包括端口和來(lái)賓域的計(jì)算設(shè)備的制作方法
【專利摘要】第一來(lái)賓域和隔離的外圍相關(guān)任務(wù)。外圍相關(guān)任務(wù)與外圍進(jìn)行通信��,并且防止第一來(lái)賓域與外圍進(jìn)行通信�。
【專利說(shuō)明】包括端口和來(lái)賓域的計(jì)算設(shè)備
【背景技術(shù)】
[0001]虛擬機(jī)是像物理機(jī)器一樣執(zhí)行指令的機(jī)器的軟件實(shí)現(xiàn)。虛擬機(jī)與物理機(jī)器一樣易受惡意攻擊�。即插即用可允許在沒(méi)有用戶干預(yù)的情況下將外圍連接至機(jī)器,來(lái)配置外圍�����。如果外圍是惡意的���,那么其可能感染虛擬機(jī)�����。
【專利附圖】
【附圖說(shuō)明】
[0002]關(guān)于以下附圖描述本發(fā)明的一些實(shí)施例:
[0003]圖1是根據(jù)示例性實(shí)現(xiàn)的計(jì)算設(shè)備的框圖����;
[0004]圖2是根據(jù)示例性實(shí)現(xiàn)的計(jì)算設(shè)備的框圖;
[0005]圖3是根據(jù)示例性實(shí)現(xiàn)的界面�;
[0006]圖4是根據(jù)示例性實(shí)現(xiàn)的與連接至計(jì)算設(shè)備的外圍進(jìn)行通信的方法的流程圖;
[0007]圖5是根據(jù)示例性實(shí)現(xiàn)的與連接至計(jì)算設(shè)備的外圍進(jìn)行通信的方法的流程圖�����;以及
[0008]圖6是根據(jù)示例性實(shí)現(xiàn)的包括計(jì)算機(jī)可讀介質(zhì)的計(jì)算系統(tǒng)��。
【具體實(shí)施方式】
[0009]計(jì)算設(shè)備可能易受惡意代碼的攻擊���。計(jì)算設(shè)備可以是例如服務(wù)器����、臺(tái)式機(jī)����、筆記本、移動(dòng)電話��、PDA或別的計(jì)算設(shè)備�����。惡意代碼可以是例如惡意軟件�、病毒、固件攻擊或其它����。計(jì)算設(shè)備可執(zhí)行可能受病毒或惡意軟件攻擊的操作系統(tǒng)。
[0010]虛擬機(jī)還可以稱為虛擬域�,該虛擬域用于主管在該虛擬域中執(zhí)行的操作系統(tǒng)。物理機(jī)器可以執(zhí)行多個(gè)域����。在域上執(zhí)行的操作系統(tǒng)易受病毒和惡意軟件的攻擊,如果該操作系統(tǒng)直接在計(jì)算設(shè)備的物理硬件上執(zhí)行����,那么病毒和惡意軟件可攻擊該操作系統(tǒng)。這些域可被還稱為虛擬機(jī)監(jiān)視器的管理程序管理并彼此隔離����,或者可與諸如特權(quán)域之類的域之一結(jié)合。計(jì)算設(shè)備上的每個(gè)域可執(zhí)行外圍相關(guān)的任務(wù)���。外圍相關(guān)任務(wù)可以是用于確定外圍是否是惡意的的邏輯或指令��。虛擬裝置可以用于執(zhí)行外圍相關(guān)任務(wù)����。虛擬裝置可在域中運(yùn)行。外圍相關(guān)任務(wù)可掃描附接至計(jì)算設(shè)備的外圍�,以防止該外圍攻擊別的域。
[0011]在一個(gè)示例中����,計(jì)算設(shè)備包括第一來(lái)賓域和與該第一來(lái)賓域隔離的外圍相關(guān)任務(wù)。端口可將計(jì)算設(shè)備連接至外圍設(shè)備�。特權(quán)域可使外圍相關(guān)任務(wù)被執(zhí)行,以識(shí)別外圍設(shè)備�����。如果確定外圍是惡意的��,則外圍相關(guān)任務(wù)防止第一來(lái)賓域與外圍進(jìn)行通信���。
[0012]在另一示例中���,與連接至計(jì)算設(shè)備的外圍進(jìn)行通信的方法包括將外圍相關(guān)任務(wù)與第一來(lái)賓域隔離??缮捎糜趫?zhí)行外圍相關(guān)任務(wù)的虛擬裝置。虛擬裝置可從外圍接收外圍的類型的指示��。虛擬裝置可驗(yàn)證外圍的類型?�?煞乐沟谝粊?lái)賓域與外圍進(jìn)行通信��,直到外圍的類型被驗(yàn)證��。
[0013]參照附圖�����,圖1是根據(jù)示例性實(shí)現(xiàn)的計(jì)算設(shè)備100的框圖�����。計(jì)算設(shè)備100可包括第一來(lái)賓域110�����。特權(quán)域105可與第一來(lái)賓域110分離����。在一個(gè)示例中���,特權(quán)域105可能未被允許執(zhí)行外圍相關(guān)任務(wù)130���,而可生成虛擬裝置或另一來(lái)賓域來(lái)執(zhí)行外圍相關(guān)任務(wù)130��,以防止特權(quán)域105被惡意的外圍攻擊���。特權(quán)域105可能不允許可能與諸如第二來(lái)賓域140或虛擬裝置135之類的可能惡意的外圍連接的其它域?qū)μ貦?quán)域105做出改變。在另一示例中�����,如果特權(quán)域105不易受到來(lái)自惡意外圍的攻擊�,則可以允許特權(quán)域105執(zhí)行外圍相關(guān)任務(wù) 130。
[0014]硬件120可包括用于連接外圍設(shè)備的端口 125�。管理程序115可管理硬件120的資源。外圍相關(guān)任務(wù)130可在除第一來(lái)賓域以外的域����,例如特權(quán)域105、虛擬裝置135或第二來(lái)賓域140中執(zhí)行���。外圍相關(guān)任務(wù)130可以是用于識(shí)別外圍設(shè)備的指令���。如果確定外圍是惡意的,則外圍相關(guān)任務(wù)130可防止第一來(lái)賓域110訪問(wèn)外圍����。
[0015]端口 125是在計(jì)算機(jī)與另一設(shè)備之間傳遞數(shù)據(jù)的接口�。端口可以是例如有線端口�,如通用串行總線(USB)端口、IEEE1394 端 口����、雷電端 口 (thunderbolt port)、sata 端 口或別的有線連接��。端口 125可以是無(wú)線端口����,如藍(lán)牙?端口��、wifi端口�����、wwan端口或別的無(wú)線連接����。其它設(shè)備可以是外圍,例如打印機(jī)���、鼠標(biāo)�、鍵盤(pán)、監(jiān)視器���、存儲(chǔ)設(shè)備�、網(wǎng)絡(luò)設(shè)備或別的外圍��。
[0016]管理程序115是代替操作系統(tǒng)用于最初直接與硬件120通信的層�����,以允許該硬件同時(shí)運(yùn)行多個(gè)域內(nèi)的多個(gè)來(lái)賓操作系統(tǒng)�。在一些實(shí)現(xiàn)中,管理程序115啟動(dòng)如特權(quán)域之類的域���,并且將輸入/輸出(I/O)控制器映射至特權(quán)域���,來(lái)使特權(quán)域直接與硬件120而不是與管理程序通信。在一個(gè)實(shí)施例中��,執(zhí)行管理程序的計(jì)算機(jī)可以包含三個(gè)組件�����。第一組件是管理程序115,第二組件是特權(quán)域105�����,特權(quán)域105還可以稱為“域O” (DomO)0特權(quán)域可以是在管理程序115上運(yùn)行的具有直接硬件訪問(wèn)和來(lái)賓管理責(zé)任的特權(quán)來(lái)賓�。第三組件是“域U”,其可以是無(wú)特權(quán)域來(lái)賓(DomU)��。DomU可以是在管理程序上運(yùn)行的對(duì)諸如存儲(chǔ)器�����、硬盤(pán)�、端口或任何其它硬件120之類的硬件沒(méi)有直接訪問(wèn)的無(wú)特權(quán)來(lái)賓����。第一來(lái)賓域可以是DomU的示例。
[0017]外圍相關(guān)任務(wù)130可以是由域執(zhí)行的應(yīng)用程序�。如果外圍連接至端口,則該外圍可以發(fā)送該外圍是什么類型的設(shè)備的指示�。例如,外圍可以指示其是可以引起外圍相關(guān)任務(wù)130執(zhí)行的存儲(chǔ)設(shè)備��。該執(zhí)行可以位于除第一來(lái)賓域以外的任何域上,如另一來(lái)賓域�,虛擬裝置、特權(quán)域或管理程序��。例如����,外圍相關(guān)任務(wù)可以通過(guò)嘗試存儲(chǔ)信息和從存儲(chǔ)設(shè)備中檢索信息來(lái)詢問(wèn)外圍。任務(wù)還可以掃描惡意內(nèi)容���。當(dāng)外圍包括例如病毒����、惡意軟件或別的利用域中的安全漏洞的破壞性程序時(shí)��,該外圍可能是惡意的�����。特權(quán)域旨在是不易受病毒和惡意軟件影響的����,這可能是因?yàn)槔缣貦?quán)域包括受信任軟件,并且可能不允許由別的域?qū)υ撚蜻M(jìn)行寫(xiě)入����。針對(duì)可能引起感染非特權(quán)域而不感染特權(quán)域的惡意代碼的外圍設(shè)備�,特權(quán)域可執(zhí)行外圍相關(guān)任務(wù)130����。一旦外圍相關(guān)任務(wù)130證實(shí)了該外圍是非惡意的,那么諸如第一來(lái)賓域110之類的非特權(quán)域就可以訪問(wèn)該外圍設(shè)備����。可以存在多個(gè)不同的�、可賦予第一來(lái)賓域110的訪問(wèn)級(jí)別。
[0018]圖2是根據(jù)示例性實(shí)現(xiàn)的計(jì)算設(shè)備的框圖�����。計(jì)算設(shè)備200可包括硬件220��,硬件220可包括端口����,諸如有線端口 225或無(wú)線端口 245�����。有線端口 225可以是例如通用串行端口、IEEE 1394端口���、雷電端口�、sata端口或別的有線連接���。無(wú)線端口 245可是諸如藍(lán)牙端口���、wifi端口、wwan端口或別的無(wú)線連接之類的端口�����。
[0019]諸如特權(quán)域205之類的���、位于第一來(lái)賓域210外部并且與第一來(lái)賓域210隔離的域�,作為所有外圍設(shè)備的安全隔離區(qū)�����,在這里所有外圍設(shè)備可在被暴露至用戶操作環(huán)境之前根據(jù)需要首先被枚舉�����、分析、認(rèn)證和/或矯正�。此外,一些類型的設(shè)備可完全與第一來(lái)賓域210阻隔�����。
[0020]一旦管理程序?qū)/O控制器映射至特權(quán)域���,特權(quán)域就成為第一個(gè)將存在于硬件220層的任何外圍枚舉給端口控制器的域�。在該層可進(jìn)行策略決定��,但是特權(quán)域205可以是高度安全的環(huán)境����。由于該高度安全的環(huán)境,所以外圍可連接至虛擬裝置235�,虛擬裝置235的唯一作用是實(shí)施與外圍設(shè)備相有關(guān)的策略設(shè)置。該虛擬裝置235可基于與多個(gè)可能的機(jī)制��、設(shè)備類別認(rèn)證�����、設(shè)備類別配置策略實(shí)施�、設(shè)備類別白名單或黑名單、特定設(shè)備白名單�、抽象用戶交互、設(shè)備類別認(rèn)證或別的策略設(shè)置有關(guān)的預(yù)配置策略設(shè)置�,來(lái)決定如何或者甚至是否將該外圍設(shè)備暴露至第一來(lái)賓域210。
[0021]作為示例���,對(duì)USB人機(jī)交互設(shè)備而言�,特權(quán)域檢測(cè)設(shè)備插入�����。該人機(jī)交互設(shè)備相對(duì)于第一來(lái)賓域210的隨后暴露被延遲�����,直到該設(shè)備被分析����。特權(quán)域?qū)⒃撛O(shè)備視作不友好的,直到該設(shè)備可通過(guò)外圍相關(guān)任務(wù)被認(rèn)證為所指示的設(shè)備����。對(duì)于諸如鍵盤(pán)或鼠標(biāo)之類的人機(jī)交互設(shè)備而言,這可能通過(guò)經(jīng)由顯示子系統(tǒng)向用戶呈現(xiàn)詢問(wèn)來(lái)實(shí)現(xiàn)���。這可以通過(guò)安全圖形用戶界面來(lái)完成��,使得該詢問(wèn)對(duì)于諸如第一來(lái)賓域210之類的任何來(lái)賓域是不可見(jiàn)的����。該詢問(wèn)可以包括向用戶呈現(xiàn)隨機(jī)字符以及圖形鍵盤(pán),并且等待用戶通過(guò)利用鼠標(biāo)點(diǎn)擊圖形鍵盤(pán)上正確順序的按鍵或者通過(guò)使用鍵盤(pán)輸入字符來(lái)輸入這些字符���。外圍相關(guān)任務(wù)230可保證最終的輸入來(lái)自于被插入的設(shè)備��。以此方式�,外圍相關(guān)任務(wù)可認(rèn)證該設(shè)備的確充當(dāng)用于機(jī)器操作者的人機(jī)交互設(shè)備����,而不是簡(jiǎn)單地被認(rèn)為是人機(jī)交互設(shè)備。
[0022]管理程序215可管理諸如特權(quán)域205和第一來(lái)賓域210的各種域�。在管理這些域時(shí),管理程序可賦予特權(quán)域?qū)τ芯€端口 225或無(wú)線端口 245的訪問(wèn)權(quán)��。這可防止第一來(lái)賓域210訪問(wèn)連接至有線端口 225或無(wú)線端口 245的外圍����。在一個(gè)實(shí)施例中,特權(quán)域?qū)τ布?20有直接訪問(wèn)權(quán),而第一來(lái)賓域210對(duì)硬件220沒(méi)有直接訪問(wèn)權(quán)����。
[0023]第一來(lái)賓域210可以包括一界面�����,該界面可用來(lái)確定第一來(lái)賓域210可訪問(wèn)連接至有線端口 225或無(wú)線端口 245的外圍的數(shù)量���。第一來(lái)賓域可以例如對(duì)外圍具有完全訪問(wèn)權(quán)����,可以對(duì)外圍沒(méi)有訪問(wèn)權(quán)�����,可以接收文本中關(guān)于外圍的信息���,以便保證惡意指令不嵌入在第一來(lái)賓域所傳輸和接收的數(shù)據(jù)中��。該文本可以是ascii格式�,并且如果外圍設(shè)備是存儲(chǔ)設(shè)備��,則文本可以是外圍設(shè)備上的一系列文件。特權(quán)域205或外圍相關(guān)任務(wù)可以創(chuàng)建表示外圍設(shè)備上的這些文件的文本列表����。于是,用戶能夠選擇第一來(lái)賓域可訪問(wèn)的文件����,同時(shí)其它文件將繼續(xù)通過(guò)文本表示來(lái)識(shí)別。如果選擇一文件�,那么特權(quán)域205可將該文件發(fā)送至第一來(lái)賓域210,或者可允許第一來(lái)賓域210通過(guò)特權(quán)域205訪問(wèn)外圍設(shè)備��。這可以通過(guò)簡(jiǎn)單的遠(yuǎn)程過(guò)程調(diào)用(RPC)或僅傳輸文件的文本信息(文件名�����、大小��、r/w/x屬性����、修改日期等)的其它域內(nèi)通信機(jī)制來(lái)實(shí)現(xiàn)?���?梢韵蛴脩籼峁?duì)話,以允許用戶或允許外圍完全“插入”到第一來(lái)賓域210的文件系統(tǒng)內(nèi)、或彈出外圍或介于二者之間����。“介于二者之間”的示例是用戶可通過(guò)RPC決定將例如文本經(jīng)由通信信道向存儲(chǔ)設(shè)備傳輸/從存儲(chǔ)設(shè)備傳輸��,而不是允許文本插入第一來(lái)賓域環(huán)境內(nèi)作為第一來(lái)賓域的文件系統(tǒng)的一部分���。
[0024]外圍相關(guān)任務(wù)還可以包括用于確定自動(dòng)運(yùn)行文件是否位于外圍設(shè)備上的邏輯。該邏輯可以位于特權(quán)域����、虛擬裝置或別的來(lái)賓域中,并且可防止第一來(lái)賓域210訪問(wèn)自動(dòng)運(yùn)行文件��。自動(dòng)運(yùn)行文件是在連接外圍設(shè)備時(shí)域可以搜索的文件���。如果檢測(cè)到自動(dòng)運(yùn)行文件��,那么該域可以運(yùn)行自動(dòng)運(yùn)行文件中的應(yīng)用程序或指令�����。如果自動(dòng)運(yùn)行文件要安裝惡意軟件��,那么用戶可以通過(guò)將外圍連接至計(jì)算設(shè)備200上的端口來(lái)安裝該惡意軟件�����,然而����,通過(guò)外圍相關(guān)任務(wù)240移除自動(dòng)運(yùn)行文件或者防止第一來(lái)賓域210訪問(wèn)自動(dòng)運(yùn)行文件,第一來(lái)賓域可能不自動(dòng)安裝來(lái)自外圍設(shè)備的惡意軟件���。
[0025]外圍相關(guān)任務(wù)230可以包括黑名單230或者可訪問(wèn)黑名單250��。黑名單250可以包括防止第一來(lái)賓域210訪問(wèn)的外圍設(shè)備的列表����。外圍相關(guān)任務(wù)230還可以訪問(wèn)白名單�,該白名單是在允許第一來(lái)賓域210訪問(wèn)外圍之前系統(tǒng)在不執(zhí)行任務(wù)的情況下可以訪問(wèn)的設(shè)備的列表。
[0026]可配置特權(quán)域205黑名單250策略����,使得阻止所有特定類型的設(shè)備暴露至第一來(lái)賓域210。例如�����,可以將策略設(shè)置為指示特權(quán)域205阻止全部USB大容量存儲(chǔ)類設(shè)備暴露至第一來(lái)賓域210。
[0027]該策略可以包括“學(xué)習(xí)模式”����,其能使管理者將已知好的設(shè)備連接至平臺(tái),此時(shí)特權(quán)域205可存儲(chǔ)設(shè)備信息用于之后比較��。在正常操作時(shí)��,每當(dāng)外圍設(shè)備附接至端口���,特權(quán)域就可將每個(gè)設(shè)備與白名單進(jìn)行比較,并且在將每個(gè)設(shè)備傳遞至第一來(lái)賓域210之前要求匹配���。這可能是十分嚴(yán)格的��,因?yàn)槠鋬H能允許具有已位于白名單中的諸如序列號(hào)的信息的設(shè)備�����,使得位于該白名單中的特定設(shè)備工作�,或者可將其配置為不太嚴(yán)格的��,使得忽略該序列號(hào)�����,并且所有那些特定設(shè)備均可被傳遞通過(guò)第一來(lái)賓域210。
[0028]外圍相關(guān)任務(wù)230可以執(zhí)行掃描器240�。掃描器240可在允許第一來(lái)賓域210訪問(wèn)外圍設(shè)備之前掃描該外圍設(shè)備的內(nèi)容中的惡意代碼。例如��,掃描器可以掃描外圍設(shè)備的內(nèi)容中的病毒���、惡意軟件或其它惡意代碼�。掃描器可以在賦予第一來(lái)賓域210對(duì)外圍設(shè)備的訪問(wèn)之前從外圍中移除病毒���,或者可以允許第一來(lái)賓域210訪問(wèn)被掃描且被顯示為不含病毒或惡意軟件的內(nèi)容��。
[0029]圖3是根據(jù)示例性實(shí)現(xiàn)的界面���。界面300可以是安全的圖形用戶界面。該界面可用來(lái)選擇第一來(lái)賓域與外圍設(shè)備通信所具有的訪問(wèn)級(jí)別����。例如,該界面可以請(qǐng)用戶為已經(jīng)被特權(quán)域檢測(cè)到的外圍設(shè)備選擇訪問(wèn)級(jí)別���。選擇的示例可以是拒絕設(shè)備���、將設(shè)備集成為文件系統(tǒng)的一部分��,或者經(jīng)由安全信道與外圍設(shè)備通信�。該界面可以允許用戶創(chuàng)建或管理由外圍相關(guān)任務(wù)或特權(quán)域?qū)崿F(xiàn)的策略����,如創(chuàng)建白名單或黑名單。
[0030]圖4是根據(jù)示例性實(shí)現(xiàn)的與連接至計(jì)算設(shè)備的外圍進(jìn)行通信的方法的流程圖�����。該方法包括在405將外圍相關(guān)任務(wù)與第一來(lái)賓域210隔離�。與第一來(lái)賓域隔離的外圍相關(guān)任務(wù)可以是外圍相關(guān)任務(wù)130。在410可生成用于執(zhí)行外圍相關(guān)任務(wù)130的虛擬裝置���。虛擬裝置的生成可由特權(quán)域啟動(dòng)。在415���,虛擬裝置可從外圍接收外圍的類型的指示����。外圍的類型可以是例如存儲(chǔ)設(shè)備�����、諸如鍵盤(pán)或鼠標(biāo)之類的人機(jī)交互設(shè)備、或者諸如顯示器或打印機(jī)之類的輸出設(shè)備����。在420,虛擬裝置可驗(yàn)證外圍的類型���。驗(yàn)證可以包括要求用戶在鍵盤(pán)上敲入隨機(jī)碼��,這可防止存儲(chǔ)設(shè)備將其自身識(shí)別為鍵盤(pán)并且引起諸如開(kāi)始程序之類的鍵盤(pán)輸入���。在425,可防止第一來(lái)賓域與外圍進(jìn)行通信�,直到外圍的類型被驗(yàn)證。
[0031]圖5是根據(jù)示例性實(shí)現(xiàn)的與連接至計(jì)算設(shè)備的外圍進(jìn)行通信的方法的流程圖�。該方法包括在505將外圍相關(guān)任務(wù)與第一來(lái)賓域210隔尚。與第一來(lái)賓域隔尚的外圍相關(guān)任務(wù)可以是外圍相關(guān)任務(wù)130����。在510,虛擬裝置可執(zhí)行外圍相關(guān)任務(wù)130�。虛擬裝置可執(zhí)行諸如可能不通過(guò)特權(quán)域執(zhí)行的外圍相關(guān)任務(wù)的任務(wù)。在515�,虛擬裝置可從外圍接收外圍的類型的指示����。外圍的類型可以是例如存儲(chǔ)設(shè)備����、諸如鍵盤(pán)或鼠標(biāo)之類的人機(jī)交互設(shè)備、或者諸如顯示器或打印機(jī)之類的輸出設(shè)備���。在520�����,虛擬裝置可驗(yàn)證外圍的類型��。該驗(yàn)證可以包括要求用戶在鍵盤(pán)上敲入隨機(jī)碼�。這可防止存儲(chǔ)設(shè)備將其自身識(shí)別為鍵盤(pán)并且引起諸如開(kāi)始程序之類的鍵盤(pán)輸入����。在525���,可防止第一來(lái)賓域110與外圍進(jìn)行通信���,直到外圍的類型被驗(yàn)證��。
[0032]該方法可包括在530處在允許第一來(lái)賓域訪問(wèn)外圍設(shè)備之前掃描外圍設(shè)備的內(nèi)容中的惡意代碼��。惡意代碼的掃描可以包括病毒掃描���、惡意軟件掃描或別的掃描。在535�����,可選擇第一來(lái)賓域與外圍設(shè)備通信所具有的訪問(wèn)級(jí)別�。該訪問(wèn)級(jí)別可基于由外圍相關(guān)任務(wù)實(shí)現(xiàn)的策略。策略可以是預(yù)確定的��,或者可以由第一來(lái)賓域的用戶選擇�����。該方法可以包括在540處確定自動(dòng)運(yùn)行文件是否位于外圍設(shè)備上����。外圍相關(guān)任務(wù)可防止第一來(lái)賓域訪問(wèn)自動(dòng)運(yùn)行文件。外圍相關(guān)任務(wù)可以移除自動(dòng)運(yùn)行文件�,防止第一來(lái)賓域訪問(wèn)自動(dòng)運(yùn)行文件,或者僅允許與外圍設(shè)備上的文件進(jìn)行安全通信,如僅示出外圍設(shè)備上的文件的基于ascii文本的列表���。
[0033]圖6是根據(jù)示例性實(shí)現(xiàn)的包括計(jì)算機(jī)可讀介質(zhì)的計(jì)算系統(tǒng)����。非瞬態(tài)計(jì)算機(jī)可讀介質(zhì)615或616可包括可由處理器605執(zhí)行的代碼��,如域或外圍相關(guān)任務(wù)���。處理器605可連接至控制器集線器610���。控制器集線器可通過(guò)圖形控制器620連接至顯示器630����、鍵盤(pán)635、鼠標(biāo)640和諸如網(wǎng)絡(luò)相機(jī)之類的傳感器645�����。鍵盤(pán)635���、鼠標(biāo)640�����、顯示器630���、傳感器645和計(jì)算機(jī)可讀介質(zhì)615和616是可通過(guò)端口連接至計(jì)算設(shè)備600的外圍設(shè)備的一些示例?��?刂破骷€器可以包括端口��,或者在外圍和用于實(shí)現(xiàn)外圍和處理器605之間通信的控制器集線器610之間可以存在其它組件���。
[0034]特權(quán)域如果被執(zhí)行,則可使計(jì)算設(shè)備將外圍相關(guān)任務(wù)與第一來(lái)賓域隔離�����。特權(quán)域可促使虛擬裝置生成���,來(lái)執(zhí)行外圍相關(guān)任務(wù)���。虛擬裝置可從外圍接收外圍的類型的指示。外圍相關(guān)任務(wù)可驗(yàn)證外圍的類型�����,并且防止第一來(lái)賓域與外圍進(jìn)行通信,直到外圍的類型被驗(yàn)證���。外圍相關(guān)任務(wù)可以在允許第一來(lái)賓域訪問(wèn)外圍設(shè)備之前掃描外圍設(shè)備的內(nèi)容中的惡意代碼��。外圍相關(guān)任務(wù)可以允許通過(guò)界面選擇第一來(lái)賓域與外圍設(shè)備通信所具有的訪問(wèn)級(jí)別�����。
[0035]上面描述的技術(shù)可以體現(xiàn)在用于將計(jì)算系統(tǒng)配置為執(zhí)行該方法的計(jì)算機(jī)可讀介質(zhì)�。計(jì)算機(jī)可讀介質(zhì)可以例如包括但不限于以下介質(zhì)中的任意多個(gè):包括磁盤(pán)和磁帶存儲(chǔ)介質(zhì)的磁性存儲(chǔ)介質(zhì)��;光存儲(chǔ)介質(zhì)��,如光盤(pán)介質(zhì)(例如CD-ROM�����、CD-R等)和數(shù)字視頻光盤(pán)存儲(chǔ)介質(zhì)����;全息存儲(chǔ)器;包括基于半導(dǎo)體的存儲(chǔ)單元的非易失性存儲(chǔ)器存儲(chǔ)介質(zhì)�����,如FLASH存儲(chǔ)器、EEPROM���、EPROM、ROM ;鐵磁數(shù)字存儲(chǔ)器����;包括寄存器、緩沖器或緩存�����、主存儲(chǔ)器�、RAM等的易失性存儲(chǔ)介質(zhì);以及互聯(lián)網(wǎng)等等����。可以利用其它新的各種類型的計(jì)算機(jī)可讀介質(zhì)來(lái)存儲(chǔ)在本文中論述的軟件模塊����。計(jì)算系統(tǒng)可以以多種形式存在,包括但不限于大型機(jī)�、小型計(jì)算機(jī)�����、服務(wù)器��、工作站�、個(gè)人計(jì)算機(jī)�����、掌上電腦����、個(gè)人數(shù)字助理、各種無(wú)線設(shè)備和嵌入式系統(tǒng)�����、
坐坐寸寸ο
[0036]在上述的描述中�����,闡述了大量細(xì)節(jié)���,以便提供對(duì)本發(fā)明的理解����。然而,本領(lǐng)域技術(shù)人員應(yīng)理解���,在沒(méi)有這些細(xì)節(jié)的情況下也可實(shí)踐本發(fā)明����。盡管關(guān)于有限數(shù)量的實(shí)施例公開(kāi)了本發(fā)明��,但本領(lǐng)域的技術(shù)人員應(yīng)意識(shí)到由此產(chǎn)生的大量修改和變化�����。所附權(quán)利要求旨在覆蓋落入本發(fā)明的真正精神和范圍內(nèi)的此類修改和變化���。
【權(quán)利要求】
1.一種計(jì)算設(shè)備,包括: 第一來(lái)賓域����; 外圍相關(guān)任務(wù),與所述第一來(lái)賓域隔離���; 端口����,用于連接外圍設(shè)備;以及 特權(quán)域�,用于使所述外圍相關(guān)任務(wù)被執(zhí)行來(lái)識(shí)別所述外圍設(shè)備,其中如果確定所述外圍是惡意的���,則所述外圍相關(guān)任務(wù)防止所述第一來(lái)賓域與所述外圍進(jìn)行通信�。
2.根據(jù)權(quán)利要求1所述的設(shè)備��,其中所述特權(quán)域生成用于執(zhí)行所述外圍相關(guān)任務(wù)的虛擬裝置���。
3.根據(jù)權(quán)利要求1所述的設(shè)備��,其中所述端口是有線端口或無(wú)線端口�����。
4.根據(jù)權(quán)利要求1所述的設(shè)備��,進(jìn)一步包括位于所述第一來(lái)賓域中的����、用于接收所述外圍設(shè)備的內(nèi)容的文本列表的邏輯�。
5.根據(jù)權(quán)利要求1所述的設(shè)備��,進(jìn)一步包括用于確定自動(dòng)運(yùn)行文件是否位于所述外圍設(shè)備上的邏輯�����,其中所述外圍相關(guān)任務(wù)防止所述第一來(lái)賓域訪問(wèn)所述自動(dòng)運(yùn)行文件����。
6.根據(jù)權(quán)利要求1所述的設(shè)備�,進(jìn)一步包括所述外圍設(shè)備的黑名單,所述黑名單用于防止所述第一來(lái)賓域訪問(wèn)所述外圍設(shè)備�����。
7.根據(jù)權(quán)利要求1所述的設(shè)備����,進(jìn)一步包括掃描器���,所述掃描器用于在允許所述第一來(lái)賓域訪問(wèn)所述外圍設(shè)備之前掃描所述外圍設(shè)備的內(nèi)容中的惡意代碼���。
8.根據(jù)權(quán)利要求1所述的設(shè)備,進(jìn)一步包括界面����,所述界面用于選擇所述第一來(lái)賓域與所述外圍設(shè)備通信所具有的訪問(wèn)級(jí)別`�����。
9.一種與連接至計(jì)算設(shè)備的外圍進(jìn)行通信的方法�,包括: 將外圍相關(guān)任務(wù)與第一來(lái)賓域隔離�; 生成用于執(zhí)行所述外圍相關(guān)任務(wù)的虛擬裝置; 通過(guò)所述虛擬裝置從所述外圍接收外圍的類型�����; 通過(guò)所述虛擬裝置驗(yàn)證外圍的所述類型���;以及 防止所述第一來(lái)賓域與所述外圍進(jìn)行通信��,直到外圍的所述類型被驗(yàn)證�����。
10.根據(jù)權(quán)利要求1所述的方法���,在允許所述第一來(lái)賓域訪問(wèn)所述外圍設(shè)備之前掃描所述外圍設(shè)備的內(nèi)容中的惡意代碼。
11.根據(jù)權(quán)利要求1所述的方法,選擇所述第一來(lái)賓域與所述外圍設(shè)備通信所具有的訪問(wèn)級(jí)別����。
12.根據(jù)權(quán)利要求1所述的方法,確定自動(dòng)運(yùn)行文件是否位于所述外圍設(shè)備上�����,其中所述虛擬裝置防止所述第一來(lái)賓域訪問(wèn)所述自動(dòng)運(yùn)行文件�。
13.一種非瞬態(tài)計(jì)算機(jī)可讀介質(zhì),包括特權(quán)域���,所述特權(quán)域如果被處理器執(zhí)行則使計(jì)算設(shè)備進(jìn)行以下操作: 將外圍相關(guān)任務(wù)與第一來(lái)賓域隔離�; 生成用于執(zhí)行所述外圍相關(guān)任務(wù)的虛擬裝置���; 通過(guò)所述虛擬裝置從所述外圍接收外圍的類型����; 通過(guò)所述虛擬裝置驗(yàn)證外圍的所述類型�����;以及 防止所述第一來(lái)賓域與所述外圍進(jìn)行通信�,直到外圍的所述類型被驗(yàn)證。
14.根據(jù)權(quán)利要求13所述的計(jì)算機(jī)可讀介質(zhì)�����,進(jìn)一步包括外圍相關(guān)任務(wù)�����,所述外圍相關(guān)任務(wù)如果被執(zhí)行則使計(jì)算設(shè)備進(jìn)行以下操作: 在允許所述第一來(lái)賓域訪問(wèn)所述外圍設(shè)備之前�,掃描所述外圍設(shè)備的內(nèi)容中的惡意代碼。
15.根據(jù)權(quán)利要求13所述的計(jì)算機(jī)可讀介質(zhì)����,進(jìn)一步包括外圍相關(guān)任務(wù),所述外圍相關(guān)任務(wù)如果被執(zhí)行則使計(jì)算設(shè)備進(jìn)行以下操作: 通過(guò)界面選擇所述第 一來(lái)賓域與所述外圍設(shè)備通信所具有的訪問(wèn)級(jí)別���。
【文檔編號(hào)】G06F21/55GK103620612SQ201180071768
【公開(kāi)日】2014年3月5日 申請(qǐng)日期:2011年7月12日 優(yōu)先權(quán)日:2011年7月12日
【發(fā)明者】杰夫·讓索納, 瓦利·阿利, 詹姆斯·M·曼 申請(qǐng)人:惠普發(fā)展公司��,有限責(zé)任合伙企業(yè)