一种保护移动存储设备数据安全的方法和装置制造方法
【专利摘要】本发明实施例提供一种保护移动存储设备数据安全的方法,包括以下步骤:启动过滤机制,识别出移动存储设备并将其中的数据信息对操作系统的上层应用设置为不可见;启动文件分析机制,识别出对系统有意义的信息数据格式并对这些信息数据格式采用相应的分析识别方法判断其是否为安全文件;对操作系统的上层应用开放得到的安全文件。本发明不会过多增加操作系统负荷,同时保障了系统安全,达到了移动存储设备数据安全防控的目的。
【专利说明】一种保护移动存储设备数据安全的方法和装置
【技术领域】
[0001]本发明涉及移动存储、数据安全等领域,特别涉及一种保护移动存储设备的数据安全的方法和装置。
【背景技术】
[0002]移动存储设备已经广泛的应用在各种领域,其设备的类型也非常的丰富,在给工作和生活带来极大便利的同时,也带来了极大的安全隐患。
[0003]一方面,一台终端只需要具备移动存储设备的驱动及相关配置,甚至有些移动设备不需要驱动或该类驱动已经被集成在终端操作系统中,就可以对移动存储设备进行读/写操作。这就大大增加了移动存储设备被病毒或木马感染的机会;另一方面,对于某些特定的工作领域,所涉及的计算机网络系统越来越庞大复杂,为病毒的传播提供了极其便利的渠道,增加了数据安全防护的难度,而这一类型工作区域,往往对移动存储设备中的文件有特定的要求,并不需要操作设备中的全部文件,比如新闻工作中常用的P2卡,P2卡即松下移动存储设备,全称为松下公司专业的多媒体插件,是利用电晶体存储器代替磁带记录影像,可将影像以类似于数据的形式记录在闪存上,连同多种信息准确地记录在被称为元数据的视频当中,各新闻媒体几乎都有使用。P2卡在新闻工作领域中,只用来记录影像文件,其文件格式是特定的。
[0004]虽然各大计算机安全服务商和移动存储设备供应商采取了 一些手段来保护移动存储设备的数据安全,但效果并不理想,对移动存储设备数据安全进行防控仍是一个难题。
【发明内容】
[0005]本发明所要解决的技术问题是提供一种保护移动存储设备数据安全的方法和装置,用以保护移动存储设备的数据安全。
[0006]为解决上述技术问题,本发明提供的技术方案为:一种保护移动存储设备数据安全的方法,其特征在于,包括以下步骤:
[0007]对移动存储设备进行合法性验证,判断所述移动存储设备是否为可信任设备;
[0008]当判断所述移动存储设备为可信任设备时,识别出所述移动存储设备中的信息数据的格式,根据所述信息数据的格式采用相应的分析识别方法判断所述信息数据是否为安全文件;
[0009]将判断为安全文件的信息数据对操作系统的上层应用开放。
[0010]以及一种保护移动存储设备数据安全的装置,其特征在于,包括以下模块:
[0011]设备验证模块,用于对移动存储设备进行合法性验证,判断所述移动存储设备是否为可信任设备;
[0012]信息数据验证模块,用于当所述设备验证模块判断所述移动存储设备为可信任设备时,识别出所述移动存储设备中的信息数据的格式,根据所述信息数据的格式采用相应的分析识别方法判断所述信息数据是否为安全文件;[0013]信息数据开放模块,用于将判断为安全文件的信息数据对操作系统的上层应用开放。
[0014]由于本发明面向移动存储设备的应用领域,通过在驱动级层面上对移动存储设备中的数据信息过滤,以及针对特定文件格式进行可靠性分析,达到只把安全的、有意义的内容呈献给操作系统上层应用目的,从而保障系统安全。本发明不会过多增加操作系统负荷,同时保障了系统安全,达到了移动存储设备数据安全防控的目的。
【专利附图】
【附图说明】
[0015]为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0016]图1为本发明实施例一提供的一种保护移动存储设备数据安全的方法的处理流程不意图。
[0017]图2为本发明实施例二提供的保护多种移动存储设备的数据安全的方法的处理流程示意图。
【具体实施方式】
[0018]为便于对本发明实施例的理解,下面将结合附图并以具体实施例为例做进一步的解释说明,且各个实施例并不构成对本发明的限定。
[0019]实施例1
[0020]如图1所示,本实施例提供了新闻工作领域图片编辑工作中P2卡数据安全防控的方法,对已经挂载的驱动器,包括本地设备和其他外设,在初次启动时可视为新设备,亦可根据需要设置为信任设备。以下仅对该方法核心部分,即监控到新移动存储设备接入后的保护移动存储设备的数据安全的方法做详细说明。
[0021]步骤101,启动过滤机制。该过滤机制通过驱动层级的计算机程序实现,主动检查移动存储设备并将其中的数据信息对操作系统的上层应用设置为不可见。上层应用无法“看到”这些文件,也就不会因为操作这些文件而触发其可能携带的病毒或木马,还可以防止终端中的病毒或木马等危险程序针对数据文件的主动攻击。
[0022]步骤102,对移动存储设备进行设备信息认证判断,判断设备是否可以进行合法性验证,对于不可进行合法性验证的设备,进入步骤104启动文件分析机制;对于可以进行合法性验证的设备,进入步骤103进行设备合法性验证,验证结果为信任设备时进入步骤104启动文件分析机制,验证结果为不信任设备时提示为不信任设备。进行设备信息认证的具体方法是:获取表明该存储设备类型的类型编码,将所获类型编码与预设的设备类型编码列表作比对,比对后确定该存储设备是否为可进行合法性验证的设备。以P2卡为例,比对类型编码后确定该存储设备为P2卡,P2卡具有标明其唯一身份的编码——P2卡设备ID,是可进行合法性验证的设备。
[0023]步骤103,对可进行合法性验证的设备进行合法性验证,获取设备的身份编码,该身份编码用来表明所述移动存储设备的唯一身份,将其与预设的信任设备身份编码列表作比对,若预设的信任设备身份编码列表中有此身份编码则为信任设备,否则为不信任设备,屏蔽文件访问并用户发出警报提示。当所述移动存储设备没有表明所述移动存储设备的唯一身份的身份编码时,则默认所述移动存储设备为可信任设备,进行后续的信息数据的格式的验证过程;或者,默认所述移动存储设备为不信任设备,屏蔽移动存储设备中的信息数据。以P2卡为例,获取标明P2卡设备ID,将其与预设的信任P2卡ID列表作比对,信任设备列表中存有该ID,则该P2卡为信任设备,否则为不信任设备,屏蔽文件访问并用户发出警报提示。对于有唯一身份编码的移动存储设备进行合法性验证,可进一步保障存储设备数据安全。
[0024]步骤104,启动文件分析机制,首先识别对系统有意义的信息数据格式,其次根据这些信息数据格式采用对应的分析和识别方法,具体的:若为常见的信息数据格式则直接调用杀毒软件进行查杀,将查杀后的信息数据判断为安全文件;若为特定文件格式则采用特定分析方法,比如可根据该特定格式文件的定义说明,采用头部校验和/或完整性检查分析方法对所述信息数据进行文件安全的分析验证,将验证结果为合格的信息数据判断为安全文件,最后对分析得到的安全文件执行步骤105开放安全文件,对分析得到的可疑文件设置标识等待用户进一步处理。以P2卡为例,根据图片编辑工作的具体要求,系统需要操作该卡中的影像数据信息,在存储器中具体保存为AV1、BMP、MXF和XML四种格式,即只有这四种格式的文件对于系统来说是有意义的数据信息。针对这四种格式的文件,设置相应的分析与识别方法,进一步识别是否为安全文件,识别方法因文件格式而异,其中如XML、BMP和AVI格式的文件为比较常见的格式,并不需要特定分析方法,可以直接调用杀毒软件进行一般查杀。MXF格式文件是专业领域所使用的特定文件格式,可根据该格式文件的定义说明,提供头部校验、完整性检查等分析方法进行文件安全的分析验证。分析后对可疑的文件设置标识,等待用户进一步处理。
[0025]步骤105,开放安全文件。确认为安全的文件对操作系统上层应用操作标记为可执行,并作出安全授权提示。
[0026]实施例2
[0027]本实施例提供了在实施例1的操作系统中,接入多种移动存储设备的方法。如图2所示,设备信息认证结果显示,新接入的移动存储设备有P2卡、蓝光设备和其他移动设备,其中P2卡的保护移动存储设备数据安全的方法与实施例1相同;因为蓝光设备和其他移动存储设备是不可进行合法性验证的设备,故它们的保护移动存储设备的数据安全的方法中没有合法性验证这一步骤,而是直接启动文件分析机制,分析机制的【具体实施方式】与实施例I中的启动文件分析机制相同。分析完成后,对可疑的文件设置标识,等待用户进一步处理;确认为安全的文件对操作系统上层应用操作标记为可执行,并作出安全授权提示。
[0028]实施例3
[0029]一种保护移动存储设备数据安全的装置,包括以下模块:
[0030]设备信息认证模块,用于对所述移动存储设备进行设备信息认证,判断所述移动存储设备是否可进行合法性验证;当判断所述移动存储设备为不可进行合法性验证的设备时,识别出所述移动存储设备中的信息数据的格式,根据所述信息数据的格式采用相应的分析识别方法判断所述信息数据是否为安全文件。设备信息认证模块具有用于获取表明该存储设备类型的类型编码;将所获类型编码与预设的设备类型编码列表作比对,比对后确定该存储设备是否为可进行合法性验证的设备。
[0031]设备验证模块,用于对移动存储设备进行合法性验证,判断所述移动存储设备是否为可信任设备。获取移动存储设备的身份编码,该身份编码用来表明移动存储设备的唯一身份;将移动存储设备的身份编码与预设的信任设备身份编码列表作比对;若预设的信任设备身份编码列表中包含表明移动存储设备的身份编码,则判断移动存储设备为可信任设备;否则移动存储设备为不信任设备。另外,设备验证模块,具体用于当移动存储设备没有表明所述移动存储设备的唯一身份的身份编码时,则默认移动存储设备为可信任设备,进行后续的信息数据的格式的验证过程;或者,默认移动存储设备为不信任设备,屏蔽移动存储设备中的信息数据。
[0032]信息数据验证模块,用于当所述设备验证模块判断所述移动存储设备为可信任设备时,识别出所述移动存储设备中的信息数据的格式,根据所述信息数据的格式采用相应的分析识别方法判断所述信息数据是否为安全文件;采用相应的分析识别方法具体是指:对常见格式的信息数据直接调用杀毒软件进行查杀,将查杀后的信息数据判断为安全文件:对特定格式的信息数据根据所述特定格式的定义说明,采用头部校验和/或完整性检查分析方法对所述信息数据进行文件安全的分析验证,将验证结果为合格的信息数据判断为安全文件。
[0033]信息数据开放模块,用于将判断为安全文件的信息数据对操作系统的上层应用开放。信息数据开放模块,还用于在所述设备验证模块对移动存储设备进行合法性验证之前,将所述移动存储设备中的数据信息对操作系统的上层应用设置为不可见。将判断为安全文件的信息数据对操作系统上层应用操作标记为可执行,并作出安全授权提示。
[0034]以上所述,仅为本发明较佳的【具体实施方式】,但本发明的保护范围并不局限于此,任何熟悉本【技术领域】的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
【权利要求】
1.一种保护移动存储设备数据安全的方法,其特征在于,包括以下步骤: 对移动存储设备进行合法性验证,判断所述移动存储设备是否为可信任设备; 当判断所述移动存储设备为可信任设备时,识别出所述移动存储设备中的信息数据的格式,根据所述信息数据的格式采用相应的分析识别方法判断所述信息数据是否为安全文件; 将判断为安全文件的信息数据对操作系统的上层应用开放。
2.根据权利要求1所述的一种保护移动存储设备数据安全的方法,其特征在于,所述的对移动存储设备进行合法性验证之前,还包括: 对所述移动存储设备进行设备信息认证,判断所述移动存储设备是否可进行合法性验证; 当判断所述移动存储设备为不可进行合法性验证的设备时,识别出所述移动存储设备中的信息数据的格式,根据所述信息数据的格式采用相应的分析识别方法判断所述信息数据是否为安全文件。
3.根据权利要求2所述的一种保护移动存储设备数据安全的方法,其特征在于,对所述移动存储设备进 行设备信息认证,判断所述移动存储设备是否可进行合法性验证,包括: 获取表明该存储设备类型的类型编码; 将所获类型编码与预设的设备类型编码列表作比对,比对后确定该存储设备是否为可进行合法性验证的设备。
4.根据权利要求1所述的一种保护移动存储设备数据安全的方法,其特征在于,所述的对移动存储设备进行合法性验证之前,还包括: 将所述移动存储设备中的数据信息对操作系统的上层应用设置为不可见。
5.根据权利要求1所述的一种保护移动存储设备数据安全的方法,其特征在于,所述的对移动存储设备进行合法性验证,判断所述移动存储设备是否为可信任设备,包括: 获取所述移动存储设备的身份编码,该身份编码用来表明所述移动存储设备的唯一身份; 将所述移动存储设备的身份编码与预设的信任设备身份编码列表作比对; 若预设的信任设备身份编码列表中包含表明所述移动存储设备的身份编码,则判断所述移动存储设备为可信任设备;否则所述移动存储设备为不信任设备。
6.根据权利要5所述的一种保护移动存储设备数据安全的方法,其特征在于,所述的对移动存储设备进行合法性验证,判断所述移动存储设备是否为可信任设备,包括: 当所述移动存储设备没有表明所述移动存储设备的唯一身份的身份编码时,则默认所述移动存储设备为可信任设备,进行后续的信息数据的格式的验证过程;或者,默认所述移动存储设备为不信任设备,屏蔽所述移动存储设备中的信息数据。
7.根据权利要求1至6任一项所述的一种保护移动存储设备数据安全的方法,其特征在于,所述的根据所述信息数据的格式采用相应的分析识别方法判断所述信息数据是否为安全文件,包括: 对常见格式的信息数据直接调用杀毒软件进行查杀,将查杀后的信息数据判断为安全文件;对特定格式的信息数据根据所述特定格式的定义说明,采用头部校验和/或完整性检查分析方法对所述信息数据进行文件安全的分析验证,将验证结果为合格的信息数据判断为安全文件。
8.根据权利要求1所述的一种保护移动存储设备数据安全的方法,其特征在于,所述的将判断为安全文件的信息数据对操作系统的上层应用开放,包括: 将判断为安全文件的信息数据对操作系统上层应用操作标记为可执行,并作出安全授权提示。
9.一种保护移动存储设备数据安全的装置,其特征在于,包括以下模块: 设备验证模块,用于对移动存储设备进行合法性验证,判断所述移动存储设备是否为可信任设备; 信息数据验证模块,用于当所述设备验证模块判断所述移动存储设备为可信任设备时,识别出所述移动存储设备中的信息数据的格式,根据所述信息数据的格式采用相应的分析识别方法判断所述信息数据是否为安全文件; 信息数据开放模块,用于将判断为安全文件的信息数据对操作系统的上层应用开放。
10.根据权利要求9所述的一种保护移动存储设备数据安全的装置,其特征在于,所述一种保护移动存储设备数据安全的装置,还包括: 设备信息认证模块,用于对所述移动存储设备进行设备信息认证,判断所述移动存储设备是否可进行合法性验证; 当判断所述移动存储设备为不可进行合法性验证的设备时,识别出所述移动存储设备中的信息数据的格式,根据所述信息数据的格式采用相应的分析识别方法判断所述信息数据是否为安全文件。
11.根据权利要求10所述的一种保护移动存储设备数据安全的装置,其特征在于,所述设备信息认证模块具有用于获取表明该存储设备类型的类型编码;将所获类型编码与预设的设备类型编码列表作比对,比对后确定该存储设备是否为可进行合法性验证的设备。
12.根据权利要求9所述的一种保护移动存储设备数据安全的装置,其特征在于: 所述的信息数据开放模块,还用于在所述设备验证模块对移动存储设备进行合法性验证之前,将所述移动存储设备中的数据信息对操作系统的上层应用设置为不可见。
13.根据权利要求9所述的一种保护移动存储设备数据安全的装置,其特征在于: 所述的设备验证模块,具体用于获取所述移动存储设备的身份编码,该身份编码用来表明所述移动存储设备的唯一身份; 将所述移动存储设备的身份编码与预设的信任设备身份编码列表作比对; 若预设的信任设备身份编码列表中包含表明所述移动存储设备的身份编码,则判断所述移动存储设备为可信任设备;否则所述移动存储设备为不信任设备。
14.根据权利要13所述的一种保护移动存储设备数据安全的装置,其特征在于: 所述的设备验证模块,具体用于当所述移动存储设备没有表明所述移动存储设备的唯一身份的身份编码时,则默认所述移动存储设备为可信任设备,进行后续的信息数据的格式的验证过程;或者,默认所述移动存储设备为不信任设备,屏蔽所述移动存储设备中的信息数据。
15.根据权利要求9至14任一项所述的一种保护移动存储设备数据安全的装置,其特征在于; 所述的信息数据验证模块,具体用于对常见格式的信息数据直接调用杀毒软件进行查杀,将查杀后的信息数据判断为安全文件: 对特定格式的信息数据根据所述特定格式的定义说明,采用头部校验和/或完整性检查分析方法对所述信息数据进行文件安全的分析验证,将验证结果为合格的信息数据判断为安全文件。
16.根据权利要求9所 述的一种保护移动存储设备数据安全的装置,其特征在于: 所述的信息数据开放模块,具体用于将判断为安全文件的信息数据对操作系统上层应用操作标记为可执行,并作出安全授权提示。
【文档编号】G06F21/78GK103914665SQ201210592689
【公开日】2014年7月9日 申请日期:2012年12月30日 优先权日:2012年12月30日
【发明者】王清奎, 林凉, 钟源 申请人:航天信息股份有限公司