【技术实现步骤摘要】
一种系统主动型USB移动存储设备访问控制方法
[0001]本专利技术涉及计算机系统安全
,尤其涉及一种系统主动型
USB(Universal Serial Bus
,通用串行总线接口
)
移动存储设备的访问控制方法
。
技术介绍
[0002]终端安全是计算机及信息系统安全的重要组成部分,在企事业单位办公等移动存储介质
(
譬如
USB
设备
)
频繁接入相关终端的场景中显得尤为重要,与网络安全并驾齐驱
。
对
USB(Universal Serial Bus
,通用串行总线接口
)
外设的信息安全防护应当保障保密
/
私密信息不被泄漏,同时还应防止病毒通过外设横向传播
。
换句话说,针对
USB
移动存储设备的读
、
写和执行等细粒度访问控制操作的有效实施是达成上述目标的前提条件和技术手段
。
鉴于终端上对外设中的文件进行读写的软件种类繁多,所以需要在系统内核层级上提供通用且稳定的轻量型解决方案,在有关软件对外设进行读
、
写
、
执行等访问操作时及时进行检查核验
、
针对拒绝访问情况并给用户以恰当提示,同时对软件的其他正常功能不造成影响
。
[0003]根据国家信息安全及计算机核心技术的自主可控整体战略,弥补当前缺少针对国产处理器平台 ...
【技术保护点】
【技术特征摘要】
1.
一种系统主动型
USB
移动存储设备访问控制方法,其特征在于,包括:根据
USB
移动存储设备固有且具不变性和唯一性的特征组合信息确定设备的标识符;基于所述设备的标识符,利用
Kprobe
机制跟踪拦截
USB
设备状态设置函数,根据移动存储设备白名单及访问操作权限配置信息对设备是否具备挂载权限进行合法性检查验证,使设备正常挂载或被拒绝挂载;基于所述设备的标识符,利用
Kprobe
机制跟踪拦截文件系统挂载函数,根据移动存储设备白名单及访问操作权限配置信息对设备文件系统执行访问操作权限配置,以支持设备后续访问操作过程的权限检查与控制处理
。2.
根据权利要求1所述的方法,其特征在于,所述的根据
USB
移动存储设备固有且具不变性和唯一性的特征组合信息确定设备的标识符,包括:根据设备特征信息设定由设备厂商标识符
、
设备产品标识符和设备序列号三元组组成对单个设备实现唯一标识的设备标识符,根据设备标识符构建设备白名单
、
访问控制列表和设备访问控制策略,形成移动存储设备白名单及访问操作权限配置
。3.
根据权利要求1所述的方法,其特征在于,所述的基于所述设备的标识符,利用
Kprobe
机制跟踪拦截
USB
设备状态设置函数,根据移动存储设备白名单及访问操作权限配置信息对设备是否具备挂载权限进行合法性检查验证,使设备正常挂载或被拒绝挂载,包括:获取设备的当前状态及设备厂商标识符
、
设备产品标识符和设备序列号,从设备枚举过程出发,当设备进入接入
(attached)
状态后,但未进入已配置
(configured)
状态前配备了设备的标识符信息;在设备挂载前先实施设备枚举过程,利用
Kprobe
机制探测热插拔设备枚举,在设备枚举过程的状态设置函数处插入探测点回调函数;当系统发生设备枚举时,先期触发该回调函数,...
【专利技术属性】
技术研发人员:翟高寿,郭卓茁,刘子桐,郭小康,刘峰,罗琼,王振强,孙思雨,翟梓淇,崔依婷,
申请(专利权)人:北京交通大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。