[发明专利]使用虚拟资源视图的数据保护

权利要求书

1.一种使用资源内容的虚拟视图来保护数据的方法，其包括：

通过计算装置的虚拟化接口监视器来监视第一请求实体对存取计算装置资源的请求；

通过所述虚拟化接口监视器来确定所述第一请求实体是否为所述计算装置资源的拥有者；

响应于确定所述第一请求实体是所述计算装置资源的所述拥有者，通过所述计算装置的数据保护系统将所述计算装置资源的资源内容的无遮掩虚拟视图提供给所述第一请求实体；及

响应于确定所述第一请求实体是所述计算装置资源的非拥有者，通过所述数据保护系统将所述计算装置资源的所述资源内容的遮掩虚拟视图提供给所述第一请求实体。

2.根据权利要求1所述的方法，其进一步包括：

通过资源内容密码编译装置来确定所述第一请求实体是否具有认证功能；

响应于确定所述第一请求实体具有认证功能，通过所述资源内容密码编译装置来确定所述第一请求实体的存取类型；及

响应于确定所述第一请求实体是所述计算装置资源的非拥有者，通过所述计算装置的资源内容密码编译装置，使用基于所述存取类型的遮掩水平而遮掩所述计算装置资源的所述资源内容的所述虚拟视图。

3.根据权利要求2所述的方法，其中所述存取类型包含部分遮掩及遮掩，且其中使用基于所述存取类型的遮掩水平而遮掩所述计算装置资源的所述资源内容的所述虚拟视图包括：

响应于确定用于所述第一请求实体的所述存取类型为部分遮掩，通过所述资源内容密码编译装置，使用同态加密对所述计算装置资源的所述资源内容的所述虚拟视图加密；及

响应于确定用于所述第一请求实体的所述存取类型为遮掩，通过所述资源内容密码编译装置，使用强加密对所述计算装置资源的所述资源内容的所述虚拟视图加密。

4.根据权利要求1所述的方法，其进一步包括：

通过所述虚拟化接口监视器，关于所述计算装置资源的所有权变化对虚拟化接口进行监视；及

通过所述虚拟化接口监视器来存储与用于所述第一请求实体的所述计算装置资源的虚拟资源识别符相关的所述第一请求实体的第一拥有者识别符，其中所述第一拥有者识别符指示所述第一请求实体经授予所述计算装置资源的所有权且所述虚拟资源识别符经映射到所述计算装置资源的物理资源识别符。

5.根据权利要求4所述的方法，其中关于所述计算装置资源的所有权变化对虚拟化接口进行监视包括监视第二请求实体对所述计算装置资源的所有权的请求。

6.根据权利要求1所述的方法，其中确定所述第一请求实体是否为所述计算装置资源的拥有者包括：

通过所述虚拟化接口监视器，将存取所述计算装置资源的所述请求的虚拟资源识别符与相关于所述计算装置资源的虚拟资源识别符的所存储拥有者识别符进行比较；及

在存取所述计算装置资源的所述请求的所述虚拟资源识别符与所述计算装置资源的所述虚拟资源识别符匹配时，确定所述第一请求实体是所述计算装置资源的所述拥有者。

7.根据权利要求1所述的方法，其中：

所述计算装置资源的所述拥有者是应用程序；且

所述计算装置资源的所述非拥有者为资源管理器，包含操作系统内核、超管理器及TrustZone中的一个。

8.一种计算装置，其包括：

数据保护系统，其包括虚拟化接口监视器及资源内容密码编译装置，

其中所述虚拟化接口监视器经虚拟化接口监视器可执行指令配置以执行包括以下各者的操作：

监视第一请求实体对存取计算装置资源的请求；及

确定所述第一请求实体是否为所述计算装置资源的拥有者，且

其中所述数据保护系统经数据保护系统可执行指令配置以执行包括以下各者的操作：

响应于确定所述第一请求实体是所述计算装置资源的所述拥有者，将所述计算装置资源的资源内容的无遮掩虚拟视图提供给所述第一请求实体；及

响应于确定所述第一请求实体是所述计算装置资源的非拥有者，将所述计算装置资源的所述资源内容的遮掩虚拟视图提供给所述第一请求实体。