利用策略保持数据保护制造技术

基于与设置控制对数据文件的访问的数据保护策略的实体相关联的密钥，对数据文件进行加密。所述数据保护策略标识对于可以如何使用所述数据文件中的经加密的数据的明文数据的各种限制。所述数据文件具有标识设置所述数据保护策略的所述实体的对应的元数据，并且被允许访问所述明文数据的应用的运行实例的进程还与所述实体的标识符相关联。所述实体的这些标识符以及所述数据保护策略被计算设备的操作系统用于根据所述数据保护策略保护所述数据，这包括：使所述保护与受保护的数据一同被传输到其它设备；或者，防止受保护的数据被传输到其它设备。

Using policy to maintain data protection

Encryption of data files based on entities associated with a data protection policy of access to a data file by setting control. The data protection policy identifies a variety of restrictions on the plaintext data that can be used to encrypt data in the data file. The metadata corresponding to the entity of the data file has a label set the data protection strategy of the running example and is allowed to access the application of plaintext data process and the entity identifier associated. The entity of these identifiers and the data protection strategy is the operating system of the computing device according to the data protection strategy to protect the data, which includes the protection and protected data to be transferred to other devices; or, to prevent the protected data is transmitted to other devices.

【技术实现步骤摘要】
【国外来华专利技术】
技术介绍
随着计算技术发展，计算机在我们的生活中已变得日益常见。人们经常具有包括膝上型设备、平板型设备、智能电话等的多个不同的计算机，并且频繁地跨多个计算机共享数据。这已导致产生其中保持诸如是机密数据的某些数据经由对数据进行加密被保护是可取的情形。尽管对数据进行加密具有许多益处，但它不是没有它的问题的。一个这样的问题在于，通常应用需要能访问未经加密的数据以对数据执行操作。取决于访问数据的特定的应用，允许对未经加密的数据的应用访问可以使未经加密的数据易受被公开的伤害。这对于用户可以是令人沮丧的，因为他们预期将保持秘密的数据可能被泄露。
技术实现思路
提供本摘要以便以简化形式介绍下面在详细描述内容中进一步描述的概念的选摘。本摘要不旨在标识所要求权利的主题的关键特征或者实质特征，其也不旨在用于限制所要求权利的主题的范围。根据一个或多个方面，在计算设备中标识所述计算设备上的受实体信任的应用，受实体信任的应用被配置为对数据进行访问。将作为受实体信任的应用的运行实例的第一进程与设置控制对所述数据的访问的数据保护策略的实体的标识符相关联。所述计算设备的操作系统强制施行所述实体的数据保护策略，所述强制施行包括由操作系统根据数据保护策略自动地对被第一进程保存的数据进行加密，并且进一步包括由操作系统根据数据保护策略防止作为不受实体信任的应用的运行实例的第二进程访问经加密的数据。根据一个或多个方面，一种计算设备包括：包括一个或多个处理器的处理系统；以及，具有存储在其上的多个指令的一个或多个计算机可读存储介质。所述指令在被所述处理系统执行时导致所述处理系统执行包括以下动作的动作：标识所述计算设备上的第一应用，所述第一应用被配置为访问经加密的数据；以及，将包括所述数据的数据文件与所述数据的所有者的标识符相关联，所述数据的所有者设置控制对所述数据的访问的数据保护策略，并且所述数据的所有者的标识符潜在地是与登录所述计算设备的用户的标识符分离的。所述动作进一步包括：将作为第一应用的运行实例的第一进程与所述数据的所有者的标识符相关联；以及，由所述计算设备的操作系统强制施行所述所有者的数据保护策略。所述强制施行包括：允许所述数据被解密成被提供给第一进程的明文数据；以及，防止所述数据被解密成明文数据并且被提供给作为第二应用的运行实例的第二进程，其中，未将第二进程与所述数据的所有者的标识符相关联。附图说明参考附图描述了详细描述。在图中，标号的最左（一个或者多个）数字标识该标号在其中第一次出现的图。在描述和附图中的不同实例中使用相同的标号可以指示相似的或者相同的项目。附图中所表示的实体可以指示一个或多个实体，并且因此可以在讨论中可互换地作出对实体的单数或者复数形式的引用。图1是图示了根据一个或多个实施例的实现利用策略保持数据保护的一个示例计算设备的方框图。图2图示了根据一个或多个实施例的将数据保护策略与数据相关联的一个示例。图3是图示了根据一个或多个实施例的用于实现利用策略保持数据保护的一个实例过程的流程图。图4图示了包括示例计算设备的一个示例系统，所述示例计算设备表示可以实现本文中描述的各种技术的一个或多个系统和/或设备。具体实施方式在本文中讨论了利用策略保持数据保护。基于与设置控制对数据文件的访问的数据保护策略的实体（也被称为数据的所有者）相关联的密钥，对数据文件进行加密。数据保护策略标识对于可以如何使用数据文件中的数据的各种限制，诸如是计算设备为访问明文数据将具有的配置或者设置、应用可以如何使用明文数据等。数据文件具有标识数据的所有者的对应的元数据。还将作为被允许访问数据的应用的运行实例的进程与数据的所有者的标识符相关联。数据的所有者的这些标识符以及数据保护策略被计算设备的操作系统用于根据数据保护策略对数据进行保护。仅在如果进程是被实体信任的应用的实例、数据保护策略被满足并且将进程与之相关联的实体标识符与将数据文件与之相关联的实体标识符相同的情况下，操作系统允许进程访问数据。与数据文件相对应的元数据随数据文件一起行进，允许数据文件被传输到其它设备并且使保护跟随数据去往其它设备。操作系统也可以使用与实体相关联的密钥对数据缓冲器、剪贴板等中的数据进行加密和解密，允许操作系统在数据已被解密并且被提供给进程之后继续保护数据。本文中讨论的利用策略保持数据保护技术经由不考虑数据可以被漫游到哪里而允许控制对数据的访问的数据保护策略随数据一起行进而有利地提升数据安全性。数据文件有利地保持是被安全地加密的，并且允许具有权限的应用访问数据的元数据有利地随数据文件一起漫游。计算设备的操作系统经由以下操作有利地增强数据的安全性：代表尝试访问数据的应用控制对数据的加密和解密，因此在缓解应用需要改变以保持数据受保护的同时提供对数据的保护。在本文中参考了加密、解密和密钥。可以使用对称密钥密码术以及利用公/私钥对进行的公钥密码术执行加密和解密。尽管这样的密钥密码术对于本领域中的技术人员是公知的，但将对这样的密码术的简要概述包括在这里以对读者进行辅助。在公钥密码术中，实体（诸如是用户、硬件或者软件部件、设备、域等）具有与它相关联的公/私钥对。可以使公钥是公开可得的，但实体保持私钥是秘密的。在没有私钥的情况下，对已使用公钥进行加密的数据进行解密是在计算上非常困难的。因此，数据可以仅由任何具有公钥的实体进行加密，并且仅由具有对应的私钥的实体进行解密。另一方面，在对称密钥密码术中，共享密钥（也被称为对称密钥）被两个实体知道并且保持是秘密的。任何具有共享密钥的实体通常是能够对已利用该共享密钥进行加密的数据进行解密的。在没有共享密钥的情况下，对已利用共享密钥进行加密的数据进行解密是在计算上非常困难的。因此，如果两个实体都知道共享密钥，则各自可以对可以被另一个实体解密的数据进行加密，但如果其它实体不知道共享密钥则其它实体不能对数据进行解密。类似地，具有共享密钥的实体可以对可以被相同的实体解密的数据进行加密，但如果其它实体不知道共享密钥则其它实体不能对数据进行解密。图1是图示了根据一个或多个实施例的实现利用策略保持数据保护的一个示例计算设备100的方框图。计算设备100可以是诸如是台式计算机、服务器计算机、膝上型或者上网本计算机、平板或者平板手机设备、笔记本计算机、移动站、娱乐器具、通信地耦合到显示设备、电视机或者其它显示设备的机顶盒、蜂窝或者其它无线电话、游戏控制台、汽车用计算机等的多种不同类型的设备。因此，计算设备100可以是范围从具有大量存储器和处理器资源的全资源设备（例如，个人计算机、游戏控制台）到具有有限的存储器和/或处理资源的低资源设备（例如，传统的机顶盒、手持型游戏控制台）的。计算设备100包括数据保护系统102、操作系统104、启发式应用106和非启发式应用108。操作系统104管理各种不同的应用（包括启发式应用106和非启发式应用108）的运行、管理对各种部件或者其它设备的控制等。数据保护系统102促进如在下面更详细讨论的那样强制施行由实体设置的数据保护策略。尽管图示了启发式应用106和非启发式应用108这两者，但在某些情形下，计算设备100不包括启发式应用106或者非启发式应用108。各种不同的实体可以期望针对计算设备100上的数据设置数据保护策略。本文档来自技高网...

【技术保护点】
一种在计算设备中实现的方法，所述方法包括：标识所述计算设备上的受实体信任的应用，所述受实体信任的应用被配置为对数据进行访问；将作为所述受实体信任的应用的运行实例的第一进程与设置控制对所述数据的访问的数据保护策略的实体的标识符相关联；以及由所述计算设备的操作系统强制施行所述实体的所述数据保护策略，以便由于所述操作系统代表所述受实体信任的应用强制施行所述数据保护策略而增强由所述计算设备提供的数据安全性，所述强制施行包括：由所述操作系统根据所述数据保护策略自动地对被所述第一进程保存的数据进行加密；以及由所述操作系统根据所述数据保护策略防止作为不受实体信任的应用的运行实例的第二进程访问所述经加密的数据。

【技术特征摘要】
【国外来华专利技术】2014.09.09 US 14/4816721.一种在计算设备中实现的方法，所述方法包括：标识所述计算设备上的受实体信任的应用，所述受实体信任的应用被配置为对数据进行访问；将作为所述受实体信任的应用的运行实例的第一进程与设置控制对所述数据的访问的数据保护策略的实体的标识符相关联；以及由所述计算设备的操作系统强制施行所述实体的所述数据保护策略，以便由于所述操作系统代表所述受实体信任的应用强制施行所述数据保护策略而增强由所述计算设备提供的数据安全性，所述强制施行包括：由所述操作系统根据所述数据保护策略自动地对被所述第一进程保存的数据进行加密；以及由所述操作系统根据所述数据保护策略防止作为不受实体信任的应用的运行实例的第二进程访问所述经加密的数据。2.根据权利要求1所述的方法，所述强制施行进一步包括：由所述操作系统对被所述第一进程读的数据进行解密；以及，将所述经解密的数据提供给所述第一进程。3.根据权利要求1或者权利要求2所述的方法，所述受实体信任的应用是启发式应用，并且强制施行所述数据保护策略包括：响应于来自所述第一进程的对于所述操作系统将所述启发式应用看作非启发式应用的请求，强制施行所述数据保护策略。4.根据权利要求1到3所述的方法，所述第一进程包括多个线程，并且强制施行所述数据保护策略包括：对于所述多个线程中的一个或多个线程的第一集合但不对于所述多个线程中的一个或多个线程的第二集合强制施行所述数据保护策略。5.根据权利要求1到4所述的方法，进一步包括：响应于来自所述第一进程的对于所述操作系统将所述受实体信任的应用看作不受实体信任的应用的请求，对于所述数据保护策略的至少一部分，将所述受实体信任的应用看作是不受信任的应用。6.根据权利要求1到5所述的方法，所述第一进程具有多个线程，并且所述第一进程请求所述操作系统将所述多个线程中的一个或多个线程的第一集合但不将所述多个线程中的一个或多个线程的第二集合看作不受信任的，以获得与针对一个或多个线程的所述第二集合的策略强制施行行为不同的针对一个或多个线程的所述第一集合的策略强制施行行为。7.根据权利要求1到6所述的方法，所述强制施行进一步包括：在经由网络向另一个设备传送所述数据时、在缓冲器读操作和缓冲器写操作期间以及在剪贴板读操作和剪贴板写操作期间，对所述数据进行保护。8.根据权利要求1到7所述的方法，所述强制施行进一步包括：将所述经加密的数据保存在包括元数据和所述经加密的数据两者的...

【专利技术属性】
技术研发人员：PD亚当，NS阿查亚，I巴斯莫夫，OT尤雷彻，YA梅塔，AM塞门科，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国;US