文件系统126可对其删除操作排定优先级W使得 具有相对较高敏感度等级的数据将在具有相对较低敏感度等级的数据之前被删除。第二文 件系统126还可基于被DH?选择器118和/或DH?选择器144指派给它的数据保护响应来对敏 感数据分组。例如,第二文件系统126可将要被硬删除的敏感数据与要被软删除的敏感数据 分开地存储W促进其高效删除。作为另一示例,第二文件系统126可将要被删除的敏感数据 与要被隐藏的敏感数据分开地存储。
[0054] 图3进一步解说了计算设备102可如何操作W将类似敏感度的数据分组在同一存 储器区域中。具体而言,图3是根据一实施例的用于将计算设备的两个文件系统的第一文件 系统管理的存储器区域中的非敏感数据分组的方法的流程图300。流程图300的方法例如可 由如上面参考图1讨论的计算设备102的数据保护管理组件136、第一文件系统124和第二文 件系统126来执行。相应地,现在将继续参考图1的运些组件来描述流程图300的方法。然而, 该方法不限于该实现。
[0055] 如图3中所示,流程图300的方法开始于步骤302,其中数据保护管理组件136确定 与第二数据相关联的数据类型已经被从敏感改变为非敏感。第二数据可包括例如一个或多 个文件或文件夹。此步骤例如可在用户与DS选择器116或DS选择器142交互W将与一个或多 个所选文件或文件夹相关联的敏感度等级从敏感改变为非敏感时进行。
[0056] 在步骤304,响应于数据类型被从非敏感改变为敏感,第二数据被从第二存储器区 域130移动到第一存储器区域128。此步骤可由第一文件系统124和第二文件系统126响应于 从DS选择器116或DS选择器142接收的信息来执行。例如,响应于从DS选择器116或DS选择器 142接收的指示出与第二数据相关联的敏感度等级已被从敏感改变为非敏感的信息,第二 文件系统126可从第二存储器区域130检索第二数据的副本并将第二数据的副本提供给第 一文件系统124且第一文件系统124可将第二数据的副本存储在第一存储器区域128中。第 二文件系统126随后可从第二存储器区域130删除第二数据。在一实施例中,第二文件系统 126可在将第二数据的副本提供到第一文件系统124之前将其解密。此过程具有将所有非敏 感数据一起存储在第一存储器区域128内的有益效果,其中其可由第一文件系统128排他地 管理。
[0057] 在流程图200和300的前述方法中,基于与数据相关联的敏感度等级的所检测到的 变化,数据被从第一存储器区域128移动到第二存储器区域130或反过来。然而,敏感度等级 也可在文件或文件夹被保存到存储138之前被指派到该文件或文件夹。在运种情况下,初始 被指定为非敏感的数据将被第一文件系统124存储在第一存储器区域128中且初始被指定 为敏感的数据将被初始存储在第二存储器区域130中。在一个实施例中,用户没有对其提供 敏感度等级指定的数据将被假定为非敏感并被第一文件系统124存储在第一存储器区域 128 中。
[0058] 图4是解说可如何使用第一文件系统124和第二文件系统126来在计算设备102的 第一操作模式中处理数据请求的框图400,第一操作模式是其中数据保护尚未被数据保护 实施器112激活的模式。
[0059] 如图4中所示,该过程开始于第一文件系统124接收数据请求。运种数据请求可从 在计算设备102上执行的另一进程(诸如用户和系统进程132之一)接收。运种数据请求可请 求或指定特定数据(例如,一个或多个文件或文件夹)被返回,其中运种数据可包括非敏感 数据和敏感数据中的一者或多者。如果非敏感数据被数据请求指定,则第一文件系统124从 第一存储器区域128检索该非敏感数据,如图4中所示。
[0060] 同样如图4中所示,第一文件系统124将该数据请求转发给第二文件系统126。响应 于接收到该数据请求,第二文件系统126确定该数据请求是否指定任何敏感数据(即,敏感 数据是否必须被返回W满足该数据请求)。如果敏感数据被该数据请求指定,则第二文件系 统126从第二存储器区域130检索敏感数据并随后将所检索的敏感数据返回给第一文件系 统124。从第二存储器区域130检索敏感数据可包括如果敏感数据被W加密形式存储则解密 该敏感数据。
[0061] 第一文件系统124随后将由该数据请求指定的从第一存储器区域128检索的任何 非敏感数据与由该数据请求指定的从第二文件系统126获得的任何敏感数据组合并将所得 到的数据返回给发送原始数据请求的进程,如在图4中进一步示出的。
[0062] 在图4中解说的实施例中,第一文件系统124将原始数据请求的副本转发给第二文 件系统126。然而,可W使用替换方法。例如,如果第一文件系统124确定该数据请求指定了 第一文件系统124自己不能从第一存储器区域128检索到的数据(诸如存储在第二存储器区 域130中的敏感数据)时,第一文件系统124可仅将该数据请求转发到第二文件系统126而 且,被从第一文件系统124发送到第二文件系统126的数据请求可W不是第一文件系统124 最初接收的同一数据请求。例如,文件系统124可创建与原始数据请求在形式和/或实质上 不同的第二数据请求来发送给第二文件系统124。
[0063] 图5是解说可如何使用第一文件系统124和第二文件系统126来在计算设备102的 第二操作模式中处理数据请求并删除敏感数据的框图500,第二操作模式是其中数据保护 已被数据保护实施器112激活的模式。
[0064] 如图5中所示,该过程开始于第一文件系统124接收数据请求。运种数据请求可从 在计算设备102上执行的另一进程(诸如用户和系统进程132之一)接收。运种数据请求可请 求或指定特定数据(例如,一个或多个文件或文件夹)被返回,其中运种数据可包括非敏感 数据和敏感数据中的一者或多者。如果非敏感数据被数据请求指定,则第一文件系统124从 第一存储器区域128检索该非敏感数据并将非敏感数据返回给发送该数据请求的进程,如 图5中所示。
[0065] 同样如图5中所示,第一文件系统124和第二文件系统126之间的通信已在第二操 作模式中禁用。运可例如通过在第二操作模式期间将第二文件系统126编程为忽略从第一 文件系统124接收的任何数据请求来实现。运还可例如通过在第二操作模式期间将第一文 件系统124编程为不将任何数据请求发送给第二文件系统126来实现。又一些其它技术可被 用来在第二操作模式期间禁用数据请求在第一文件系统124和第二文件系统126之间的传 递。作为禁用此传递的结果,在第二操作模式期间,第一文件系统124不可能响应于数据请 求而返回敏感数据。
[0066] 同样如图5中所示,第二文件系统126操作W在第二操作模式期间删除存储在第二 存储器区域130中的敏感数据。例如,第二文件系统126可被编程W在第二操作模式被数据 保护实施器112激活之后尽可能快地删除存储在第二存储器区域130中的敏感数据。如同上 面指出的,在其中敏感数据可被指派不同敏感度等级的实施例中,第二文件系统126可操作 W在较低敏感度数据之前删除较高敏感度数据。
[0067] 如同前面还讨论过的,DPR选择器118或DPR选择器144可被用来将"硬删除"的数据 保护响应指派给存储在第二存储器区域130中的敏感数据。在其中敏感数据已被指定为硬 删除的情况下,第二文件系统126将按照确保使得该敏感数据或其主要部分永久不可访问 的方式删除该敏感数据。例如,在其中第二存储器区域130被实现在硬盘驱动器上的实施例 中,第二文件系统126可通过盖写被用来存储该敏感数据的所有扇区或通过随机盖写那些 扇区中的某一数量的扇区来硬删除该敏感数据。在其中第二存储器区域130被实现在固态 驱动器上的实施例中,第二文件系统126可通过使用安全删除实用程序(例如,由固态驱动 器制造商提供的安全删除实用程序)将该敏感数据从其永久擦除来硬删除该敏感数据。
[0068] DPR选择器118或DH?选择器144可被用来将"软删除"的数据保护响应指派给存储 在第二存储器区域130中的敏感数据。在其中敏感数据已被指定为软删除的情况下,第二文 件系统126将按照使得该敏感数据临时不可访问但可能能够在稍后的时间恢复的方式删除 该敏感数据。例如,在一实施例中,第二文件系统126可通过删除第二文件系统126用来管理 与一个或多个敏感文件的交互的一个或多个链接或文件指针来软删除该一个或多个敏感 文件。然而,运些文件的数据内容可能保持在第二存储器区域130中(至少达一定时间),尽 管该数据将对计算设备102上的任何文件系统都不可访问。
[0069] 然而,在删除链接或文件指针之前,第二文件系统126可将该文件指针的副本存储 到安全位置。例如,第二文件系统126可创建包括所删除链接或文件指针的备份副本的加密 文件并将该加密文件存储在存储138内的隐藏卷中或其它安全位置。在另一实施例中,第二 文件系统126可使得备份副本被完全地(例如,经由一个或多个网络)传送到另一设备W供 在其上的远程存储。因为备份副本被保存,所W恢复操作可稍后在计算设备102上执行,响 应于该恢复操作,备份副本可被访问和解密且该链接或文件指针可被还原到第二文件系统 126。第二文件系统126随后可使用所还原的链接或文件指针来访问先前被软删除的敏感数 据,只要该数据在此期间没有被盖写或W某种其它方式变得不可用。
[0070] 在一替换实施例中,不是在第二操作模式期间仅在删除该链接或文件指针之前创 建其副本,第二文件系统126可使得其使用的该链接或文件指针的备份副本在持续的基础 上被存储。例如,每当对存储在第二存储器区域130中的文件中的一个或多个有改变时,第 二文件系统126可使得与运些文件相关联的链接或文件指针的备份副本被存储到安全位 置,其可在计算设备102、服务器104或计算设备102可与其通信链接的某个其它远程实体 上。此方法可被用于避免必须紧接在作为软删除操作的一部分删除链接或文件指针之前创 建该链接或文件指针的备份副本,从而允许敏感数据被更快地保护。
[0071] 在一进一步实施例中,DPR选择器118或DPR选择器144可被用来将"隐藏"的数据保 护响应指派给存储在第二存储器区域130中的敏感数据。在其中敏感数据已被指定为隐藏 的情况下,第二文件系统126将不硬删除或软删除该敏感数据。然而,通过在第二操作模式 期间禁用第一文件系统124和第二文件系统126之间的通信(如同上面讨论的),该敏感数据 将不会响应于第一文件系统124所接收的任何数据请求而被返回。从而,运样的敏感数据在 第二操作模式期间将实际上被隐藏。
[0072] 现在将参考图6-10进一步描述第一文件系统124和第二文件系统126所执行的操 作。具体而言,图6描绘一种方法的流程图600,通过该方法,计算设备的两个文件系统中的 第一文件系统操作W在计算设备的第一操作模式中处理数据请求,该第一操作模式是其中 数据保护尚未被激活的模式。流程图600的方法例如可由计算设备102的第一文件系统124 执行,并且从而该方法将继续参考图1中示出的实施例来描述。然而,该方法不限于该实施 例。
[0073] 如图6中所示,流程图600的方法开始于步骤602,其中第一文件系统124接收来自 另一进程的数据请求。该另一进程可W例如是用户或系统进程132之一。
[0074] 如在步骤604所示,当该数据请求指定非敏感数据时,第一文件系统124从第一存 储器区域128检索由该数据请求指定的非敏感数据。
[0075] 如在步骤606所示,当该数据请求指定敏感数据时,第一文件系统124与第二文件 系统126通信(例如,将原始数据请求或某种其