一种基于薄虚拟机监控器的USB存储设备安全访问控制方法技术

本发明专利技术涉及一种基于薄虚拟机监控器的USB设备安全访问控制的方法，其中USB设备I/O拦截的关键步骤是通过分析BitVisor中模拟实现的USB存储设备的BULK‑ONLY协议中数据流程提出的。该方法通过分析BitVisor中USB主机控制器的实现原理，根据设备具有的访问权限，对特定设备的识别操作、读操作、写操作进行拦截，达到安全访问控制的目的。同时，由于基于薄虚拟机监控器BitVisor实现，USB设备的安全访问控制对操作系统透明，其安全性不依赖于操作系统的安全性，且相较于Xen等虚拟机监控器，薄虚拟机监控器BitVisor体积更小，本身的安全可靠性更高，因此本发明专利技术的安全性和可靠性也更高。

Secure access control method of USB storage device based on thin virtual machine monitor

The invention relates to a thin virtual machine monitor equipment USB security access control method based on the key steps of USB equipment I/O interception was analyzed by BitVisor in BULK ONLY protocol simulation USB storage device to achieve the data in the process of. Through the implementation of the principle of USB analysis in BitVisor host controller, according to the equipment with access to device specific recognition operation, the read operation, write operations to intercept, achieve the purpose of access control security. At the same time, because of the thin virtual machine monitor based on BitVisor, USB equipment, security access control is transparent to the operating system, the security of its security does not depend on the operating system, and compared with the Xen virtual machine monitor, thin BitVisor virtual machine has the advantages of smaller volume, higher safety and reliability of itself, so the safety and reliability of the the invention is also higher.

【技术实现步骤摘要】
一种基于薄虚拟机监控器的USB存储设备安全访问控制方法
本专利技术涉及一种基于薄虚拟机监控器的USB存储设备安全访问控制方法，属于软件工程

技术介绍
目前Linux操作系统中，USB存储设备安全访问控制机制主要包括基于udev、基于LSM框架、基于系统USB设备驱动层等几种。基于udev的USB存储设备安全访问控制机制：udev是LinuxKernel2.6系列的设备管理器。该机制通过修改udev的规则文件来实现USB存储设备不可用的目标。该方法在应用层实现，安全性不高。基于系统USB设备驱动层的USB存储设备安全访问控制机制：该机制主要是修改驱动层对应的函数来达到目标，但是驱动开发较为复杂，要进行重新进行编译，实用性差。基于LSM框架进行USB存储设备访问控制机制：LSM框架在LINUX内核数据结构中加入了安全域，基于LSM框架的USB存储设备访问控制的研究主要是利用LSM在文件系统以及inode中的HOOK函数，当进行MOUNT、OPEN、READ、WRITE等系统调用时通过HOOK函数进行判断，如果操作针对的是USB存储设备文件系统，则不再继续相应操作。但是LSM框架本文档来自技高网...

【技术保护点】
一种基于薄虚拟机监控器的USB存储设备安全访问控制方法，其步骤包括：1)在薄虚拟机监控器BitVisor中，利用USB主机控制器模拟BULK‑ONLY数据传输协议；2)通过薄虚拟机监控器BitVisor中的BULK‑ONLY数据传输协议，对USB存储设备的识别操作、读操作和写操作进行拦截，实现对USB存储设备的安全访问控制。

【技术特征摘要】
1.一种基于薄虚拟机监控器的USB存储设备安全访问控制方法，其步骤包括：1)在薄虚拟机监控器BitVisor中，利用USB主机控制器模拟BULK-ONLY数据传输协议；2)通过薄虚拟机监控器BitVisor中的BULK-ONLY数据传输协议，对USB存储设备的识别操作、读操作和写操作进行拦截，实现对USB存储设备的安全访问控制。2.如权利要求1所述的方法，其特征在于，通过Bitvisor控制转发命令块包CBW和命令状态包CSW，实现对USB存储设备的I/O的拦截。3.如权利要求2所述的方法，其特征在于，按照USB存储设备安全访问控制需求，通过Bitvisor修改CBW的传输长度域和CSW的状态位信息来控制USB存储设备与操作系统之间的数据传递，从而在只写条件下控制操作系统对特定USB存储设备的读操作，在只读条件下控制操作系统对特定USB存储设备的写操作。4.如权利要求3所述的方法，其特征在于，在所述使用受限条件下，通过在Bitvisor中为USB存储设备注册HOOK函数，控制对特定USB存储设备的识别操作。5.如权利要求4所述的方法，其特征在于，对于禁止访问的USB存储设备，当系统对该USB存储设备进行配置时，HOOK函数会被调用，并在HOOK函数中返回给操作系统配置错误的信息，此时操作系统对该USB存储设备的配置失败，导致该USB存储设备不能被操作系统识别。6.如权利要求1所述的方法，其特征在于，在BitVisor中设有缓冲区列表，称为影子缓存，在操作系统中设有...

【专利技术属性】
技术研发人员：马恒太，刘欢，薛刚汝，
申请(专利权)人：中国科学院软件研究所，北京兆芯电子科技有限公司，
类型：发明
国别省市：北京,11