劉建東

文章編號(hào)：2095-6835（2017）04-0052-02

摘 要：在移動(dòng)存儲(chǔ)設(shè)備廣泛使用的同時(shí)，存在著極大的安全隱患，一些敏感的絕密數(shù)據(jù)信息面臨著被泄露的風(fēng)險(xiǎn)。從移動(dòng)存儲(chǔ)設(shè)備安全監(jiān)控與管理的相關(guān)功能模塊設(shè)計(jì)、移動(dòng)存儲(chǔ)設(shè)備文件過(guò)濾加密模塊和移動(dòng)存儲(chǔ)設(shè)備的身份認(rèn)證模塊3個(gè)方面研究，探討了移動(dòng)存儲(chǔ)設(shè)備的安全監(jiān)控和管理。

關(guān)鍵詞：移動(dòng)存儲(chǔ)設(shè)備；安全監(jiān)控；功能模塊；加密模塊

中圖分類號(hào)：TP309 文獻(xiàn)標(biāo)識(shí)碼：A DOI：10.15913/j.cnki.kjycx.2017.04.052

隨著科學(xué)技術(shù)的不斷發(fā)展，在信息時(shí)代，出現(xiàn)了很多以前未曾出現(xiàn)的問(wèn)題，無(wú)法有效保障移動(dòng)存儲(chǔ)設(shè)備的使用安全。為了解決這一問(wèn)題，社會(huì)各界積極探索，努力找到安全、可靠、切實(shí)可行的方法。

1 相關(guān)功能模塊設(shè)計(jì)

目前，USB接口是計(jì)算機(jī)配備的標(biāo)準(zhǔn)接口。因此當(dāng)前的主流移動(dòng)存儲(chǔ)設(shè)備也大多使用USB接口作為設(shè)備連接口。當(dāng)用戶將移動(dòng)存儲(chǔ)設(shè)備與計(jì)算機(jī)相連時(shí)，計(jì)算機(jī)可以自動(dòng)安裝、識(shí)別移動(dòng)存儲(chǔ)設(shè)備相應(yīng)的系統(tǒng)，實(shí)現(xiàn)即連即用的效果，不需要重新啟動(dòng)計(jì)算機(jī)，也不需要用戶手動(dòng)操作，不牽扯IRQ沖突等問(wèn)題。

采用USB接口這一連接技術(shù)極大地簡(jiǎn)化了計(jì)算機(jī)與移動(dòng)存儲(chǔ)設(shè)備之間的信息互通交流過(guò)程，因此，這一技術(shù)被廣泛運(yùn)用，被越來(lái)越多的廠商采用。目前，利用USB接口技術(shù)可以快速傳輸數(shù)據(jù)信息，而且數(shù)據(jù)轉(zhuǎn)存的過(guò)程也變得更簡(jiǎn)潔。但是，在USB接口技術(shù)為人們帶來(lái)諸多便利的同時(shí)，也存在著很大的安全隱患。所以，加強(qiáng)USB接口的安全控制和管理，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備安全性的把控是十分重要的。

在實(shí)際操作中，主要通過(guò)以下幾種方式進(jìn)行USB接口上的安全監(jiān)控和管理：①直接用物理方法禁止USB接口。對(duì)于用PIC卡等附加的USB接口，可以直接手動(dòng)拔出，而其他類型的USB接口，可以采用封堵的方式關(guān)閉。這種方法是最安全的，從物理層面上徹底消除了USB接口所帶來(lái)的各種潛在威脅。但是，這種做法相對(duì)來(lái)說(shuō)比較極端，USB接口被毀壞后無(wú)法再次使用。②在BIOS中阻斷USB接口的使用，即在主板BIOS中關(guān)閉內(nèi)置USB接口選項(xiàng)。這種方法能把所有的USB接口都關(guān)閉，但是，這種“一刀切”的做法會(huì)使所有的USB設(shè)備，例如USB鼠標(biāo)，都無(wú)法正常使用。③在訪問(wèn)控制機(jī)制下控制USB接口。這是通過(guò)“啟用”“禁用”計(jì)算機(jī)上的USB接口、1394接口等外設(shè)接口，達(dá)到阻斷用戶使用移動(dòng)存儲(chǔ)設(shè)備等相應(yīng)硬件設(shè)備的目的。④利用全盤(pán)文件加密間接控制USB接口的數(shù)據(jù)傳輸。這種控制方式比前幾種方式更呆板，對(duì)本地硬盤(pán)和移動(dòng)存儲(chǔ)設(shè)備采取統(tǒng)一的管理方法。此外，全盤(pán)文件加密也會(huì)阻礙系統(tǒng)正常性能的發(fā)揮。

綜合上述幾種方案，在現(xiàn)有的USB接口技術(shù)中，關(guān)于移動(dòng)存儲(chǔ)設(shè)備的安全監(jiān)控與管理的措施都存在一定程度的缺陷，無(wú)法在有效監(jiān)控和管理移動(dòng)存儲(chǔ)設(shè)備的同時(shí)保證其使用的便捷性和靈活性。

2 文件過(guò)濾加密模塊

驅(qū)動(dòng)程序是連接操作系統(tǒng)與系統(tǒng)硬件之間的重要紐帶。要對(duì)移動(dòng)存儲(chǔ)設(shè)備進(jìn)行安全監(jiān)控和管理，有效保護(hù)USB接口數(shù)據(jù)的安全，需要移動(dòng)存儲(chǔ)設(shè)備在讀取接口數(shù)據(jù)的過(guò)程中融合數(shù)據(jù)信息的加密解密工作，加密保護(hù)所有通過(guò)USB接口向外部傳輸?shù)臄?shù)據(jù)，對(duì)經(jīng)由USB接口輸入進(jìn)受控主機(jī)的數(shù)據(jù)信息均采取解密處理措施。在此過(guò)程中，加密和解密是隱藏進(jìn)行的，用戶不需要輸入密碼也可以操作文件。

本文主要研究的是移動(dòng)存儲(chǔ)設(shè)備中文件的過(guò)濾加密。所謂“過(guò)濾驅(qū)動(dòng)”，是指驅(qū)動(dòng)層中的一種類型，它是一種特殊的核心模式驅(qū)動(dòng)。過(guò)濾驅(qū)動(dòng)與其他驅(qū)動(dòng)相比，處于較為上層的位置，凌駕于其他驅(qū)動(dòng)之上，有權(quán)限攔截底層驅(qū)動(dòng)設(shè)備對(duì)象的請(qǐng)求。文件過(guò)濾驅(qū)動(dòng)的主要功能是增加文件系統(tǒng)的功能，修改文件系統(tǒng)驅(qū)動(dòng)。文件系統(tǒng)過(guò)濾驅(qū)動(dòng)是Windows NT系統(tǒng)的重要組成部分，它可以記錄、監(jiān)控、管理文件系統(tǒng)或者文件系統(tǒng)卷的工作過(guò)程，具體的運(yùn)作過(guò)程由驅(qū)動(dòng)的類型決定。在操作過(guò)程中，經(jīng)常使用的文件系統(tǒng)過(guò)濾驅(qū)動(dòng)涵蓋了防病毒軟件、加密程序和分級(jí)存儲(chǔ)管理系統(tǒng)等多種實(shí)際應(yīng)用類型。要想實(shí)現(xiàn)USB接口對(duì)移動(dòng)存儲(chǔ)設(shè)備在使用過(guò)程中的安全監(jiān)控和管理，主要依靠的是文件加密存儲(chǔ)功能。在實(shí)際運(yùn)行過(guò)程中，過(guò)濾驅(qū)動(dòng)程序會(huì)攔截用戶對(duì)移動(dòng)存儲(chǔ)設(shè)備的請(qǐng)求，保證數(shù)據(jù)加密存儲(chǔ)，并對(duì)用戶的請(qǐng)求進(jìn)行數(shù)據(jù)解密，最終達(dá)到保護(hù)主機(jī)數(shù)據(jù)的目的。

3 身份認(rèn)證模塊

移動(dòng)存儲(chǔ)設(shè)備的身份認(rèn)證模塊主要是為了攔截主機(jī)內(nèi)部人員肆意使用未經(jīng)準(zhǔn)許的存儲(chǔ)設(shè)備，防范未經(jīng)準(zhǔn)許的存儲(chǔ)設(shè)備向主機(jī)輸入病毒，泄露內(nèi)部信息等的安全問(wèn)題的發(fā)生。

移動(dòng)存儲(chǔ)設(shè)備的身份認(rèn)證主要功能包括：身份注冊(cè)功能、身份認(rèn)證功能、接入監(jiān)控功能和認(rèn)證處理功能等。在這些功能中，接入監(jiān)控功能和認(rèn)證處理功能相對(duì)來(lái)說(shuō)更為重要。

用戶將移動(dòng)存儲(chǔ)設(shè)備連接到主機(jī)系統(tǒng)時(shí)，操作系統(tǒng)會(huì)廣播設(shè)備改變消息WM DEVICECHANGE。全部應(yīng)用程序在接到WM DEVICECHANGE消息時(shí)，會(huì)相應(yīng)加載處理函數(shù)OnDeviceChange。這一函數(shù)捕獲WM DEVICECHANGE事件后，事件會(huì)被涵蓋在消息wParam中，獲得DEV BROADCEAST VOLUME結(jié)構(gòu)數(shù)據(jù)。該數(shù)據(jù)中的各成員與變量之間依次對(duì)應(yīng)，據(jù)此可以獲得現(xiàn)有移動(dòng)存儲(chǔ)設(shè)備的盤(pán)符。

接收消息后將開(kāi)始逐一列舉主機(jī)中的全部移動(dòng)設(shè)備，取得設(shè)備類型。如果是存儲(chǔ)設(shè)備，則需依據(jù)盤(pán)符判斷該設(shè)備是否需

要驗(yàn)證；如果是待驗(yàn)證，則獲取設(shè)備的描述符和字符串描述符進(jìn)行身份驗(yàn)證；如果能通過(guò)驗(yàn)證，則可以正常操作；如果無(wú)法通過(guò)驗(yàn)證，該移動(dòng)存儲(chǔ)設(shè)備將會(huì)被強(qiáng)制卸載，無(wú)法使用，以確保主機(jī)的安全，實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)設(shè)備的安全監(jiān)控和管理。

4 結(jié)束語(yǔ)

本文主要探討了移動(dòng)存儲(chǔ)設(shè)備安全監(jiān)控和管理的相關(guān)功能模塊設(shè)計(jì)、移動(dòng)存儲(chǔ)設(shè)備文件過(guò)濾加密模塊和移動(dòng)存儲(chǔ)設(shè)備的身份認(rèn)證模塊3個(gè)方面的內(nèi)容。但是，數(shù)據(jù)信息安全性的保護(hù)

不能只依靠技術(shù)層面的措施，還要充分落實(shí)各種安全保密制度，

通過(guò)法律法規(guī)來(lái)保護(hù)自主知識(shí)產(chǎn)權(quán)，從根本上杜絕信息被泄露

的情況發(fā)生。

參考文獻(xiàn)

[1]彭望龍.基于J2EE的移動(dòng)存儲(chǔ)設(shè)備電子文件安全管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D].南京：南京理工大學(xué)，2012.

[2]侯興超.基于移動(dòng)存儲(chǔ)設(shè)備管理的主機(jī)防信息泄漏系統(tǒng)研究與設(shè)計(jì)[D].鄭州：解放軍信息工程大學(xué)，2007.

[3]曹成龍.基于文件過(guò)濾驅(qū)動(dòng)的移動(dòng)存儲(chǔ)控制系統(tǒng)的研究與實(shí)現(xiàn)[D].南京：南京信息工程大學(xué)，2011.

〔編輯：白潔〕