[发明专利]USB设备安全接入监控方法

说明书

技术领域

本发明属于可移动磁盘接入技术领域，具体涉及一种USB设备安全接入监控方法。

背景技术

在企事业单位办公电脑中，经常存储有一些涉及本单位机密的信息和数据，因此对这些信息和数据的保护非常重要，一是要防止外泄露，二是要防止被病毒感染。

实现上述目标的一种方法为：对接入电脑的U盘或移动硬盘等可移动磁盘进行监控，切断非法或染毒的可移动磁盘接入电脑，从而有效降低重要机密文件的泄露和遗失。

现有技术中，对可移动磁盘接入监控方法是：在指定电脑上，使用专用的可移动磁盘注册软件，将可移动磁盘重新初始化为至少两个分区，其中一个为容量较小的自定义格式分区，用于保存验证信息；其他均为正常分区，用于验证通过后的正常使用。当可移动磁盘接入电脑后，电脑会读取可移动磁盘中自定义分区的验证信息。如果验证成功，可移动磁盘就可以正常的使用；如果验证失败，就禁止可移动磁盘对电脑的访问。

上述方法存在的主要缺陷为：①在使用过程中，由于自定义格式的分区不是很稳定，容易造成分区损坏，以及验证信息的丢失，导致可移动磁盘无法使用。②所有的操作都是在应用层，容易被破解。③初始时，需要对可移动磁盘进行初始化，不能保留原有的数据，从而不方便用户使用。

发明内容

针对现有技术存在的缺陷，本发明提供一种USB设备安全接入监控方法，可有效解决上述问题。

本发明采用的技术方案如下：

本发明提供一种USB设备安全接入监控方法，包括以下步骤：

步骤S1，构造USB设备安全接入监控架构，所述USB设备安全接入监控架构包括客户端和服务端；对于所述客户端，在其PCI层和USB驱动层之间新配置有USB设备监控单元；其中，所述USB设备监控单元包括USB过滤模块、I/O控制模块和缓存；所述I/O控制模块用于实现所述USB设备监控单元与服务端管理平台的通信；

所述客户端还配置有USB设备注册单元；所述服务端配置有服务端管理平台和数据库；所述数据库存储并实时维护USB设备ID注册表和USB设备阻止类型注册表；其中，所述USB设备ID注册表用于存储已注册的USB设备ID；所述USB设备阻止类型注册表用于存储需要被拦截的USB设备类型；

步骤S2，当在客户端的用户层调用设备控制函数与USB驱动层进行通信时，立即启动所述I/O控制模块；所述I/O控制模块被启动后，立即向设备控制类派遣函数发送触发命令；所述设备控制类派遣函数判断所述触发命令是否正确，如果不正确，则设置返回值为假，并将所述返回值返回给所述I/O控制模块；如果正确，所述设备控制类派遣函数与所述服务端管理平台建立通信，接收来自于所述服务端管理平台的USB设备ID注册表、USB设备阻止类型注册表以及USB过滤模块是否启用的指令；

然后，所述设备控制类派遣函数将所述USB设备ID注册表和所述USB设备阻止类型注册表存储到所述缓存中；另外，如果为USB过滤模块禁用的指令，则所述设备控制类派遣函数取消BLOCK标志位；如果为USB过滤模块启用的指令，则设置BLOCK标志位；然后，所述设备控制类派遣函数设置返回值为真，并将所述返回值返回给所述I/O控制模块；

步骤S3，当客户端的USB插口被插入USB设备时，所述总线检测到USB插口被插入USB设备，然后，所述总线触发即插即用请求类派遣函数；

所述即插即用请求类派遣函数判断是否存在BLOCK标志位，如果不存在BLOCK标志位，执行S4；如果存在BLOCK标志位，执行S5；

步骤S4，所述即插即用请求类派遣函数禁用所述USB过滤模块；当USB设备插入USB插口，总线层将所述USB设备接入请求消息通过PCI层上传到USB驱动层；然后，返回S3，如此不断对插入的各个USB设备进行驱动接入；

步骤S5，包括：

步骤S5.1，所述即插即用请求类派遣函数启用所述USB过滤模块；

步骤S5.2，当总线层检测到USB设备接入请求消息时，所述总线层将所述USB设备接入请求消息通过PCI层上传到USB过滤模块；