计算机根据每个带的预定特性和/或网络的特性将网络指派给网络带。安装在该计算机上的应用程序向计算机提供指明其网络策略或特性最适合于该应用程序的网络带的优选信息。其后,当执行该应用程序时,计算机限制该应用程序的网络联系只能对那些被指派给确定为较佳网络带的或者由较佳网络特性或来自该应用程序优选信息的特性确定的网络带的网络。
1.一种用于控制对网络连接的访问的方法,其特征在于,包括:在计算机本地定义多个网络带,从而将计算机所遭遇的网络与所述多个网络带相关联,使得每个网络带对应于不同的连接策略;
从一应用程序接收指定所述多个网络带的较佳网络带的优选;
允许应用程序与关联于较佳网络带的网络之间的连接;以及防止应用程序与未关联于较佳网络带的网络之间的连接。
2.如权利要求1所述的方法,其特征在于,还包括:检测对于计算机可用的网络;以及
3.如权利要求2所述的方法,其特征在于,所述关联步骤还包括:将网络的网络特性和每个网络带的特性比较;和根据比较结果,将网络关联到较佳的网络带。
4.如权利要求2所述的方法,其特征在于,所述关联步骤还包括:连接到网络;
5.如权利要求1所述的方法,其特征在于,还包括将应用程序关联到较佳网络带。
6.如权利要求1所述的方法,其特征在于,所述接收步骤还包括开始应用程序的安装。
7.如权利要求1所述的方法,其特征在于,所述允许连接的步骤还包括:允许应用程序接收来自关联于较佳网络带的网络的通信;以及允许应用程序开始对关联于较佳网络带的网络的通信。
8.如权利要求1所述的方法,其特征在于,所述防止连接的步骤还包括:防止应用程序接受来自未关联于较佳网络带的网络的通信;以及防止应用程序开始对未关联于较佳网络带的网络的通信。
9.如权利要求2所述的方法,其特征在于,所述每个网络带代表一个不同的网络。
10.如权利要求2所述的方法,其特征在于,所述每个网络带代表一个选自包括下述各项的分组的网络:家庭网;
11.一种用于控制对网络连接的访问的方法,其特征在于,包括:在计算机本地定义多个网络带,从而将计算机所遭遇的网络与所述多个网络带相关联,使得每个网络带对应于不同的连接策略;
对于指定第一网络带为较佳网络带的应用程序,允许对第一网络的访问;以及对于指定第二网络带为较佳网络带的应用程序,防止对第一网络的访问。
12.如权利要求11所述的方法,其特征在于,所述关联步骤还包括:确定第一网络的网络特性;以及
13.如权利要求11所述的方法,其特征在于,还包括:识别到第二网络的连接;
对于指定第二网络带为较佳网络带的应用程序,允许对第二网络的访问;以及对于指定第一网络带为较佳网络带的应用程序,防止对第二网络的访问。
14.如权利要求13所述的方法,其特征在于,还包括:对于指定第一网络带和第二网络带为较佳网络带的应用程序,允许对第一网络和第二网络的访问。
15.如权利要求11所述的方法,其特征在于,第一网络连接选自包括下述各项的分组:家庭网连接;
16.一种用于控制对网络连接的访问的方法,其特征在于,包括:在计算机本地定义多个网络带,使每个网络带相应于一个不同的网络连接策略并且包括一组网络特性以用于将计算机所遭遇的网络和所述多个网络带相关联;
从应用程序接收指明应用程序的较佳网络连接策略的网络带优选;以及根据各个网络带的网络连接策略和网络特性,按照应用程序期间的网络带优选实施较佳网络连接策略,从而控制应用程序和计算机遭遇的网络间的通信。
17.如权利要求16所述的方法,其中,所述较佳网络连接策略是一定制网络连接策略,其特征在于,该方法还包括:从应用程序接收定义定制网络连接策略的指令;以及在应用程序执行期间按照所述指令实施定制网络连接策略。
存于存储器并在处理器上可执行的带模块;以及由所述带模块支持的多个网络带,各网络带包括一组网络特性和策略;
当网络对应于网络带的一组特性和策略时,将连接到计算机的网络指派给网络带;并且从应用接收带优选并按照所述带优选控制网络和应用程序之间的 通信。
19.如权利要求18所述的计算机,其特征在于,所述带优选标识一个或多个包含定制带的较佳网络带,且包括定义定制带的一组特性和策略的指令;并且其中所述带模块被配置成允许应用程序和被指派给一个或多个较佳的网络带之间的通信。
20.一计算机,其特征在于,包括:带模块,其用于在计算机本地定义多个网络带;以及根据包含在各网络带中的特性和策略,将计算机遭遇的网络指派给所述多个网络带中的一个或多个;
其中,带模块被配置成防止应用程序和任何未指派给较佳网络带的网络之间的通信。
21.如权利要求20所述的计算机,其特征在于,还包括:多个网络连接,每个网络连接由带模块指派给所述多个网络带中的不同的网络带。
22.如权利要求21所述的计算机,其特征在于,较佳网络带是定制带,且带优选包括为应用程序定义通信策略的指令。
23.一计算机,其特征在于,它包括:在计算机本地定义多个网络带的装置,其中各个网络带包括一组网络特性和策略,用于将计算机遭遇的网络关联到所述多个网络带;
从应用程序接收指定所述多个网络带中的较佳网络带的优选的装置;
允许应用程序和关联于较佳网络带的网络之间的连接的装置;以及防止应用程序和未关联于较佳网络带的网络之间的连接的装置。
24.如权利要求23所述的计算机,其特征在于,还包括:检测对于计算机可用的网络的装置;以及关联装置,用于将网络关联于所述多个网络中的至少一个网络带。
25.如权利要求24所述的计算机,其特征在于,所述关联装置还包括:将网络的网络特性和各个网络带的特性相比较的装置;
26.如权利要求24所述的计算机,其特征在于,所述关联装置还包括:连接至网络的装置;
27.如权利要求23所述的计算机,其特征在于,还包括将应用程序关联于较佳网络带的装置。
28.如权利要求23所述的计算机,其特征在于,所述接收装置还包括开始应用程序安装的装置。
29.如权利要求23所述的计算机,其特征在于,所述允许连接的装置还包括:允许应用程序接受来自关联于较佳网络带的网络的通信的装置;以及允许应用程序开始对关联于较佳网络带的网络的通信的装置。
30.如权利要求23所述的计算机,其特征在于,所述防止连接的装置还包括:防止应用程序接受来自未关联于较佳网络带的网络的通信的装置;以及防止应用程序开始对未关联于较佳网络带的网络的通信的装置。
31.一计算机,其特征在于,包括:在计算机本地定义多个网络带的装置,每个网络带包括一组网络特性和策略,用于将计算机所遭遇的网络关联到所述多个网络带;
对于指定第一网络带为较佳网络带的应用程序,允许对第一网络的访问的装置;以及对于指定第二网络带为较佳网络带的应用程序,防止对第一网络的访问的装置。
32.如权利要求31所述的计算机,其特征在于,所述关联装置还包括:确定第一网络的网络特性的装置;以及根据网络特性指派第一网络给第一网络带的装置。
33.如权利要求31所述的计算机,其特征在于,还包括:识别到第二网络的连接的装置;
对于指定第二网络带为较佳网络带的应用程序,允许对第二网络的访问的装置;以及对于指定第一网络带为较佳网络带的应用程序,防止对第二网络的访问的装置。
34.如权利要求33所述的计算机,其特征在于,还包括:对于指定第一网络带和第二网络带为较佳网络带的应用程序,允许对第一网络和第二网络的访问的装置。
35.一计算机,其特征在于,包括:在计算机本地定义多个网络带的装置,使每个网络带相应于一个不同的网络连接策略,并包括一组网络特性,用于将计算机所遭遇的网络关联到所述多个网络带;
从应用程序接收指明应用程序的较佳网络连接策略的网络带优选的装置;以及根据各个网络带的网络连接策略和网络特性,在应用程序执行期间按照网络带优选实施较佳网络连接策略,从而控制应用程序和计算机所遭遇的网络间的通信的装置。
36.如权利要求35所述的计算机,其中,所述较佳网络连接策略是定制网络连接策略,其特征在于,计算机还包括:从应用程序接收定义定制网络连接策略的指令的装置;以及按照应用程序执行期间的指令实施定制网络连接策略的装置。
网络带
技术领域
[0001] 本发明通常涉及计算机安全,尤其是通过使用预定网络带控制计算机应用和数据暴露在不同特性的网络中。
[0002] 背景技术
[0003] 移动计算设备(例如便携式计算机、蜂窝电话、PDA)和连接方法(例如以太网、Wi-Fi、蜂窝)的激增引入了计算设备在一天过程中可加入到不同特性的几个网络上的情景。例如,商人可能早上上班前在家庭网络上使用便携式计算机、并且随后在上午工作中使用同一台便携式计算机而连接到公司网络。同一台便携式计算机然后可以带到午后的商务旅行中,在那里它可通过公共Wi-Fi(“无线保真”的缩写)网络,例如,在机场。除在一天的不同时间里连接到具有不同特性的几个网络的可能性之外,这样的移动计算设备越来越多地在同一时间连接到几个不同的网络。
[0004] 暴露在某些网络环境(例如,因特网)可能对移动计算设备造成特定的风险,当这样的设备最初配置运行在已知为安全的特定、静态网络环境(例如由因特网防火墙保护的家庭网络环境)中时。连接移动计算设备到具有不同特性的各种网络的容易性,增加了这种设备在不友好的网络环境中将遭遇不合需要的接触的风险。
[0005] 对于这种计算机用于管理网络安全的当前方法一般应用于连接计算机的特定、静态网络。保护在静态网络(例如,家庭网络)上的计算机的网络安全配置,通常在一个“接口”诸如唯一与静态网络相关联的防火墙上实现。图1例示典型的网络环境,其中安全网络环境(例如家庭网络)通过安全边界(securityboundary)从非安全网络环境(例如,因特网)分离出来。安全边界表示运行在网关计算机上的防火墙。可以配置防火墙实施所设计的具体策略,以保护家庭网络(即安全网络环境)上的计算机免于与因特网上设备间不合乎需要的接触。这样,尽管当家庭网络上的计算机配置为自由共享文件,但是防火墙可配置为拒绝任何文件共享的外部请求(即来自因特网的)。这种配置可工作良好,以保护在适当配置防火墙的静态网络环境中的计算机。
[0006] 但是,当移动计算机从家庭网络环境移开,并通过例如公共Wi-Fi网络连接到因特网时,由防火墙在安全环境中的家庭网络上实施的安全策略不与移动计算机一起移动。移动计算机因此遭受由因特网上其它设备进行的外部文件请求或攻击(例如,文件删除),除非每次从家庭网络环境中取出移动计算机时都手工调整计算机特定的文件共享策略。存在各种其它的场景和例子,这类移动计算机上的应用程序和文件都会暴露在类似的风险中。针对这类移动计算机管理网络安全的当前方法的有效性,仅当计算机保持连接到配置为提供安全环境的静态网络时是优化的。
[0007] 因而,存在对于保护可连接到具有不同特性的不同网络的移动计算设备方法的需求。
[0008] 发明内容
[0009] 揭示了按照网络带控制对网络连接的访问的系统和方法。
[0010] 在一个实施例中,应用程序提供表示一或多个优选网络带的优先选择。在应用程序与关联于一或多个优选网络带的网络之间允许连接。在应用程序与不关联于一或多个优选网络带的网络之间的连接被阻止。
[0011] 同样的参考数字在所有附图中用于引用同样的组件和部件。
[0012] 附图说明
[0013] 图1依照原有技术示出常规的网络环境。
[0014] 图2示出适合于实现能够通过网络带的使用和实施来控制网络通信的移动计算设备的示例性系统环境。
[0015] 图3是示例性移动计算机的方框图,它被配置为通过网络带的使用和实施控制网络通信。
[0016] 图4是更详细地示出图3的示例性移动计算机部件的局部方框图。
[0017] 图5示出诸如图3示出的示例性移动计算机的特定功能例子。
[0018] 图6是流程图,示出用于实现诸如图3所示的移动计算机的实施例的示例性方法。
[0019] 图7示出适于实现诸如图3所示的移动计算机的示例性计算环境。
[0020] 具体实施方式
[0021] 综述
[0022] 以下讨论针对控制移动计算机上的各种应用、服务和数据暴露在具有各种不同网络特性的不同网络中的系统和方法。计算机根据带(zone)的预定特性和网络的特性将一个网络指派给一个网络带(network zone)。计算机根据每个带的预定特性和/或多个网络的特性,将这多个网络指派给多个网络带。安装在计算机上的应用程序为计算机提供优选信息,表示其网络策略或特性最适合于该应用程序的网络带。其后,当执行该应用程序时,计算机限制该应用程序的网络联系只能到那些被指派给确定为较佳网络带的网络,这些网络带或者是由较佳网络特性,由来自该应用程序优选信息确定的。
[0023] 所揭示的系统和方法的好处包括增加的保护,使在一段时间或同一时间里连接到几个特性各不相同的不同网络上的移动计算设备免于潜在的有害网络通信。此外,在这样的移动计算机上配置安全设置的需求减少了,因为该计算机不断强制实施各种应用和服务所预订的网络带,而不管该计算机连接到的一或多个网络。
[0024] 示例性环境
[0025] 图2示出适于实现能够通过网络带的使用和强制实施控制网络通信的移动计算设备的一或多个实施例的示例性系统环境200。环境200一般包括移动计算设备202(移动计算机)和一或多个具有各不相同的特性的网络,诸如,例如,因特网204、公司/企业网206以及家庭/住宅网208。
[0026] 移动计算机202可实现为能够连接到诸如因特网204、公司网206以及家庭网208等不同网络的不同计算设备。因而,移动计算机202一般是物理上可移动的、诸如,例如,便携式计算机、PDA(个人数字助理)、蜂窝电话等等的计算设备。然而,这并不是限制移动计算机202为一物理上的移动设备,并且因此移动计算机202还可包括个人计算机(PC)的各种其它形式。移动计算机202的某些实现一般完成共同的计算功能,诸如邮件、日程安排、任务安排、字处理、Web浏览等等。在所述实施例中,移动计算机202运行一个开放平台操作系统,诸如来自Microsoft 的Windows 操作系统。移动计算机202的一个示例性实现将在下面参考图7更详细地描述。
[0027] 移动计算机202可使用在不同时间或同一时间连接到一或多个网络的各种模式。图2的示例性系统环境200想要描述移动计算机202可连接至一或多个网络的一些方法的例子。但是图2的环境200并不想表示所述的网络连接都是必需的,而且图2的环境200也不想表示移动计算机202受限于所述的网络连接。
[0028] 因而,移动计算机202在图2的示例性系统环境200中示出为通过诸如GPRS(通用分组无线业务)、UMTS(通用移动电信系统)、WAP(无线应用协议)、PCS(个人通信服务)等无线连接210直接连接到因特网204。移动计算机202也可示出为通过家庭网208非直接连接因特网,家庭网208可包括实现NAT(网络地址转换器)的家用计算机212或专用住宅网关设备。NAT是使局域网(LAN)能够使用内部话务的一组IP地址和外部话务的一第二组地址的因特网标准。位于LAN(例如,家庭网208)相遇因特网处的NAT盒进行所有必需的IP地址转换。线缆调制解调器214担当到家用计算机212和其它诸如移动计算机202的客户的NAT主机或网关。
[0029] 图2环境200中,移动计算机202被示为直接连接在家庭网208上。但是,家庭网208也可以是无线局域网(WLAN)或Wi-Fi(“无线保真(wirelessfidelity)”的缩写)网络,移动计算机202通过无线(无线电)连接连至该网。在这点上,移动计算机202可间接地连接至因特网,不但可通过诸如家庭网208的家庭Wi-Fi网,而且可通过任何在包括,例如,咖啡店、国际机场等各种公用和公共地方碰到的任何Wi-Fi网络。Wi-Fi是在电气和电子工程师协会(IEEE)的802.11b规范中规定的,并且是一系列无线规范的一部分。如上所述,家庭网208一般包括具有ICS的家用计算机212和诸如线缆调制解调器214的因特网连接技术。
[0030] 在图2中还示出移动计算机202作为通过VPN(虚拟专用网)服务器216间接地连接到公司网络206。VPN一般使用因特网204作为传输数据的介质来创建。这样,连接至因特网的不同方法,诸如以上讨论的那些,也应用于VPN。VPN系统使用加密和其它安全机制来保证认证用户访问网络且数据不能被截取。
[0031] 示于图2的家庭网208、公司网206和因特网204都包括在一起作为示例性系统环境200中的示例性网络,并且通常为本领域的那些熟练技术人员所熟知。这些网络还用作下文所述实施例中的示例性网络。但并不希望限制其它也可应用于环境200和以下讨论的示例性实施例的其它网络的数量和配置。
[0032] 家庭网208一般包括两或多台互相连接的计算机(例如家用计算机212、移动计算机202)以形成家中的局域网(LAN)。家庭网208允许计算机拥有者与多台计算机互联,因此每个都能与其它计算机共享文件、程序、打印机、其它外设和因特网访问(例如通过住宅网关),减少冗余装置的需求。例如,一台没有CD-ROM驱动器的老计算机可以访问较新的计算机的CD-ROM,这就可以无需为老计算机购买CD-ROM。在家庭网208上共享文件比使用诸如软盘等便携存储介质将文件传送到各种家用计算机还更容易些。存在各种类型的利用有线连接和无线连接的家庭网。这样的连接可包括,例如,直接线缆连接、传统的以太网、电话线网络和RF(射频)网。
[0033] 公司或企业网206,常常称为内联网,通常以其更加普遍的用途、互联设备的类型、通信协议的使用等等来与家庭网络208相区分。例如,在家庭网可互联个人计算机和外围设备(例如,打印机、扫描仪)组成LAN,并使用对等通信协议的同时,公司网206可通过个人计算机、工作站、服务器和外围设备互联形成LAN,同时使用客户/服务器结构来通信。公司网206一般包括通过一或多台网关计算机到外部因特网204的连接。象家庭网一样,公司网206可利用诸如,例如,直接线缆连接、传统以太网、电话线网络和RF(射频)网等有线连接和无线连接。
[0034] 通常,因特网204是世界范围的计算机网络系统,其中在任何第一计算机的用户可从任何第二计算机获取信息,只要第一计算机有适当的许可或者第二计算机没有适当的安全保护。因特网204通常可通过其使用TCP/IP(传输控制协议/互联协议)作为其基本通信语言或协议来区分。TCP/IP通过,例如,用HTTP(超文本传输协议)的全球网(World Wide Web)、依靠SMTP(简单邮件传输协议)的电子邮件、Usenet新闻组、即时消息和FTP(文件传输协议)等的使用而便于信息共享。这些和其它协议常常与TCP/IP打包为一“套件”。
[0035] 如下面将更详细讨论的,图2环境200的示例性实施例实现了移动计算机202,它被配置为通过网络带的使用和强制实施来控制移动计算机202上的应用和服务与各种网络(例如,家庭网208、公司网206、因特网204)之间的通信和/或联系。通常,以这种方式控制网络通信保护移动计算机202及其各种应用和数据不受从未知的和/或诸如因特网204的不安全网络环境开始的潜在的有害联系。
[0036] 示例性实施例
[0037] 图3是表示移动计算机202的示例性实施例的方框图,它被配置以控制具有各不相同特性的不同网络(例如因特网204、公司网206、家庭网208)和移动计算机202上各种应用和数据之间的通信。通常,网络联系/通信的控制通过网络带的使用和强制实施来达到。移动计算机202在图3的示例性实施例中实现为便携式PC(个人计算机)202。
[0038] 便携式PC 202包括处理器300、易失性存储器302(即RAM)和非易失性存储器304(例如,ROM、硬盘、软盘、CD-ROM等)。非易失性存储器304一般提供计算机/处理器可读指令、数据结构、程序模块和PC 202的其它数据等的存储。便携式PC 202的一个示例性实现将在下面参考图7更详细地描述。
[0039] 便携式PC 202从易失性存储器302执行在处理器300上的操作系统(OS)306。OS306存储在存储器304中,并且最初由引导程序(未示出)从存储器304载入易失性存储器
302。OS 306通常配置成管理其它应用程序308,它们也存储在存储器304并且可从易失性存储器302在处理器300上执行。OS 306通过预定的应用程序接口(API)兑现应用程序
308做出的服务请求。更明确地,OS 306一般确定多个应用308在处理器300上执行的次序和为每个应用308分配的执行时间、管理多个应用308之间存储器302的共享、处理对所附硬件设备(例如,硬盘、打印机、拨号端口)等的输入输出等等。另外,用户一般能通过诸如命令语言或图形用户接口直接与OS 306交互。
[0040] 便携式PC 202一般执行存储在存储器304并可在于处理器300上执行的各种应用程序308。这种应用308可包括软件程序实现,例如,字处理、电子数据表、浏览器、文件共享程序、数据库管理系统(DBMS)、对等应用、多媒体游戏、计算机辅助设计装置等。
[0041] 在图3实施例中,便携式PC 202的OS 306示出为包括带模块(zonemodule)310,同时应用308示出为包括带优选模块(zone preferencemodule)312。带模块310配置为支持和/或定义一些网络带,其每一个结合一组与移动便携式PC 202可能连接的特定网络一致的网络特性和策略。在图3所述实施例中,特定网络包括因特网204、公司网206和家庭网208。但是,如上所指出的,所示网络不意味着限制任何可应用于这个和其它实施例的网络的范围。
[0042] 带模块310包括多个网络带,按照每个带所结合的某些网络特性和强制策略来彼此区别它们。当便携式PC 202进行网络连接时,带模块310确定网络的特性并且将该网络指派给一个特定的网络带,这个网络带自身结合的特性相应于该网络特性。例如,当便携式PC 202连接到家庭网208时,家庭网208将被指派给结合或包含家庭网208特性的网络带。对于家庭网208,网络特性一般可关联于具有较为宽松的安全策略的网络带,诸如不需要密码就允许文件共享的策略,例如。通常,且如下面参考图4和5讨论的,由带模块310支持的每个网络带有一关联于它或指派给它的单一网络。
[0043] 除了确定连接到便携式PC 202的网络的网络特性并按照网络特性指派网络给适当的网络带,带模块310还按照由应用308指明的带优选指派应用308给特定网络带。因此,如图4所示,应用308根据由应用308提供给带模块310的网络带优选指派给特定网络带400。
[0044] 更具体地,图4通过示出PC 202上的四个不同应用308(1-4)如何指派给由带模块310支持的三个不同的网络带400(即带1,400(1);带2,400(2);带3,400(3))示范了指派应用308给网络带400的概念。图4希望,部分地,示出应用308如何能指派给单一网络带400或同时给数个网络带400。因而,当应用1(308(1))、应用2(308(2))和应用3(308(3))分别指派给带1(400(1))、带2(400(2))和带3(400(3))时,应用4(308(4))同时指派给所有三个带400(1、2、3)。注意,当图4和图5(下面讨论)及其相关的讨论表示支持三个带(即带1,400(1);带2,400(2);带3,400(3))的带模块310时,并不期望限制带400的数量为三个带。这样,带模块310可支持附加的带400,每个带400关联于连接或可连接至便携式PC 202的特定网络。
[0045] 应用308通过带优选模块312交流其关于一或多个网络带400的优选。带优选模块312一般在设计应用308时嵌入或编入带优选信息。这样,根据应用308在便携式PC202的安装,带优选模块312能够传达带优选信息至OS 306的带模块310。但是,带优选模块312还可使用户能够指明带优选。在这样的情况下,在应用308在便携式PC 202安装过程中,带优选模块312可在PC 202上生成用户界面(例如,图形用户界面或命令界面),通过它用户可为应用308指定一个或多个网络带优选。带优选然后传达至OS 306的带模块
310。
[0046] 一旦带模块310按照从应用308收到的网络带优选指派应用308给网络带400,带模块310随后强制实施关于应用308的带400的策略。这样,带模块310对于应用308限制网络联系只到关联于应用308指定为较佳网络带(或多个带)的网络带(或多个带)的网络(或多个网络)。便携式PC 202可在同时连接到不同的网络,而且,运行在PC 202上的应用308只允许“看见”或通信那些关联于应用308的较佳网络带400的网络。
[0047] 在另一实施例中,应用308能通过带优选模块312传达定制网络连接策略。在这个实施例中,带优选模块312嵌入/编入为应用308定义网络连接的特定通信指令。这些指令可包括,例如,应用308能够与它通信的因特网上的指定定位。这样,根据便携式PC 202上应用308的安装,带优选模块312将指令传达至OS 306的带模块310。带模块310使用这些指令有效地定义定制带,并随后指派应用308给那个带。之后,带模块310按照从应用308接收的特定指令强制实施定制带的策略。强制实施一般包括限制应用308的网络联系到在从应用308接收的指令中所表示的网络位置。因此,尽管便携式PC 202可同时连接到不同的网络并访问各种网络位置,但是应用308只允许“看见”或通信那些表示在从应用
308接收的指令中的网络位置。
[0048] 图5示出诸如以上的一实施例中实现的网络带400如何可用于控制运行在移动便携式PC 202上的应用308和连接到PC 202的各种网络之间通信的更具体的例子。图5的说明旨在表示便携式PC 202同时连接在三个各不相同特性的网络上。PC 202连接的网络是家庭网208、公司网206和因特网204。每个网络都已根据网络特性指派给(即通过带模块310)或关联于特定的网络带400。因而,家庭网208指派给带1(400(1)),公司网206指派给带2(400(2)),以及因特网204指派给带3(400(3))。指定特定带400为较佳带的应用308将受制于特定带400的策略。
[0049] 图5中表示在便携式PC 202上的应用308包括文件共享应用308(1)、SQL服务器应用308(2)、对等(P2P)应用308(3)以及浏览器(例如因特网浏览器)应用308(4)。每个应用308都提供(例如在PC 202安装期间)了带有指出应用308将指派给哪个(些)带400的优选信息的带模块310(图3和4)。这样,文件共享应用308(1)指派给带1(400(1)),SQL服务器应用308(2)指派给带2(400(2)),P2P应用308(3)指派给带3(400(3)),以及浏览器应用308(4)指派给带1、2和3。
[0050] 应用308根据应用308的特定功能指定特定网络带400为较佳带。例如,文件共享应用308(1)一般允许网络上的一些人通过能阅读或浏览文件、写入或修改文件、拷贝文件或打印文件的某些结合来使用相同文件。因而,如果第一计算机上的用户选择共享文件,那么第二计算机上的用户就能访问共享的文件。这种文件共享应用308(1)的操作通常假设要共享文件的各台计算机没有摆出不友好的企图。因此,这种文件共享应用308(1)一般指定一致于此假设的网络带400。
[0051] 在图5说明中,带1(400(1))提供了其特性一致于文件共享应用308(1)的期望功能的网络环境(即家庭网208)。不考虑任何到便携式PC 202的其它网络连接,便携式PC202上的带模块310强制实施网络带1(400(1)),因此文件共享应用308(1)只“看见”到家庭网208的连接。由带模块310强制实施的带1(400(1))基本锁住了文件共享应用308(1)和连接到PC 202的不是家庭网208的任何网络之间的通信。
[0052] 以类似的方式,诸如应用308(2)、308(3)和308(4)的其它应用都可根据应用308的特定功能指定特定网络带400为较佳带。SQL服务器应用308(2)是一个被设计为在公司/企业环境中运行的应用,因此它一般指定一个与其运行目的一致的网络带400。从而,图5示出的SQL服务器应用308(2)指明带2(400(2))为其较佳带,且便携式PC 202上的带模块310强制实施带2(400(2)),因此SQL应用308(2)只“看见”到公司网206的连接,而不管可能存在于便携式PC 202上的其它连接。P2P应用308(3)被设计在因特网环境中运行,因此一般指定与运行目的一致的网络带400。从而,图5的P2P应用308(3)指明带3(400(3))为其较佳带,因为带3支持和强制因特网为其唯一的网络连接。因而,便携式PC
202上的带模块310保证P2P应用308(3)将只“看见”到因特网204的连接,而不管可能存在于便携式PC 202上的其它网络连接。
[0053] 浏览器应用308(4)也一样,根据浏览器应用308(4)的特定功能指定特定网络带400为较佳带。浏览器是通常设计为作用于所有网络环境中的应用,且它们提供它们各自的安全设置。因而,图5的浏览器应用308(4)指定所有三个网络带400(1-3)为较佳带。从而,便携式PC 202上的带模块310保证浏览器应用308(4)能够“看见”便携式PC 202上的所有网络连接。
[0054] 示例性方法
[0055] 现在将主要参考图6的流程图描述示例性方法,用于实现被配置为,控制在具有各不相同特性的不同网络与计算机202上各种应用程序和数据之间的通信的移动计算机202的一或多个实施例。这些方法通常应用于以上关于图3-5讨论的示例性实施例。所述方法的要素可通过任何适当的方式完成,包括,例如,通过在处理器可读介质上定义的处理器可读指令的执行。
[0056] 这里使用的“处理器可读介质”可以是任何能够包含、存储、通信、传播或传送由处理器使用或执行的指令的装置。处理器可读介质可以是,而非限制,电的、磁的、光的、电磁的、红外的或半导体的系统、装置、设备或传播介质。处理器可读介质更具体的例子包括,在其它之中的,具有一或多线的电子连接、便携式计算机盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦可编程只读存储器(EPROM或闪存)、光纤以及便携式只读光盘(CDROM)。
[0057] 图6示出实现被配置以控制具有各不相同特性的不同网络和计算机202上各种应用程序和数据之间的通信的移动计算机202的一个实施例的示例性方法600。在方框602,定义网络带。移动计算机202根据网络特性和网络通信/连接策略定义了多个网络带。其特性和/或策略将根据来自应用程序308的指令确定的定制带,也可被包括为网络带。
[0058] 在方框604,计算机202连接到一个网络。网络可以是任何一种网络,包括,例如,家庭网208、公司网206和因特网204。在方框606,计算机202确定网络特性,而在方框608它按照网络特性指派网络给网络带。网络被指派给其特性一致于网络确定的特性的网络带。
[0059] 在方框610,计算机202开始应用程序308的安装。在方框612,计算机202从正在安装的应用308接收优选信息,表示对于该应用的较佳的网络带。在一个实施例中,优选信息可包括为一定制带而定义特性和连接策略的通信指令。在另一个实施例中,优选信息可简单地包括一或多个由应用308优选的特性。在方框614,计算机202根据来自应用308的优选信息关联/指派应用308给网络带。根据优选信息,一或多个网络带可以是指定为应用的较佳网络带的网络带,它可以是由优选信息定义的定制带,或者可以是包括一或多个拥有一或多个来自应用308的优选信息中的特性的网络的网络带。
[0060] 之后,计算机202以几种方式强制实施与应用相关联的网络带。在方框616,计算机202防止应用程序308看见未关联于较佳网络带的网络和/或接收与之通信。对于定制带,这可包括防止应用程序308接收来自未在定制带中指定的网络位置的通信。在方框618,计算机202防止应用程序308看见未关联于较佳网络带的网络和/或开始与之的通信。对于定制带,这可包括防止应用程序308开始与任何定制带中未指定的网络位置的通信。
[0061] 在方框620,计算机202允许应用程序接受来自关联于较佳网络带的网络的通信。对于定制带,这可包括允许应用程序308接受来自在定制带中指定的网络位置的通信。在方框622,计算机202允许应用程序开始与关联于较佳网络带的网络的通信。对于定制带,这可包括允许应用程序开始与定制带中指定的网络位置的通信。
[0062] 当一或多种方法已通过流程图和关联于流程图方框的文本的方式揭示时,要理解方框不必需按它们呈现的顺序来执行,而且另一个顺序可产生类似的优点。此外,方法不是排它的,且能单独或彼此结合起来实现。
[0063] 示例性计算机
[0064] 图7示出可用于实现移动计算机202的适当计算环境700的示例。尽管示出了一种指定的配置,计算机202还可以其它计算配置实现。
[0065] 计算环境700包括以计算机702形式的通用计算系统。计算机702的组成可包括,但不限于,一或多个处理器或处理单元704、系统存储器706和连接包括处理器704等各种系统组件至系统存储器706的系统总线708。
[0066] 系统总线708表示几种类型的总线结构的任意一或多种,包括存储器总线或存储器控制器、外围总线、加速图形端口和使用各种各样的总线结构的处理器或局部总线。系统总线708的一个例子是外围元件互联(PCI)总线,也称为Mezzanine(夹层)总线。
[0067] 计算机702一般包括各种各样的计算机可读介质。这种介质可以是任何计算机702可访问的可用介质,并包括易失性和非易失性介质、可移动和不可移动介质。系统存储器706包括以易失性存储器形式的计算机可读介质,诸如随机访问存储器(RAM)710,和/或非易失存储器,诸如只读存储器(ROM)712。基本输入/输出系统(BIOS)714,包含帮助在计算机702内各部件间传送信息的基本例程,诸如在起动期间,存于ROM712。RAM710一般包含可由处理单元704立即访问和/或现在正在运行的数据和/或程序模块。
[0068] 计算机702还可包括其它可移动/不可移动、易失性/非易失性计算机存储介质。作为例子,图7说明了读取和写入不可移动、非易失性磁介质(未示出)的硬盘驱动器716、读取和写入可移动、非易失性磁盘720(例如“软盘”)的磁盘驱动器718以及读取和/或写入可移动、非易失性光盘724的,诸如CD-ROM、DVD-ROM或其它光介质,光盘驱动器722。硬盘驱动器716、磁盘驱动器718和光盘驱动器722每个都通过一或多个数据介质接口726连接在系统总线708上。可供选择,硬盘驱动器716、磁盘驱动器718和光盘驱动器722通过SCSI接口(未示出)6连接在系统总线708。
[0069] 盘驱动器及其相关的计算机可读介质为计算机702提供计算机可读指令、数据结构、程序模块和其它数据的非易失性存储。尽管示例示出了硬盘716、可移动磁盘720和可移动光盘724,要意识到还有可存储计算机可访问的数据的其它类型的计算机可读介质,诸如磁带或其它磁存储设备、闪存卡、CD-ROM、数字通用盘(DVD)或其它光存储、随机访问存储器(RAM)、只读存储器(ROM)、电可擦除只读存储器(EEPROM)等等,可被用于实现示例性计算系统和环境。。
[0070] 任何数量的程序模块可存储于硬盘716、磁盘720、光盘724、ROM712和/或RAM710,包括,作为例子,操作系统726、一或多个应用程序728、其它程序模块730和程序数据732。这种操作系统726、一或多个应用程序728、其它程序模块730和程序数据732(或它们的某些结合)的每一个可包括用于用户网络访问信息的高速缓存方案的实施例。
[0071] 计算机702可包括看作为通信介质的各种各样的计算机/处理器可读介质。通信介质一般包含计算机可读指令、数据结构、程序模块或调制数据信号中的其它数据,诸如载波或其它传输机制,并包括任意信息传递介质。术语“调制的数据信号”指具有以这样一种关于编码信号中信息的方式设置或改变的一或多个特征的信号。作为例子,但非限制,通信介质包括有线的介质,诸如有线的网络或直接线连接,以及无线的介质,诸如声音的、RF(射频)、红外线和其它无线介质。上述各项的任意组合也包括在计算机可读介质的范围之内。
[0072] 用户可通过诸如键盘734和指点设备736(例如,“鼠标”)这样的输入设备将命令和信息键入计算机702。其它输入设备738(未详细示出)可能包括话筒、操纵杆、游戏垫、卫星式转盘、串行口、扫描仪和/或类似的设备等。这些和其它输入设备可通过连接到系统总线708的输入/输出接口740连接至处理器单元704上,还可通过其它接口和总线结构连接,诸如并行接口、游戏端口或通用串行总线(USB)。
[0073] 显示器742或其它类型的显示设备也能通过诸如视频适配器744的接口连接至系统总线708。除显示器742以外,其它输出外部设备可包括诸如扬声器(未示出)和打印机746这样的组件,它们可通过输入/输出接口740连接到计算机702。
[0074] 计算机702能在使用逻辑连接至一或多个诸如远程计算设备748这样的远程计算机的网络化环境中运行。作为例子,远程计算设备748可以是个人计算机、便携式计算机、服务器、路由器、网络计算机、对等设备或其它普通的网络节点等等。远程计算设备748可例示为便携式计算机,它能包括许多或所有在这里相对于计算机系统702所述的元件和特点。
[0075] 在计算机702和远程计算机748之间的逻辑连接被示为局域网(LAN)750和一般的广域网(WAN)752。这样的网络环境在办公室、企业级计算机网络、企业内部互联网和因特网中是很普通的。当在LAN网络环境中实现时,计算机702通过网络接口或适配器754连接到局域网750。当在WAN网络环境中实现时,计算机702通常包括调制解调器756或其它在广域网752上建立通信的设备。调制解调器756,它可内置或外置于计算机702,能通过输入/输出接口740或其它合适的机制连接到系统总线708。要意识到所示的网络连接是示范性的,且能使用其它在计算机702和748之间建立通信链路的方法。
[0076] 在网络化环境中,诸如与计算环境700一起示出的,相对于计算机702所述的程序模块或其部分可存储于远程存储器存储设备。作为例子,远程应用程序758驻留在远程计算机748的存储器设备中。为了说明,应用程序和其它可执行程序组件,诸如操作系统,在这里作为分离的方框示出,尽管认识到这样的程序和组件在不同的时间驻留在计算机702的不同的存储组件中,并由计算机的数据处理器执行。
[0077] 结论
[0078] 尽管本发明是以特定于结构化特点和/或方法效果的语言描述的,但是要理解所附权利要求中定义的本发明不必限于所述特定特征和行为。而是,作为实现所要求的发明的示例性形式揭示特定的特征和行为。
