一种移动存储设备安全管控方法及系统与流程

本发明属于设备管控领域，涉及一种移动存储设备安全管控方法及系统。

背景技术

目前，基于usb接口u盘、移动硬盘、sd卡等移动存储设备在日常工作和生活中得到了广泛的应用。移动存储设备正在朝着存储容量大、体积小、价格低廉和操作简单化的方向加速发展。随着移动存储设备的普及使用，滥用移动存储设备也给计算机和信息的安全带来了一系列的隐患，由此造成的损失是难以估量的.因此，如何对移动存储设备的使用进行有效管控，达到安全规范利用的目的，成为当前信息安全领域的一个重要课题。

移动存储设备的管理不当会造成以下隐患：①移动存储设备可以随意复制计算机内文件；②移动存储设备易感染和传播计算机病毒。

移动存储设备使用过程中的随意性现象会造成移动存储设备的滥用，从一定程度上给病毒的入侵提供了可能。

此为现有技术的不足，因此，针对现有技术中的上述缺陷，提供一种移动存储设备安全管控方法及系统，是非常有必要的。

技术实现要素：

本发明的目的在于，针对上述移动存储设备滥用给计算机和信息安全带来隐患的缺陷，提供一种移动存储设备安全管控方法及系统，以解决上述技术问题。

为实现上述目的，本发明给出以下技术方案：

一种移动存储设备安全管控方法，包括如下步骤：

步骤s1.主机连接移动存储设备时，判断主机为管理端还是客户端；

步骤s2.当管理端连接移动存储设备时；

管理端对移动存储设备进行检测，判断管理端连接的移动存储设备是否注册；

步骤s3.若未注册，则管理端进行移动存储设备注册；返回步骤s1；

步骤s4.若已注册，则判断是否要注销移动存储设备；

若是，则进行移动存储设备注销；

若否，则不进行操作；

返回步骤s1。

进一步地，所述移动存储设备包括u盘、移动硬盘以及sd卡。本专利可以对多种种类的移动存储设备进行管理。

进一步地，还包括如下步骤：

步骤s5.当客户端连接移动存储设备时；

客户端对移动存储设备进行检测，判断客户端连接的移动存储设备是否注册；

若是，则允许挂载；

若否，则禁止挂载；

返回步骤s1。

管理端对移动存储设备进行注册和注销，而客户端则允许以及注册的移动存储设备进行挂载，未注册的移动存储设备禁止挂载，有效地保证了信息安全。

进一步地，步骤s5中，允许挂载的移动存储设备禁止外网使用。

已注册的移动存储设备禁止外网使用，保证了信息安全。本专利中，外网是内网之外网络及外部客户端，内网指的内部管理端以及内部管理端连接的客户端所组成的内部网络，本专利中提及的管理端和客户端都指的是内网的管理端和客户端。

进一步地，步骤s2中，管理端对移动存储设备进行检测，判断管理端连接的移动存储设备是否注册的具体步骤：

步骤s21.管理端获取移动存储设备的分区信息；

步骤s22.管理端遍历移动存储设备的分区查找隐藏扇区，并读取隐藏扇区的数据；

步骤s23.管理端检测隐藏扇区中是否含有注册数据；

步骤s5中，客户端对移动存储设备进行检测，判断客户端连接的移动存储设备是否注册的具体步骤：

步骤s51.客户端获取移动存储设备的分区信息；

步骤s52.客户端遍历移动存储设备的分区查找隐藏扇区，并读取隐藏扇区的数据；

步骤s53.客户端检测隐藏扇区中是否含有注册数据。

管理端和客户端均通过获取移动存储设备的分区信息，从中得到隐藏扇区的分区，再从隐藏扇区的分区中读出数据，有注册数据的则为注册过的，没有注册数据的为未注册。

进一步地，步骤s3中，当移动存储设备未注册时，管理端进行移动存储设备注册的具体步骤：

步骤s31.管理端在移动存储设备的隐藏扇区中写入注册数据；

步骤s32.管理端将移动存储设备的硬件信息和注册数据写入注册信息表；

步骤s33.管理端将注册信息表下发到客户端；

步骤s5中，返回s1步骤之前还包括如下步骤：

步骤s54.客户端生成使用日志，保存移动存储设备操作记录，并将使用日志上传到管理端。

移动存储设备的隐藏扇区保存了磁盘的引导信息，放在隐藏扇区中的数据不会因为格式化而导致数据丢失，将移动存储设备的注册数据放入隐藏扇区，保证了注册数据的稳定性。

进一步地，步骤s4中，进行移动存储设备注销的具体步骤如下：

步骤s41.管理端将隐藏扇区中注册数据擦除；

步骤s42.管理端更新注册信息表，将擦除的注册数据从注册信息表中删除；

步骤s43.管理端将更新的注册信息表下发到客户端。

已注册的移动存储设备可以进行注销操作，将保存在隐藏扇区中的注册数据进行擦除，同时，将保留在注册信息表中的注册数据删除，及时通知客户端，已注销的移动存储设备的信息；经注销后的移动存储设备，将不能在各个客户端挂载，同时，外部网络可以使用。

进一步地，步骤s31中，管理端在移动存储设备的隐藏扇区中写入注册数据的具体步骤：

步骤s311.管理端遍历移动存储设备的隐藏扇区，查找第一个可用的隐藏扇区；

步骤s312.管理端在第一个可用的隐藏扇区中写入注册数据，注册数据中包括标志位。

管理端进行注册时，查找到第一个可用的隐藏扇区，向其中写入注册数据，注册数据中有一个标志位，标志位给管理端和客户端检测隐藏扇区时提供标志。

进一步地，步骤s23中，管理端检测隐藏扇区中是否含有注册数据的具体步骤：

步骤s231.管理端遍历移动存储设备的隐藏扇区，判断隐藏扇区中是否含有标志位；

步骤s232.若无，则隐藏扇区中不含注册数据；进入步骤s3；

步骤s233.若有，则将标志位所在的隐藏扇区中数据与注册信息表中数据进行查找比对；

步骤s234.若注册信息表中查找不到隐藏扇区数据，则隐藏扇区中不含注册数据；进入步骤s3；

步骤s235.若注册信息表中查找到隐藏扇区数据，则隐藏扇区中含有注册数据；进入步骤s4；

步骤s53中，客户端检测隐藏扇区中是否含有注册数据的具体步骤：

步骤s531.客户端端遍历移动存储设备的隐藏扇区，判断隐藏扇区中是否含有标志位；

步骤s532.若无，则隐藏扇区中不含注册数据；禁止挂载；

步骤s533.若有，则将标志位所在的隐藏扇区中数据与注册信息表中数据进行查找比对；

步骤s534.若注册信息表中查找不到隐藏扇区数据，则隐藏扇区中不含注册数据；禁止挂载；

步骤s535.若注册信息表中查找到隐藏扇区数据，则隐藏扇区中含有注册数据；允许挂载。

标志位给管理端和客户端检测移动存储设备的隐藏扇区时提供了标志，隐藏扇区中没有标志位的可以很快判定没有注册，有标志位的，需要再进一步判断注册数据是否与注册信息表中是否一致。

进一步地，注册数据还包括注册序列号、责任人、注册时间以及权限。注册数据写明了移动存储设备的特征信息。

本发明还给出如下技术方案：

一种移动存储设备安全管控系统，包括管理端和客户端，管理端与客户端连接；

所述管理端包括主移动存储设备接口、主移动存储设备检测判断模块、移动存储设备注册模块及移动存储设备注销模块；

主移动存储设备接口，用于管理端连接移动存储设备；

主移动存储设备检测判断模块，用于管理端对移动存储设备进行检测，判断管理端连接的移动存储设备是否注册；

移动存储设备注册模块，用于当移动存储设备未注册时，进行移动存储设备注册，并生成注册信息表；

移动存储设备注销模块，用于当移动存储设备已注册且需要注销时，进行移动存储设备注销；

所述客户端包括从移动存储设备接口、从移动存储设备检测判断模块、移动存储设备挂载允许模块以及移动存储设备挂载禁止模块；

从移动存储设备接口，用于客户端连接移动存储设备；

从移动存储设备检测判断模块，用于客户端对移动存储设备进行检测，判断客户端连接的移动存储设备是否注册；

移动存储设备挂载允许模块，用于当移动存储设备已注册时，允许挂载；

移动存储设备挂载禁止模块，用于当移动存储设备未注册时，禁止挂载。

进一步地，管理端还包括注册信息表下发模块和客户端日志接收模块；

注册信息表下发模块，用于向客户端下发移动存储设备的注册信息表；

客户端日志接收模块，用于接收客户端的移动存储设备的使用日志；

客户端还包括注册信息表接收模块及日志生成模块；

注册信息表接收模块，用于接收管理端下发的移动存储设备的注册信息表；

日志生成模块，用于客户端生成使用日志，保存移动存储设备操作记录，并将日志上传到管理端；

主移动存储设备检测判断模块包括主分区信息获取单元、主隐藏扇区查找单元以及主注册数据检测单元；

主分区信息获取单元，用于管理端获取移动存储设备的分区信息；

主隐藏扇区查找单元，用于管理端查找移动存储设备的隐藏扇区，并读取隐藏扇区的数据；

主注册数据检测单元，用于管理端检测隐藏扇区中是否含有注册数据；

从移动存储设备检测判断模块包括从分区信息获取单元、从隐藏扇区查找单元以及从注册数据检测单元；

从分区信息获取单元，用于客户端获取移动存储设备的分区信息；

从隐藏扇区查找单元，用于客户端查找移动存储设备的隐藏扇区，并读取隐藏扇区的数据；

从注册数据检测单元，用于客户端检测隐藏扇区中是否含有注册数据。

从以上技术方案可以看出，本发明具有以下优点：

本发明将多种多样的移动存储设备区分为已注册设备和未注册设备，未注册设备不可挂载，已注册设备可以挂载，但不可外网使用，有效的对移动存储设备进行管理控制，保证信息的安全。

本发明无需使用特制的移动存储设备，在成本较低的基础上实现了移动存储设备的管控功能，便于使用和推广。

此外，本发明设计原理可靠，结构简单，具有非常广泛的应用前景。

由此可见，本发明与现有技术相比，具有突出的实质性特点和显著地进步，其实施的有益效果也是显而易见的。

附图说明

图1为本发明的方法流程图一；

图2为本发明的方法流程图二；

图3为本发明的系统连接示意图；

其中，1-管理端；1.1-主移动存储设备接口；1.2-主移动存储设备检测判断模块；1.2.1-主分区信息获取单元；1.2.2-主隐藏扇区查找单元；1.2.3-主注册数据检测单元；1.3-移动存储设备注册模块；1.4-移动存储设备注销模块；1.5-注册信息表下发模块；1.6-客户端日志接收模块；2-客户端；2.1-从移动存储设备接口；2.2-从移动存储设备检测判断模块；2.2.1-从分区信息获取单元；2.2.2-从隐藏扇区查找单元；2.2.3-从注册数据检测单元；2.3-移动存储设备挂载允许模块；2.4-移动存储设备挂载禁止模块；2.5-注册信息表接收模块；2.6-日志生成模块。

具体实施方式

为使得本发明的目的、特征、优点能够更加的明显和易懂，下面将结合本发明具体实施例中的附图，对本发明中的技术方案进行清楚、完整地描述。

实施例1如图1所示，本发明提供一种移动存储设备安全管控方法，包括如下步骤：

步骤s1.主机连接移动存储设备时，判断主机为管理端还是客户端；

步骤s2.当管理端连接移动存储设备时；

管理端对移动存储设备进行检测，判断管理端连接的移动存储设备是否注册；

步骤s3.若未注册，则管理端进行移动存储设备注册；返回步骤s1；

步骤s4.若已注册，则判断是否要注销移动存储设备；

若是，则进行移动存储设备注销；

若否，则不进行操作；

返回步骤s1；

步骤s5.当客户端连接移动存储设备时；

客户端对移动存储设备进行检测，判断客户端连接的移动存储设备是否注册；

若是，则允许挂载；

若否，则禁止挂载；

返回步骤s1。

上述实施例1，步骤s5中，允许挂载的移动存储设备禁止外网使用。

实施例2如图2所示，一种移动存储设备安全管控方法，包括如下步骤：

步骤s1.主机连接移动存储设备时，判断主机为管理端还是客户端；

步骤s2.当管理端连接移动存储设备时；

管理端对移动存储设备进行检测，判断管理端连接的移动存储设备是否注册；

步骤s21.管理端获取移动存储设备的分区信息；

步骤s22.管理端遍历移动存储设备的分区查找隐藏扇区，并读取隐藏扇区的数据；

步骤s23.管理端检测隐藏扇区中是否含有注册数据；

步骤s231.管理端遍历移动存储设备的隐藏扇区，判断隐藏扇区中是否含有标志位；

步骤s232.若无，则隐藏扇区中不含注册数据；进入步骤s3；

步骤s233.若有，则将标志位所在的隐藏扇区中数据与注册信息表中数据进行查找比对；

步骤s234.若注册信息表中查找不到隐藏扇区数据，则隐藏扇区中不含注册数据；进入步骤s3；

步骤s235.若注册信息表中查找到隐藏扇区数据，则隐藏扇区中含有注册数据；进入步骤s4；

步骤s3.若未注册，则管理端进行移动存储设备注册；

步骤s31.管理端在移动存储设备的隐藏扇区中写入注册数据；

步骤s311.管理端遍历移动存储设备的隐藏扇区，查找第一个可用的隐藏扇区；

步骤s312.管理端在第一个可用的隐藏扇区中写入注册数据，注册数据中包括标志位；

步骤s32.管理端将移动存储设备的硬件信息和注册数据写入注册信息表；

步骤s33.管理端将注册信息表下发到客户端；

返回步骤s1；

步骤s4.若已注册，则判断是否要注销移动存储设备；

若是，则进行移动存储设备注销；

步骤s41.管理端将隐藏扇区中注册数据擦除；

步骤s42.管理端更新注册信息表，将擦除的注册数据从注册信息表中删除；

步骤s43.管理端将更新的注册信息表下发到客户端；

若否，则不进行操作；

返回步骤s1；

步骤s5.当客户端连接移动存储设备时；

客户端对移动存储设备进行检测，判断客户端连接的移动存储设备是否注册；

步骤s51.客户端获取移动存储设备的分区信息；

步骤s52.客户端遍历移动存储设备的分区查找隐藏扇区，并读取隐藏扇区的数据；

步骤s53.客户端检测隐藏扇区中是否含有注册数据；

步骤s531.客户端端遍历移动存储设备的隐藏扇区，判断隐藏扇区中是否含有标志位；

步骤s532.若无，则隐藏扇区中不含注册数据；禁止挂载；

步骤s533.若有，则将标志位所在的隐藏扇区中数据与注册信息表中数据进行查找比对；

步骤s534.若注册信息表中查找不到隐藏扇区数据，则隐藏扇区中不含注册数据；禁止挂载；

步骤s535.若注册信息表中查找到隐藏扇区数据，则隐藏扇区中含有注册数据；允许挂载；

步骤s54.客户端生成使用日志，保存移动存储设备操作记录，并将使用日志上传到管理端；

返回步骤s1。

实施例3如图3所示，一种移动存储设备安全管控系统，包括管理端1和客户端2，管理端1与客户端2连接；

所述管理端1包括主移动存储设备接口1.1、主移动存储设备检测判断模块1.2、移动存储设备注册模块1.3、移动存储设备注销模块1.4、注册信息表下发模块1.5和客户端日志接收模块1.6；

主移动存储设备接口1.1，用于管理端连接移动存储设备；

主移动存储设备检测判断模块1.2，用于管理端对移动存储设备进行检测，判断管理端连接的移动存储设备是否注册；

移动存储设备注册模块1.3，用于当移动存储设备未注册时，进行移动存储设备注册，并生成注册信息表；

移动存储设备注销模块1.4，用于当移动存储设备已注册且需要注销时，进行移动存储设备注销；

注册信息表下发模块1.5，用于向客户端下发移动存储设备的注册信息表；

主移动存储设备检测判断模块1.2包括主分区信息获取单元1.2.1、主隐藏扇区查找单元1.2.2以及主注册数据检测单元1.2.3；

主分区信息获取单元1.2.1，用于管理端获取移动存储设备的分区信息；

主隐藏扇区查找单元1.2.2，用于管理端查找移动存储设备的隐藏扇区，并读取隐藏扇区的数据；

主注册数据检测单元1.2.3，用于管理端检测隐藏扇区中是否含有注册数据；

客户端日志接收模块1.6，用于接收客户端的移动存储设备的使用日志；

所述客户端2包括从移动存储设备接口2.1、从移动存储设备检测判断模块2.2、移动存储设备挂载允许模块2.3、移动存储设备挂载禁止模块2.4、注册信息表接收模块2.5及日志生成模块2.6；

从移动存储设备接口2.1，用于客户端连接移动存储设备；

从移动存储设备检测判断模块2.2，用于客户端对移动存储设备进行检测，判断客户端连接的移动存储设备是否注册；

移动存储设备挂载允许模块2.3，用于当移动存储设备已注册时，允许挂载；

移动存储设备挂载禁止模块2.4，用于当移动存储设备未注册时，禁止挂载；

注册信息表接收模块2.5，用于接收管理端下发的移动存储设备的注册信息表；

日志生成模块2.6，用于客户端生成使用日志，保存移动存储设备操作记录，并将日志上传到管理端；

从移动存储设备检测判断模块2.2包括从分区信息获取单元2.2.1、从隐藏扇区查找单元2.2.2以及从注册数据检测单元2.2.3；

从分区信息获取单元2.2.1，用于客户端获取移动存储设备的分区信息；

从隐藏扇区查找单元2.2.2，用于客户端查找移动存储设备的隐藏扇区，并读取隐藏扇区的数据；

从注册数据检测单元2.2.3，用于客户端检测隐藏扇区中是否含有注册数据。

本发明的实施例是说明性的，而非限定性的，上述实施例只是帮助理解本发明，因此本发明不限于具体实施方式中所述的实施例，凡是由本领域技术人员根据本发明的技术方案得出的其他的具体实施方式，同样属于本发明保护的范围。