《包括端口和来宾域的计算设备.pdf》由会员分享,可在线阅读,更多相关《包括端口和来宾域的计算设备.pdf(14页珍藏版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103620612 A (43)申请公布日 2014.03.05 CN 103620612 A (21)申请号 201180071768.2 (22)申请日 2011.07.12 G06F 21/55(2013.01) (71)申请人 惠普发展公司 , 有限责任合伙企业 地址 美国德克萨斯州 (72)发明人 杰夫让索纳 瓦利阿利 詹姆斯M曼 (74)专利代理机构 北京德琦知识产权代理有限 公司 11018 代理人 郭艳芳 康泉 (54) 发明名称 包括端口和来宾域的计算设备 (57) 摘要 第一来宾域和隔离的外围相关任务。外围相 关任务与外围进行通信, 并且防止第一来。
2、宾域与 外围进行通信。 (85)PCT国际申请进入国家阶段日 2013.12.19 (86)PCT国际申请的申请数据 PCT/US2011/043716 2011.07.12 (87)PCT国际申请的公布数据 WO2013/009302 EN 2013.01.17 (51)Int.Cl. 权利要求书 2 页 说明书 5 页 附图 6 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书5页 附图6页 (10)申请公布号 CN 103620612 A CN 103620612 A 1/2 页 2 1. 一种计算设备, 包括 : 第一来宾域 ; 外围相关任务, 与。
3、所述第一来宾域隔离 ; 端口, 用于连接外围设备 ; 以及 特权域, 用于使所述外围相关任务被执行来识别所述外围设备, 其中如果确定所述外 围是恶意的, 则所述外围相关任务防止所述第一来宾域与所述外围进行通信。 2. 根据权利要求 1 所述的设备, 其中所述特权域生成用于执行所述外围相关任务的虚 拟装置。 3. 根据权利要求 1 所述的设备, 其中所述端口是有线端口或无线端口。 4. 根据权利要求 1 所述的设备, 进一步包括位于所述第一来宾域中的、 用于接收所述 外围设备的内容的文本列表的逻辑。 5. 根据权利要求 1 所述的设备, 进一步包括用于确定自动运行文件是否位于所述外围 设备上的逻。
4、辑, 其中所述外围相关任务防止所述第一来宾域访问所述自动运行文件。 6. 根据权利要求 1 所述的设备, 进一步包括所述外围设备的黑名单, 所述黑名单用于 防止所述第一来宾域访问所述外围设备。 7. 根据权利要求 1 所述的设备, 进一步包括扫描器, 所述扫描器用于在允许所述第一 来宾域访问所述外围设备之前扫描所述外围设备的内容中的恶意代码。 8. 根据权利要求 1 所述的设备, 进一步包括界面, 所述界面用于选择所述第一来宾域 与所述外围设备通信所具有的访问级别。 9. 一种与连接至计算设备的外围进行通信的方法, 包括 : 将外围相关任务与第一来宾域隔离 ; 生成用于执行所述外围相关任务的虚。
5、拟装置 ; 通过所述虚拟装置从所述外围接收外围的类型 ; 通过所述虚拟装置验证外围的所述类型 ; 以及 防止所述第一来宾域与所述外围进行通信, 直到外围的所述类型被验证。 10. 根据权利要求 1 所述的方法, 在允许所述第一来宾域访问所述外围设备之前扫描 所述外围设备的内容中的恶意代码。 11. 根据权利要求 1 所述的方法, 选择所述第一来宾域与所述外围设备通信所具有的 访问级别。 12. 根据权利要求 1 所述的方法, 确定自动运行文件是否位于所述外围设备上, 其中所 述虚拟装置防止所述第一来宾域访问所述自动运行文件。 13. 一种非瞬态计算机可读介质, 包括特权域, 所述特权域如果被处。
6、理器执行则使计算 设备进行以下操作 : 将外围相关任务与第一来宾域隔离 ; 生成用于执行所述外围相关任务的虚拟装置 ; 通过所述虚拟装置从所述外围接收外围的类型 ; 通过所述虚拟装置验证外围的所述类型 ; 以及 防止所述第一来宾域与所述外围进行通信, 直到外围的所述类型被验证。 14. 根据权利要求 13 所述的计算机可读介质, 进一步包括外围相关任务, 所述外围相 权 利 要 求 书 CN 103620612 A 2 2/2 页 3 关任务如果被执行则使计算设备进行以下操作 : 在允许所述第一来宾域访问所述外围设备之前, 扫描所述外围设备的内容中的恶意代 码。 15. 根据权利要求 13 所。
7、述的计算机可读介质, 进一步包括外围相关任务, 所述外围相 关任务如果被执行则使计算设备进行以下操作 : 通过界面选择所述第一来宾域与所述外围设备通信所具有的访问级别。 权 利 要 求 书 CN 103620612 A 3 1/5 页 4 包括端口和来宾域的计算设备 背景技术 0001 虚拟机是像物理机器一样执行指令的机器的软件实现。 虚拟机与物理机器一样易 受恶意攻击。 即插即用可允许在没有用户干预的情况下将外围连接至机器, 来配置外围。 如 果外围是恶意的, 那么其可能感染虚拟机。 附图说明 0002 关于以下附图描述本发明的一些实施例 : 0003 图 1 是根据示例性实现的计算设备的框。
8、图 ; 0004 图 2 是根据示例性实现的计算设备的框图 ; 0005 图 3 是根据示例性实现的界面 ; 0006 图 4 是根据示例性实现的与连接至计算设备的外围进行通信的方法的流程图 ; 0007 图 5 是根据示例性实现的与连接至计算设备的外围进行通信的方法的流程图 ; 以 及 0008 图 6 是根据示例性实现的包括计算机可读介质的计算系统。 具体实施方式 0009 计算设备可能易受恶意代码的攻击。计算设备可以是例如服务器、 台式机、 笔记 本、 移动电话、 PDA或别的计算设备。 恶意代码可以是例如恶意软件、 病毒、 固件攻击或其它。 计算设备可执行可能受病毒或恶意软件攻击的操作。
9、系统。 0010 虚拟机还可以称为虚拟域, 该虚拟域用于主管在该虚拟域中执行的操作系统。物 理机器可以执行多个域。在域上执行的操作系统易受病毒和恶意软件的攻击, 如果该操作 系统直接在计算设备的物理硬件上执行, 那么病毒和恶意软件可攻击该操作系统。这些域 可被还称为虚拟机监视器的管理程序管理并彼此隔离, 或者可与诸如特权域之类的域之一 结合。计算设备上的每个域可执行外围相关的任务。外围相关任务可以是用于确定外围是 否是恶意的的逻辑或指令。 虚拟装置可以用于执行外围相关任务。 虚拟装置可在域中运行。 外围相关任务可扫描附接至计算设备的外围, 以防止该外围攻击别的域。 0011 在一个示例中, 计。
10、算设备包括第一来宾域和与该第一来宾域隔离的外围相关任 务。端口可将计算设备连接至外围设备。特权域可使外围相关任务被执行, 以识别外围设 备。如果确定外围是恶意的, 则外围相关任务防止第一来宾域与外围进行通信。 0012 在另一示例中, 与连接至计算设备的外围进行通信的方法包括将外围相关任务与 第一来宾域隔离。可生成用于执行外围相关任务的虚拟装置。虚拟装置可从外围接收外围 的类型的指示。虚拟装置可验证外围的类型。可防止第一来宾域与外围进行通信, 直到外 围的类型被验证。 0013 参照附图, 图 1 是根据示例性实现的计算设备 100 的框图。计算设备 100 可包括 第一来宾域 110。特权域。
11、 105 可与第一来宾域 110 分离。在一个示例中, 特权域 105 可能未 被允许执行外围相关任务 130, 而可生成虚拟装置或另一来宾域来执行外围相关任务 130, 说 明 书 CN 103620612 A 4 2/5 页 5 以防止特权域 105 被恶意的外围攻击。特权域 105 可能不允许可能与诸如第二来宾域 140 或虚拟装置 135 之类的可能恶意的外围连接的其它域对特权域 105 做出改变。在另一示例 中, 如果特权域105不易受到来自恶意外围的攻击, 则可以允许特权域105执行外围相关任 务 130。 0014 硬件 120 可包括用于连接外围设备的端口 125。管理程序 1。
12、15 可管理硬件 120 的 资源。外围相关任务 130 可在除第一来宾域以外的域, 例如特权域 105、 虚拟装置 135 或第 二来宾域 140 中执行。外围相关任务 130 可以是用于识别外围设备的指令。如果确定外围 是恶意的, 则外围相关任务 130 可防止第一来宾域 110 访问外围。 0015 端口 125 是在计算机与另一设备之间传递数据的接口。端口可以是例如有线端 口, 如通用串行总线 (USB) 端口、 IEEE1394 端口、 雷电端口 (thunderbolt port) 、 sata 端口 或别的有线连接。端口 125 可以是无线端口, 如蓝牙端口、 wifi 端口、 。
13、wwan 端口或别的无 线连接。 其它设备可以是外围, 例如打印机、 鼠标、 键盘、 监视器、 存储设备、 网络设备或别的 外围。 0016 管理程序 115 是代替操作系统用于最初直接与硬件 120 通信的层, 以允许该硬件 同时运行多个域内的多个来宾操作系统。在一些实现中, 管理程序 115 启动如特权域之类 的域, 并且将输入 / 输出 (I/O) 控制器映射至特权域, 来使特权域直接与硬件 120 而不是与 管理程序通信。 在一个实施例中, 执行管理程序的计算机可以包含三个组件。 第一组件是管 理程序 115, 第二组件是特权域 105, 特权域 105 还可以称为 “域 0” (Do。
14、m0) 。特权域可以是 在管理程序 115 上运行的具有直接硬件访问和来宾管理责任的特权来宾。第三组件是 “域 U” , 其可以是无特权域来宾 (DomU) 。DomU 可以是在管理程序上运行的对诸如存储器、 硬盘、 端口或任何其它硬件120之类的硬件没有直接访问的无特权来宾。 第一来宾域可以是DomU 的示例。 0017 外围相关任务 130 可以是由域执行的应用程序。如果外围连接至端口, 则该外围 可以发送该外围是什么类型的设备的指示。例如, 外围可以指示其是可以引起外围相关任 务 130 执行的存储设备。该执行可以位于除第一来宾域以外的任何域上, 如另一来宾域, 虚 拟装置、 特权域或管。
15、理程序。 例如, 外围相关任务可以通过尝试存储信息和从存储设备中检 索信息来询问外围。任务还可以扫描恶意内容。当外围包括例如病毒、 恶意软件或别的利 用域中的安全漏洞的破坏性程序时, 该外围可能是恶意的。特权域旨在是不易受病毒和恶 意软件影响的, 这可能是因为例如特权域包括受信任软件, 并且可能不允许由别的域对该 域进行写入。针对可能引起感染非特权域而不感染特权域的恶意代码的外围设备, 特权域 可执行外围相关任务130。 一旦外围相关任务130证实了该外围是非恶意的, 那么诸如第一 来宾域 110 之类的非特权域就可以访问该外围设备。可以存在多个不同的、 可赋予第一来 宾域 110 的访问级别。
16、。 0018 图 2 是根据示例性实现的计算设备的框图。计算设备 200 可包括硬件 220, 硬件 220 可包括端口, 诸如有线端口 225 或无线端口 245。有线端口 225 可以是例如通用串行端 口、 IEEE 1394 端口、 雷电端口、 sata 端口或别的有线连接。无线端口 245 可是诸如蓝牙端 口、 wifi 端口、 wwan 端口或别的无线连接之类的端口。 0019 诸如特权域 205 之类的、 位于第一来宾域 210 外部并且与第一来宾域 210 隔离的 域, 作为所有外围设备的安全隔离区, 在这里所有外围设备可在被暴露至用户操作环境之 说 明 书 CN 1036206。
17、12 A 5 3/5 页 6 前根据需要首先被枚举、 分析、 认证和 / 或矫正。此外, 一些类型的设备可完全与第一来宾 域 210 阻隔。 0020 一旦管理程序将 I/O 控制器映射至特权域, 特权域就成为第一个将存在于硬件 220层的任何外围枚举给端口控制器的域。 在该层可进行策略决定, 但是特权域205可以是 高度安全的环境。由于该高度安全的环境, 所以外围可连接至虚拟装置 235, 虚拟装置 235 的唯一作用是实施与外围设备相有关的策略设置。该虚拟装置 235 可基于与多个可能的机 制、 设备类别认证、 设备类别配置策略实施、 设备类别白名单或黑名单、 特定设备白名单、 抽 象用户。
18、交互、 设备类别认证或别的策略设置有关的预配置策略设置, 来决定如何或者甚至 是否将该外围设备暴露至第一来宾域 210。 0021 作为示例, 对 USB 人机交互设备而言, 特权域检测设备插入。该人机交互设备相对 于第一来宾域 210 的随后暴露被延迟, 直到该设备被分析。特权域将该设备视作不友好的, 直到该设备可通过外围相关任务被认证为所指示的设备。 对于诸如键盘或鼠标之类的人机 交互设备而言, 这可能通过经由显示子系统向用户呈现询问来实现。这可以通过安全图形 用户界面来完成, 使得该询问对于诸如第一来宾域 210 之类的任何来宾域是不可见的。该 询问可以包括向用户呈现随机字符以及图形键盘。
19、, 并且等待用户通过利用鼠标点击图形键 盘上正确顺序的按键或者通过使用键盘输入字符来输入这些字符。外围相关任务 230 可保 证最终的输入来自于被插入的设备。以此方式, 外围相关任务可认证该设备的确充当用于 机器操作者的人机交互设备, 而不是简单地被认为是人机交互设备。 0022 管理程序 215 可管理诸如特权域 205 和第一来宾域 210 的各种域。在管理这些域 时, 管理程序可赋予特权域对有线端口 225 或无线端口 245 的访问权。这可防止第一来宾 域 210 访问连接至有线端口 225 或无线端口 245 的外围。在一个实施例中, 特权域对硬件 220 有直接访问权, 而第一来宾。
20、域 210 对硬件 220 没有直接访问权。 0023 第一来宾域 210 可以包括一界面, 该界面可用来确定第一来宾域 210 可访问连接 至有线端口 225 或无线端口 245 的外围的数量。第一来宾域可以例如对外围具有完全访问 权, 可以对外围没有访问权, 可以接收文本中关于外围的信息, 以便保证恶意指令不嵌入在 第一来宾域所传输和接收的数据中。该文本可以是 ascii 格式, 并且如果外围设备是存储 设备, 则文本可以是外围设备上的一系列文件。特权域 205 或外围相关任务可以创建表示 外围设备上的这些文件的文本列表。 于是, 用户能够选择第一来宾域可访问的文件, 同时其 它文件将继续。
21、通过文本表示来识别。如果选择一文件, 那么特权域 205 可将该文件发送至 第一来宾域210, 或者可允许第一来宾域210通过特权域205访问外围设备。 这可以通过简 单的远程过程调用 (RPC) 或仅传输文件的文本信息 (文件名、 大小、 r/w/x属性、 修改日期等) 的其它域内通信机制来实现。可以向用户提供对话, 以允许用户或允许外围完全 “插入” 到 第一来宾域 210 的文件系统内、 或弹出外围或介于二者之间。 “介于二者之间” 的示例是用 户可通过 RPC 决定将例如文本经由通信信道向存储设备传输 / 从存储设备传输, 而不是允 许文本插入第一来宾域环境内作为第一来宾域的文件系统的。
22、一部分。 0024 外围相关任务还可以包括用于确定自动运行文件是否位于外围设备上的逻辑。 该 逻辑可以位于特权域、 虚拟装置或别的来宾域中, 并且可防止第一来宾域 210 访问自动运 行文件。自动运行文件是在连接外围设备时域可以搜索的文件。如果检测到自动运行文 件, 那么该域可以运行自动运行文件中的应用程序或指令。如果自动运行文件要安装恶意 说 明 书 CN 103620612 A 6 4/5 页 7 软件, 那么用户可以通过将外围连接至计算设备 200 上的端口来安装该恶意软件, 然而, 通 过外围相关任务 240 移除自动运行文件或者防止第一来宾域 210 访问自动运行文件, 第一 来宾域。
23、可能不自动安装来自外围设备的恶意软件。 0025 外围相关任务 230 可以包括黑名单 230 或者可访问黑名单 250。黑名单 250 可以 包括防止第一来宾域 210 访问的外围设备的列表。外围相关任务 230 还可以访问白名单, 该白名单是在允许第一来宾域 210 访问外围之前系统在不执行任务的情况下可以访问的 设备的列表。 0026 可配置特权域 205 黑名单 250 策略, 使得阻止所有特定类型的设备暴露至第一来 宾域210。 例如, 可以将策略设置为指示特权域205阻止全部USB大容量存储类设备暴露至 第一来宾域 210。 0027 该策略可以包括 “学习模式” , 其能使管理者。
24、将已知好的设备连接至平台, 此时特 权域 205 可存储设备信息用于之后比较。在正常操作时, 每当外围设备附接至端口, 特权域 就可将每个设备与白名单进行比较, 并且在将每个设备传递至第一来宾域 210 之前要求匹 配。这可能是十分严格的, 因为其仅能允许具有已位于白名单中的诸如序列号的信息的设 备, 使得位于该白名单中的特定设备工作, 或者可将其配置为不太严格的, 使得忽略该序列 号, 并且所有那些特定设备均可被传递通过第一来宾域 210。 0028 外围相关任务 230 可以执行扫描器 240。扫描器 240 可在允许第一来宾域 210 访 问外围设备之前扫描该外围设备的内容中的恶意代码。。
25、例如, 扫描器可以扫描外围设备的 内容中的病毒、 恶意软件或其它恶意代码。扫描器可以在赋予第一来宾域 210 对外围设备 的访问之前从外围中移除病毒, 或者可以允许第一来宾域 210 访问被扫描且被显示为不含 病毒或恶意软件的内容。 0029 图 3 是根据示例性实现的界面。界面 300 可以是安全的图形用户界面。该界面可 用来选择第一来宾域与外围设备通信所具有的访问级别。例如, 该界面可以请用户为已经 被特权域检测到的外围设备选择访问级别。选择的示例可以是拒绝设备、 将设备集成为文 件系统的一部分, 或者经由安全信道与外围设备通信。该界面可以允许用户创建或管理由 外围相关任务或特权域实现的策。
26、略, 如创建白名单或黑名单。 0030 图 4 是根据示例性实现的与连接至计算设备的外围进行通信的方法的流程图。该 方法包括在 405 将外围相关任务与第一来宾域 210 隔离。与第一来宾域隔离的外围相关任 务可以是外围相关任务 130。在 410 可生成用于执行外围相关任务 130 的虚拟装置。虚拟 装置的生成可由特权域启动。 在415, 虚拟装置可从外围接收外围的类型的指示。 外围的类 型可以是例如存储设备、 诸如键盘或鼠标之类的人机交互设备、 或者诸如显示器或打印机 之类的输出设备。在 420, 虚拟装置可验证外围的类型。验证可以包括要求用户在键盘上 敲入随机码, 这可防止存储设备将其自。
27、身识别为键盘并且引起诸如开始程序之类的键盘输 入。在 425, 可防止第一来宾域与外围进行通信, 直到外围的类型被验证。 0031 图 5 是根据示例性实现的与连接至计算设备的外围进行通信的方法的流程图。该 方法包括在 505 将外围相关任务与第一来宾域 210 隔离。与第一来宾域隔离的外围相关任 务可以是外围相关任务 130。在 510, 虚拟装置可执行外围相关任务 130。虚拟装置可执行 诸如可能不通过特权域执行的外围相关任务的任务。 在515, 虚拟装置可从外围接收外围的 类型的指示。 外围的类型可以是例如存储设备、 诸如键盘或鼠标之类的人机交互设备、 或者 说 明 书 CN 10362。
28、0612 A 7 5/5 页 8 诸如显示器或打印机之类的输出设备。 在520, 虚拟装置可验证外围的类型。 该验证可以包 括要求用户在键盘上敲入随机码。 这可防止存储设备将其自身识别为键盘并且引起诸如开 始程序之类的键盘输入。在 525, 可防止第一来宾域 110 与外围进行通信, 直到外围的类型 被验证。 0032 该方法可包括在 530 处在允许第一来宾域访问外围设备之前扫描外围设备的内 容中的恶意代码。恶意代码的扫描可以包括病毒扫描、 恶意软件扫描或别的扫描。在 535, 可选择第一来宾域与外围设备通信所具有的访问级别。 该访问级别可基于由外围相关任务 实现的策略。策略可以是预确定的,。
29、 或者可以由第一来宾域的用户选择。该方法可以包括 在 540 处确定自动运行文件是否位于外围设备上。外围相关任务可防止第一来宾域访问自 动运行文件。 外围相关任务可以移除自动运行文件, 防止第一来宾域访问自动运行文件, 或 者仅允许与外围设备上的文件进行安全通信, 如仅示出外围设备上的文件的基于 ascii 文 本的列表。 0033 图 6 是根据示例性实现的包括计算机可读介质的计算系统。非瞬态计算机可读介 质 615 或 616 可包括可由处理器 605 执行的代码, 如域或外围相关任务。处理器 605 可连 接至控制器集线器610。 控制器集线器可通过图形控制器620连接至显示器630、 。
30、键盘635、 鼠标 640 和诸如网络相机之类的传感器 645。键盘 635、 鼠标 640、 显示器 630、 传感器 645 和计算机可读介质 615 和 616 是可通过端口连接至计算设备 600 的外围设备的一些示例。 控制器集线器可以包括端口, 或者在外围和用于实现外围和处理器 605 之间通信的控制器 集线器 610 之间可以存在其它组件。 0034 特权域如果被执行, 则可使计算设备将外围相关任务与第一来宾域隔离。特权域 可促使虚拟装置生成, 来执行外围相关任务。 虚拟装置可从外围接收外围的类型的指示。 外 围相关任务可验证外围的类型, 并且防止第一来宾域与外围进行通信, 直到外。
31、围的类型被 验证。 外围相关任务可以在允许第一来宾域访问外围设备之前扫描外围设备的内容中的恶 意代码。 外围相关任务可以允许通过界面选择第一来宾域与外围设备通信所具有的访问级 别。 0035 上面描述的技术可以体现在用于将计算系统配置为执行该方法的计算机可读介 质。计算机可读介质可以例如包括但不限于以下介质中的任意多个 : 包括磁盘和磁带存储 介质的磁性存储介质 ; 光存储介质, 如光盘介质 (例如 CD-ROM、 CD-R 等) 和数字视频光盘存 储介质 ; 全息存储器 ; 包括基于半导体的存储单元的非易失性存储器存储介质, 如 FLASH 存 储器、 EEPROM、 EPROM、 ROM 。
32、; 铁磁数字存储器 ; 包括寄存器、 缓冲器或缓存、 主存储器、 RAM 等 的易失性存储介质 ; 以及互联网等等。可以利用其它新的各种类型的计算机可读介质来存 储在本文中论述的软件模块。 计算系统可以以多种形式存在, 包括但不限于大型机、 小型计 算机、 服务器、 工作站、 个人计算机、 掌上电脑、 个人数字助理、 各种无线设备和嵌入式系统、 等等。 0036 在上述的描述中, 阐述了大量细节, 以便提供对本发明的理解。然而, 本领域技术 人员应理解, 在没有这些细节的情况下也可实践本发明。尽管关于有限数量的实施例公开 了本发明, 但本领域的技术人员应意识到由此产生的大量修改和变化。所附权利要求旨在 覆盖落入本发明的真正精神和范围内的此类修改和变化。 说 明 书 CN 103620612 A 8 1/6 页 9 图 1 说 明 书 附 图 CN 103620612 A 9 2/6 页 10 图 2 说 明 书 附 图 CN 103620612 A 10 3/6 页 11 图 3 说 明 书 附 图 CN 103620612 A 11 4/6 页 12 图 4 说 明 书 附 图 CN 103620612 A 12 5/6 页 13 图 5 说 明 书 附 图 CN 103620612 A 13 6/6 页 14 图 6 说 明 书 附 图 CN 103620612 A 14 。