抑制与不安全网站和网络相关联的安全风险

摘要

安全抑制技术被提出以保护用户设备或其用户免受攻击者，尤其是在其面临最大风险的情况下。在示例实施例中，当确定网站不安全并且用户设备所连接的网络是开放Wi‑Fi时，可以执行一个或多个抑制动作。抑制动作可以包括在显示网站的web浏览器的图形用户界面(GUI)中生成视觉警告、阻止敏感信息的传输、停止非活动web浏览器标签的脚本和资源的执行或当存在网络连接变化时停止脚本和资源的执行、或者在网站不安全时不允许脚本或资源的执行。在另一示例实施例中，阻止应用通过开放Wi‑Fi网络来传输敏感信息的传输。

说明书

背景技术

存在与经由家庭网络来浏览未加密网站相关联的安全问题。例如，互联网服务提供商可能会在未加密网站中注入无关的广告内容。但是，当环境被改变为诸如咖啡店或机场的开放Wi-Fi网络等不安全网络时，安全问题就会增加。这些安全问题可以包括窃听、恶意软件分发等。此外，攻击者还可能窃取未加密网站中输入的用户信息或将内容注入未加密网站的代码中，从而操纵用户的网页浏览体验。

因此，当通过不安全网络访问未加密网站时，设备的完整性可能受到损害，并且用户可能不知道安全风险。当从安全网络(例如，工作网络)改变为不安全网络(例如，开放Wi-Fi网络)时，用户还可能会在不知情的情况下通过保持由用户未使用的web浏览器标签处于开放而产生安全漏洞，并且因此用户可能不会注意到在不安全网络上显示网站的标签保持开放。攻击者可能会利用该漏洞对用户造成人身和经济损害。

发明内容

提供本“发明内容”以便以简化的形式介绍在以下“具体实施方式”中进一步描述的概念的选择。本“发明内容”不旨在标识所要求保护的主题的关键特征或基本特征，也不旨在用于限制所要求保护的主题的范围。

描述了用于抑制与网站的不安全通信相关联的风险的方法、系统和装置。确定用户设备所连接的Wi-Fi网络的安全模式。确定针对网站的通信安全类型，用户设备的web浏览器正在试图通过Wi-Fi网络访问该网站。响应于确定安全模式是开放模式并且通信安全类型是安全的，执行至少一个动作来保护用户设备免受损害。

下面参考附图详细描述其他特征和优点、以及各种示例的结构和操作。注意，思想和技术不限于本文中所描述的具体示例。这样的示例在此仅用于说明目的。基于本文中包含的教导，附加示例对于(多个)相关领域的技术人员将是很清楚的。

附图说明

并入本文并且形成说明书的部分的附图示出了本申请的实施例，并且与说明书一起进一步用于解释实施例的原理并且使相关领域的技术人员能够制作和使用实施例。

图1是根据示例实施例的包括计算设备的系统的框图，该计算设备包括抑制系统。

图2描绘了根据示例实施例的用于抑制与未加密网站和不安全网络相关联的安全风险的方法的流程图。

图3是根据示例实施例的包括用于抑制与未加密网站和不安全网络相关联的安全风险的抑制系统的计算设备的框图。

图4描绘了根据示例实施例的确定Wi-Fi网络的安全模式的方法的流程图。

图5至图9各自描绘了根据示例实施例的用于执行抑制动作的方法的流程图。

图10描绘了根据示例实施例的用于抑制与开放网络相关联的安全风险的方法的流程图。

图11描绘了根据示例实施例的确定开放网络的安全模式的方法的流程图。

图12描绘了根据示例实施例的阻止通过开放网络来传输敏感信息的方法的流程图。

图13是可以在其中实现实施例的示例计算机系统的框图。

图14是可以在其中实现实施例的示例计算机系统的框图。

实施例的特征和优点将从以下结合附图所阐述的详细描述中变得更加明显，在附图中，相同的附图标记自始至终标识对应元素。在附图中，相似的附图标记通常表示相同、功能相似和/或结构相似的元素。元素第一次出现的图由对应附图标记中最左边的(多个)数字表示。

具体实施方式

I.简介

以下详细描述公开了多个实施例。本专利申请的范围不限于所公开的实施例，还包括所公开的实施例的组合、以及对所公开的实施例的修改。

说明书中对“一个实施例”、“实施例”、“示例实施例”等的引用表示所描述的实施例可以包括特定特征、结构或特性，但是每个实施例可以不必然包括特定特征、结构或特性。此外，这些短语不必然指代相同的实施例。此外，当结合实施例来描述特定特征、结构或特性时，认为与其他实施例(无论是否明确描述)相结合实现这样的特征、结构或特性在本领域技术人员的知识范围内。

很多示例性实施例描述如下。注意，本文中提供的任何节/小节标题并非旨在进行限制。贯穿本文档描述了实施例，并且任何类型的实施例可以被包括在任何节/小节下。此外，在任何节/小节中公开的实施例可以以任何方式与在相同节/小节和/或不同节/小节中描述的任何其他实施例组合。

II.示例实施例

本文中描述的示例实施例是出于说明的目的而提供的，而不是限制性的。本文中所描述的示例可以适用于任何类型的计算设备、网络或应用。(多个)相关领域的技术人员从本文中的教导中将很清楚另外的结构和操作实施例(包括修改/改变)。

用户可以经由很多网络浏览万维网，诸如工作网络、家庭网络或不安全的公共或开放网络。开放Wi-Fi网络可以在很多公共场所找到，包括机场、咖啡店、餐馆、酒店或商场，并且可以允许用户免费访问互联网，而无需密码。开放Wi-Fi网络无处不在，以至于用户经常会毫不犹豫地连接到它们。然而，无论用户是在工作、浏览新闻还是访问需要登录的网站，如电子邮件(email)或银行业务，都存在与开放Wi-Fi网络相关联的很多安全风险。开放Wi-Fi网络上的第一用户很容易窃听同一网络上的第二用户。在这种情况下，第二用户可能会受到中间人攻击，该攻击包括查看从第二用户的计算设备发送的数据或第二用户查看的数据、恶意软件分发、注入内容、捕获登录凭据、或劫持用户账户等。

附加地，网站可能是未加密的，这会呈现它自己的安全问题集。虽然存在转向安全网站的趋势，但很多网站仍未加密。在开放Wi-Fi网络上访问不安全网站是安全问题，因为攻击者可能会查看和改变网站的内容。为了加剧这个问题，当用户在开放Wi-Fi网络上浏览不安全网站时，可能会有风险的用户看不到用户设备当前的互联网连接。

可能确定网站是安全的(https)还是不安全的(http)，并且可以经由某种形式的图标或字体类型处理来指示这种通信安全性，以试图在web浏览器的地址栏中传达风险级别。备选地，web浏览器可以这样标记不安全网站，或者指示个人信息可能被盗用。但是，这些方法不会将不安全或开放网络连接与web浏览器中的警告联系起来。

计算设备的操作系统可以本机地警告用户关于不安全网络连接，但是当用户可能处于最大风险时，不在web浏览的上下文中传达警告。用户可能很容易无视警告并且自行承担风险继续操作。此外，如果计算设备设置为“自动连接”，则通常不会向用户呈现该警告。

此外，当网络连接被改变时，特别是从安全网络(例如，工作)到不安全网络(例如，开放Wi-Fi)时，可能会出现安全问题。例如，用户可以在工作时、在私有的安全网络上使用web浏览器访问多个网站。用户可以决定让具有多个打开标签的web浏览器保持打开，然后前往咖啡店并且使用开放Wi-Fi网络继续工作。在该示例中，用户可能会因多个打开标签而产生安全问题，因为即使网络连接已经改变为不安全网络，打开标签上所显示的网站也可能会随着脚本和资源的执行而自动加载。当前标签暂停概念没有考虑安全影响，也没有针对网站的通信安全类型的任何概念。此外，当标签在前台中时，用户可以看到与加密网站相关联的锁定图标和与未加密网站相关联的解锁图标。但是，当标签在后台时，用户根本无法判断该背景标签上的网页是否安全。

对于这些安全问题的一些当前解决方案可能集中于限制用户动作或提供对未加密网站的限制而不考虑网络连接。其他解决方案可能侧重于在显示网站的浏览器标签上暂停资源，而没有考虑网站是否被加密。

在本文中所描述的实施例中，安全抑制技术被提出以保护用户或用户设备免受攻击者，尤其是在其面临最大风险的实例中。在示例实施例中，自动确定当前网络的安全模式和针对正在被访问的网站的通信安全类型。当确定网站不安全并且网络是开放Wi-Fi时，可以执行一个或多个抑制动作。抑制动作可以包括在web浏览器的图形用户界面(GUI)中生成视觉警告、阻止敏感信息的传输、停止非活动标签的脚本和资源的执行或当存在网络连接变化时停止脚本和资源的执行、或者在网站不安全时不允许脚本或资源的执行。web浏览器可以是用于访问万维网上信息的应用，并且可以包括web浏览器，诸如

因此，当安全问题最相关时，本文中所描述的抑制技术在web浏览器或应用的上下文中连接开放Wi-Fi网络和未加密浏览器的两个不同场景。抑制技术缓解了用户在后台标签上主动记住和管理当前网络的安全模式或网站的通信安全类型的负担。因此，网络浏览过程得到改进，以针对用户提供更安全并且负担更轻的体验。通过改进web浏览和数据传输过程，用户设备和相关系统的功能也得到改进。例如，用户设备可以更高效和更安全。换而言之，在执行抑制动作(例如，暂停与不安全网站或网络变化相关的资源)时，可能需要比正常情况更少的计算资源(例如，处理器周期、输入/输出、电源)。抑制技术还可以通过强制执行关于数据传输强加强大的安全措施并且阻止使用漏洞来提高对用户设备的安全性。

与不安全网站和网络相关联的安全风险的抑制可以在各种实施例中实现。例如，图1是根据示例实施例的、包括具有抑制系统104的计算设备的系统100的框图。如图1所示，系统100包括计算设备102、中间设备112、中间设备128、服务器116和服务器122。系统100进一步详细描述如下。

如图1所示，服务器122可以经由连接120连接到网络108。中间设备112和中间设备128各自可选地存在。当存在时，计算设备102和服务器116可以分别经由中间设备128和中间设备112连接到网络108。即，计算设备102可以经由连接106连接到中间设备128，并且中间设备128可以经由连接126连接到网络108。服务器116可以经由连接114连接到中间设备112，并且中间设备112可以经由连接110连接到网络108。在其他实施例中，中间设备112和/或中间设备128可以不存在。如此，计算设备102和/或服务器116可以直接而不是通过中间设备连接到网络108。在其他实施例中，在计算设备102与网络108之间和/或在服务器116与网络108之间可以存在多个中间设备，使得存在附加网络连接。

计算设备102是针对用户(例如，个体用户、家庭用户、企业用户、政府用户等)的计算设备，该用户可以使用计算设备102通过网络108来访问网络可访问资源，诸如服务器116和服务器122。系统100可以包括比图1中描绘的更少或更多的计算设备。计算设备102可以是任何类型的固定或移动计算设备，包括移动计算机或移动计算设备(例如，

网络108可以包括一个或多个网络，诸如局域网(LAN)、广域网(WAN)、企业网络、互联网等，并且可以包括一个或多个有线或无线部分。在实施例中，计算设备102、服务器116和服务器122可以经由一个或多个应用程序编程接口(API)或以任何其他方式通过网络108进行通信。网络108可以被配置为计算设备102上的私有或公共网络。私有网络可以是用于传输加密数据的受信的网络，并且可能需要密码才能访问。例如，私有网络可以配置具有以下安全模式中的任何模式：有线等效隐私(WEP)、Wi-Fi保护访问(WPA)、Wi-Fi保护访问II(WPA2)。利用每种安全模式，可以使用不同类型的加密，诸如临时密钥完整性协议(TKIP)或高级加密标准(AES)。受信网络可以是家庭网络、办公室网络等，其能够在网络上的机器之间实现网络发现、文件和打印机共享。相比之下，公共网络允许通过其传输未加密数据并且可能不需要密码来访问。公共网络可以由公共场所的商业企业(例如，咖啡店、机场、购物中心)拥有，并且可能不会自动允许网络上的机器当中的网络发现或文件和打印机共享。网络的配置可以由设备的操作系统、系统管理员或计算设备102的用户来设置。与针对网络108的网络安全、网络发现或文件和打印机共享相关的网络设置可以由计算设备102的操作系统存储在网络简档中或由计算设备102的操作系统以其他方式可访问。网络设置也可以可用于安装在计算设备102上的应用或由计算设备102可访问的应用。

连接106、110、114、120和126各自是通信地耦合设备以用于在设备之间进行数据信号通信的网络连接。连接106、110、114、120和126的示例包括：网络电缆，诸如以太网电缆和USB(通用串行总线)电缆；以及无线链路，诸如个人局域网(PAN)、无线局域网(WLAN)、广域网(WAN，诸如互联网链接)等。通信信号可以以任何方式通过这样的连接来传输，包括基于分组的通信(诸如TCP-IP(传输控制协议互联网协议))、无线协议(诸如IEEE(电气与电子工程师学会)802.11)等。

如图1所示，计算设备102可以连接到中间设备128(例如，移动Wi-Fi热点、智能电话等)，中间设备128可以经由连接126被连接到网络108。在这种情况下，计算设备102通过连接106和126被连接到网络108，其中中间设备128桥接连接106和126。与中间设备128的连接106可能看起来是与计算设备102的安全连接，即使中间设备128与网络108之间的连接126可能不安全。在这种情况下，最不安全的连接可以决定是否需要采取抑制措施。

服务器116、服务器122和附加资源可以限定网络可访问服务器基础设施。在示例实施例中，服务器116和服务器122可以形成网络可访问服务器集，诸如云计算服务器网络。例如，服务器116和服务器122可以包括服务器组或服务器集合(例如，计算设备)，服务器各自通过诸如互联网的网络(例如，在“基于云的”实施例中)可访问以存储、管理和处理数据。系统100可以包括任何数目的服务器，少于或多于图1所示的服务器数目。虽然未示出，但系统100可以包括促进与服务器(例如，网络交换机、网络等)的通信和服务器之间的通信的附加资源、由服务器(例如，存储设备)进行的存储的附加资源、管理其他资源的资源(例如，管理虚拟机以为系统100的租户提供虚拟操作平台的管理程序等)、以及其他更多类型的资源。服务器116和服务器122可以以任何方式组织，包括分组成服务器机架(例如，每个机架8至40个服务器，被称为节点或“刀片服务器”)、服务器集群(例如，2至64个服务器、4至8个机架等)、或数据中心(例如，数千个服务器、数百个机架、数十个集群等)。在实施例中，服务器116和服务器122可以被共同定位(例如，安置在一个或多个附近的建筑物中，该建筑物具有相关联的组件，诸如备用电源、冗余数据通信、环境控制等)以形成数据中心，或者可以以其他方式布置。根据该实施例，服务器116和服务器122中的每个服务器可以被配置为服务于特定地理区域。例如，服务器116和服务器122可以被配置为服务于美国的东北地区，而其他服务器可以被配置为服务于美国的西南部地区。作为另一示例，服务器116和服务器122可以分别被配置为服务于美国的东北地区和西南地区。服务器116和服务器122可以服务于世界范围内任何数目的地理区域。

服务器116和服务器122中的每个服务器可以被配置为执行一个或多个服务(包括微服务)、应用和/或支持服务。“支持服务”可以是云计算服务/应用，该云计算服务/应用被配置为管理服务器集(例如，服务器集群)以作为针对用户的网络可访问(例如，基于云的)计算资源来操作。支持服务的示例包括

现在将结合图2讨论图1的系统100的进一步的操作方面，图2描绘了根据实施例的用于抑制与不安全网站和网络相关联的安全风险的示例方法的流程图200。在实施例中，抑制系统104可以执行流程图200。虽然参考图1的系统100进行描述，但图2的方法不限于该实现。基于以下关于流程图200和图1的系统100的讨论，其他结构和操作实施例对于(多个)相关领域的技术人员将是很清楚的。

流程图200是用于抑制与不安全网站和网络相关联的安全风险的示例方法。流程图200开始于步骤202。在步骤202处，确定用户设备所连接的Wi-Fi网络的安全模式。例如，并且参考图1的系统100，抑制系统104可以确定计算设备102所连接的网络108的安全模式。如上所述，网络108可以是公共或私有网络。在示例实施例中，网络108可以是不需要用户输入密码即可访问网络108的公共Wi-Fi网络。作为公共Wi-Fi网络，网络108可以不提供数据加密并且可能没有私有网络安全。因此，网络108的安全模式可以是开放模式或开放公共Wi-Fi或私有模式或私有Wi-Fi。当计算设备102连接到网络108时，网络108的安全模式可以被提供给计算设备102，并且因此被提供给抑制系统104。例如，当与计算设备102的操作系统(OS)的网络连接工具交互的用户选择连接(或自动连接到)时，可以从网络路由器或将计算设备102与网络108接口连接的其他网络设备提供安全模式。图2的流程图200在步骤204处继续。

在步骤204中，确定针对网站的通信安全类型，用户设备的web浏览器正在试图通过Wi-Fi网络访问该网站。例如，并且继续参考图1的系统100，在实施例中，抑制系统104可以被配置为确定针对网站的通信安全类型，计算设备102的web浏览器正在试图通过网络108访问该网站。计算设备102可以包括软件，该软件包括用于web浏览器(例如，

未加密或不安全网站可以使用超文本传输协议(HTTP)，该HTTP允许不同系统之间的通信，特别是web服务器与用户设备上的web浏览器之间的数据传输。HTTP数据未被加密，并且可能会被第三方拦截。因此，针对不安全网站的地址可以由HTTP符号表示，例如http://notsecure.example.com。相比之下，HTTPS(其中“S”代表“安全”)数据涉及使用SSL(安全套接字层)证书，SSL证书在web服务器与web浏览器之间创建安全连接。SSL证书可以被安装在web服务器上以验证网站的身份并且加密所传输的数据。由受信组织颁发了多种类型的SSL证书。安全网站的地址可以由HTTPS符号指示，例如https://secure.example.com。抑制系统104可以通过任何方式确定网站的通信安全类型，诸如基于针对网站的网址、传输协议或(多个)SSL证书。在示例实施例中，网站可以包括多个网页，其中一些网页可以是安全的，其中一些网页是不安全的。因此，可以检查与网站相关联的每个连接或网页以确定通信安全类型。针对网站的通信安全类型可以是安全的或不安全的，其中不安全网站包括一个或多个不安全连接，该连接向计算设备104或其用户呈现更多安全风险。

图2的流程图200在步骤206处结束。在步骤206中，响应于确定安全模式是开放模式并且通信安全类型是不安全的，可以执行抑制动作。例如，并且继续参考图1的系统100，在示例实施例，当网络108的安全模式是“开放的”(不安全的)并且网站(例如，由服务器118提供)是不安全的(未加密的)时，抑制系统104可以被配置为执行一个或多个抑制动作。例如，抑制系统104可以执行抑制动作，诸如在web浏览器的图形用户界面中生成视觉警告，阻止通过开放Wi-Fi网络(例如，图1中的网络108)敏感信息的传输，和/或禁止或暂时停止非活动web浏览器标签的脚本和资源的执行。步骤206可以在任何时间执行，包括在网站被首次访问时、在网络连接发生变化时和/或在任何其他时间。

取决于确定步骤(例如，202、204)，可以在步骤206中备选地或附加地采取其他抑制措施。例如，对于所满足的每个标准集(例如，开放Wi-Fi网络和不安全网站的组合、开放Wi-Fi网络和安全网站的组合、私有Wi-Fi网络和安全网站的组合、或私有Wi-Fi网络和不安全网站的组合)，可以发起(多个)对应抑制动作以抑制安全风险。抑制动作的非限制性示例可以包括：在事件日志中记录条目(以提醒安全管理员)、修改应用的窗口框架或用户界面元素以指示与该应用相关联的安全风险级别、在检测到要被传输的敏感信息时呈现警报(例如，文本、图形、静态、动态、音频等)、提示用户使用更安全的方法(例如，使用虚拟私有网络)来抑制风险、或请求不安全网站的开发人员使用更安全的协议(即，HTTPS)。

在流程图200的上述讨论中，应当理解，流程图200的步骤有时可以不同顺序或甚至与其他步骤同时执行。例如，确定步骤202和204可以以不同顺序或甚至同时执行。作为另一示例，只要有网络变化，就可以重复步骤202至206中的步骤。其他操作实施例对于(多个)相关领域的技术人员将是很清楚的。还应当注意，系统100的操作的前述描述仅用于说明，并且系统100的实施例可以包括不同硬件和/或软件，并且可以以与上述不同的方式操作。

例如，图3是可以被实现为图1的系统100中的计算设备102的计算设备300的框图。计算设备300可以包括连接到一个或多个存储器设备304的一个或多个处理电路302。

处理电路302可以包括一个或多个微处理器，微处理器中的每个微处理器可以包括一个或多个中央处理单元(CPU)或微处理器核。处理电路302还可以包括微控制器、专用集成电路(ASIC)、现场可编程门阵列(FPGA)和/或其他处理电路系统。(多个)处理电路302可以以已知的方式操作以执行计算机程序(本文中也称为计算机程序逻辑)。这样的计算机程序逻辑的执行可以使(多个)处理电路302执行操作，包括将在本文中所描述的操作。计算设备300的每个组件(诸如，存储器设备304)可以经由一个或多个合适的接口被连接到处理电路302。

存储器设备304包括一个或多个易失性和/或非易失性存储器设备。存储器设备304存储多个软件组件(也被称为计算机程序)，包括操作系统306、web浏览器308、应用310和抑制系统312，软件组件中的每个软件组件可以由处理电路302执行。存储器设备304还可以存储图3中未示出的其他软件组件。图3的特征进一步描述如下。

操作系统306包括程序集，程序集管理资源并且针对可以在计算设备300上被执行的应用和系统(诸如，应用310或抑制系统312)提供公共服务。操作系统306可以包括管理计算设备300的网络所必需的组件(例如，设备驱动程序或其他软件)。例如，操作系统306可以包括传输控制协议/互联网协议(TCP/IP)堆栈和相关程序的实现。例如，操作系统306可以包括用于测试主机在互联网协议(IP)网络上的可达性的实用工具或命令，或者包括用于显示路由和测量跨IP网络的分组的传输延迟的计算机网络诊断工具或命令。操作系统306还可以包括用于实现用户与计算设备300的交互的输入模块和输出模块。

操作系统306可以将诸如图1所示的网络108的网络配置为具有或不具有用户输入的私有网络或公共网络。操作系统306还可以检测网络连接及其变化。例如，当计算设备300的用户第一次连接到新网络时，可能会要求用户针对其选择位置，诸如家庭、工作、公共或私有。取决于所选择的位置，某些特征(例如，文件和打印机共享、网络发现)可以被自动开放或关闭。网络位置选择可以被保存在网络简档中，使得用户不必多次针对网络来执行网络设置或位置选择。网络简档可以本地保存在计算设备300上或其他地方。操作系统306随后可以使用所保存的网络简档来自动连接到具有所有相关联网特征的网络。

计算设备300可以包括一个或多个web浏览器，诸如web浏览器308。虽然图1示出了一个web浏览器，但是可以在计算设备300中安装任何数目的web浏览器。web浏览器308可以是用于访问网站、其网页或网络(诸如互联网)上的信息的计算机程序或应用。web浏览器308的非限制性示例包括

计算设备300还可以包括应用，诸如应用310，每个应用包括可以由处理电路302执行以执行某些操作的计算机程序，应用的类型可以根据应用如何被编程来变化。应用310可以是任何类型的应用，包括但不限于数据库应用、电子邮件应用、生产力应用、社交网络应用、消息传递应用、金融服务应用、新闻应用、搜索应用、生产力应用等。尽管图1示出了一个应用，但是任何数目的应用都可以被呈现在计算设备300处或由计算设备300可访问。

抑制系统312可以包括可以由处理电路302执行以执行操作以抑制对计算设备300及其用户的安全风险的软件组件。在示例实施例中，抑制系统312可以被实现为图1的系统100中的抑制系统104。抑制系统312在图3中被示出为独立系统，但是抑制系统312可以部分或全部地集成到其他系统或应用(诸如，应用310、web浏览器308或操作系统306)中。此外，抑制系统312的组件可以全部被包括在计算设备300中，或者可以被包括在计算设备300和诸如服务器的其他设备中。抑制系统312描述如下。

抑制系统312可以包括网络安全确定器314、网站加密确定器316和安全管理器318，其中每个可以包括可以由处理电路302执行以抑制对计算设备300和计算设备300的用户的安全风险的计算机程序逻辑。网络安全确定器314可以被配置为确定计算设备300所连接的Wi-Fi网络(例如，图1中的网络108)的安全模式。网站加密确定器316可以被配置为确定针对网站的通信安全类型，计算设备300的web浏览器(例如，web浏览器308)正在试图通过Wi-Fi网络访问该网站。安全管理器318可以被配置为响应于某些条件来执行至少一个动作以保护计算设备300和/或其用户免受损害，诸如当Wi-Fi网络的安全模式是开放模式并且针对网站的通信安全类型是不安全的时。抑制系统312及其组件将结合图4至图12被进一步描述。

现在将参考图4更详细地描述网络的安全模式的确定。特别地，图4是根据示例实施例的确定Wi-Fi网络的安全模式的方法的流程图400。流程图400包括对如图2所描绘的流程图200的方法步骤的改进或添加。因此，将继续参考图1的系统100和图3的计算设备300来描述流程图400的方法。然而，基于以下关于流程图400的讨论，其他结构和操作实施例对于(多个)相关领域的技术人员将是很清楚的。

如图4所示，流程图400的方法开始于步骤402处，其中使用步骤404、406和408中所示的多个技术中的一个或多个技术来确定用户设备所连接的Wi-Fi网络的安全模式。例如，步骤402、404、406和408各自可以由图3的网络安全确定器314来执行。步骤402、404、406和408中的每个步骤被描述如下。

在步骤404处，利用操作系统级别API来确定用户设备所连接的Wi-Fi网络的安全模式。在示例实施例中，网络安全确定器314可以使用(例如，查询)或调用操作系统级别API来确定计算设备300所连接的Wi-Fi网络(例如，图1中的网络108)的安全模式。在备选示例实施例中，Wi-Fi网络的安全模式的确定可以由操作系统306作出，并且自动或根据请求被提供给其他应用(例如，抑制系统312、web浏览器308或应用310)。Wi-Fi网络的安全模式可以是私有模式、公共模式或开放模式中的任何模式。私有模式可以比公共或开放模式更安全。一些公共Wi-Fi网络可以是安全的(例如，受密码保护)。然而，如本文所称，开放模式公共Wi-Fi网络是不安全并且不需要密码访问的公共Wi-Fi网络。从针对Wi-Fi网络的安全模式，网络安全确定器314可以确定公共Wi-Fi网络是否安全，并且如果公共Wi-Fi网络是开放模式网络，则可以确定要采取以抑制安全风险的适当措施。

在示例实施例中，图3所示的操作系统306可以包括支持网络应用的API、组件和服务。操作系统306提供的支持的非限制性示例可以包括递送优化(DO)服务、域名系统(DNS)服务、动态主机配置协议(DHCP)API、连接API(例如，获取连接向导API)、HTTP服务器API、IP助手、管理信息库API、消息队列技术、多播地址动态客户端分配协议(MADCAP)、网络接口、网络列表管理器API、网络管理功能、网络共享管理服务、对等技术、远程程序调用(RPC)、路由和远程访问服务(RAS)、简单网络管理协议、服务器信息块(SMB)管理API、电话API、网络套接字协议组件API、网络功能、HTTP服务或互联网API。在示例实施例中，可以使用任何API、服务或组件来确定计算设备300所连接的Wi-Fi网络(例如，图1中的网络108)的安全模式。

在步骤406处，执行跳跃计数。例如，可以在计算设备300与服务器(例如，图1所示的服务器116或服务器122)之间执行跳跃计数，该服务器托管计算设备300正在试图访问的网站或以其他方式与该网站相关联。在示例实施例中，网络安全确定器314可以使用联网程序、操作系统工具或命令(例如，跟踪路由)来执行跳跃计数。跳跃数可以是给定数据或数据分组沿着两个节点之间的路径传递通过的中间设备(例如，路由器、接入点或中继器)的总数目，这两个节点为源(例如，图1所示的计算设备102)和目的地(例如，图1所示的服务器116或服务器122)。每个中间设备(例如，中间设备128、中间设备112)形成跳跃。跳跃数可以被认为是给定网络中距离的测量。因此，跳跃数可以提供两个给定节点之间的距离的近似度量。当数据分组通过设备时，设备可以修改分组并且将跳跃数增加一。设备还可以将跳跃数与所限定的阈值(例如，生存时间限制)进行比较，并且如果跳跃数高或者如果数据分组已经沿着可疑路径被路由，则可以消除数据分组。例如，可疑路径可以包括从加利福尼亚的主机发送的数据分组在返回加利福尼亚的主机之前被路由通过位于存在安全问题的国家(例如，俄罗斯)的设备。在该示例中，路径不遵循正常路由操作，并且因此该数据分组可能被视为可疑。因此，从跳跃计数操作，网络安全确定器314可以确定数据分组是否被破坏或不应当被信任，这可以指示当前连接的网络不安全并且可能需要抑制动作。

在步骤408处，确定Wi-Fi网络的设置或者其设备的设置。在示例实施例中，网络安全确定器314可以通过任何可用方式来确定Wi-Fi网络的设置或Wi-Fi设备或路由器的设置，诸如经由操作系统306，通过调用联网工具、命令或API，查询或访问针对Wi-Fi设备的设置，或者访问当前使用的网络简档。Wi-Fi网络或Wi-Fi设备或路由器的设置可以由操作系统306和/或计算设备300的用户配置。因此，根据该设置，Wi-Fi网络的安全模式可以被确定。例如，Wi-Fi设备或路由器的设置可以将安全模式指示为开放、WEP、WPA或WPA2，以提高安全性。作为另一示例，Wi-Fi网络的位置或名称可以提供信息。家庭或工作地点/名称可以比公共地点或具有商业实体名称的网络更私密。因此，网络安全确定器314可以确定当前连接的网络是受信网络还是安全网络。例如，当针对Wi-Fi网络的位置被确定为“公共”和/或安全模式为“开放”时，则网络安全确定器314可以得出Wi-Fi网络不安全并且抑制措施是必要的结论。相反，如果安全模式是WPA2和/或位置被确定为“家”或“工作”，则可能不需要采取抑制措施。

抑制措施可以在必要时由抑制系统312执行。特别地，图5至图9分别描绘了根据示例实施例的流程图500至流程图900，每个流程图是用于执行抑制动作的方法。在实施例中，流程图500至流程图900可以由图3中的安全管理器318执行。流程图500至流程图900包括对如图2所描绘的流程图200的方法步骤的添加或改进。因此，还将继续参考图1的系统100和图3的计算设备300来描述流程图500至流程图900的方法。然而，基于以下关于流程图500至流程图900的讨论，其他结构和操作实施例对于(多个)相关领域的技术人员将是很清楚的。

如图5所示，流程图500的方法包括步骤502，其中在针对web浏览器的图形用户界面中生成视觉警告指示。例如，该步骤可以由图3所示的安全管理器318执行。在示例实施例中，响应于确定Wi-Fi网络的安全模式是开放模式并且针对web浏览器(例如，web浏览器308)正在试图访问的网站的通信安全类型是不安全的，安全管理器318可以在web浏览器308的GUI中生成视觉警告指示。视觉警告指示可以在web浏览器308的GUI中的任何地方生成和绘制，诸如在web浏览器308的框架上、在与网站相关联的标签框架上、在地址栏中、在工具栏中、或在用于绘制网站的网页的部分中。视觉警告指示可以是用于突出显示所确定的安全风险、特别是开放Wi-Fi网络和不安全网站的安全风险的任何类型的视觉处理。视觉警告指示的非限制性示例包括：改变与不安全网站相关联的web浏览器308的框架或web浏览器308的标签的颜色(例如，为红色或紫色)、改变文本、对象或图标大小或颜色、改变背景颜色、改变输入字段的颜色或外观、阻止用户在字段中输入、生成单独的警告窗口、改变GUI的间距。可以使用任何类型的视觉处理，并且处理可以是静态的或动态的(例如，针对web浏览器308的闪烁紫色框)。例如，当用户正在试图通过开放Wi-Fi网络访问不安全网站时，“解锁”图标可以被改变为红色，这个改变可以是单独的或与在web浏览器308中指示开放Wi-Fi网络的图标相结合。如果不安全网站包括输入字段，则这些字段可以以红色突出显示、被示出为具有警告图标、或被示出为灰色以指示正在阻止对字段的输入(例如，如果字段用于敏感数据，诸如，密码或信用卡信息)。

安全管理器318可以取决于网络安全确定器314和网站加密确定器316的确定来附加地或备选执行其他抑制动作。例如，对于所满足的标准集(例如，开放Wi-Fi网络和不安全网站的组合、开放Wi-Fi网络和安全网站的组合、私有Wi-Fi网络和安全网站的组合、或私有Wi-Fi网络和不安全网站的组合)，可以发起对应抑制动作或动作集以抑制安全风险。每个标准集可以对应于基于数字尺度(例如，1至4)或安全风险类型(例如，A至F)或任何组织或排名方案的安全风险级别。抑制动作的非限制性示例可以包括在事件日志中记录条目(以提醒安全管理员)、修改应用的窗口框架或UI元素以指示与该应用相关联的安全风险级别、提示用户使用更安全的方法(例如，使用虚拟私有网络(VPN))来降低风险、或请求不安全网站的开发人员改变为更安全的协议(即，HTTPS)。抑制动作中的每个抑制动作可以由安全管理器318执行，或者可以由操作系统306代表安全管理器318来促进。在示例实施例中，也可以采用其他警告指示，诸如音频、电气/机械振动等。

因此，基于安全风险级别或安全风险的类型，可以执行一个或多个抑制动作。抑制动作可以按照相对于安全风险级别或类型的相关性顺序进行排名。因此，如果安全风险级别低(例如，1级)，则可以执行侵入性较少的抑制动作，或者可以执行一个抑制动作。相反，如果认为安全风险级别高(例如，3级或4级)，则可以采用更严格的抑制措施或多个抑制动作来保护用户设备或用户免受安全风险的影响。针对特定风险级别或风险组合执行哪个抑制动作的确定可以由抑制系统312、计算设备300的用户或这两者来进行。例如，针对不安全网站和针对Wi-Fi网络的任何安全模式(例如，开放或私有)的组合，可以执行至少一个抑制动作。在另一示例中，安全网站和针对Wi-Fi网络的任何安全模式(例如，开放或私有)的组合可能不需要抑制动作。

图6描绘了根据示例实施例的用于执行抑制动作的另一方法的流程图600。流程图600的方法可以由图3的计算设备300执行，但流程图600不限于该实施例。有时，流程图600的步骤可以以不同顺序或甚至与其他步骤同时执行。另外，一些步骤可以不被执行或者可以被执行多次。

流程图600的方法开始于步骤602处，其中确定用户设备正在试图跨开放Wi-Fi网络来传输敏感信息。该步骤可以由图3的安全管理器318执行。例如，安全管理器318可以确定计算设备300正在通过开放Wi-Fi网络(例如，图1所示的网络108)经由应用(例如，web浏览器308或应用310)传输敏感信息的过程中。敏感信息可以是私人用户信息，诸如信用卡信息、社会安全号码、密码，或者是受限组织数据，诸如医疗数据、财务数据、专有数据、机密数据、特权数据、或者在被黑客拦截时可能导致个人、财务或业务损害的其他数据。

敏感信息的标识可以通过任何技术或手段来执行。例如，可以采用规则来确定信息是否敏感并且不应当通过不安全网络进行传输。例如，一个规则可以是不传输被确定为社会保险号的任何数据，并且该确定可以基于特定号码格式和/或相关联的标识数据或元数据。作为另一示例，另一规则可以是不通过开放Wi-Fi网络传输被标记为“特权”或“机密”的任何数据。在示例实施例中，可以利用人工智能来帮助确定敏感信息。例如，包括机器学习器的计算机程序可以被存储在计算设备300或任何其他设备(例如，服务器116或服务器122)中。这样的机器学习器可以包括计算机程序逻辑，在由处理电路302执行时，该计算机程序逻辑使处理电路302接受训练数据输入并且使用这样的训练数据来获取或更新模型，该模型包括用于确定给定数据分组是否包括敏感信息的算法。这样的训练数据可以包括样本敏感数据，诸如这样标记的住宅地址、电子邮件地址(例如，由@符号表示)、银行帐号或路由代码、社会安全号码、特权信息等。训练数据还可以包括与敏感数据相关联或标识敏感数据的数据或元数据，例如字段名称。

流程图600在步骤604处继续，其中生成警报以向用户通知敏感信息的传输正在进行。例如，该步骤可以由图3的安全管理器318执行。在示例实施例中，安全管理器318可以以任何形式生成警报，例如文本、图形、静态、动态、音频等。以这种方式，用户的注意力可以被引导到敏感信息正在通过开放Wi-Fi网络被传输和/或被传输到不安全目的地的过程中的事实。因此，用户能够做出关于如何继续进行传输的更知情的决定。

流程图600的方法在步骤606处继续，其中使用户能够选择以下至少一项：允许传输、拒绝传输或重新调度传输。该步骤可以由图3的安全管理器318或操作系统306单独或组合执行。在示例实施例中，抑制系统312可以与电子邮件应用(例如，应用310)集成。在这样的示例实施例中，安全管理器318可以确定应用310正在通过开放Wi-Fi网络发送被标记为“律师客户特权”的敏感电子邮件的过程中。在该实施例中，安全管理器318可以使用户能够选择关于传输的一个或多个选项。例如，安全管理器318可以向用户呈现允许此时发生传输的选项，尽管用户设备正在连接到开放Wi-Fi网络。给定当前网络条件，安全管理器318还可以向用户呈现拒绝传输发生的选项。安全管理器318还可以向用户呈现重新调度传输的选项，例如，修改或编辑传输的日期或时间或者指示传输可以发生的条件，例如，当所连接的网络是私有模式时。

在另一示例实施例中，在电子邮件被发送之前，抑制系统312可以从出站队列中移除电子邮件以阻止敏感电子邮件在通知或不通知用户的情况下被传输。例如，抑制系统312可以向计算设备300的用户通知敏感电子邮件因为开放Wi-Fi网络不安全而没有被发送。当计算设备300再次连接到安全网络时，抑制系统312可以自动将敏感电子邮件放回出站队列。在另一示例实施例中，操作系统306还可以执行阻止步骤以阻止敏感电子邮件通过公共Wi-Fi网络被传输，例如，当抑制系统312不能或未能阻止电子邮件被传输时。

在另一示例实施例中，抑制系统312可以与web浏览器(例如，web浏览器308)集成。例如，如果抑制系统312检测到用户正在试图通过开放Wi-Fi网络将信用卡号传输到不安全网页，则抑制系统312可以阻止这种传输。然而，如果抑制系统312检测到用户正在试图通过开放Wi-Fi网络将社会保险号传输到安全网页，则抑制系统312可以向用户呈现关于不安全网络的警告，但是可以继续传输社会安全号码，因为数据将被加密。因此，是否通过开放Wi-Fi网络来传输某种类型的敏感数据的决定可以基于用户或系统配置而不同。备选地或附加地，抑制系统312可以向用户通知正在传输敏感信息并且征求关于应当如何处理传输的用户反馈。例如，抑制系统312可以向用户呈现选项以允许、拒绝或将传输推迟到稍后时间或日期或当网络或网页更安全时(例如，当所连接的网络是私有的或者当访问网页的HTTPS版本而不是HTTP版本时)。

流程图600以步骤608结束，其中记录与任何允许传输相关的数据。该步骤可以由图3的安全管理器318或操作系统306单独或组合执行。为了继续其中抑制系统312与web浏览器(例如，web浏览器308)集成的示例，安全管理器318可以记录与由设备300的用户或抑制系统312允许的任何传输相关的数据。这样的数据可以包括有效载荷数据(例如，敏感信息)、以及与有效载荷数据或传输相关的任何数据，包括传输次数、源(例如，允许或发起传输的应用、计算设备300)、目的地(例如，服务器、网页地址)、任何中间设备或其地址等。

图7描绘了根据示例实施例的用于执行抑制动作的另一方法的流程图700。流程图700的方法可以由图3的计算设备300执行，但流程图700不限于该实施例。流程图700的方法开始于步骤702处，其中连接到网站的web浏览器的打开标签已经被确定为针对预定时间量未被使用。例如，在抑制系统312与web浏览器308集成或关联的实施例中，当计算设备300的用户在地址栏中输入网络地址时，web浏览器308可以在第一标签上开放与该网络地址相关联的网页。用户然后可能希望查看其他网页并且开放其他标签，并且从而使第一标签处于非活动状态。预定时间量(例如，5分钟或50个时钟周期)可以由用户或抑制系统312配置。

流程图700继续步骤704，其中至少停止在网站处访问的脚本或资源中的至少一项的执行。为了从步骤702继续示例实施例，当web浏览器308或抑制系统312检测到第一标签已经针对预定时间量(例如，5分钟)未被使用时，第一标签可以分别被web浏览器308或抑制系统312自动停止或暂停。暂停的标签没有被完全关闭，而是处于消耗最少资源(诸如存储器、电池或处理能力)的状态。网页可以包括用户可以看到的、听到的、与其交互的或对用户隐藏的多种类型的信息。这样的信息类型可以包括文本、非文本(例如，静态或动画图像、音频或视频)、用户交互和内部或隐藏信息。这些类型的信息中的任何信息都可以用于绘制网页，并且可以被包括在资源文件或脚本(例如，级联样式表(CSS)、Flash、Java小程序、JavaScript、HTML、DHTML)中。

通过暂停第一标签，可以针对计算设备300节省资源。更重要的是，标签暂停可以考虑针对与第一标签相关联的网页的通信安全类型以及计算设备300所连接的网络的安全模式。因此，可以保护计算设备300免受有害或资源密集型脚本等的影响。这样的资源或脚本可以作为该网页的部分在网页上访问或由某个第三方插入到网页中。相应地，如果针对网页的通信安全类型是安全的并且Wi-Fi网络的安全模式是私有的，则可能不需要暂停标签。相比之下，如果通信类型是不安全的并且Wi-Fi网络的安全模式是开放的，则可能需要暂停标签。在针对网页的通信安全类型或Wi-Fi安全模式中的一项不安全的情况下，标签暂停可以被执行也可以不被执行。某些因素可以用于确定在这种情况下是否执行标签暂停。这些因素可以是配置的设置或首选项、标签不活动的时间量、正在被执行的资源和/或脚本的类型和数目、活动或不活动的标签的数目等。这些因素也可以有助于确定要针对标签而暂停的资源或脚本。在示例实施例中，所有脚本或资源都可以针对该标签被暂停。在另一示例实施例中，可以暂停所选择的脚本或资源，例如，仅那些消耗超过阈值量的存储器、处理或电池电量的脚本或资源。

流程图700以步骤706结束，其中当在打开标签上检测到恢复活动时，恢复在网站处访问的脚本或资源中的至少一项的执行。为了从步骤702继续示例实施例，当web浏览器308或抑制系统312检测到用户已经恢复与第一标签的交互，从而重新激活它时，web浏览器308或抑制系统312可以恢复被暂停的一个或多个脚本或资源的执行。用户交互可以是任何形式的用户输入，诸如在暂停的标签上单击鼠标、用于重新激活暂停的标签的语音命令等。

图8描绘了根据示例实施例的用于执行抑制动作的另一方法的流程图800。流程图800的方法可以由图3的计算设备300执行，但流程图800不限于该实施例。流程图800的方法包括步骤802，其中响应于网络安全确定器检测到用户设备的Wi-Fi网络连接的变化，停止在网站处访问的脚本或资源中的至少一项的执行。例如，网络安全确定器314可以检测计算设备300的Wi-Fi网络连接的变化。作为响应，安全管理器312可以自动停止在web浏览器308的标签上所绘制的网站处访问的一个或多个脚本或资源。当存在Wi-Fi网络连接的变化时，计算设备300可能正在从私有网络移动到公共或不安全Wi-Fi网络，如果web浏览器308的所有打开标签被重新加载并且所有资源和脚本被执行，则可能会产生安全漏洞。例如，不安全网站通过开放的公共Wi-Fi网络来浏览可能不如通过私有Wi-Fi网络来浏览安全。计算设备300的用户可能不记得与所有打开标签相关联的所有网页、或者那些网页是否安全。因此，用户可能必须非常小心地验证每个打开标签，记住其通信安全类型，或者认为这些负担太大而只是接受更大安全风险。通过在检测到Wi-Fi网络变化时自动暂停web浏览器308的所有打开标签，由不安全网站和/或开放Wi-Fi网络所呈现的安全风险被降低或完全消除。

图9描绘了根据示例实施例的用于执行抑制动作的又一方法的流程图900。流程图900的方法可以由图3的计算设备300执行，但流程图900不限于该实施例。流程图900的方法包括步骤902，其中禁止在网站访问的任何脚本或资源的执行。例如，安全管理器312可以自动禁止与网站相关联的任何脚本或资源。在示例实施例中，不允许脚本和资源，尤其是在网站的通信类型不安全并且计算设备300所连接的网络是开放Wi-Fi网络时。在另一示例实施例中，web浏览器308可以向计算设备300的用户通知资源和脚本已经被禁用。web浏览器308还可以向用户呈现选项以根据情况来允许资源或脚本或者通过改变全局设置以允许某些针对网站的通信类型或Wi-Fi网络的安全模式的资源和脚本。

除了web浏览器，本文中所描述的抑制技术可以利用不同应用来实现，以提高针对连接到网络的计算设备的安全性。例如，图10描绘了根据示例实施例的用于抑制与开放网络相关联的安全风险的方法的流程图1000。流程图1000类似于流程图200，并且因此为简洁起见，此处不再重复细节。将参考图1的系统100和图3的计算设备300描述流程图1000。然而，基于以下关于流程图1000的讨论，其他结构和操作实施例对于相关领域的技术人员将是很清楚的。

如图10所示，流程图1000开始于步骤1002处，其中确定用户设备所连接的Wi-Fi网络的安全模式。例如，并且参考图1的系统100，抑制系统104可以确定计算设备102所连接的网络108的安全模式。网络108的安全模式可以是开放模式或开放公共Wi-Fi或私有模式或私有Wi-Fi。下面将参考图11更详细地描述用于确定安全模式的方法。

流程图1000继续步骤1004，其中检测应用正在试图通过Wi-Fi网络传输敏感信息。例如，抑制系统104或抑制系统312(经由安全管理器318)可以检测应用正在试图通过Wi-Fi网络传输敏感信息。这样的应用可以是可以通过Wi-Fi网络进行通信并且因此可以通过Wi-Fi网络传输数据的任何应用或服务。这样的应用的非限制性示例包括电子邮件客户端、游戏应用、社交网络应用、银行应用等。

流程图1000以步骤1006结束，响应于确定安全模式是开放模式并且检测到应用正在试图通过开放Wi-Fi网络传输敏感信息，阻止敏感信息的传输。例如，抑制系统104或抑制系统312(经由安全管理器318)可以确定Wi-Fi网络的安全模式是开放模式并且检测应用正在试图通过开放Wi-Fi网络传输敏感信息。作为响应，抑制系统104或抑制系统312可以阻止敏感信息的传输。

流程图1000的前述步骤可以以各种方式执行。例如，图11描绘了根据示例实施例的确定开放网络的安全模式的附加示例方法的流程图1100。流程图1100包括对如图10所示的流程图1000的方法步骤的改进或添加。因此，还将继续参考图1的系统100或图3的计算设备300来描述图11的流程图1100。然而，基于以下关于流程图1100的讨论，其他结构和操作实施例对于(多个)相关领域的技术人员将是很清楚的。

如图11所示，流程图1100的方法开始于步骤1102处，其中用户设备所连接的Wi-Fi网络的安全模式包括步骤1104、1106和1108中所示的多个技术中的一个或多个技术。这些步骤中的每个步骤例如由图3的网络安全确定器314执行。

在步骤1104处，利用操作系统级别API来确定用户设备所连接的Wi-Fi网络的安全模式。在示例实施例中，网络安全确定器314可以使用操作系统级别API来确定计算设备300所连接的Wi-Fi网络(例如，图1中的网络108)的安全模式。在备选示例实施例中，Wi-Fi网络的安全模式的确定可以由操作系统306作出，并且被自动或根据请求提供给其他应用(例如，抑制系统312、web浏览器308或应用310)。Wi-Fi网络的安全模式可以是私有模式、公共模式或开放模式中的任何模式。私有模式可以比开放模式更安全。一些公共Wi-Fi网络可以包括某些安全措施(例如，密码保护)。然而，如本文所称，开放模式公共Wi-Fi网络是不安全并且不需要密码访问的公共Wi-Fi网络。在示例实施例中，图3所示的操作系统306可以包括支持网络应用的API、组件和服务。在示例实施例中，可以使用任何API、服务或组件来确定计算设备300所连接的Wi-Fi网络(例如，图1中的网络108)的安全模式。

流程图1100在步骤1106处继续，其中在用户设备与另一设备之间执行跳跃计数。例如，可以在计算设备300与计算设备300上的应用正在试图访问的服务器(例如，图1所示的服务器116或服务器122)之间执行跳跃计数。在示例实施例中，网络安全确定器314可以使用联网程序、操作系统工具或命令(例如，跟踪路由)来执行跳跃计数。跳跃数可以是给定数据或数据分组沿着两个节点之间的路径传递通过的中间设备(例如，路由器、接入点或中继器)的总数目，这两个节点为源(例如，图1所示的计算设备102)和目的地(例如，图1所示的服务器116或服务器122)。从跳跃计数操作，网络安全确定器314可以确定数据分组是否被破坏或者不应当被信任，这可以指示当前连接的网络不安全并且可能需要抑制动作。

在步骤1108处，确定Wi-Fi网络的设置或其设备的设置。在示例实施例中，网络安全确定器314可以通过任何可用方式来确定Wi-Fi网络或Wi-Fi设备或路由器的设置，诸如经由操作系统306，通过调用联网工具、命令或API，查询或访问Wi-Fi设备的设置，或者访问当前使用的网络简档。Wi-Fi网络或Wi-Fi设备或路由器的设置可以由操作系统306和/或计算设备300的用户配置。因此，根据该设置，Wi-Fi网络的安全模式可以被确定。例如，Wi-Fi设备或路由器的设置可以将安全模式指示为开放、WEP、WPA或WPA2，以提高安全性。作为另一示例，Wi-Fi网络的位置或名称可以提供信息。家庭或工作地点/名称可以比公共地点或具有商业实体名称的网络更私密。因此，网络安全确定器314可以确定当前连接的网络是受信网络还是安全网络。例如，当Wi-Fi网络的位置被确定为“公共”和/或安全模式为“开放”时，则网络安全确定器314可以得出Wi-Fi网络不安全并且抑制措施是必要的结论。相反，如果安全模式是WPA和/或位置被确定为“家”或“工作”，则可能不需要采取抑制措施，因为这样的网络可能是安全的。

在诸如电子邮件客户端的应用的上下文中，必要时也可以执行抑制措施。例如，图12描绘了根据示例实施例的阻止通过开放网络来传输敏感信息的方法的流程图。流程图1200包括对如图10所示的流程图1000的方法步骤的改进或添加。因此，还将继续参考图1的系统100或图3的计算设备300来描述流程图1200。然而，基于以下关于流程图1200的讨论，其他结构和操作实施例对于(多个)相关领域的技术人员将是很清楚的。

流程图1200包括步骤1202，其中由操作系统或用户设备的应用中的至少一项来执行应用正在试图传输敏感信息的检测。例如，当抑制系统312是应用的部分或作为与该应用分离的独立系统时，图3的抑制系统312可以检测到该应用(例如，应用310)正在试图传输敏感信息。在示例实施例中，抑制系统104可以被实现为应用的部分。例如，如果应用是电子邮件客户端，则作为电子邮件客户端部分的抑制系统104可以自动阻止通过开放Wi-Fi网络发送包含信用卡信息的电子邮件，并且可以在计算设备102连接到私有安全网络时传输电子邮件。在另一示例实施例中，抑制系统312可以实现为单独的应用。因此，抑制系统312可以确定计算设备300连接到开放Wi-Fi网络，并且因此可以监测出站数据(例如，网络堆栈)以确定是否存在通过开放Wi-Fi网络的敏感信息的未决传输。当检测到敏感信息时，抑制系统312可以从出站队列中移除或转移任何敏感数据分组，并且从而阻止敏感信息通过开放Wi-Fi网络被传输。在又一实施例中，操作系统306可以确定任何出站数据是否包括在通过开放Wi-Fi网络被传输时会造成安全风险的敏感信息。在这种情况下，操作系统306可以自动地或在请求时向抑制系统312通知这样的敏感信息的未决传输。III.示例移动设备和计算机系统实现

抑制系统104、抑制系统312以及流程图200和400至1200中的每个可以以硬件或与软件和/或固件结合的硬件来实现。例如，抑制系统104、抑制系统312以及流程图200和400至1200可以被实现为被配置为在一个或多个处理器中被执行并且被存储在计算机可读存储介质中的计算机程序代码/指令。备选地，抑制系统104、抑制系统312以及流程图200和400至1200可以被实现为硬件逻辑/电路系统。

例如，在实施例中，抑制系统104、抑制系统312以及流程图200和400至1200中的一个或多个以任何组合可以一起在SoC中被实现。SoC可以包括集成电路芯片，该集成电路芯片包括处理器(例如，中央处理单元(CPU)、微控制器、微处理器、数字信号处理器(DSP)等)、存储器、一个或多个通信接口、和/或其他电路中的一个或多个，并且可以可选地执行所接收的程序代码和/或包括用于执行功能的嵌入式固件。

图13是示例性移动系统1300的框图，该移动系统1300包括可以实现本文中所描述的实施例的移动设备1302。例如，在前面的部分中，移动设备1302可以被用于实现任何系统、客户端或设备、或其组件/子组件。如图13所示，移动设备1302包括多种可选的硬件和软件组件。移动设备1302中的任何组件可以与任何其他组件通信，但为了便于说明并未示出所有连接。移动设备1302可以是多种计算设备中的任何设备(例如，蜂窝电话、智能电话、手持计算机、个人数字助理(PDA)等)，并且可以允许与诸如蜂窝或卫星网络的一个或多个移动通信网络1304进行无线双向通信、或者与局域网或广域网进行无线双向通信。

移动设备1302可以包括用于执行诸如信号编码、数据处理、输入/输出处理、功率控制、和/或其他功能等任务的控制器或处理器1310(例如，信号处理器、微处理器、ASIC、或其他控制和处理逻辑电路系统)。操作系统1312可以控制移动设备1302的组件的分配和使用并且提供针对一个或多个应用程序1314(也称为“应用”或“app”)的支持。应用程序1314可以包括常见的移动计算应用(例如，电子邮件应用、日历、联系人管理器、web浏览器、消息传递应用)和任何其他计算应用(例如，文字处理应用、地图应用、媒体播放器应用)。

移动设备1302可以包括存储器1320。存储器1320可以包括不可移动存储器1322和/或可移动存储器1324。不可移动存储器1322可以包括RAM、ROM、闪存、硬盘或其他众所周知的存储器设备或技术。可移动存储器1324可以包括在GSM通信系统中众所周知的闪存或用户身份模块(SIM)卡，或者包括其他众所周知的存储器设备或技术，诸如“智能卡”。存储器1320可以用于存储用于运行操作系统1312和应用程序1314的数据和/或代码。示例数据可以包括网页、文本、图像、声音文件、视频数据、或者要经由一个或多个有线或无线网络发送到一个或多个网络服务器或其他设备和/或从其接收的其他数据。存储器1320可以被用于存储订阅户标识符(诸如，国际移动订户身份(IMSI))和设备标识符(诸如，国际移动设备标识符(IMEI))。这样的标识符可以传输到网络服务器以标识用户和设备。

多个程序可以被存储在存储器1320中。这些程序包括操作系统1312、一个或多个应用程序1314、以及其他程序模块和程序数据。这样的应用程序或程序模块的示例可以包括例如用于实现以下中的一项或多项的计算机程序逻辑(例如，计算机程序代码或指令)：图1的系统100、图3的计算设备300、连同其任何组件和/或其子组件、以及本文中描述的流程图表/流程图(包括其部分)、和/或本文中描述的另外的示例。

移动设备1302可以支持一个或多个输入设备1330(诸如，触摸屏1332、麦克风1334、相机1336、物理键盘1338和/或轨迹球1340)和一个或多个输出设备1350(诸如，扬声器1352和显示器1354)。其他可能的输出设备(未示出)可以包括压电或其他触觉输出设备。一些设备可以提供多个输入/输出功能。例如，触摸屏1332和显示器1354可以组合在单个输入/输出设备中。输入设备1330可以包括自然用户界面(NUI)。

一个或多个无线调制解调器1360可以耦合到(多个)天线(未示出)并且可以支持处理器1310与外部设备之间的双向通信，如本领域所公知的。调制解调器1360被概括地示出并且可以包括用于与移动通信网络1304和/或其他基于无线电的调制解调器(例如，蓝牙1364和/或Wi-Fi 1362)进行通信的蜂窝调制解调器1366。至少一个无线调制解调器1360通常被配置用于与一个或多个蜂窝网络通信，诸如用于单个蜂窝网络内、蜂窝网络之间或移动设备与公共交换电话网络(PSTN)之间的数据和语音通信的GSM网络。

移动设备1302还可以包括至少一个输入/输出端口1380、电源1382、卫星导航系统接收器1384(诸如，全球定位系统(GPS)接收器)、加速度计1386和/或物理连接器1390，物理连接器1390可以是USB端口、IEEE 1394(火线)端口和/或RS-232端口。移动设备1302的所示组件不是必需的或完全包括性的，因为如本领域技术人员将认识到的，可以删除任何组件并且可以添加其他组件。

在实施例中，移动设备1302被配置为实现本文中的流程图的上述特征中的任何特征。用于执行本文所述的操作、步骤和/或功能中的任何一个的计算机程序逻辑可以存储在存储器1320中并且由处理器1310执行。

图14描绘了可以在其中实现实施例的计算设备1400的示例性实现。例如，抑制系统104和抑制系统312各自可以在类似于固定或移动计算机实施例中的计算设备1400的一个或多个计算设备中实现，包括计算设备1400的一个或多个特征和/或备选特征。本文中提供的计算设备1400的描述是出于说明的目的而提供的，并非旨在进行限制。实施例可以在其他类型的计算机系统中实现，如(多个)相关领域的技术人员已知的。

如图14所示，计算设备1400包括一个或多个处理器(称为处理器电路1402)、系统存储器1404、和将包括系统存储器1404在内的各种系统组件耦合到处理器电路1402的总线1406。处理器电路1402是在一个或多个物理硬件电路设备元件和/或集成电路设备(半导体材料芯片或管芯)中作为中央处理单元(CPU)、微控制器、微处理器和/或其他物理硬件处理器电路实现的电和/或光电路。处理器电路1402可以执行存储在计算机可读介质中的程序代码，例如操作系统1430的程序代码、应用程序1432、其他程序1434等。总线1406表示多个类型的总线结构中的一个或多个总线结构，包括存储器总线或存储器控制器、外围总线、加速图形端口、以及使用各种总线架构中的任何总线架构的处理器总线或本地总线。系统存储器1404包括只读存储器(ROM)1408和随机存取存储器(RAM)1410。基本输入/输出系统1412(BIOS)存储在ROM 1408中。

计算设备1400还具有以下驱动器中的一个或多个驱动器：用于从硬盘读取和向其写入的硬盘驱动器1414、用于从可移动磁盘1418读取或向其写入的磁盘驱动器1416、以及用于从诸如CD ROM、DVD ROM或其他光学介质等可移动光盘1422读取或向其写入的光盘驱动器1420。硬盘驱动器1414、磁盘驱动器1416和光盘驱动器1420分别通过硬盘驱动器接口1424、磁盘驱动器接口1426和光驱接口1428连接到总线1406。驱动器及其相关联的计算机可读介质为计算机提供计算机可读指令、数据结构、程序模块和其他数据的非易失性存储。虽然描述了硬盘、可移动磁盘和可移动光盘，但也可以使用其他类型的基于硬件的计算机可读存储介质来存储数据，诸如闪存卡、数字视频磁盘、RAM、ROM和其他硬件存储介质。

多个程序模块可以存储在硬盘、磁盘、光盘、ROM或RAM上。这些程序包括操作系统1430、一个或多个应用程序1432、其他程序1434和程序数据1436。应用程序1432或其他程序1434可以包括例如用于实现以下各项的计算机程序逻辑(例如，计算机程序代码或指令)：抑制系统104、抑制系统312、以及流程图200和400-1200(包括流程图200和400至1200的任何合适的步骤)和/或本文中描述的其他实施例。

用户可以通过诸如键盘1438和指示设备1440的输入设备将命令和信息输入到计算设备1400中。其他输入设备(未示出)可以包括麦克风、操纵杆、游戏手柄、卫星天线、扫描仪、触摸屏和/或触摸板、接收语音输入的语音识别系统、接收手势输入的手势识别系统等。这些输入设备和其他输入设备通常通过耦合到总线1406的串行端口接口1442连接到处理器电路1402，但也可以通过其他接口连接，诸如并行端口、游戏端口或通用串行总线(USB)。

显示屏1444还经由接口(例如，视频适配器1446)连接到总线1406。显示屏1444可以在计算设备1400外部，或者并入计算设备1400中。显示屏1444可以显示信息，并且可以是用于接收用户命令和/或其他信息(例如，通过触摸、手指手势、虚拟键盘等)的用户界面。除了显示屏1444，计算设备1400可以包括其他外围输出设备(未示出)，例如扬声器和打印机。

计算设备1400通过适配器或网络接口1450、调制解调器1452、或用于通过网络建立通信的其他装置连接到网络1448(例如，互联网)。调制解调器1452(可以是内部的或外部的)可以经由串行端口接口1442连接到总线1406，如图14所示，或者可以使用另一接口类型(包括并行接口)连接到总线1406。

如本文中使用的，术语“计算机程序介质”、“计算机可读介质”和“计算机可读存储介质”用于指代物理硬件介质，诸如与硬盘驱动器1414相关联的硬盘、可移动磁盘1418、可移动光盘1422、其他物理硬件介质，诸如RAM、ROM、闪存卡、数字视频磁盘、zip磁盘、MEM、基于纳米技术的存储器设备、以及其他类型的物理/有形硬件存储介质。这种计算机可读存储介质与通信介质不同(不包括通信介质)并且不重叠。通信介质在诸如载波等调制数据信号中包含计算机可读指令、数据结构、程序模块或其他数据。术语“调制数据信号”是指一种信号，该信号的一个或多个特性以在信号中编码信息的方式被设置或改变。作为示例而非限制，通信介质包括无线介质(诸如，声学、RF、红外线和其他无线介质)以及有线介质。实施例还涉及与计算机可读存储介质的实施例分开并且不重叠的这种通信介质。

如上所述，计算机程序和模块(包括应用程序1432和其他程序1434)可以存储在硬盘、磁盘、光盘、ROM、RAM或其他硬件存储介质上。这种计算机程序也可以经由网络接口1450、串行端口接口1442或任何其他接口类型来接收。这样的计算机程序在由应用执行或加载时使计算设备1400能够实现本文中所描述的实施例的特征。因此，这样的计算机程序代表计算设备1400的控制器。

实施例还涉及包括存储在任何计算机可读介质上的计算机代码或指令的计算机程序产品。这样的计算机程序产品包括硬盘驱动器、光盘驱动器、存储器设备封装、便携式存储棒、存储卡和其他类型的物理存储硬件。

IV.附加示例实施例

本文中描述了一种用于抑制与网站的不安全通信相关联的风险的计算机实现的方法。该方法包括：确定用户设备所连接的Wi-Fi网络的安全模式；确定针对网站的通信安全类型，用户设备的web浏览器正在试图通过Wi-Fi网络访问该网站；并且响应于确定安全模式是开放模式并且通信安全类型是不安全的，执行抑制动作。

在前述方法的一个实施例中，确定用户设备所连接的Wi-Fi网络的安全模式包括：利用操作系统级别API来确定用户设备所连接的Wi-Fi网络的安全模式。

在前述方法的附加实施例中，确定用户设备所连接的Wi-Fi网络的安全模式包括：执行跳跃计数。

在前述方法的另一实施例中，确定用户设备所连接的Wi-Fi网络的安全模式包括：确定Wi-Fi网络的设置或其设备的设置。

在前述方法的另一实施例中，执行抑制动作包括：在针对web浏览器的图形用户界面中生成视觉警告指示。

在前述方法的又一实施例中，执行抑制动作包括确定用户设备正在试图跨开放Wi-Fi网络来传输敏感信息；生成警报以向用户通知敏感信息的传输正在进行；使用户能够选择以下至少一项：允许传输、拒绝传输或重新调度传输；以及记录与任何允许传输相关的数据。

在前述方法的又一实施例中，执行抑制动作包括：确定连接到网站的web浏览器的打开标签已经针对预定时间量未被使用；停止在网站处访问的脚本或资源中的至少一项的执行；并且当在打开标签上检测到恢复活动时，恢复在网站处访问的脚本或资源中的至少一项的执行。

在前述方法的附加实施例中，执行抑制动作包括响应于检测到针对用户设备的Wi-Fi网络连接的变化，停止在网站处访问的脚本或资源中的至少一项的执行。

在前述方法的附加实施例中，执行抑制动作包括：禁止在网站处访问的任何脚本或资源的执行。

本文中描述了一种系统。在一个实施例中，该系统包括：一个或多个处理电路；以及连接到一个或多个处理电路的一个或多个存储器设备，该一个或多个存储器设备存储由一个或多个处理电路可执行的程序代码，该程序代码包括：网络安全确定器，被配置为确定用户设备所连接的Wi-Fi网络的安全模式；网站加密确定器，被配置为确定针对网站的通信安全类型，用户设备的web浏览器正在试图通过Wi-Fi网络访问该网站；以及安全管理器，被配置为响应于确定安全模式是开放模式并且通信安全类型是不安全的而执行抑制动作。

在前述系统的一个实施例中，为了确定Wi-Fi网络的安全模式，网络安全确定器被配置为利用操作系统级别API来确定用户设备所连接的Wi-Fi网络的安全模式；在用户设备与网站之间执行跳跃计数；或者确定Wi-Fi网络的设置或者其设备的设置。

在前述系统的另一实施例中，其中为了执行抑制动作，安全管理器被配置为在web浏览器上生成视觉警告指示；或者确定用户设备正在试图跨开放Wi-Fi网络来传输敏感信息，并且生成警报以向用户通知敏感信息的传输正在进行。

在前述系统的又一实施例中，其中为了执行抑制动作，安全管理器被配置为确定连接到网站的web浏览器的打开标签已经针对预定时间量未被使用；停止在网站处访问的脚本或资源中的至少一项的执行；并且当在打开标签上检测到恢复活动时，恢复在网站处访问的脚本或资源中的至少一项的执行。

在前述系统的又一实施例中，其中为了执行抑制动作，安全管理器被配置为响应于网络安全确定器检测到针对用户设备的Wi-Fi网络连接的变化，停止在网站处访问的脚本或资源中的至少一项的执行。

在前述系统的又一实施例中，其中为了执行抑制动作，安全管理器被配置为禁止在网站处访问的任何脚本或资源的执行。

本文中描述了另一计算机实现的方法。该方法包括：确定用户设备所连接的Wi-Fi网络的安全模式；检测应用正在试图通过Wi-Fi网络传输敏感信息；以及响应于确定安全模式是开放模式并且检测到应用正在试图通过开放Wi-Fi网络传输敏感信息，阻止敏感信息的传输。

在前述方法的一个实施例中，确定与用户设备所连接的Wi-Fi网络的安全模式包括以下中的至少一项：利用操作系统级别API来确定用户设备所连接的Wi-Fi的安全模式；在用户设备与另一设备之间执行跳跃计数；或者确定Wi-Fi网络的设置或者其设备的设置。

在前述方法的另一实施例中，检测应用正在试图传输敏感信息是由用户设备的操作系统来执行的。

在前述方法的另一实施例中，检测应用正在试图传输敏感信息由应用来执行的。

V.结论

虽然上面已经描述了所公开主题的各种实施例，但是应当理解，它们仅作为示例而不是限制被呈现。(多个)相关领域的技术人员将理解，在不脱离如所附权利要求中限定的实施例的精神和范围的情况下，可以在形式和细节上进行各种改变。因此，所公开的主题的广度和范围不应当受上述示例性实施例中的任何实施例的限制，而应当仅根据所附权利要求及其等同来限定。