Модуль обеспечения безопасности, включающий вторичный агент, взаимодействующий с главным агентом

Настоящая заявка претендует на установление приоритета по предварительной заявке США №60/880800, поданной 16 января 2007 года. Этот документ и другие упомянутые публикации полностью включены по ссылке в настоящий документ посредством ссылки на них так, как если бы они были полностью изложены в настоящем документе.

Предпосылки создания изобретения

1. Область техники

Настоящее изобретение относится к модулю обеспечения безопасности для устройств (например, электронных устройств), в частности к модулю обеспечения безопасности для обмена данными с внешним узлом удаленного мониторинга таких устройств с целью отслеживания ресурсов и оказания помощи в восстановлении похищенных или утраченных ресурсов, и, в частности, относится к беспроводному модулю обеспечения безопасности, обеспечивающему достижение этих целей. Такие устройства могут включать, без ограничений, устройства, управляемые процессорами, например компьютеры, а также системы, которые включают устройства с процессорами, например фотокопировальные машины.

2. Уровень техники

В патенте США №4818998, выданном Lo-Jack Corporation, описан способ возвращения похищенных автомобилей, в котором полицейские транспортные средства слежения используют периодические ретранслируемые радиопередачи, автоматически включающиеся при передаче активирующих сигналов на той же несущей частоте, содержащих зашифрованную идентификационную информацию транспортного средства и побуждающих ретранслятор соответствующего транспортного средства ответить.

Технология OnStar компании GM предоставляет общую беспроводную платформу для предоставления услуг для мобильной системы. В случае использования OnStar мобильная система представляет собой автомобиль, а не переносное пользовательское устройство, например портативный компьютер. Технология OnStar может использоваться для возвращения похищенного, а также может использоваться для предоставления других услуг. При использовании OnStar устройство связывается с удаленной станцией после того, как пользователь инициирует событие.

Патент США №5748084 относится к системе отслеживания объектов, обмена данными и управления, используемой в портативном компьютере или аналогичном устройстве, включающей размещенный в компьютере маячок или приемопередатчик, обеспечивающий целостность файлов или такие стадии возвращения утраченного устройства, как передача, разрушение или шифрование конфиденциальных данных, а также испускание отслеживаемого сигнала на радиочастоте. Совокупность аппаратных средств и программного обеспечения маячка и базовой системы обеспечивает инициирование и координацию обмена данными или функционирование средств безопасности. Например, обмен данными может быть инициирован в результате неспособности ввести правильный пароль, попытки несанкционированного использования либо в результате получения устройством сигнала. При нормальной работе маячок осуществляет обычную коммуникационную функцию устройства, например работу с электронной почтой, голосовую или факсимильную связь. В программном обеспечении и аппаратных средствах реализована логика обнаружения несанкционированного использования. В предпочтительном варианте выполнения входящий сеанс передачи данных включает низкоуровневые команды управления маячком, которые обрабатываются маячком перед выдачей предупреждения или передачей данных компьютеру. В предпочтительном варианте выполнения низкоуровневые команды исполняются на уровне BIOS для того, чтобы они могли выполняться и в аварийных ситуациях, когда компоненты программного обеспечения более высокого уровня или дополнительных программных модулей перезаписаны или удалены.

В патенте США №6362736 раскрыта система для автоматического определения местонахождения персонального электронного объекта. Система включает, по крайней мере, два беспроводных устройства передачи даных. Если безопасность системы нарушена, что может быть обнаружено датчиком несанкционированного доступа или пользователем, обнаружившим утрату, и при этом компьютерная сеть или беспроводная сеть доступна, то информация о местонахождении, определенном с помощью устройства GPS, передается через устройство передачи данных.

В патенте США №6636175 раскрыто изобретение, с помощью которого пользователь может определить местонахождение удаленного устройства персонального вызова, находящегося у человека либо на объекте собственности, с тем, чтобы определить их физическое местонахождение. Местонахождение удаленного устройства определяется с помощью приемопередатчика GPS и передается провайдеру услуги по определению положения. После этого положение удаленного устройства отображается на карте пользователя. В одном из вариантов выполнения используется сеть обмена данными Bluetooth, например, в парке развлечений или торговом центре, где узлы связи Bluetooth могут быть установлены с определенными интервалами.

В патенте США №6950946 раскрыт способ обнаружения и, при необходимости, восстановления похищенных или утраченных компьютерных систем, подключаемых к сети. Компьютерная система, подключаемая к сети, генерирует идентификационную информацию, которая включает защищеннный идентификатор ID, защищенный с использованием шифровального ключа. Эту идентификационную информацию автоматически пересылают через сетевой интерфейс на модуль сервера, где ее используют для определения того, является ли соответствующая компьютерная система потерянной или похищенной. В предпочтительном варианте выполнения эта схема реализована с использованием аппаратных средств, потому что в противном случае ее реализация в операционной системе (OS) или в программном обеспечении может быть изменена таким образом, чтобы деактивировать схему.

В заявке на выдачу патента США №2003/0117316 раскрыты системы для определения местонахождения беспроводного устройства и для его отслеживания, включающие удаленную базу данных для хранения информации о местонахождении беспроводного устройства, а также соответствующие способы. В этих способах, а также при использовании соответствующих систем предусмотрена возможность работы в взаимодействии с безопасным режимом беспроводного устройства, в котором беспроводное устройство в течение периодов бездействия переходит в режим экономичного потребления энергии, в режим ожидания, либо отключается. В предпочтительном варианте выполнения для выхода из безопасного режима необходим электронный вызов-напоминание или пароль.

В заявке на выдачу патента США №2006/0123307 раскрыты устройства, системы и способы обеспечения безопасности вычислительных платформ. Устройства и системы, а также способы и изделия могут быть приспособлены для того, чтобы получать статус от независимого от операционной системы модуля, способного в определенный момент времени до загрузки операционной системы предоставлять сети независимую от операционной системы информацию о местонахождении, связанную с устройством. Независимый от операционной системы модуль может быть присоединен к, расположен вместе с или отдельно от устройства.

Все описанные выше системы имеют, по крайней мере, один общий недостаток, а именно, они не способны взаимодействовать с внешними объектами в том случае, если существующий интерфейс обмена данными станет недоступным или перестанет функционировать.

Заявитель, компания Absolute Software Corporation, разработала и предлагает на рынке Computrace - продукт и услугу, которые надежно отслеживают ресурсы и восстанавливают утраченные и похищенные ресурсы, а также систему AbsoluteTrack - надежное решение для отслеживания ресурсов и управления инвентарем, работающее на технологической платформе Computrace. Computrace устанавливает скрытый агент, который представляет собой клиентское программное обеспечение, постоянно хранящееся на жестких дисках базовых компьютеров. После установки агент автоматически связывается с центром мониторинга, регулярно передавая информацию о местонахождении и все автоматически обнаруженные данные о ресурсах. Непрерывный обмен данными между агентом и центром мониторинга не требует вмешательства со стороны пользователя и поддерживается через Интернет или телефонное соединение. Пока компьютер включен и подключен к телефонной линии либо имеет доступ к сети Интернет (через провайдера услуг Интернет (ISP) или через корпоративную сеть), агент Computrace может отправлять данные о ресурсах в центр мониторинга. Отсутствие вмешательства пользователя в обмен данными между агентом и центром мониторинга обеспечивает для авторизованного пользователя агента возможность иметь надежный доступ к актуальной информации о местонахождении и исчерпывающие данные обо всех ресурсах компьютера. Независимо от того, работает ли она автономно или используется в дополнение к действующей системе управления ресурсами, технология AbsoluteTrack зарекомендовала себя экономичной прикладной службой, способной оказывать помощь предприятиям любых размеров в осуществлении мониторинга удаленных, мобильных и настольных компьютеров, а также в ежедневном отслеживании аппаратных и программных ресурсов. Computrace зарекомендовала себя эффективным инструментом для отслеживания краж мобильных компьютеров, а также для возвращения похищенных мобильных компьютеров.

Технологии, лежащие в основе различных изделий и служб Computrace, были раскрыты и запатентованы в США и в других странах, при этом патенты, как правило, закреплялись за Absolute Software Corporation, например патенты США №5715174, 5764892, 5802280, 6244758, 6269392, 6300863 и 6507914, а также соответствующие иностранные патенты. Дополнительная информация, относящаяся к Absolute Track, была опубликована компанией Absolute Software Corporation (например, «AbsoluteTrack - Надежное решение для отслеживания компьютерных ресурсов», «белая книга», опубликована 25 апреля 2003 года).

Режимы обмена данными, доступные агенту, оказывают непосредственное влияние на способность отслеживать компьютер. Поскольку агент Computrace в настоящее время способен осуществлять обмен данными через локальную сеть, Wi-Fi, другие телефонные и Интернет-соединения, существует потребность в устройстве, которое позволяло бы агенту производить обмен данными в случае недоступности этих видов связи, например, вследствие длительного неиспользования компьютера. Существует потребность в том, чтобы в предпочтительном варианте выполнения сессии обмена данными инициировались в реальном времени, а не по плану. Существует также потребность в осуществлении обмена данными и в том случае, когда агент Computrace не способен его произвести из-за отсутствия базовой операционной системы, присутствия неподдерживаемой ОС (операционной системы), присутствия межсетевого экрана, либо при выключенной базовой системе. Существует потребность в получении отчетов об атрибутах ОС даже в том случае, если ОС не запущена. Существует также потребность в наличии возможности запуска базовой системы, выполнения мероприятий по защите данных или выполнения других служебных работ. Одна или несколько таких требуемых возможностей обеспечиваются системой восстановления похищенных ресурсов и отслеживания ресурсов, описанной ниже.

Краткое описание изобретения

Изобретение относится к модулю обеспечения безопасности, размещаемому в базовом устройстве (например, в электронном устройстве), который предоставляет вторичный агент, который взаимодействует с главным агентом в базовом устройстве и при этом функционирует независимо от базовой операционной системы базового устройства с тем, чтобы иметь возможность независимого доступа к имеющемуся в базовом устройстве интерфейсу сети связи или к интерфейсу сети специального назначения при его наличии. Модуль обеспечения безопасности можно использовать совместно с услугами, которые могут включать отслеживание ресурсов, управление ресурсами, восстановление ресурсов, уничтожение данных, развертывание программного обеспечения и т.д.

С одной стороны, настоящее изобретение имеет отношение к надежным службам восстановления похищенных ресурсов и отслеживания ресурсов. Система включает центр мониторинга, одно или несколько контролируемых устройств, модули обеспечения безопасности в контролируемых устройствах, одну или несколько действующих сетей связи и, при необходимости, абонентский доступ к, по крайней мере, одной сети связи. Контролируемые устройства могут быть автономными устройствами, например компьютерами (например, портативными или настольными компьютерами), либо устройствами или подсистемами, интегрированными в систему. Контролируемое устройство включает модуль обеспечения безопасности, главный агент и программные средства для обеспечения функционирования главного агента, который работает под управлением операционной системы (ОС) контролируемого устройства.

В одном из вариантов выполнения модуль обеспечения безопасности включает один или несколько сетевых интерфейсов или имеет совместный доступ к интерфейсам базового устройства, включает прикладной процессор, взаимодействующий с сетью, долговременное хранилище, из которого загружаются рабочая среда или система модуля обеспечения безопасности или подсистема и приложения, которые выполняются в прикладном процессоре, вспомогательный программно-аппаратный агент, который выполняется в рабочей среде или в системе, выполняющейся в прикладном процессоре, долговременное хранилище, используемое программно-аппаратным агентом, нуль или несколько технологий определения местонахождения, таких как GPS. Модуль обеспечения безопасности может иметь сетевой интерфейс, который предназначен для обмена данными, имеющими отношение к безопасности. Один или несколько сетевых интерфейсов могут быть интерфейсами беспроводной глобальной сети (WWAN). Модуль обеспечения безопасности может включать интерфейсные аппаратные и программные средства, позволяющие модулю обеспечения безопасности запускать операционную систему базового устройства или возобновлять ее работу. Модуль обеспечения безопасности может иметь индивидуальный источник питания либо может не иметь его.

Модуль или подсистема обеспечения безопасности может выполнять функции стандартного сотового модема, в том числе (1) может позволять контролируемому компьютеру устанавливать IP-соединение и (2), в случае модуля обеспечения безопасности с интерфейсным модулем для работы с сотовой связью, может позволять контролируемому компьютеру отправлять и получать SMS-сообщения, либо может не выполнять эти функции.

В предпочтительном варианте выполнения наличие и функционирование модуля обеспечения безопасности незаметно или неочевидно для пользователя компьютера. В тех случаях, когда модуль обеспечения безопасности не имеет собственного источника питания, система в целом может быть спроектирована так, чтобы питание модуля обеспечения безопасности было независимым либо не было независимым.

При необходимости к сетям, доступным для модуля или подсистемы обеспечения безопасности, может быть организован абонентский доступ. В альтернативном варианте выполнения услуга предоставляется по принципу «точно в срок» через интерфейсы между центром мониторинга и сетями связи.

Модуль обеспечения безопасности в соответствии с настоящим изобретением предоставляет надежные службы восстановления похищенных ресурсов и отслеживания ресурсов, имеющие определенные поведенческие свойства, одно или несколько из которых могут быть интегрированы в различные варианты выполнения системы. Например, главный агент может связываться с центром мониторинга по заранее заданному расписанию или после интересующих изменений в атрибутах контролируемого компьютера, например после изменения его IP-адреса, при этом он связывается с центром мониторинга, предпочтительно, с использованием уже установленных сетевых соединений. Главный агент использует сетевые соединения, которые, как правило, имеют нулевую или низкую стоимость, в том числе IP-соединения через сеть Ethernet или сети WiFi. Главный агент взаимодействует с программно-аппаратным агентом таким образом, что если главный агент способен установить связь в штатном режиме, то устанавливает связь только главный агент. В этом отношении программно-аппаратный обработчик выполняет функции отказоустойчивой или «резервной» системы связи.

Главный агент и/или программные средства, обеспечивающие функционирование главного агента, передают атрибуты контролируемого компьютера и ОС, которые, как правило, недоступны для встроенного модуля, в том числе серийные номера компьютера, тип операционной системы базового устройства, информацию о приложениях, установленных в операционной системе базового устройства, и т.д. Такая передача может осуществляться периодически или как результат изменения одного или нескольких атрибутов.

Если главный агент по какой-либо причине не устанавливает связь или отключен, то устанавливает связь программно-аппаратный агент.Так как главный агент передает атрибуты модулю обеспечения безопасности, то программно-аппаратный агент способен сообщать в центр мониторинга те же атрибуты, что и главный агент, что позволяет идентифицировать компьютер и загрузить атрибуты в центр мониторинга.

Кроме способности регулярно осуществлять сеансы связи, главный агент способен отправлять сообщения в центр мониторинга и получать их из него. Сообщения из центра мониторинга могут, например, указывать на то, что главный агент должен установить связь с центром мониторинга для того, чтобы инициировать мероприятия по защите данных. Такие сообщения могут быть переданы в виде SMS.

Кроме способности регулярно осуществлять сеансы связи, программно-аппаратный агент способен независимо отправлять сообщения в центр мониторинга и получать их из него. Сообщения из центра мониторинга могут, например, указывать на то, что программно-аппаратный агент должен запустить базовое устройство для того, чтобы таким образом мероприятия по защите данных могли быть инициированы.

Если в модуле обеспечения безопасности или в иной подсистеме используется технология определения местонахождения, то главный агент и (или) программно-аппаратный агент могут сообщить соответствующую информацию о местонахождении в центр мониторинга.

Если ОС базового устройства была переустановлена, то модуль обеспечения безопасности может быть обнаружен с использованием технологии "включай и работай" (plug-and-play) или с использованием другого процесса обнаружения аппаратных средств и выбора драйверов, при этом драйвер, агент и вспомогательное программное обеспечение для работы с модулем обеспечения безопасности могут быть переустановлены с установочного носителя для Windows или другой ОС, а также с помощью онлайновых источников драйверов, таких как Windows Update.

В альтернативном варианте выполнения настоящего изобретения защищаемый ресурс, например электронное устройство, такое как портативный компьютер, включает агент, который выполняется под управлением ОС портативного компьютера, и, дополнительно, беспроводной модуль обеспечения безопасности, который может передавать и получать данные и который может быть выполнен аналогично обычному встроенному сотовому беспроводному модулю. Беспроводной модуль включает программно-аппаратное обеспечение, которое может заставить модуль установить связь с центром мониторинга независимо от главного агента. Программно-аппаратное обеспечение может устанавливать связь через обычный канал сотовой связи абонента или через специальный безопасный канал.

Центр мониторинга способен инициировать запрос на получение абонентского доступа к временно неиспользуемому каналу связи. Преимущество, получаемое при использовании этой особенности, заключается в том, что пользователь не обязан обеспечивать постоянный абонентский доступ к каналам сотовой связи, если это не требуется при нормальном использовании портативного компьютера пользователем. В случае кражи пользователь может проинформировать центр мониторинга о краже с тем, чтобы в целях принятия мер к возврату похищенного и к защите данных был предоставлен канал беспроводной связи по принципу «точно в срок».

Основные направления коммерческого использования раскрытой технологии могут включать возврат похищенных компьютеров и управление отслеживанием ресурсов - компьютеров. Так как основными особенностями технологии являются необходимость постоянного присутствия, сложность случайного удаления даже авторизованными пользователями, а также необходимость наличия надежного временно неиспользуемого канала связи, который может быть задействован или восстановлен, то эта технология может быть использована для многих целей, в том числе для того, чтобы обеспечивать установку приложений любого типа. Наиболее выгодно совместное использование этих особенностей с приложениями для системного администрирования.

Преимущество, получаемое при использовании такой системы при ее установке в базовой системе, например, в портативном компьютере с радиоинтерфейсом сотовой связи, заключается в том, что эта система может связываться с центром мониторинга в любое время и в любом месте, где имеется сетевое покрытие. Она не обязана ждать установления проводного или WiFi-соединения с сетью Интернет. В случае с модулем, имеющим автономное питание, это преимущество становится более наглядным, так как связь может быть установлена, не дожидаясь включения портативного компьютера. Связь с портативным компьютером может быть установлена даже если в базовой системе отсутствует ОС или установлена неподдерживаемая ОС. Она может выдержать атаки на целостность главного агента. Она может обойти межсетевые экраны, которые могут блокировать главный агент.

В соответствии с альтернативным вариантом выполнения изобретения модуль обеспечения безопасности может поддерживать использование канала беспроводной связи, предназначенного исключительно для целей обеспечения безопасности, что позволяет выставлять счета на оплату услуг передачи данных и предоставления эфирного времени провайдеру услуги возврата похищенных ресурсов. Это позволяет устанавливать связь, даже если пользователь не пользуется услугой персональной беспроводной связи или если оказание услуг пользователю было прекращено по той или иной причине, в том числе в связи с хищением системы. Наличие как специального канала, предназначенного для обеспечения безопасности, так и канала с абонентским доступом позволяет разработать алгоритм выбора подходящего канала связи, основанный на оптимизации затрат как абонента, так и провайдера услуг обеспечения безопасности. Например, можно использовать канал абонента с выставлением счета абоненту до тех пор, пока этот канал не перестанет по той или иной причине действовать.

Система восстановления украденных ресурсов и отслеживания ресурсов может включать или взаимодействовать с одним или с несколькими различными компонентами, объектами или службами, раскрытыми и запатентованными в США и в других странах, права на которые, как правило, закреплены за компанией Absolute Software Corporation. Патенты США №5715174, №5764892, №5802280, №6244758, №6269392, №6300863 и №6507914 приведены в качестве примера и полностью включены в настоящий документ посредством ссылки на них.

Краткое описание иллюстративных материалов

Для более полного понимания сущности и преимуществ настоящего изобретения, а также предпочтительного варианта его использования необходимо изучить нижеследующее подробное описание с приложенными иллюстративными материалами. В приложенных иллюстративных материалах аналогичные элементы обозначены схожими цифровыми обозначениями.

Фиг.1 представляет собой функциональную блок-схему одного из вариантов выполнения настоящего изобретения, иллюстрирующую защищенное устройство с модулем обеспечения безопасности и его функционирование.

Фиг.2 представляет собой функциональную блок-схему одного из вариантов выполнения настоящего изобретения, иллюстрирующую последовательность действий в штатном режиме функционирования.

Фиг.3 представляет собой функциональную блок-схему одного из вариантов выполнения настоящего изобретения, иллюстрирующую последовательность действий в том случае, если главный агент не активен.

Фиг.4 представляет собой функциональную блок-схему одного» из вариантов выполнения настоящего изобретения, иллюстрирующую последовательность действий в случае инициирования сеансов связи центром мониторинга.

Фиг.5 представляет собой схему, иллюстрирующую типичные каналы связи, в том числе сети, с помощью которых, в соответствии с одним из вариантов выполнения настоящего изобретения, может функционировать изобретенный модуль обеспечения безопасности.

Подробное описание предпочтительного варианта выполнения

Настоящее описание представляет собой наиболее предпочтительный вариант выполнения изобретения. Настоящее описание приведено с целью раскрытия основных признаков изобретения и не является ограничивающим объем изобретения. Объем изобретения определен в приложенной формуле изобретения. Не выходя за рамки и сущность настоящего изобретения, может быть реализовано множество вариантов его выполнения, это становится понятным после изучения принципов, лежащих в основе изобретения. Признаки и функции модуля обеспечения безопасности, выполненного в соответствии с настоящим изобретением, раскрыты на примере реализации служб отслеживания и восстановления ресурсов, которые могут быть реализованы с помощью настоящего изобретения. Понятно, что, не выходя за рамки и сущность настоящего изобретения, модуль обеспечения безопасности, выполненный в соответствии с настоящим изобретением, может быть использован и для реализации других служб, например службы управления компьютером, приложений для резервирования и восстановления информации, операций удаленного удаления данных и других.

Нижеприведенное подробное описание составлено в терминах описания способов или процессов, символического представления операций, функциональных возможностей и признаков настоящего изобретения. Такое описание и такое представление способов используются специалистами в данной области техники для того, чтобы наиболее эффективно передать суть своей работы другим специалистам. Под способом или процессом, реализованным с помощью программного обеспечения, понимают, как правило, самосогласованную последовательность шагов, приводящих к получению нужного результата. Выполнение этих шагов требует физического манипулирования физическими объектами. Часто, но не обязательно, этими объектами являются электрические или магнитные сигналы, которые могут храниться, передаваться, сочетаться, сравниваться и подвергаться иным манипуляциям. В дальнейшем необходимо учитывать тот факт, что не всегда можно провести четкую границу между аппаратными и программными средствами, специалистам в данной области техники известно, что процессы, реализуемые с помощью программного обеспечения, могут быть воплощены с использованием аппаратных средств, программно-аппаратных средств или программного обеспечения, а также с использованием закодированных инструкций, например микрокода и (или) хранимых программных инструкций.

Краткое описание модуля обеспечения безопасности и его развертывания

Изобретенный модуль обеспечения безопасности может быть развернут на базовом устройстве (например, на электронном устройстве), которое предоставляет вторичный агент, взаимодействующий с главным агентом, установленным на базовом устройстве, но, при этом функционирующий независимо от ОС базового устройства и приспособленный к самостоятельному получению доступа к интерфейсу сети связи, присутствующему в базовом устройстве, либо к интерфейсу сети специального назначения, при его наличии. Система в целом включает центр мониторинга, одно или несколько контролируемых базовых устройств, модуль обеспечения безопасности в контролируемых базовых устройствах, одну или несколько сетей связи, абонентский доступ к, по крайней мере, одной сети связи. Контролируемые базовые устройства могут быть автономными устройствами, например компьютерами (например, портативными или настольными компьютерами), либо устройствами или подсистемами, интегрированными в систему. Контролируемое устройство включает модуль обеспечения безопасности, главный агент и программные средства для обеспечения функционирования главного агента, который работает под управлением ОС контролируемого устройства.

Модуль обеспечения безопасности, выполненный в соответствии с настоящим изобретением, может быть использован в качестве компонента или подсистемы, которые дополняют имеющиеся приложения, осуществляющие отслеживание ресурсов. Например, модуль обеспечения безопасности, выполненный в соответствии с настоящим изобретением, может быть развернут в качестве компонента технологий AbsoluteTrack и (или) Computrace, разработанных заявителем - компанией Absolute Software Corporation. Computrace представляет собой продукт и услугу, с помощью которых можно осуществлять надежное отслеживание ресурсов, а также восстановление утерянных или похищенных ресурсов, a AbsoluteTrack представляет собой решения для надежного отслеживания ресурсов, управления ресурсами, восстановления ресурсов, удаления данных, развертывания программного обеспечения и выполнения других функций, реализуемые с использованием технологической платформы Computrace. При использовании Computrace развертывают скрытый агент, который представляет собой программный клиент, хранящийся на жестком диске клиентских компьютеров. Компания Absolute Software Corporation в дальнейшем усовершенствовала оригинальную агентскую платформу путем разработки более совершенного служебного Агента, защищенного от несанкционированного доступа и обеспечивающего возможность подключения, поддержки и (или) предоставления различных услуг, относящихся к управлению ресурсами и к защите ресурсов (в том числе, без ограничений, аппаратных средств, программно-аппаратных средств, программного обеспечения, данных и других объектов), в том числе таких услуг, как удаление данных, защита с помощью межсетевого экрана, шифрование данных, отслеживание местонахождения, уведомление с помощью сообщений, а также развертывание и обновление программного обеспечения. Осуществлением служебных функций можно управлять с удаленного сервера. Технология, лежащая в основе различных продуктов и услуг на основе Computrace, была раскрыта и запатентована в США и в других странах, при этом патенты, как правило, закреплялись за Absolute Software Corporation. В качестве примера можно привести патенты США №5715174, №5764892, №5802280, №6244758, №6269392, №6300863 и №6507914, а также соответствующие иностранные патенты. Постоянно присутствующий агент и различные связанные с ним службы были раскрыты в находящихся на рассмотрении заявках на выдачу патента США №11/093 180, поданной 28 марта 2005 года (опубликована в США под № US 2005-0216757, соответствует заявке РСТ, опубликованной под № WO 2006/102399), №11/386 040, поданной 20 марта 2006 года (опубликована в США под №US2006-0272020) и №11/726,352, поданной 20 марта 2007 года (опубликована в США под №US2007-0234427 А1, соответствует заявке РСТ, опубликованной под №WO 2007/109366).

Дополнительная информация, касающаяся технологии AbsoluteTrack, была опубликована компанией Absolute Software Corporation (например, в «белой книге» «AbsoluteTrack - Надежное решение для отслеживания компьютерных ресурсов», опубликованной 25 апреля 2003 года). Эти документы полностью включены в настоящий документ посредством ссылки на них.

Краткое описание системы восстановления похищенных ресурсов и отслеживания ресурсов

Отслеживание ресурсов и восстановление похищенных ресурсов являются примерами услуг, которые можно подключать, поддерживать и (или) предоставлять с помощью выполненного в соответствии с настоящим изобретением приложения, осуществляющего идентификацию устройства. Для обозначения устройства или ресурса, защищаемого с помощью системы восстановления похищенных ресурсов и отслеживания ресурсов, раскрытой в настоящем документе, используется термин «базовое устройство». Базовым устройством может быть портативный компьютер, сотовый телефон, устройство Blackberry, портативная электронная игровая консоль, персональное информационное устройство, аудио- или визуальное развлекательное устройство, медицинское оборудование, система или устройство, включающее компьютер, любое другое электронное устройство или специализированное электронное устройство слежения для защиты электронных или неэлектронных ресурсов, например, автомобилей, судов и перевозимых товаров.

Как показано на фиг.5, система отслеживания ресурсов в соответствии с одним из вариантов выполнения настоящего изобретения имеет архитектуру типа клиент/сервер, которая может включать следующие основные компоненты: (а) базовое устройство А, включающее, например, любое из показанных электронных устройств, при необходимости, с постоянно хранящимся имплантированным главным агентом, и модуль обеспечения безопасности, выполненный согласно настоящему изобретению. Главный агент и вторичный агент модуля обеспечения безопасности согласованно работают на базовых устройствах А и предоставляют отчеты о развертывании приложений, в том числе, например, предоставляют информацию удаленному серверу и получают от него инструкции, заставляющие главный агент обеспечивать выполнение и выполнять требуемые функции. (Б) канал связи В, например сеть обмена информацией, которая может включать коммутируемые сети связи, Интернет, частные и публичные локальные сети, сети радиосвязи, спутниковые сети и кабельные сети; а также (в) систему мониторинга базовых устройств С, включающую сервер мониторинга базовых устройств 3, который контролирует обмен информацией между базовым устройством А и системой мониторинга базовых устройств С, с которой регулярно или в соответствии с графиком связываются базовые устройства и которая собирает информацию с базовых устройств. Кроме того, сервер мониторинга выдает базовому устройству инструкции о том, какие действия базовому устройству следует предпринять, какие данные следует собрать, а также сообщает время следующего сеанса связи.

В соответствии с настоящим изобретением система мониторинга базовых устройств С обменивается информацией с главным агентом на базовом устройстве А и с вторичным агентом в модуле обеспечения безопасности в базовом устройстве А, который удаленно идентифицирует контролируемые базовые устройства (например, путем обработки данных, собранных приложением для сбора атрибутов устройства, установленным на базовых устройствах, что раскрыто в заявке на выдачу патента США №11/726352, поданной 20 марта 2007 года (опубликована под № US 2007-0234427 А1, соответствует заявке РСТ № WO 2007/109366)). Базовые устройства А связываются с сервером мониторинга через канал связи В. Система мониторинга базовых устройств С может включать портал составления отчетов и администрирования, который предоставляет клиентам, администраторам и провайдерам услуг отслеживания ресурсов возможность просматривать данные и управлять функциями сервера мониторинга и базовых устройств.

За исключением изобретенного модуля обеспечения безопасности и его интеграции в базовые устройства, каждый из компонентов, показанных на фиг.5, был полностью раскрыт в находящейся на рассмотрении заявке на выдачу патента США №11/386040, поданной 20 марта 2006 года (опубликована под № US 2006-0272020, соответствует заявке РСТ № WO 2006/102399).

Базовые устройства А, включающие изобретенный модуль обеспечения безопасности, выполненный в соответствии с настоящим изобретением, могут выборочно управляться, активироваться или настраиваться программой, приложением, подпрограммой и (или) последовательностью инструкций, и (или) алгоритмом, хранящимся на устройствах в дополнение к основным операционным системам базовых устройств. Вкратце, использование способов, описанных и предложенных в настоящем документе, не ограничивается каким-либо конкретным способом обработки данных. Использование и варианты выполнения настоящего изобретения описаны на примере использования портативного компьютера в качестве базового устройства А (компьютер А1 схематично изображен в виде настольного устройства, тем не менее он может быть и портативным компьютерным устройством), при этом приведенные примеры не ограничивают объем изобретения.

Каналы связи В включают любые сети обмена информацией, в которых настоящее изобретение может быть использовано для отслеживания ресурсов. Сеть обмена информацией, к которой получает доступ базовое устройство, включающее модуль обеспечения безопасности, в соответствии с настоящим изобретением может включать, без ограничений, распределенные сети обмена информацией, например публичные и частные компьютерные сети (например, сеть Интернет, внутреннюю сеть (Intranet), беспроводную глобальную сеть (WWAN), региональную сеть (WAN), локальную сеть (LAN) и другие), сети с дополнительными услугами, сети связи (например, проводные или беспроводные сети), широковещательные сети, кабельные сети, сеть сотовой связи, сети радиосвязи, а также однородное или неоднородное сочетание таких сетей. Специалистам в этой области техники известно, что эти сети включают как аппаратные, так и программные средства, они могут рассматриваться как по отдельности, так и вместе в зависимости от того, какое описание является наиболее подходящим для достижения той или иной конкретной цели. Например, сеть может быть описана как набор аппаратных узлов, которые могут быть соединены друг с другом с помощью средств связи, или же как средство связи с узлами или без них. Специалистам в этой области техники понятно, что граница между аппаратными, программно-аппаратными и программными средствами не всегда является четкой, такие сети и средства связи, а также компоненты технологической платформы, основанной на использовании постоянно хранящегося агента, включают программные, программно-аппаратные и аппаратные средства.

Отслеживание ресурсов и восстановление похищенных ресурсов с использованием модуля обеспечения безопасности

Далее будут подробно описаны различные части системы восстановления похищенных ресурсов и отслеживания ресурсов, в которой используется модуль обеспечения безопасности (в частности, беспроводной модуль обеспечения безопасности), устройства, включающие модуль обеспечения безопасности, и способы их использования. В качестве наглядного примера защищаемого устройства в настоящей заявке приведен портативный компьютер, он является базовым устройством для беспроводного модуля обеспечения безопасности, а также для различных программных и программно-аппаратных агентов, являющихся частями системы обеспечения безопасности. Частями этой системы являются базовое устройство, модуль обеспечения безопасности, постоянно присутствующий главный агент, программно-аппаратный агент, вспомогательное программное обеспечение и центр мониторинга.

Вспомогательное программное обеспечение, представляющее собой машиночитаемые инструкции, записанные на машиночитаемом носителе, хранится на базовом устройстве. Вспомогательное программное обеспечение включает драйвер и оболочку программного интерфейса приложения (API) для сопряжения беспроводного модуля с базовым устройством. Основой драйвера и API является стандартный драйвер сотового беспроводного модуля с дополнительными расширениями. Расширенный API поддерживает дополнительный API, который необходим для взаимодействия с программно-аппаратным агентом. Расширенный API поддерживает получение доступа к хранилищу атрибутов в модуле обеспечения безопасности. Расширенный API позволяет вызывать специальные функции модуля обеспечения безопасности только доверенным приложениям, в том числе вышеперечисленным расширениям API. Если модуль обеспечения безопасности поддерживает использование специализированного канала безопасной связи (ОТА), то расширенные API и драйвер позволяют доверенным приложениям создавать, управлять и использовать этот специализированный канал безопасной связи.

Взаимодействие между компонентами

Три главных компонента, а именно, модуль обеспечения безопасности, главный агент и центр мониторинга, взаимодействуют с целью облегчения выполнения функций отслеживания ресурсов и восстановления похищенных ресурсов.

А. Модуль или подсистема обеспечения безопасности

Основными атрибутами модуля или подсистемы обеспечения безопасности являются вторичный агент, например программно-аппаратный агент или агент, загруженный из долговременного хранилища приложений, сетевой интерфейс и хранилище данных, из которого программно-аппаратный агент может считывать информацию и в которое программно-аппаратный агент может записывать информацию. Вторичный агент выполняет специальные функции, связанные с взаимодействием с главным агентом для обеспечения обмена информацией с внешними объектами, а также связанные с этим функции, описанные далее более подробно. Программно-аппаратный агент в модуле или подсистеме обеспечения безопасности может выполняться на прикладном процессоре сотового беспроводного модуля или где-либо в другом месте контролируемого компьютера. Другими подходящими для этого местами могут быть отдельный процессор на материнской плате или на отдельной плате, не входящей в состав материнской платы. Программно-аппаратный агент имеет доступ к долговременному хранилищу данных, а также может считывать из него данные и записывать в него данные.

Программно-аппаратное обеспечение, независимо от того, располагается ли оно в беспроводном модуле или в другом месте, может быть, при необходимости, расширено с целью обеспечения возможности использования специализированного канала безопасной связи (ОТА). Программно-аппаратное обеспечение включает программно-аппаратный агент, который может инициировать установление канала связи с центром мониторинга по беспроводной связи независимо от главного агента, установленного в ОС. Используя атрибуты, хранимые в долговременном хранилище данных, к которым программно-аппаратный агент имеет доступ, программно-аппаратный агент может заменять главный агент.

Интерфейсное программно-аппаратное обеспечение базового устройства поддерживает механизмы настройки и использования канала безопасной связи, взаимодействует с программно-аппаратным агентом, обеспечивающим безопасность, и управляет им, а также сохраняет атрибуты базового компьютера в модуле обеспечения безопасности. В каждом случае эти механизмы сами по себе защищены с принятием определенных мер безопасности для того, чтобы гарантировать то, что канал безопасной связи может использоваться только авторизованными приложениями.

Модуль обеспечения безопасности включает один или несколько сетевых интерфейсов или использует совместный доступ к интерфейсам базового устройства. Модуль обеспечения безопасности может включать сетевой интерфейс, предназначенный для обмена данными, имеющего отношение к обеспечению безопасности. Один или несколько сетевых интерфейсов могут быть интерфейсами беспроводной глобальной сети (WWAN).

Модуль обеспечения безопасности, при необходимости, включает интерфейсное аппаратное и программное обеспечение, позволяющее модулю обеспечения безопасности инициировать запуск ОС базового устройства или возобновлять ее работу.

В соответствии с настоящим изобретением беспроводной модуль обеспечения безопасности может быть реализован с помощью различных устройств:

(i) Модуль обмена информацией с беспроводной глобальной сетью (WWAN)

Данный модуль представляет собой аппаратный модуль, который может быть встроен в базовые устройства, например в ультрапортативные компьютеры. Он выполняет функции, аналогичные тем, которые выполняет обычный встроенный сотовый беспроводной модуль. В действительности, до тех пор, пока не будут активированы функции обеспечения безопасности, включенные в настоящее изобретение, этот модуль будет работать так же, как обычный встроенный сотовый беспроводной модуль.

Беспроводной модуль обеспечения безопасности может использовать один или два независимых платных канала связи. Один из способов получения доступа к двум независимым платным каналам заключается в том, что модуль ведет себя как два независимых сотовых устройства с различными идентификаторами оборудования. Для того чтобы переключиться с одного канала на другой, модуль отключается от текущей сети, к которой имеется абонентский доступ, а затем регистрируется в этой сети или в другой сети, используя другой идентификатор оборудования (ID). В альтернативном варианте выполнения модуль может работать на двух различных частотах, используя на каждой из них различные идентификаторы оборудования. В альтернативном варианте выполнения, для того чтобы обеспечить возможность независимой оплаты сеансов связи, могут быть использованы совершенно различные механизмы.

В альтернативном варианте выполнения, модуль может быть настроен таким образом, чтобы он поддерживал будущие протоколы ОТА, которые позволят одному сотовому беспроводному модулю с одним идентификатором оборудования использовать множество независимых платных каналов передачи данных.

В настоящее время различные производители выпускают различные портативные компьютеры, включающие сотовые модемы (так же известные как мобильные широкополосные модули и под другими названиями). В качестве примера можно обратиться к сайтам www.dell.com, www.hp.com, www.lenovo.com и к другим. Такие модули, как правило, включают два процессора (чаще всего на одном кристалле). (В качестве примера можно привести краткое описание продукта «Мультимедийный однокристалльный процессор для монополосной передачи с поддержкой EDGE/GPRS/GSM», опубликованное компанией Broadband Corporation, публикация № ВСМ2133-РВ07-D1 от 30.11.06, http://www.broadcom.com/collateral/pb/2133-PB07-R.pdf). Программно-аппаратный агент выполняется, как правило, на «прикладном процессоре» модуля.

(ii) Подсистема беспроводной глобальной сети (WWAN)

Она обладает той же функциональностью, что и в случае (i), за исключением того, что микросхема или микросхемы, относящиеся к аппаратному обеспечению, располагаются не в модуле, а на материнской плате.

(iii) Подсистема обеспечения безопасности

В этом случае функциональность модуля или подсистемы обеспечения безопасности встроена в процессор, который располагается отдельно от главного процессора портативного компьютера. Например, она может быть встроена в отдельный процессор, который может передавать пакеты данных через сетевой контроллер базового устройства, а также фильтровать пакеты данных, проходящие через сетевой контроллер базового устройства. При использовании такого варианта выполнения вторичный агент может, например, выполняться как служба, использующая программно-аппаратную оболочку Механизм Управления (Management Engine), в рамках архитектуры Intel AMT (в качестве примера можно привести «Руководство по архитектуре: Технология активного управления Intel». опубликованное 19 сентября 2007 года,

http://softwarecommunity.intel.com/articles/eng/1032.htm). При использовании AMT работа второго процессора обеспечивается вспомогательным питанием.

(iv) Реализация с помощью виртуализации

В данном случае функциональность модуля или подсистемы обеспечения безопасности обеспечивается при выполнении в виртуальной среде на главном процессоре компьютера. ОС базового устройства работает в обычном режиме и совершенно не замечает присутствия среды системы обеспечения безопасности и программно-аппаратного агента. (Дополнительные сведения о виртуализации можно получить из источника информации «Краткое описание виртуализации: Введение в виртуализацию - Краткое описание виртуализации и общих способов виртуализации».

http://www.virtualization.org/Virtualization/Introduction to Virtualization.html).

«Программно-аппаратный агент» может выполняться как часть гипервизора либо под управлением совершенно отдельной ОС.

В. Главный агент

В соответствии с одним из вариантов выполнения главный агент представляет собой клиентский модуль с защитой от несанкционированного доступа, установленный внутри базового устройства. В настоящем документе под ним понимается агент, работающий под управлением ОС базового устройства. ОС базового устройства поддерживает выполнение приложений пользователя на соответствующем устройстве, например на компьютере с работающей на нем ОС производства компании Microsoft, на сотовом телефоне с работающей на нем ОС Symbian и на других устройствах. Как известно из уровня техники, главный агент или его компоненты могут быть названы агентом, интеллектуальным агентом, прозрачным агентом, сегментированным агентом, постоянно хранящимся агентом, служебным агентом, служебным агентом с защитой от несанкционированного доступа, прикладным агентом, отслеживающим агентом, невидимым агентом, расширяемым агентом, вызывающим агентом, агентом с полнофункциональными драйверами, агентом с частью драйверов, агентом Computrace, кроме того, для их обозначения могут быть использованы и другие аналогичные термины.

Главный агент связывается с центром мониторинга периодически либо при возникновении интересующего события на контролируемом компьютере. Во время сеанса связи он может отправить отчет об атрибутах контролируемого компьютера, а также может, при необходимости, передать информацию об атрибутах, необходимых для установки соединения для передачи данных с использованием сотовой связи.

Главный агент обнаруживает наличие модуля или подсистемы обеспечения безопасности, устанавливает необходимое для взаимодействия с ней программное обеспечение, а также вспомогательное программное обеспечение, взаимодействует с ней и контролирует ее. Этот процесс включает синхронизацию поведения при вызове, необходимую для того, чтобы в штатном режиме работы центр мониторинга мог вызвать только главный агент, при этом в штатном режиме работы программно-аппаратный агент не должен вызывать центр мониторинга. Тем не менее, в предпочтительном варианте выполнения программно-аппаратный агент может иногда устанавливать связь с центром мониторинга для проверки правильности работы системы. Этот процесс также включает передачу атрибутов главному агенту.

Если модуль обеспечения безопасности включает сотовый интерфейс, то главный агент может отправлять и получать SMS-сообщения, используя этот интерфейс. Центр мониторинга может посредством SMS-сообщения дать указание главному агенту установить соединение по сотовой связи для передачи данных.

Главный агент также предоставляет центру мониторинга достаточное количество информации для того, чтобы центр мониторинга активировал абонентский доступ к каналу безопасной связи, если и когда использование такого канала является необходимым. Этот процесс включает, например, предоставление уникального идентификатора оборудования беспроводного модуля.

В альтернативном варианте выполнения настоящего изобретения агент использует канал безопасный связи, только если это необходимо, для того, чтобы отправить отчет о местонахождении базового устройства или выполнить срочные или важные служебные задания. В одном из режимов канал безопасной связи задействуется только в том случае, если по той или иной причине недоступен канал связи абонента, в этом случае объем и стоимость услуг центра мониторинга сводятся к минимуму. В одном из вариантов выполнения агент настраивают так, чтобы он устанавливал соединение для передачи данных по сотовой связи при возникновении особых обстоятельств, например, если попытки связаться через сеть Интернет в течение заранее заданного периода времени оказались безуспешными. Кроме того, можно предусмотреть другие рабочие режимы.

В одном из вариантов выполнения агент принимает вызовы, инициированные центром мониторинга, вместо того, чтобы заставлять центр мониторинга ждать запланированный вызов со стороны базового устройства. Центр мониторинга может инициировать сеанс связи для передачи данных для того, чтобы позволить агенту осуществить обмен данными посредством сети сотовой связи, а не посредством сети Интернет. С целью оптимизации затрат центр мониторинга может передать вызов через службу коротких сообщений (SMS), при этом этот вызов заставит программно-аппаратный агент инициировать вызов со стороны базового устройства. Такой вызов посредством SMS либо аналогичный вызов может заставить программно-аппаратный агент включить базовое устройство и разрешить главному агенту инициировать вызов.

Агент может находиться в пассивном рабочем режиме, в активном рабочем режиме или в режиме предупреждения. В пассивном режиме агент присутствует, но ничего не делает до тех пор, пока не будет активирован пользователем, получившим абонентский доступ к службе контроля безопасности или к службе отслеживания ресурсов. В активном режиме агент связывается с центром мониторинга либо регулярно, через заранее заданные интервалы времени, либо через случайно выбранные интервалы времени. В режиме предупреждения, если базовое устройство похищено, агент получает от центра мониторинга указание чаще инициировать сеансы связи или указание выполнить задания, связанные с защитой системы, например указание зашифровать данные.

С. Центр мониторинга

В соответствии с настоящим изобретением центр мониторинга настраивают таким образом, чтобы он осуществлял обмен данными с сетевым интерфейсом базового устройства, управление доступом к которому осуществляется главным агентом совместно с вторичным агентом, находящимся в модуле обеспечения безопасности. Для обозначения центра мониторинга используют также и другие термины, в том числе термины "удаленная станция", "удаленный сервер", "сервер", "система мониторинга базовых устройств", "базовая система", "удаленная базовая система" и "сервер мониторинга".

В соответствии с одним из вариантов выполнения настоящего изобретения типичный центр мониторинга может включать серверы и программное обеспечение, занимающиеся сеансами связи, веб-серверы и веб-приложения, серверы баз данных и базы данных, системы аутентификации, системы администрирования, а также серверные системы обработки данных. Центр мониторинга может принимать вызовы со стороны главных агентов по каналам различных служб передачи данных, например, с использованием протокола IP или с использованием телефонной коммутируемой сети общего пользования (PSTN), может идентифицировать компьютеры, определять наличие лицензий, регистрировать атрибуты и местонахождения этих компьютеров, устанавливать и обновлять программное обеспечение на контролируемых компьютерах, а также может устанавливать службы уничтожения данных и инструментальные программные средства восстановления похищенных ресурсов. Центр мониторинга может предоставлять веб-интерфейс для того, чтобы пользователи могли генерировать отчеты о контролируемых ресурсах и об их местонахождениях.

Кроме того, центр мониторинга раскрываемой системы восстановления похищенных ресурсов и отслеживания ресурсов включает один или несколько новых признаков. Эти признаки заключаются, например, в наличии интерфейсов со шлюзами, позволяющими использовать SMS-сообщения, что позволяет инициировать действия, связанные с восстановлением похищенных ресурсов, раньше, чем если бы центр мониторинга ждал того момента, когда защищаемые устройства инициируют сеансы связи в соответствии со своими расписаниями. Дополнительное преимущество заключается в том, что центр мониторинга потенциально может связываться с компьютерами, не имеющими доступа к сети. Дополнительное преимущество заключается в том, что центр мониторинга потенциально может связываться с теми компьютерами, которые выключены, но снабжены модулями обеспечения безопасности с индивидуальными источниками питания, посредством вызова, инициирующего включение.

Центр мониторинга может быть обслуживаемой станцией службы мониторинга. Множество систем мониторинга могут быть распределены по сетям связи, например, по разным географическим регионам.

Что касается модуля обеспечения безопасности, то, в соответствии с настоящим изобретением, сервер центра мониторинга включает процессор, жесткий диск и контроллер жесткого диска, либо другие средства хранения информации, его настраивают таким образом, чтобы он был способен выполнять одну или несколько дополнительных функций, описанных ниже. К серверу можно оперативно подключать клавиатуру и монитор для того, чтобы обеспечить возможность ввода в него данных и возможность считывания данных из него, а также для того, чтобы обеспечить возможность взаимодействия оператора с сервером мониторинга.

Первой из дополнительных функций центра мониторинга является обнаружение наличия модуля обеспечения безопасности во время сеанса связи с главным агентом, его настройка, а также обеспечение синхронизации поведения главного агента и программно-аппаратного агента, связанного с осуществлением сеансов связи.

Второй из дополнительных функций центра мониторинга является сбор и хранение новых атрибутов, полученных от клиентов, снабженных модулями обеспечения безопасности. Эти новые атрибуты включают, например, идентификатор оборудования модуля обеспечения безопасности.

Третьей из дополнительных функций центра мониторинга является активирование, при необходимости, абонентского доступа к каналу безопасной связи в нужное время. Процесс такого активирования требует наличия интерфейсов для взаимодействия с системами высокочастотной связи. В альтернативном варианте выполнения после получения уведомления от собственника отслеживаемого устройства о том, что оно было похищено, персонал центра мониторинга может связаться по телефону, электронной почте, факсу или иным способом с телекоммуникационной компанией для того, чтобы беспроводной модуль в отслеживаемом устройстве, которое было похищено, получил абонентский доступ.

Четвертой из дополнительных функций центра мониторинга является инициирование сеансов связи с отслеживаемыми компьютерами. Эта функция является полезной, в частности, когда поступило уведомление о том, что отслеживаемое устройство было похищено. Вместо того, чтобы ждать того момента, когда отслеживаемое устройство инициирует сеанс связи с центром мониторинга в тот момент времени, который соответствует запланированному времени следующего сеанса связи, можно, не откладывая, вызвать отслеживаемое устройство и перевести главный агент в режим предупреждения. Эта технология может быть реализована с использованием SMS или другой службы с аналогичными возможностями, позволяющей в реальном времени связываться с контролируемым компьютером.

Пятой из дополнительных функций центра мониторинга является регистрация дополнительной информации о местонахождении, относящейся к местонахождению отслеживаемого устройства, или информации, которая может быть использована для того, чтобы сделать заключение о том, где находится отслеживаемое устройство. Эта информация может включать координаты, полученные от приемопередатчика GPS, встроенного в модуль обеспечения безопасности, либо от модуля GPS, расположенного отдельно от модуля обеспечения безопасности, идентификаторы видимых мачт сотовой связи и соответствующие интенсивности их сигналов, МАС-адреса и интенсивности сигналов видимых WiFi-маршрутизаторов. В том случае, если местонахождение устройства получено напрямую, например, при использовании GPS, местонахождение сохраняют непосредственно в базе данных. В том случае, если местонахождение определяют с использованием собранных атрибутов, например, с использованием МАС-адресов и интенсивностей сигналов видимых WiFi-маршрутизаторов, центр мониторинга связывается с соответствующей системой для того, чтобы сделать заключение о местонахождении отслеживаемого компьютера.

Пример реализации

На фиг.1-4 показан один из вариантов выполнения настоящего изобретения, связанный с отслеживанием ресурса (например, защищаемого устройства), ресурс отслеживается пользователем, установившим агент на ресурс, при этом ресурс имеет возможность устанавливать связь с центром мониторинга.

Защищаемое устройство или хост представляет собой портативный компьютер 10. Некоторые компоненты и модули портативного компьютера присутствуют на изображении для облечения понимания изобретения, а другие компоненты и модули не показаны для достижения ясности. Как показано на изображении, главный агент 14 работает под управлением ОС 13, на изображении также показаны и другие объекты, например стек сетевых протоколов / службы ОС 15 и другие драйверы 18. Главный агент включает модуль долговременного хранения 11, являющийся частью BIOS 12. Этот модуль долговременного хранения, при необходимости, восстанавливает предзагрузку агента 51. Главный агент 14 может быть установлен на базовом устройстве с использованием машиночитаемого носителя с дистрибутивом 40, на который записаны машиночитаемые инструкции 41, оформленные в виде MSI-инсталлятора файлов, включающего код и файлы, необходимые для установки главного агента. Можно использовать машиночитаемые носители других типов. Кроме того, в ОС установлен драйвер модуля 16, позволяющий главному агенту взаимодействовать с сотовым беспроводным модулем обеспечения безопасности 19 и контролировать его. Драйвер модуля 16 может включать сжатый агент 17, драйвер модуля можно настроить таким образом, чтобы он, при необходимости, восстанавливал главный агент 52, обеспечивая таким образом дополнительный уровень самовосстановления агента. Главный агент обеспечивает постоянное присутствие драйверов 34. Драйвер модуля 16, включающий сжатый агент 17, может быть установлен в ОС с машиночитаемого носителя 42, на который записаны машиночитаемые инструкции 43, оформленные в виде инсталлятора драйвера модуля, необходимые файлы и код драйвера, а также сжатая версия главного агента 44. Кроме того, драйвер беспроводного модуля и сжатый агент могут быть установлены с использованием службы обновления Microsoft 45, в этом случае она включает необходимый код драйвера 46 и сжатый агент 47. В альтернативном варианте выполнения главный агент может быть установлен непосредственно во время установки операционной системы или с использованием службы Windows Update. Кроме того, портативный компьютер 10 включает интерфейс сети Ethernet 24, интерфейс беспроводной локальной сети (WLAN) 23, модем WiFi или другой модем 22.

Сотовый беспроводной модуль обеспечения безопасности 19 включает программно-аппаратный агент 21 и устройство хранения неизменяющихся данных 20. Несмотря на то, что программно-аппаратный агент 21 и устройство хранения неизменяющихся данных 20 показаны расположенными в беспроводном модуле 19, в альтернативном варианте выполнения они могут быть расположены в любой другой части портативного компьютера, либо вместе друг с другом, либо отдельно друг от друга. Программно-аппаратный агент обеспечивает возможность сохранения атрибутов компьютера, например характеристик установленного программного обеспечения, в устройстве хранения данных 20 в электронной форме. Дополнительный источник питания 25 в штатном режиме подключен к беспроводному модулю обеспечения безопасности для того, чтобы программно-аппаратный агент и беспроводной модуль обеспечения безопасности могли функционировать и в том случае, когда базовое устройство выключено или не подключено к источнику питания.

Главный агент 14 настраивают таким образом, чтобы он мог взаимодействовать с модулем обеспечения безопасности 19 и (или) с программно-аппаратным агентом 21 и управлять ими. Главный агент 14 и программно-аппаратный агент 21 настраивают таким образом, чтобы они могли получать информацию о местонахождении, если в систему встроена технология определения местонахождения. Программно-аппаратный агент будет осуществлять вызов, только если главный агент не будет осуществлять вызов. Например, программно-аппаратный агент будет осуществлять вызов, если главный агент не будет обмениваться информацией с программно-аппаратным агентом в течение определенного настраиваемого периода времени.

Когда пользователь или владелец 73 портативного компьютера узнает о том, что его компьютер был похищен, пользователь 73 связывается с центром мониторинга 71 по телефону, факсу, электронной почте или любым другим доступным способом. Тот факт, что компьютер похищен, регистрируется в центре мониторинга в базе данных на сервере 71, либо вручную - персоналом, обслуживающим центр мониторинга, либо автоматически, если уведомление было получено через сеть Интернет или с использованием телефонного автоответчика.

Если нецелесообразно дожидаться следующего запланированного вызова со стороны главного агента, то центр мониторинга может попытаться связаться с базовым устройством и (или) с программно-аппаратным агентом посредством передачи SMS-сообщения. В соответствии с инструкцией, содержащейся в сообщении, главный агент или программно-аппаратный агент должен инициировать вызов. Так как главный агент и программно-аппаратный агент получают это сообщение почти одновременно, то программно-аппаратный агент ожидает в течение определенного настраиваемого периода времени для того, чтобы узнать, инициировал ли вызов главный агент. Если он не инициирует вызов, то программно-аппаратный агент установит соединение для передачи данных по сотовой связи и инициирует вызов.

Если у контролируемого компьютера нет абонентского доступа к каналу передачи данных по сотовой связи, то такой абонентский доступ может быть получен персоналом, осуществляющим мониторинг, персонал связывается с компанией-провайдером 72, которая является оператором сотовой связи, и предоставляет ей идентификатор оборудования беспроводного модуля, это может быть осуществлено и автоматически - с использованием программных интерфейсов для взаимодействия с одним или с несколькими операторами сотовой связи. Такой абонентский доступ, скорее всего, следует получить после хищения портативного компьютера или после отправки запроса на удаление данных.

На фиг.2 показана функциональная блок-схема, изображающая штатный режим функционирования главного агента 14 и программно-аппаратного агента 21, а также их взаимодействие с центром мониторинга 70. После запуска главного агента осуществляется проверка его целостности, затем он на короткое время переходит в режим ожидания 200, продолжительность нахождения в котором устанавливается заранее и может быть любой. Например, продолжительность нахождения в нем может быть равна 15 минутам. После выхода из режима ожидания главный агент связывается 210 с программно-аппаратным агентом, который хранит 211 атрибуты и время следующего сеанса связи с участием программно-аппаратного агента 212 в памяти, предназначенной для хранения неизменяющихся данных, к которой у него имеется доступ. Время следующего сеанса связи с участием программно-аппаратного агента, как правило, устанавливают таким образом, чтобы время следующего сеанса связи агента с программно-аппаратным агентом наступило раньше. Тем не менее, если агент не смог успешно дозвониться до центра мониторинга в течение продленного периода времени, то он может заставить программно-аппаратный агент попытаться инициировать сеанс связи немедленно. Хранимые атрибуты могут включать атрибуты ОС и информацию о программах, установленных на компьютере.

После этого главный агент проверяет, наступило ли время сеанса связи с центром мониторинга. Продолжительность периода времени между сеансами связи с центром мониторинга может быть установлена, например, равной 24-м часам. Если время сеанса связи еще не наступило, то главный агент возвращается в режим ожидания 200. Если время сеанса связи уже наступило, то главный агент проверяет доступность сети Интернет и, если сеть Интернет доступна, осуществляет сеанс связи 203 с центром мониторинга через сеть Интернет. До инициирования сеанса связи центр мониторинга находится в режиме ожидания 206, в котором он ждет поступления вызова. После поступления вызова 203 центр мониторинга обрабатывает 207 этот вызов, после этого он возвращается в режим ожидания следующего вызова. Если доступ к сети Интернет отсутствует, то главный агент проверяет доступность соединения по сотовой связи 204, и, если доступ имеется, устанавливает соединение для передачи данных по сотовой связи 205, которое он и использует для осуществления сеанса связи 203 с центром мониторинга.

Если вызов не был успешным 208, то главный агент возвращается обратно в режим короткого ожидания 200 и повторяет описанный процесс. Если вызов был успешным, то главный агент сохраняет 209 время следующего сеанса связи.

Во время успешного сеанса связи центр мониторинга может зарегистрировать местонахождение и идентификатор инициировавшего сеанс связи компьютера, а также передать главному агенту дополнительные инструкции. Дополнительные инструкции главному агенту могут заключаться в том, что он должен инициировать процесс удаления данных или процесс обновления программного обеспечения, или процесс изменения ключа шифрования, или могут включать инструкции, которые он должен выполнить после завершения сеанса связи.

Главный агент может быть настроен так, что если имеется доступ и к пользовательскому каналу сотовой связи, и к специальному беспроводному каналу безопасной связи, то главный агент перед тем как попытаться осуществить вызов с использованием специального канала безопасной связи, будет осуществлять вызов с использованием пользовательского канала связи. Вместо этого главный агент может быть настроен так, что он перед тем как попытаться осуществить вызов с использованием пользовательского канала связи, будет осуществлять вызов с использованием специального канала безопасной связи. В альтернативном варианте выполнения выбор канала связи может находиться под контролем алгоритма минимизации стоимости вызова.

На фиг.3 показана функциональная блок-схема, иллюстрирующая последовательность действий программно-аппаратного агента 21 в том случае, если главный агент 14 неактивен. Это может случиться из-за того, что компьютер выключен, отсутствует доступ к сети Интернет, или из-за того, что главный агент был каким-то образом отключен. В том случае, если компьютер выключен, модуль обеспечения безопасности должен иметь индивидуальный источник питания.

В том случае, если главный агент неактивен, программно-аппаратный агент сначала находится в режиме короткого ожидания 300. После окончания этого периода ожидания программно-аппаратный агент проверяет 301, наступило ли время сеанса связи с центром мониторинга 70. Если это время еще не наступило, то программно-аппаратный агент возвращается в режим ожидания 300. Если время сеанса связи наступило, то программно-аппаратный агент устанавливает соединение для передачи данных по сотовой связи 302 и использует его для осуществления сеанса связи 303 с центром мониторинга. Перед этим вызовом центр мониторинга находится в режиме ожидания 304, в котором он ждет поступления вызова. Центр мониторинга принимает вызов 303 и затем обрабатывает 305 этот вызов, после этого центр мониторинга возвращается в режим ожидания следующего вызова.

Если сеанс связи не был успешным 306, то программно-аппаратный агент возвращается в режим короткого ожидания 300 и повторяет описанный выше процесс. Если сеанс связи был успешным 307, то программно-аппаратный агент сохраняет атрибуты и время следующего сеанса связи 308 в памяти, предназначенной для хранения неизменяющихся данных, к которой он имеет доступ. Сохраненные атрибуты могут включать атрибуты ОС и информацию о программах, установленных на компьютере.

На фиг.4 показана функциональная блок-схема, иллюстрирующая последовательность действий в том случае, когда главный агент 14 и программно-аппаратный агент 21 находятся в режиме ожидания, потому что время следующего сеанса связи еще не наступило, но возникла необходимость связаться с компьютером. Эта необходимость появляется, например, при похищении компьютера. Сначала главный агент, программно-аппаратный агент и центр мониторинга 70 находятся в режиме ожидания. Если центр мониторинга информируют о том, что компьютер 400 был похищен, то центр мониторинга проверяет 401 наличие абонентского доступа к службе беспроводной передачи данных, если такой доступ имеется, то он устанавливает связь 404 с главным агентом и (или) с программно-аппаратным агентом. Если компьютер не имеет абонентского доступа к каналу связи провайдера беспроводного канала связи, то центр мониторинга получает соответствующий абонентский доступ 403, используя сохраненные или полученные иным способом идентификационные данные 402, относящиеся к уникальному идентификатору оборудования беспроводного модуля, установленного в компьютере, а затем инициирует вызов по каналу беспроводной связи 404. Для того чтобы получить абонентский доступ, центр мониторинга может автоматически или вручную связаться с телекоммуникационной компанией-провайдером.

Вызов по каналу беспроводной связи 404, инициированный центром мониторинга, может быть вызовом, осуществляемым с использованием службы SMS. Если главный агент неактивен 408, например если компьютер выключен или если главный агент поврежден, то программно-аппаратный агент принимает этот вызов и обрабатывает SMS-сообщение 409. Если главный агент активен, то он обрабатывает этот вызов 410, осуществляемый с использованием службы SMS, самостоятельно.

В том случае, если главный агент активен, при осуществлении вызова 410, осуществляемого с использованием службы SMS, главный агент получает инструкцию, заставляющую его связаться с центром мониторинга. После окончания сеанса связи 411, 405, осуществляемого с использованием службы SMS, центр мониторинга переходит в режим ожидания 406 поступления вызова со стороны защищаемого устройства, а главный агент проверяет 412 доступность сети Интернет. Если имеется доступ к сети Интернет, то главный агент инициирует сеанс связи с центром мониторинга 414 с использованием сети Интернет, а если доступ отсутствует, то главный агент инициирует сеанс связи с центром мониторинга 414 с использованием соединения по сотовой связи 413. Центр мониторинга обрабатывает вызов 407, а затем возвращается в режим ожидания 406. После успешного сеанса связи главный агент сохраняет время следующего сеанса связи с центром мониторинга, который должен инициировать главный агент, это время в случае хищения компьютера может наступить значительно раньше, чем в том случае, если компьютер не был похищен. Например, время следующего сеанса связи может наступить через 15 минут. Главный агент связывается 419 с программно-аппаратным агентом, который сохраняет 422 атрибуты и время следующего сеанса связи программно-аппаратного агента 421 в памяти, предназначенной для хранения неизменяющихся данных, к которой он имеет доступ. Например, время сеанса связи может наступить через 25 минут. После этого главный агент переходит в режим ожидания 200, затем он осуществляет процесс, показанный на фиг.2.

В том случае, когда главный агент неактивен, программно-аппаратный агент обрабатывает вызов 409, осуществляемый с использованием службы SMS, как инструкцию, в соответствии с которой он должен связаться с центром мониторинга. После окончания сеанса связи 415, осуществляемого с использованием службы SMS, программно-аппаратный агент связывается 417 с центром мониторинга с использованием соединения для передачи данных по сотовой связи 416. Центр мониторинга обрабатывает этот вызов 407 и затем возвращается в режим ожидания 406. При осуществлении сеанса связи программно-аппаратному агенту может быть, например, передана инструкция, в соответствии с которой он должен включить компьютер и (или) запустить главный агент.

При осуществлении успешного сеанса связи либо после него программно-аппаратный агент сохраняет атрибуты и время следующего сеанса связи программно-аппаратного агента 421 в памяти, предназначенной для хранения неизменяющихся данных, к которой он имеет доступ. Затем программно-аппаратный агент переходит в режим ожидания 300 и продолжает осуществление процесса, показанного на фиг.3.

Альтернативные варианты выполнения

В одном из альтернативных вариантов выполнения беспроводной модуль обеспечения безопасности полностью интегрирован в материнскую плату базовой системы. Это позволяет исключить возможность отключения модуля обеспечения безопасности путем физического удаления модуля.

Раскрытая технология не ограничивается использованием беспроводной сотовой связи, при реализации этой технологии могут быть использованы и другие беспроводные или мобильные технологии, в том числе технологии, использующие персональные сети (PAN) и беспроводные локальные сети (WLAN), а также спутниковые технологии.

В альтернативном варианте выполнения беспроводной модуль способен использовать как WiFi и (или) WIMAX, так и беспроводную сотовую связь.

При функционировании модуля обеспечения безопасности могут быть использованы технологии виртуализации, в этом случае программно-аппаратный агент работает в виртуальной среде на основном процессоре компьютера и совершенно незаметно для базовой ОС компьютера использует сетевые интерфейсы системы с коллективным доступом.

Мобильный модуль обеспечения безопасности может иметь независимый источник питания. Таким источником может быть специальная батарея, кроме того, могут быть использованы независимые соединения с основным источником питания портативного компьютера. Преимуществом такого варианта выполнения является то, что программно-аппаратный агент может осуществлять обмен информацией даже в том случае, когда система базового компьютера выключена.

При использовании модуля с независимым источником питания беспроводной модуль обеспечения безопасности способен запускать базовую систему. В этом случае центр мониторинга может связаться с программно-аппаратным агентом и включить базовый компьютер, например, для того, чтобы принять меры по защите данных.

Системные администраторы имеют возможность определять физическое местонахождение отслеживаемых систем. Они также могут принудительно применять правила, накладывающие ограничения в зависимости от географического положения, например «компьютер Х не может быть вывезен за пределы определенной географической области». Наряду с осуществлением сеансов связи в соответствии с заранее заданным расписанием агент может связываться с центром мониторинга при каждом обнаруженном изменении местонахождения портативного компьютера. В альтернативном варианте выполнения он может инициировать сеанс связи не при каждом обнаруженном изменении местонахождения, а при каждом изменении области местонахождения. Информация о местонахождении может быть получена с использованием сотовой триангуляции и триангуляции силы сигнала WiFi, с использованием радиометок (RFID) и информации об IP-адресах или с использованием устройств GPS.

При описании вариантов выполнения изобретения были раскрыты модули обеспечения безопасности, которые могут быть эффективно интегрированы в базовое устройство, которое согласовывает с главным агентом обмен информацией с внешним объектом. Модули обеспечения безопасности, раскрытые при описании различных вариантов выполнения изобретения, не выходя за рамки настоящего изобретения, могут быть модифицированы с тем, чтобы обеспечить возможность защиты устройств, систем и подсистем различных типов, использование этих модулей обеспечения безопасности не ограничивается вышеописанными устройствами и способами. Таким образом, использование модуля обеспечения безопасности в соответствии с настоящим изобретением не ограничивается какими-либо определенными алгоритмами.

Способ реализации настоящего изобретения и соответствующая система были описаны выше с использованием функциональных модулей, организованных в блок-схемы, и с использованием способов описания процессов. Не выходя за рамки настоящего изобретения, одна или несколько функций, если это не оговаривается иначе, могут быть реализованы с использованием одного физического устройства или с использованием одного программного модуля программного продукта, в альтернативном варианте выполнения одна или несколько функций могут быть реализованы с использованием различных физических устройств или программных модулей, причем эти устройства и модули могут располагаться в одном месте или могут находиться в разных частях сети.

Для понимания изобретения не требуется подробного обсуждения реализации каждого конкретного модуля. Так как в настоящем документе раскрыты атрибуты системы, функциональность различных функциональных модулей в системе и особенности их взаимодействия между собой, то программисты и системотехники, обладающие достаточной квалификацией, смогут реализовать настоящее изобретение. Специалист в данной области техники сможет реализовать настоящее изобретение, не прибегая к проведению дополнительных экспериментов.

Несмотря на то, что изобретение раскрыто на примере конкретных вышеописанных вариантов выполнения, специалисты в данной области техники могут, не выходя за рамки настоящего изобретения, модифицировать и улучшать его. Например, программное обеспечение для извлечения данных можно легко модифицировать с использованием различных или дополнительных способов таким образом, чтобы обеспечить пользователю возможность более гибкого пользования сетью Интернет. Настоящее изобретение ограничивается не конкретными приведенными вариантами выполнения, а приложенной формулой изобретения.

1. Система для удаленного мониторинга устройства, включающая, по крайней мере, одну сеть, по крайней мере, один сетевой интерфейс устройства, связанный с этой, по крайней мере, одной сетью, главный агент, приспособленный для работы под управлением операционной системы базового устройства, установленной на устройстве, при этом главный агент имеет доступ к, по крайней мере, одной сети через, по крайней мере, один сетевой интерфейс, центр мониторинга, подключенный к, по крайней мере, одной сети, и настроенный таким образом, чтобы иметь возможность связываться с главным агентом и(или) с вторичным агентом через, по крайней мере, один сетевой интерфейс, и вторичный агент, установленный на устройстве, при этом вторичный агент имеет доступ к, по крайней мере, одной сети через, по крайней мере, один сетевой интерфейс независимо от операционной системы базового устройства, при этом вторичный агент и главный агент приспособлены для того, чтобы передавать в центр мониторинга сведения об атрибутах компьютера и(или) операционной системы базового устройства, предварительно согласовав между собой, кто из них должен получить доступ к, по крайней мере, одной сети через, по крайней мере, один сетевой интерфейс.

2. Система по п.1, отличающаяся тем, что, по крайней мере, одна сеть включает первую и вторую сети, по крайней мере, один сетевой интерфейс включает базовый сетевой интерфейс, к которому имеют доступ и главный агент, и вторичный агент и который приспособлен для взаимодействия с первой сетью, и вторичный сетевой интерфейс, к которому имеет доступ вторичный агент, который приспособлен для взаимодействия со второй сетью и через который вторичный агент может связываться с центром мониторинга.

3. Система по п.2, отличающаяся тем, что вторичный агент и центр мониторинга имеют возможность связаться друг с другом через вторичный сетевой интерфейс, если базовый сетевой интерфейс недоступен.

4. Система по п.1, отличающаяся тем, что главный агент выполнен с возможностью запуска на процессоре устройства, а вторичный агент выполнен с возможностью запуска на этом же процессоре в виртуальной среде.

5. Система по п.1, отличающаяся тем, что главный агент выполнен с возможностью запуска на процессоре устройства, а функционирование вторичного агента обеспечено наличием независимого источника питания и не зависит от функционирования процессора.

6. Система по п.5, отличающаяся тем, что вторичный агент выполнен с возможностью инициирования возобновления работы операционной системы базового устройства, если она не запущена.

7. Система по п.6, отличающаяся тем, что вторичный агент приспособлен для того, чтобы связываться с центром мониторинга и получать от центра мониторинга инструкцию, заключающуюся в том, что вторичный агент должен инициировать возобновление работы операционной системы базового устройства и сообщить главному агенту о том, что главный агент должен связаться с центром мониторинга.

8. Система по п.1, отличающаяся тем, что главный агент и вторичный агент приспособлены для того, чтобы при выборе способа доступа к, по крайней мере, одной сети минимизировать затраты на использование сети.

9. Система по п.1, отличающаяся тем, что вторичный агент приспособлен для того, чтобы получать доступ к, по крайней мере, одной сети через, по крайней мере, один сетевой интерфейс, если главный агент не может получить доступ к, по крайней мере, одной сети.

10. Система по п.1, отличающаяся тем, что устройство приспособлено для того, чтобы переустанавливать главный агент в тех случаях, когда операционная система базового устройства обнаруживает вторичный агент.

11. Система по п.10, отличающаяся тем, что главный агент приспособлен для обеспечения выполнения одной или нескольких служб отслеживания устройств и служб управления, при этом лицензии на использование этих служб хранятся в модуле долговременного хранения, установленном в устройстве.

12. Система по п.11, отличающаяся тем, что приспособлена для того, чтобы при установке операционной системы автоматически устанавливались главный агент и вторичный агент и для того, чтобы в случае отсутствия лицензий главный агент и вторичный агент самостоятельно деинсталлировались.

13. Система по п.1, отличающаяся тем, что, по крайней мере, одна сеть включает сеть сотовой связи.

14. Система по п.13, отличающаяся тем, что центр мониторинга приспособлен для того, чтобы уведомлять главный агент или вторичный агент о том, что они должны связаться с центром мониторинга посредством передачи SMS-сообщения через сеть сотовой связи.

15. Система по п.13, отличающаяся тем, что центр мониторинга приспособлен для того, чтобы инициировать подготовку к предоставлению услуг сети сотовой связи в том случае, когда такая подготовка является необходимой для того, чтобы было разрешено предоставление услуг сети сотовой связи.

16. Система по п.13, отличающаяся тем, что главный агент или вторичный агент приспособлены для того, чтобы связываться с центром мониторинга через сеть сотовой связи посредством отправки SMS-сообщения с использованием сотового модема, ассоциированного с определенным номером, при этом центр мониторинга приспособлен для того, чтобы определять этот номер, используя информацию, содержащуюся в SMS-сообщении.

17. Система по п.1, отличающаяся тем, что, по крайней мере, одна сеть приспособлена для того, чтобы предоставлять свои услуги, необходимые для обеспечения возможности осуществления обмена информацией с использованием, по крайней мере, одной сети, в том случае, если произойдет заранее определенное событие, влекущее за собой необходимость осуществления сеанса связи между устройством и центром мониторинга.

18. Система по п.1, отличающаяся тем, что, по крайней мере, один сетевой интерфейс включает, по крайней мере, два сетевых интерфейса, один из которых приспособлен только для осуществления сеансов связи с центром мониторинга.

19. Система по п.1, отличающаяся тем, что, по крайней мере, один сетевой интерфейс включает несколько сетевых интерфейсов, при этом главный агент и вторичный агент приспособлены для того, чтобы минимизировать затраты на использование сети посредством выбора сети с наименьшей стоимостью услуг.

20. Способ отслеживания устройства, в котором осуществляют следующие стадии: используют устройство, снабженное, по крайней мере, одним сетевым интерфейсом, связанным с, по крайней мере, одной сетью, используют главный агент, работающий под управлением операционной системы базового устройства, установленной на устройстве, при этом главный агент имеет доступ к, по крайней мере, одной сети через, по крайней мере, один сетевой интерфейс, подключают центр мониторинга к, по крайней мере, одной сети, настроенной таким образом, чтобы через нее можно было связываться с главным агентом и(или) с вторичным агентом через, по крайней мере, один сетевой интерфейс, и используют вторичный агент, установленный на устройстве и имеющий доступ к, по крайней мере, одной сети через, по крайней мере, один сетевой интерфейс независимо от операционной системы базового устройства, при этом вторичный агент и главный агент согласовывают между собой, кто из них должен получить доступ к, по крайней мере, одной сети через, по крайней мере, один сетевой интерфейс и передать в центр мониторинга сведения об атрибутах компьютера и(или) операционной системы базового устройства.