用于关机模式中的数据保护的系统的制作方法
【专利说明】用于关机模式中的数据保护的系统
[0001 ] 背景
[0002] 越来越多的数据被存储在设备上,尤其被存储在移动设备上。例如,人们可存储个 人数据,并且雇员可在他们的设备上存储公司数据、政府数据、客户相关数据、知识产权和/ 或其它敏感形式的数据。当设备丢失、被盗或以某种其它方式被损害时,这些敏感数据被置 于风险中。
[0003] 为了解决这个问题,已经开发了用于保护设备上的敏感数据的技术。传统的设备 数据保护技术通常依赖某种形式的用户认证、加密或其组合。例如,用户可设置她的设备来 在数据可在设备上被访问之前要求输入特定口令或PIN。附加地,一些设备使得用户能够对 存储在其上的文件或文件夹进行加密,这意味着必须在文件能被查看或复制之前输入密 码。虽然这样的机制能够帮助防止敏感数据受到未授权的访问,但是它们不是完全可靠的。 例如,如果用户被迫使在违反她意愿的情况下给出她的口令,或者如果设备在处于活动操 作时(即,在用户已经输入了她的口令之后)被拿走,则口令机制将没有效果。还有些其它方 式可被用于攻克用户认证和加密方案。一旦这些数据保护措施已经被攻克,则通常没有方 式来防止敏感数据受到未授权的访问。
[0004] 如果用户确定她处于她的设备很可能被盗的地方,则她可以能够采取主动步骤来 保护敏感数据。例如,用户可以能够将命令输入到设备来从设备中删除所有敏感数据。取决 于该场景,这可能对于保护用户的个人安全性以及敏感数据而言是必要的。然而,在许多情 况下,用户将不能够预料她的设备将被盗并由此不会采取这样的步骤。即使在用户能够预 料设备被盗的情况下,用户可能没有足够的处置时间来与她的设备交互以从设备中删除敏 感数据。
[0005] 概述
[0006] 提供本概述以便以简化形式介绍将在以下详细描述中进一步描述的一些概念。本 概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护 主题的范围。
[0007] 提供了用于即使在设备关机时也保护存储在设备上的数据的方法、系统和计算机 程序产品。该设备包括第一操作系统和安全模块。第一操作系统(0S)是该设备的主0S,在设 备通电处在"开机"模式中时管理计算机资源。安全模块与主操作系统分离,并被配置来监 视不希望的设备篡改。安全模块以硬件实现,该安全模块即使在设备关机时也起作用,并且 因此可即使是在设备关机时也保护数据免受未授权的访问。
[0008] 下面将参考各个附图,详细描述本发明的进一步特点和优点,以及本发明的各实 施例的结构和操作。值得注意的是,本发明不仅限于此处所描述的特定实施例。本文呈现这 些实施例仅用于说明性的用途。基于本文所包含的描述,其它实施例对于相关领域的技术 人员将是显而易见的。
【附图说明】
[0009] 结合到本说明书并构成本说明书的一部分的附图示出了本发明的各个实施例,且 与描述一起,进一步用于说明本发明的原理,并允许相关领域技术人员实施和使用这些实 施例。
[0010] 图1示出根据一示例实施例的包括被配置成保护存储在计算设备上的数据的数据 保护系统的数据保护环境的框图。
[0011] 图2示出提供根据一示例实施例的用于配置用于所存储的数据的保护的过程的流 程图。
[0012] 图3示出根据一示例实施例的用于选择用于数据的数据保护响应的过程。
[0013] 图4示出根据一示例实施例的作为可选数据保护响应列表的流程图。
[0014] 图5示出提供根据一示例实施例的用于监视与数据相关联的上下文触发来触发对 数据保护响应的执行的过程的流程图。
[0015] 图6示出根据一示例实施例的用于恢复根据软删除被删除的数据的过程。
[0016] 图7示出根据一示例实施例的用于将设备篡改分派给数据作为上下文触发的过 程。
[0017] 图8示出根据一示例实施例的被配置成将设备篡改用作针对数据保护的上下文触 发的数据保护系统的框图。
[0018] 图9示出了根据一示例实施例的用于执行安全模块的过程。
[0019] 图10示出提供根据一示例实施例的用于监视设备篡改以触发对数据保护响应的 执行的过程的流程图。
[0020] 图11示出提供根据一示例实施例的用于监视设备中的篡改传感器的各种过程的 流程图。
[0021 ]图12不出根据一不例实施例的合并有监视篡改的传感器的设备的一部分的截面 图。
[0022]图13A-13D示出根据各实施例的安全模块的各种示例实现。
[0023]图14示出其中可实现各个实施例的示例性用户设备的框图。
[0024]图15示出可被用来实现各个实施例的示例计算设备的框图。
[0025] 当结合其中相同的附图标记标识对应的元素的附图时,本发明的特征和优点将从 以下阐述的详细描述中变得更加显而易见。在附图中,相同的参考标号一般指相同的、功能 上相似的和/或结构上相似的元素。其中元素第一次出现的附图由对应的参考标号中最左 侧的数字指示。
[0026] 详细描述
[0027] I.介绍
[0028] 本说明书和附图公开了包括本发明的各特征的一个或多个实施例。本发明的范围 不限于所公开的实施例。所公开的实施例仅仅例示本发明,并且所公开的实施例的经修改 的版本也被本发明所构思。本发明的各实施例由附加的权利要求所限定。
[0029]说明书中对"一个实施例"、"一实施例"、"一示例实施例"等等的引用表示所描述 的实施例可包括特定特征、结构或特性,但是,每一个实施例可不必包括该特定特征、结构, 或特征。此外,这些短语不一定指相同的实施例。此外,当关于某一实施例描述特定特征、结 构或特性时,不管是否被明确描述,关于其他实施例来实现该特征、结构或特性被认为是在 本领域技术人员的知识范围内。
[0030] 以下描述多个示例性实施例。应当注意,在此提供的任何章节/子章节标题不旨在 限制。本文档中描述了各实施例,并且任何类型的实施例可被包括在任何章节/子章节下。 此外,在任何章节/子章节中公开的各实施例可与在相同章节/子章节和/或不同章节/子章 节中描述的任何其它实施例以任何方式组合。
[0031] 以下的章节II描述了包括实现上下文触发的数据保护的计算设备的示例性数据 保护环境。章节III描述了其中设备篡改是针对数据保护的上下文触发的示例性实施例。章 节IV描述了计算设备的示例移动和桌面设备实现。章节V提供一些示例实施例。章节VI提供 一些总结性评述。
[0032] II.针对上下文触发的数据保护的示例实施例
[0033] 本文中描述的各实施例以基于上下文的可配置且自动的方式来实现对存储在设 备上的数据的保护。基于上下文的数据保护使得用户能够设置策略来保护设备上的数据免 受不想要的访问,诸如在设备已经被盗的情况下、在设备正违背用户的意愿被使用(例如, 用户被迫使给出设备口令、设备在活动操作时被拿走等)的情况下、以及其它情况下。在检 测到有风险的外部上下文时,预先定义的动作被自动执行以保护数据,从而防止数据被损 坏。
[0034] 基于上下文的数据保护系统针对用户不小心或不情愿地授权的访问进行防护。当 有风险的上下文被标识时,数据被自动地保护来免于被损害。
[0035] 针对基于上下文的数据保护实施和执行架构的实施例被提供。实施架构可被用于 定义数据敏感性级别(例如,级别1、级别2等)、数据保护响应(例如,软删除、硬删除等)、风 险/触发上下文(上下文1、上下文2)、以及这些元素之间的映射(例如,级别1_>上下文1_>软 删除,其指示当上下文1被检测到时,级别1的内容要被软删除)。执行架构被配置成激活预 先定义的动作/响应以确保数据被保护。诸如"软删除"(隐藏数据)等动作可被还原,而"硬 删除"完全擦除数据而不具有用于数据还原的选项。
[0036] 在各实施例中,潜在的危险情况可能在设备的关机模式中发生。例如,当设备在关 机模式时,一个人可能企图打开设备来从设备移除一个或多个存储设备以访问存储其上的 数据。提供了用于自动检测该情况的技术。在一个实施例中,这种情况中数据安全的实施可 通过将芯片组(例如,附加处理器、0S等)形式的附加硬件包括在设备中以实现篡改检测来 完成。例如,低功耗、始终工作的集成电路芯片和第二0S可存在于该设备中以保护该设备免 遭存储移除。即使在设备的主0S关机时,一旦检测到设备硬件正被篡改,数据保护动作就由 第二、始终工作的0S执行。
[0037] 在一个示例实施例中,数据保护可被如下地配置来用于设备上的所选数据:设备 装备有以低功耗操作以便处理设备篡改的专用芯片组(一个或多个1C芯片)。该芯片组可包 括始终工作的第二0S。该0S与被安装在一个或多个设备位置处(诸如被附连到设备的外壳/ 物理容器、在设备外壳内的包围中、在设备中的存储框架处(例如,被附连到设备内的存储 框架的螺丝处))的传感器连接。在该始终工作的0S中,上下文设置可被配置。监视物理容器 的传感器被配置成设置可接受的打开设备的可接受的条件(例如,正确的螺旋打开次序)。 在主0S中,存储在设备中的要被保护的内容可连同用于触发数据保护的上下文和(诸)特定 的保护响应一起被选择。例如,可请求关于一个或多个文件/文件夹的数据保护请求以标记 出要保护的内容。(无论主0S是否开机)当第二0S检测到对物理容器的篡改时,第二0S就执 行预定数据保护响应/动作,其可包括内容的硬删除,使得被标记为敏感的数据可被自动删 除而无任何用于恢复的选项。
[0038]可在上下文触发被检测到的情况下采取各种可能的响应来保护数据。这样的数据 保护响应的示例包括以下中的一个或多个:硬删除,其中被标记为敏感的数据被自动地从 设备中删除,而不具有用于还原的选项;软删除,其中被标记为敏感的数据被操作系统(0S) 通过删除到该数据的链接并将链接存储在安全位置中来自动地隐藏(被软删除的数据被存 储但对用户不可见,被保护的数据可被加密等等);提醒可被提供给用户(例如,消息、声音、 可视提醒等);文件可被禁止打开;显示该数据的打开的窗口可被关闭;打开的窗口可被隐 减在其它窗口后面;等等。
[0039]注意,在各实施例中,这样的数据保护中的一个或多个可被"独立地"执行,使得处 理设备的用户不知晓数据保护响应正被执行。例如,处理设备的人员可能因为篡改设备(例 如,尝试打开设备的外壳来拿到设备存储器)、因为未能在正确的时间输入口令或键序列、 因为将设备运输到特定位置、因为以不熟悉的方式与设备UI进行交互、因为被感测到人员 的生物测定状况等而致使数据保护响应被执行。数据保护响应可以独立的方式被执行,使 得该人员不知晓响应正被执行。例如,数据可被独立地隐藏、软删除或硬删除,使得该人员 甚至不知晓数据正在设备上或曾存在于设备上。附加地或替换地,所显示的窗口可在该人 员看到了窗口的先前布置之前被重新安排,提醒可在该人员不知晓的情况下被传送到设备 的拥有者或管理员、和/或其它数据保护响应可以离散的方式被执行。
[0040]对数据保护的这种独立执行可具有各种益处。例如,未授权人员尝试访问设备上 的敏感数据可触发对该敏感数据的软删除或隐藏。如果未授权人员不知晓该数据正在该设 备上或曾存在于该设备上,并且没有立即在该设备上找到该数据(因为其被隐藏或被软删 除),则该人员可能更加快速地对尝试在该设备上找到该数据失去兴趣。此外,如果该设备 的授权用户正被未授权人员威胁,则授权用户针对在该设备上的该数据的任意存在有更合 理的推诿。
[0041 ]如果作为数据保护响应该数据被软删除,则该数据稍后可被0S还原。当数据被软 删除时,只有到该数据(例如,文件)的链接被删除。数据可通过从安全存储中恢复链接来被 还原/恢复。在一个实施例中,对数据的恢复可以是自动的,诸如在下一次用户采用正确的 口令和正确的口令输入上下文来登录时。替换地,恢复可通过正确的口令上下文来被触发。
[0042] 因此,各实施例提供特征,诸如用于针对其中用户所位于的外部有风险的环境对 数据保护的自动且独立的触发的方法和系统,用于经由内容属性、针对所有帐户覆盖设备 上的数据的数据保护来定义要被保护的敏感数据的方法和系统,以及用于检测设备篡改来 作为用于激活数据保护响应的上下文的方法和系统。
[0043] 在以下子章节中提供对数据保护实施例的进一步描述。例如,以下紧接着的子章 节描述用于配置针对数据的保护的进一步实施例,之后是描述对数据保护的触发和执行的 进一步的实施例的子章节。
[0044] A.用于配置数据保护的示例实施例
[0045] 在各实施例中,数据保护系统可用各种方式来配置以保护数据免受不想要的访 问。例如,图1示出根据一示例实施例的包括被配置成保护存储在计算设备102上的数据的 数据保护系统136的数据保护环境100的框图。如图1中显示的,数据保护环境100包括计算 设备102和服务器104。计算设备102和服务器104通过网络106来通信地耦合。数据保护系统 136被包括在计算设备102中。在图1的实施例中,数据保护系统136包括用户界面模块108、 上下文触发监视器1