[发明专利]对加密数据进行访问控制和入侵检测的方法、装置和系统

说明书

技术领域

本发明总体上涉及数据处理，更具体地，涉及对加密数据进行访问控 制和入侵检测的方法、装置和系统。

背景技术

目前存在各种入侵检测系统，通过检测对数据潜在的攻击以增强计算 机平台上数据的安全性。这些入侵检测系统(IDS)的一个局限是它们通常仅 对未加密数据和/或已加密但密钥已提供给入侵检测系统的数据进行监测。 因此，例如，尽管IDS能够在网络业务(traffic)被加密并发送给预期的接收 者之前读取网络业务，但是由于多数应用程序(application)通常在将数据发 送到网络驱动程序之前(即在数据被IDS接收之前)由自己对数据进行了加 密，所以IDS“看到”加密数据但却无法检查。因此，除非配备了解密密 钥，现有的IDS通常无法对加密数据进行入侵检测，即便IDS可能是共驻 在发送和接收业务的设备上也是如此。

发明内容

根据本发明的一个方面，提供了一种用于在计算平台中对加密数据进 行入侵检测的方法，包括：使用当在应用程序和执行于第一执行分区中的 驱动程序之间建立连接时生成的初始化信息，由所述第一执行分区识别主 机操作系统的存储器中所述应用程序的存储位置，所述主机操作系统位于 第二执行分区中；利用直接存储器存取，在所述主机操作系统中所述应用 程序的存储位置内找到会话密钥，所述直接存储器存取使得所述计算平台 内独立的组件能够直接访问所述存储位置；将所述会话密钥复制到所述第 一执行分区的存储器中；使用所述第一执行分区中的所述驱动程序，利用 所述第一执行分区中的所述会话密钥，对在所述第一执行分区中接收自所 述应用程序的用于传送的加密数据进行解密；以及，检查解密数据。

根据本发明的另一个方面，提供了一种支持在传送之前对加密数据进 行入侵检测的节点，包括：主机执行分区，其运行有主机操作系统和应用 程序，所述应用程序能够运行在所述主机操作系统的部分存储器中，所述 应用程序还能够在运行该应用程序的部分存储器中生成会话密钥，所述会 话密钥是在所述应用程序与监测执行分区中的驱动程序建立连接以用于传 送加密数据时生成的，所述应用程序还能够利用所述会话密钥在传送之前 对数据进行加密，其中，所述主机执行分区能够通过网络接口卡向监测执 行分区发送针对所述主机执行分区和所述监测执行分区之间的连接的连接 请求，该连接请求包括与所述连接有关的初始化信息，所述主机执行分区 还能够存储与所述连接有关的初始化信息，并且所述主机执行分区还能够 使与由所述应用程序生成的会话密钥有关的所述初始化信息对所述监测执 行分区可用；所述监测执行分区，其能够从所述主机执行分区中的所述应 用程序接收加密数据，所述监测执行分区还能够使用当在所述应用程序和 所述驱动程序之间建立连接时生成的初始化信息，利用直接存储器存取来 从运行该应用程序的部分存储器中找到并复制所述会话密钥，所述监测执 行分区还能够利用从运行该应用程序的部分存储器中复制的会话密钥对所 述加密数据进行解密，以便在所述加密数据的传送之前检查解密数据；以 及，所述网络接口卡，其能够在所述主机执行分区和所述监测执行分区之 间建立连接，并且还能够将所述连接请求从所述主机执行分区路由至所述 监测执行分区。

根据本发明的再一个方面，提供了一种用于在计算平台中对加密数据 进行入侵检测的装置，包括：用于使用当在应用程序和执行于第一执行分 区中的驱动程序之间建立连接时生成的初始化信息，由所述第一执行分区 识别主机操作系统的存储器中所述应用程序的存储位置的模块，所述主机 操作系统位于第二执行分区中；用于利用直接存储器存取，在所述主机操 作系统中所述应用程序的存储位置内找到会话密钥的模块，所述直接存储 器存取使得所述计算平台内独立的组件能够直接访问所述存储位置；用于 将所述会话密钥复制到所述第一执行分区中的存储器的模块；用于使用所 述第一执行分区中的所述驱动程序，利用所述第一执行分区中的所述会话 密钥，对在所述第一执行分区中接收自所述应用程序的用于传送的加密数 据进行解密的模块；以及，用于检查解密数据的模块。

附图说明

本发明通过附图中各图以示例性而不是限制性的方式加以说明，图中 相似的标记表示相似的元素，其中：

图1示出入侵检测系统典型的现有实现；

图2示出示例性AMT环境；

图3示出示例性虚拟机主机；