专利名称:在已经被篡改的电子设备的存储介质中恢复数据的制作方法
在已经被篡改的电子设备的存储介质中恢复数据
背景技术:
随着便携式电子设备(诸如便携式计算机、个人数字助理、移动电话等等)激增,此类电子设备的失窃问题已变得令人关注。电子设备的存储容量已经增加到使得相对大量的数据能够被存储在此类电子设备中的这样的水平。当电子设备被盗时,那么电子设备中的任何机密或个人信息可能变得受到危及。
针对以下图描述本发明的某些实施例
图1A、1B和图2是结合本发明的各种实施例的示例配置的框 图3是根据实施例的恢复数据的一般处理的流程图;以及
图4是根据实施例的、发送从已经被篡改的电子设备的存储介质恢复的数据的处理的流程图。
具体实施例方式在典型电子设备(包括台式计算机、便携式计算机、个人数字助理、移动电话等等)中,可能存在相对大量的机密和/或个人信息被存储在所述电子设备的永久性存储介质中。机密信息的示例可以包括机密的商业或技术信息。个人信息的示例可以包括社会保险号、银行帐号、信用卡号等等。如果电子设备被盗,或替换地,如果电子设备的存储介质被从电子设备中移除,那么存储在该存储介质中的任何数据可能被访问并且用于未经授权的目的。此外,电子设备的用户可能没有保留数据的备份,或替换地,数据的备份可能是不完整的。某些现有的系统或服务具有禁用丢失或被盗的电子设备以防止未经授权访问电子设备中的信息的能力。然而,在许多情况下,与电子设备本身相比,电子设备的所有者更重视包含在电子设备中的信息。在此类情形下,使用常规系统或服务,电子设备的用户可能不能有效地恢复在已经被篡改的电子设备的存储介质上的数据。根据某些实施例,提供一种技术或机构以允许恢复在已经被篡改的电子设备的存储介质上的数据。如果以下情况中的任何一个或多个发生,那么电子设备被认为是被篡改电子设备被盗;电子设备的存储介质被移除;将电子设备附着到特定位置(例如,家具或其它固定物体)的锁定机构被移除;电子设备的软件被篡改;电子设备移动超出特定物理区域;用户、组织和/或服务将通知发送到电子设备以指示该电子设备已经被危及或被盗(例如,诸如在雇员已经与公司终止雇佣但尚未将电子设备归还给公司的情境下);电子设备中的至少一部分(例如,硬件或软件)已经在没有充分授权/认证的情况下(例如,使用错误的密码)被打开;等等。电子设备包含恢复机构(采用纯硬件或硬件加恢复软件或固件的形式),其能够检测电子设备的篡改。响应于此类篡改的检测,可以调用恢复机构来开始恢复过程以允许被篡改的电子设备的存储介质上的某些数据被通过通信链路传输到该电子设备外部的位置,其中所述数据最终被传送到预定的恢复目的地(其可以远离电子设备或存储介质所位于的位置)。例如,恢复目的地可以是服务器、台式计算机、笔记本计算机,或其它类型的电子设备。如果采用恢复代码实现该恢复机构,那么恢复代码可以被存储在与数据相同的存储介质上,或替换地,恢复代码可以被存储在单独的存储介质中。恢复过程可以由硬件单独(没有软件)来执行,或可以由硬件和软件的组合来执行。同样地,恢复目的地最初可以具有默认设置,其中可以随后更新默认设置,诸如在恢复过程的初始配置期间,或在电子设备正在被篡改之前的任何时间。此外,在电子设备已经被篡改之后,可以通过有线的或无线的连接接收与恢复目的地相关的新信息。恢复过程包括恢复机构接收与数据类型的优先顺序排列相关的信息。注意的是,存储介质可以存储相对大量的数据,从而使得定义哪些类型的数据比其它类型的数据更重 要将是可期望的。例如,可能比其它数据更重要的示例数据类型包括财务数据、工作文件、图片、视频等等。也可以单独地或与上面提到的优先顺序排列相结合地使用其它类型的优先顺序排列。该其它类型的优先顺序排列可以包括基于最近更新的信息(基于日期、时间等)的优先顺序排列;基于信息是否已经被备份的优先顺序排列;基于基于用户的优先顺序排列(诸如在电子设备上存在多个用户从而使得针对不同用户存在多个分区或文件夹的情境下);基于信息的分类的优先顺序排列(诸如工作信息对个人信息);等等。在后续讨论中,“与数据类型的优先顺序排列相关的信息”指的是上面提到的优先顺序排列中的任何一个或多个。可以将与数据类型的优先顺序排列相关的信息本地地存储在电子设备的存储介质上或其它硬件中,或替换地,在已经检测到电子设备的篡改之后,可以由恢复机构通过到另一设备的网络连接或链路接收与数据类型的优先顺序排列相关的信息。优先顺序排列信息最初可以具有默认设置,其可以被更新(诸如由用户、系统、管理员、服务、公司、在各个点处的所有者(诸如在恢复过程的初始配置期间,在电子设备正在被篡改之前的任何时间等等))。在电子设备已经被篡改之后,可以通过有线的或无线的链路接收更新的优先顺序排列信息。在恢复过程中,恢复机构检测通信链路是否可用于允许数据通过通信链路到电子设备外部的位置的通信。通信链路可以是网络上所建立的网络连接。替换地,通信链路可以是到另一电子设备(其可以被直接地连接到被篡改的电子设备)的链路。该直接连接的示例包括通用串行总线(USB)连接、蓝牙无线连接、通过并行或串行端口的连接,或在电子设备之间的任何其它类型的有线或无线连接。如果通信链路不可用,那么在某些实施例中的恢复机构能够在可能时直接通过网络或间接地通过具有或将具有网络连接的另一连接的设备(例如,计算机、个人数字助理等)自动地建立通信链路(例如,接通无线连接)。响应于检测到通信链路的存在,恢复机构接收数据类型优先顺序排列信息(其可以从存储介质中检索或通过通信链路接收)。恢复机构然后将该数据(按照根据数据类型优先顺序排列信息的顺序)通过通信链路发送。注意的是,数据可以被直接地通过网络发送到恢复目的地,或替换地,数据可以被发送到另一电子设备以便在该另一个电子设备上暂时存储以用于之后传送到恢复目的地。在某些示例中,发送数据所按照的顺序按照以下顺序最近被修改的数据、未被备份的数据、财务数据、工作文件、其它类型的文件(诸如图片、视频等等)。注意的是,可以如上面提到的那样使用优先顺序排列的不同组合。如果没有建立优先顺序排列,那么可以使用默认优先顺序排列。可以在已经被篡改的电子设备中执行恢复机构。替换地,可以在另一电子设备中执行恢复机构,诸如在存储介质已经被从已经被篡改的电子设备移除并且被安装在此类其它电子设备中的情境下。在后续讨论中,在由恢复代码执行恢复过程的情况下描述实施例;然而,如上面提到的,在其它实施例中,可以由硬件、或硬件和固件的组合执行恢复过程。图IA是包括具有包含数据104和恢复代码106的存储介质102的电子设备100的示例配置的方框图。如在图IA中进一步示出的那样,存储介质102可以将篡改指示符108存储在存储介质102的受保护的(安全的)或隐藏区域中。替换地,可以将篡改指示符108存储在其它地方。存储介质的受保护的或隐藏区域(也称为隐藏分区)是电子设备100的应用软件或操作系统(在没有适当授权的情况下)不可访问的区域。电子设备100可以被提供以单独的安全代码,诸如在操作系统中、在固件中、在设备驱动器中、或在特定应用中,其能够访问具有适当授权/认证的受保护的或隐藏区域。可以将篡改指示符108设置成预定值 以指示电子设备100已经被篡改。可以由芯片集110中的篡改检测硬件、或替换地由恢复代码106执行篡改指示符108的设置。在替换实施例中,恢复过程在检测到电子设备100的篡改时还可以将数据104 (或数据104的子集)存储在受保护区域中。在可能时存储在受保护区域中的数据可以在之后被传输,或如果电子设备100被找到或归还给所有者,那么存储在受保护区域中的数据可以在之后被恢复。在受保护区域中的数据的存储保存了数据,从而使得即使存储介质102的部分被删除,在受保护区域中的数据可以仍然在那里以用于之后的恢复。受保护区域可以在存储介质102中,或在不同的存储介质上。注意的是,在某些实施方式中,并不是所有将要被恢复的数据都将被存储在此类实施方式中的受保护区域中,恢复过程可以恢复来自受保护区域的某些数据以及来自受保护区域外部的剩余数据。可以被存储在受保护区域中的数据部分的示例可以是机密数据和/或用户可能不希望被非授权用户看到的个人数据。机密数据和个人数据被共同地称为“敏感数据”。在其它实施方式中,另外的数据部分可以被存储在受保护区域中。恢复代码106也可以被存储在受保护区域中。将恢复代码106以及数据104 (诸如敏感数据)的至少某部分存储在受保护区域中的好处是盗窃了电子设备100或存储介质102的人将不能看到或访问恢复代码106和数据104的至少某部分。电子设备100还包括具有用于管理存储介质102的访问的存储控制器112的芯片集110。芯片集110还可以包括其它控制器(未示出),诸如连接到输入/输出(I/O设备)的控制器、视频控制器、和/或其它控制器。此外,电子设备100还包括处理器114,在其上可执行电子设备100中的各种软件。此类软件的一个示例是恢复代码106,其可以从存储介质102加载以用于响应于电子设备100的篡改的检测而在处理器114上执行。电子设备100还包括网络接口 116以允许电子设备100通过网络118 (诸如无线网络、有线网络、或无线或有线网络的组合)进行通信。虽然被称为单数“网络”,但是注意的是,术语“网络”意指覆盖单个网络或多个网络,其中该网络中的一个是诸如因特网的公共网络。恢复目的地120被连接到网络118,其中恢复目的地120可以是由用于响应于检测到电子设备100已经被篡改而传送存储介质102的指定数据的电子设备100的用户标识的目的地。恢复目的地120可以由将数据恢复服务供应给订户的服务提供者提供。可能只存在一个静态的恢复目的地120,或可能存在多个恢复目的地,其可以被动态选择以用于传送来自已经被篡改的电子设备100的数据。在图IA的示例中,在检测到电子设备100的篡改时,运行恢复代码106以用于在处理器114上执行,并且恢复代码106能够响应于恢复代码106检测到从电子设备100到恢复目的地120的网络连接而通过网络118将指定数据发送到恢复目的地120。替换地,代替通过网络118将指定数据直接地发送到恢复目的地120,恢复代码106能够将指定数据发送到第二电子设备(其被链接到电子设备100)。在这样的情境中,指定数据可以被临时地存储在第二电子设备中以便之后传送到恢复目的地120,或替换地,指定数据可以通过第二电子设备被路由到网络118以便将指定数据从电子设备100间接传送到恢复目的地120。在这后面的情境中,第二电子设备还可以追踪已经被篡改的电子设备的位置信息(例如,IP地址、服务器地址、无线位置等)。恢复目的地120包括至少一个计算机服务器122 (或某其它类型的设备),其具有 处理器124、存储介质126、以及网络接口 128以允许计算机服务器122通过网络118进行通信。已经被从电子设备100传送到恢复目的地120的指定数据可以被存储在服务器122的存储介质126中。存储在服务器122中的恢复的数据可以在之后被也连接到网络118的客户端站130检索。例如,在电子设备100丢失之后,以及在接收到电子设备100的数据已经被恢复到恢复目的地120内的指示之后,电子设备100的所有者可以使用客户端站130来从服务器122中检索恢复的数据。图IA进一步示出了连接到网络118的备份系统132。备份系统132包括备份服务134,其使电子设备100的存储介质102中的数据104的至少某部分被存储在备份系统132中。在其中电子设备100中的数据104的部分被备份的情况下,当被运行时,恢复代码106将与备份服务134交互以确定用户已经指定将被恢复的数据104的哪些部分未被备份。恢复代码106将然后试图恢复尚未被备份服务134备份的数据104的部分。通过首先核查数据104的哪部分已经被备份,恢复过程不必浪费时间以及传输已经在其它地方(例如,备份系统132)可得到的数据的网络资源。替换地,指示数据104的哪些部分已经被备份的备份信息可以被本地地存储在电子设备100中,从而使得恢复代码106不必在恢复过程期间与备份服务134交互。例如,备份信息可以被存储在存储介质102的受保护区域中-该备份信息可以在电子设备100的正常操作期间从备份服务134下载。图IB描绘了电子设备100的替换实施例。在图IB的电子设备100中,除了在图IA中描绘的部件(其共享相同的附图标记)之外,还提供了闪速存储器152以及专用处理器150。在图IB的实施例中,恢复代码106被存储在闪速存储器152中。受保护区域(包括篡改指示符108)还可以替换地被存储在闪速存储器152中而不是存储介质102中。响应于检测到电子设备100的篡改,提供专用处理器150以禁用该电子设备100。禁用电子设备100阻止电子设备100的未授权使用;然而,仍然可以执行根据某些实施例的恢复过程。
图IA和IB举例说明了下述实施例,其中假设整个电子设备100被盗,从而使得存储介质102上的恢复代码106被运行以便在电子设备100的处理器114上执行。替换地,还可能的是,窃贼将只将存储介质102从电子设备100移除,并且将该存储介质102安装在另一系统中。该情境的示例在图2中被示出,其中存储介质102已经被从电子设备100移除并且被安装在计算机系统200中。注意的是,虽然存储介质102已经被从电子设备100移除,但是恢复代码106和数据104仍然在存储介质102上。恢复代码106可以检测到与电子设备100相关联的篡改,因为恢复代码106可以检测到存储介质102已经被从电子设备100移除并且现在处在不同的主机(即计算机系统200而不是电子设备100)中。在这样的情境中,恢复代码106将被运行以便在计算机系统200的处理器202上执行,并且恢复过程可以由计算机系统200中的恢复代码106执行以从存储介质102恢复数据,其中恢复的数据通过网络118被发送到恢复目的地120。计算机系统200还包括芯片集204以及网络接口 206以允许计算机系统200通过网络118进行通信。 图3是根据实施例的处理的流程图。图3的处理可以由恢复代码106执行,不管是在电子设备的处理器114上执行还是在计算机系统200的处理器202上执行。在替换实施例中,代替在存储介质102上的恢复代码106的控制下执行恢复过程,芯片集110 (在图IA的实施例中)或专用处理器150 (在图IB的实施例中)可以是执行恢复过程的那个。更一般而言,恢复过程可以由恢复机构来执行,该恢复机构可以是纯硬件、硬件加软件、或硬件加固件。在图3中,恢复过程检测(在302处)包含存储介质102的电子设备100的篡改。例如,如果电子设备100被篡改,那么可以在存储介质102中设置篡改指示符108,从而使得该篡改指示符可以在之后用于篡改检测。响应于检测到篡改,在某些实施方式中,恢复过程可以将特定数据存储(在303处)到隐藏区域或安全区域内。在隐藏区域或安全区域中的数据可以在之后被传送到恢复位置。恢复过程还接收(在304处)与存储介质102上的数据104的类型的优先顺序排列相关的信息以恢复。当电子设备100或计算机系统200通过网络118建立网络连接时,可以从恢复服务器122 (或另一远程位置)接收所述信息。该数据类型优先顺序排列信息可以由恢复服务器122推送到电子设备100或计算机系统200,或该数据类型优先顺序排列信息可以由恢复过程来请求(获得)。替换地,数据类型优先顺序排列信息可以被本地地预存储在存储介质102中,从而使得可以从存储介质102本地地检索该数据类型优先顺序排列信息。可以在使用之前的恢复过程期间更新本地地预存储的优先顺序排列信息。恢复过程检测(在306处)在网络118上建立的网络连接。注意的是,在其中从远程位置接收数据类型优先顺序排列信息的实施例中,在接收数据类型优先顺序排列信息之前首先执行所建立的网络连接的检测(306)。在检测到所建立的网络连接时,恢复过程按照根据数据类型优先顺序排列信息的顺序将数据发送(在308处)到恢复目的地120。在不同的实施例中,代替存储介质102中的数据104被推送到恢复目的地120,可以由恢复目的地120的计算机服务器122从存储介质102获得数据104。
在替换实施例中,代替检测在网络118上建立的网络连接,恢复过程可以检测另一类型的通信链路,诸如到另一具有所建立的网络连接的电子设备的链路。在这样的情境中,通过该另一个电子设备路由将要被传送到恢复目的地120的数据。图4是根据某些实施例的、与将数据发送到恢复目的地120有关的细节的流程图。恢复过程可以确定(在402处)对于存储介质102中的数据而言数据备份是否可用。如果可用,那么恢复过程(在404处)与备份服务134交互(图I或2)以识别已经在备份系统132处被备份的数据104的一部分。不必从存储介质102中恢复已经被备份的任何数据部分。在不同的实施方式中,如果先前曾获得备份信息,那么就不必执行与备份服务134的交互。然后,恢复程序识别(在406处)已经被指定为要发送到目的地的数据104的剩余部分,其中所识别的数据不同于已经被备份的数据部分。被发送到恢复目的地120的数据因此可以是存储介质102上的数据104的全部,数据104的某指定的部分,或尚未被备份的数据104的一部分。
在数据的发送期间,恢复过程能够检测(在408处)网络连接(或其它通信链路)的缺失。例如,如果电子设备100或计算机系统200使用无线网络连接(或其它通信链路),则用户可能已经移动到无线覆盖区域之外了。替换地,在所有的指定数据被从存储介质102恢复到恢复目的地120之前,用户可能已经关闭了电子设备100或计算机系统200(或将电子设备100或计算机系统200置于休眠或待机状态中)。在检测到网络连接(或其它通信链路)的缺失时,恢复过程记录(在410处)已经被发送到恢复目的地120的数据的子集。在检测到另一网络连接(或其它通信链路)的建立之后,恢复过程继续(在412处)将剩余数据发送到恢复目的地120 (直接地或间接地)。在某些实施例中,可能的是,因篡改检测而锁定存储介质102,从而使得仅可以由电子设备100的所有者或具有适当权限的服务来执行访问。这是用来阻止(由诸如未授权的人或应用之类的访问者)未授权访问存储介质102的内容。同样地,当数据部分被恢复并且被发送到恢复目的地120时,可以删除(清除)存储介质120上的此类数据部分,从而使得该数据部分不再可用。在某些实施方式中,即使存储介质120被重新格式化或数据104被删除,该存储介质102上的数据的恢复也是可能的。在该情境中,数据104 (或数据104的某部分)的恢复仍然是可能的,因为该数据可能仍然常驻在存储介质104上。通过采用本发明的某些实施例,其电子设备已经被篡改的用户仍然可以恢复电子设备的存储介质中的数据。在许多实例中,用户的数据对于用户而言比电子设备本身更有价值。此外,通过对被恢复的数据进行优先顺序排列,首先恢复最重要(从用户的视角来看)的数据。加载上述软件指令(包括图IA或IB的恢复代码106)以用于在处理器(诸如图1A、IB或2中的处理器114、150或120)上执行。处理器可以包括一个或多个微处理器、微控制器、处理器模块或子系统(包括一个或多个微处理器或微控制器)、或其它控制或计算设备。处理器还可以包括其它类型的硬件设备。如在这里使用的那样,“处理器”可以指代单个部件或复数的部件(例如,一个CPU或多个CPU)。数据和(软件的)指令被存储在相应的存储设备中,其被实现为一个或多个计算机可读的或计算机可用的存储媒介。存储媒介包括不同形式的存储器,包括半导体存储设备,诸如动态或静态随机存取存储器(DRAM或SRAM)、可擦除的和可编程的只读存储器(EPROM)、电可擦除的和可编程的只读存储器(EEPROM)以及闪速存储器;磁盘,诸如固定盘、软盘以及可移动盘;包括磁带的其它磁媒介;以及光媒介,诸如致密盘(CD)或数字视频盘(DVD)。注意的是,以上讨论的软件指令可以被提供在一个计算机可读的或计算机可用的存储介质上,或替换地,可以被提供在分布在具有可能的复数个节点的大型系统中的多个计算机可读的或计算机可用的存储介质上。此类计算机可读的或计算机可用的存储介质或媒介被认为是物品(或制品)的一部分。物品或制品可以指代任何制成的单个部件或多个部件。在上述描述中,许多细节被阐述以提供对本发明的理解。然而,本领域的技术人员将理解的是,本发明可以在没有这些细节的情况下实现。虽然已经针对有限数量的实施例公开了该发明,但是本领域的技术人员将了解由此而来的许多修改和变化。意图是所附的 权利要求覆盖该修改和变化如同落入该发明的真正精神和范围之内。
权利要求
1.一种恢复数据的方法,包括 检测(302)电子设备(100)的篡改,所述电子设备(100)将数据存储在该电子设备的存储介质(102)中, 由处理器在执行恢复过程中接收(304)与所述数据的类型的优先顺序排列相关的信息, 由所述处理器在执行所述恢复过程中检测(306)通信链路;以及由所述处理器在执行所述恢复过程中通过所述用于传送的通信链路将所述数据发送(308)至恢复目的地,其中按照根据与所述数据的所述类型的优先顺序排列相关的所述信息的顺序发送所述数据。
2.根据权利要求I所述的方法,其中,检测所述篡改包括检测下述中的任何一个或多个 所述存储介质从所述电子设备的移除; 将所述电子设备附着到特定位置的锁定机构的移除; 所述电子设备中的软件篡改; 超出特定物理区域的所述电子设备的移动; 将通知发送至所述电子设备以指示所述电子设备已经被危及或被盗;以及 所述电子设备中的至少一部分已经在没有充分授权或认证的情况下被打开。
3.根据权利要求I所述的方法,进ー步包括 在完成到所述目的地的所述数据的传送之前,检测所述通信链路的缺失; 记录已经被发送的所述数据的子集的标识; 在检测到另ー个通信链路的建立之后,继续发送除了所述子集的所述数据的剰余部分。
4.根据权利要求I所述的方法,进ー步包括 响应于检测到所述电子设备的篡改,首先将所述数据中的至少ー些数据存储在受保护区域中, 其中发送所述数据包括发送来自所述受保护区域的所述数据中的所述至少ー些数据。
5.根据权利要求I所述的方法,进ー步包括 响应于检测到所述电子设备的篡改,自动地激活所述通信链路,其中检测所述通信链路是在激活所述通信链路之后。
6.根据权利要求I所述的方法,其中检测所述通信链路包括下述中的ー个 检测通过网络的网络连接;以及 检测与第二电子设备的链路。
7.根据权利要求I所述的方法,进ー步包括 访问由数据备份服务提供的或在所述电子设备中本地地提供的备份信息以确定已经被备份的所述数据的一部分, 其中将所述数据发送到所述恢复目的地包括发送尚未被备份的所述数据。
8.根据权利要求I所述的方法,进ー步包括 锁定所述存储介质,从而使得未授权的访问者不能访问所述存储介质上的所述数据。
9.根据权利要求I所述的方法,进ー步包括通过将指示符存储在所述存储介质的隐藏区域中来将所述存储介质标记为正在被篡改,其中检测所述篡改是基于所述指示符的。
10.根据权利要求I所述的方法,其中,执行所述恢复过程的所述处理器处于所述电子设备和不同于所述电子设备的系统中的ー个中。
11.ー种物品,其包括至少ー个存储指令的存储介质,在执行时所述指令使得处理器执行根据权利要求1-10中任何ー个的方法。
12.—种系统,包括 存储介质(102),其用于存储数据;以及 恢复机构(114、106、150、110、202),其被配置成 检测电子设备的篡改,其中所述存储介质被定位或曾被定位; 确定所述数据将按照其被传送到恢复位置的顺序; 检测所述系统和另一位置之间的通信链路;以及 响应于检测到所述通信链路,通过用于通信的所述通信链路将所述数据发送到所述恢复位置。
13.根据权利要求12所述的系统,其中,所述系统包括所述电子设备或不同于所述电子设备的计算机系统。
14.根据权利要求12所述的系统,其中基干与所述数据的类型的优先顺序排列相关的信息来确定所述数据将按照其被传送的顺序。
15.根据权利要求12所述的系统,其中,所述恢复机构被配置成通过所述通信链路将所述数据发送到所述恢复位置或到另ー电子设备,该另一电子设备又使得所述数据传送到所述恢复位置。
全文摘要
为了恢复数据,检测电子设备的篡改,所述电子设备将数据存储在所述电子设备的存储介质中。恢复过程接收与所述数据的类型的优先顺序排列相关的信息,并且所述恢复过程检测通信链路。所述恢复过程通过用于传送的所述通信链路将所述数据发送至恢复目的地,其中按照根据与所述数据的所述类型的优先顺序排列相关的所述信息的顺序发送所述数据。
文档编号G06F15/16GK102687135SQ201080061396
公开日2012年9月19日 申请日期2010年1月14日 优先权日2010年1月14日
发明者C.A.沃尔拉思 申请人:惠普发展公司,有限责任合伙企业