一种系统主动型USB移动存储设备访问控制方法

本发明涉及计算机系统安全，尤其涉及一种系统主动型usb(universalserial bus，通用串行总线接口)移动存储设备的访问控制方法。

背景技术：

1、终端安全是计算机及信息系统安全的重要组成部分，在企事业单位办公等移动存储介质(譬如usb设备)频繁接入相关终端的场景中显得尤为重要，与网络安全并驾齐驱。对usb(universal serial bus，通用串行总线接口)外设的信息安全防护应当保障保密/私密信息不被泄漏，同时还应防止病毒通过外设横向传播。换句话说，针对usb移动存储设备的读、写和执行等细粒度访问控制操作的有效实施是达成上述目标的前提条件和技术手段。鉴于终端上对外设中的文件进行读写的软件种类繁多，所以需要在系统内核层级上提供通用且稳定的轻量型解决方案，在有关软件对外设进行读、写、执行等访问操作时及时进行检查核验、针对拒绝访问情况并给用户以恰当提示，同时对软件的其他正常功能不造成影响。

2、根据国家信息安全及计算机核心技术的自主可控整体战略，弥补当前缺少针对国产处理器平台及linux系统兼容各类主流usb移动存储设备的通用型访问控制技术方案的问题，本系统主动型usb移动存储设备访问控制方法将致力于实现统信、银河麒麟、欧拉等国产linux桌面操作系统以及debian、ubuntu、centos等其他linux主流桌面操作系统的usb移动存储设备接入访问控制，从而解决企事业单位计算机系统国产化改革过程中潜在的终端安全问题，切实预防办公终端中的保密信息通过接入usb移动存储设备外泄的情形，同时有效防堵遭病毒侵扰计算机通过接入usb移动存储设备进行横向传播。

3、目前，现有技术中的usb设备访问控制技术可划分为存储设备端访问控制技术和主机端访问控制技术。存储设备端访问控制技术一般通过设计特殊的硬件结构，同时开发相应的固件程序，对设备进行安全性认证和加密处理，相关实现复杂、研发和实施成本较大，可能牵涉硬件芯片生产或存储和访问时的多次加解密处理，且无法保障主机设备信息不被泄露。在主机端访问控制技术中，物理屏蔽法和启动引导程序屏蔽法均为简单的usb接口设备全部禁用(导致主机无法使用任何usb外设)或全部开放可用，管控粒度太过粗大且不灵活；而现有相关软件控制法或者要求直接修改内核和驱动程序使实施难度加大且易引发系统不稳定问题，或者基于udev控制策略规则文件容易遭受第三方应用程序修改，或者全禁(同样导致主机无法使用任何usb外设)全开、管控粒度粗大(仅区分品牌和厂商及准否挂载连接)而缺乏读/写/执行等细粒度控制。

4、总的来说，现有usb设备访问控制技术存在实施成本和难度大、易引发系统不稳定、管控粒度大且不灵活等问题。

技术实现思路

1、本发明的实施例提供了一种系统主动型usb移动存储设备访问控制方法，以实现在主流linux桌面操作系统平台上通用稳定且灵活有效的、系统内核层级的轻量型usb移动存储设备精细粒度访问控制。

2、为了实现上述目的，本发明采取了如下技术方案。

3、一种系统主动型usb移动存储设备访问控制方法，包括：

4、根据usb移动存储设备固有且具不变性和唯一性的特征组合信息确定设备的标识符；

5、基于所述设备的标识符，利用kprobe机制跟踪拦截usb设备状态设置函数，根据移动存储设备白名单及访问操作权限配置信息对设备是否具备挂载权限进行合法性检查验证，使设备正常挂载或被拒绝挂载；

6、基于所述设备的标识符，利用kprobe机制跟踪拦截文件系统挂载函数，根据移动存储设备白名单及访问操作权限配置信息对设备文件系统执行访问操作权限配置，以支持设备后续访问操作过程的权限检查与控制处理。

7、优选地，所述的根据usb移动存储设备固有且具不变性和唯一性的特征组合信息确定设备的标识符，包括：

8、根据设备特征信息设定由设备厂商标识符、设备产品标识符和设备序列号三元组组成对单个设备实现唯一标识的设备标识符，根据设备标识符构建设备白名单、访问控制列表和设备访问控制策略，形成移动存储设备白名单及访问操作权限配置。

9、优选地，所述的基于所述设备的标识符，利用kprobe机制跟踪拦截usb设备状态设置函数，根据移动存储设备白名单及访问操作权限配置信息对设备是否具备挂载权限进行合法性检查验证，使设备正常挂载或被拒绝挂载，包括：

10、获取设备的当前状态及设备厂商标识符、设备产品标识符和设备序列号，从设备枚举过程出发，当设备进入接入(attached)状态后，但未进入已配置(configured)状态前配备了设备的标识符信息；

11、在设备挂载前先实施设备枚举过程，利用kprobe机制探测热插拔设备枚举，在设备枚举过程的状态设置函数处插入探测点回调函数；

12、当系统发生设备枚举时，先期触发该回调函数，并在该回调函数中对设备是否具备挂载权限进行合法性检查验证，使设备正常挂载或被拒绝使用而无法完成后续挂载。

13、优选地，所述的基于所述设备的标识符，利用kprobe机制跟踪拦截文件系统挂载函数，根据移动存储设备白名单及访问操作权限配置信息对设备文件系统执行访问操作权限配置，以支持设备后续访问操作过程的权限检查与控制处理，包括：

14、在设备进行热插拔时，由内核监测到对应新设备连接、产生热插拔事件并通知用户空间设备管理器udev检测相关设备信息，守护进程通过netlink套接字及uevent事件获取设备信息、由uevent事件信息序列解析并构建出设备标识符三元组及逻辑设备名devname和设备路径devpath信息，通过netlink套接字将所述设备标识符三元组及逻辑设备名devname和设备路径devpath信息发送给usb移动存储设备访问控制模块；

15、利用kprobe机制在usb移动存储设备文件系统的挂载函数处插入探测点回调函数，当系统发生对usb移动存储设备文件系统的挂载操作时，会先触发该回调函数；

16、该回调函数根据设备白名单中访问控制权限列表，对设备的读、写、执行权限进行控制，给设备赋予特定的访问操作权限。

17、优选地，所述的方法包括：

18、构建守护进程暨usb移动存储设备访问控制服务进程，协同usb移动存储设备访问控制内核模块，并当发生usb移动存储设备拒绝访问操作时给以用户提示。

19、由上述本发明的实施例提供的技术方案可以看出，本发明实施例提供了一种涉及linux系统的usb移动存储设备访问控制轻量型技术方案，主要用于实现对usb移动存储设备访问权限的设定，并在系统对usb移动存储设备或其文件进行访问时根据授权情况及时给以相应的访问控制处理(放行或拒绝)，同时对系统的其他正常功能不造成影响。

20、本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

技术特征：

1.一种系统主动型usb移动存储设备访问控制方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述的根据usb移动存储设备固有且具不变性和唯一性的特征组合信息确定设备的标识符，包括：

3.根据权利要求1所述的方法，其特征在于，所述的基于所述设备的标识符，利用kprobe机制跟踪拦截usb设备状态设置函数，根据移动存储设备白名单及访问操作权限配置信息对设备是否具备挂载权限进行合法性检查验证，使设备正常挂载或被拒绝挂载，包括：

4.根据权利要求1所述的方法，其特征在于，所述的基于所述设备的标识符，利用kprobe机制跟踪拦截文件系统挂载函数，根据移动存储设备白名单及访问操作权限配置信息对设备文件系统执行访问操作权限配置，以支持设备后续访问操作过程的权限检查与控制处理，包括：

5.根据权利要求1至4任一项所述的方法，其特征在于，所述的方法包括：

技术总结
本发明提供了一种系统主动型USB移动存储设备访问控制方法。该方法包括：根据USB移动存储设备的特征组合信息确定设备的标识符；基于设备的标识符利用Kprobe机制跟踪拦截USB设备状态设置函数，根据移动存储设备白名单及访问操作权限配置信息对设备是否具备挂载权限进行合法性检查验证，使设备正常挂载或被拒绝挂载；基于设备的标识符利用Kprobe机制跟踪拦截文件系统挂载函数，根据移动存储设备白名单及访问操作权限配置信息对设备文件系统执行访问操作权限配置，以支持设备后续访问操作过程的权限检查与控制处理。本发明可以实现对USB移动存储设备访问权限的设定，并在系统对USB移动存储设备或其文件进行访问时根据授权情况及时给以相应的访问控制处理。

技术研发人员：翟高寿,郭卓茁,刘子桐,郭小康,刘峰,罗琼,王振强,孙思雨,翟梓淇,崔依婷
受保护的技术使用者：北京交通大学
技术研发日：
技术公布日：2024/1/15