它数据请求转发给第二文件系统126) W使得 第二文件系统126从第二存储器区域130检索由该数据请求所指定的敏感数据并将所检索 的敏感数据返回给第一文件系统124。
[0076] 在步骤608,第一文件系统124将在步骤604期间从第一存储器区域128检索的任何 非敏感数据和作为在步骤606期间进行的任何通信的结果由第二文件系统126返回的任何 敏感数据相组合并将经组合的数据返回给在步骤602期间从其接收数据请求的进程。
[0077] 图7是一种方法的流程图,通过该方法,计算设备的两个文件系统中的第二文件系 统操作W在计算设备的第一操作模式中处理数据请求,该第一操作模式是其中数据保护尚 未被激活的模式。流程图700的方法例如可由计算设备102的第二文件系统126执行,并且从 而该方法将继续参考图1中示出的实施例来描述。然而,该方法不限于该实施例。
[0078] 如图7中所示,流程图700的方法开始于步骤702,其中第二文件系统126接收来自 第一文件系统124的数据请求。该数据请求可W是由第一文件系统124从另一进程接收的数 据请求的被转发的副本,或者可W是由第一文件系统124所生成的数据请求。
[0079] 在步骤704,第二文件系统126从第二存储器区域130检索在步骤702期间接收的数 据请求所指定的任何敏感数据并将其返回给第一文件系统124。如果该敏感数据是W加密 形式存储在第二存储器区域130中的,则此步骤可包括在将该敏感数据返回给第一文件系 统124之前由第二文件系统126解密该敏感数据。
[0080] 图8是一种方法的流程图,通过该方法,计算设备的两个文件系统中的第一文件系 统操作W在计算设备的第二操作模式中处理数据请求,该第二操作模式是其中数据保护已 被激活的模式。流程图800的方法例如可由计算设备102的第一文件系统124执行,并且从而 该方法将继续参考图1中示出的实施例来描述。然而,该方法不限于该实施例。
[0081] 如图8中所示,流程图800的方法开始于步骤802,其中第一文件系统124接收来自 另一进程的数据请求。该另一进程可W例如是用户或系统进程132之一。
[0082] 在步骤804,第一文件系统124从第一存储器区域128检索由该数据请求所指定的 任何非敏感数据并将其返回给请求方进程。在一个实施例中,在第二操作模式期间,即使该 数据请求指定敏感数据,第一文件系统124不会向第二文件系统124转发该数据请求或发送 任何其它数据请求W获得该敏感数据。在另一实施例中,第一文件系统124在第二操作模式 期间会向第二文件系统124转发或发送该数据请求,但是第二文件系统124将忽略该请求。 因此,该请求所指定的敏感数据将不被返回。
[0083] 图9是一种方法的流程图900,通过该方法,计算设备的两个文件系统中的第二文 件系统操作W在计算设备的第二操作模式中忽略数据请求并删除敏感数据,该第二操作模 式是其中数据保护已被激活的模式。流程图900的方法例如可由计算设备102的第二文件系 统126执行,并且从而该方法将继续参考图1中示出的实施例来描述。然而,该方法不限于该 实施例。
[0084] 如图9中所示,流程图900的方法开始于步骤902,其中第二文件系统126停止对第 一文件系统124发送给它的数据请求做出响应。该步骤确保第二文件系统124不会将敏感数 据返回给第一文件系统124,并进而确保第一文件系统124不会在第二操作模式期间响应于 其所接收的数据请求而提供敏感数据。如同先前指出的,其它机制可被用于禁用从第一文 件系统124到第二文件系统126的数据请求流,包括将第一文件系统124编程为在第二操作 模式期间不向第二文件系统126发送数据请求。
[0085] 在步骤904,第二文件系统126软删除或硬删除存储在第二存储器区域130中的敏 感数据。如同先前讨论的,硬删除设及使得该敏感数据永久不可访问,而软删除设及使得数 据临时不可访问W使得其可在稍后时间被恢复。在一个实施例中,第二文件系统126被配置 成硬删除存储在第二存储器区域130中的所有敏感数据。在另一实施例中,第二文件系统 126被配置成软删除存储在第二存储器区域130中的所有敏感数据。在又一实施例中,第二 文件系统126将基于诸如由DPR选择器118或DH?选择器144向其指派的数据保护响应来选择 性地硬删除或软删除敏感数据的项(例如,敏感数据的文件或文件夹)。运种数据保护响应 将与该数据显式关联(例如,通过被存储为与该数据相关联的安全属性元数据)或可与其隐 式关联(例如,通过被存储在专用于被指定为软删除的敏感数据的存储器区域中或在专用 于被指定为硬删除的敏感数据的存储器区域中)。
[0086] 在另一实施例中,第二文件系统124被配置成隐藏存储在第二存储器区域130中的 敏感数据的至少一部分。当要隐藏敏感数据时,第二文件系统126不硬删除或软删除该敏感 数据。然而,第一文件系统124和第二文件系统126之间的通信的打断将确保不会响应于第 一文件系统124所接收的任何数据请求而提供该敏感数据。
[0087] 图10是一种方法的流程图1000,通过该方法,计算设备的两个文件系统中的第二 文件系统操作W在计算设备的第二操作模式中软删除敏感数据并随后恢复被软删除的数 据,该第二操作模式是其中数据保护已被激活的模式。流程图1000的方法例如可由计算设 备102的第二文件系统126执行,并且从而该方法将继续参考图1中示出的实施例来描述。然 而,该方法不限于该实施例。
[0088] 如图10中所示,流程图1000的方法开始于步骤1002,其中第二文件系统126创建被 第二文件系统126用于管理与存储在第二存储器区域130中的敏感文件的交互的链接或文 件指针的安全备份副本。例如,第二文件系统126可创建包括该链接或文件指针的备份副本 的加密文件并将该加密文件存储在存储138内的隐藏卷中或其它安全位置。在另一实施例 中,第二文件系统126可使得备份副本被完全地(例如,经由一个或多个网络)传送到另一设 备W供在其上的远程存储。
[0089] 在步骤1004,第二文件系统126删除该链接或文件指针。然而,与运些链接或文件 指针相关联的文件的数据内容可保持在第二存储器区域130中至少达一定时间,尽管该数 据将对计算设备102上的任何文件系统都不可访问。
[0090] 在步骤1006,第二文件系统126响应于恢复操作的发起从安全备份副本还原该链 接或文件指针。在一实施例中,第二文件系统126通过访问该备份副本、解密其中存储的链 接或文件指针(如果其被加密)、并将运些链接或文件指针还原到其中第二文件系统126可 用其访问存储在第二存储器区域130中的敏感文件的状态。第二文件系统126随后可使用所 还原的链接或文件指针来访问先前被软删除的敏感数据,只要该数据没有同时被盖写或W 某种其它方式变得不可用。
[0091] IV.示例移动设备实现
[0092] 图11是可被用于实现上面参考图1描述的最终用户计算设备102的示例性移动设 备1102的框图。如图11中所示,移动设备1102包括各种可选的硬件或软件组件。移动设备 1102中的任何组件可与任何其他组件通信,但出于容易例示的目的而未示出所有连接。该 移动设备1102可W是各种计算设备(例如,蜂窝电话、智能电话、手持式计算机、个人数字助 理(PDA)等)中的任一个,并且可允许与诸如蜂窝或卫星网络的一个或多个移动通信网络 1104或与局域网或广域网进行无线双向通信。
[0093] 所示移动设备1102可包括用于执行如信号编码、数据处理、输入/输出处理、电源 控制和/或其他功能等任务的控制器或处理器1110(例如,信号处理器、微处理器、ASIC、或 其他控制和处理逻辑电路)。操作系统1112可控制对移动设备1102的各组件的分配和使用, 并支持一个或多个应用程序1114(也称为"应用"或"app")。应用程序1114可包括公共移动 计算应用(例如,电子邮件、日历、联系人、Web浏览器和消息收发应用)、W及任何其他计算 应用(例如字处理应用、映射应用、W及媒体播放器应用)。在一个实施例中,操作系统1112 或应用程序1114包括上面参考图1描述的数据保护管理组件136、第一文件系统124和第二 文件系统126。
[0094]所示移动设备1102可包括存储器1120。存储器1120可包括不可移动存储器1122 和/或可移动存储器1124。不可移动存储器1122可包括RAM、R0M、闪存、硬盘、或其他众所周 知的存储器设备或技术。可移动存储器(1124)可包括闪存或在GSM通信系统中公知的用户 身份模块(SIM)卡,或者诸如"智能卡"之类的其他公知存储器设备或技术。存储器1120可用 于存储数据和/或用于运行操作系统1112和应用1114的代码。示例数据可包括经由一个或 多个有线或无线网络发送给和/或接收自一个或多个网络服务器或其它设备的网页、文本、 图像、声音文件、视频数据、或其它数据。存储器1120可用于存储诸如国际移动订户身份 (IMSI)等订户标识符,W及诸如国际移动设备标识符(IMEI)等设备标识符。可将此类标识 符传送给网络服务器W标识用户和设备。在一实施例中,存储器1120包括存储138,该存储 包括第一存储器区域128和第二存储器区域130。
[00巧]移动设备1102可支持诸如触摸屏1132、话筒1134、相机1136、物理键盘1138、和/或 跟踪球1140的一个或多个输入设备1130, W及诸如扬声器1152和显示器1154的一个或多个 输出设备1150。诸如触摸屏1132的触摸屏可W不同方式检测输入。例如,电容式触摸屏在物 体(例如,指尖)使流过表面的电流变形或中断时检测到触摸输入。作为另一示例,触摸屏可 使用光学传感器,在来自光学传感器的光束被中断时检测到触摸输入。对于通过某些触摸 屏被检测到的输入来说,与屏幕表面的物理接触并不是必需的。
[0096] 其他可能的输出设备(未示出)可包括压电或其他触觉输出设备。一些设备可提供 一个W上的输入/输出功能。例如,触摸屏1132和显示器1154可被组合在单个输入/输出设 备中。输入设备1130可包括自然用户界面(NUI)。
[0097] (诸)无线调制解调器1160可被禪合到(诸)天线(未示出),并可支持处理器1110和 外部设备之间的双向通信,如本领域中清楚理解的。(诸)调制解调器1160被一般性地示出, 并且可W包括用于与移动通信网络1104通信的蜂窝调制解调器1166和/或其它基于无线电 的调制解调器(例如蓝牙1164和/或Wi-Fi 1162)。无线调制解调器1160的至少之一通常被 配置用于与一个或多个蜂窝网络(诸如,用于在单个蜂窝网络内、蜂窝网络之间、或移动设 备与公共交换电话网络(PSTN)之间的数据和语音通信的GSM网络)进行通信。
[009引移动设备1102可进一步包括至少一个输入/输出端口 1180、电源1182、诸如全球定 位系统(GPS)接收机等卫星导航系统接收机1184、加速计1186( W及其它传感器,包括但不 限于罗盘和巧螺仪)和/或物理连接器1190,它可W是USB端口、I邸E 1394(火线)端口、和/ 或RS-232端口。移动设备1102的所示的组件并非是必需或者涵盖全部的,因为如本领域技 术人员所理解地,任何组件可被删除且其它组件可被添加。
[0099]在一实施例中,移动设备1102的某些组件被配置成执行归属于如前面的章节所述 的数据保护管理组件136、第一文件系统124和第二文件系统126的操作。用于执行如上所述 的运些组件的操作的计算机程序逻辑可被存储在存储器11