CN110050272A - 外部介质的安全挂载 - Google Patents
外部介质的安全挂载 Download PDFInfo
- Publication number
- CN110050272A CN110050272A CN201780076255.8A CN201780076255A CN110050272A CN 110050272 A CN110050272 A CN 110050272A CN 201780076255 A CN201780076255 A CN 201780076255A CN 110050272 A CN110050272 A CN 110050272A
- Authority
- CN
- China
- Prior art keywords
- server
- virtual machine
- client
- file
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/18—File system types
- G06F16/188—Virtual file systems
- G06F16/196—Specific adaptations of the file system to access devices and non-file objects via standard file system access operations, e.g. pseudo file systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45579—I/O management, e.g. providing access to device drivers or storage
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45583—Memory management, e.g. access or allocation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
挂载用于介质的文件系统。方法包括检测介质已经连接到计算设备。方法还包括使用于介质的文件系统挂载到虚拟机。虚拟机耦合到服务器。方法还包括使来自介质的通过文件系统组织的文件数据从服务器提供给计算设备。
Description
背景技术
计算机和计算系统几乎影响了现代生活的每个方面。计算机通常涉及工作、娱乐、医疗保健、交通、娱乐、家庭管理等。
许多计算系统包括用于将可移除介质连接到计算系统的设备。例如,这种计算系统可以允许诸如USB闪存驱动器、存储器卡(诸如SD存储器卡)等的可移除介质设备连接到计算系统。这允许通过使用小巧、紧凑和轻便的装置以简单和方便的方式将数据从一个位置移动到另一个位置以及从一个设备移动到另一个设备。然而,恶意的行为人可能能够使用可移除介质来破坏可移除介质所连接的计算系统。虽然许多用户了解与执行可移除介质设备上的受破坏的文件相关联的风险,但大多数用户并不知道可移动设备上的实际文件系统(不包括文件系统中的文件)可能会以这样的方式被破坏,以使得对可移除介质设备所连接的计算系统产生风险。例如,文件系统可能(有意或无意地)通过访问受限或关键资源导致计算系统崩溃。备选地或附加地,文件系统可以被配置为获取计算系统中存在的文件以窃取用户数据。
文件系统通常在内核模式下运行,几乎不受限制地访问计算资源。因此,可能难以保护计算系统免受这种攻击。
本文要求保护的主题不限于解决任何缺点或仅在诸如上述那些环境中操作的实施例。相反,提供该背景仅用于说明可以实践本文描述的一些实施例的一个示例性技术领域。
发明内容
本文示出的一个实施例包括挂载用于介质的文件系统的计算机实施的方法。方法包括检测介质已经连接到计算系统。方法还包括使用于介质的文件系统挂载到虚拟机。虚拟机耦合到服务器。方法还包括使来自通过文件系统组织的介质的文件数据从服务器提供给计算系统。
提供本发明内容是为了以简化的形式介绍一些构思,这些构思将在下面的具体实施方式中进一步描述。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于帮助确定所要求保护的主题的范围。
附加的特征和优点将在下面的描述中阐述,并且部分地将从描述中显而易见,或者可以通过实践本文的教导进行学习。借助于所附权利要求中特别指出的仪器和组合,可以实现和获得本发明的特征和优点。根据以下描述和所附权利要求,本发明的特征将变得更加明显,或者可以通过实践如下所阐述的本发明进行学习。
附图说明
为了描述可以获得上述和其他优点和特征的方式,将通过参考附图中图示的特定实施例来呈现上面简要描述的主题的更具体的描述。应当理解,这些附图仅描绘了通常的实施例,并且因此不应当认为是对其范围的限制,将通过使用附图的附加特征和细节来描述和解释实施例,其中:
图1图示了被配置为将可移除介质上的文件系统挂载到虚拟机的系统;
图2图示了用于挂载文件系统和提供文件数据的流程;
图3图示了被配置为将可移除介质上的文件系统挂载到虚拟机的备选系统;和
图4图示了挂载文件系统的方法。
具体实施方式
本文图示的一些实施例在计算设备上实施轻量级虚拟机。当在计算设备处检测到可移除介质时,可移除介质的文件系统被挂载到轻量级虚拟机。轻量级虚拟机连接到计算设备上的服务器。然后,服务器可以将可移除介质上的任何文件提供回计算设备。因此,例如,计算设备将基本上远程地进入在计算设备本身上运行的虚拟机。如果可移除介质上的文件系统以对其连接的系统进行攻击的方式受到破坏,则它将只能攻击虚拟机,而不能攻击主机计算设备。例如,可移除介质上的文件系统将只能使虚拟机崩溃或从虚拟机中获取文件(其中很可能没有文件对计算设备的用户很重要,甚至没有文件与计算设备的用户有关)。
现在参考图1,其图示了一个示例。图1图示了计算设备100。计算设备100在计算设备100上运行虚拟机102。
计算设备100包括端口104。端口104可以是例如USB端口、安全数字(SD)端口、eSATA端口或用于将可移除介质106连接到计算设备100的其他适当端口。
如上所述,计算设备100可以包括虚拟机102。虚拟机是可以通过使用主机系统(诸如计算设备100)上的资源来提供物理计算机系统的功能的模拟计算机系统。对虚拟机102分配来自主机系统的资源,主机系统在所图示的示例中是计算设备100。这种资源可以包括处理器周期、系统存储器、系统存储、对网络堆栈的访问、对所连接的外围设备的访问等。
来自主机系统(即,计算设备100)的资源的分配由管理程序108控制。虚拟机102只能访问由管理程序108分配给虚拟机102的资源。因此,虚拟机102基本上从计算设备100上的其他资源“沙盒化”。因此,虚拟机102不能访问管理程序108未授予访问权限的其他资源。这可以用于防止在虚拟机102处实施的可移除介质106的受破坏的文件系统120影响计算设备100的其他部分。如本文所使用的,文件系统是用于控制如何在存储介质上存储和检索数据的架构。文件系统还可以包括存储在使用该架构的介质上的文件数据。
注意,当可移除介质连接到计算设备100时,虚拟机102可以作为沙盒系统在计算设备100上连续运行以便随时可用。备选地,如下面将更详细地说明的,在一些实施例中,当可移除介质连接到计算设备100时,虚拟机102将被实例化。
注意,管理程序108通常被配置为实施具有最小特征集的轻量级虚拟机102。特别地,期望虚拟机102使用尽可能少的资源。因此,在一些实施例中,虚拟机102将排除可能存在于其他虚拟机中的许多功能,而仅包括基本文件系统挂载和访问功能,以及任何所需的通信功能。
因此,例如,一些实施例将阻止在虚拟机102中启动应用。除了实施轻量级虚拟机之外,这还可以保护虚拟机102以免被用于启动存储在可移除介质106上的恶意软件应用。
在一个备选的或附加的示例中,虚拟机102可以具有在虚拟机102处实施的有限组的通信协议。即,可以从虚拟机102中明确地排除某些协议。另外,如果不需要各种端口和通信通道来传输文件数据,则可以从虚拟机102中排除这些端口和通信通道。这可以帮助实施轻量级虚拟机以及防止外部试图破坏虚拟机102。
在所图示的示例中,管理程序108可以被配置成通过端口104挂载可移除介质106作为用于虚拟机102的文件系统。
虚拟机102耦合到在计算设备100处运行的服务器110。服务器110可以是文件服务器。虚拟机102可以使其文件系统120中的文件数据对服务器110可用,从而允许服务器110将文件从可移除介质106的文件系统120提供给服务器110的客户端。
例如,服务器110可以类似于网络文件访问服务器,诸如华盛顿州雷蒙德市的微软公司的Windows服务器中可用的共享文件夹服务器。这些服务器使用服务器消息块(SMB)协议来共享文件、打印机、串行端口,并使用命名管道和/或信箱在不同系统之间传输信息。因此,服务器110在连接到服务器110的客户端看来像是共享可移除介质106的文件系统120中的文件的文件共享。然而,连接到服务器110的客户端将从计算设备100本身连接,而不是在外部使用具有外部连接的网络。例如,如图1中所示,计算设备100处的客户端112将连接到服务器110以进行文件访问。值得注意的是,客户端112可以使用网络连接来附加地访问计算设备100外部的服务器(诸如服务器110b)以访问网络文件共享,但是也能够访问计算设备100本身上的服务器110以基于可移除介质106的文件系统120中的数据来访问文件共享。因此,客户端112可以是多用途的,因为它可以用于访问本地服务器110以及计算设备100外部的其他服务器。
客户端112、服务器110和虚拟机102可以被配置成以多种不同的方式进行通信。例如,在一些实施例中,客户端112和服务器110以及虚拟机102和服务器110可以使用应用层网络协议进行通信。这些协议可以包括TCP、NetBios API、UDP或其他协议中的一个或多个。以这种方式,来自可移除介质106的文件系统120的数据,特别是文件数据可以通过虚拟机102传输到服务器110和客户端112。
备选地或附加地,一些实施例可以使用由计算设备100的操作系统118控制的进程间通信。具体地,进程间通信允许在计算设备(诸如计算设备100)上操作的不同进程之间共享数据。因此,例如,在图1中所图示的示例中,计算设备100可以具有可以在计算设备100上的不同进程之间共享的共享存储器114。具体地,如图1所示,服务器110和客户端112可以共享共享存储器114。因此,在该示例中,服务器110可以从虚拟机102和可移除介质106获得文件数据。然后,可以将来自虚拟机102的该文件数据存储在共享存储器114。服务器110可以向客户端112提供指针。指针标识文件数据存储在共享存储器114中的位置。以这种方式,服务器110不需要将实际的文件数据发送到客户端112。相反,服务器110可以简单地将指向共享存储器114中的数据的指针发送到客户端112。这在服务器110和客户端112之间创建了更有效的通信过程。
在又一备选的或附加的实施例中,计算设备100的某些实施例可以包括基于硬件的解决方案,其中服务器110和客户端112可以被实施成硬件设备,使得客户端112和服务器110可以实施直接存储器访问(DMA)功能。特别地,DMA允许计算机系统的某些硬件子系统与CPU 116无关地访问系统存储器。类似于进程间通信,DMA可以用于在服务器110和客户端112之间共享文件数据,而无需在两个组件之间复制数据。而是,文件数据简单地在共享存储器114中共享并使用DMA功能来访问。
现在参考图2,其图示了流程200。流程200图示了可以在实施本发明的一些实施例中执行的各种动作。
在202处,检测可移除介质。例如,实施例可以检测到可移除介质106连接到端口104。例如,端口104可以具有与其相关联的中断,当可移除介质106连接到端口104时触发这些中断。这些中断可以中断硬件和/或软件,诸如用于计算设备100的CPU 116和/或用于计算设备100的操作系统。这可以使硬件和/或软件向管理程序108指示可移除介质的文件系统120应当被挂载到虚拟机。
在204处,确定虚拟机102是否正在运行。例如,可以由控制虚拟机102的管理程序108做出该确定。
如在206处所示,如果虚拟机102正在运行,则可移除介质的文件系统将被挂载到虚拟机102。
然而,如在208处所示,如果虚拟机102未运行,则将启动虚拟机102,然后可移除介质的文件系统120将被挂载到虚拟机102,如在206处所示那样。
注意,在一些实施例中,虚拟机102可以被配置为在预期可移除介质106连接到计算设备100的情况下连续运行。然而,在其他实施例中,虚拟机可以被配置为仅在可移除介质106连接到计算设备100时运行。
如在210处所示,确定服务器110是否正在运行。如果服务器110正在运行,则如在212处所示,虚拟机102连接到服务器110,以使文件系统120中的文件对服务器110可用。如果服务器110未运行,则如在214处所示,启动服务器110并且虚拟机102连接到服务器110,如在212处所示那样。
如在216处所示,服务器110然后将文件提供给计算设备100上的客户端112。如前所述,这可以例如通过将实际文件数据发送到客户端112,或者通过将文件数据存储在共享存储器114中,并向客户端提供指向文件数据的指针来完成。
在一个实施例中,文件系统120可以被挂载到虚拟机102以确定文件系统120是否会使虚拟机102崩溃或者是否试图从虚拟机102获取文件。如果文件系统120没有使虚拟机102崩溃,则可移除介质106的文件系统可以从虚拟机102卸载并直接挂载到计算设备100,使得计算设备可以访问可移除介质106上的文件数据,而无需通过客户端112、服务器110和虚拟机102来访问数据。
注意,在一些这种实施例中,如图3中所示,虚拟机102实际上可以在计算设备100外部的外部系统300上实施。在该示例中,可移除介质106仍然可以耦合到计算设备100的端口104,然而,将使用计算设备100和外部系统300之间的网络功能将可移除介质的文件系统120挂载到计算设备外部的虚拟机。如果文件系统120没有使在计算设备100外部的虚拟机崩溃,则虚拟机可以向计算设备100指示这一点,然后计算设备100将文件系统120直接挂载到计算设备100以供在计算设备100处的应用和硬件使用。直接将文件系统120挂载到计算设备100可以包括,例如,允许操作系统118和/或计算设备100的其他内核组件访问和管理文件系统120。
注意,能够检测文件系统120何时使虚拟机102或计算设备100外部的虚拟机崩溃的一些实施例还可以包括用于报告文件系统120使虚拟机102崩溃的功能。特别地,该报告机制可以被配置为向各种操作系统制造商和提供商报告崩溃。这可以帮助操作系统制造商和提供商解决崩溃,以便防止文件系统120使不具有针对本文所示的计算设备100所示的保护的其他计算设备崩溃。在一些实施例中,管理程序108或计算设备100外部的系统上的管理程序可以被配置成向操作系统制造商和提供商报告虚拟机的崩溃。备选地或附加地,可以实施专门的报告服务来报告虚拟机的崩溃。
一些实施例可以被配置为通过使管理程序108做出改变来影响可移除介质106上的文件数据的任何改变。特别地,如果计算设备100上的应用需要改变可移除介质106上的文件数据,则应用可以向管理程序108指示。然后,管理程序108可以使用挂载到虚拟机102的文件系统120来做出这些改变。这可以用于实施计算设备100和文件系统120之间的内置空气间隙。
实施例可以被配置为以对计算设备100的用户无缝的方式将可移除介质106的文件系统120挂载到虚拟机102。特别地,可能期望使得计算设备100的用户没有意识到文件系统120被挂载到虚拟机102。相反,如果在用户看来文件在计算设备100上直接可用,则对用户可能是有益的,即使可移除介质106上的文件数据是通过虚拟机102、经过服务器110和客户端112提供的。在一些实施例中,客户端112可以被配置成与计算设备100的文件系统浏览器122一起集成。特别地,客户端112可以与文件系统浏览器122的用户界面交互以在文件系统浏览器122的用户界面中显示来自文件系统120的文件数据。例如,文件系统浏览器122可以配置有允许用户察看挂载到计算设备100的文件系统中的文件数据的用户界面。用户界面还可以被配置成连接到客户端112,以用于显示来自可移除介质106的文件系统120的文件数据,即使该文件系统120未被直接挂载到计算设备120。在一些实施例中,文件系统120可以被表示为文件系统浏览器122的用户界面中的驱动。
在一些实施例中,文件系统120可以简单地显示为文件系统浏览器122中的下一个可用的驱动。备选地或附加地,文件系统浏览器122可以将用于可移除介质106的文件系统120的驱动标识为间接耦合到计算设备100的驱动。这可以用于允许技术用户对来自可移除介质106的文件系统100的文件数据的使用做出工程选择。
实施例可以被配置为打开和关闭本发明的各种特征。例如,一些实施例可以包括用户可选择的特征,其允许用户确定可移除介质106是否将其文件系统120挂载到虚拟机102或者直接挂载到计算设备100而不经过虚拟机102。
本文图示的实施所描述的特征的实施例中的一些实施例可以用于创建更安全的计算设备100,其能够受到保护以免受可移除介质上的文件系统的损害,以避免能够损害计算设备100。另外,实施例可以被配置成通过防止可移除介质的文件系统从计算设备100中获取信息来创建更安全的计算设备100。
现在,以下讨论涉及可以执行的许多方法和方法动作。虽然方法动作可以按特定顺序讨论或在流程图中以特定顺序发生,但除非特别说明或要求(因为动作取决于在该被执行的动作之前完成的另一动作),否则不需要特定的顺序。
现在参考图4,其图示了方法400。
方法400包括检测介质已经连接到计算设备(动作402)。例如,如图1所示,操作系统118可以检测到可移除介质106耦合到计算设备100的端口104。
方法400还包括使用于介质的文件系统挂载到虚拟机,其中虚拟机耦合到服务器(动作404)。例如,文件系统120挂载到虚拟机102。虚拟机102耦合到服务器110。
方法400还包括使来自介质的通过文件系统组织的文件数据从服务器提供给计算设备(动作406)。例如,将文件从服务器110和计算机系统100上的虚拟机102提供回到计算机系统100本身上的客户端112。
方法400还可以包括确定文件系统不会使虚拟机崩溃,并且因此将文件系统直接挂载到计算设备。例如,这是一种确保可移除介质在挂载时不会使系统崩溃的方法。如果可移除介质不会使系统崩溃,则可以允许它直接连接到计算设备100本身。特别地,在所图示的示例中,通过使计算设备100处的操作系统118管理文件系统120而不是从服务器110提供文件,可以将文件系统120直接挂载到系统100。
可以在计算设备上实施虚拟机和服务器的情况下实践方法400。因此,如图1中所示,可以在相同的计算设备100上实施虚拟机102和服务器110。
在一些实施例中,使用共享存储器将文件数据从服务器提供给计算设备处的客户端。因此,如图1中所示,共享存储器114可以用于将文件系统120中的文件数据从服务器110提供给客户端112。
在一些实施例中,使用服务器与计算系统上的客户端之间的进程间通信,将文件数据从服务器提供给计算设备处的客户端。
在一些实施例中,以硬件实施服务器和客户端,并且使用服务器和计算系统上的客户端之间的直接存储器访问(DMA)通信将文件数据从服务器提供给计算设备处的客户端。
可以在介质是USB记忆棒或可移动存储器卡中的至少一个的情况下实践方法400。注意,可移除介质可以附加地或替代地包括其他介质,诸如通过USB或Lightning连接器连接的外部硬盘驱动。实际上,可移除介质可以是诸如磁带驱动或其他存储设备的项目。
可以在计算设备外部实施虚拟机和服务器的情况下实践方法400。例如,如图3中所示,在计算设备100外部实施服务器110。然后,客户端112将使用网络通信或其他适当的通信方式与服务器110通信。
另外,方法可以由包括一个或多个处理器和诸如计算机存储器的计算机可读介质的计算机系统来实践。特别地,计算机存储器可以存储计算机可执行指令,在由一个或多个处理器执行该计算机可执行指令时,使各种功能(诸如实施例中记载的动作)得以执行。
本发明的实施例可以包括或利用包括计算机硬件的专用或通用计算机,如下面更详细地讨论的那样。本发明范围内的实施例还包括用于携带或存储计算机可执行指令和/或数据结构的物理和其他计算机可读介质。这种计算机可读介质可以是可由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此,作为示例而非限制,本发明的实施例可包括至少两种截然不同的计算机可读介质:物理计算机可读存储介质和传输计算机可读介质。
物理计算机可读存储介质包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储(诸如CD、DVD等)、磁盘存储或其他磁存储设备,或者可以是可以用于存储处于计算机可执行指令或数据结构形式并且可由通用或专用计算机访问的所需程序代码方法的任何其他介质。
“网络”被定义为使得能够在计算机系统和/或模块和/或其他电子设备之间传输电子数据的一个或多个数据链路。当通过网络或其他通信连接(硬连线、无线或硬连线或无线的组合)向计算机传送或提供信息时,计算机将连接恰当地视为传输介质。传输介质可以包括网络和/或数据链路,其可以用于携带处于计算机可执行指令或数据结构形式并且可由通用或专用计算机访问的所需程序代码方法。上述的组合也被包括在计算机可读介质的范围内。
另外,在到达各种计算机系统组件时,处于计算机可执行指令或数据结构形式的程序代码方法可以自动地从传输计算机可读介质传送到物理计算机可读存储介质(或反之亦然)。例如,通过网络或数据链路接收的计算机可执行指令或数据结构可以被缓冲在网络接口模块(例如,“NIC”)内的RAM中,然后最终传送到计算机系统RAM和/或计算机系统处的更不易失性计算机可读物理存储介质。因此,计算机可读物理存储介质可以被包括在也(或甚至主要)利用传输介质的计算机系统组件中。
计算机可执行指令包括例如使通用计算机、专用计算机或专用处理设备执行特定功能或功能组的指令和数据。计算机可执行指令可以是例如二进制文件、诸如汇编语言的中间格式指令,或甚至是源代码。尽管用结构特征和/或方法动作专用的语言描述了本主题,但应当理解,所附权利要求中定义的主题不必限于所描述的上述特征或动作。而是,所描述的特征和动作被公开为实施权利要求的示例形式。
本领域技术人员将理解,本发明可以在具有许多类型的计算机系统配置的网络计算环境中实践,包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持式设备、多处理器系统、基于微处理器或可编程的消费电子产品、网络PC、小型计算机、大型计算机、移动电话、PDA、寻呼机、路由器、交换机等。本发明还可以在分布式系统环境中实践,其中通过网络链接(通过硬连线数据链路、无线数据链路或通过硬连线和无线数据链路的组合)的本地和远程计算机系统都执行任务。在分布式系统环境中,程序模块可以位于本地和远程存储器存储设备中。
备选地或附加地,本文描述的功能可以至少部分地由一个或多个硬件逻辑组件执行。例如但不限于,可以使用的说明性的硬件逻辑组件的类型包括现场可编程门阵列(FPGA)、程序专用集成电路(ASIC)、程序专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等。
在不脱离本发明的精神或特征的情况下,可以以其他特定形式实施本发明。所描述的实施例在所有方面都应被视为仅是说明性而非限制性的。因此,本发明的范围由所附权利要求而不是前面的描述指示。在权利要求的含义和等同范围内的所有改变都包含在其范围内。
Claims (15)
1.一种计算设备,包括:
一个或多个处理器;和
一个或多个计算机可读介质,其上存储有由所述一个或多个处理器可执行以将所述计算设备配置为挂载文件系统的指令,所述指令包括可执行以将所述计算设备配置为执行至少以下操作的指令:
检测介质已经被连接到所述计算设备;
使用于所述介质的文件系统被挂载到虚拟机,其中所述虚拟机被耦合到服务器;以及
使来自所述介质的由所述文件系统组织的文件数据从所述服务器被提供给所述计算设备。
2.根据权利要求1所述的系统,其中一个或多个计算机可读介质还在其上存储有指令,所述指令由所述一个或多个处理器可执行以将所述计算设备配置为确定所述文件系统不会使所述虚拟机崩溃,并且作为结果,将所述文件系统直接挂载到所述计算设备。
3.根据权利要求1所述的系统,其中所述虚拟机和所述服务器在所述计算设备上被实施。
4.根据权利要求3所述的系统,其中使用共享存储器从所述服务器向所述计算设备处的客户端提供文件数据。
5.根据权利要求4所述的系统,其中使用所述服务器和所述计算系统上的所述客户端之间的进程间通信,从所述服务器向所述计算设备处的客户端提供文件数据。
6.根据权利要求4所述的系统,其中所述服务器和客户端以硬件实施,并且使用所述服务器和所述计算系统上的所述客户端之间的直接存储器访问(DMA)通信,从所述服务器向所述计算设备处的客户端提供文件数据。
7.根据权利要求1所述的系统,其中所述介质是USB记忆棒或可移动存储器卡中的至少一个。
8.根据权利要求1所述的系统,其中所述虚拟机和所述服务器在所述计算设备外部被实施。
9.一种挂载用于介质的文件系统的计算机实施的方法,所述方法包括:
检测介质已经被连接到计算设备;
使用于所述介质的文件系统被挂载到虚拟机,其中所述虚拟机被耦合到服务器;以及
使来自所述介质的由所述文件系统组织的文件数据从所述服务器被提供给所述计算设备。
10.根据权利要求9所述的方法,还包括确定所述文件系统不会使所述虚拟机崩溃,并且作为结果,将所述文件系统直接挂载到所述计算设备。
11.根据权利要求9所述的方法,其中所述虚拟机和所述服务器在所述计算设备上被实施。
12.根据权利要求11所述的方法,其中使用共享存储器从所述服务器向所述计算设备处的客户端提供文件数据。
13.根据权利要求12所述的方法,其中使用所述服务器与所述计算系统上的所述客户端之间的进程间通信,从所述服务器向所述计算设备处的客户端提供文件数据。
14.根据权利要求12所述的方法,其中所述服务器和客户端以硬件实施,并且使用所述服务器与所述计算系统上的所述客户端之间的直接存储器访问(DMA)通信,从所述服务器向所述计算设备处的客户端提供文件数据。
15.根据权利要求9所述的方法,其中所述介质是USB记忆棒或可移动存储器卡中的至少一个。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/382,272 US10366235B2 (en) | 2016-12-16 | 2016-12-16 | Safe mounting of external media |
| US15/382,272 | 2016-12-16 | ||
| PCT/US2017/065660 WO2018111783A1 (en) | 2016-12-16 | 2017-12-12 | Safe mounting of external media |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110050272A true CN110050272A (zh) | 2019-07-23 |
| CN110050272B CN110050272B (zh) | 2022-11-08 |
Family
ID=60923908
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780076255.8A Active CN110050272B (zh) | 2016-12-16 | 2017-12-12 | 外部介质的安全挂载 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US10366235B2 (zh) |
| EP (1) | EP3555787B1 (zh) |
| CN (1) | CN110050272B (zh) |
| WO (1) | WO2018111783A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11341053B2 (en) * | 2020-03-28 | 2022-05-24 | Dell Products L.P. | Virtual media performance improvement |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8869145B1 (en) * | 2011-04-28 | 2014-10-21 | Netapp, Inc. | Method and system for managing storage for virtual machines |
| US20160125058A1 (en) * | 2014-11-04 | 2016-05-05 | Rubrik, Inc. | Network optimized deduplication of virtual machine snapshots |
| US20160259939A1 (en) * | 2015-03-05 | 2016-09-08 | Minerva Labs Ltd. | Systems and methods for malware evasion management |
| CN106168903A (zh) * | 2016-06-30 | 2016-11-30 | 国云科技股份有限公司 | 一种管理usb和自动挂载到虚拟机的方法 |
| US20160364257A1 (en) * | 2015-06-15 | 2016-12-15 | International Business Machines Corporation | Import efficiency for whole-instance migration |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7681238B2 (en) | 2005-08-11 | 2010-03-16 | Microsoft Corporation | Remotely accessing protected files via streaming |
| WO2008048665A2 (en) * | 2006-10-18 | 2008-04-24 | University Of Virginia Patent Foundation | Method, system, and computer program product for malware detection analysis, and response |
| US8332846B2 (en) * | 2008-02-28 | 2012-12-11 | Sony Mobile Communications Ab | Selective exposure to USB device functionality for a virtual machine by filtering descriptors |
| US8261320B1 (en) | 2008-06-30 | 2012-09-04 | Symantec Corporation | Systems and methods for securely managing access to data |
| US8103809B1 (en) * | 2009-01-16 | 2012-01-24 | F5 Networks, Inc. | Network devices with multiple direct memory access channels and methods thereof |
| KR101103313B1 (ko) | 2009-09-28 | 2012-01-11 | 주식회사 잉카인터넷 | 가상머신 환경에서의 매체제어방법 |
| EP3002683B1 (en) | 2009-12-14 | 2017-07-12 | Citrix Systems Inc. | Methods and systems for communicating between trusted and non-trusted virtual machines |
| CN102104555B (zh) | 2009-12-22 | 2012-12-12 | 华为终端有限公司 | 家庭网关上usb设备的访问方法、一种家庭网关和终端 |
| US9148428B1 (en) | 2011-05-25 | 2015-09-29 | Bromium, Inc. | Seamless management of untrusted data using virtual machines |
| WO2013008058A1 (en) | 2011-07-08 | 2013-01-17 | Daini Matteo | Portable usb pocket device for internet connection, with its own live operating system for accessing user's virtual desktop through the internet |
| US9195473B2 (en) | 2012-04-05 | 2015-11-24 | Blackberry Limited | Method for sharing an internal storage of a portable electronic device on a host electronic device and an electronic device configured for same |
| US9081960B2 (en) | 2012-04-27 | 2015-07-14 | Ut-Battelle, Llc | Architecture for removable media USB-ARM |
| US20150095597A1 (en) | 2013-09-30 | 2015-04-02 | American Megatrends, Inc. | High performance intelligent virtual desktop infrastructure using volatile memory arrays |
| US9448834B2 (en) | 2014-06-27 | 2016-09-20 | Unitrends, Inc. | Automated testing of physical servers using a virtual machine |
| CN104317759A (zh) | 2014-10-15 | 2015-01-28 | 国云科技股份有限公司 | 一种支持虚拟机usb存储设备热插拔的方法 |
-
2016
- 2016-12-16 US US15/382,272 patent/US10366235B2/en active Active
-
2017
- 2017-12-12 WO PCT/US2017/065660 patent/WO2018111783A1/en unknown
- 2017-12-12 CN CN201780076255.8A patent/CN110050272B/zh active Active
- 2017-12-12 EP EP17825334.0A patent/EP3555787B1/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8869145B1 (en) * | 2011-04-28 | 2014-10-21 | Netapp, Inc. | Method and system for managing storage for virtual machines |
| US20160125058A1 (en) * | 2014-11-04 | 2016-05-05 | Rubrik, Inc. | Network optimized deduplication of virtual machine snapshots |
| US20160259939A1 (en) * | 2015-03-05 | 2016-09-08 | Minerva Labs Ltd. | Systems and methods for malware evasion management |
| US20160364257A1 (en) * | 2015-06-15 | 2016-12-15 | International Business Machines Corporation | Import efficiency for whole-instance migration |
| CN106168903A (zh) * | 2016-06-30 | 2016-11-30 | 国云科技股份有限公司 | 一种管理usb和自动挂载到虚拟机的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110050272B (zh) | 2022-11-08 |
| US20180173878A1 (en) | 2018-06-21 |
| EP3555787A1 (en) | 2019-10-23 |
| EP3555787B1 (en) | 2021-11-24 |
| US10366235B2 (en) | 2019-07-30 |
| WO2018111783A1 (en) | 2018-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104756082B (zh) | 用于数据库应用的智能错误恢复 | |
| US10997289B2 (en) | Identifying malicious executing code of an enclave | |
| CN105493054B (zh) | 使用双文件系统的快速数据保护 | |
| US9058263B2 (en) | Automated fault and recovery system | |
| US9110867B2 (en) | Providing application based monitoring and recovery for a hypervisor of an HA cluster | |
| CN104903854B (zh) | 用户可信设备及其引导计算机的方法 | |
| US9477501B2 (en) | Encapsulation of an application for virtualization | |
| US20160164880A1 (en) | Systems And Methods Of Transaction Authorization Using Server-Triggered Switching To An Integrity-Attested Virtual Machine | |
| CN108459988A (zh) | 持续性远程直接存储器存取 | |
| CN107454958A (zh) | 使用多个嵌套页表隔离客户机代码和数据 | |
| US11880458B2 (en) | Malware detection based on user interactions | |
| CN107430669A (zh) | 计算系统和方法 | |
| US20210232709A1 (en) | Reserving one or more security modules for a secure guest | |
| CN109324873A (zh) | 虚拟化安全管理方法、运行内核驱动的设备及存储介质 | |
| US10949306B2 (en) | System and method of a cloud service provider virtual machine recovery | |
| CN110050272A (zh) | 外部介质的安全挂载 | |
| US10764295B2 (en) | Monitoring service policy management | |
| CN109408281A (zh) | 用于无头服务器可管理性和自主日志记录的技术 | |
| US11334446B2 (en) | Backup system for an overlay network | |
| KR20170031131A (ko) | 가상 스트림 및 처리 에이전트를 이용한 스트림 기반 이벤트 처리 기법 | |
| JP7042624B2 (ja) | 評価プラットフォームのための監査を行うための方法およびシステム | |
| Coutermarsh | Heroku Cookbook | |
| US9378385B1 (en) | Systems and methods for determining whether transmission of sensitive data is expected | |
| US8904174B2 (en) | System, method and computer program product for product license management | |
| US10726163B2 (en) | Protecting cryptographic systems from cold boot and other side channel attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |