CN107949834A - 虚拟化可信存储装置 - Google Patents
虚拟化可信存储装置 Download PDFInfo
- Publication number
- CN107949834A CN107949834A CN201680037881.1A CN201680037881A CN107949834A CN 107949834 A CN107949834 A CN 107949834A CN 201680037881 A CN201680037881 A CN 201680037881A CN 107949834 A CN107949834 A CN 107949834A
- Authority
- CN
- China
- Prior art keywords
- memory
- protected
- data
- virtualization
- new data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1408—Protection against unauthorised use of memory or access to memory by using cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1416—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights
- G06F12/145—Protection against unauthorised use of memory or access to memory by checking the object accessibility, e.g. type of access defined by the memory independently of subject rights the protection being virtual, e.g. for virtual blocks or segments before a translation mechanism
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2212/00—Indexing scheme relating to accessing, addressing or allocation within memory systems or architectures
- G06F2212/10—Providing a specific technical effect
- G06F2212/1052—Security improvement
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
本文中所描述的特定实施例提供一种电子设备,其可以被配置成:接收来自过程的要访问系统中数据的请求,确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中,以及如果所述数据处于存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。所述电子设备还可以被配置成:确定新数据是否应当被保护,如果所述新数据应当被保护,则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中,以及如果所述新数据不应当被保护,则将所述新数据存储在所述系统中存储器的不受保护区域中。
Description
相关申请的交叉引用
本申请要求题为“VIRTUALIZED TRUSTED STORAGE”、2015年6月27日提交的编号为14/752,914的美国非临时(实用新型)专利申请的权益和优先权,该申请通过引用整体地结合于本文。
技术领域
本公开一般涉及信息安全领域,以及更特别地,涉及虚拟化可信存储装置。
背景技术
在当今社会,网络安全领域已经变得越来越重要。互联网已经使得能够实现在全世界的不同计算机网络的互连。特别地,互联网提供了用于在经由不同类型的客户端设备而连接到不同计算机网络的不同用户之间交换数据的介质。虽然互联网的使用已经转变了企业通信和个人通信,但是其也已经被用作一种工具来用于恶意操作者获得对计算机和计算机网络的未授权访问以及用于对敏感信息的故意或非故意的公开。
感染主机计算机的恶意性软件(“恶意软件”)可以能够实行任何数量的恶意动作,诸如从与主机计算机相关联的企业或个人窃取敏感信息、传播到其他主机计算机、和/或辅助服务攻击的分布式拒绝、从主机计算机发送出垃圾邮件或恶意邮件,等等。因此,对于保护计算机和计算机网络免受被恶意软件和设备进行恶意和非故意利用而言,仍留有显著的管理上的挑战。
附图说明
为了提供对本公开及其特征和优点的更完整的理解,对结合附图进行的以下描述做出参考,在附图中相同的附图标记表示相同的部分,其中:
图1A是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的简化框图;
图1B是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的简化框图;
图2是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的一部分的简化框图;
图3A是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的一部分的简化框图;
图3B是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的一部分的简化框图;
图4是图示了根据实施例的可以与通信系统相关联的潜在操作的简化流程图;
图5是图示了根据实施例的可以与通信系统相关联的潜在操作的简化流程图;
图6是图示了根据实施例的以点对点配置进行布置的示例计算系统的框图;
图7是与本公开的示例ARM生态系统片上系统(SOC)相关联的简化框图;以及
图8是图示了根据实施例的示例处理器核的框图。
附图中的各图不一定是按比例绘制的,因为可以在不偏离本公开范围的情况下对它们的尺寸进行相当地改变。
具体实施方式
图1A是根据本公开的实施例的用于虚拟化可信存储装置的通信系统100a的简化框图。如在图1A中图示的,通信系统100a的实施例可以包括电子设备102a、云服务104a以及服务器106a。电子设备102a可以包括存储器110、处理器112、可信过程114、不可信过程116,以及安全模块118。存储器110可以包括安全存储装置120和不安全存储装置122。安全模块118可以包括安全存储模块124。云服务104a和服务器106a可以各自包括网络安全模块126。电子设备102a、云服务104a以及服务器106a可以使用网络108进行通信。
转到图1B,图1B是根据本公开的实施例的用于虚拟化可信存储装置的通信系统100b的简化框图。如在图1B中图示的,通信系统100b的实施例可以包括云服务104b、服务器106b、一个或多个可信电子设备130,以及一个或多个不可信电子设备132。云服务104b和服务器106b可以各自包括网络安全模块126和网络存储器136。网络安全模块126可以包括网络安全存储模块134。网络存储器136可以包括网络安全存储装置138和网络不安全存储装置140。
在示例实施例中,根据本公开的实施例,通信系统100a和100b可以被配置用于虚拟化可信安全存储装置。安全存储模块124可以被配置成使用文件系统驱动程序和过程的声誉(例如,可信或不可信)来将文件系统动态地虚拟化并且保护关键用户数据。例如,通信系统100a和100b可以被配置成接收来自过程的要访问系统中数据的请求,确定数据是否处于系统中存储器的虚拟化受保护区域(例如,安全存储装置120或网络安全存储装置138)中,如果数据并未处于存储器的虚拟化受保护区域中(例如,不安全存储装置122或网络不安全存储装置140),则允许对数据进行访问,以及如果数据处于存储器的虚拟化受保护区域中并且该过程是可信过程,则允许对数据进行访问。例如,安全模块118或网路安全模块126可以被配置成确定过程是可信过程还是不可信过程。通信系统100a和100b还可以被配置成确定新数据是否应当被保护,如果新数据应当被保护则将新数据存储在系统中存储器的虚拟化受保护区域中,以及如果新数据不应当被保护则将新数据存储在系统中存储器的不受保护区域中。
图1A和1B的元件可以通过采用任何适合的连接(有线或无线)的一个或多个接口而彼此耦合,所述任何适合的连接为网络(例如,网络108等)通信提供可行的途径。附加地,可以基于特定配置需要,将图1A和1B的这些元件中的任意一个或多个进行组合或将其从架构移除。通信系统100a和100b可以包括能够针对网络中分组的传输或接收进行传输控制协议/互联网协议(TCP/IP)通信的配置。在适当的情况下以及基于特定需要,通信系统100a和100b还可以结合用户数据报协议/IP(UDP/IP)或任何其他适合的协议进行操作。
出于说明通信系统100a和100b的某些示例技术的目的,重要的是理解可能穿越网络环境的通信。以下基本信息可以被视为可以正确解释本公开所根据的基础。
当前,围绕虚拟化可信存储装置的各种概念要求应用供应商来写入特定代码或者包括被链接到单个安全存储装置的二进制信息。此外,一些现有解决方案是针对单个应用(例如,绿色边界或其他浏览器安全解决方案)而被定制编码的。一些当前解决方案在提供针对检查、修改或移除用户信息和文档的恶意代码或黑客的安全性方面尚未成功。所需要的是可以帮助针对勒索软件、密码窃取程序或在电子设备上获得或修改数据的其他威胁来对数据进行保护的系统和方法。将有益的是,系统和方法可以使用虚拟化存储装置来保护可信数据。
如在图1A和1B中概述的,用于虚拟化可信存储装置的通信系统可以解决这些问题(以及其他问题)。通信系统100a和100b可以被配置成将可信过程存储装置虚拟化到安全存储区域(安全库、加密文件系统、云存储等)。安全存储区域(例如,安全存储装置120或网络安全存储装置138)可以被安全存储模块124虚拟化。不可信过程存储装置不能访问虚拟化可信存储装置。在示例中,文件系统驱动程序可以将通信量重定向到虚拟化可信存储装置来使虚拟化可信存储装置对不可信应用或不可信用户不可见。
通信系统100a和100b可以被配置成使用安全存储模块124和/或过滤器驱动程序来将来自可信过程(例如,可信过程114)的输入/输出(I/O)重定向到安全存储装置(例如,安全存储装置120),以及将来自不可信过程(例如,不可信过程116)的I/O重定向到不安全存储装置(例如,不安全存储装置122)。不可信过程并不得以访问安全存储装置,并且将得到位置的不可信示图。可信过程得以完全访问安全存储装置和不安全存储装置并且得到它们的可信示图。
可以以各种方式来实现安全存储装置。例如,在企业空间中,安全存储装置可以是云库。在消费者空间中,安全存储装置可以是安全库或本地加密的虚拟文件系统。可以针对对安全存储装置的访问来设置关于最小声誉的策略。在一个示例中,可以通过安全模块118或网络安全模块126来确定过程的声誉。还可以按尝试访问安全存储装置的文件类型或者以每应用类型为基础来保护安全存储装置。安全存储装置的虚拟化可以被应用为对系统位置(例如,我的文档(My Documents))、对特定文件夹或针对特定应用进行执行。系统可以将各个文件标记为重要的并且仅要由可信应用来访问,以及将重要文件添加到安全存储装置。此外,可以基于用户配置来将文件从安全存储装置移除或者添加到安全存储装置。例如,用户可以设置一种配置,其中所有应用应当能够访问特定文件的配置,仅可信应用应当能够访问特定文件,仅具有特定类型的可信应用应当能够访问特定文件,等等。可以使用云服务、本地认证、白名单等等来完成对过程的声誉进行建立。
转到图1A和1B的基础结构,示出了根据示例实施例的通信系统100a和100b。通常,通信系统100a和100b可以被实现在任何类型或拓扑结构的网络中。网络108表示用于对通过通信系统100a和100b传播的信息分组进行接收和传输的互连通信路径的一系列点或节点。网络108在节点之间提供通信接口,并且可以被配置为任何局域网(LAN)、虚拟局域网(VLAN)、广域网(WAN)、无线局域网(WLAN)、城域网(MAN)、内联网、外联网、虚拟私有网络(VPN)以及促进网络环境中的通信的任何其他适当的架构或系统、或者其任意适合的组合,包括有线和/或无线通信。
在通信系统100a和100b中,可以根据任何适合的通信消息传送协议来发送和接收包括分组、帧、信号、数据等在内的网络通信量。适合的通信消息传送协议可以包括多层化方案,诸如开放系统互连(OSI)模型或其任何派生或变体(例如,传输控制协议/互联网协议(TCP/IP)、用户数据报协议/IP(UDP/IP))。附加地,还可以在通信系统100a和100b中提供通过蜂窝网络的无线电信号通信。可以提供适合的接口和基础结构来使得能够实现与蜂窝网络的通信。
如在本文中使用的术语“分组”指代可以在分组交换网络上的源节点和目的地节点之间路由的数据单元。分组包括源网络地址和目的地网络地址。这些网络地址可以是TCP/IP消息传送协议中的互联网协议(IP)地址。如本文中使用的术语“数据”指代任何类型的二进制数据、数字数据、语音数据、视频数据、文本数据或脚本数据、或任何类型的源代码或目标代码、或者以可以在电子设备和/或网络中从一点到另一点传送的任何适当格式的任何其他适合的信息。附加地,消息、请求、响应和查询是网络通信量的形式,并且因此可以包括分组、帧、信号、数据等等。
在示例实现方式中,电子设备102、云服务104a和104b、服务器106a和106b、一个或多个可信电子设备130、以及一个或多个不可信电子设备132是网络元件,其意图涵盖网络应用、服务器、路由器、交换器、网关、桥接器、负载平衡器、处理器、模块、或可操作为在网络环境中交换信息的任何其他适合的设备、部件、元件或对象。网络元件可以包括促进其操作的任何适合的硬件、软件、部件、模块或对象,以及用于在网络环境中接收、传输和/或以其他方式传送数据或信息的适合的接口。这可以包括允许对数据或信息的有效交换的适当的算法和通信协议。
关于与通信系统100a和100b相关联的内部结构,电子设备102a、云服务104a和104b、服务器106a和106b、一个或多个可信电子设备130以及一个或多个不可信电子设备132中的每个可以包括用于存储要被用在本文中所概述的操作中的信息的存储器元件。电子设备102a、云服务104a和104b、服务器106a和106b、一个或多个可信电子设备130以及一个或多个不可信电子设备132中的每个可以将信息保持在任何适合的存储器元件(例如,随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)、专用集成电路(ASIC)等)、软件、硬件、固件中,或者在适当的情况下并且基于特定需要将信息保持在任何其他适合的部件、设备、元件或对象中。本文中所讨论的任何存储器项应当被理解为被涵盖在宽泛的术语“存储器元件”之内。此外,可以在任何数据库、寄存器、队列、表、高速缓存、控制列表或其他存储结构中提供在通信系统100a和100b中使用、跟踪、发送或接收的信息,其全部都可以在任何适合的时间框架下被引用。任何这样的存储选项也可以被包括在本文中所使用的宽泛术语“存储器元件”内。
在某些示例实现方式中,可以由在一个或多个有形介质中编码的逻辑(例如,在ASIC中提供的嵌入式逻辑、数字信号处理器(DSP)指令、要由处理器执行的软件(潜在地包括目标代码和源代码)、或其他类似的机构等等)来实现本文中所概述的功能,所述一个或多个有形介可以包括非临时性计算机可读介质。在这些实例中的一些中,存储器元件可以存储针对在本文中所描述的操作所使用的数据。这包括能够存储被执行来实行本文中所描述的活动的软件、逻辑、代码或处理器指令的存储器元件。
在示例实现方式中,诸如电子设备102a、云服务104a和104b以及服务器106a和106b之类的通信系统100a和100b的网络元件可以包括软件模块(例如,安全模块118、安全存储模块124、网络安全模块126以及网络安全存储模块134)来实现或促进如本文中所概述的操作。这些模块可以以任何适当的方式而被适合地组合,这可以基于特定配置和/或供应需要。在示例实施例中,这样的操作可以由硬件来实行,在这些元件外部实现,或被包括在一些其他网络设备中以实现所意图的功能性。此外,模块可以被实现为软件、硬件、固件或其任何适合的组合。这些元件还可以包括可以与其他网络元件协调的软件(或往复式软件),以便实现如本文中所概述的操作。
附加地,电子设备102a、云服务104a和104b、服务器106a和106b、一个或多个可信电子设备130、以及一个或多个不可信电子设备132中的每个可以包括处理器,该处理器可以执行软件或算法来实行如本文中所讨论的活动。处理器可以执行与数据相关联的任何类型的指令,以实现本文中所详细描述的操作。在一个示例中,处理器可以将元件或物项(例如,数据)从一个状态或事物变换成另一个状态或事物。在另一个示例中,可以利用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现本文中所概述的活动,并且本文中所识别的元件可以是一些类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、EPROM、EEPROM)或ASIC,其包括数字逻辑、软件、代码、电子指令或其任意适合的组合。本文中所描述的潜在处理元件、模块和机构中的任意应当被理解为被涵盖在宽泛术语“处理器”之内。
电子设备102a可以是网络元件,并且例如包括台式计算机、膝上型计算机、移动设备、个人数字助理、智能电话、平板设备或其他类似设备。云服务104a被配置成向电子设备102a提供云服务。云服务104b被配置成向一个或多个可信电子设备130和一个或多个不可信电子设备132提供云服务。云服务通常可以被定义为计算资源的使用,所述计算资源通过诸如互联网之类的网络作为服务而被递送。通常,计算资源、存储资源和网络资源在云基础结构中被提供,有效地将来自本地网络的工作量转移到云网络。服务器106a和106b可以是诸如服务器或虚拟服务器之类的网络元件,并且可以与希望经由某个网络(例如,网络108)在通信系统100a和100b中发起通信的客户端、顾客端、端点或者终端用户相关联。术语“服务器”包括被用来代表通信系统100a和100b内的客户端来对客户端请求进行服务和/或实行一些计算任务的设备。虽然在图1A中将安全模块118表示为处于电子设备102a中,但是这仅是出于说明性目的。可以以任何适合的配置来对安全模块118进行组合或分离。此外,安全模块118可以与另一个网络相集成或在另一个网络中分布,所述另一个网络可由诸如云服务104a或服务器106a之类的电子设备102a访问。
转向图2,图2是根据本公开的实施例的用于虚拟化可信安全存储装置的通信系统100a的一部分的简化框图。图2示出了电子设备102b的实施例。电子设备102b可以包括存储器110、处理器112、可信过程114、不可信过程116、安全模块118以及过滤器驱动程序128。
安全存储模块124可以被配置成使用过滤器驱动程序128来将I/O从可信过程114重定向到安全存储装置120,以及将I/O从不可信过程116重定向到不安全存储装置122。不可信过程无法得以访问安全存储装置并且将得到位置的不可信示图。可信过程得以完全访问安全存储装置和不安全存储装置并且得到它们的可信视图。
转到图3A,图3A是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的一部分的简化框图。如在图3A中图示的,安全存储装置的可视化可以被应用为在诸如我的文档之类的系统位置上进行执行。我的文档是微软Windows®中的特殊文件夹的普遍认可的名称,该特殊文件夹被分配来帮助用户存储他们的个人数据文件。当可信用户、可信过程114、或一些其他可信应用访问我的文档文件夹时,我的文档文件夹的安全示图142或访问可以包括不安全文件144和安全文件146两者。
转到图3B,图3B是根据本公开的实施例的用于虚拟化可信存储装置的通信系统的一部分的简化框图。如在图3B中图示的,当不可信用户、不可信过程116、或一些其他不可信应用访问我的文档文件夹时,我的文档文件夹的不安全示图148或访问可以仅包括不安全文件144。因为用户、过程或其他应用是不可信的,所以安全文件146是不可用的。
转到图4,图4是图示了根据实施例的可以与虚拟化安全存储装置相关联的流程400的可能操作的示例流程图。在实施例中,可以由安全模块118、安全存储模块124、网络安全模块126和网络安全存储模块134实行流程400的一个或多个操作。在402处,数据要被存储在系统中。在404处,系统确定对数据的访问是否被限制。例如,数据可以来自可信应用,用户可以设置其中对数据的访问被限制的配置,等等。如果对数据的访问应当被限制,则数据被存储在安全存储装置中,如在406中那样。如果数据不应当被限制,则数据被存储在不安全存储装置中,如在408中那样。
转到图5,图5是图示了根据实施例的可以与虚拟化安全存储装置相关联的流程500的可能操作的示例流程图。在实施例中,可以由安全模块118、安全存储模块124、网络安全模块126以及网络安全存储模块134实行流程500的一个或多个操作。在502处,由应用来请求对数据的访问。在504处,系统确定数据是否处于安全存储位置中。如果数据并不处于安全存储位置中,则允许对数据的访问,如在506中那样。如果数据处于安全存储位置中,则系统确定应用是否是可信应用,如在508中那样。如果应用是可信应用,则允许对数据的访问,如在506中那样。如果应用不是可信应用,则不允许对数据的访问,如在510中那样。
图6图示了根据实施例的以点对点(PtP)配置进行布置的计算系统600。特别地,图6示出了一种系统,其中处理器、存储器和输入/输出设备由多个点对点接口进行互连。通常,可以以与计算系统600相同或相似的方式来配置通信系统100a和100b的网络元件中的一个或多个。
如在图6中图示出的,系统600可以包括若干个处理器,出于简洁而仅示出其中的两个,处理器670和680。虽然示出了两个处理器670和680,但要理解的是,系统600的实施例还可以仅包括一个这样的处理器。处理器670和680可以各自包括核的集合(即,处理器核674A和674B以及处理器核684A和684B)来执行程序的多个线程。核可以被配置成以与上文参考图1-5所讨论的方式类似的方式来执行指令代码。每个处理器670、680可以包括至少一个共享高速缓存671、681。共享高速缓存671、681可以存储由处理器670、680的一个或多个部件(诸如处理器核674和684)利用的数据(例如,指令)。
处理器670和680还可以各自包括集成存储器控制器逻辑(MC)672和682,以与存储器元件632和634进行通信。存储器元件632和/或634可以存储由处理器670和680使用的各种数据。在替换的实施例中,存储器控制器逻辑672和682可以是与处理器670和680分离的分立逻辑。
处理器670和680可以是任何类型的处理器,并且可以分别使用点对点接口电路678和688经由点对点(PtP)接口650来交换数据。处理器670和680可以各自使用点对点接口电路676、686、694和698经由各个点对点接口652和654与芯片集690交换数据。芯片集690还可以使用可以是PtP接口电路的接口电路692经由高性能图形接口639与高性能图形电路638交换数据。在替换的实施例中,图6中图示的任何或所有PtP链路可以被实现为多点分支总线而不是PtP链路。
芯片集690可以经由接口电路696与总线620进行通信。总线620可以具有通过其进行通信的一个或多个设备,诸如总线桥接器618和I/O设备616。经由总线610,总线桥接器618可以与其他设备进行通信,所述其他设备诸如是键盘/鼠标612(或诸如触摸屏、轨迹球等的其他输入设备)、通信设备626(诸如调制解调器、网络接口设备或可以通过计算机网络660进行通信的其他类型的通信设备)、音频I/O设备614、和/或数据存储设备628。数据存储设备628可以存储代码630,其可以由处理器670和/或680执行。在替换的实施例中,可以利用一个或多个PtP链路来实现总线架构的任何部分。
在图6中描绘的计算机系统是可以被用来实现本文中所讨论的各种实施例的计算系统的实施例的示意性图示。将理解的是,在图6中描绘的系统的各种部件可以在片上系统(SoC)架构中或以任何其他适合的配置进行组合。例如,本文中所公开的实施例可以被结合到包括诸如智能蜂窝电话、平板计算机、个人数字助理、便携式游戏设备等等的移动设备的系统中。将理解的是,在至少一些实施例中这些移动设备可以被提供有SoC架构。
转到图7,图7是与本公开的示例ARM生态系统SOC 700相关联的简化框图。本公开的至少一个示例实现方式可以包括本文中所讨论的虚拟化可信存储特征和ARM部件。例如,图7的示例可以与任何ARM核(例如,A-7、A-15等)相关联。进一步的,架构可以是任意类型的平板设备、智能电话(包括AndroidTM电话、iPhonesTM)、iPadTM、Google NexusTM、MicrosoftSurfaceTM、个人计算机、服务器、视频处理部件、膝上型计算机(包括任何类型的笔记本电脑)、超极本TM系统、任何类型的触摸使能输入设备等等的部分。
在图7的该示例中,ARM生态系统SOC 700可以包括多个核706-707、L2高速缓存控制708、总线接口单元709、L2高速缓存710、图形处理单元(GPU)715、互连702、视频编解码器720以及液晶显示器(LCD)I/F 725,其可以与耦合到LCD的移动产业处理器接口(MIPI)/高清晰度多媒体接口(HDMI)链路相关联。
ARM生态系统SOC 700还可以包括订户身份模块(SIM)I/F 730、引导只读存储器(ROM)735、同步动态随机存取存储器(SDRAM)控制器740、闪存控制器745、串行外围接口(SPI)主控750、适合的功率控制755、动态RAM(DRAM)760以及闪存765。此外,一个或多个实施例包括一个或多个通信能力、接口和特征,诸如蓝牙TM 770、3G调制解调器775、全球定位系统(GPS)780以及802.11 Wi-Fi 785的实例。
在操作中,图7的示例可以提供处理能力,与相对低的功率消耗一起来使得能够实现各种类型的计算(例如,移动计算、高端数字家庭、服务器、无线基础结构等等)。此外,这样的架构可以使得能够实现任何数量的软件应用(例如,AndroidTM、Adobe® Flash®Player、Java平台标准版(Java SE)、JavaFX、Linux、嵌入式Microsoft Windows、Symbian和Ubuntu等等)。在至少一个示例实施例中,核处理器可以实现具有耦合的低延迟2级高速缓存的无序超标量流水线。
图8图示了根据实施例的处理器核800。处理器核800可以是用于任何类型的处理器的核,所述处理器诸如是微处理器、嵌入式处理器、数字信号处理器(DSP)、网络处理器或用以执行代码的其他设备。虽然在图8中仅图示出了一个处理器核800,但是处理器可以替换地包括多于一个在图8中图示出的处理器核800。例如,处理器核800表示参考图6的处理器670和680所描述和示出的处理器核674a、674b、684a和684b的一个示例实施例。处理器核800可以是单线程核,或者对于至少一个实施例而言处理器核800可以是多线程的,因为其可以包括每核多于一个硬件线程上下文(或“逻辑处理器”)。
图8还图示出了根据实施例的被耦合到处理器核800的存储器802。存储器802可以是如对于本领域技术人员已知的或以其他方式可得到的各种各样的存储器(包括存储器层级结构中的各种层)中的任意。存储器802可以包括核804,其可以是要由处理器核800执行的一个或多个指令。处理器核800可以遵循由代码804指示的指令的程序序列。每个指令进入前端逻辑806,并且由一个或多个解码器808处理。解码器可以作为其输出以预定格式生成诸如固定宽度微操作之类的微操作,或者可以生成反映原始代码指令的其他指令、微指令或控制信号。前端逻辑806还包括寄存器重命名逻辑810和调度逻辑812,其通常与用于执行的指令相对应地分配资源以及对操作进行排队。
处理器核800还可以包括具有执行单元816-1到816-N的集合的执行逻辑814。一些实施例可以包括专用于特定功能或功能集合的多个执行单元。其他实施例可以仅包括一个执行单元或可以实行特定功能的一个执行单元。执行逻辑814实行由代码指令指定的操作。
在完成了由代码指令指定的操作的执行之后,后端逻辑818可以使代码804的指令引退。在一个实施例中,处理器核800允许无序执行,但是要求指令的有序引退。引退逻辑820可以采用各种已知形式(例如,重排序缓冲器等等)。以这种方式,在代码804的执行期间,至少按照由解码器所生成的输出、由寄存器重命名逻辑810所利用的硬件寄存器和表、以及由执行逻辑814修改的任何寄存器(未示出)来变换处理器核800。
虽然未在图8中图示,但是处理器可以包括具有处理器核800的其他片上元件,其中的至少一些参照图6在本文中被示出和描述。例如,如在图6中示出的,处理器可以包括与处理器核800一起的存储器控制逻辑。处理器可以包括I/O控制逻辑和/或可以包括与存储器控制逻辑集成的I/O控制逻辑。
注意的是,利用本文中所提供的示例,可以按照两个、三个或更多个网络元件来对交互进行描述。然而,这仅是出于简洁和示例的目的而已经被完成。在某些情况下,可能更容易的是,仅通过参考有限数量的网络元件来对给定的流程集合的功能中的一个或多个进行描述。应当理解的是,通信系统100a和100b以及其教导是容易可扩缩的,并且可以适应大量的部件以及更复杂/精密的布置和配置。因此,提供的示例不应当限制如潜在地应用于大量其他架构的通信系统100a和100b的范围或禁止其宽泛的教导。
还重要的是要注意,前述流程图(即,图4和5)中的操作仅图示了可以由通信系统100a和100b执行或在其内执行的可能的相关情景和模式中的一些。在不偏离本公开的范围的情况下,可以在适当的情况下删除或移除这些操作中的一些,或者可以相当大地修改或改变这些操作。此外,这些操作中的许多已经被描述为与一个或多个附加操作同时执行,或与其并行执行。然而,这些操作的时序可以被相当大地更改。已经出于示例和讨论的目的提供了前述操作流程。由通信系统100a和100b提供了大幅的灵活性,因为可以在不偏离本公开教导的情况下提供任何适合的布置、年表(chronology)、配置和时序机制。
虽然已经参考特定的布置和配置对本公开进行了详细描述,但是可以在不偏离本公开的范围的情况下显著改变这些示例配置和布置。此外,可以基于特定需要和实现方式来组合、分离、消除或添加某些部件。附加地,虽然已经参照促进通信过程的特定元件和操作图示了通信系统100a和100b,但是这些元件和操作可以由实现通信系统100a和100b的所意图的功能性的任何适合的架构、协议和/或过程来代替。
可以向本领域技术人员确认许多其他改变、替换、变化、更改和修改,并且所意图的是,本公开涵盖落入所附权利要求范围内的所有这样的改变、替换、变化、更改和修改。为了辅助美国专利商标局(USPTO)以及附加地辅助关于本申请所颁发的任何专利的读者来解释本申请所附的权利要求,申请人希望注意到的是,申请人:(a)不意图所附权利要求中的任意调用35 U.S.C.部分112的第六(6)款(因为该条款在本申请的提交日已存在),除非词语“用于……的装置”或“用于……的步骤”被具体用于特定的权利要求中;以及(b)不意图通过说明书中的任何陈述来以原本未在所附权利要求中反映的任何方式限制本公开。
其他说明和示例
示例C1是至少一个具有一个或多个指令的机器可读介质,所述指令当由至少一个处理器执行时,使所述至少一个处理器:接收来自过程的要访问系统中数据的请求,确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中,以及如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。
在示例C2中,示例C1的主题可以可选地包括:其中所述一个或多个指令当由所述至少一个处理器执行时,进一步使所述至少一个处理器:确定新数据是否应当被保护,如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中,以及如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。
在示例C3中,示例C1-C2中的任一项的主题可以可选地包括:其中设备特性至少部分地基于类似设备的其他设备特性。
在示例C4中,示例C1-C3中的任一项的主题可以可选地包括:其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。
在示例C5中,示例C1-C4中的任一项的主题可以可选地包括:其中所述存储器的虚拟化受保护区域是云库。
在示例C6中,示例C1-C5中的任一项的主题可以可选地包括:其中过滤器驱动程序控制对所述存储器虚拟化受保护区域的输入和输出访问。
在示例A1中,一种电子设备可以包括安全存储模块,其中所述安全存储模块被配置成:接收来自过程的要访问系统中数据的请求,确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中,以及如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。
在示例A2中,示例A1的主题可以可选地包括:其中所述安全存储模块进一步被配置成:确定新数据是否应当被保护,如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中,以及如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。
在示例A3中,示例A1-A2中的任一项的主题可以可选地包括:其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。
在示例A4中,示例A1-A3中的任一项的主题可以可选地包括:其中所述存储器的虚拟化受保护区域是云库。
在示例A5中,示例A1-A4中的任一项的主题可以可选地包括:其中过滤器驱动程序控制对所述存储器的虚拟化受保护区域的输入和输出访问。
示例M1是一种方法,包括:接收来自过程的要访问系统中数据的请求,确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中,以及如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。
在示例M2中,示例M1的主题可以可选地包括:确定新数据是否应当被保护,如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中,以及如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。
在示例M3中,示例M1-M2中的任一项的主题可以可选地包括:其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。
在示例M4中,示例M1-M3中的任一项的主题可以可选地包括:其中所述存储器的虚拟化受保护区域是云库。
在示例M5中,示例M1-M4中的任一项的主题可以可选地包括:如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是不可信过程,则拒绝对所述数据进行访问。
在示例M6中,示例M1-M5中的任一项的主题可以可选地包括:其中过滤器驱动程序控制对所述存储器的虚拟化受保护区域的输入和输出访问。
示例S1是一种用于虚拟化可信安全存储装置的系统,所述系统包括:安全存储模块,其被配置成接收来自过程的要访问系统中数据的请求,确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中,以及如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。
在示例S2中,示例S1的主题可以可选地包括:其中系统被进一步配置成:确定新数据是否应当被保护,如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中,以及如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。
在示例S3中,示例S1-S2中的任一项的主题可以可选地包括:其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。
在示例S4中,示例S1-S3中的任一项的主题可以可选地包括其中所述存储器的虚拟化受保护区域是云库。
在示例S5中,示例S1-S4中的任一项的主题可以可选地包括:过滤器驱动程序控制对所述存储器的虚拟化受保护区域的输入和输出访问。
示例X1是一种机器可读存储介质,其包括机器可读指令来实现如在示例A1-A5的任一项中所述的装置或实现如在M1-M6中的任一项中所述的方法。示例Y1是一种装置,其包括用于实行示例方法M1-M6中的任一项的装置。在示例Y2中,示例Y1的主题可以可选地包括:用于实行包括处理器和存储器的方法的装置。在示例Y3中,示例Y2的主题可以可选地包括:存储器,所述存储器包括机器可读指令。
Claims (20)
1.至少一个机器可读介质,其包括一个或多个指令,所述一个或多个指令当由至少一个处理器执行时,使所述至少一个处理器:
接收来自过程的要访问系统中数据的请求;
确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中;以及
如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。
2.根据权利要求1所述的至少一个机器可读介质,进一步包括一个或多个指令,所述一个或多个指令当由至少一个处理器执行时,使所述至少一个处理器:
确定新数据是否应当被保护;
如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中;以及
如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。
3.根据权利要求1和2中的任一项所述的至少一个机器可读介质,其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。
4.根据权利要求1-3中的任一项所述的至少一个机器可读介质,其中所述存储器的虚拟化受保护区域是云库。
5.根据权利要求1-4中的任一项所述的至少一个机器可读介质,其中过滤器驱动程序控制对所述存储器的虚拟化受保护区域的输入和输出访问。
6.一种装置,其包括:
安全存储模块,其被配置成:
接收来自过程的要访问系统中数据的请求;
确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中;以及
如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。
7.根据权利要求6所述的装置,其中所述安全存储模块进一步被配置成:
确定新数据是否应当被保护;
如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中;以及
如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。
8.根据权利要求6和7中的任一项所述的装置,其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。
9.根据权利要求6-8中的任一项所述的装置,其中所述存储器的虚拟化受保护区域是云库。
10.根据权利要求6-9中的任一项所述的装置,其中过滤器驱动程序控制对所述存储器的虚拟化受保护区域的输入和输出访问。
11.一种方法,其包括:
接收来自过程的要访问系统中数据的请求;
确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中;以及
如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。
12.根据权利要求11所述的方法,进一步包括:
确定新数据是否应当被保护;
如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中;以及
如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。
13.根据权利要求11和12中的任一项所述的方法,其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。
14.根据权利要求11-13中的任一项所述的方法,其中所述存储器的虚拟化受保护区域是云库。
15.根据权利要求11-14中的任一项所述的方法,进一步包括:
如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是不可信过程,则拒绝对所述数据进行访问。
16.一种用于虚拟化可信安全存储装置的系统,所述系统包括:
安全存储模块,其被配置成:
接收来自过程的要访问系统中数据的请求;
确定所述数据是否处于所述系统中存储器的虚拟化受保护区域中;以及
如果所述数据处于所述存储器的虚拟化受保护区域中并且所述过程是可信过程,则允许对所述数据进行访问。
17.根据权利要求16所述的系统,其中所述系统进一步被配置成:
确定新数据是否应当被保护;
如果所述新数据应当被保护则将所述新数据存储在所述系统中存储器的虚拟化受保护区域中;以及
如果所述新数据不应当被保护则将所述新数据存储在所述系统中存储器的不受保护区域中。
18.根据权利要求16和17中的任一项所述的系统,其中所述存储器的虚拟化受保护区域是安全库或本地加密虚拟文件系统。
19.根据权利要求16-18中的任一项所述的系统,其中所述存储器的虚拟化受保护区域是云库。
20.根据权利要求19-20中的任一项所述的系统,其中过滤器驱动程序控制对所述存储器的虚拟化受保护区域的输入和输出访问。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/752914 | 2015-06-27 | ||
| US14/752,914 US10162767B2 (en) | 2015-06-27 | 2015-06-27 | Virtualized trusted storage |
| PCT/US2016/033854 WO2017003583A1 (en) | 2015-06-27 | 2016-05-24 | Virtualized trusted storage |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107949834A true CN107949834A (zh) | 2018-04-20 |
| CN107949834B CN107949834B (zh) | 2021-08-24 |
Family
ID=57602344
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680037881.1A Active CN107949834B (zh) | 2015-06-27 | 2016-05-24 | 虚拟化可信存储装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US10162767B2 (zh) |
| EP (1) | EP3314524B1 (zh) |
| CN (1) | CN107949834B (zh) |
| GB (1) | GB2557468A (zh) |
| WO (1) | WO2017003583A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116578968A (zh) * | 2023-04-24 | 2023-08-11 | 国网冀北电力有限公司信息通信分公司 | 对电力控制系统中应用程序提供安全防护的方法及装置 |
Families Citing this family (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9578664B1 (en) | 2013-02-07 | 2017-02-21 | Sprint Communications Company L.P. | Trusted signaling in 3GPP interfaces in a network function virtualization wireless communication system |
| US10691476B2 (en) * | 2015-06-27 | 2020-06-23 | Mcafee, Llc | Protection of sensitive data |
| US10162767B2 (en) * | 2015-06-27 | 2018-12-25 | Mcafee, Llc | Virtualized trusted storage |
| US9686240B1 (en) | 2015-07-07 | 2017-06-20 | Sprint Communications Company L.P. | IPv6 to IPv4 data packet migration in a trusted security zone |
| US9749294B1 (en) | 2015-09-08 | 2017-08-29 | Sprint Communications Company L.P. | System and method of establishing trusted operability between networks in a network functions virtualization environment |
| US10542115B1 (en) | 2015-10-01 | 2020-01-21 | Sprint Communications Company L.P. | Securing communications in a network function virtualization (NFV) core network |
| US9811686B1 (en) | 2015-10-09 | 2017-11-07 | Sprint Communications Company L.P. | Support systems interactions with virtual network functions in a trusted security zone |
| US9781016B1 (en) | 2015-11-02 | 2017-10-03 | Sprint Communications Company L.P. | Dynamic addition of network function services |
| US11405423B2 (en) * | 2016-03-11 | 2022-08-02 | Netskope, Inc. | Metadata-based data loss prevention (DLP) for cloud resources |
| US11403418B2 (en) | 2018-08-30 | 2022-08-02 | Netskope, Inc. | Enriching document metadata using contextual information |
| US11425169B2 (en) | 2016-03-11 | 2022-08-23 | Netskope, Inc. | Small-footprint endpoint data loss prevention (DLP) |
| US10250498B1 (en) | 2016-10-03 | 2019-04-02 | Sprint Communications Company L.P. | Session aggregator brokering of data stream communication |
| US10348488B1 (en) | 2017-08-25 | 2019-07-09 | Sprint Communications Company L.P. | Tiered distributed ledger technology (DLT) in a network function virtualization (NFV) core network |
| US10834081B2 (en) | 2017-10-19 | 2020-11-10 | International Business Machines Corporation | Secure access management for tools within a secure environment |
| US11416641B2 (en) | 2019-01-24 | 2022-08-16 | Netskope, Inc. | Incident-driven introspection for data loss prevention |
| US11586750B2 (en) * | 2019-03-21 | 2023-02-21 | Blackberry Limited | Managing access to protected data file content |
| US11652801B2 (en) | 2019-09-24 | 2023-05-16 | Pribit Technology, Inc. | Network access control system and method therefor |
| US11271777B2 (en) | 2019-09-24 | 2022-03-08 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
| US11381557B2 (en) * | 2019-09-24 | 2022-07-05 | Pribit Technology, Inc. | Secure data transmission using a controlled node flow |
| US11082256B2 (en) | 2019-09-24 | 2021-08-03 | Pribit Technology, Inc. | System for controlling network access of terminal based on tunnel and method thereof |
| US11856022B2 (en) | 2020-01-27 | 2023-12-26 | Netskope, Inc. | Metadata-based detection and prevention of phishing attacks |
| JP2022048019A (ja) * | 2020-09-14 | 2022-03-25 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理方法、および、プログラム |
| US11847205B1 (en) | 2020-10-26 | 2023-12-19 | T-Mobile Innovations Llc | Trusted 5G network function virtualization of virtual network function elements embedded on a system-on-chip |
| US11947838B2 (en) * | 2020-11-30 | 2024-04-02 | International Business Machines Corporation | Utilizing statuses to preserve a state of data during procedures such as testing without causing functional interruptions |
| US11271953B1 (en) | 2021-01-29 | 2022-03-08 | Netskope, Inc. | Dynamic power user identification and isolation for managing SLA guarantees |
| US11463362B2 (en) | 2021-01-29 | 2022-10-04 | Netskope, Inc. | Dynamic token bucket method adaptive to opaque server limits |
| US11848949B2 (en) | 2021-01-30 | 2023-12-19 | Netskope, Inc. | Dynamic distribution of unified policies in a cloud-based policy enforcement system |
| US11777993B2 (en) | 2021-01-30 | 2023-10-03 | Netskope, Inc. | Unified system for detecting policy enforcement issues in a cloud-based environment |
| US12015619B2 (en) | 2021-01-30 | 2024-06-18 | Netskope, Inc. | Dynamic routing of access request streams in a unified policy enforcement system |
| US11159576B1 (en) | 2021-01-30 | 2021-10-26 | Netskope, Inc. | Unified policy enforcement management in the cloud |
| US11310282B1 (en) | 2021-05-20 | 2022-04-19 | Netskope, Inc. | Scoring confidence in user compliance with an organization's security policies |
| US11481709B1 (en) | 2021-05-20 | 2022-10-25 | Netskope, Inc. | Calibrating user confidence in compliance with an organization's security policies |
| US11444951B1 (en) | 2021-05-20 | 2022-09-13 | Netskope, Inc. | Reducing false detection of anomalous user behavior on a computer network |
| US11336689B1 (en) | 2021-09-14 | 2022-05-17 | Netskope, Inc. | Detecting phishing websites via a machine learning-based system using URL feature hashes, HTML encodings and embedded images of content pages |
| US11444978B1 (en) | 2021-09-14 | 2022-09-13 | Netskope, Inc. | Machine learning-based system for detecting phishing websites using the URLS, word encodings and images of content pages |
| US11438377B1 (en) | 2021-09-14 | 2022-09-06 | Netskope, Inc. | Machine learning-based systems and methods of using URLs and HTML encodings for detecting phishing websites |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101667232A (zh) * | 2009-07-13 | 2010-03-10 | 北京中软华泰信息技术有限责任公司 | 基于可信计算的终端可信保障系统与方法 |
| CN102289620A (zh) * | 2011-08-12 | 2011-12-21 | 华南理工大学 | 一种基于Xen安全计算机可信设备虚拟化系统及方法 |
| US20130117563A1 (en) * | 2011-11-09 | 2013-05-09 | Safer Point Ltd | Securing information in a cloud computing system |
| CN103383655A (zh) * | 2012-01-13 | 2013-11-06 | 埃森哲环球服务有限公司 | 用于在qos感知云中管理合并的工作负载的性能干扰模型 |
| US20140040638A1 (en) * | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
| CN103605929A (zh) * | 2013-11-17 | 2014-02-26 | 北京工业大学 | 一种支持多用户的可信硬件设备及其使用方法 |
| US20140082372A1 (en) * | 2012-09-14 | 2014-03-20 | Avalanche Technology, Inc. | Secure spin torque transfer magnetic random access memory (sttmram) |
| CN103812862A (zh) * | 2014-01-23 | 2014-05-21 | 厦门密安信息技术有限责任公司 | 可信安全云计算构成方法 |
| CN103927489A (zh) * | 2014-04-22 | 2014-07-16 | 陈幼雷 | 一种数据可信存储的系统及其方法 |
| CN104239802A (zh) * | 2014-10-15 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于云数据中心的可信服务器设计方法 |
Family Cites Families (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US751810A (en) * | 1904-02-09 | Apparatus for separating liquids from solids | ||
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US20020133702A1 (en) | 2001-03-16 | 2002-09-19 | Stevens Curtis E. | Methods of granting access to a protected area |
| US7512810B1 (en) | 2002-09-11 | 2009-03-31 | Guardian Data Storage Llc | Method and system for protecting encrypted files transmitted over a network |
| WO2006000033A1 (en) * | 2004-06-24 | 2006-01-05 | Freestyle Technology Pty Ltd | A meter device |
| US7577985B1 (en) * | 2005-02-01 | 2009-08-18 | Symantec Corporation | Trusted handler and data association |
| US8495700B2 (en) * | 2005-02-28 | 2013-07-23 | Mcafee, Inc. | Mobile data security system and methods |
| US8856473B2 (en) | 2005-07-01 | 2014-10-07 | Red Hat, Inc. | Computer system protection based on virtualization |
| US7464219B2 (en) * | 2005-08-01 | 2008-12-09 | International Business Machines Corporation | Apparatus, system, and storage medium for data protection by a storage device |
| US7900012B2 (en) | 2007-04-13 | 2011-03-01 | Phison Electronics Corp. | Secure storage apparatus and method for controlling the same |
| US8156298B1 (en) | 2007-10-24 | 2012-04-10 | Adam Stubblefield | Virtualization-based security apparatuses, methods, and systems |
| US8181033B1 (en) * | 2008-07-01 | 2012-05-15 | Mcafee, Inc. | Data leakage prevention system, method, and computer program product for preventing a predefined type of operation on predetermined data |
| TW201019113A (en) * | 2008-11-06 | 2010-05-16 | Genesys Logic Inc | Authenticable USB storage device and method thereof |
| US8213618B2 (en) | 2008-12-30 | 2012-07-03 | Intel Corporation | Protecting content on client platforms |
| US8234400B2 (en) | 2010-03-16 | 2012-07-31 | Microsoft Corporation | Shaping virtual machine communication traffic |
| US8707457B2 (en) * | 2010-05-09 | 2014-04-22 | Citrix Systems, Inc. | Methods and systems for forcing an application to store data in a secure storage location |
| US8954722B2 (en) * | 2011-03-04 | 2015-02-10 | Broadcom Corporation | Enforcing software updates in an electronic device |
| US8621620B2 (en) * | 2011-03-29 | 2013-12-31 | Mcafee, Inc. | System and method for protecting and securing storage devices using below-operating system trapping |
| US9038176B2 (en) * | 2011-03-31 | 2015-05-19 | Mcafee, Inc. | System and method for below-operating system trapping and securing loading of code into memory |
| US8813174B1 (en) * | 2011-05-03 | 2014-08-19 | Symantec Corporation | Embedded security blades for cloud service providers |
| TWI467364B (zh) * | 2011-07-12 | 2015-01-01 | Phison Electronics Corp | 記憶體儲存裝置、記憶體控制器與資料寫入方法 |
| KR101314514B1 (ko) * | 2011-09-29 | 2013-11-21 | 이청종 | 보안이 강화된 클라우드 시스템 및 그에 의한 보안 관리 방법 |
| US8984478B2 (en) | 2011-10-03 | 2015-03-17 | Cisco Technology, Inc. | Reorganization of virtualized computer programs |
| US8782351B2 (en) * | 2011-10-13 | 2014-07-15 | International Business Machines Corporation | Protecting memory of a virtual guest |
| CN104040543B (zh) * | 2012-01-11 | 2018-01-19 | 英特尔公司 | 基于文件库和云的文档公正服务 |
| US8838968B2 (en) * | 2012-05-14 | 2014-09-16 | Ca, Inc. | System and method for virtual machine data protection in a public cloud |
| US8572410B1 (en) * | 2012-07-18 | 2013-10-29 | Freescale Semiconductor, Inc. | Virtualized protected storage |
| US9152870B2 (en) * | 2013-03-15 | 2015-10-06 | Sri International | Computer vision as a service |
| US9313203B2 (en) * | 2013-03-15 | 2016-04-12 | Symantec Corporation | Systems and methods for identifying a secure application when connecting to a network |
| US9215251B2 (en) * | 2013-09-11 | 2015-12-15 | Appsense Limited | Apparatus, systems, and methods for managing data security |
| US9857974B2 (en) * | 2013-10-03 | 2018-01-02 | International Business Machines Corporation | Session execution decision |
| US9218494B2 (en) * | 2013-10-16 | 2015-12-22 | Citrix Systems, Inc. | Secure client drive mapping and file storage system for mobile device management type security |
| US9823869B2 (en) * | 2014-01-08 | 2017-11-21 | Nvidia Corporation | System and method of protecting data in dynamically-allocated regions of memory |
| US10587639B2 (en) * | 2015-03-10 | 2020-03-10 | Ca, Inc. | Assessing trust of components in systems |
| US10366244B2 (en) * | 2015-06-09 | 2019-07-30 | International Business Machines Corporation | Performing an operation on sensitive data |
| US10162767B2 (en) * | 2015-06-27 | 2018-12-25 | Mcafee, Llc | Virtualized trusted storage |
-
2015
- 2015-06-27 US US14/752,914 patent/US10162767B2/en active Active
-
2016
- 2016-05-24 GB GB1720984.2A patent/GB2557468A/en not_active Withdrawn
- 2016-05-24 WO PCT/US2016/033854 patent/WO2017003583A1/en active Application Filing
- 2016-05-24 CN CN201680037881.1A patent/CN107949834B/zh active Active
- 2016-05-24 EP EP16818398.6A patent/EP3314524B1/en active Active
-
2018
- 2018-12-12 US US16/218,454 patent/US10579544B2/en active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101667232A (zh) * | 2009-07-13 | 2010-03-10 | 北京中软华泰信息技术有限责任公司 | 基于可信计算的终端可信保障系统与方法 |
| CN102289620A (zh) * | 2011-08-12 | 2011-12-21 | 华南理工大学 | 一种基于Xen安全计算机可信设备虚拟化系统及方法 |
| US20140040638A1 (en) * | 2011-10-11 | 2014-02-06 | Citrix Systems, Inc. | Policy-Based Application Management |
| US20130117563A1 (en) * | 2011-11-09 | 2013-05-09 | Safer Point Ltd | Securing information in a cloud computing system |
| CN103383655A (zh) * | 2012-01-13 | 2013-11-06 | 埃森哲环球服务有限公司 | 用于在qos感知云中管理合并的工作负载的性能干扰模型 |
| US20140082372A1 (en) * | 2012-09-14 | 2014-03-20 | Avalanche Technology, Inc. | Secure spin torque transfer magnetic random access memory (sttmram) |
| CN103605929A (zh) * | 2013-11-17 | 2014-02-26 | 北京工业大学 | 一种支持多用户的可信硬件设备及其使用方法 |
| CN103812862A (zh) * | 2014-01-23 | 2014-05-21 | 厦门密安信息技术有限责任公司 | 可信安全云计算构成方法 |
| CN103927489A (zh) * | 2014-04-22 | 2014-07-16 | 陈幼雷 | 一种数据可信存储的系统及其方法 |
| CN104239802A (zh) * | 2014-10-15 | 2014-12-24 | 浪潮电子信息产业股份有限公司 | 一种基于云数据中心的可信服务器设计方法 |
Non-Patent Citations (1)
| Title |
|---|
| 蔡谊,左晓栋: "面向虚拟化技术的可信计算平台研究", 《信息安全与通信保密》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116578968A (zh) * | 2023-04-24 | 2023-08-11 | 国网冀北电力有限公司信息通信分公司 | 对电力控制系统中应用程序提供安全防护的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10579544B2 (en) | 2020-03-03 |
| EP3314524B1 (en) | 2023-08-02 |
| US20190155752A1 (en) | 2019-05-23 |
| WO2017003583A1 (en) | 2017-01-05 |
| EP3314524A1 (en) | 2018-05-02 |
| GB2557468A (en) | 2018-06-20 |
| US10162767B2 (en) | 2018-12-25 |
| CN107949834B (zh) | 2021-08-24 |
| EP3314524A4 (en) | 2019-01-23 |
| US20160378685A1 (en) | 2016-12-29 |
| GB201720984D0 (en) | 2018-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107949834A (zh) | 虚拟化可信存储装置 | |
| CN106796638B (zh) | 使用飞地认证进行数据验证 | |
| CN107980123A (zh) | 敏感数据的保护 | |
| CN107430662A (zh) | 识别进程的恶意运行 | |
| CN107873129B (zh) | 用于不受管理的设备的安全服务 | |
| CN107431694B (zh) | 加密密钥取回 | |
| CN108093652A (zh) | 应用的模拟 | |
| US10474816B2 (en) | Secure memory implementation for secure execution of Virtual Machines | |
| CN107430663A (zh) | 确定用于进程的信誉 | |
| US20150244717A1 (en) | Trusted virtual computing system | |
| CN107851157A (zh) | 恶意软件的检测 | |
| CN107950008A (zh) | 本地网络中的设备配对 | |
| CN107466406A (zh) | 用于组合多个信誉的系统和方法 | |
| CN107960126A (zh) | 基于分析事件的漏洞利用检测 | |
| CN107873095A (zh) | 使用数字证书的恶意软件检测 | |
| CN107209844A (zh) | 便携式安全存储装置 | |
| CN107409119A (zh) | 通过网络特性来确定信誉 | |
| CN107534644A (zh) | 确定数字证书的信誉 | |
| US10152350B2 (en) | Secure domain manager | |
| WO2018009365A1 (en) | Process management | |
| US10104171B1 (en) | Server architecture having dedicated compute resources for processing infrastructure-related workloads | |
| CN109196508A (zh) | 云网络中的数据安全 | |
| Yang et al. | Trust-E: A trusted embedded operating system based on the ARM trustzone | |
| CN105205031A (zh) | 分布式运算系统和分布式系统的运算方法 | |
| EP4307607A1 (en) | System and method of secured interface to a blockchain based network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |