專利名稱:Usb移動(dòng)存儲(chǔ)設(shè)備訪問控制方法���、裝置及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及領(lǐng)域信息安全領(lǐng)域,尤其涉及一種USB移動(dòng)存儲(chǔ)設(shè)備訪問控制方法�����、裝置及系統(tǒng)��。
背景技術(shù):
通用串行總線(Universal Serial Bus�,簡(jiǎn)稱USB)移動(dòng)存儲(chǔ)設(shè)備的廣泛使用��,使信息傳遞更加方便����,若不能有效控制其使用�,會(huì)使內(nèi)網(wǎng)信息安全存在嚴(yán)重的問題。為防止內(nèi)網(wǎng)終端上的涉密文件����、內(nèi)部文檔或私人隱私被人使用USB移動(dòng)存儲(chǔ)設(shè)備帶走,以及防止外部帶有病毒的USB移動(dòng)存儲(chǔ)設(shè)備插入內(nèi)網(wǎng)終端使用而導(dǎo)致內(nèi)網(wǎng)計(jì)算機(jī)中毒�,現(xiàn)有的一種USB移動(dòng)存儲(chǔ)設(shè)備管理方案是禁止USB移動(dòng)存儲(chǔ)設(shè)備在終端上使用。但是���,這種方案不能對(duì)USB移動(dòng)存儲(chǔ)設(shè)備的訪問進(jìn)行靈活控制�,例如����,某些確實(shí)需要使用USB移動(dòng)存儲(chǔ)設(shè)備攜帶計(jì)算機(jī)文件的場(chǎng)景無(wú)法得到滿足。現(xiàn)有的另一種方案使用Windows操作系統(tǒng)對(duì)USB移動(dòng)存儲(chǔ)設(shè)備的進(jìn)行寫保護(hù)機(jī)制或者對(duì)Windows應(yīng)用層的API進(jìn)行掛接�,從而達(dá)到實(shí)現(xiàn)對(duì)USBUSB移動(dòng)存儲(chǔ)設(shè)備的讀寫操作進(jìn)行監(jiān)控,并且能夠阻斷相關(guān)的讀寫操作���。但是����,這種方案的通用性較差,不同平臺(tái)不同軟件可能使用不同的讀寫方式對(duì)USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行修改�����,應(yīng)用層的保護(hù)機(jī)制很難對(duì)所有的讀寫方式進(jìn)行監(jiān)控���,通用性較差。
發(fā)明內(nèi)容
本發(fā)明實(shí)施例提供了一種USB移動(dòng)存儲(chǔ)設(shè)備訪問控制方法�����、裝置及系統(tǒng)���,用以解決現(xiàn)有技術(shù)中對(duì)移動(dòng)儲(chǔ)存設(shè)備的監(jiān)控存在通用性較差的問題�。本發(fā)明實(shí)施例提供一種USB移動(dòng)存儲(chǔ)設(shè)備訪問控制方法�����,包括在終端設(shè)備上監(jiān)測(cè)到通用串行總線USB移動(dòng)存儲(chǔ)設(shè)備時(shí)��,獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)����;根據(jù)所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)���,查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng),若存在�����,則對(duì)用戶信息進(jìn)行驗(yàn)證�����;若驗(yàn)證通過���,則根據(jù)所述訪問控制表項(xiàng)確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限�����;根據(jù)所述操作權(quán)限�����,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作�����。本發(fā)明實(shí)施例還提供了一種USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置�,包括監(jiān)測(cè)模塊,用于在終端設(shè)備上監(jiān)測(cè)到通用串行總線USB移動(dòng)存儲(chǔ)設(shè)備時(shí)���,獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)����;查詢模塊���,用于根據(jù)所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí),查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)�;驗(yàn)證模塊,用于若本地訪問控制表中存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)����,則對(duì)用戶信息進(jìn)行驗(yàn)證;
確定模塊�,用于若驗(yàn)證通過,則根據(jù)所述訪問控制表項(xiàng)確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限�;控制模塊,用于根據(jù)所述操作權(quán)限����,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作����。本發(fā)明實(shí)施例還提供了一種終 端設(shè)備�,包括上述USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置。本發(fā)明實(shí)施例還提供了一種USB移動(dòng)存儲(chǔ)設(shè)備訪問控制系統(tǒng)�,包括上述終端設(shè)備和注冊(cè)服務(wù)器;所述注冊(cè)服務(wù)器�,用于接收所述終端設(shè)備中USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置發(fā)送的注冊(cè)信息,所述注冊(cè)信息包括用戶信息��、USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和終端設(shè)備標(biāo)識(shí)��;根據(jù)所述用戶信息�����、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和所述終端設(shè)備標(biāo)識(shí)�,分配所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限;生成所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)��,并進(jìn)行加密后返回給所述USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置��。本發(fā)明實(shí)施例通過在終端設(shè)備上監(jiān)測(cè)到USB移動(dòng)存儲(chǔ)設(shè)備時(shí)�����,獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和用戶信息,查詢本地訪問控制表確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限�,根據(jù)所述操作權(quán)限控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作,可以基于用戶信息�、終端設(shè)備、USB移動(dòng)存儲(chǔ)設(shè)備設(shè)置不同的操作權(quán)限���,控制用戶在終端設(shè)備上對(duì)USB移動(dòng)存儲(chǔ)設(shè)備的操作�����,解決現(xiàn)有技術(shù)中對(duì)移動(dòng)儲(chǔ)存設(shè)備的監(jiān)控存通用性較差的問題����,能夠?qū)崟r(shí)靈活的控制USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限��,有效保證內(nèi)網(wǎng)終端設(shè)備上文件的安全性�����。
圖I為本發(fā)明實(shí)施例一提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制方法的流程示意圖���;圖2為本發(fā)明實(shí)施例二提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制方法的流程示意圖;圖3為本發(fā)明實(shí)施例三提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置的結(jié)構(gòu)示意圖;圖4為本發(fā)明實(shí)施例四提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置的結(jié)構(gòu)示意圖����;圖5為本發(fā)明實(shí)施例六提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制系統(tǒng)的結(jié)構(gòu)示意圖。
具體實(shí)施例方式實(shí)施例一圖I為本發(fā)明實(shí)施例一提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制方法的流程示意圖��;包括步驟101��、在終端設(shè)備上監(jiān)測(cè)到通用串行總線USB移動(dòng)存儲(chǔ)設(shè)備時(shí)����,獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)。舉例來(lái)說����,USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置在終端設(shè)備上監(jiān)測(cè)到USB移動(dòng)存儲(chǔ)設(shè)備。具體地���,USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置可以通過安裝在終端設(shè)備中的監(jiān)控程序來(lái)實(shí)現(xiàn)��,該監(jiān)控程序中的磁盤過濾驅(qū)動(dòng)會(huì)在終端設(shè)備啟動(dòng)時(shí)就加載到內(nèi)核中����,并監(jiān)控該終端設(shè)備所有的即插即用(Plug-and-Play�,簡(jiǎn)稱PNP)動(dòng)作����,任何USB移動(dòng)存儲(chǔ)設(shè)備的插入都會(huì)被磁盤過濾驅(qū)動(dòng)識(shí)別�,USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)可以自動(dòng)從所述USB移動(dòng)存儲(chǔ)設(shè)備中讀出。終端設(shè)備具體可以是計(jì) 算機(jī)����、PDA、手機(jī)等設(shè)備�。步驟102、根據(jù)所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)����,查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng),若是則執(zhí)行步驟103��,否則結(jié)束��。舉例來(lái)說�,終端設(shè)備的本地訪問控制表可以是預(yù)先設(shè)置的�����,也可以是從服務(wù)器中同步獲取的����。步驟103�����、驗(yàn)證用戶信息�����。具體地�����,用戶信息可以包括用戶名和/或密碼和/或用戶角色��。本實(shí)施例的驗(yàn)證用戶信息可以進(jìn)一步保證對(duì)USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限的控制�����。舉例來(lái)說��,用戶信息可以通過在終端設(shè)備上彈出提示輸入用戶信息的對(duì)話框�����,以使用戶輸入該用戶信息���。步驟104���、若驗(yàn)證通過,則根據(jù)所述訪問控制表項(xiàng)確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限����。舉例來(lái)說,兩個(gè)用戶信息中的用戶名和密碼不同�����,該兩個(gè)用戶信息對(duì)應(yīng)的同一 USB移動(dòng)存儲(chǔ)設(shè)備的訪問權(quán)限可以不同�����,或者兩個(gè)用戶信息中的用戶名和密碼相同�����,但用戶角色不同����,該兩個(gè)用戶信息對(duì)應(yīng)的同一 USB移動(dòng)存儲(chǔ)設(shè)備的訪問權(quán)限也可以不同���,如用戶名都為user����,密碼都是123,若用戶角色為研發(fā)部�,則該用戶信息對(duì)應(yīng)的該USB移動(dòng)存儲(chǔ)設(shè)備的訪問權(quán)限可以是讀寫操作,若用戶角色為市場(chǎng)部�����,則該用戶信息對(duì)應(yīng)的該USB移動(dòng)存儲(chǔ)設(shè)備的訪問權(quán)限只有讀操作�����。步驟105��、根據(jù)所述操作權(quán)限�,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作。本發(fā)明實(shí)施例通過在終端設(shè)備上監(jiān)測(cè)到USB移動(dòng)存儲(chǔ)設(shè)備時(shí)����,獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和用戶信息,查詢本地訪問控制表確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限����,根據(jù)所述操作權(quán)限控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作�����,可以基于用戶信息����、終端設(shè)備�����、USB移動(dòng)存儲(chǔ)設(shè)備設(shè)置不同的操作權(quán)限���,控制用戶在終端設(shè)備上對(duì)USB移動(dòng)存儲(chǔ)設(shè)備的操作�,解決現(xiàn)有技術(shù)中對(duì)移動(dòng)儲(chǔ)存設(shè)備的監(jiān)控存通用性較差的問題�����,能夠?qū)崟r(shí)靈活的控制USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限�,有效保證內(nèi)網(wǎng)終端設(shè)備上文件的安全性。實(shí)施例二圖2為本發(fā)明實(shí)施例二提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制方法的流程示意圖��;在圖I所示方法實(shí)施例一基礎(chǔ)上的進(jìn)一步擴(kuò)展����,包括步驟201�����、在終端設(shè)備上監(jiān)測(cè)到USB移動(dòng)存儲(chǔ)設(shè)備時(shí),獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)��。舉例來(lái)說��,USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置在終端設(shè)備上監(jiān)測(cè)到USB移動(dòng)存儲(chǔ)設(shè)備��。具體地����,USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置可以通過安裝在終端設(shè)備中的監(jiān)控程序來(lái)實(shí)現(xiàn),該監(jiān)控程序中的磁盤過濾驅(qū)動(dòng)會(huì)在終端設(shè)備啟動(dòng)時(shí)就加載到內(nèi)核中�,并監(jiān)控該終端設(shè)備所有的即插即用(Plug-and-Play,簡(jiǎn)稱PNP)動(dòng)作�,任何USB移動(dòng)存儲(chǔ)設(shè)備的插入都會(huì)被磁盤過濾驅(qū)動(dòng)識(shí)別。終端設(shè)備具體可以是計(jì)算機(jī)�����、手機(jī)等設(shè)備�����。而終端設(shè)備上新的分區(qū)加載動(dòng)作會(huì)被監(jiān)控程序中的文件系統(tǒng)過濾驅(qū)動(dòng)獲取到,對(duì)于任何新加載的分區(qū)��,文件系統(tǒng)過濾驅(qū)動(dòng)會(huì)在內(nèi)核中生成對(duì)應(yīng)的過濾驅(qū)動(dòng)設(shè)備,并附加到新分區(qū)的內(nèi)核設(shè)備對(duì)象的設(shè)備棧中��。
如磁盤過濾驅(qū)動(dòng)獲取到新插入的USB移動(dòng)存儲(chǔ)設(shè)備后會(huì)通知應(yīng)用層�����,應(yīng)用層通過Windows消息的截取獲取所有新增的盤符���,再通知給內(nèi)核中的文件系統(tǒng)過濾驅(qū)動(dòng)需要監(jiān)控哪些分區(qū)����。這樣所有USB移動(dòng)存儲(chǔ)設(shè)備的分區(qū)上的文件讀寫操作都會(huì)經(jīng)過文件系統(tǒng)過濾驅(qū)動(dòng)的監(jiān)控�,未被阻斷的讀寫操作還會(huì)經(jīng)過磁盤過濾驅(qū)動(dòng)的過濾。步驟202���、根據(jù)所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)����,查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)��;若是,則執(zhí)行步驟205�,否則執(zhí)行步驟203。
步驟203�、根據(jù)用戶指令向注冊(cè)服務(wù)器發(fā)送注冊(cè)信息,所述注冊(cè)信息包括用戶信息���、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和所述終端設(shè)備標(biāo)識(shí)。舉例來(lái)說��,若本地訪問控制表中不存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)�,終端設(shè)備向用戶返回注冊(cè)提示,如請(qǐng)求用戶輸入用戶信息�����,然后將用戶返回的用戶指令中包含的用戶信息�、獲取到USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和自身的終端設(shè)備標(biāo)識(shí)發(fā)送給注冊(cè)服務(wù)器,注冊(cè)服務(wù)器根據(jù)所述用戶信息���、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和所述終端設(shè)備標(biāo)識(shí)����,分配所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限����,生成所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)���,所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)包括所述用戶信息、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)����、所述終端設(shè)備標(biāo)識(shí)和所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限。本實(shí)施例的注冊(cè)服務(wù)器還可以將USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)加密存儲(chǔ)在即可擴(kuò)展標(biāo)記語(yǔ)言(Extensible Markup Language,簡(jiǎn)稱XML)文件中�����,并將加密存儲(chǔ)的訪問控制表項(xiàng)發(fā)送給終端設(shè)備���。進(jìn)一步地����,所有希望在終端設(shè)備上正常使用的USB移動(dòng)存儲(chǔ)設(shè)備第一次插入終端設(shè)備時(shí)都要進(jìn)行注冊(cè)���。注冊(cè)成功后�,USB移動(dòng)存儲(chǔ)設(shè)備的相關(guān)信息會(huì)存儲(chǔ)到注冊(cè)服務(wù)器的數(shù)據(jù)庫(kù)中���,由注冊(cè)服務(wù)器統(tǒng)一保存所有終端設(shè)備的可用的USB移動(dòng)存儲(chǔ)設(shè)備的信息����,大大降低了由終端設(shè)備篡改USB移動(dòng)存儲(chǔ)設(shè)備操作權(quán)限的可能。所有注冊(cè)成功的USB移動(dòng)存儲(chǔ)設(shè)備可以由注冊(cè)服務(wù)器統(tǒng)一分配每個(gè)USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限���,這些操作權(quán)限可以具體到單獨(dú)的終端設(shè)備和用戶����,即可以規(guī)定哪些用戶在哪些終端設(shè)備可以使用哪些USB移動(dòng)存儲(chǔ)設(shè)備��。這些信息總匯成一個(gè)訪問控制表存儲(chǔ)在注冊(cè)服務(wù)器的XML文件中���,每個(gè)終端設(shè)備可以得到一份該訪問控制表的副本,作為本地訪問控制表�,任何訪問控制表的更新都可以由注冊(cè)服務(wù)器下發(fā)更新指令要求每個(gè)終端設(shè)備對(duì)其進(jìn)行更新。步驟204����、接收所述注冊(cè)服務(wù)器發(fā)送的加密后的所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)并儲(chǔ)存在本地訪問控制表中。本實(shí)施例中為了保證存儲(chǔ)在終端設(shè)備上的訪問控制表項(xiàng)的安全性和保密性����,注冊(cè)服務(wù)器對(duì)訪問控制表項(xiàng)進(jìn)行加密后再發(fā)送給終端設(shè)備,具體的加密方法可以是和終端設(shè)備預(yù)先協(xié)商好的或預(yù)先對(duì)應(yīng)設(shè)置的����,終端設(shè)備在需要查看訪問控制表項(xiàng)時(shí)���,可以用相應(yīng)的解密方法對(duì)其進(jìn)行解密。對(duì)應(yīng)地�����,本實(shí)施例的步驟202之前�,先對(duì)本地訪問控制表中的訪問控制表項(xiàng)進(jìn)行解密。步驟205��、驗(yàn)證用戶信息���。舉例來(lái)說���,本步驟中的用戶信息可以通過在終端設(shè)備上彈出提示輸入用戶信息的對(duì)話框,以使用戶輸入該用戶信息�。步驟206、若驗(yàn)證通過�,則根據(jù)所述訪問控制表項(xiàng)確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限。
步驟207�����、根據(jù)所述操作權(quán)限,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作��。舉例來(lái)說����,操作權(quán)限包括讀寫操作、只讀操作��、禁止操作����;根據(jù)所述操作權(quán)限,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作具體包括若所述操作權(quán)限為讀寫操作���,則允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作和寫操作;若所述操作權(quán)限為只讀操作�����,則允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作�;若所述操作權(quán)限為禁止操作,則不允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行任何操作�����。進(jìn)一步地,為了提高操作的安全性���,若所述操作權(quán)限為讀寫操作�,當(dāng)監(jiān)測(cè)到在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行寫操作時(shí)����,將所述終端設(shè)備上的文件加密后寫入所述USB移動(dòng)存儲(chǔ)設(shè)備中;當(dāng)監(jiān)測(cè)到在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作時(shí)����,將所述USB移動(dòng)存儲(chǔ)設(shè)備中的文件解密后讀取到所述終端設(shè)備中。這樣����,對(duì)于必須從某個(gè)終端設(shè)備拷貝文件到指定的終端設(shè)備上,而又不希望該文件流通到其他位置的�����,本實(shí)施例通過加密存儲(chǔ)的方式�,使得只有特定的終端設(shè)備可以使用USB移動(dòng)存儲(chǔ)設(shè)備,而在這些USB移動(dòng)存儲(chǔ)設(shè)備上的文件寫入時(shí)均進(jìn)行了加密處理����,只有特定的終端設(shè)備才能解密該USB移動(dòng)存儲(chǔ)設(shè)備的內(nèi)容�����,讀取到正常的文件����。本實(shí)施例通過注冊(cè)服務(wù)器對(duì)USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限進(jìn)行統(tǒng)一注冊(cè)��,可以基于用戶信息�、終端設(shè)備、USB移動(dòng)存儲(chǔ)設(shè)備設(shè)置不同的操作權(quán)限����,控制用戶在終端設(shè)備上對(duì)USB移動(dòng)存儲(chǔ)設(shè)備的操作,解決現(xiàn)有技術(shù)中對(duì)移動(dòng)儲(chǔ)存設(shè)備的監(jiān)控存通用性較差的問題�,能夠?qū)崟r(shí)靈活的控制USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限,有效保證內(nèi)網(wǎng)終端設(shè)備上文件的安全性�。進(jìn)一步地,采用磁盤過濾驅(qū)動(dòng)和文件系統(tǒng)過濾驅(qū)動(dòng)結(jié)合的方式���,解決現(xiàn)有方案因?yàn)閃indows操作系統(tǒng)其監(jiān)控的層次較高,很容易被更加底層的讀寫技術(shù)繞過���,使監(jiān)控失效的問題�。圖3為本發(fā)明實(shí)施例三提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置的結(jié)構(gòu)示意圖;包括監(jiān)測(cè)模塊31��,用于在終端設(shè)備上監(jiān)測(cè)到通用串行總線USB移動(dòng)存儲(chǔ)設(shè)備時(shí)�,獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí);查詢模塊32���,用于根據(jù)所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)���,查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng);驗(yàn)證模塊33���,用于若本地訪問控制表中存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)����,則對(duì)用戶信息進(jìn)行驗(yàn)證��;確定模塊34��,用于若驗(yàn)證通過���,則根據(jù)所述訪問控制表項(xiàng)確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限�����;控制模塊35���,用于根據(jù)所述操作權(quán)限��,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作���。本實(shí)施例所示裝置可以執(zhí)行圖I所示方法實(shí)施例所述方法,其實(shí)現(xiàn)原理和技術(shù)效果不再贅述�����。圖4為本發(fā)明實(shí)施例四提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置的結(jié)構(gòu)示意圖�;在圖3所示實(shí)施例的裝置的基礎(chǔ)上的擴(kuò)展。所述裝置還包括發(fā)送模塊36,用于若本地訪問控制表中不存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)�����,則根據(jù)用戶指令向注冊(cè)服務(wù)器發(fā)送注冊(cè)信息��,所述注冊(cè)信息包括所述用戶信息����、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和所述終端設(shè)備標(biāo)識(shí);接收模塊37��,用于接收所述注冊(cè)服務(wù)器發(fā)送的加密后的所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)�,所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)包括所述用戶信息、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)�����、所述終端設(shè)備標(biāo)識(shí)和所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限��;儲(chǔ)存模塊38�����,用于將加密后的所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)存儲(chǔ)到本地訪問控制表中�����。對(duì)應(yīng)地�,查詢模塊32,還用于在查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)之前���,對(duì)本地訪問控制表中的訪問控制表項(xiàng)進(jìn)行解密����。舉例來(lái)說,本實(shí)施例的操作權(quán)限包括讀寫操作��、只讀操作���、禁止操作�����;對(duì)應(yīng)地�����,控制模塊35包括第一控制單元351�,用于若所述操作權(quán)限為讀寫操作����,則允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作和寫操作;第二控制單元352���,用于若所述操作權(quán)限為只讀操作���,則允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作;第三控制單元353�,用于若所述操作權(quán)限為禁止操作��,則不允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行任何操作���。舉例來(lái)說���,本實(shí)施例的讀寫操作還包括加密讀寫操作�����,對(duì)應(yīng)地�,第一控制單元351包括第一控制子單元��,用于當(dāng)監(jiān)測(cè)到在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行寫操作時(shí)���,將所述終端設(shè)備上的文件加密后寫入所述USB移動(dòng)存儲(chǔ)設(shè)備中���;第二控制子單元,用于當(dāng)監(jiān)測(cè)到在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作時(shí)�����,將所述USB移動(dòng)存儲(chǔ)設(shè)備中的文件解密后讀取到所述終端設(shè)備中���。本實(shí)施例所示裝置可以執(zhí)行圖2所示方法實(shí)施例所述方法�����,其實(shí)現(xiàn)原理和技術(shù)效果不再贅述���。本發(fā)明實(shí)施例五提供一種終端設(shè)備���,包括上述實(shí)施例三或?qū)嵤├乃龅腢SB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置,可以執(zhí)行圖I或圖2所示方法實(shí)施例的方法���,其實(shí)現(xiàn)原理和技術(shù)效果類似�����,此處不再贅述�����。圖5為本發(fā)明實(shí)施例六提供的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制系統(tǒng)的結(jié)構(gòu)示意圖���,包 括實(shí)施例五所述的終端設(shè)備51和注冊(cè)服務(wù)器52 ;注冊(cè)服務(wù)器52�����,用于接收所述終端設(shè)備中USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置發(fā)送的注冊(cè)信息,所述注冊(cè)信息包括用戶信息��、USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和終端設(shè)備標(biāo)識(shí)���;根據(jù)所述用戶信息�����、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和所述終端設(shè)備標(biāo)識(shí),分配所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限����;生成所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng),并進(jìn)行加密后返回給所述USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置�����。本實(shí)施例所示的系統(tǒng)可以具體用于執(zhí)行圖I或圖2所示方法實(shí)施例的方法�����,其實(shí)現(xiàn)原理和技術(shù)效果類似���,此處不再贅述�。最后應(yīng)說明的是以上實(shí)施例僅用以說明本發(fā)明的技術(shù)方案,而非對(duì)其限制����;盡管參照前述實(shí)施例對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解其依然可以對(duì)前述各實(shí)施例所記載的技術(shù)方案進(jìn)行修改�,或者對(duì)其中部分技術(shù)特征進(jìn)行等同替換;而這些修改或者替換����,并不使相應(yīng)技術(shù)方案的本質(zhì)脫離本發(fā)明各實(shí)施例技術(shù)方案的范圍。
權(quán)利要求
1.一種USB移動(dòng)存儲(chǔ)設(shè)備訪問控制方法����,其特征在于,包括 在終端設(shè)備上監(jiān)測(cè)到通用串行總線USB移動(dòng)存儲(chǔ)設(shè)備時(shí)�����,獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí); 根據(jù)所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí),查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)�����,若存在,則對(duì)用戶信息進(jìn)行驗(yàn)證���; 若驗(yàn)證通過�����,則根據(jù)所述 訪問控制表項(xiàng)確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限���; 根據(jù)所述操作權(quán)限���,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作�����。
2.根據(jù)權(quán)利要求I所述的方法����,其特征在于,所述查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)之后還包括 若本地訪問控制表中不存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)��,則根據(jù)用戶指令向注冊(cè)服務(wù)器發(fā)送注冊(cè)信息���,所述注冊(cè)信息包括所述用戶信息���、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和所述終端設(shè)備標(biāo)識(shí); 接收所述注冊(cè)服務(wù)器發(fā)送的加密后的所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)�,所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)包括所述用戶信息、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)���、所述終端設(shè)備標(biāo)識(shí)和所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限��; 將加密后的所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)存儲(chǔ)到本地訪問控制表中��。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于����,所述查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)之前還包括 對(duì)本地訪問控制表中的訪問控制表項(xiàng)進(jìn)行解密��。
4.根據(jù)權(quán)利要求1-3中任一項(xiàng)所述的方法�,其特征在于,所述操作權(quán)限包括讀寫操作����、只讀操作、禁止操作��; 根據(jù)所述操作權(quán)限����,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作具體包括 若所述操作權(quán)限為讀寫操作�,則允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作和寫操作; 若所述操作權(quán)限為只讀操作���,則允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作��; 若所述操作權(quán)限為禁止操作����,則不允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行任何操作。
5.根據(jù)權(quán)利要求4所述的方法����,其特征在于,若所述操作權(quán)限為讀寫操作���,還包括 當(dāng)監(jiān)測(cè)到在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行寫操作時(shí)��,將所述終端設(shè)備上的文件加密后寫入所述USB移動(dòng)存儲(chǔ)設(shè)備中�; 當(dāng)監(jiān)測(cè)到在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作時(shí)����,將所述USB移動(dòng)存儲(chǔ)設(shè)備中的文件解密后讀取到所述終端設(shè)備中。
6.根據(jù)權(quán)利要求2或3所述的方法��,其特征在于�����,所述根據(jù)用戶指令向注冊(cè)服務(wù)器發(fā)送注冊(cè)信息之后還包括所述注冊(cè)服務(wù)器接收所述注冊(cè)信息; 根據(jù)所述用戶信息�����、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和所述終端設(shè)備標(biāo)識(shí)����,分配所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限���; 生成所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)訪問控制表項(xiàng)�����,并進(jìn)行加密后返回。
7.—種USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置����,其特征在于����,包括 監(jiān)測(cè)模塊,用于在終端設(shè)備上監(jiān)測(cè)到通用串行總線USB移動(dòng)存儲(chǔ)設(shè)備時(shí)����,獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)���; 查詢模塊���,用于根據(jù)所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)�,查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng); 驗(yàn)證模塊��,用于若本地訪問控制表中存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)��,則對(duì)用戶信息進(jìn)行驗(yàn)證; 確定模塊��,用于若驗(yàn)證通過����,則根據(jù)所述訪問控制表項(xiàng)確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限; 控制模塊����,用于根據(jù)所述操作權(quán)限,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作��。
8.根據(jù)權(quán)利要求7所述的裝置,其特征在于�����,所述裝置還包括 發(fā)送模塊���,用于若本地訪問控制表中不存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)���,則根據(jù)用戶指令向注冊(cè)服務(wù)器發(fā)送注冊(cè)信息�,所述注冊(cè)信息包括所述用戶信息��、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和所述終端設(shè)備標(biāo)識(shí)��; 接收模塊�,用于接收所述注冊(cè)服務(wù)器發(fā)送的加密后的所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng),所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)包括所述用戶信息��、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)����、所述終端設(shè)備標(biāo)識(shí)和所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限; 儲(chǔ)存模塊���,用于將加密后的所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)存儲(chǔ)到本地訪問控制表中��。
9.根據(jù)權(quán)利要求8所述的裝置����,其特征在于��,所述查詢模塊還用于,在查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)之前,對(duì)本地訪問控制表中的訪問控制表項(xiàng)進(jìn)行解密。
10.根據(jù)權(quán)利要求7-9中任一項(xiàng)所述的裝置���,其特征在于����,所述操作權(quán)限包括讀寫操作、只讀操作����、禁止操作; 所述控制模塊包括 第一控制單元���,用于若所述操作權(quán)限為讀寫操作���,則允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作和寫操作; 第二控制單元�,用于若所述操作權(quán)限為只讀操作�����,則允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作�����; 第三控制單元����,用于若所述操作權(quán)限為禁止操作��,則不允許在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行任何操作��。
11.根據(jù)權(quán)利要求10所述的裝置����,其特征在于�����,所述第一控制單元包括 第一控制子單元����,用于當(dāng)監(jiān)測(cè)到在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行寫操作時(shí)��,將所述終端設(shè)備上的文件加密后寫入所述USB移動(dòng)存儲(chǔ)設(shè)備中����; 第二控制子單元����,用于當(dāng)監(jiān)測(cè)到在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備進(jìn)行讀操作時(shí),將所述USB移動(dòng)存儲(chǔ)設(shè)備中的文件解密后讀取到所述終端設(shè)備中�����。
12.—種終端設(shè)備�����,其特征在于�����,包括如權(quán)利要求7-11中任一項(xiàng)所述的USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置�。
13.—種USB移動(dòng)存儲(chǔ)設(shè)備訪問控制系統(tǒng),其特征在于�,包括如權(quán)利要求12所述的終端設(shè)備和注冊(cè)服務(wù)器���; 所述注冊(cè)服務(wù)器,用于接收所述終端設(shè)備中USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置發(fā)送的注冊(cè)信息�,所述注冊(cè)信息包括用戶信息、USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和終端設(shè)備標(biāo)識(shí)����;根據(jù)所述用戶信息、所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)和所述終端設(shè)備標(biāo)識(shí)�,分配所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限;生成所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)���,并進(jìn)行加密后返回給所述USB移動(dòng)存儲(chǔ)設(shè)備訪問控制裝置�����。
全文摘要
本發(fā)明實(shí)施例公開了一種USB移動(dòng)存儲(chǔ)設(shè)備訪問控制方法、裝置及系統(tǒng)��,其中��,該方法包括在終端設(shè)備上監(jiān)測(cè)到USB移動(dòng)存儲(chǔ)設(shè)備時(shí)��,獲取所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)����;根據(jù)所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)�����,查詢本地訪問控制表中是否存在所述USB移動(dòng)存儲(chǔ)設(shè)備標(biāo)識(shí)對(duì)應(yīng)的訪問控制表項(xiàng)�,若存在�,則對(duì)用戶信息進(jìn)行驗(yàn)證;若驗(yàn)證通過���,則根據(jù)所述訪問控制表項(xiàng)確定所述用戶信息對(duì)應(yīng)的在所述終端設(shè)備上使用所述USB移動(dòng)存儲(chǔ)設(shè)備的操作權(quán)限��;根據(jù)所述操作權(quán)限���,控制在所述終端設(shè)備上對(duì)所述USB移動(dòng)存儲(chǔ)設(shè)備的操作。因此����,本發(fā)明實(shí)施例能解決現(xiàn)有技術(shù)中對(duì)移動(dòng)儲(chǔ)存設(shè)備的監(jiān)控存在通用性較差的問題。
文檔編號(hào)G06F12/14GK102622311SQ201110451568
公開日2012年8月1日 申請(qǐng)日期2011年12月29日 優(yōu)先權(quán)日2011年12月29日
發(fā)明者于洋, 劉洋 申請(qǐng)人:北京神州綠盟信息安全科技股份有限公司