一种基于Windows操作系统的USB设备的管控方法技术方案

本发明专利技术公开了一种基于Windows操作系统的USB设备的管控方法，其特征在于包括以下步骤：S100：设置服务器运行环境：服务器端运行https网页服务，用以提供与客户端通信的操作接口；S200：在客户端安装主机加固软件并设置服务器的IP地址及服务器的端口号，验证客户端和服务器端之间网络连接正常，其中，所述主机加固软件包括IoAttachDeviceToDeviceStack函数及IoGetCurrentIrpStackLocation函数；S300：服务器端将预先设置的可信任USB设备的白名单发送至客户端；S400：客户端根据所述白名单识别外接USB设备，对所述白名单中未包含的USB设备进行相应操作。

A control method of USB device based on Windows operating system

【技术实现步骤摘要】
一种基于Windows操作系统的USB设备的管控方法
本专利技术属于数据及网络安全领域，涉及一种基于Windows操作系统的USB设备的管控方法。
技术介绍
随着全球信息化进程不断推进，数据及网络安全问题已经成为抑制全球信息化进程发展的重大障碍。各级政府部门及企事业单位在多年的信息化建设过程中，通过采用防火墙、入侵检测、杀毒软件、桌面管理系统等传统的安全技术和手段，在网络边界层防范外来攻击方面起到一定程度的安全防范作用。但随着信息化需求的不断增长，网络应用的不断扩展，现有的网络基础设施和信息系统安全措施逐渐暴露出了诸多问题，各类业务应用系统的运行环境依然面临着很多安全威胁，受到攻击时依然显得十分脆弱、不堪一击。主要的安全风险和潜在威胁表现为：一、外部攻击面对天天变种、层出不穷的新型病毒，蠕虫，木马等恶意代码的攻击，服务器安装的杀毒软件无能为力；利用各种系统漏洞、应用程序漏洞进行攻击防不胜防，服务器管理员的“补丁”永远打不完。二、内部破坏面对内部的恶意攻击和破坏，服务器上敏感信息泄密，重要数据失窃，造成的影响和损失难以估计。三、其他问题由于安全管理体系的缺陷，人员安全意识薄弱造成的操作失误、设备配置不当，权限过于集中，给服务器带来安全隐患难以控制。由于USB设备的广泛使用加之所携带电脑病毒的可能，上述安全风险和潜在威胁在主机连接USB设备的时候尤其严重，成为了长期存在无法根本解决的问题，究其原因是因为防火墙、杀毒软件、入侵检测、桌面管理系统等技术手段均属于基础传统的边缘层安全防护措施，由于其技术实现的局限性使得安全防护手段受制于病毒库、特征库、木马库等的更新滞后性，信息安全“头痛医头、脚痛医脚”的现象无法改变。而随着信息化持续发展，数据及网络安全需求也随之动态发展变化，“道高一尺、魔高一丈”，安全威胁层出不穷，传统的安全防护手段只能疲于应付，通过“围追堵截”的被动方式实现局部分散的安全补救措施。因此，只有将传统的被动补救方式转变成主动防御模式，从数据及网络安全的根本和源头入手进行安全防护体系建设，才能从根本上扭转被动局面，构建信息安全的主动式体系化防御体系。现有技术中，尚无一种简单实用、无需额外费用、无需添加额外软硬件的、基于Windows操作系统的USB设备的管控方法。
技术实现思路
针对现有技术的不足，本专利技术提供了一种基于Windows操作系统的USB设备的管控方法，通过预先设置的可信任USB设备的白名单及windows自带的两个函数实现USB设备的管控。本专利技术申请包括以下步骤：S100：设置服务器运行环境：服务器端运行https网页服务，用以提供与客户端通信的操作接口；S200：在客户端安装主机加固软件并设置服务器的IP地址及服务器的端口号，验证客户端和服务器端之间网络连接正常，其中，所述主机加固软件包括IoAttachDeviceToDeviceStack函数及IoGetCurrentIrpStackLocation函数；S300：服务器端将预先设置的可信任USB设备的白名单发送至客户端；S400：客户端根据所述白名单识别外接USB设备，对所述白名单中未包含的USB设备进行相应操作，包括以下步骤：S401：当前USB设备连接至客户端，客户端获取当前USB设备的设备名：客户端驱动程序调用IoAttachDeviceToDeviceStack函数，用以拦截I/O管理器发送至硬件设备驱动的输入输出请求包，根据输入输出请求包的信息获取当前USB设备的设备名；S402：采用Hash算法生成摘要并在所述白名单中查找当前摘要；S403：判断是否查找到当前摘要，如果是，执行步骤S404，否则执行步骤405；S404：客户端驱动程序将输入输出请求包发送至硬件设备驱动，验证当前USB设备正常工作并对当前USB设备进行操作，结束流程；S405：客户端驱动程序丢弃当前输入输出请求包；S406：判断是否向服务器发送申请，如果是，执行步骤S407，否则，结束流程，其中，所述申请为客户端将当前USB设备添加至所述白名单的请求；S407：服务器端确认当前申请所对应的当前USB设备的安全性，并确认是否允许对当前USB设备访问，如果是，执行步骤S408，否则执行步骤S409；S408：服务器端设置当前USB设备的读写权限并发送允许消息至客户端，客户端将当前USB设备添加至所述白名单并访问当前USB设备，结束流程；S409：服务器端发送拒绝消息至客户端，客户端拒绝访问当前USB设备，结束流程。优选地，所述服务器的端口号为443。优选地，采用DJBHash算法生成所述白名单。优选地，采用DJBHash算法生成摘要。附图说明图1为本专利技术所提供的方法的总流程图；图2为本专利技术中对未包含在白名单的USB设备进行相应操作的具体流程图。具体实施方式图1示出了本专利技术所提供的方法的总流程图。如图1所示，包括以下步骤：S100：设置服务器运行环境：服务器端运行https网页服务，用以提供与客户端通信的操作接口；S200：首先，在客户端安装主机加固软件并设置服务器的IP地址及服务器的端口号，值得注意的是，服务器的端口号默认为443；其次，验证客户端和服务器端之间网络连接正常，其中，主机加固软件包括IoAttachDeviceToDeviceStack函数及IoGetCurrentIrpStackLocation函数；S300：服务器端将预先设置的可信任USB设备的白名单发送至客户端。本实施例采用DJBHash算法生成白名单；S400：客户端根据白名单识别外接USB设备，对白名单中未包含的USB设备进行相应操作。图2示出了本专利技术中对未包含在白名单的USB设备进行相应操作的具体流程图。如图2所示，包括以下步骤：S401：当前USB设备连接至客户端，客户端获取当前USB设备的设备名：客户端驱动程序调用IoAttachDeviceToDeviceStack函数，用以拦截I/O管理器发送至硬件设备驱动的输入输出请求包(I/ORequestPackage)，即IRP，以下简称IRP。根据IRP的信息获取当前USB设备的设备名；S402：采用Hash算法生成摘要并在白名单中查找当前摘要，本实施例中，采用DJBHash算法生成摘要；S403：判断是否查找到当前摘要，如果是，执行步骤S404，否则执行步骤405；S404：客户端驱动程序将IRP发送至硬件设备驱动，验证当前USB设备正常工作并对当前USB设备进行操作，结束流程；S405：客户端驱动程序丢弃当前IRP；S406：判断是否向服务器发送申请，如果是，执行步骤S407，否则，结束流程，其中，申请为客户端将当前USB设备添加至白名单的请求；S407：服务器端确认当前申请所对应的当前USB设备的安本文档来自技高网...

【技术保护点】
1.一种基于Windows操作系统的USB设备的管控方法，其特征在于包括以下步骤：/nS100：设置服务器运行环境：服务器端运行https网页服务，用以提供与客户端通信的操作接口；/nS200：在客户端安装主机加固软件并设置服务器的IP地址及服务器的端口号，验证客户端和服务器端之间网络连接正常，其中，所述主机加固软件包括IoAttachDeviceToDeviceStack函数及IoGetCurrentIrpStackLocation函数；/nS300：服务器端将预先设置的可信任USB设备的白名单发送至客户端；/nS400：客户端根据所述白名单识别外接USB设备，对所述白名单中未包含的USB设备进行相应操作，包括以下步骤：/nS401：当前USB设备连接至客户端，客户端获取当前USB设备的设备名：客户端驱动程序调用IoAttachDeviceToDeviceStack函数，用以拦截I/O管理器发送至硬件设备驱动的输入输出请求包，根据输入输出请求包的信息获取当前USB设备的设备名；/nS402：采用Hash算法生成摘要并在所述白名单中查找当前摘要；/nS403：判断是否查找到当前摘要，如果是，执行步骤S404，否则执行步骤405；/nS404：客户端驱动程序将输入输出请求包发送至硬件设备驱动，验证当前USB设备正常工作并对当前USB设备进行操作，结束流程；/nS405：客户端驱动程序丢弃当前输入输出请求包；/nS406：判断是否向服务器发送申请，如果是，执行步骤S407，否则，结束流程，其中，所述申请为客户端将当前USB设备添加至所述白名单的请求；/nS407：服务器端确认当前申请所对应的当前USB设备的安全性，并确认是否允许对当前USB设备访问，如果是，执行步骤S408，否则执行步骤S409；/nS408：服务器端设置当前USB设备的读写权限并发送允许消息至客户端，客户端将当前USB设备添加至所述白名单并访问当前USB设备，结束流程；/nS409：服务器端发送拒绝消息至客户端，客户端拒绝访问当前USB设备，结束流程。/n...

【技术特征摘要】
1.一种基于Windows操作系统的USB设备的管控方法，其特征在于包括以下步骤：
S100：设置服务器运行环境：服务器端运行https网页服务，用以提供与客户端通信的操作接口；
S200：在客户端安装主机加固软件并设置服务器的IP地址及服务器的端口号，验证客户端和服务器端之间网络连接正常，其中，所述主机加固软件包括IoAttachDeviceToDeviceStack函数及IoGetCurrentIrpStackLocation函数；
S300：服务器端将预先设置的可信任USB设备的白名单发送至客户端；
S400：客户端根据所述白名单识别外接USB设备，对所述白名单中未包含的USB设备进行相应操作，包括以下步骤：
S401：当前USB设备连接至客户端，客户端获取当前USB设备的设备名：客户端驱动程序调用IoAttachDeviceToDeviceStack函数，用以拦截I/O管理器发送至硬件设备驱动的输入输出请求包，根据输入输出请求包的信息获取当前USB设备的设备名；
S402：采用Hash算法生成摘要并在所述白名单中查找当前摘要；
S403：判断是否查找到当前摘要，如果是，执行步骤S404，否则执行步骤405；
S404：客户端驱动程序将输入输出请求...

【专利技术属性】
技术研发人员：梁效宁，
申请(专利权)人：四川效率源科技有限责任公司，
类型：发明
国别省市：四川;51