USB移动存储设备访问控制方法、装置及系统

摘要

本发明实施例公开了一种USB移动存储设备访问控制方法、装置及系统，其中，该方法包括：在终端设备上监测到USB移动存储设备时，获取所述USB移动存储设备标识；根据所述USB移动存储设备标识，查询本地访问控制表中是否存在所述USB移动存储设备标识对应的访问控制表项，若存在，则对用户信息进行验证；若验证通过，则根据所述访问控制表项确定所述用户信息对应的在所述终端设备上使用所述USB移动存储设备的操作权限；根据所述操作权限，控制在所述终端设备上对所述USB移动存储设备的操作。因此，本发明实施例能解决现有技术中对移动储存设备的监控存在通用性较差的问题。

说明书

技术领域

本发明涉及领域信息安全领域，尤其涉及一种USB移动存储设备访问控 制方法、装置及系统。

背景技术

通用串行总线(Universal Serial Bus，简称USB)移动存储设备的 广泛使用，使信息传递更加方便，若不能有效控制其使用，会使内网信息 安全存在严重的问题。

为防止内网终端上的涉密文件、内部文档或私人隐私被人使用USB移 动存储设备带走，以及防止外部带有病毒的USB移动存储设备插入内网终 端使用而导致内网计算机中毒，现有的一种USB移动存储设备管理方案是 禁止USB移动存储设备在终端上使用。但是，这种方案不能对USB移动存 储设备的访问进行灵活控制，例如，某些确实需要使用USB移动存储设备 携带计算机文件的场景无法得到满足。

现有的另一种方案使用Windows操作系统对USB移动存储设备的进行 写保护机制或者对Windows应用层的API进行挂接，从而达到实现对 USBUSB移动存储设备的读写操作进行监控，并且能够阻断相关的读写操 作。但是，这种方案的通用性较差，不同平台不同软件可能使用不同的读写 方式对USB移动存储设备进行修改，应用层的保护机制很难对所有的读写方 式进行监控，通用性较差。

发明内容

本发明实施例提供了一种USB移动存储设备访问控制方法、装置及系统， 用以解决现有技术中对移动储存设备的监控存在通用性较差的问题。

本发明实施例提供一种USB移动存储设备访问控制方法，包括：

在终端设备上监测到通用串行总线USB移动存储设备时，获取所述USB 移动存储设备标识；

根据所述USB移动存储设备标识，查询本地访问控制表中是否存在所述 USB移动存储设备标识对应的访问控制表项，若存在，则对用户信息进行验 证；

若验证通过，则根据所述访问控制表项确定所述用户信息对应的在所述 终端设备上使用所述USB移动存储设备的操作权限；

根据所述操作权限，控制在所述终端设备上对所述USB移动存储设备的 操作。

本发明实施例还提供了一种USB移动存储设备访问控制装置，包括：

监测模块，用于在终端设备上监测到通用串行总线USB移动存储设备时， 获取所述USB移动存储设备标识；

查询模块，用于根据所述USB移动存储设备标识，查询本地访问控制表 中是否存在所述USB移动存储设备标识对应的访问控制表项；

验证模块，用于若本地访问控制表中存在所述USB移动存储设备标识对 应的访问控制表项，则对用户信息进行验证；

确定模块，用于若验证通过，则根据所述访问控制表项确定所述用户信 息对应的在所述终端设备上使用所述USB移动存储设备的操作权限；

控制模块，用于根据所述操作权限，控制在所述终端设备上对所述USB 移动存储设备的操作。

本发明实施例还提供了一种终端设备，包括上述USB移动存储设备访问 控制装置。

本发明实施例还提供了一种USB移动存储设备访问控制系统，包括： 上述终端设备和注册服务器；

所述注册服务器，用于接收所述终端设备中USB移动存储设备访问控制 装置发送的注册信息，所述注册信息包括用户信息、USB移动存储设备标识 和终端设备标识；根据所述用户信息、所述USB移动存储设备标识和所述终 端设备标识，分配所述用户信息对应的在所述终端设备上使用所述USB移动 存储设备的操作权限；生成所述USB移动存储设备标识对应的访问控制表项， 并进行加密后返回给所述USB移动存储设备访问控制装置。

本发明实施例通过在终端设备上监测到USB移动存储设备时，获取所述 USB移动存储设备标识和用户信息，查询本地访问控制表确定所述用户信息 对应的在所述终端设备上使用所述USB移动存储设备的操作权限，根据所述 操作权限控制在所述终端设备上对所述USB移动存储设备的操作，可以基于 用户信息、终端设备、USB移动存储设备设置不同的操作权限，控制用户 在终端设备上对USB移动存储设备的操作，解决现有技术中对移动储存设备 的监控存通用性较差的问题，能够实时灵活的控制USB移动存储设备的操作 权限，有效保证内网终端设备上文件的安全性。

附图说明

图1为本发明实施例一提供的USB移动存储设备访问控制方法的流程 示意图；

图2为本发明实施例二提供的USB移动存储设备访问控制方法的流程 示意图；

图3为本发明实施例三提供的USB移动存储设备访问控制装置的结构 示意图；

图4为本发明实施例四提供的USB移动存储设备访问控制装置的结构 示意图；

图5为本发明实施例六提供的USB移动存储设备访问控制系统的结构 示意图。

具体实施方式

实施例一

图1为本发明实施例一提供的USB移动存储设备访问控制方法的流程 示意图；包括：

步骤101、在终端设备上监测到通用串行总线USB移动存储设备时，获 取所述USB移动存储设备标识。

举例来说，USB移动存储设备访问控制装置在终端设备上监测到USB移 动存储设备。具体地，USB移动存储设备访问控制装置可以通过安装在终端 设备中的监控程序来实现，该监控程序中的磁盘过滤驱动会在终端设备启动 时就加载到内核中，并监控该终端设备所有的即插即用(Plug-and-Play，简 称PNP)动作，任何USB移动存储设备的插入都会被磁盘过滤驱动识别，USB 移动存储设备标识可以自动从所述USB移动存储设备中读出。终端设备具体 可以是计算机、PDA、手机等设备。

步骤102、根据所述USB移动存储设备标识，查询本地访问控制表中是 否存在所述USB移动存储设备标识对应的访问控制表项，若是则执行步骤 103，否则结束。

举例来说，终端设备的本地访问控制表可以是预先设置的，也可以是从 服务器中同步获取的。

步骤103、验证用户信息。

具体地，用户信息可以包括用户名和/或密码和/或用户角色。本实施例 的验证用户信息可以进一步保证对USB移动存储设备的操作权限的控制。

举例来说，用户信息可以通过在终端设备上弹出提示输入用户信息的对 话框，以使用户输入该用户信息。

步骤104、若验证通过，则根据所述访问控制表项确定所述用户信息对 应的在所述终端设备上使用所述USB移动存储设备的操作权限。

举例来说，两个用户信息中的用户名和密码不同，该两个用户信息对应 的同一USB移动存储设备的访问权限可以不同，或者两个用户信息中的用户 名和密码相同，但用户角色不同，该两个用户信息对应的同一USB移动存储 设备的访问权限也可以不同，如用户名都为user，密码都是123，若用户角 色为研发部，则该用户信息对应的该USB移动存储设备的访问权限可以是读 写操作，若用户角色为市场部，则该用户信息对应的该USB移动存储设备的 访问权限只有读操作。

步骤105、根据所述操作权限，控制在所述终端设备上对所述USB移动 存储设备的操作。

本发明实施例通过在终端设备上监测到USB移动存储设备时，获取所述 USB移动存储设备标识和用户信息，查询本地访问控制表确定所述用户信息 对应的在所述终端设备上使用所述USB移动存储设备的操作权限，根据所述 操作权限控制在所述终端设备上对所述USB移动存储设备的操作，可以基于 用户信息、终端设备、USB移动存储设备设置不同的操作权限，控制用户 在终端设备上对USB移动存储设备的操作，解决现有技术中对移动储存设备 的监控存通用性较差的问题，能够实时灵活的控制USB移动存储设备的操作 权限，有效保证内网终端设备上文件的安全性。

实施例二

图2为本发明实施例二提供的USB移动存储设备访问控制方法的流程 示意图；在图1所示方法实施例一基础上的进一步扩展，包括：

步骤201、在终端设备上监测到USB移动存储设备时，获取所述USB移 动存储设备标识。

举例来说，USB移动存储设备访问控制装置在终端设备上监测到USB移 动存储设备。具体地，USB移动存储设备访问控制装置可以通过安装在终端 设备中的监控程序来实现，该监控程序中的磁盘过滤驱动会在终端设备启动 时就加载到内核中，并监控该终端设备所有的即插即用(Plug-and-Play，简 称PNP)动作，任何USB移动存储设备的插入都会被磁盘过滤驱动识别。终 端设备具体可以是计算机、手机等设备。而终端设备上新的分区加载动作会 被监控程序中的文件系统过滤驱动获取到，对于任何新加载的分区，文件系 统过滤驱动会在内核中生成对应的过滤驱动设备，并附加到新分区的内核设 备对象的设备栈中。

如磁盘过滤驱动获取到新插入的USB移动存储设备后会通知应用层，应 用层通过Windows消息的截取获取所有新增的盘符，再通知给内核中的文件 系统过滤驱动需要监控哪些分区。这样所有USB移动存储设备的分区上的文 件读写操作都会经过文件系统过滤驱动的监控，未被阻断的读写操作还会经 过磁盘过滤驱动的过滤。

步骤202、根据所述USB移动存储设备标识，查询本地访问控制表中是 否存在所述USB移动存储设备标识对应的访问控制表项；若是，则执行步骤 205，否则执行步骤203。

步骤203、根据用户指令向注册服务器发送注册信息，所述注册信息包 括用户信息、所述USB移动存储设备标识和所述终端设备标识。

举例来说，若本地访问控制表中不存在所述USB移动存储设备标识对应 的访问控制表项，终端设备向用户返回注册提示，如请求用户输入用户信息， 然后将用户返回的用户指令中包含的用户信息、获取到USB移动存储设备标 识和自身的终端设备标识发送给注册服务器，注册服务器根据所述用户信息、 所述USB移动存储设备标识和所述终端设备标识，分配所述用户信息对应的 在所述终端设备上使用所述USB移动存储设备的操作权限，生成所述USB移 动存储设备标识对应的访问控制表项，所述USB移动存储设备标识对应的访 问控制表项包括所述用户信息、所述USB移动存储设备标识、所述终端设备 标识和所述用户信息对应的在所述终端设备上使用所述USB移动存储设备的 操作权限。

本实施例的注册服务器还可以将USB移动存储设备标识对应的访问控制 表项加密存储在即可扩展标记语言(Extensible Markup Language，简称XML) 文件中，并将加密存储的访问控制表项发送给终端设备。

进一步地，所有希望在终端设备上正常使用的USB移动存储设备第一次 插入终端设备时都要进行注册。注册成功后，USB移动存储设备的相关信息 会存储到注册服务器的数据库中，由注册服务器统一保存所有终端设备的可 用的USB移动存储设备的信息，大大降低了由终端设备篡改USB移动存储设 备操作权限的可能。所有注册成功的USB移动存储设备可以由注册服务器统 一分配每个USB移动存储设备的操作权限，这些操作权限可以具体到单独的 终端设备和用户，即可以规定哪些用户在哪些终端设备可以使用哪些USB移 动存储设备。这些信息总汇成一个访问控制表存储在注册服务器的XML文件 中，每个终端设备可以得到一份该访问控制表的副本，作为本地访问控制表， 任何访问控制表的更新都可以由注册服务器下发更新指令要求每个终端设备 对其进行更新。

步骤204、接收所述注册服务器发送的加密后的所述USB移动存储设备 标识对应的访问控制表项并储存在本地访问控制表中。

本实施例中为了保证存储在终端设备上的访问控制表项的安全性和保密 性，注册服务器对访问控制表项进行加密后再发送给终端设备，具体的加密 方法可以是和终端设备预先协商好的或预先对应设置的，终端设备在需要查 看访问控制表项时，可以用相应的解密方法对其进行解密。对应地，本实施 例的步骤202之前，先对本地访问控制表中的访问控制表项进行解密。

步骤205、验证用户信息。

举例来说，本步骤中的用户信息可以通过在终端设备上弹出提示输入用 户信息的对话框，以使用户输入该用户信息。

步骤206、若验证通过，则根据所述访问控制表项确定所述用户信息对 应的在所述终端设备上使用所述USB移动存储设备的操作权限。

步骤207、根据所述操作权限，控制在所述终端设备上对所述USB移动 存储设备的操作。

举例来说，操作权限包括：读写操作、只读操作、禁止操作；根据所述 操作权限，控制在所述终端设备上对所述USB移动存储设备的操作具体包括：

若所述操作权限为读写操作，则允许在所述终端设备上对所述USB移动 存储设备进行读操作和写操作；

若所述操作权限为只读操作，则允许在所述终端设备上对所述USB移动 存储设备进行读操作；

若所述操作权限为禁止操作，则不允许在所述终端设备上对所述USB移 动存储设备进行任何操作。

进一步地，为了提高操作的安全性，若所述操作权限为读写操作，当监 测到在所述终端设备上对所述USB移动存储设备进行写操作时，将所述终端 设备上的文件加密后写入所述USB移动存储设备中；当监测到在所述终端设 备上对所述USB移动存储设备进行读操作时，将所述USB移动存储设备中的 文件解密后读取到所述终端设备中。这样，对于必须从某个终端设备拷贝文 件到指定的终端设备上，而又不希望该文件流通到其他位置的，本实施例通 过加密存储的方式，使得只有特定的终端设备可以使用USB移动存储设备， 而在这些USB移动存储设备上的文件写入时均进行了加密处理，只有特定的 终端设备才能解密该USB移动存储设备的内容，读取到正常的文件。

本实施例通过注册服务器对USB移动存储设备的操作权限进行统一注 册，可以基于用户信息、终端设备、USB移动存储设备设置不同的操作权 限，控制用户在终端设备上对USB移动存储设备的操作，解决现有技术中对 移动储存设备的监控存通用性较差的问题，能够实时灵活的控制USB移动存 储设备的操作权限，有效保证内网终端设备上文件的安全性。进一步地， 采用磁盘过滤驱动和文件系统过滤驱动结合的方式，解决现有方案因为 Windows操作系统其监控的层次较高，很容易被更加底层的读写技术绕过， 使监控失效的问题。

图3为本发明实施例三提供的USB移动存储设备访问控制装置的结构 示意图；包括：

监测模块31，用于在终端设备上监测到通用串行总线USB移动存储设备 时，获取所述USB移动存储设备标识；

查询模块32，用于根据所述USB移动存储设备标识，查询本地访问控制 表中是否存在所述USB移动存储设备标识对应的访问控制表项；

验证模块33，用于若本地访问控制表中存在所述USB移动存储设备标识 对应的访问控制表项，则对用户信息进行验证；

确定模块34，用于若验证通过，则根据所述访问控制表项确定所述用户 信息对应的在所述终端设备上使用所述USB移动存储设备的操作权限；

控制模块35，用于根据所述操作权限，控制在所述终端设备上对所述USB 移动存储设备的操作。

本实施例所示装置可以执行图1所示方法实施例所述方法，其实现原理 和技术效果不再赘述。

图4为本发明实施例四提供的USB移动存储设备访问控制装置的结构 示意图；在图3所示实施例的装置的基础上的扩展。

所述装置还包括：

发送模块36，用于若本地访问控制表中不存在所述USB移动存储设备标 识对应的访问控制表项，则根据用户指令向注册服务器发送注册信息，所述 注册信息包括所述用户信息、所述USB移动存储设备标识和所述终端设备标 识；

接收模块37，用于接收所述注册服务器发送的加密后的所述USB移动存 储设备标识对应的访问控制表项，所述USB移动存储设备标识对应的访问控 制表项包括所述用户信息、所述USB移动存储设备标识、所述终端设备标识 和所述用户信息对应的在所述终端设备上使用所述USB移动存储设备的操作 权限；

储存模块38，用于将加密后的所述USB移动存储设备标识对应的访问控 制表项存储到本地访问控制表中。

对应地，查询模块32，还用于在查询本地访问控制表中是否存在所述USB 移动存储设备标识对应的访问控制表项之前，对本地访问控制表中的访问控 制表项进行解密。

举例来说，本实施例的操作权限包括：读写操作、只读操作、禁止操作；

对应地，控制模块35包括：

第一控制单元351，用于若所述操作权限为读写操作，则允许在所述终 端设备上对所述USB移动存储设备进行读操作和写操作；

第二控制单元352，用于若所述操作权限为只读操作，则允许在所述终 端设备上对所述USB移动存储设备进行读操作；

第三控制单元353，用于若所述操作权限为禁止操作，则不允许在所述 终端设备上对所述USB移动存储设备进行任何操作。

举例来说，本实施例的读写操作还包括加密读写操作，对应地，第一控 制单元351包括：

第一控制子单元，用于当监测到在所述终端设备上对所述USB移动存储 设备进行写操作时，将所述终端设备上的文件加密后写入所述USB移动存储 设备中；

第二控制子单元，用于当监测到在所述终端设备上对所述USB移动存储 设备进行读操作时，将所述USB移动存储设备中的文件解密后读取到所述终 端设备中。

本实施例所示装置可以执行图2所示方法实施例所述方法，其实现原理 和技术效果不再赘述。

本发明实施例五提供一种终端设备，包括：上述实施例三或实施例四所 述的USB移动存储设备访问控制装置，可以执行图1或图2所示方法实施例 的方法，其实现原理和技术效果类似，此处不再赘述。

图5为本发明实施例六提供的USB移动存储设备访问控制系统的结构 示意图，包括：实施例五所述的终端设备51和注册服务器52；

注册服务器52，用于接收所述终端设备中USB移动存储设备访问控制装 置发送的注册信息，所述注册信息包括用户信息、USB移动存储设备标识和 终端设备标识；根据所述用户信息、所述USB移动存储设备标识和所述终端 设备标识，分配所述用户信息对应的在所述终端设备上使用所述USB移动存 储设备的操作权限；生成所述USB移动存储设备标识对应的访问控制表项， 并进行加密后返回给所述USB移动存储设备访问控制装置。

本实施例所示的系统可以具体用于执行图1或图2所示方法实施例的方 法，其实现原理和技术效果类似，此处不再赘述。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其 限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术 人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或 者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技 术方案的本质脱离本发明各实施例技术方案的范围。