[发明专利]对加密数据进行访问控制和入侵检测的方法、装置和系统

权利要求书

1.一种用于在计算平台中对加密数据进行入侵检测的方法，包括：

使用当在应用程序和执行于第一执行分区中的驱动程序之间建立连接 时生成的初始化信息，由所述第一执行分区识别主机操作系统的存储器中 所述应用程序的存储位置，所述主机操作系统位于第二执行分区中；

利用直接存储器存取，在所述主机操作系统中所述应用程序的存储位 置内找到会话密钥，所述直接存储器存取使得所述计算平台内独立的组件 能够直接访问所述存储位置；

将所述会话密钥复制到所述第一执行分区的存储器中；

使用所述第一执行分区中的所述驱动程序，利用所述第一执行分区中 的所述会话密钥，对在所述第一执行分区中接收自所述应用程序的用于传 送的加密数据进行解密；和

检查解密数据。

2.根据权利要求1所述的方法，其中，所述第一执行分区是主动管理 技术分区、管理引擎分区、平台资源层平台和虚拟机之一。

3.根据权利要求2所述的方法，其中，所述主动管理技术分区是虚拟 化分区。

4.根据权利要求1所述的方法，进一步包括以下之一：

如果所述加密数据已泄密，则阻止从所述应用程序传送所述加密数据； 和

如果所述加密数据未泄密，则将所述加密数据发送至网络接口卡以便 将其从节点进行传送。

5.根据权利要求1所述的方法，进一步包括在所述第一执行分区和所 述第二执行分区之间建立连接。

6.根据权利要求5所述的方法，其中，建立连接进一步包括：

从所述第二执行分区向所述第一执行分区发送连接请求，该连接请求 包括与所述连接有关的信息；

存储与所述连接有关的信息；

在所述第二执行分区中生成所述会话密钥；和

使与所述会话密钥有关的信息对所述第一执行分区可用。

7.根据权利要求6所述的方法，其中，发送连接请求进一步包括自动 建立从所述第二执行分区到所述第一执行分区的连接。

8.一种支持在传送之前对加密数据进行入侵检测的节点，包括：

主机执行分区，其运行有主机操作系统和应用程序，所述应用程序能 够运行在所述主机操作系统的部分存储器中，所述应用程序还能够在运行 该应用程序的部分存储器中生成会话密钥，所述会话密钥是在所述应用程 序与监测执行分区中的驱动程序建立连接以用于传送加密数据时生成的， 所述应用程序还能够利用所述会话密钥在传送之前对数据进行加密，其中， 所述主机执行分区能够通过网络接口卡向监测执行分区发送针对所述主机 执行分区和所述监测执行分区之间的连接的连接请求，该连接请求包括与 所述连接有关的初始化信息，所述主机执行分区还能够存储与所述连接有 关的初始化信息，并且所述主机执行分区还能够使与由所述应用程序生成 的会话密钥有关的所述初始化信息对所述监测执行分区可用；

所述监测执行分区，其能够从所述主机执行分区中的所述应用程序接 收加密数据，所述监测执行分区还能够使用当在所述应用程序和所述驱动 程序之间建立连接时生成的初始化信息，利用直接存储器存取来从运行该 应用程序的部分存储器中找到并复制所述会话密钥，所述监测执行分区还 能够利用从运行该应用程序的部分存储器中复制的会话密钥对所述加密数 据进行解密，以便在所述加密数据的传送之前检查解密数据；和

所述网络接口卡，其能够在所述主机执行分区和所述监测执行分区之 间建立连接，并且还能够将所述连接请求从所述主机执行分区路由至所述 监测执行分区。

9.根据权利要求8所述的节点，其中，所述监测执行分区还能够进行 以下操作之一：

如果所述加密数据已泄密，则阻止从所述应用程序传送所述加密数据； 和

如果所述加密数据未泄密，则将所述加密数据发送到网络接口卡，以 便将其从所述节点进行传送。

10.根据权利要求8所述的节点，其中，所述监测执行分区是主动管 理技术分区、管理引擎分区、平台资源层平台和虚拟机之一。