專利名稱:對加密數(shù)據(jù)進(jìn)行訪問控制和入侵檢測的方法���、裝置和系統(tǒng)的制作方法
對加密數(shù)據(jù)進(jìn)行訪問控制和入侵檢測的方法�、裝置和系統(tǒng)
背景技術(shù):
目前存在各種入侵檢測系統(tǒng)�����,通過檢測對數(shù)據(jù)潛在的攻擊以增強(qiáng)計(jì)算
機(jī)平臺上數(shù)據(jù)的安全性���。這些入侵檢測系統(tǒng)(IDS)的一個(gè)局限是它們通常僅 對未加密數(shù)據(jù)和/或已加密但密鑰已提供給入侵檢測系統(tǒng)的數(shù)據(jù)進(jìn)行監(jiān)領(lǐng)" 因此����,例如����,盡管IDS能夠在網(wǎng)絡(luò)業(yè)務(wù)(traffic)被加密并發(fā)送給預(yù)期的接收 者之前讀取網(wǎng)絡(luò)業(yè)務(wù),但是由于多數(shù)應(yīng)用程序(application)通常在將數(shù)據(jù)發(fā) 送到網(wǎng)絡(luò)驅(qū)動程序之前(即在數(shù)據(jù)被IDS接收之前)由自己對數(shù)據(jù)進(jìn)行了加 密,所以IDS "看到"加密數(shù)據(jù)但卻無法檢査����。因此,除非配備了解密密 鑰���,現(xiàn)有的IDS通常無法對加密數(shù)據(jù)進(jìn)行入侵檢測����,即便IDS可能是共駐 在發(fā)送和接收業(yè)務(wù)的設(shè)備上也是如此�����。
本發(fā)明通過附圖中各圖以示例性而不是限制性的方式加以說明���,圖中 相j以的標(biāo)記表示相似的元素����,其中
圖1示出入侵檢測系統(tǒng)典型的現(xiàn)有實(shí)現(xiàn)���;
圖2示出示例性AMT環(huán)境���;
圖3示出示例性虛擬機(jī)主機(jī)�;
圖4概念性地示出本發(fā)明實(shí)施例的組件��;
圖5是說明本發(fā)明實(shí)施例的流程圖�����。
具體實(shí)施例方式
本發(fā)明的實(shí)施例提供了對加密數(shù)據(jù)進(jìn)行訪問控制和入侵檢測的方法�����、 裝置和系統(tǒng)�����。更確切地�,本發(fā)明的實(shí)施例提供了利用直接存儲器存取 ("DMA")來支持對平臺中的加密數(shù)據(jù)進(jìn)行訪問控制和入侵檢測的方案����。 說明中對本發(fā)明"一個(gè)實(shí)施例"或"實(shí)施例"的提及表示結(jié)合該實(shí)施例描 述的特定特性、結(jié)果或特征至少包含在本發(fā)明的一個(gè)實(shí)施例中����。因此,出現(xiàn)在整個(gè)說明書中各個(gè)位置的"在一個(gè)實(shí)施例中"�、"根據(jù)一個(gè)實(shí)施例"或 類似的短語,其出現(xiàn)并不一定都指代同一個(gè)實(shí)施例。
圖1概念性地示出典型網(wǎng)絡(luò)中的IDS��。如圖所示����,該網(wǎng)絡(luò)("網(wǎng)絡(luò)100") 可以包含兩個(gè)或更多節(jié)點(diǎn)("節(jié)點(diǎn)110"和"節(jié)點(diǎn)120")和一IDS("IDS 150")。 對于本領(lǐng)域技術(shù)人員來說顯而易見的是��,盡管只示出了兩個(gè)節(jié)點(diǎn)�,但另外 的節(jié)點(diǎn)也可以存在于網(wǎng)絡(luò)110中。此外�,對于本領(lǐng)域技術(shù)人員來說顯而易 見的是,網(wǎng)絡(luò)100可以包括多種類型的網(wǎng)絡(luò)(局域網(wǎng)�、廣域網(wǎng)等)。IDS 150 可以監(jiān)測節(jié)點(diǎn)110與節(jié)點(diǎn)120 (以及網(wǎng)絡(luò)100中的其它節(jié)點(diǎn))之間的業(yè)務(wù)�。 如圖所示,節(jié)點(diǎn)間的網(wǎng)絡(luò)業(yè)務(wù)可以包括未加密的業(yè)務(wù)("未加密的網(wǎng)絡(luò)業(yè)務(wù) 130")和加密的業(yè)務(wù)("加密的網(wǎng)絡(luò)業(yè)務(wù)140" )�。 IDS 150能夠檢查未加密 的網(wǎng)絡(luò)業(yè)務(wù)130來確定數(shù)據(jù)是否已泄密(compromised),但可能無法對加密 的網(wǎng)絡(luò)業(yè)務(wù)140進(jìn)行任何形式的檢查����,除非節(jié)點(diǎn)110和域節(jié)點(diǎn)120上的應(yīng) 用程序手動地將解密密鑰提供給IDS 150來對業(yè)務(wù)在檢査前先進(jìn)行解密。 因此���,除非節(jié)點(diǎn)110和/或節(jié)點(diǎn)120上的應(yīng)用程序同IDS 150合作��,否則加 密的網(wǎng)絡(luò)業(yè)務(wù)140通常無法被IDS 150訪問����。
本發(fā)明的實(shí)施例允許對網(wǎng)絡(luò)上節(jié)點(diǎn)間的加密業(yè)務(wù)進(jìn)行監(jiān)測,而不需要 來自在節(jié)點(diǎn)上運(yùn)行的應(yīng)用程序的信息和/或合作���。由于IDS已具有監(jiān)測未加 密數(shù)據(jù)的能力�����,下面對本發(fā)明實(shí)施例的描述集中在對加密數(shù)據(jù)的入侵檢測 上��。更確切地,在一個(gè)實(shí)施例中����,監(jiān)測分區(qū)可利用DMA來訪問節(jié)點(diǎn)上的 安全密鑰,以對加密數(shù)據(jù)進(jìn)行入侵檢測���。DMA通常使計(jì)算機(jī)系統(tǒng)中獨(dú)立 的組件能夠直接訪問系統(tǒng)的隨機(jī)存取存儲器("RAM")�����,而不必與操作系 統(tǒng)進(jìn)行交互�����。DMA的概念對于本領(lǐng)域技術(shù)人員來說是公知的�,此處略去 對其的進(jìn)一步描述,以避免不必要地使本發(fā)明的實(shí)施例難以理解����。
監(jiān)測分區(qū)可以包括各種不同類型的分區(qū),包括完全獨(dú)立的硬件分區(qū)(如 利用英特爾⑧公司的主動管理技術(shù)(Active Management Technology, "AMT")�����、"管理引擎"(Manageability Engine,"ME")�、平臺資源層(Platform Resource Layer, "PRL")、和/或其它同等或類似的技術(shù))����、和/或虛擬化分 區(qū)(例如英特爾⑧公司虛擬化技術(shù)(Virtualization Technology, "VT")方案中 的虛擬機(jī))。對于本領(lǐng)域技術(shù)人員來說顯而易見的是�����,虛擬化主機(jī)也可以被 用來實(shí)現(xiàn)AMT�����、 ME和PRL技術(shù)(如下進(jìn)一步詳細(xì)描述)。示例性地���,圖2概念性地說明了英特爾⑧公司實(shí)現(xiàn)的典型的AMT環(huán)境�����。 對于本領(lǐng)域技術(shù)人員來說顯而易見的是����,本發(fā)明的實(shí)施例還可以實(shí)現(xiàn)在其 它與AMT類似或等同的實(shí)現(xiàn)中���。僅對與描述AMT環(huán)境有關(guān)的組件進(jìn)行了 說明�,以避免不必要地使本發(fā)明的實(shí)施例難以理解���,但對于本領(lǐng)域技術(shù)人 員來說顯而易見的是,另外的組件可以被包括進(jìn)來�,而并不違背本發(fā)明實(shí) 施例的實(shí)質(zhì)。
因此�,如圖2所示, 一個(gè)節(jié)點(diǎn)("節(jié)點(diǎn)200")可以包括主機(jī)操作系統(tǒng)(host operating system)("主機(jī)OS 210")和系統(tǒng)硬件("硬件250")�����。根據(jù)一個(gè)實(shí) 施例,硬件250可以包括兩個(gè)處理器���,其中一個(gè)("主處理器205")執(zhí)行主 機(jī)OS 210的通常處理任務(wù)�����,而另一個(gè)("AMT 220"的"專用處理器215") 可以排他地專用于通過專用分區(qū)來管理設(shè)備���。每個(gè)處理器可以具有節(jié)點(diǎn) 200上關(guān)聯(lián)的資源,并且這些處理器還可以共享一個(gè)或多個(gè)其它資源�����。因 此�����,如此例所示���,主處理器205和專用處理器215每個(gè)可以具有它們專用 的部分存儲器(分別為"主存儲器225"和"專用存儲器230")�����,但它們可 以共享一個(gè)網(wǎng)絡(luò)接口卡("NIC235")����。
類似地,如圖3所示�����,如果該節(jié)點(diǎn)("節(jié)點(diǎn)300")是虛擬化的�,那么它 僅可以包括單個(gè)處理器,但設(shè)備上的虛擬機(jī)監(jiān)視器("VMM 330")可以呈 現(xiàn)設(shè)備或主機(jī)的多個(gè)抽象和/或視圖����,使得主機(jī)的底層硬件看起來是一個(gè)或 多個(gè)獨(dú)立運(yùn)行的虛擬機(jī)("VM" )。 VMM330可以以軟件(例如作為單獨(dú)的 程序和/或主機(jī)操作系統(tǒng)的組件)��、硬件��、固件和域它們的任意組合來實(shí)現(xiàn)��。 VMM330管理主機(jī)上資源的分配�,并依需要進(jìn)行上下文切換��,從而根據(jù)輪 詢或其它預(yù)定方案在各個(gè)VM之間循環(huán)����。對于本領(lǐng)域技術(shù)人員來說顯而易 見的是���,盡管只示出一個(gè)處理器("主處理器305"),本發(fā)明實(shí)施例并不限 于此���,也可以在虛擬化環(huán)境中利用多個(gè)處理器�����。
盡管只示出了兩個(gè)VM分區(qū)("VM 310"和"VM 320"���,以下統(tǒng)稱為 "VM"),但是這些VM僅僅是說明性的,另外的虛擬機(jī)也可以加到主機(jī) 中����。VM310和VM 320可以分別作為獨(dú)立平臺起作用,運(yùn)行它們自己的"客 戶操作系統(tǒng)"(即由VMM 330主控的操作系統(tǒng)����,示作"客戶OS 311"和"客 戶OS 321",以下統(tǒng)稱為"客戶OS")和其它軟件(示作"客戶軟件312" 和"客戶軟件322"�����,以下統(tǒng)稱為"客戶軟件")。每個(gè)客戶os和/或客戶軟件工作時(shí)好像其是運(yùn)行在專用計(jì)算機(jī)上����,而 不是虛擬機(jī)上。艮P�����,每個(gè)客戶os和域客戶軟件可以期待控制各種事件并
對主機(jī)IOO上的硬件資源進(jìn)行訪問��。在每個(gè)VM中�,客戶OS和/或客戶軟 件可以表現(xiàn)為它們實(shí)際上好像是運(yùn)行在節(jié)點(diǎn)300的物理硬件上("主機(jī)硬件 340",其可以包括網(wǎng)絡(luò)接口卡("NIC350"))����。
對于本領(lǐng)域技術(shù)人員來說顯而易見的是,具有專用處理器的物理硬件 分區(qū)(例如�,如圖2所示)可以提供比虛擬化分區(qū)(如圖3所示)更高級別的安 全性,但本發(fā)明的實(shí)施例可以在任一環(huán)境和/或這些環(huán)境的組合中實(shí)行�,以 提供不同級別的安全性。對于本領(lǐng)域技術(shù)人員來說同樣顯而易見的是����, AMT、 ME或PRL平臺可以在虛擬化環(huán)境中實(shí)現(xiàn)����。例如,VM 320可以專 門用作主機(jī)上的AMT分區(qū)����,而由VM 310運(yùn)行主機(jī)上典型的應(yīng)用程序。 在此情形中���,主機(jī)可能包含或可能不包含多個(gè)處理器��。如果主機(jī)確實(shí)包含 兩個(gè)處理器����,例如�,VM 320可以分配到專用處理器215而VM310(和主 機(jī)上的其它VM)可以共享主處理器205的資源。另一方面���,如果主機(jī)只包 含單個(gè)處理器����,則該處理器可為兩個(gè)VM服務(wù)���,但VM 320仍然可以在 VMM 330協(xié)作下與主機(jī)上的其它VM隔離開��。出于簡明的目的�����,本發(fā)明 的實(shí)施例在AMT環(huán)境中進(jìn)行描述�,但本發(fā)明的實(shí)施例并不限于此。相反�����, 任何對AMT��、"分區(qū)"�、"安全分區(qū)"、"安全性分區(qū)"和/或"管理分區(qū)"的 提及都應(yīng)包括任何物理和/或虛擬分區(qū)(如上所述)�����。
圖4示出了本發(fā)明的一個(gè)實(shí)施例����。如圖所示,根據(jù)本發(fā)明的一個(gè)實(shí)施 例���,計(jì)算設(shè)備("節(jié)點(diǎn)400")可以包括至少三個(gè)邏輯組件��,即包括主機(jī)操作 系統(tǒng)("主機(jī)OS 405")的主機(jī)分區(qū)�����、網(wǎng)絡(luò)硬件個(gè)件("NIC 410")和如AMT ("AMT415")這樣的專用分區(qū)�。如前所述����,盡管下述描述采用了 AMT, 本發(fā)明的實(shí)施例并不限于此��。
根據(jù)本發(fā)明的實(shí)施例����,主機(jī)OS 405可以包括各種能夠進(jìn)行加密操作 的應(yīng)用程序(統(tǒng)示作"應(yīng)用程序420")、網(wǎng)絡(luò)驅(qū)動程序("驅(qū)動程序425")�����、 網(wǎng)絡(luò)棧("網(wǎng)絡(luò)棧430")和存儲器("存儲器450")�����。對于本領(lǐng)域技術(shù)人員 來說顯而易見的是���,應(yīng)用程序420可以包括各種通常執(zhí)行加密操作的應(yīng)用 程序��,例如虛擬專用網(wǎng)("VPN")應(yīng)用程序�����、防火墻應(yīng)用程序��、網(wǎng)關(guān)應(yīng)用 程序等等�����。在各種實(shí)施例中�����,應(yīng)用程序還可以包括其它組件����,例如特權(quán)組件(如內(nèi)核模塊)。因此���,此處任何對"應(yīng)用程序"的提及都應(yīng)被解讀為至
少包括上述組件���。在一個(gè)實(shí)施例中���,AMT 415可包括網(wǎng)絡(luò)驅(qū)動程序("驅(qū) 動程序435")和入侵檢測系統(tǒng)("IDS 440")。
在一個(gè)實(shí)施例中�,主機(jī)OS 405上的應(yīng)用程序420可建立到AMT 415 的連接。更確切地����,應(yīng)用程序420可以通過主機(jī)OS 504上的網(wǎng)絡(luò)驅(qū)動程 序425�,向驅(qū)動程序435發(fā)送請求,來建立到遠(yuǎn)程位置的加密連接�����。對于 本領(lǐng)域技術(shù)人員來顯而易見的是�����,"遠(yuǎn)程"位置可以是物理上遠(yuǎn)離節(jié)點(diǎn)400 (即通過網(wǎng)絡(luò))或者虛擬地遠(yuǎn)程的��,例如從一個(gè)VM到另一個(gè)��。通過建立加 密連接���,兩個(gè)端點(diǎn)可以安全地交換數(shù)據(jù)業(yè)務(wù)�,即該連接消除了其它應(yīng)用程 序和/或VM監(jiān)聽該數(shù)據(jù)業(yè)務(wù)的可能性。另外�,對于本領(lǐng)域技術(shù)人員來說顯 而易見的是,從一個(gè)分區(qū)到另一個(gè)分區(qū)的此連接可以是基于DMA的連接��, 該連接獲得VMM��、基本輸入輸出系統(tǒng)("BIOS")和/或分區(qū)間專門的物理 或邏輯通道的輔助���。在一個(gè)實(shí)施例中����,應(yīng)用程序420可能不產(chǎn)生請求��。相 反��,對應(yīng)用程序420可以僅僅作執(zhí)行檢査�,該檢查通過"存在性檢査"進(jìn) 行,如在已轉(zhuǎn)讓給本申請的受讓人的�、2005年6月30日提交的、序列號 為11/174,315的題為"Systems, Apparatuses and Methods for A Host Software Presence Check From An Isolated Partition"的共有未決申請中所示例性地描 述的���。存在性檢査還可以自動地建立從一個(gè)分區(qū)到另一個(gè)分區(qū)的連接���。不 過���,出于簡明的目的,下面的例子將采用前面的實(shí)施例�����,即該實(shí)施例中應(yīng) 用程序420發(fā)送建立連接的請求����。
來自應(yīng)用程序420的請求可以包括例如哪個(gè)端口被請求、數(shù)據(jù)業(yè)務(wù)的 源地址和目的地址等信息��。驅(qū)動程序425可以記錄來自應(yīng)用程序420的所 有信息�����,并將請求路由給AMT415上的驅(qū)動程序435���。使驅(qū)動程序425能 夠?qū)I(yè)務(wù)路由至驅(qū)動程序435而非至NIC 410是AMT平臺公知的特性, 因此此處略去對其進(jìn)一步的描述�,以免其不必要地使本發(fā)明實(shí)施例難于理 解。
AMT415中的驅(qū)動程序435可以將該請求傳送到合適的遠(yuǎn)程位置�,從 遠(yuǎn)程位置接收響應(yīng),并將響應(yīng)傳送回主機(jī)OS405上的驅(qū)動程序425。利用 響應(yīng)中包含的信息����,應(yīng)用程序420然后可以生成對稱會話密鑰。生成對稱 會話密鑰的過程對于本領(lǐng)域內(nèi)技術(shù)人員來說是公知的��,因此這里略去對其進(jìn)一步的描述��,以免其不必要地使本發(fā)明實(shí)施例難于理解�。在一個(gè)實(shí)施例
中,對稱會話密鑰("密鑰445")可以存儲在主機(jī)OS 405的存儲器("存儲 器450"沖��,但它不能被復(fù)制到主機(jī)OS 405的交換空間(即主機(jī)OS 405 上的虛擬存儲器)中�。
一旦加密連接被建立,應(yīng)用程序420便可以生成并傳送業(yè)務(wù)���,該業(yè)務(wù) 可從主機(jī)OS 405被路由至AMT415�����。如前所述����,在本發(fā)明的一個(gè)實(shí)施例 中�����,主機(jī)OS 405上的驅(qū)動程序425可被增強(qiáng),以將業(yè)務(wù)路由至AMT415 上的驅(qū)動程序435��。在一個(gè)實(shí)施例中��,AMT415可以采用一個(gè)或多個(gè)公知 的啟發(fā)式算法將業(yè)務(wù)識別為加密數(shù)據(jù)���。在此略去了對這些啟發(fā)式算法的說 明��,以免不必要地使本發(fā)明實(shí)施例難于理解����。 一旦識別出加密業(yè)務(wù)��,AMT 415可以檢查初始化過程中(即在連接最初被建立時(shí))從驅(qū)動程序425接收 到的信息����。從該信息中�,AMT415可以確定哪個(gè)應(yīng)用程序在發(fā)送數(shù)據(jù)和其 它與網(wǎng)絡(luò)連接有關(guān)的信息,如應(yīng)用程序420在存儲器450中的位置�。AMT 415然后可以利用DMA來確定應(yīng)用程序420在存儲器450中的位置并搜 索該存儲位置(memory location)以找到密鑰445。
在一個(gè)實(shí)施例中�����,AMT415可以將主機(jī)405的存儲器中密鑰445的存 儲器地址做標(biāo)記以便監(jiān)測。AMT 415可另外將密鑰445復(fù)制到AMT 415 的存儲器("存儲器455"沖����。之后,驅(qū)動程序435可以利用密鑰445對來 自應(yīng)用程序420的加密數(shù)據(jù)業(yè)務(wù)隨需進(jìn)行解密���,AMT415中的IDS 440可 以檢査所有數(shù)據(jù)����。典型地��,應(yīng)用程序420可以在預(yù)定一段時(shí)間或者預(yù)定數(shù) 量的業(yè)務(wù)生成之后更改密鑰445����。在一個(gè)實(shí)施例中,如果新密鑰在存儲器 450中的相同的存儲位置替換舊密鑰�,AMT415可以被告知該更改(因?yàn)樗?在監(jiān)測存儲器450中密鑰445的存儲位置)。
在替代的實(shí)施例中�,如果新密鑰存儲在存儲器450的新位置中,那么 AMT415可能不能意識到該更改���,直到其發(fā)現(xiàn)密鑰445己無法成功對來自 應(yīng)用程序420的加密業(yè)務(wù)進(jìn)行解密�。此時(shí),AMT415可以重復(fù)上述過程��, 即識別主機(jī)OS 405的存儲器中分配給應(yīng)用程序420的位置���、搜索該存儲 位置以找到新密鑰�����。當(dāng)應(yīng)用程序420停止生成業(yè)務(wù)時(shí)����,即當(dāng)應(yīng)用程序420 釋放存儲器450中它分配到的存儲器時(shí)�����,AMT415可以確定密鑰445不再 有用或必需���,并將密鑰445從存儲器455中刪除�。圖5是說明本發(fā)明的實(shí)施例的流程圖�����。盡管下面的操作以順序過程來 描述�,但是其中很多操作實(shí)際上可以以并行和/或并發(fā)形式執(zhí)行。另外��,操 作的順序可以在不背離本發(fā)明實(shí)施例的實(shí)質(zhì)的前提下重新安排�����。在501中��, 節(jié)點(diǎn)上的應(yīng)用程序經(jīng)由主機(jī)OS上的網(wǎng)絡(luò)驅(qū)動程序���,通過生成會話密鑰以 便對所有該應(yīng)用程序生成的數(shù)據(jù)進(jìn)行加密�����,可以發(fā)起同該節(jié)點(diǎn)上AMT的 網(wǎng)絡(luò)驅(qū)動程序的連接�����。然后在502中����,會話密鑰可以存儲在主機(jī)OS存儲 器中��。在503中�����,AMT可以基于初始化信息(該信息在連接初始建立時(shí)提 供給AMT上的網(wǎng)絡(luò)驅(qū)動程序)確定主機(jī)OS存儲器的哪一部分被分配給了 該應(yīng)用程序。之后��,在504中�,AMT可以利用DMA來檢査分配的存儲器 以找到會話密鑰。然后在505中��,AMT可以將存儲會話密鑰的存儲位置進(jìn) 行標(biāo)記以便監(jiān)測��,并將該密鑰復(fù)制到其自己的存儲器中���。在506中��,AMT 中的網(wǎng)絡(luò)驅(qū)動程序利用會話密鑰對來自應(yīng)用程序420的數(shù)據(jù)業(yè)務(wù)隨需進(jìn)行 解密���,而在507中,AMT中的IDS可以對所有來自主機(jī)OS上的應(yīng)用程序 的數(shù)據(jù)進(jìn)行檢査�。在508中,AMT確定應(yīng)用程序已經(jīng)釋放主機(jī)OS上的存 儲器并將密鑰從AMT存儲器中刪除����。
本發(fā)明的實(shí)施例可以在各種計(jì)算設(shè)備上實(shí)^U根據(jù)一實(shí)施例,計(jì)算設(shè) 備可以包括各種其它公知的組件����,如一個(gè)或多個(gè)處理器。處理器和機(jī)器可 訪問媒體可以采用橋接器/存儲器控制器以通信方式耦合����,并且該處理器能 夠執(zhí)行存儲在機(jī)器可訪問媒體中的指令。橋接器/存儲器控制器可以耦合至 圖形控制器�����,而圖形控制器可以控制顯示設(shè)備上顯示數(shù)據(jù)的輸出�。橋接器/ 存儲器控制器可以耦合至一個(gè)或多個(gè)總線。 一個(gè)或者多個(gè)這些單元可以與 處理器集成一起���,在一個(gè)封裝中或者使用多個(gè)封裝或管芯(die)����。主機(jī)總線 控制器����,例如通用串行總線("USB")主機(jī)控制器,可以耦合至總線����,并 且多個(gè)設(shè)備可以耦合至USB���。例如,用戶輸入設(shè)備�,如鍵盤和鼠標(biāo),可以 包括在計(jì)算設(shè)備內(nèi)以提供輸入數(shù)據(jù)��。在替代的實(shí)施例中�,主機(jī)總線控制器 可以同各種其它互連標(biāo)準(zhǔn)相兼容,包括PCI�、 PCIExpress、火線����、以及其 它這樣的現(xiàn)存及將來的標(biāo)準(zhǔn)。
在前述說明書中��,本發(fā)明的描述參照了其特定的示例性實(shí)施例��。但是�, 可以理解,可以在不背離如所附權(quán)利要求中所闡述的本發(fā)明更廣的實(shí)質(zhì)和 范圍情形下����,對其進(jìn)行各種修改和更改。據(jù)此,本說明書及附圖應(yīng)被認(rèn)為 是說明性的而非限制性的�。
權(quán)利要求
1、 一種方法����,包括從第一分區(qū)識別主機(jī)操作系統(tǒng)("OS")的存儲器中應(yīng)用程序的存儲位 置,所述主機(jī)OS位于第二分區(qū)中���;利用直接存儲器存取("DMA"),在所述主機(jī)OS中所述應(yīng)用程序的 存儲位置內(nèi)識別會話密鑰���;將所述會話密鑰復(fù)制到所述第一分區(qū)的存儲器中�;利用所述第一分區(qū)中的所述會話密鑰���,對在所述第一分區(qū)中接收自所 述應(yīng)用程序的加密數(shù)據(jù)進(jìn)行解密�����;和檢查解密數(shù)據(jù)����。
2��、 根據(jù)權(quán)利要求1所述的方法,其中���,所述第一分區(qū)是主動管理技術(shù) ("AMT")分區(qū)���、管理引擎("ME")分區(qū)、平臺資源層("PRL")平臺和 虛擬機(jī)("VM")之一��。
3����、 根據(jù)權(quán)利要求3所述的方法,其中��,所述AMT分區(qū)是虛擬化分區(qū)����。
4、 根據(jù)權(quán)利要求1所述的方法���,進(jìn)一步包括以下之一 如果所述加密數(shù)據(jù)已泄密�,則阻止從所述應(yīng)用程序傳送所述加密數(shù)據(jù)�����;和如果所述數(shù)據(jù)未泄密,則將所述數(shù)據(jù)發(fā)送至網(wǎng)絡(luò)接口卡("NIC")以便 將其從節(jié)點(diǎn)進(jìn)行傳送�。
5、 根據(jù)權(quán)利要求1所述的方法���,進(jìn)一步包括在所述第一分區(qū)和所述第 二分區(qū)之間建立連接�。
6�、 根據(jù)權(quán)利要求5所述的方法,其中����,建立連接進(jìn)一步包括 從所述第二分區(qū)向所述第一分區(qū)發(fā)送連接請求���,該請求包括與所述連接有關(guān)的信息�����;存儲與所述連接有關(guān)的信息�����; 在所述第二分區(qū)中生成所述會話密鑰��;和 使與所述會話密鑰有關(guān)的信息對所述第一分區(qū)可用���。
7�����、 根據(jù)權(quán)利要求6所述的方法��,其中��,發(fā)送連接請求進(jìn)一步包括自動 建立從所述第二分區(qū)到所述第一分區(qū)的連接�。
8�����、 一種節(jié)點(diǎn)���,包括-主機(jī)分區(qū)�,其運(yùn)行有主機(jī)操作系統(tǒng)和應(yīng)用程序���,所述應(yīng)用程序能夠運(yùn) 行在所述主機(jī)操作系統(tǒng)的部分存儲器中�����,所述應(yīng)用程序還能夠在運(yùn)行該應(yīng) 用程序的部分存儲器中生成會話密鑰�����,所述應(yīng)用程序還能夠利用所述會話 密鑰對數(shù)據(jù)進(jìn)行加密�����;和監(jiān)測分區(qū)���,其能夠從所述主機(jī)分區(qū)的應(yīng)用程序接收加密數(shù)據(jù)����,所述監(jiān) 測分區(qū)還能夠利用直接存儲器存取("DMA")來從運(yùn)行該應(yīng)用程序的部分 存儲器中定位并復(fù)制所述會話密鑰�,所述監(jiān)測分區(qū)還能夠利用從運(yùn)行該應(yīng) 用程序的部分存儲器中復(fù)制的會話密鑰對所述加密數(shù)據(jù)進(jìn)行解密。
9����、 根據(jù)權(quán)利要求8所述的節(jié)點(diǎn)��,進(jìn)一步包括網(wǎng)絡(luò)接口卡("NIC")�,其能夠在所述主機(jī)分區(qū)和所述監(jiān)測分區(qū)之間建 立連接。
10���、 根據(jù)權(quán)利要求9所述的節(jié)點(diǎn)��,其中����,所述NIC還能夠?qū)⑦B接請求 從所述主機(jī)分區(qū)路由至所述監(jiān)測分區(qū)。
11�、 根據(jù)權(quán)利要求10所述的節(jié)點(diǎn),其中��,將連接請求從所述主機(jī)分區(qū) 路由至所述監(jiān)測分區(qū)進(jìn)一步包括所述主機(jī)分區(qū)能夠通過所述NIC向所述監(jiān)測分區(qū)發(fā)送所述連接請求���, 該請求包括與所述連接有關(guān)的信息�����,所述主機(jī)分區(qū)還能夠存儲與所述連接 有關(guān)的信息���,并且所述主機(jī)分區(qū)還能夠使與由所述應(yīng)用程序生成的會話密 鑰有關(guān)的信息對所述監(jiān)測分區(qū)可用。
12���、 根據(jù)權(quán)利要求9所述的節(jié)點(diǎn)�����,其中�,所述監(jiān)測分區(qū)還能夠進(jìn)行以 下操作之一如果所述加密數(shù)據(jù)已泄密,則阻止從所述應(yīng)用程序傳送所述加密數(shù)據(jù);和如果所述數(shù)據(jù)未泄密�,則將所述數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)接口卡("NIC"),以 便將其從所述節(jié)點(diǎn)進(jìn)行傳送�����。
13�����、 根據(jù)權(quán)利要求8所述的節(jié)點(diǎn)����,其中,所述監(jiān)測分區(qū)是主動管理技 術(shù)("AMT")分區(qū)���、管理引擎("ME")分區(qū)�����、平臺資源層("PRL")平臺 和虛擬機(jī)("VM")之一。
14����、 根據(jù)權(quán)利要求13所述的節(jié)點(diǎn)�����,其中�,所述AMT分區(qū)是運(yùn)行在虛 擬化環(huán)境中的VM�。
15、 根據(jù)權(quán)利要求8所述的節(jié)點(diǎn)���,進(jìn)一步包括 主處理器����;和專用于所述監(jiān)測分區(qū)的專用處理器���。
16����、 一種制品�,包括其上存儲有指令的機(jī)器可訪問介質(zhì),所述指令在 被機(jī)器執(zhí)行時(shí)使該機(jī)器從第一分區(qū)識別主機(jī)操作系統(tǒng)("OS")的存儲器中應(yīng)用程序的存儲位 置����,所述主機(jī)OS位于第二分區(qū)中;利用直接存儲器存取("DMA")��,在所述主機(jī)OS中所述應(yīng)用程序的 存儲位置內(nèi)識別會話密鑰;將所述會話密鑰復(fù)制到所述第一分區(qū)中的存儲器�����;利用所述第一分區(qū)中的所述會話密鑰�,對在所述第一分區(qū)中接收自所 述應(yīng)用程序的加密數(shù)據(jù)進(jìn)行解密;和檢查解密數(shù)據(jù)���。
17����、 根據(jù)權(quán)利要求16所述的制品�����,其中�����,所述第一分區(qū)是主動管理技 術(shù)("AMT")分區(qū)���、管理引擎("ME")分區(qū)、平臺資源層("PRL")平臺 和虛擬機(jī)("VM")之一�。
18�����、 根據(jù)權(quán)利要求17所述的制品��,其中���,所述AMT分區(qū)是虛擬化分區(qū)。
19��、 根據(jù)權(quán)利要求16所述的制品���,其中��,所述指令在被所述機(jī)器執(zhí)行 時(shí)還使該機(jī)器-如果所述加密數(shù)據(jù)已泄密�����,則阻止從所述應(yīng)用程序傳送所述加密數(shù)據(jù)�����;和如果所述數(shù)據(jù)未泄密���,則將所述數(shù)據(jù)發(fā)送到網(wǎng)絡(luò)接口卡("NIC")�����,以 便將其從節(jié)點(diǎn)進(jìn)行傳送��。
20�、 根據(jù)權(quán)利要求16所述的制品����,其中,所述指令在被所述機(jī)器執(zhí)行 時(shí)還使該機(jī)器在所述第一分區(qū)和所述第二分區(qū)之間建立連接����。
21、 根據(jù)權(quán)利要求20所述的制品��,其中����,所述指令在被所述機(jī)器執(zhí)行 時(shí)還使該機(jī)器通過以下操作來建立所述連接-從所述第二分區(qū)向所述第一分區(qū)發(fā)送連接請求,該請求包括與所述連 接有關(guān)的信息���;存儲與所述連接有關(guān)的信息��; 在所述第二分區(qū)中生成所述會話密鑰�����;和 使與所述會話密鑰有關(guān)的信息對所述第一分區(qū)可用��。
全文摘要
一種能夠?qū)用軘?shù)據(jù)進(jìn)行訪問控制和入侵檢測的方法���、裝置和系統(tǒng)。特別地���,節(jié)點(diǎn)上的應(yīng)用程序數(shù)據(jù)可以被路由至主機(jī)上的分區(qū)���。該分區(qū)可利用直接存儲器存取(“DMA”)訪問存儲在主機(jī)OS上的會話密鑰。該分區(qū)然后可以利用該會話密鑰對來自應(yīng)用程序的加密數(shù)據(jù)進(jìn)行入侵檢測�。
文檔編號G06F21/00GK101313309SQ200680043325
公開日2008年11月26日 申請日期2006年12月14日 優(yōu)先權(quán)日2005年12月21日
發(fā)明者R·L·薩希塔, T·M·科倫博格 申請人:英特爾公司