阻止从计算平台中输出数据可以通过以下方法实现:发起驱动程序以过滤对计算平台的选定输出端口的写请求,接收写请求,并在该写请求是针对被标识为正处于只读模式的选定输出端口时否认该写请求。
【技术实现步骤摘要】
【国外来华专利技术】背景1.领域本专利技术一般地涉及计算机安全,尤其涉及防止未经授权地从计算平台输出数据。2.描述诸如个人计算机(PC)的许多计算平台用于关键数据管理任务。这些任务包括管理并操作财务、机密或其他敏感数据。例如,许多企业都保持有详细的客户列表,这些列表可能包括电子邮件地址、密码、信用卡卡号、标识号码等。诸如PC的典型“现成”计算平台至少提供了若干机制以从该平台输出数据。这些机制包括耦合至各类外围设备的输入/输出(I/O)端口。通常,计算平台为不拥有敏感数据的某方所有,并且由雇员和/或承包商操作。当处理敏感数据时,希望确保操作计算平台的雇员无法从平台中移除该数据。附图简述本专利技术的特征和优点会从以下对本专利技术的详细描述中显而易见,附图中:图1是根据本专利技术一实施例示出一计算平台的框图;图2是根据本专利技术一实施例示出一计算平台内软件栈的图示;图3是根据本专利技术一实施例用于限制从计算平台输出数据的数据结构的图示;图4是根据本专利技术一实施例示出写防止处理的流程图;以及图5是本专利技术另一实施例的图示。详细描述本专利技术的各实施例提供了被配置为用一种方法来选择性地限制数据输出的计算平台,诸如大批量生成的PC。在这些实施例中,系统管理员或者信息-->技术(IT)雇员可配置计算平台的软件和/或固件,以使得该计算平台的操作员无法把在平台上遇到的数据输出到其他设备,诸如便携式存储设备。实际上,可以让该计算平台选择性地进入“只读”操作模式。这有助于防止敏感数据的未经授权公开。在只读模式中,通常用于向外部存储设备输出数据的I/O端口可被隔离。于是,标准的、大量生产的计算平台(例如,“现成的”PC)就可用于敏感数据处理能力,并且可以通过修改单个由管理员控制的设置,从读/写完全启用部署切换成受限的只读部署。本专利技术中对“一个实施例”或“一实施例”的引用表示连同实施例描述的特定特征、结构或特性包括在本专利技术的至少一个实施例中。于是,在说明书通篇各位置出现的短语在“一个实施例中”未必全指代同一个实施例。图1中示出了用于本专利技术各实施例的示例性计算平台,然而,也可以使用其他系统并且并不是所示计算平台的所有组件都是本专利技术所需的。示例系统100可用于例如执行对本专利技术个实施例的处理。示例系统100代表基于可从英特尔公司获得的PENTIUM系列处理器和CELERON处理器的处理系统,虽然也可以使用其他系统(包括具有其他处理器的个人计算机(PC)或服务器、工程工作站、其他机顶盒等)和体系结构。图1是本专利技术的一个实施例的系统100的框图。系统100包括处理数据信号的至少一个处理器102。处理器102可以耦合至在处理器102和系统100内的其他组件之间传输数据信号的处理器总线104。系统100包括存储器106。存储器106可以存储由可以被处理器102执行的数据信号表示的指令和/或数据。指令和/或数据可以包括用于执行本专利技术任何和/或全部技术的代码。存储器106还包括附加的软件和/或数据,诸如至少一个应用程序107以及至少部分常规操作系统(OS)108。此外,存储器还存储被称为只读指示符110的至少一个数据结构。在一个实施例中,该只读指示符可以是单个比特(即,标志),用来指示整个计算平台的只读操作模式。在另一个实施例中,只读指示符可以是用以进一步指定与当前在计算平台上允许的I/O能力有关的细节(例如,对访问选定输出端口的许可)的数据结构。在本专利技术的至少一个实施例中,该只读指示符可由OS访问,但是不能由应用程序或任何其他用户级进程访问。在另一个实施例中,应用程序能够读取注册表中的只读指示符。-->此外,桥/存储器控制器110可被耦合至处理器总线104和存储器106。桥/存储器控制器110在处理器102、存储器106和系统100中的其他组件之间引导数据信号,并在处理器总线104、存储器106和第一输入/输出(I/O)总线112之间桥接数据信号。在此实施例中,图形设备114接口至显示设备(未示出)以向用户显示由图形设备114描绘或以其他方式处理的图像。第一I/O总线112可以包括单条总线或多条总线的组合。第一I/O总线112提供系统100内的各组件之间的通信链路。第二I/O总线120可以包括单条总线或多条总线的组合。第二I/O总线120提供系统100内的各组件之间的通信链路。总线桥126将第一I/O总线112耦合至第二I/O总线120。一个或多个其他外围设备可以耦合至第二I/O总线。非易失性存储设备130可以耦合至第二I/O总线。该非易失性存储设备(例如,闪存)可以包括固件132,而固件132在某些实施例中可以包括基本输入/输出系统(BIOS)或者其他的计算平台配置和管理程序。在一个实施例中,固件可以包括类似于只读指示符110的只读指示符134,但是该只读指示符134是存储在非易失性存储设备130中并可从中访问的,而非存储在存储器106中。其他的常规和周知外围和通信机制也可以耦合至第二I/O总线,诸如致密盘只读存储器(CDROM)驱动器136、通用串行总线(USB)138、硬盘驱动140、火线总线142、串行端口144和并行端口146。便携式存储设备148可以耦合至总线中的一根(诸如,USB或者火线总线)来接收数据。便携式存储设备可以包括非易失性闪存。在常规计算平台中,这些设备和总线中的任一个都可用来输出数据。在本专利技术的各实施例中,这些输出活动会至少部分根据只读指示符的值而受到限制。本专利技术的各实施例涉及将系统100用作处理系统中的一个组件。根据一个实施例,这些处理可由系统100响应于处理器102执行存储器106内的连续指令来执行。可将这些指令从诸如硬盘驱动器140的另一计算机可读介质中读入存储器106。这些连续指令的执行引起处理器102根据本专利技术各实施例执行对应用程序的处理在一个可选实施例中,硬件电路可代替软件指令或与其结合使用,以实现本专利技术的各实施例的部分功能。于是,本专利技术不限于任何硬件电路和软件的特定组合。-->系统100的各元件以本领域内公知的方式执行其常规功能。具体地,硬盘驱动器140可用于为根据本专利技术的各组件的实施例的可执行指令和数据结构提供长期存储,而存储器106则用来在由处理器102执行期间为根据本专利技术的各组件的实施例的可执行指令提供短期存储。图2是根据本专利技术一个实施例示出计算平台内软件栈的图示。一个实施例中,只读指示符可被实现为注册表2本文档来自技高网...
【技术保护点】
一种阻止从计算平台中输出数据的方法,包括:发起驱动程序以过滤对所述计算平台的选定输出端口的写请求; 接收写请求;以及 在所述写请求是针对被标识为正处于只读模式的选定输出端口时,否认所述写请求。
【技术特征摘要】
【国外来华专利技术】US 2005-9-23 11/233,5441.一种阻止从计算平台中输出数据的方法,包括:发起驱动程序以过滤
对所述计算平台的选定输出端口的写请求;
接收写请求;以及
在所述写请求是针对被标识为正处于只读模式的选定输出端口时,否认所
述写请求。
2.如权利要求1所述的方法,其特征在于,所述驱动程序包括在内核特
权级上执行的软件模块,并且所述写请求由在用户特权级上执行的应用程序启
动。
3.如权利要求1所述的方法,其特征在于,还包括读取只读指示符,用
以确定所述选定输出端口输出数据的授权。
4.如权利要求3所述的方法,其特征在于,当所述驱动程序包括用于计
算平台的固件的一部分时,从磁盘操作系统(DOS)命令中接收所述写请求,
并且将所述只读指示符作为设置选项存储在固件内。
5.如权利要求1所述的方法,其特征在于,还包括:
初始化所述计算平台;
确定所述计算平台是否被配置处于只读操作模式;以及
在预引导处理期间,接收从所述计算平台输出数据的写请求并且在指示所
述只读操作模式时否认所述写请求。
6.如权利要求3所述的方法,其特征在于,所述只读指示符存储在所述
计算平台的虚拟机管理器(VMM)内,并且所述VMM包括所述驱动程序。
7.一种用于保护计算平台内数据的系统,包括:
只读指示符,用于指示所述计算平台的选定输出端口输出数据的授权;以
及
驱动程序,通过接收写请求并在所述写请求是关于根据所述只读指示符的
被标识正处于只读模式的选定输出端口时否认所述写请求来过滤各写请求。
8.如权...
【专利技术属性】
技术研发人员:M罗斯曼,V齐默,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。