使用双文件系统的快速数据保护的制作方法
【专利说明】使用双文件系统的快速数据保护
[000。 背景
[0002] 越来越多的数据正被存储在设备特别是移动设备上。例如,人们可存储个人数据, 而员工可在其设备上存储公司数据、政府数据、与客户相关的数据、知识产权、和/或其它敏 感形式的数据。当设备丢失、被盗、或W某种其它方式被危害时,运种敏感数据被置于风险 中。
[0003] 为了解决运一问题,已经开发出用于保护设备上的敏感数据的技术。传统设备数 据保护技术通常依赖于某种形式的用户认证、加密、或其组合。例如,用户可设置其设备W 要求在可访问该设备上的数据之前输入特定的密码或PIN。此外,一些设备使得用户能够加 密存储于其上的文件或文件夹,运意味着在可查看或复制文件之前必须输入一代码。尽管 运些机制能够帮助保护敏感数据免于未授权访问,然而运些机制不是万无一失的。例如,如 果用户被迫违反她的意志交出她的密码,或者如果当设备仍处于活跃操作时被取走(即,在 用户已经输入她的密码后),则密码机制将失效。还有一些其它手段可被用来克服用户认证 和加密方案。一旦运些数据保护措施被克服,则通常没有办法来保护敏感数据免于未授权 访问。
[0004] 如果用户确定她在其设备可能被偷的地方,她或许能够采取积极的步骤来保护敏 感数据。例如,用户或许能够向其设备输入命令来从其设备中删除所有敏感数据。取决于场 景,对于保护用户的个人安全W及敏感数据,运可能是必要的。然而,在许多情形中,用户将 不能够预计到她的设备将被偷窃从而将不能采取运些步骤。即使在用户能预计到设备被偷 的情形中,用户手头可能没有足够的时间来与其设备交互来从其删除敏感数据。
[0005] 概述
[0006] 本文描述了一种计算设备,其利用两个文件系统来使得在该计算设备处于危险环 境或上下文中、已变得易于或经受到未授权访问、或当数据保护因其它原因已经被激活时 存储在该计算设备上的敏感数据能够被自动、快速且分开地被隐藏或删除。本文中还描述 了相关联的系统、方法和计算机程序产品。
[0007] 提供本概述W便W简化的形式介绍W下在详细描述中进一步描述的一些概念。本 概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护 主题的范围。此外,注意到所要求保护的主题不限于在详细描述和/或本文的其它章节中所 述的特定实施例。本文呈现运些实施例仅用于说明性的用途。基于本文所包含的描述,其它 实施例对于相关领域的技术人员将是显而易见的。
【附图说明】
[000引合并在此并作为说明书一部分的附图与说明书一起示出了本发明的实施例,且进 一步用于解释本发明的原理的作用,并且使相关领域的技术人员能够实现并使用本发明。
[0009] 图1是示例系统的框图,该系统包括计算设备,该计算设备利用两个文件系统来在 数据保护被激活时自动、快速且分开地隐藏或删除存储在该计算设备上的敏感数据。
[0010] 图2是根据一实施例的用于将由计算设备的两个文件系统的第二文件系统管理的 存储器区域中的敏感数据分组的方法的流程图。
[0011] 图3是根据一实施例的用于将由计算设备的两个文件系统的第一文件系统管理的 存储器区域中的非敏感数据分组的方法的流程图。
[0012] 图4是解说在计算设备的第一操作模式中如何使用双文件系统来处理数据请求的 框图,该第一操作模式是其中数据保护尚未被激活的模式。
[0013] 图5是解说在计算设备的第二操作模式中如何使用双文件系统来处理数据请求并 删除敏感数据的框图,该第二操作模式是其中数据保护已被激活的模式。
[0014] 图6是一种方法的流程图,通过该方法,计算设备的两个文件系统中的第一文件系 统操作W在计算设备的第一操作模式中处理数据请求,该第一操作模式是其中数据保护尚 未被激活的模式。
[0015] 图7是一种方法的流程图,通过该方法,计算设备的两个文件系统中的第二文件系 统操作W在计算设备的第一操作模式中处理数据请求,该第一操作模式是其中数据保护尚 未被激活的模式。
[0016] 图8是一种方法的流程图,通过该方法,计算设备的两个文件系统中的第一文件系 统操作W在计算设备的第二操作模式中处理数据请求,该第二操作模式是其中数据保护已 被激活的模式。
[0017] 图9是一种方法的流程图,通过该方法,计算设备的两个文件系统中的第二文件系 统操作W在计算设备的第二操作模式中忽略数据请求并删除敏感数据,该第二操作模式是 其中数据保护已被激活的模式。
[0018] 图10是一种方法的流程图,通过该方法,计算设备的两个文件系统中的第二文件 系统操作W在计算设备的第二操作模式中软删除敏感数据并随后恢复被软删除的数据,该 第二操作模式是其中数据保护已被激活的模式。
[0019] 图11是可用于实现本文描述的各实施例的示例移动设备的框图。
[0020] 图12是可用于实现本文描述的各实施例的示例基于处理器的计算机系统的框图。
[0021] 当结合其中相同的附图标记标识对应的元素的附图时,本发明的特征和优点将从 W下阐述的详细描述中变得更加显而易见。在附图中,相同的参考标号一般指相同的、功能 上相似的和/或结构上相似的元素。其中元素第一次出现的附图由对应的参考标号中最左 侧的数字指示。
[0022] 详细描述
[0023] I.引言
[0024] W下详细描述参考示出本发明的示例性实施例的附图。但是,本发明的范围不限 于运些实施例,而是由所附权利要求书定义。因此,诸如所示实施例的修改版本之类的在附 图所示之外的实施例仍然由本发明所包含。
[0025] 本说明书中对"一个实施例"、"实施例"、"示例实施例"等的引用指的是所述实施 例可包括特定的特征、结构或特点,但是每一实施例不一定包括该特定的特征、结构或特 点。此外,运些短语不一定指相同的实施例。此外,当结合实施例描述具体特征、结构或特性 时,应当理解在相关领域的技术人员的知识范围内能够结合其他实施例来实现具体特征、 结构或特性,无论是否被显式地描述。
[0026] 本文描述了一种计算设备,其利用两个文件系统来使得在该计算设备处于危险环 境或上下文中、已变得易于或经受到未授权访问、或当数据保护因其它原因已经被激活时 存储在该计算设备上的敏感数据能够被自动、快速且分开地被隐藏或删除。在各实施例中, 该计算设备上的第一文件系统管理存储非敏感数据的第一存储器区域,而该计算设备上的 第二文件系统管理存储敏感数据的第二存储器区域。仅该第一文件系统操作W接收来自该 计算设备上执行的其它进程(例如,用户和系统进程)的数据请求。
[0027] 在第一操作模式(例如,其中数据保护尚未被激活的操作模式)期间,第一文件系 统通过从第一存储器区域中检索所接收的数据请求所指定的任何非敏感数据来服务该数 据请求。第一文件系统还将数据请求转发到第二文件系统。如果该数据请求中指定任何敏 感数据,则第二文件系统将从第二存储器区域检索该敏感数据(在其中敏感数据被加密的 实施例中其可包括解密敏感数据)并将其返回给第一文件系统。第一文件系统随后组合任 何检索的非敏感和敏感数据并将其返回给请求方进程。从而,在第一操作模式期间,该计算 设备的用户能够访问非敏感和敏感数据两者。
[0028] 在第二操作模式(例如,其中数据保护已经被激活的操作模式)期间,第一文件系 统通过仅从第一存储器区域中检索从其它进程接收的数据请求所指定的任何非敏感数据 来服务该数据请求。第一文件系统将不把数据请求转发给第二文件系统,或替换地,第二文 件系统将忽略从第一文件系统转发的任何数据请求。在第二操作模式期间,第二文件系统 可自动删除存储在第二存储器区域中的敏感数据。如本文将讨论的,运种删除可包括"硬删 除",其中敏感数据被盖写或W其它方式变得永久不可访问,和/或"软删除",其中指向敏感 文件的链接或指针被删除但是稍后可从安全存储中被恢复。从而,在第二操作模式期间,自 动使得敏感数据对该计算设备的用户不可访问。因为第一文件系统仍旧操作W返回非敏感 数据,所W第二数据的删除可按照对该计算设备的用户而言可能不明显的方式来实现,对 该用户而言,该设备看上去仍正常工作。
[0029] 在一进一步实施例中,在第二操作模式期间,第二文件系统将不删除至少部分敏 感数据。然而,因为第一文件系统不把数据请求转发给第二文件系统或因为第二文件系统 忽略从第一文件系统接收的任何数据请求,没有被删除的敏感数据将仍旧不会响应于第一 文件系统接收的任何数据请求而被从存储中检索。从而,根据此实施例,敏感数据可被隐藏 但不删除。
[0030] 在各实施例中,不同敏感度等级的数据被存储在不同存储器区域中,诸如不同磁 盘、分区等。例如,如同上面提及的,非敏感数据可被存储在第一存储器区域中而敏感数据 可被存储在第二存储器区域中。而且,敏感数据可被分类为不同类别(例如,基于敏感度或 删除方式)并分别存储在相应的存储器区域中。在给定存储器区域内,类似敏感度等级的数 据可被紧邻地分组在一起W促进其快速删除。例如,在该存储器区域是在硬盘驱动器上实 现的情况下,类似敏感度等级的数据可被紧邻地存储在硬盘轨道上。而且,管理敏感数据的 第二文件系统可间歇地(例如周期性地)对敏感数据分组执行碎片整理操作W确保运种数 据被存储在尽可能少的邮连区域中W促进数据保护被激活时的快速删除。
[0031 ]前述特征使得该计算设备能够在数据保护被激活时自动、快速且分开地隐藏或删 除该计算设备存储的敏感数据。运样的数据保护例如可在上下文触发器被该计算设备检测 到时被激活。运样的上下文触发器可指示例如该计算设备处于危险环境中或已变得易于或 经受未授权访问。通过在运些情形下自动、快速和分开地隐藏或删除敏感数据,本文描述的 实施例可有效地保护存储在该计算设备上的敏感数据W及该设备的用户或所有者的个人 安全。
[0032] 第II节描述了一种示例数据保护环境,该环境包括一种计算设备,该计算设备利 用两个文件系统来在数据保护被激活时自动、快速且分开地隐藏或删除存储在该计算设备 上的敏感数据。第III节描述了该计算设备的操作的示例性方法。第IV节描述了该计算设备 的示例移动设备实现。第V节描述了该计算设备的示例台式计算机实现。第VI节描述了一些 附加示例性实施例。第Vn节提供一些总结性评述。
[0033] II.使用双文件系统提供快速数据保护的示例计算设备
[0034] 图1是数据保护环境100的框图,该数据保护环境包括计算设备102,该计算设备利 用两个文件系统来在数据保护被激活时自动、快速且分开地隐藏或删除存储在该计算设备 102上的敏感数据。如图1中所示,数据保护环境100包括计算设备102和通过网络106通信地 禪合到该计算设备的服务器104。计算设备102包括数据保护管理组件136、用户和系统进程 132、第一文件系统124、第二文件系统126、W及存储138。数据保护管理组件136包括用户接 口模块108、上下文触发器监视器110、W及数据保护实施器(enactor)112。而且,服务器104 包括用户接口模块140。环境100的特征被描述成如下。
[0035] 如图1中所示,数据保护管理组件136是在计算设备102中实现的。在另一实施例 中,数据保护管理组件136可部分在计算设备102中且部分在服务器104中实现。例如,用户 接口模块108、上下文触发器监视器110、W及数据保护实施器112可被包括在计算设备102 中。替换地,用户接口模块108可不存在于计算设备102中,而是,服务器104的用户接口