[发明专利]通过主机与虚拟来宾之间的受控交互来创建隔离工作区的方法和系统

说明书

提供了一种用于提供隔离工作区的方法、设备和计算机程序产品。在主机上运行虚拟化应用程序以对虚拟来宾进行模拟。在虚拟来宾中运行管理应用程序。管理应用程序控制在来宾应用程序与虚拟来宾外部的位置之间的传输。管理应用程序存储主机无法访问的加密密钥。管理应用程序拦截从来宾应用程序传输到虚拟来宾之外的位置的尝试性传输。在尝试性传输中的安全数据文件被识别，并在离开虚拟来宾之前使用加密密钥进行加密。管理应用程序还可以防止将任何未加密的数据提供给先前尚未确定为经许可的主机进程的非内核主机进程，同时允许从非内核主机进程到任何来宾应用程序进程的未加密数据传输。

相关申请的交叉引用

本申请要求于2020年2月7日提交的第62/971,498号美国临时申请的权益，该申请的全部内容通过引用而被合并到本文中。

技术领域

本发明的实施方式总体上涉及虚拟化，更具体地涉及用于提供安全虚拟化环境的设备、方法和计算机程序产品。

背景技术

以下并不意味着下面讨论的任何内容是现有技术的一部分或本领域技术人员的公知常识的一部分。

对于许多办公室工作而言，远程工作安排正变得普遍。使员工能够远程工作可以为员工和雇主提供许多优势。例如，远程工作安排可以释放员工本来要花费在通勤上的时间。这会增加员工可用的生产时间，同时兼顾其他负担。这也可以带来减少交通拥堵和公共交通压力的附加益处。远程工作还可以使员工在预料不到的事件中能够继续工作，例如不利的天气事件(如大雪或大雨)；或行动限制，例如，为限制传染病(如冠状病毒，例如Covid-19冠状病毒)的传播而可能实施的限制。

远程工作安排使员工可以在不同的地点工作，而不是在特定的物理位置，例如办公楼。通过减少或消除对昂贵的办公空间的需求，这可以为雇主节省大量成本。这也使员工能够保持生产力，即使他们远离常规办公室地点。

远程办公室可以建立在员工的家中，也可以建立在为不同公司的人提供办公空间的共享工作中心的办公空间中。在远程办公室工作的员工可以使用可以连接到公共计算机网络(如互联网)的计算机，以便与同事合作并从机构的私有网络的服务器访问资源。这甚至可以使员工在新的地点继续工作，例如旅行时。

远程计算机和私有机构网络中的服务器之间的网络连接通常是安全的，以防止在远程办公室和机构服务器之间的数据传输期间的数据泄漏。例如虚拟私有网络(VPN)的网络技术可以用于保护网络连接。VPN在安装在远程计算机上的VPN客户端和运行在机构的私有网络中的VPN服务器之间建立了安全且加密的隧道。这样可以防止远程办公室和机构的私有网络中的服务器之间的数据传输被窃听而导致私有数据泄露。VPN客户端需要认证(如用户名/密码或公共/私有密钥对)以连接到VPN服务器。这样可以确保只有经过授权的人员才能从远程办公室访问机构的私有资源，并且远程办公室和VPN服务器之间的数据流量是加密的。

尽管VPN在远程办公室和机构的私有网络中的服务器之间建立了安全渠道，但它并不能完全解决远程办公室的数据安全问题。例如，一旦将私有数据下载到远程计算机，防止未经授权的第三方访问数据是具有挑战性的。员工可能意外或有意地将私有数据复制到USB磁盘或将数据上传到不属于该机构的外部服务器。安装在计算机上的软件(如恶意软件或间谍软件)也可以将数据上传到不属于该机构的外部服务器。这些数据安全障碍极大地限制了远程办公室的可用性。

解决远程办公室数据安全问题的一种方法是“加固”远程工作安排中使用的计算机。具体而言，远程办公室中的计算机可以被配置成仅连接到机构的私有网络中的服务器。加固计算机可以确保除基本输入/输出设备(例如鼠标、键盘和显示器)以外的所有外围设备都被禁用，不能被这些计算机使用。但是，这种解决方案有几个局限性。首先，这种方法往往要求远程办公室中的计算机为机构所有，因为员工不愿意加固自己的计算机。此外，为在远程办公室工作的每个员工购买计算机不仅会给机构带来经济负担，而且还限制了员工可以在远程办公室使用的计算机的选择(这可能会对员工的生产力产生负面影响)。