛奶架、黄油架等)以低水平运行或空了)，所述互操作在车载计算机互操作处触发警报。在与管理系统505的安全会话中，管理控制器560可以通过管理控制器560与 管理系统505之间的基于硬件的API来传送已经在冰箱555中识别的低容量状况。冰箱555其自身可能缺乏向其他设备传送这样的状况的能力，更不用说特定的车载计算机520。但是，在该示例中，在管理系统505与车载计算机520之间的另一安全会话中，管理系统505可以将(例如，基于车载计算机520的驱动器)由冰箱555的管理控制器560接收的消息588转换成符合车载计算机520的通信能力、协议、可用的例程、以及可用功能的命令。例如，管理系统505可以向车载计算机520发送经转换的消息590。消息590可以由车载计算机520解释以使得车载计算机520例如在车载计算机520的显示器上呈现指令或警告。例如，显示器可以在用户发动汽车时，向用户指示冰箱的状况，辅助用户理解到杂货店的旅程对解决智能冰箱555处的发现可能是预期的。
转到图5D，在域(例如，510)中不同的和不兼容(或兼容性差的)设备之间的通信可以是单向或双向的，因为设备可以利用管理系统505作为针对该互操作的解释器和协调器而来回通信。例如，在图5D中，车载计算机520可以结合涉及由管理系统505处理的车载计算机520和冰箱555的互操作向管理系统505发送消息592。管理系统505可以基于在互操作中从另一设备接收的消息592的内容来识别针对该互操作的相应的消息类型并生成该类型的消息595(例如，基于针对冰箱计算机555获得的驱动器)。然后，冰箱555可以接收消息595并处理该消息以执行冰箱555可执行的功能和任务。仅作为潜在地无数的示例中的一个，例如，响应于与用户的使用汽车的购买旅程有关的、来自用户在车载计算机520处的请求，可以从车载计算机520发送询问消息(例如，592)，所述询问消息用于请求与冰箱的属性相关的信息(例如，冰箱容量、水过滤器状态、灯泡状态等)。可以将示例性的询问592转换成与冰箱555兼容的、冰箱计算机可以对其进行处理和响应(例如，根据图5E的示例的原理)的格式和例程。
应该明白的是，尤其是作为对计算机增强型设备和装置扩展的选择，通过域中设备的管理控制器和管理系统(例如，505)，可以在两个或更多设备之间启用潜在地无限的互操作组合。此外，尽管已经在一些上文的示例中提及了设备的各种组合，但是应该明白的是，这仅是非限制性的示例，其仅是为了示出某些原理而示出的，并且，在通过域的管理系统505与所 管理的另一设备的互操作中，可以潜在地利用具有兼容的管理控制器(例如，535、540、545、550、560)的任何设备。另外，虽然管理系统505与基于硬件的管理控制器(例如，535、540、545、550、560)之间的一些交互可以发生在诸如专用家庭WiFi网络之类的局域网上，但是，在一些实例中，可以通过一个或多个其他网络(包括蜂窝宽带数据网络、以及其他网络(例如广域网))在管理系统505与管理控制器之间建立隧道或其他的安全信道，这进一步增强了可以在设备之间定义并启用的互操作的阵列。
其他的互操作可以包括设备之间的现有互操作的增强。例如，在管理控制器(例如，535、540、545、550、560)与管理系统505之间的基于硬件的会话可以用于补充或替代已经允许(至少一部分)这样的互操作的设备的其他功能。通过利用中央管理系统505并保护基于硬件的通信、认证、和数据收集，可以增强现有的或可替代的设备间操作的安全性。此外，除了其他优点之外，管理系统505可以充当用于设备间通信和操作的网关，辅助使其免受漏洞、威胁、以及通过在各种不同的设备间操作中使用的不同的设备间通信信道、类型、网络等被引入的其他安全性问题。
转到图5E，除了促进在由管理系统505管理的域510中的设备(例如，515、520、525、530、555)之间的互操作之外，在一些实现中，管理系统505还可以促进在具有管理控制器的系统设备与在域之外的设备和系统之间的交易。例如，管理系统505可以充当网关或代理，以便与包括基于网络的系统(例如，580)的在域之外的设备和系统通信。例如，如在图5E中所示出的，系统设备(例如，520)可以经由管理系统505与网络服务器580通信而不是直接通过宽带、WiFi、或其他互联网连接来通信。例如，管理系统505可以从系统设备520接收消息596，并例如根据从系统设备管理器540或另一源(例如针对设备520的驱动器的源)获得的信息来解释该消息。在一些示例中，管理系统505可以将从设备(例如，520)产生的消息596转换成与通过互联网575(例如，根据互联网协议簇的协议等)与网络服务器580的通信相兼容的格式和协议。在其他实例中，管理系统505可以接收至少已经部分被格式化的消息，以通过互联网575向网络服务器580传送。但是，管理系统505可以通过防火墙、入侵防范、恶意软件检测、网关安全和其他服务来向根据或源于通过与设备(例如，520)的管理控制 器(例如，540)的安全会话接收到的消息所构建的分组提供域安全性。实际上，管理系统505可以充当用于与域中的任何设备通信的代理，从而隔离该设备并为该设备提供额外的安全性。因此，管理系统505还可以从网络服务器580之外接收消息598、处理消息598(例如，执行安全性扫描等)，并且在一些情况下，将消息598转换为符合系统设备的功能、协议和例程(例如，如根据来自系统设备的属性数据所确定的)。除了其他的示例之外，随后可以将该处理的消息转发596至域中的系统设备(例如，520)。
图6A-6B是示出了示例性技术的简化流程图600a-b，上述示例性技术涉及系统设备的基于硬件的管理控制器，以及在一些情况下，涉及系统设备与其交互的域的管理系统。例如，在图6A的示例中，可以在域中将设备的基于硬件的管理控制器进行标识605。对管理控制器的标识可以被限制在与域的特定管理系统兼容的那些管理控制器或被授权用于与域的特定管理系统通信的那些管理控制器。可以针对设备的属性数据来询问管理控制器。这样的属性数据可以包括从管理控制器发送的认证数据，其例如，根据设备的基于硬件的标识符生成的安全标识符。属性数据可以进一步描述设备的属性，其包括硬件、软件、地理位置、状态、以及其他的属性类型。可以将安全策略标识为与从管理控制器接收615的属性数据密切相关(例如，通过在域与管理控制器之间建立的安全信道)。然后，可以将安全策略应用620于管理控制器与给定的域之间的交互和交易。例如，可以利用部署在设备上或在域中的一个或多个安全工具来应用这样的安全策略620。
转到图6B的示例，可以识别设备的基于硬件的管理控制器625且可以针对描述设备的属性的属性数据来询问管理控制器630。可以响应于该询问来接收属性数据635，且该属性数据可以用于识别该设备的设备驱动器640。在一些实例中，识别设备驱动器640可以包括识别域中的管理系统的存储器中的设备驱动器，而在其他实例中，可以将设备驱动器识别为由远程源托管，这提示从远程源获取驱动器。然后，设备驱动器可以用于与设备通信645。可以通过设备驱动器和/或管理控制器来与该设备通信645。此外，可以利用该驱动器来定义(或识别预定义的)可以在设备与至少一个其他的设备之间实现的互操作。这样的互操作可以包括以其他方式不兼容的设备之间的互操作。除了其他的示例之外，例如，管理系统可以根据第二设 备的设备驱动器转换从第一设备接收的消息，来为第二设备生成由第二设备可动作且响应于从(潜在地，以其他方式不兼容的)第一设备接收的消息的消息。
虽然本公开内容已经围绕某些实现和通常关联的方法进行了描述，但是对于本领域的技术人员而言，对这些实现和方法的改变和置换将是显而易见的。例如，可以以与所描述的不同的顺序来执行本文中描述的动作并仍然获得期望的结果。作为一个示例，在附图中描绘的过程不必需要所示出的特定顺序，或先后顺序来实现期望的结果。所示出的系统和工具可以类似地采用可替代的架构、组件、和模块来实现类似的结果和功能。例如，在某些实现中，多任务、并行处理以及基于云的解决方案可能是有利的。其他的系统和工具也可以使用本公开内容的原理。此外，可以支持不同的用户接口布局和功能。其他的变型处于随后的权利要求书的保护范围内。
在本说明书中描述的主题和操作的实施例可以在数字电子电路、或在计算机软件、固件、或硬件中实现，其包括本说明书及其结构等同物中或其中的两个或更多个的组合中公开的结构。本说明书中描述的主题的实施例可以被实现为一个或多个计算机程序，即在计算机存储介质上编码以由数据处理装置执行或控制数据处理装置的操作的计算机程序指令的一个或多个模块。可替换地或者另外地，程序指令可以在人工生成的传播信号上编码，所述人工生成的传播信号例如机器生成的电、光、或电磁信号，其被生成用于编码信息以向适当的接收机装置传输，以由数据处理装置执行。计算机存储介质可以是以下各项或者包含在以下各项之中：计算机可读存储设备、计算机可读存储基底、随机或串行存取存储器阵列或设备、或其中的一个或两个的组合。另外，虽然计算机存储介质本身不是传播信号，但是计算机存储介质可以是在人工生成的传播信号中编码的计算机程序指令的源或目标。计算机存储介质还可以是一个或多个单独的物理组件或介质(例如，多个CD、磁盘、或其他存储设备)或包含在上述一个或多个单独的物理组件或介质内，其包括分布式软件环境或云计算环境。
虽然本说明书包含许多特定的实现细节，但是这些实现细节不应该被解释为对任何发明的保护范围或对可能请求保护的内容的限制，而是作为对特定于具体发明的具体实施例的特征的描述。在本说明书中，在单独的 实施例的上下文中描述的某些特征也可以在单个实施例的组合中实现。相反地，在单个实施例的上下文中描述的各个特征也可以分别在多个实施例中或在任何适当的子组合中实现。另外，虽然上文可以将特征描述为在某些组合中起作用且甚至初始地这样声明，但是在一些情况下，来自所声明的组合的一个或多个特征可以从该组合去除，且所声明的组合可以针对子组合或子组合的变型。
类似地，虽然以特定的顺序在附图中描绘了操作，但是这不应理解为需要以所示出的特定顺序或按先后顺序来执行这样的操作，或需要执行所示出的全部操作以实现所期望的结果。在一些环境下，多任务和并行处理可能是有利的。此外，在上文描述的实施例中各种系统组件的分离不应理解为在所有的实施例中需要这样的分离，且其应该被理解为所描述的程序组件和系统通常可以在单个软件产品中被集成在一起或封装到多个软件产品中。
通常，本公开内容的主题包括能够执行如下任务的方法、软件、计算机可执行指令、以及系统：识别网络上的第一计算设备的第一管理控制器，针对第一计算设备的属性来询问第一管理控制器，以及从第一管理控制器接收标识第一计算设备的一个或多个属性的数据。第一管理控制器可以在第一计算设备的硬件中实现，且其可以独立于第一计算设备的中央处理单元(CPU)。可以基于一个或多个属性，针对第一计算设备来实现网络的安全策略。
在一示例中，一种系统可以被实现成包括至少一个处理器设备、至少一个存储器元件、以及一种管理系统，所述管理系统适用于当由至少一个处理器设备执行时识别网络上的第一计算设备的第一管理控制器，针对第一计算设备的属性来询问第一管理控制器，以及基于从第一管理控制器接收的一个或多个属性在第一计算设备上实现网络的安全策略。
在一些实例中，实现安全策略可以使得所述第一计算设备对域中的至少一些资源的访问根据所述安全策略而受到限制。安全策略可以是企业计算系统的策略。可以识别针对第一计算设备的第一设备驱动器，通过使用第一设备驱动器与第一计算设备的通信来实现安全策略。在一些示例中，第一计算设备的属性可以包括这样的示例，如模型标识符、第一计算设备 的制造商、第一计算设备的硬件属性、和/或第一计算设备的软件属性。
在一些实例中，可以使得代理安装在第一计算设备上。例如，可以通过第一管理控制器来安装代理。可以将该代理安装在第一计算设备的操作系统上。可以使用所安装的代理来实现安全策略，且可以使用该代理来获得描述第一计算设备的额外属性的数据。在一些情况下，该代理可以是可分解的代理。在一些情况下，与第一管理控制器的通信可以揭露代理是否被安装在第一计算设备上。
在一些实例中，可以识别针对第一计算设备的第一设备驱动器。可以通过使用第一设备驱动器与第一计算设备的通信来实现安全策略。可以基于第一设备驱动器来发现第一计算设备的一个或多个能力。此外，可以基于从嵌入到第一计算设备的硬件中的安全数据所导出的标识符来认证第一计算设备。对于第一计算设备和特定域的配对，该标识符可以是唯一的。可以将安全数据存储在第一管理控制器的安全存储器中。此外，可以向第一管理控制器发送认证数据以在第一管理控制器处相互认证。
在一些实例中，除了与第一计算设备的第一管理控制器通信之外，可以识别网络上的第二计算设备的第二管理控制器，第二管理控制器在第二计算设备的硬件中实现且其独立于第二计算设备的CPU。可以针对第二计算设备的属性来询问第二管理控制器，从第二管理控制器接收标识第二计算设备的一个或多个属性的数据。另外，可以基于第二计算设备的一个或多个属性在第二计算设备上实现网络的另一安全策略。第一计算设备的属性可以与第二计算设备的属性不同且应用于第一计算设备的安全策略可以与应用于第二计算设备的安全策略不同。例如，除了潜在地许多其他示例以及前述的组合之外，第一计算设备可以是与第二计算设备不同的类型。
从而，已经描述了本主题的特定实施例。其他的实施例在随后的权利要求书的保护范围之内。在一些情况下，权利要求书中记载的动作可以以不同的顺序执行且仍然达到期望的结果。另外，在附图中描绘的过程不必需要所示出的特定顺序、或先后顺序以实现所期望的结果。