本文中所描述的特定实施例提供一种电子设备,其可以被配置成:接收来自过程的要访问系统中数据的请求,确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中,以及如果所述数据处于存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。所述电子设备还可以被配置成:确定新数据是否应当被保护,如果所述新数据应当被保护,则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中,以及如果所述新数据不应当被保护,则将所述新数据存储在所述系统中存储器的不受保护区域中。
【技术实现步骤摘要】
【国外来华专利技术】虚拟化可信存储装置相关申请的交叉引用本申请要求题为“VIRTUALIZEDTRUSTEDSTORAGE”、2015年6月27日提交的编号为14/752,914的美国非临时(技术)专利申请的权益和优先权,该申请通过引用整体地结合于本文。
本公开一般涉及信息安全领域,以及更特别地,涉及虚拟化可信存储装置。
技术介绍
在当今社会,网络安全领域已经变得越来越重要。互联网已经使得能够实现在全世界的不同计算机网络的互连。特别地,互联网提供了用于在经由不同类型的客户端设备而连接到不同计算机网络的不同用户之间交换数据的介质。虽然互联网的使用已经转变了企业通信和个人通信,但是其也已经被用作一种工具来用于恶意操作者获得对计算机和计算机网络的未授权访问以及用于对敏感信息的故意或非故意的公开。感染主机计算机的恶意性软件(“恶意软件”)可以能够实行任何数量的恶意动作,诸如从与主机计算机相关联的企业或个人窃取敏感信息、传播到其他主机计算机、和/或辅助服务攻击的分布式拒绝、从主机计算机发送出垃圾邮件或恶意邮件,等等。因此,对于保护计算机和计算机网络免受被恶意软件和设备进行恶意和非故意利用而言,仍留有显著的管理上的挑战。附图说明为了提供对本公开及其特征和优点的更完整的理解,对结合附图进行的以下描述做出参考,在附图中相同的附图标记表示相同的部分,其中:图1A是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的简化框图;图1B是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的简化框图;图2是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的一部分的简化框图;图3A是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的一部分的简化框图;图3B是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的一部分的简化框图;图4是图示了根据实施例的可以与通信系统相关联的潜在操作的简化流程图;图5是图示了根据实施例的可以与通信系统相关联的潜在操作的简化流程图;图6是图示了根据实施例的以点对点配置进行布置的示例计算系统的框图;图7是与本公开的示例ARM生态系统片上系统(SOC)相关联的简化框图;以及图8是图示了根据实施例的示例处理器核的框图。附图中的各图不一定是按比例绘制的,因为可以在不偏离本公开范围的情况下对它们的尺寸进行相当地改变。具体实施方式图1A是根据本公开的实施例的用于虚拟化可信存储装置的通信系统100a的简化框图。如在图1A中图示的,通信系统100a的实施例可以包括电子设备102a、云服务104a以及服务器106a。电子设备102a可以包括存储器110、处理器112、可信过程114、不可信过程116,以及安全模块118。存储器110可以包括安全存储装置120和不安全存储装置122。安全模块118可以包括安全存储模块124。云服务104a和服务器106a可以各自包括网络安全模块126。电子设备102a、云服务104a以及服务器106a可以使用网络108进行通信。转到图1B,图1B是根据本公开的实施例的用于虚拟化可信存储装置的通信系统100b的简化框图。如在图1B中图示的,通信系统100b的实施例可以包括云服务104b、服务器106b、一个或多个可信电子设备130,以及一个或多个不可信电子设备132。云服务104b和服务器106b可以各自包括网络安全模块126和网络存储器136。网络安全模块126可以包括网络安全存储模块134。网络存储器136可以包括网络安全存储装置138和网络不安全存储装置140。在示例实施例中,根据本公开的实施例,通信系统100a和100b可以被配置用于虚拟化可信安全存储装置。安全存储模块124可以被配置成使用文件系统驱动程序和过程的声誉(例如,可信或不可信)来将文件系统动态地虚拟化并且保护关键用户数据。例如,通信系统100a和100b可以被配置成接收来自过程的要访问系统中数据的请求,确定数据是否处于系统中存储器的虚拟化受保护区域(例如,安全存储装置120或网络安全存储装置138)中,如果数据并未处于存储器的虚拟化受保护区域中(例如,不安全存储装置122或网络不安全存储装置140),则允许对数据进行访问,以及如果数据处于存储器的虚拟化受保护区域中并且该过程是可信过程,则允许对数据进行访问。例如,安全模块118或网路安全模块126可以被配置成确定过程是可信过程还是不可信过程。通信系统100a和100b还可以被配置成确定新数据是否应当被保护,如果新数据应当被保护则将新数据存储在系统中存储器的虚拟化受保护区域中,以及如果新数据不应当被保护则将新数据存储在系统中存储器的不受保护区域中。图1A和1B的元件可以通过采用任何适合的连接(有线或无线)的一个或多个接口而彼此耦合,所述任何适合的连接为网络(例如,网络108等)通信提供可行的途径。附加地,可以基于特定配置需要,将图1A和1B的这些元件中的任意一个或多个进行组合或将其从架构移除。通信系统100a和100b可以包括能够针对网络中分组的传输或接收进行传输控制协议/互联网协议(TCP/IP)通信的配置。在适当的情况下以及基于特定需要,通信系统100a和100b还可以结合用户数据报协议/IP(UDP/IP)或任何其他适合的协议进行操作。出于说明通信系统100a和100b的某些示例技术的目的,重要的是理解可能穿越网络环境的通信。以下基本信息可以被视为可以正确解释本公开所根据的基础。当前,围绕虚拟化可信存储装置的各种概念要求应用供应商来写入特定代码或者包括被链接到单个安全存储装置的二进制信息。此外,一些现有解决方案是针对单个应用(例如,绿色边界或其他浏览器安全解决方案)而被定制编码的。一些当前解决方案在提供针对检查、修改或移除用户信息和文档的恶意代码或黑客的安全性方面尚未成功。所需要的是可以帮助针对勒索软件、密码窃取程序或在电子设备上获得或修改数据的其他威胁来对数据进行保护的系统和方法。将有益的是,系统和方法可以使用虚拟化存储装置来保护可信数据。如在图1A和1B中概述的,用于虚拟化可信存储装置的通信系统可以解决这些问题(以及其他问题)。通信系统100a和100b可以被配置成将可信过程存储装置虚拟化到安全存储区域(安全库、加密文件系统、云存储等)。安全存储区域(例如,安全存储装置120或网络安全存储装置138)可以被安全存储模块124虚拟化。不可信过程存储装置不能访问虚拟化可信存储装置。在示例中,文件系统驱动程序可以将通信量重定向到虚拟化可信存储装置来使虚拟化可信存储装置对不可信应用或不可信用户不可见。通信系统100a和100b可以被配置成使用安全存储模块124和/或过滤器驱动程序来将来自可信过程(例如,可信过程114)的输入/输出(I/O)重定向到安全存储装置(例如,安全存储装置120),以及将来自不可信过程(例如,不可信过程116)的I/O重定向到不安全存储装置(例如,不安全存储装置122)。不可信过程并不得以访问安全存储装置,并且将得到位置的不可信示图。可信过程得以完全访问安全存储装置和不安全存储装置并且得到它们的可信示图。可以以各种方式来实现安全存储装置。例如,在企业空间中,安全存储装置可以是云库。在消费者空间中,安全存储装置可以是安全库或本地加密本文档来自技高网...
【技术保护点】
至少一个机器可读介质,其包括一个或多个指令,所述一个或多个指令当由至少一个处理器执行时,使所述至少一个处理器:接收来自过程的要访问系统中数据的请求;确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中;以及如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。
【技术特征摘要】
【国外来华专利技术】2015.06.27 US 14/7529141.至少一个机器可读介质,其包括一个或多个指令,所述一个或多个指令当由至少一个处理器执行时,使所述至少一个处理器:接收来自过程的要访问系统中数据的请求;确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中;以及如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。2.根据权利要求1所述的至少一个机器可读介质,进一步包括一个或多个指令,所述一个或多个指令当由至少一个处理器执行时,使所述至少一个处理器:确定新数据是否应当被保护;如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中;以及如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。3.根据权利要求1和2中的任一项所述的至少一个机器可读介质,其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。4.根据权利要求1-3中的任一项所述的至少一个机器可读介质,其中所述存储器的虚拟化受保护区域是云库。5.根据权利要求1-4中的任一项所述的至少一个机器可读介质,其中过滤器驱动程序控制对所述存储器的虚拟化受保护区域的输入和输出访问。6.一种装置,其包括:安全存储模块,其被配置成:接收来自过程的要访问系统中数据的请求;确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中;以及如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。7.根据权利要求6所述的装置,其中所述安全存储模块进一步被配置成:确定新数据是否应当被保护;如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中;以及如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。8.根据权利要求6和7中的任一项所述的装置,其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。9.根据权利要求6-8中的任一项所述的装置,其中所述存储器的虚拟化受保护区域是云库。10.根...
【专利技术属性】
技术研发人员:JR斯普尔洛克,Z张,A卡普尔,JL爱德华兹,KN法姆,
申请(专利权)人:迈克菲有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。