本发明专利技术名称为“信息流跟踪和保护”。本发明专利技术的实施例一般针对用于实现基于手势(gesture)的签名鉴定的系统、方法、设备、和机器可读介质。在一个实施例中,一方法可包括从不可信软件环境生成数据保护策略,以支配对在本地计算机系统中的存储器中存储的被保护的数据的访问。然后,该方法将数据保护策略映射到由信息流和跟踪保护(IFTP)逻辑管理的、可实施的系统级别数据保护策略。接着,该方法标志出包含被保护的数据的第一存储器页。最后,该方法使用IFTP逻辑和可实施的系统级别数据保护策略,为包含被保护的数据的第一存储器页实施生成的数据保护策略。
【技术实现步骤摘要】
本专利技术的实施例涉及跟踪信息流和保护系统之内以及跨网络的流中信息的领域。
技术介绍
典型的终端用户计算环境(包括企业中、中小型公司中、及消费者家中的那些)在尺寸和复杂度上都在增加。给定这些系统增加的能力,将“标准的”商业现货供应(COTS)计算机系统用在关键的基础设施中或用作访问敏感数据的客户端是平常的。由于操作系统和客户端应用程序变得更加复杂,恶意软件(例如,间谍软件和根套件(rootkit))得到了新机会来危害系统及在一些情况下跨网络快速传播。信息盗窃和滥用的事件在增长也就不惊奇了。很多这些信息盗窃由不能简单信任的操作系统产生。恶意代码能够轻易地“钩”入操作系统的内核中,导致了对系统上的所有应用程序进行主管(host)的高特权和恶意意图环境。结果,恶意攻击不再是随机的,而是经常特定地意在数据盗窃。支配对敏感信息和 /或限制的资源进行访问的策略经常受到危害,因为使用其中存有恶意软件(malware)的相同环境规定和实施它们。最后,从运行的观点,对于疏忽泄漏的机密数据没有可见性,并且存在很少工具来帮助管理员实施机密信息上的限制及安全性和隐私策略。
技术实现思路
本专利技术提供了一种用于信息流跟踪和保护的方法,包括从驻留在本地计算设备中的不可信源软件环境中的应用程序生成数据保护策略,以支配对在所述本地计算设备中的多个存储器页的第一存储器页中存储的被保护的数据的访问;将所述数据保护策略映射到由所述本地计算设备上的信息流跟踪和保护(IFTP)逻辑管理的、可实施的系统级别数据保护策略;标志出包含所述被保护的数据的所述第一存储器页;以及使用所述IFTP逻辑和所述可实施的系统级别数据保护策略,为包含所述被保护的数据的所述第一存储器页实施所生成的数据保护策略。本专利技术还提供了一种用于信息流跟踪和保护的系统,包括网络;耦合到所述网络的本地计算设备,所述本地计算设备从驻留在所述本地计算设备中的不可信源虚拟机中的应用程序生成数据保护策略,以支配对在所述本地计算设备中的多个存储器页的第一存储器页中存储的被保护的数据的访问;将所述数据保护策略映射到由信息流跟踪和保护 (IFTP)逻辑管理的、可实施的系统级别数据保护策略;标志出包含所述被保护的数据的所述第一存储器页;以及使用所述IFTP逻辑和所述可实施的系统级别数据保护策略,为包含所述被保护的数据的所述第一存储器页实施所生成的数据保护策略。附图说明作为示例而不是限定图示了本专利技术的实施例,在附图的视图中,相同的附图标记指的是类似的元件。图1是高级别框图,其图示了跟踪和保护信息流的、计算系统的一实施例的选择的方面。图2图示了被利用以跟踪和保护信息流的计算机系统的特定软件、固件、和硬件组件的一实施例。图3是规定及映射数据保护策略的处理的一实施例的流程图。图4图示了转换及映射输入数据保护策略的处理的一实施例的流程图。图5图示了在本地机器上实施数据安全性策略的处理的一实施例的流程图。图6图示了在系统中的可信协处理器中的硬件之内实现的iftp逻辑的一实施例。具体实施例方式实施例一般针对用于跟踪和保护信息流的系统、方法、和装置。图1是高级别框图,其图示了跟踪和保护信息流的、计算系统的一实施例的选择的方面。示出了计算机系统100。该计算机系统可以是桌上型计算机、服务器、工作站、膝上型计算机、手持计算机、电视机顶盒、媒体中心、游戏控制台、集成系统(例如,在车中)、或其它类型的计算机系统。在几个实施例中,计算机系统100包括系统板102(即,母板),以将几个组件耦合在一起。例如,系统板102可通过使用布线引线(wire trace)和特定接口而能够耦合组件。系统板102可将功率递送到耦合的组件。此外,系统板可提供通信接口, 以允许多个组件彼此通信。在耦合到系统板102的组件中有一个或多个中央处理单元(cpu)。虽然在许多实施例中潜在地有多个cpu,但是在图1示出的实施例中为了清楚示出仅一个cpu,cpu 104。 cpu 104可以是Intel 公司的cpu或另一品牌的cpu。cpu 104包括一个或多个核。在示出的实施例中,cpu 104包括四个核核106、核108、核110、以及核112。在其它实施例中, cpu 104可具有比图1中示出的四个核更多或更少的多个核。在许多实施例中,每个核(例如,核106)包括内部功能块,例如,一个或多个执行单元、退出单元(retirement unit)、一组通用及特定寄存器等。如果图1中示出的核是多线程的或超线程的,则每个硬件线程同样可认为是核。cpu 104也可包括一个或多个高速缓存,例如高速缓存114。在没有示出的许多实施例中,实现了不同于高速缓存114的额外高速缓存,其中在每个核中的执行单元与存储器之间存在高速缓存的多个级别。在不同实施例中,可以不同方式分派高速缓存。高速缓存 114可以是不同实施例中的许多不同尺寸之一。例如,高速缓存114可以是8兆字节(mb) 的高速缓存、16mb的高速缓存等。此外,在不同实施例中,高速缓存可以是直接映射高速缓存,全部相联高速缓存,多路组相联高速缓存,或带另一种映射类型的高速缓存。每个高速缓存可包括在各自cpu中所有核之间共享的一个大部分,或者可被划分为几个分离的功能片(例如,每个核一片)。每个高速缓存也可包括所有核之中共享的一个部分和作为每核分离功能片的几个其它部分。在许多实施例中,cpu 104通信地耦合到系统存储器116。系统存储器116可包括 物理地连接到系统板102或作为直插存储器模块一部分连接到基底的几个存储器设备。在许多实施例中,给定的存储器设备的基本结构可以是动态随机存取存储器(dram)的基本结构。在其它实施例中,可以使用诸如非易失性存储器或相变存储器的存储器。(一个或多个)混合存储器116设备通过高速(HS)输入/输出链接118(8卩,互联、总线等)通信地耦合到CPU 104。在不同的实施例中,CPU 104和系统存储器116可通过接口通信。例如,全部缓冲的双直插存储器模块(DIMM)接口、可缩放存储器接口(SMI)、 专有的点对点接口(例如,Intel 的QuickPath技术)、或者另一种这样的高速接口。在许多实施例中,链接118可包括一条或多条光布线、金属布线、或能够传输数据、地址、控制、和/或时钟信息的其它布线(即,线路)。在许多实施例中,链接是包括多条通道的高速串行接口,每条通道都在CPU 104和系统存储器116之间传输数据。在许多实施例中,CPU 104包括存储器控制器120,以转化跨HS链接118发送和接收的信息。存储器控制器120可耦合到直接访问链接118的高速I/O接口(未画出)。在未示出的其它实施例中,存储器控制器120可以是分立的设备,其直接耦合到系统板102或潜在地集成在耦合到系统板102的另一个设备(例如,存储器控制器集线器)之内。CPU 104可通过集成的I/O接口 IM耦合到输入/输出(I/O)集线器复合器122。 I/O集线器复合器122在一个或多个I/O设备和CPU 104之间提供通信接口。例如,I/O集线器复合器122可链接到将计算机系统100耦合到外部网络1 (即,计算机系统100外部的网络)的网络I/O接口 126。外部网络128的示例可包括家庭本文档来自技高网...
【技术保护点】
1.一种用于信息流跟踪和保护的方法,包括:从驻留在本地计算设备中的不可信源软件环境中的应用程序生成数据保护策略,以支配对在所述本地计算设备中的多个存储器页的第一存储器页中存储的被保护的数据的访问;将所述数据保护策略映射到由所述本地计算设备上的信息流跟踪和保护(IFTP)逻辑管理的、可实施的系统级别数据保护策略;标志出包含所述被保护的数据的所述第一存储器页;以及使用所述IFTP逻辑和所述可实施的系统级别数据保护策略,为包含所述被保护的数据的所述第一存储器页实施所生成的数据保护策略。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:R·萨希塔,M·J·科温顿,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。