本发明专利技术提供一种USB设备安全接入监控方法,包括:构造USB设备安全接入监控架构,USB设备安全接入监控架构包括客户端和服务端;对于客户端,在其PCI层和USB驱动层之间新配置有USB设备监控单元;其中,USB设备监控单元包括USB过滤模块、I/O控制模块和缓存;服务端配置有服务端管理平台和数据库;数据库存储并实时维护USB设备ID注册表和USB设备阻止类型注册表。优点为:(1)为一种对USB设备本身无任何写入操作的安全监控方法,有助于提升USB设备的可用性和可靠性;(2)采用驱动的监控方式,具有监控可靠性高、难破解、性能稳定可靠的优点;(3)USB过滤模块可启动可禁用,使用灵活性好。
【技术实现步骤摘要】
本专利技术属于可移动磁盘接入
,具体涉及一种USB设备安全接入监控方法。
技术介绍
在企事业单位办公电脑中,经常存储有一些涉及本单位机密的信息和数据,因此对这些信息和数据的保护非常重要,一是要防止外泄露,二是要防止被病毒感染。实现上述目标的一种方法为:对接入电脑的U盘或移动硬盘等可移动磁盘进行监控,切断非法或染毒的可移动磁盘接入电脑,从而有效降低重要机密文件的泄露和遗失。现有技术中,对可移动磁盘接入监控方法是:在指定电脑上,使用专用的可移动磁盘注册软件,将可移动磁盘重新初始化为至少两个分区,其中一个为容量较小的自定义格式分区,用于保存验证信息;其他均为正常分区,用于验证通过后的正常使用。当可移动磁盘接入电脑后,电脑会读取可移动磁盘中自定义分区的验证信息。如果验证成功,可移动磁盘就可以正常的使用;如果验证失败,就禁止可移动磁盘对电脑的访问。上述方法存在的主要缺陷为:①在使用过程中,由于自定义格式的分区不是很稳定,容易造成分区损坏,以及验证信息的丢失,导致可移动磁盘无法使用。②所有的操作都是在应用层,容易被破解。③初始时,需要对可移动磁盘进行初始化,不能保留原有的数据,从而不方便用户使用。
技术实现思路
针对现有技术存在的缺陷,本专利技术提供一种USB设备安全接入监控方法,可有效解决上述问题。本专利技术采用的技术方案如下:本专利技术提供一种USB设备安全接入监控方法,包括以下步骤:步骤S1,构造USB设备安全接入监控架构,所述USB设备安全接入监控架构包括客户端和服务端;对于所述客户端,在其PCI层和USB驱动层之间新配置有USB设备监控单元;其中,所述USB设备监控单元包括USB过滤模块、I/O控制模块和缓存;所述I/O控制模块用于实现所述USB设备监控单元与服务端管理平台的通信;所述客户端还配置有USB设备注册单元;所述服务端配置有服务端管理平台和数据库;所述数据库存储并实时维护USB设备ID注册表和USB设备阻止类型注册表;其中,所述USB设备ID注册表用于存储已注册的USB设备ID;所述USB设备阻止类型注册表用于存储需要被拦截的USB设备类型;步骤S2,当在客户端的用户层调用设备控制函数与USB驱动层进行通信时,立即启动所述I/O控制模块;所述I/O控制模块被启动后,立即向设备控制类派遣函数发送触发命令;所述设备控制类派遣函数判断所述触发命令是否正确,如果不正确,则设置返回值为假,并将所述返回值返回给所述I/O控制模块;如果正确,所述设备控制类派遣函数与所述服务端管理平台建立通信,接收来自于所述服务端管理平台的USB设备ID注册表、USB设备阻止类型注册表以及USB过滤模块是否启用的指令;然后,所述设备控制类派遣函数将所述USB设备ID注册表和所述USB设备阻止类型注册表存储到所述缓存中;另外,如果为USB过滤模块禁用的指令,则所述设备控制类派遣函数取消BLOCK标志位;如果为USB过滤模块启用的指令,则设置BLOCK标志位;然后,所述设备控制类派遣函数设置返回值为真,并将所述返回值返回给所述I/O控制模块;步骤S3,当客户端的USB插口被插入USB设备时,所述总线检测到USB插口被插入USB设备,然后,所述总线触发即插即用请求类派遣函数;所述即插即用请求类派遣函数判断是否存在BLOCK标志位,如果不存在BLOCK标志位,执行S4;如果存在BLOCK标志位,执行S5;步骤S4,所述即插即用请求类派遣函数禁用所述USB过滤模块;当USB设备插入USB插口,总线层将所述USB设备接入请求消息通过PCI层上传到USB驱动层;然后,返回S3,如此不断对插入的各个USB设备进行驱动接入;步骤S5,包括:步骤S5.1,所述即插即用请求类派遣函数启用所述USB过滤模块;步骤S5.2,当总线层检测到USB设备接入请求消息时,所述总线层将所述USB设备接入请求消息通过PCI层上传到USB过滤模块;步骤S5.3,所述USB过滤模块解析所述USB设备接入请求消息,得到USB设备的设备类型以及USB设备ID;然后,所述USB过滤模块从所述缓存中读取到USB设备阻止类型注册表,判断当前插入的USB设备的设备类型是否在所述USB设备阻止类型注册表中,如果不在所述USB设备阻止类型注册表中,则所述USB过滤模块将所述USB设备接入请求消息传输给上层的USB驱动层;然后,返回S3,如此不断对插入的各个USB设备进行驱动接入;如果在所述USB设备阻止类型注册表中,则执行S5.4;步骤S5.4,所述USB过滤模块从所述缓存中读取到USB设备ID注册表,判断当前插入的USB设备的及USB设备ID是否在所述USB设备ID注册表中,如果在所述USB设备ID注册表中,则所述USB过滤模块将所述USB设备接入请求消息传输给上层的USB驱动层;然后,返回S3,如此不断对插入的各个USB设备进行驱动接入;如果不在所述USB设备ID注册表中,则执行S5.5;步骤S5.5,所述USB过滤模块将所接到的所述USB设备接入请求消息拦截,不再继续向上层的USB驱动层传送所述USB设备接入请求消息,因此,USB驱动层不会对当前插入的USB设备进行驱动,当前插入的USB设备未成功接入。优选的,所述USB设备阻止类型注册表用于存储以下类型的USB设备:网卡、可移动磁盘、游戏手柄、读卡器和照相机。优选的,当USB设备为可移动磁盘时,所述USB设备ID包括可移动磁盘的固件中VID、PID和SN;其中,VID代表制造商ID;PID代表产品ID;SN代表序列号。本专利技术提供的USB设备安全接入监控方法具有以下优点:(1)为一种对USB设备本身无任何写入操作的安全监控方法,由于不会对USB设备进行任何修改,因此,减少对USB设备的格式化操作,不改变USB设备的原有文件系统格式,不修改USB设备本身的任何信息,有助于提升USB设备的可用性和可靠性,并且监控效果优异;(2)通过在USB驱动层和PCI层之间设置缓存区,缓存区预先存储已注册USB设备信息,因此,即便当网络不稳定时,仍可利用本地缓存的注册信息实现对插入的USB设备的监控。(3)采用驱动的监控方式,具有监控可靠性高、难破解、性能稳定可靠的优点;(4)USB过滤模块可启动可禁用,使用灵活性好。附图说明图1为本专利技术提供的USB设备安全接入监控架构的结构示意图;图2为本专利技术提供的设备控制类派遣函数的执行流程图;图3为本专利技术提供的即插即用请求类派遣函数的执行流程图。图4为本专利技术提供的USB设备安全接入监控方法的整体流程图。具体实施方式为了使本专利技术所解决的技术问题、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本专利技术进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本专利技术,并不用于限定本专利技术。为方便对本专利技术进行理解,首先介绍重要名称在本专利技术中的含义:服务端管理平台:在服务器电脑中始终运行,提供管理人员操作的界面,以及与客户端数据传输的接口,并处理数据库的访问。USB设备注册单元:将未授权接入电脑的USB设备注册为已授权接入设备。USB设备监控单元:接收服务端传输的USB设备注册数据,根据授权的信息判断接入电脑的USB设备是否允许使用。结合图1-图3,本专利技术提供一种USB设备安全接入监控方法,本文档来自技高网...
【技术保护点】
一种USB设备安全接入监控方法,其特征在于,包括以下步骤:步骤S1,构造USB设备安全接入监控架构,所述USB设备安全接入监控架构包括客户端和服务端;对于所述客户端,在其PCI层和USB驱动层之间新配置有USB设备监控单元;其中,所述USB设备监控单元包括USB过滤模块、I/O控制模块和缓存;所述I/O控制模块用于实现所述USB设备监控单元与服务端管理平台的通信;所述客户端还配置有USB设备注册单元;所述服务端配置有服务端管理平台和数据库;所述数据库存储并实时维护USB设备ID注册表和USB设备阻止类型注册表;其中,所述USB设备ID注册表用于存储已注册的USB设备ID;所述USB设备阻止类型注册表用于存储需要被拦截的USB设备类型;步骤S2,当在客户端的用户层调用设备控制函数与USB驱动层进行通信时,立即启动所述I/O控制模块;所述I/O控制模块被启动后,立即向设备控制类派遣函数发送触发命令;所述设备控制类派遣函数判断所述触发命令是否正确,如果不正确,则设置返回值为假,并将所述返回值返回给所述I/O控制模块;如果正确,所述设备控制类派遣函数与所述服务端管理平台建立通信,接收来自于所述服务端管理平台的USB设备ID注册表、USB设备阻止类型注册表以及USB过滤模块是否启用的指令;然后,所述设备控制类派遣函数将所述USB设备ID注册表和所述USB设备阻止类型注册表存储到所述缓存中;另外,如果为USB过滤模块禁用的指令,则所述设备控制类派遣函数取消BLOCK标志位;如果为USB过滤模块启用的指令,则设置BLOCK标志位;然后,所述设备控制类派遣函数设置返回值为真,并将所述返回值返回给所述I/O控制模块;步骤S3,当客户端的USB插口被插入USB设备时,所述总线检测到USB插口被插入USB设备,然后,所述总线触发即插即用请求类派遣函数;所述即插即用请求类派遣函数判断是否存在BLOCK标志位,如果不存在BLOCK标志位,执行S4;如果存在BLOCK标志位,执行S5;步骤S4,所述即插即用请求类派遣函数禁用所述USB过滤模块;当USB设备插入USB插口,总线层将所述USB设备接入请求消息通过PCI层上传到USB驱动层;然后,返回S3,如此不断对插入的各个USB设备进行驱动接入;步骤S5,包括:步骤S5.1,所述即插即用请求类派遣函数启用所述USB过滤模块;步骤S5.2,当总线层检测到USB设备接入请求消息时,所述总线层将所述USB设备接入请求消息通过PCI层上传到USB过滤模块;步骤S5.3,所述USB过滤模块解析所述USB设备接入请求消息,得到USB设备的设备类型以及USB设备ID;然后,所述USB过滤模块从所述缓存中读取到USB设备阻止类型注册表,判断当前插入的USB设备的设备类型是否在所述USB设备阻止类型注册表中,如果不在所述USB设备阻止类型注册表中,则所述USB过滤模块将所述USB设备接入请求消息传输给上层的USB驱动层;然后,返回S3,如此不断对插入的各个USB设备进行驱动接入;如果在所述USB设备阻止类型注册表中,则执行S5.4;步骤S5.4,所述USB过滤模块从所述缓存中读取到USB设备ID注册表,判断当前插入的USB设备的及USB设备ID是否在所述USB设备ID注册表中,如果在所述USB设备ID注册表中,则所述USB过滤模块将所述USB设备接入请求消息传输给上层的USB驱动层;然后,返回S3,如此不断对插入的各个USB设备进行驱动接入;如果不在所述USB设备ID注册表中,则执行S5.5;步骤S5.5,所述USB过滤模块将所接到的所述USB设备接入请求消息拦截,不再继续向上层的USB驱动层传送所述USB设备接入请求消息,因此,USB驱动层不会对当前插入的USB设备进行驱动,当前插入的USB设备未成功接入。...
【技术特征摘要】
1.一种USB设备安全接入监控方法,其特征在于,包括以下步骤:步骤S1,构造USB设备安全接入监控架构,所述USB设备安全接入监控架构包括客户端和服务端;对于所述客户端,在其PCI层和USB驱动层之间新配置有USB设备监控单元;其中,所述USB设备监控单元包括USB过滤模块、I/O控制模块和缓存;所述I/O控制模块用于实现所述USB设备监控单元与服务端管理平台的通信;所述客户端还配置有USB设备注册单元;所述服务端配置有服务端管理平台和数据库;所述数据库存储并实时维护USB设备ID注册表和USB设备阻止类型注册表;其中,所述USB设备ID注册表用于存储已注册的USB设备ID;所述USB设备阻止类型注册表用于存储需要被拦截的USB设备类型;步骤S2,当在客户端的用户层调用设备控制函数与USB驱动层进行通信时,立即启动所述I/O控制模块;所述I/O控制模块被启动后,立即向设备控制类派遣函数发送触发命令;所述设备控制类派遣函数判断所述触发命令是否正确,如果不正确,则设置返回值为假,并将所述返回值返回给所述I/O控制模块;如果正确,所述设备控制类派遣函数与所述服务端管理平台建立通信,接收来自于所述服务端管理平台的USB设备ID注册表、USB设备阻止类型注册表以及USB过滤模块是否启用的指令;然后,所述设备控制类派遣函数将所述USB设备ID注册表和所述USB设备阻止类型注册表存储到所述缓存中;另外,如果为USB过滤模块禁用的指令,则所述设备控制类派遣函数取消BLOCK标志位;如果为USB过滤模块启用的指令,则设置BLOCK标志位;然后,所述设备控制类派遣函数设置返回值为真,并将所述返回值返回给所述I/O控制模块;步骤S3,当客户端的USB插口被插入USB设备时,所述总线检测到USB插口被插入USB设备,然后,所述总线触发即插即用请求类派遣函数;所述即插即用请求类派遣函数判断是否存在BLOCK标志位,如果不存在BLOCK标志位,执行S4;如果存在BLOCK标志位,执行S5;步骤S4,所述即插即用请求类派遣函数禁用所述USB过滤模块;当USB设备插入USB...
【专利技术属性】
技术研发人员:周宇,傅尧,徐宏杰,杨贺,曾燚,王洋,
申请(专利权)人:北京众谊越泰科技有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。