• 专利附录
  • 专利说明
  • 权利要求
  • 类似技术
  • 同族专利
  • 引用文献
  • 法律状态
  • 优先权
    • 专利摘要:
    第一客屬領域及分離的周邊相關工作。周邊相關工作欲與該周邊裝置通訊而阻止該第一客屬領域與該周邊裝置通訊。
    公开号:TW201308120A
    申请号:TW101124907
    申请日:2012-07-11
    公开日:2013-02-16
    发明作者:Jeff Jeansonne;Vali Ali;James M Mann
    申请人:Hewlett Packard Development Co;
    IPC主号:G06F21-00
    专利说明:
    包括埠口與客屬領域之運算裝置
    本發明係有關於包括埠口與客屬領域之運算裝置。 發明背景
    虛擬機器乃執行指令彷彿實體機器般的一機器的軟體體現。虛擬機器係與實體機器般同樣對惡意攻擊易感。即插即用可許可周邊裝置連結至一機器而無需使用者的涉及組配該周邊裝置。若該周邊裝置為惡意,則可能感染該虛擬機器。
    依據本發明之一實施例,係特地提出一種運算裝置包含一第一客屬領域;從該第一客屬領域分離的一周邊相關工作;連結一周邊裝置之一埠口;及一特權領域來使得該周邊相關工作欲被執行而識別該周邊裝置,其中該周邊相關工作於決定該周邊為惡意時阻止該第一客屬領域與該周邊通訊。 圖式簡單說明
    若干本發明之實施例係就下列各圖作說明:第1圖為依據一具體體現之運算裝置之方塊圖;第2圖為依據一具體體現之運算裝置之方塊圖;第3圖為依據一具體體現之介面;第4圖為依據一具體體現與連結至一運算裝置的一周邊裝置通訊方法之流程圖;第5圖為依據一具體體現與連結至一運算裝置的一周邊裝置通訊方法之流程圖;及第6圖為依據一具體體現之含括一電腦可讀取媒體的運算系統。 詳細說明
    運算裝置可能對於受惡意代碼的攻擊易感。該運算裝置例如可為伺服器、桌上型電腦、筆記型電腦、小區式電話、個人數位助理器(PDA)、或其它運算裝置。惡意代碼例如可為惡意軟體、病毒、韌體攻擊或其它。運算裝置可執行作業系統,該系統可能受病毒或惡意軟體的攻擊。
    虛擬機器也可稱作為虛擬領域,用以讓在該虛擬領域內執行的作業系統駐在其中。實體機器可執行多個領域。在一領域上執行的作業系統對於受病毒及惡意軟體的攻擊易感,該等病毒及惡意軟體當直接在運算系統的實體硬體上執行時可能攻擊作業系統。該等領域可藉一超高監督者,又稱虛擬機器監視器管理及彼此分開,或與領域中之一者連結,諸如特權領域。在運算裝置上的各個領域可執行周邊相關工作。周邊相關工作可為決定一周邊是否為惡意的邏輯或指令。虛擬設施可用於執行周邊相關工作之目的。虛擬設施可在一領域執行。周邊相關工作可掃描附接至該運算裝置的一周邊而防止該周邊攻擊另一個領域。
    於一個實例中,運算裝置包括一第一客屬領域及與該第一客屬領域分開的一周邊相關工作。一埠口可連結該運算裝置至一周邊裝置。特權領域可使得欲執行該周邊相關工作來識別該周邊裝置。若該周邊決定為惡意,則該周邊相關工作阻止該第一客屬領域與該周邊通訊。
    於另一個實例中,一種與連結至一運算裝置的一周邊通訊之方法包括將一周邊相關工作與一第一客屬領域隔開。可產生一虛擬設施來執行該周邊相關工作。該虛擬設施可從該周邊接收該周邊的型別之一指示。該虛擬設施可確認該周邊的型別。可阻止由該第一客屬領域與該周邊通訊直到該周邊的型別經確認為止。
    參考附圖,第1圖為依據一具體體現之運算裝置100之方塊圖。運算裝置100可包括第一客屬領域110。特權領域105可與第一客屬領域110分開。於一個實例中,可能不允許特權領域105執行周邊相關工作130,且可能產生一虛擬設施或另一客屬領域來執行周邊相關工作130以防止特權領域105受惡意周邊的攻擊。特權領域105可能不允許由其它領域對特權領域105作改變,該等其它領域可能連結至潛在惡意周邊,諸如第二客屬領域140或虛擬設施135。於另一個實例中,若該特權領域105對來自惡意周邊的攻擊不易感,則可能許可特權領域105執行該周邊相關工作130。
    硬體120可包括連結一周邊裝置之一埠口125。超高監督者115可管理硬體120資源。周邊相關工作130可在第一客屬領域以外的領域執行,例如特權領域105、虛擬設施135、或第二客屬領域140。周邊相關工作130可為識別該周邊裝置的指令。若決定該周邊為惡意,則周邊相關工作130可阻止第一客屬領域110的存取該周邊。
    埠口125為資料可經由該埠口而在電腦與另一裝置間移轉的一介面。埠口可為例如有線埠口,諸如通用串列匯流排(USB)埠口、IEEE 1394埠口、霹靂(thunderbolt)埠口、佐多(sata)埠口、或其它有線連結。埠口125例如可為無線埠口,諸如藍牙埠口、wifi埠口、wwan埠口、或其它無線連結。其它裝置可為周邊裝置,例如印表機、滑鼠、鍵盤、監視器、儲存裝置、網路裝置、或其它周邊。
    超高監督者115為最初直接與硬體120通訊的一層,替代作業系統來許可硬體於多個領域內部同時跑多個客屬作業系統。於若干體現中,超高監督者115起始一領域,諸如特權領域,且對映輸出入(I/O)控制器至特權領域來與硬體120而非超高監督者直接通訊。於一個實施例中,執行超高監督者的電腦可含有三個組件。第一組件為超高監督者115,第二組件為特權領域105,又稱領域0(Dom0)。特權領域可為在超高監督者115上跑的特權客屬,具有直接硬體存取及客屬管理責任。第三組件為領域U,可為非特權領域客屬(DomU)。DomU可為在超高監督者上跑的非特權客屬,不能直接存取硬體,諸如記憶體、硬碟、埠口、或任何其它硬體120。第一客屬領域可為DomU之一實例。
    周邊相關工作130可為藉一領域執行的應用程式。若周邊係連結至該埠口,則該周邊可發送該周邊係屬哪個裝置型別的指示。舉例言之,該周邊可指示其為儲存裝置,該儲存裝置可使得該周邊相關工作130執行。該執行可在第一客屬領域以外的任一個領域,諸如另一個客屬領域、虛擬設施、特權領域、或超高監督者。舉例言之,周邊相關工作可藉由試圖儲存且從該儲存裝置提取資訊而挑戰該周邊。該工作也可掃描惡意內容。當一周邊含括例如病毒、惡意軟體、其它破壞性程式鑽一領域的安全漏洞時,該周邊可為惡意。特權領域意圖對病毒及惡意軟體不易感,可能原因為特權領域包括信任軟體,且不允許由另一領域寫至該領域。特權領域可針對該周邊裝置執行周邊相關工作130,可能造成惡意代碼感染非特權領域而不感染特權領域。一旦周邊相關工作130已經證實該周邊並非惡意,則一非特權領域諸如第一客屬領域110可存取該周邊裝置。對該第一客屬領域110可能可給定多個不同的存取層級。
    第2圖為依據一具體體現之運算裝置之方塊圖。運算裝置200可包括硬體220,硬體220可包括一埠口諸如有線埠口225或無線埠口245。有線埠口225例如可為通用串列埠口IEEE 1394埠口、霹靂埠口、佐多埠口、或其它有線連結。無線埠口245可為一埠口諸如藍牙埠口、wifi埠口、wwan埠口、或其它無線連結。
    一領域諸如特權領域205,係在第一客屬領域210外側且與其隔開作為全部周邊裝置的安全隔離檢疫區,於該區域內,該等周邊裝置視需要地,初步可經列舉、分析、驗證、及/或補償,隨後才暴露至使用者操作環境。此外,某些型別的裝置可與第一客屬領域210完全屏蔽。
    一旦該超高監督者將該I/O控制器對映至該特權領域,則該特權領域為第一列舉在硬體220層面呈示給一埠口控制器的任何周邊的該領域。在此層面可作策略性決定,但特權領域205可為高度安全環境。由於高度安全環境故,該周邊裝置可連結至一虛擬設施235,其唯一目的係執行與該周邊裝置相關的策略設定值。此一虛擬設施235可基於與多個可能機構有關的預組配策略設定值、裝置類別驗證、裝置類別組配策略執行、裝置類別白名單或黑名單、特定裝置白名單、抽取使用者互動、裝置類別驗證、或其它策略設定值而對如何或甚至是否將該周邊裝置暴露至第一客屬領域210作決定。
    舉例言之,針對USB人機介面裝置,特權領域檢測裝置插入。隨後該人機介面裝置之暴露於第一客屬領域210係延遲直到該裝置經分析為止。特權領域視該裝置為具有敵意,直到藉周邊相關工作驗證該裝置為所指示的裝置為止。針對人機介面裝置,諸如鍵盤或滑鼠,可藉透過顯示次系統呈示挑戰給使用者執行。此點可透過安全的圖形使用者介面完成,使得挑戰並非任何客屬領域諸如第一客屬領域210所可見。挑戰可包括呈示隨機字符給使用者以及圖形鍵盤,及等待使用者藉使用滑鼠點選圖形數字小鍵盤上的正確鈕順序而鍵入字符,或藉使用該鍵盤鍵入字符。周邊相關工作230可確定所得輸入係來自插入的裝置。藉此方式,周邊相關工作可驗證該裝置確實係作為機器操作員的人機介面裝置,而非僅只作為人機介面裝置。
    超高監督者215可管理該等領域,諸如特權領域205及第一客屬領域210。於管理該等領域中,超高監督者可允許特權領域存取有線埠口225或無線埠口245。如此可阻止第一客屬領域210存取連結至有線埠口225或無線埠口245的一周邊。於一個實施例中,特權領域可直接存取硬體220,而第一客屬領域210無法直接存取硬體220。
    第一客屬領域210可含括一介面,該介面可用來決定該第一客屬領域210所具有的存取連結至有線埠口225或無線埠口245的一周邊之數量。第一客屬領域可具有例如完全存取該周邊,不存取該周邊,可在文字中接收有關該周邊的資訊,因而確定惡意指令不嵌置於由該第一客屬領域所傳輸與接收的資料內。文字可係呈ascii格式,且若該周邊裝置為一儲存裝置,則該文字可為在周邊裝置上的檔案列表。特權領域205或周邊相關工作可形成表示在該周邊裝置上的檔案之文字列表。然後使用者可選擇為可存取至該第一客屬領域之一檔案,而其它檔案將繼續由文字表示型態所識別。若一檔案係經擇定,則特權領域205將發送該檔案給第一客屬領域210,或可允許該第一客屬領域210經由該特權領域205而存取該周邊裝置。此點可經由簡單遠端程序呼叫(RPC)其它領域內通訊機制完成,其中只轉移該等檔案的文字資訊(檔案名稱、大小、r/w/x屬性、修改日期等)。對話將呈現給使用者,讓使用者許可周邊「插入」第一客屬領域210的檔案系統,剔除該周邊,或介於其間。「介於其間」的一個實例為使用者可決定透過通訊通道而轉移至/自儲存裝置,諸如透過RPC的文字,而非許可周邊插入第一客屬領域環境內作為該第一客屬領域的檔案系統之一部分。
    周邊相關工作也可包括邏輯來決定一自動執行檔案是否在該周邊裝置上。邏輯可在特權領域、虛擬設施、或其它客屬領域內,且可防止該第一客屬領域210存取該自動執行檔案。自動執行檔案是個一領域可搜尋何時一周邊裝置連結的一檔案。若檢測得一自動執行檔案,則該領域可在自動執行檔案中跑該應用程式或指令。若該自動執行檔案係將安裝惡意軟體,則使用者可藉連結一周邊至運算裝置200上的一埠口而安裝該惡意軟體,但藉由周邊相關工作240去除該自動執行檔案,或防止第一客屬領域210存取該自動執行檔案,第一客屬領域可不自動地從一周邊裝置安裝惡意軟體。
    周邊相關工作230可包括或已經存取一黑名單250。黑名單250可包括第一客屬領域210被阻止存取的周邊裝置之一列表。周邊相關工作230也可已經存取一白名單,白名單為在許可210存取該周邊裝置前無需執行工作的一裝置列表。
    特權領域205黑名單250策略可經組配使得全部某個型別的裝置係被屏蔽不暴露於第一客屬領域210。舉例言之,一策略可經設定來指導特權領域205屏蔽全部USB大容量類別儲存裝置暴露於第一客屬領域210。
    此項策略可包括一「學習模式」,該模式許可行政管理人員連結一已知良好裝置至一平台,此時,特權領域205可儲存該裝置資訊供後來比較用。於正常操作中,每當一周邊裝置附接至一埠口時,特權領域可比較各個裝置與白名單,要求匹配隨後才發送至第一客屬領域210。如此可能極具限制性,只可允許裝置具有已在該白名單中的資訊,諸如序號,使得在白名單中的該特定裝置可操作;或可經組配來較不具限制性,使得序號被忽略不計,全部該等特定裝置皆可通過第一客屬領域210。
    周邊相關工作230能夠執行一掃描器240。在許可由第一客屬領域210存取該周邊裝置前,掃描器240可掃描該周邊裝置之內容的惡意代碼。舉例言之,掃描器可掃描周邊裝置的病毒、惡意軟體、或其它惡意代碼。在許可由第一客屬領域210存取該周邊裝置前,掃描器240可從該周邊裝置去除病毒,或允許第一客屬領域210存取經掃描的或顯示為不含病毒及惡意軟體的材料。
    第3圖為依據一具體體現之一介面。該介面300可為安全圖形使用者介面。該介面可用來選擇第一客屬領域必須與該周邊裝置通訊而存取第一客屬領域的程度。舉例言之,該介面可詢問使用者選擇已經藉特權領域檢測的一周邊裝置之存取程度。選項之實例可為剔除該裝置,整合該裝置作為檔案系統之一部分,或於安全通道上與該周邊裝置通訊。介面許可使用者產生一策略或管理一策略,該策略係由周邊相關工作或特權領域體現,諸如產生一白名單或一黑名單。
    第4圖為依據一具體體現與連結至一運算裝置的一周邊裝置通訊方法之流程圖。該方法係包括於405,從第一客屬領域210分離一周邊相關工作。從該第一客屬領域分離的該周邊相關工作可為周邊相關工作130。於410,可產生虛擬設施來執行周邊相關工作130。虛擬設施的產生可藉特權領域起始。於415,虛擬設施可從周邊接收周邊的型別之一指示。周邊的型別可為例如儲存裝置、人機介面裝置諸如鍵盤或滑鼠、或輸出裝置諸如顯示器或印表機。於420,虛擬設施可確認周邊的型別。該確認可包括要求使用者在鍵盤上鍵入一隨機代碼,如此可避免儲存裝置識別其本身為鍵盤,且使得鍵盤輸入諸如啟動程式。於425,可防止由第一客屬領域與該周邊通訊直到周邊的型別經確認為止。
    第5圖為依據一具體體現與連結至一運算裝置的一周邊裝置通訊方法之流程圖。該方法包括於505,從第一客屬領域210分離一周邊相關工作。從該第一客屬領域分離的該周邊相關工作可為周邊相關工作130。於510,可由虛擬設施執行周邊相關工作130。虛擬設施可執行工作,諸如可能非由特權領域所執行的周邊相關工作。於515,虛擬設施可從該周邊接收周邊的型別之指示。周邊的型別可為例如儲存裝置、人機介面裝置諸如鍵盤或滑鼠、或輸出裝置諸如顯示器或印表機。於520,虛擬設施可確認周邊的型別。該確認可包括要求使用者在鍵盤上鍵入一隨機代碼。如此可避免儲存裝置識別其本身為鍵盤,且使得鍵盤輸入諸如啟動程式。於525,可防止由第一客屬領域110與該周邊通訊直到周邊的型別經確認為止。
    該方法可包括於530,在許可藉第一客屬領域存取該周邊裝置前,掃描該周邊裝置之內容的惡意代碼。惡意代碼的掃描可包括病毒掃描、惡意軟體掃描、或其它掃描。第一客屬領域所具有的與周邊裝置通訊的存取程度可於535擇定。存取程度可基於藉周邊相關工作體現的策略。該等策略可預先經決定,或可由該第一客屬領域的使用者擇定。該方法可包括於540,決定一自動執行檔案是否在周邊裝置上。周邊相關工作可防止第一客屬領域存取該自動執行檔案。周邊相關工作可移除該自動執行檔案,阻止藉第一客屬領域存取該自動執行檔案,或只許可與在周邊裝置上的檔案安全地通訊,諸如只顯示在該周邊裝置上的該等檔案之基於ascii文字檔案列表。
    第6圖為依據一具體體現之含括一電腦可讀取媒體的運算系統。非過渡電腦可讀取615或616媒體可包括代碼,諸如可由處理器605執行的領域或周邊相關工作。處理器605可連結至控制器中樞器610。控制器中樞器可透過圖形控制器620、鍵盤635、滑鼠640、及感測器645諸如網路攝影機而連結至顯示器630。鍵盤635、滑鼠640、顯示器630、感測器645及電腦可讀取媒體615及616乃可透過一埠口而連結至運算裝置600的周邊裝置之若干實例。控制器中樞器可包括該埠口,或可有其它組件介於該周邊與控制器中樞器610間來許可周邊與處理器605間的通訊。
    特權領域若執行時可造成運算裝置將一周邊相關工作與一第一客屬領域隔離。特權領域可使得虛擬設施產生來執行該周邊相關工作。虛擬設施可從該周邊接收周邊的型別之指示。該虛擬設施可確認該周邊的型別,及可阻止由該第一客屬領域與該周邊通訊直到該周邊的型別經確認為止。在許可藉第一客屬領域存取該周邊裝置前,掃描該周邊裝置之內容的惡意代碼。周邊相關工作可允許透過一介面選擇該第一客屬領域必須與周邊裝置通訊的存取程度。
    前述技術可於電腦可讀取媒體具體實施用來組配一運算系統而執行該方法。電腦可讀取媒體可包括例如但非限制性任何數目的下列各者:磁性儲存媒體包括磁碟及磁帶儲存媒體;光學儲存媒體諸如光碟媒體(例如CD-ROM、CD-R等)及數位視訊碟儲存媒體;全像術記憶體;非依電性記憶體儲存媒體,包括以半導體為基的記憶體單元,諸如快閃記憶體、EEPROM、EPROM、ROM;鐵磁數位記憶體;依電性儲存媒體包括暫存器、緩衝器或快取記憶體、主記憶體、RAM等;及網際網路,僅舉出少數實例。其它新穎的各型別電腦可讀取媒體可用來儲存此處討論的軟體模組。運算系統可呈多種形式,包括但非限於大型主機、迷你電腦、伺服器、工作站、個人電腦、平板電腦、個人數位助理器、各型無線裝置及嵌入式系統,僅舉出少數實例。
    於前文詳細說明部分中,陳述無數細節以供徹底瞭解本發明。但熟諳技藝人士將瞭解可無此等細節而實施本發明。雖然已經就有限數目的實施例揭示本發明,但熟諳技藝人士將瞭解從其中做出的無數修正及變化。意圖隨附之申請專利範圍涵蓋落入於本發明之精髓及範圍內的此等修正及變化。
    100、200、600‧‧‧運算裝置
    105、205‧‧‧特權領域
    110、210‧‧‧第一客屬領域
    115‧‧‧超高監督者
    120、220‧‧‧硬體
    125‧‧‧埠口
    130、235‧‧‧周邊相關工作
    135、235‧‧‧虛擬設施
    140、240‧‧‧第二客屬領域
    225‧‧‧有線埠口
    240‧‧‧第二客屬領域、掃描器、介面
    245‧‧‧無線埠口
    250‧‧‧黑名單
    300‧‧‧介面
    305‧‧‧圖形使用者介面
    405-425、505-540‧‧‧處理方塊
    605‧‧‧處理器
    610‧‧‧控制器中樞器
    615、616‧‧‧電腦可讀取媒體
    620‧‧‧圖形控制器
    630‧‧‧顯示器
    635‧‧‧鍵盤
    640‧‧‧滑鼠
    645‧‧‧感測器
    第1圖為依據一具體體現之運算裝置之方塊圖;第2圖為依據一具體體現之運算裝置之方塊圖;第3圖為依據一具體體現之介面;第4圖為依據一具體體現與連結至一運算裝置的一周邊裝置通訊方法之流程圖;第5圖為依據一具體體現與連結至一運算裝置的一周邊裝置通訊方法之流程圖;及第6圖為依據一具體體現之含括一電腦可讀取媒體的運算系統。
    100‧‧‧運算裝置
    105‧‧‧特權領域
    110‧‧‧第一客屬領域
    115‧‧‧超高監督者
    120‧‧‧硬體
    125‧‧‧埠口
    130‧‧‧周邊相關工作
    135‧‧‧虛擬設施
    140‧‧‧第二客屬領域
    权利要求:
    Claims (15)
    [1] 一種運算裝置,其係包含:一第一客屬領域;從該第一客屬領域分離的一周邊相關工作;連結一周邊裝置之一埠口;及一特權領域來使得該周邊相關工作欲被執行而識別該周邊裝置,其中該周邊相關工作於決定該周邊為惡意時阻止該第一客屬領域與該周邊通訊。
    [2] 如申請專利範圍第1項之裝置,其中該特權領域產生一虛擬設施來執行該周邊相關工作。
    [3] 如申請專利範圍第1項之裝置,其中該埠口為一有線埠口或一無線埠口。
    [4] 如申請專利範圍第1項之裝置,其係進一步包含於該第一客屬領域之邏輯來接收該周邊裝置之內容之一文字列表。
    [5] 如申請專利範圍第1項之裝置,其係進一步包含邏輯來決定一自動執行檔案是否係在該周邊裝置上,其中該周邊相關工作阻止該第一客屬領域存取該自動執行檔案。
    [6] 如申請專利範圍第1項之裝置,其係進一步包含該周邊裝置之一黑名單來阻止該第一客屬領域存取該周邊裝置。
    [7] 如申請專利範圍第1項之裝置,其係進一步包含一掃描器來在許可由該第一客屬領域存取該周邊裝置前,掃描該周邊裝置內容的惡意代碼。
    [8] 如申請專利範圍第1項之裝置,其係進一步包含一介面來選擇該第一客屬領域必須與該周邊裝置通訊之存取程度。
    [9] 一種與連結至一運算裝置通訊之一周邊裝置之方法,該方法係包含:從一第一客屬領域分離一周邊相關工作;產生一虛擬設施來執行該周邊相關工作;由該虛擬設施從該周邊接收該周邊型別;藉該虛擬設施確認該周邊型別;及阻止由該第一客屬領域與該周邊通訊直到該周邊型別經確認為止。
    [10] 如申請專利範圍第9項之方法,其中在許可由該第一客屬領域存取該周邊裝置前,掃描該周邊裝置內容的惡意代碼。
    [11] 如申請專利範圍第9項之方法,其中選擇該第一客屬領域必須與該周邊裝置通訊之存取程度。
    [12] 如申請專利範圍第9項之方法,其中決定一自動執行檔案是否係在該周邊裝置上,其中該周邊設施阻止該第一客屬領域存取該自動執行檔案。
    [13] 一種包含一特權領域之非過渡電腦可讀取媒體,該特權領域當由一處理器執行時使得一運算裝置:從一第一客屬領域分離一周邊相關工作;產生一虛擬設施來執行該周邊相關工作;由該虛擬設施從該周邊接收該周邊型別;藉該虛擬設施確認該周邊型別;及阻止由該第一客屬領域與該周邊通訊直到該周邊型別經確認為止。
    [14] 如申請專利範圍第13項之電腦可讀取媒體,其係進一步包含一周邊相關工作,該工作當執行時使得一運算裝置:在許可由該第一客屬領域存取該周邊裝置前,掃描該周邊裝置內容的惡意代碼。
    [15] 如申請專利範圍第13項之電腦可讀取媒體,其係進一步包含一周邊相關工作,該工作當執行時使得一運算裝置:經由一介面選擇該第一客屬領域必須與該周邊裝置通訊之存取程度。
    类似技术:
    公开号 | 公开日 | 专利标题
    TWI483137B|2015-05-01|包括埠口與客屬領域之運算裝置
    US11196773B2|2021-12-07|Framework for coordination between endpoint security and network security services
    US10664596B2|2020-05-26|Method of malware detection and system thereof
    CN104769604B|2017-08-29|实时模块保护
    JP6842455B2|2021-03-17|非同期イントロスペクション例外を使用するコンピュータセキュリティシステムおよび方法
    US8024815B2|2011-09-20|Isolation environment-based information access
    CN105760787A|2016-07-13|用于检测随机存取存储器中的恶意代码的系统及方法
    Kovah et al.2015|How Many Million BIOSes Would you Like to Infect?
    Dalziel2014|How to defeat advanced malware: new tools for protection and forensics
    CN101819619A|2010-09-01|一种防止病毒及木马的方法
    US11196765B2|2021-12-07|Simulating user interactions for malware analysis
    Junnila2020|Effectiveness of linux rootkit detection tools
    US20210064749A1|2021-03-04|Attack detection through exposure of command abuse
    Joe-Uzuegbu et al.2015|Application virtualization techniques for malware forensics in social engineering
    Pék2015|New methods for detecting malware infections and new attacks against hardware virtualization
    JP2019008568A|2019-01-17|ホワイトリスト管理システムおよびホワイトリスト管理方法
    Mouton2015|A system to support community-oriented critical information infrastructure protection
    Bridges2008|Studying a virtual testbed for unverified data
    同族专利:
    公开号 | 公开日
    US9213829B2|2015-12-15|
    WO2013009302A1|2013-01-17|
    US20140223543A1|2014-08-07|
    CN103620612A|2014-03-05|
    CN103620612B|2016-04-13|
    EP2732397B1|2020-02-26|
    EP2732397A4|2015-04-29|
    TWI483137B|2015-05-01|
    US9547765B2|2017-01-17|
    US20160078224A1|2016-03-17|
    EP2732397A1|2014-05-21|
    引用文献:
    公开号 | 申请日 | 公开日 | 申请人 | 专利标题
    TWI497953B|2013-04-24|2015-08-21|Sunix Co Ltd|遠端周邊的控制系統、方法及其遠端服務器|US6003065A|1997-04-24|1999-12-14|Sun Microsystems, Inc.|Method and system for distributed processing of applications on host and peripheral devices|
    US7704147B2|1999-10-06|2010-04-27|Igt|Download procedures for peripheral devices|
    US7290072B2|1999-10-06|2007-10-30|Igt|Protocols and standards for USB peripheral communications|
    US20030037237A1|2001-04-09|2003-02-20|Jean-Paul Abgrall|Systems and methods for computer device authentication|
    JP4232355B2|2001-06-11|2009-03-04|株式会社日立製作所|分散システムにおけるサービス提供方法|
    US7110982B2|2001-08-27|2006-09-19|Dphi Acquisitions, Inc.|Secure access method and system|
    GB2382419B|2001-11-22|2005-12-14|Hewlett Packard Co|Apparatus and method for creating a trusted environment|
    US7487233B2|2001-12-05|2009-02-03|Canon Kabushiki Kaisha|Device access based on centralized authentication|
    US7167919B2|2001-12-05|2007-01-23|Canon Kabushiki Kaisha|Two-pass device access management|
    US7404019B2|2003-03-07|2008-07-22|Freescale Semiconductor, Inc.|Method and apparatus for endianness control in a data processing system|
    DE10313318A1|2003-03-25|2004-10-21|Giesecke & Devrient Gmbh|Kontrollierte Ausführung eines für eine virtuelle Maschine vorgesehenen Programms auf einem tragbaren Datenträger|
    US7530103B2|2003-08-07|2009-05-05|Microsoft Corporation|Projection of trustworthiness from a trusted environment to an untrusted environment|
    US8281114B2|2003-12-23|2012-10-02|Check Point Software Technologies, Inc.|Security system with methodology for defending against security breaches of peripheral devices|
    EP2267951B1|2004-07-23|2016-12-28|Citrix Systems, Inc.|Method for routing packets from an endpoint to a gateway|
    US7428754B2|2004-08-17|2008-09-23|The Mitre Corporation|System for secure computing using defense-in-depth architecture|
    US7340582B2|2004-09-30|2008-03-04|Intel Corporation|Fault processing for direct memory access address translation|
    JP4807628B2|2004-12-08|2011-11-02|日本電気株式会社|認証システム、認証方法及び認証情報生成プログラム|
    US7779424B2|2005-03-02|2010-08-17|Hewlett-Packard Development Company, L.P.|System and method for attributing to a corresponding virtual machine CPU usage of an isolated driver domain in which a shared resource's device driver resides|
    US7797707B2|2005-03-02|2010-09-14|Hewlett-Packard Development Company, L.P.|System and method for attributing to a corresponding virtual machine CPU usage of a domain in which a shared resource's device driver resides|
    US8799891B2|2005-03-02|2014-08-05|Hewlett-Packard Development Company, L.P.|System and method for attributing CPU usage of a virtual machine monitor to a corresponding virtual machine|
    US8019883B1|2005-05-05|2011-09-13|Digital Display Innovations, Llc|WiFi peripheral mode display system|
    US20080293499A1|2005-12-02|2008-11-27|Christopher Brewer|Gaming System Peripherals With Automatic System Configuration|
    US20120290455A1|2006-02-01|2012-11-15|Stephen Mark Mays|System and Method for Providing Computer Services|
    US7877788B1|2006-02-27|2011-01-25|Teradici Corporation|Method and apparatus for securing a peripheral data interface|
    US8296565B2|2006-03-27|2012-10-23|Kyocera Corporation|Communication protocol for device authentication|
    GB2436668B|2006-03-28|2011-03-16|Identum Ltd|Electronic data communication system|
    US8214838B2|2006-07-26|2012-07-03|Hewlett-Packard Development Company, L.P.|System and method for attributing to a corresponding virtual machine CPU utilization of a network driver domain based on weighted communication|
    US8146079B2|2006-07-26|2012-03-27|Hewlett-Packard Development Company, L.P.|Systems and methods for controlling resource usage by a driver domain on behalf of a virtual machine|
    US8782671B2|2006-07-26|2014-07-15|Hewlett-Packard Development Company, L. P.|Systems and methods for flexibly controlling resource usage by a driver domain on behalf of a virtual machine|
    US20080028399A1|2006-07-26|2008-01-31|Diwaker Gupta|System and method for attributing to a corresponding virtual machine CPU utilization of a network driver domain based on observed communication through a virtualized interface|
    US8032882B2|2006-07-26|2011-10-04|Hewlett-Packard Development Company, L.P.|System and method for controlling aggregate CPU usage by virtual machines and driver domains|
    US8209682B2|2006-07-26|2012-06-26|Hewlett-Packard Development Company, L.P.|System and method for controlling aggregate CPU usage by virtual machines and driver domains over a plurality of scheduling intervals|
    US8340057B2|2006-12-22|2012-12-25|Canon Kabushiki Kaisha|Automated wireless access to peripheral devices|
    US8996864B2|2006-12-22|2015-03-31|Virtuallogix Sa|System for enabling multiple execution environments to share a device|
    US8527982B1|2007-01-12|2013-09-03|moka5. Inc.|Auto install virtual machine monitor|
    US8924708B2|2007-01-22|2014-12-30|Simon Yoffe|Security switch|
    WO2008147577A2|2007-01-22|2008-12-04|Spyrus, Inc.|Portable data encryption device with configurable security functionality and method for file encryption|
    CN101589400B|2007-01-26|2012-06-20|日本电气株式会社|权限管理方法及系统、该系统中使用的服务器和信息设备终端|
    US20090007100A1|2007-06-28|2009-01-01|Microsoft Corporation|Suspending a Running Operating System to Enable Security Scanning|
    TWM328026U|2007-08-20|2008-03-01|Tenx Technology Inc|Interface controlling device capable of changing data transmission mode|
    US8230149B1|2007-09-26|2012-07-24|Teradici Corporation|Method and apparatus for managing a peripheral port of a computer system|
    US20090113128A1|2007-10-24|2009-04-30|Sumwintek Corp.|Method and system for preventing virus infections via the use of a removable storage device|
    US20090138969A1|2007-11-26|2009-05-28|Kim Yun Ju|Device and method for blocking autorun of malicious code|
    JP4939382B2|2007-11-28|2012-05-23|ルネサスエレクトロニクス株式会社|情報処理装置及びそのプログラム実行制御方法|
    JP4335940B2|2007-11-29|2009-09-30|Necエレクトロニクス株式会社|データ処理装置及びデータ処理装置における周辺装置保護方法|
    US7797748B2|2007-12-12|2010-09-14|Vmware, Inc.|On-access anti-virus mechanism for virtual machine architecture|
    KR101489244B1|2007-12-24|2015-02-04|삼성전자 주식회사|가상 머신 모니터 기반의 프로그램 실행 시스템 및 그 제어방법|
    KR101425621B1|2008-01-15|2014-07-31|삼성전자주식회사|컨텐츠를 안전하게 공유하는 방법 및 시스템|
    US20090182805A1|2008-01-15|2009-07-16|Vishnu-Kumar Shivaji-Rao|Methods and Systems for Peripheral-Device-Assisted Networking|
    US8307360B2|2008-01-22|2012-11-06|Advanced Micro Devices, Inc.|Caching binary translations for virtual machine guest|
    US8332846B2|2008-02-28|2012-12-11|Sony Mobile Communications Ab|Selective exposure to USB device functionality for a virtual machine by filtering descriptors|
    KR101489301B1|2008-03-20|2015-02-06|삼성전자주식회사|가상환경 시스템 및 그의 구동방법|
    US20110246678A1|2010-03-30|2011-10-06|Hung-June Wu| method for automatic mapping and updating of computer switching devices|
    WO2009123640A1|2008-04-04|2009-10-08|Hewlett-Packard Development Company, L.P.|Virtual machine manager system and methods|
    JP4514066B2|2008-04-28|2010-07-28|ルネサスエレクトロニクス株式会社|データ処理装置及びデータ処理装置におけるアクセス制御方法|
    US8341729B2|2008-06-03|2012-12-25|Ca, Inc.|Hardware access and monitoring control|
    US20090307705A1|2008-06-05|2009-12-10|Neocleus Israel Ltd|Secure multi-purpose computing client|
    US20110078797A1|2008-07-29|2011-03-31|Novell, Inc.|Endpoint security threat mitigation with virtual machine imaging|
    WO2010030996A1|2008-09-15|2010-03-18|Virsto Software|Storage management system for virtual machines|
    US20100107160A1|2008-10-29|2010-04-29|Novell, Inc.|Protecting computing assets with virtualization|
    CN101739283B|2008-11-20|2013-12-25|联想有限公司|一种计算机及虚拟系统直接访问计算机硬件的方法|
    GB0823162D0|2008-12-18|2009-01-28|Solarflare Communications Inc|Virtualised Interface Functions|
    US20100175108A1|2009-01-02|2010-07-08|Andre Protas|Method and system for securing virtual machines by restricting access in connection with a vulnerability audit|
    US20120047566A1|2009-01-30|2012-02-23|Precise Biometrics Ab|Password protected secure device|
    CN102301629A|2009-02-08|2011-12-28|茵芬尼特麦默里有限公司|鉴别通信会话和加密其数据的电路、系统、设备和方法|
    US20100228943A1|2009-03-04|2010-09-09|Freescale Semiconductor, Inc.|Access management technique for storage-efficient mapping between identifier domains|
    US8473644B2|2009-03-04|2013-06-25|Freescale Semiconductor, Inc.|Access management technique with operation translation capability|
    JP4656347B2|2009-04-14|2011-03-23|日本電気株式会社|コンピュータ・システム|
    US8522338B2|2009-06-22|2013-08-27|Analogic Corporation|Two-way authentication|
    US8966475B2|2009-08-10|2015-02-24|Novell, Inc.|Workload management for heterogeneous hosts in a computing system environment|
    TW201108696A|2009-08-21|2011-03-01|Kinpo Elect Inc|Account identification system, method and peripheral device of performing function thereof|
    US8505103B2|2009-09-09|2013-08-06|Fujitsu Limited|Hardware trust anchor|
    US8479011B2|2009-10-07|2013-07-02|Gemalto Sa|Method and apparatus for using cryptographic mechanisms to provide access to a portable device using integrated authentication using another portable device|
    KR101135629B1|2009-10-26|2012-04-17|한국전자통신연구원|이동형 usb 저장장치의 자동실행방지 방법 및 장치|
    US9069596B2|2009-11-17|2015-06-30|International Business Machines Corporation|Hypervisor file system|
    US8937930B2|2009-11-19|2015-01-20|Qualcomm, Incorporated|Virtual peripheral hub device and system|
    US8327358B2|2009-12-10|2012-12-04|Empire Technology Development Llc|Hypervisor driver management in virtual machine environments|
    US8869144B2|2009-12-14|2014-10-21|Citrix Systems, Inc.|Managing forwarding of input events in a virtualization environment to prevent keylogging attacks|
    US20110154023A1|2009-12-21|2011-06-23|Smith Ned M|Protected device management|
    JP5556207B2|2010-02-04|2014-07-23|ソニー株式会社|無線通信装置、無線通信方法、およびプログラム|
    US8578161B2|2010-04-01|2013-11-05|Intel Corporation|Protocol for authenticating functionality in a peripheral device|
    US8869308B2|2010-05-20|2014-10-21|High Sec Labs Ltd.|Computer motherboard having peripheral security functions|
    CN102262557B|2010-05-25|2015-01-21|运软网络科技有限公司|通过总线架构构建虚拟机监控器的方法及性能服务框架|
    US20120005178A1|2010-06-30|2012-01-05|Jodat Jamil Gazala|System and Method for Network Printing from a Peripheral Device|
    JP5494298B2|2010-07-06|2014-05-14|富士通株式会社|計算機装置,障害復旧制御プログラムおよび障害復旧制御方法|
    US8458369B2|2010-07-22|2013-06-04|Verizon Patent And Licensing Inc.|Automatic peripheral discovery, authorization, and sharing across an internet protocol network|
    US8140733B2|2010-08-12|2012-03-20|Emcon Emanation Control Ltd.|Secure external computer hub|
    US20120047580A1|2010-08-18|2012-02-23|Smith Ned M|Method and apparatus for enforcing a mandatory security policy on an operating system independent anti-virus scanner|
    WO2012051590A1|2010-10-15|2012-04-19|Magtek, Inc.|Systems and methods for authenticating aspects of an oline transaction using a secure peripheral device having a message display and/or user input|
    US8667303B2|2010-11-22|2014-03-04|Motorola Mobility Llc|Peripheral authentication|
    US8412857B2|2010-11-22|2013-04-02|Motorola Mobility Llc|Authenticating, tracking, and using a peripheral|
    US20120161924A1|2010-12-22|2012-06-28|Rfmarq, Inc.|Automatic Authentication of Electronic Devices|
    US9948730B2|2011-02-08|2018-04-17|S-Printing Solution Co., Ltd.|Social network system with access provision mechanism and method of operation thereof|
    WO2012151392A1|2011-05-04|2012-11-08|Citrix Systems, Inc.|Systems and methods for sr-iov pass-thru via an intermediary device|
    US8862803B2|2011-05-31|2014-10-14|Architecture Technology Corporation|Mediating communciation of a univeral serial bus device|
    US8732390B2|2011-05-31|2014-05-20|Seagate Technology Llc|Distribution with dynamic partitions|
    US9471811B2|2012-08-31|2016-10-18|Ncr Corporation|Learning a new peripheral using a security provisioning manifest|
    US9355277B2|2012-08-31|2016-05-31|Ncr Corporation|Installable secret functions for a peripheral|
    US9344281B2|2012-08-31|2016-05-17|Ncr Corporation|Detecting fraud using operational parameters for a peripheral|
    US10887296B2|2012-12-31|2021-01-05|Ncr Corporation|Secure provisioning manifest for controlling peripherals attached to a computer|
    US9182996B2|2013-03-12|2015-11-10|Midnight Mosaic Llc|Methods and apparatus for USB tunneling through USB printer device class|
    US10127379B2|2013-03-13|2018-11-13|Mcafee, Llc|Profiling code execution|US10176428B2|2014-03-13|2019-01-08|Qualcomm Incorporated|Behavioral analysis for securing peripheral devices|
    US9760712B2|2014-05-23|2017-09-12|Vmware, Inc.|Application whitelisting using user identification|
    US10044695B1|2014-09-02|2018-08-07|Amazon Technologies, Inc.|Application instances authenticated by secure measurements|
    US9577829B1|2014-09-03|2017-02-21|Amazon Technologies, Inc.|Multi-party computation services|
    US9442752B1|2014-09-03|2016-09-13|Amazon Technologies, Inc.|Virtual secure execution environments|
    US9491111B1|2014-09-03|2016-11-08|Amazon Technologies, Inc.|Securing service control on third party hardware|
    US10079681B1|2014-09-03|2018-09-18|Amazon Technologies, Inc.|Securing service layer on third party hardware|
    US9754116B1|2014-09-03|2017-09-05|Amazon Technologies, Inc.|Web services in secure execution environments|
    US9584517B1|2014-09-03|2017-02-28|Amazon Technologies, Inc.|Transforms within secure execution environments|
    US9246690B1|2014-09-03|2016-01-26|Amazon Technologies, Inc.|Secure execution environment services|
    US10061915B1|2014-09-03|2018-08-28|Amazon Technologies, Inc.|Posture assessment in a secure execution environment|
    US9712545B2|2014-12-23|2017-07-18|Mcafee, Inc.|Detection of a malicious peripheral|
    US20180225455A1|2016-01-31|2018-08-09|Hewlett-Packard Development Company, L.P.|Scanning of wireless network traffic in virtualized domains|
    US10089261B2|2016-03-11|2018-10-02|Ca, Inc.|Discriminating dynamic connection of disconnectable peripherals|
    US10856122B2|2016-05-31|2020-12-01|Intel Corporation|System, apparatus and method for scalable internet of thingsdevice on-boarding with quarantine capabilities|
    US10402577B2|2016-06-03|2019-09-03|Honeywell International Inc.|Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system|
    US10205726B2|2016-06-03|2019-02-12|Honeywell International Inc.|Apparatus and method for preventing file access by nodes of a protected system|
    US10643007B2|2016-06-03|2020-05-05|Honeywell International Inc.|System and method for auditing file access to secure media by nodes of a protected system|
    US10402559B2|2016-06-03|2019-09-03|Honeywell International Inc.|System and method supporting secure data transfer into and out of protected systems using removable media|
    US10812517B2|2016-06-03|2020-10-20|Honeywell International Inc.|System and method for bridging cyber-security threat intelligence into a protected system using secure media|
    US10614219B2|2016-06-03|2020-04-07|Honeywell International Inc.|Apparatus and method for locking and unlocking removable media for use inside and outside protected systems|
    US10158662B1|2016-08-19|2018-12-18|Symantec Corporation|Scanning for and remediating security risks on lightweight computing devices|
    IT201600125464A1|2016-12-13|2018-06-13|Maurizio Pizzonia|Metodo e apparato per la protezione di apparecchiature elettroniche con interfaccia usb da attacchi che emulano un human interface device|
    US20180239889A1|2017-02-21|2018-08-23|Microsoft Technology Licensing, Llc|Validating human input devices when connected to a computer|
    US10699013B2|2017-03-20|2020-06-30|Honeywell International Inc.|Systems and methods for USB/firewire port monitoring, filtering, and security|
    US20210200692A1|2017-06-20|2021-07-01|Hewlett-Packard Development Company, L.P.|Signal combiner|
    US10990671B2|2018-01-12|2021-04-27|Honeywell International Inc.|System and method for implementing secure media exchange on a single board computer|
    法律状态:
    优先权:
    申请号 | 申请日 | 专利标题
    PCT/US2011/043716|WO2013009302A1|2011-07-12|2011-07-12|Computing device including a port and a guest domain|
    [返回顶部]