Io設備可信管控方法及其系統的製作方法
2023-06-10 08:29:06
專利名稱:Io設備可信管控方法及其系統的製作方法
技術領域:
本發明涉及設備可信控制技術領域,特別是涉及IO設備可信管控方法及其系統。
背景技術:
usb是一個外部總線標準,用於規範電腦與外部設備的連接和通訊,是應用在PC領域的接口技術。USb接口支持設備的即插即用和熱插拔功能。隨著計算機軟硬體的高速發展,USb接口上述優點使得USb總線類的移動USb設備應用得越來越廣泛。如今,出現在市面上的幾乎所有的行動裝置都是usb插口,比如我們隨身攜帶的u盤,移動光碟機,印表機等等,所以對USb設備的信任問題是越來越嚴重,尤其是我們的U盤,每個人都可以隨意地在任意的IO設備上進行插拔操作,這對我們的移動U盤和IO設備來說,都是很危險的。在一般的技術中,解決的大多都是usb設備的安全問題,檢查usb設備是否存在未知的病毒和木馬,文件是否被感染的問題,人們從來不去關心該設備是否是自己信任的設備,這樣在無法從根本上確保IO設備和USB設備的安全。
發明內容
基於此,有必要針對一般的設備安全管理方法無法確定設備是否是自己信任的設備,而無法從根本上確保設備安全的問題,提供一種IO設備可信管控方法及其系統,確保設備的安全管理與數據的安全傳輸。一種IO設備可信管控方法,包括步驟:檢測IO埠,當所述IO埠開啟時,允許接入USB設備;判斷所述USB設備是否為註冊設備,若為註冊設備則識別所述USB設備,若為未註冊設備則禁止所述USB設備操作;根據所述IO設備的當前作業系統環境,將識別的所述USB設備加密;解密已加密的所述USB設備獲得可信U盤。在其中一個實施例中,所述檢測IO埠,當所述IO埠開啟時,允許接入USB設備具體為:檢測所述IO埠,當所述IO埠中驅動器的驅動程序加載完成時,開啟所述IO埠,允許接入所述USB設備。在其中一個實施例中,所述判斷所述USB設備是否為註冊設備,若為註冊設備則識別所述USB設備,若為未註冊設備則禁止所述USB設備操作包括步驟:判斷所述USB設備是否為註冊設備,若為註冊設備則啟動所述USB設備,若為未註冊設備則在線註冊所述USB設備,且禁止所述USB設備操作;判斷在線註冊所述USB設備是否註冊成功,若在線註冊成功則啟動所述USB設備,並將所述USB設備的註冊信息寫入所述IO設備的白名單中,若在線註冊失敗則禁止所述USB設備操作。在其中一個實施例中,所述在線註冊所述USB設備之前還有步驟:
檢測所述USB設備是否接受在線註冊,當所述USB設備不接受在線註冊時,禁止所述USB設備啟動並退出操作。在其中一個實施例中,所述判斷所述USB設備是否為註冊設備,若為註冊設備則啟動所述USB設備,若為未註冊設備則禁止所述USB設備操作具體包括步驟:監控所述IO設備內核進程響應;當監控到有所述USB設備插入的事件發生時,響應事件,並將事件信息發送到用戶空間進行處理;獲取所述事件信息,禁止所述USB設備操作;根據所述事件信息,檢查所述IO設備的白名單中是否有所述USB設備的註冊信息,若有則啟動所述USB設備,若無則禁止所述USB設備操作。6、根據權利要求1或2所述的IO設備可信管控方法,其特徵在於,所述解密已加密的所述USB設備得到可信U盤具體包括步驟:判斷所述IO設備是否具有TCM晶片,若具有則判斷所述TCM晶片能否正常啟動,若所述IO設備具有所述TCM晶片且所述TCM晶片能夠正常啟動則繼續如下操作,否則不解密且退出操作;檢查所述IO設備的內核中的算法,如果所述IO設備的內核中存有加密所述USB設備的算法,則繼續進行如下操作,否則不解密且退出操作;檢查當前作業系統,如果當前作業系統是加密所述USB設備的作業系統,則繼續進行如下操作,否則不解密且退出操作;獲取所述TCM晶片中的密鑰,判斷所述密鑰是否正確,若正確則解密所述已加密的所述USB設備,獲得所述可信U盤,若不正確則不解密且退出操作。一種IO設備可信管控系統,包括:IO埠檢測模塊,用於檢測IO埠,當所述IO埠開啟時,允許接入USB設備;USB設備註冊判斷模塊,用於判斷所述USB設備是否為註冊設備,若為註冊設備則識別所述USB設備,若為未註冊設備則禁止所述USB設備操作;加密模塊,用於根據所述IO設備的當前作業系統環境,將識別的所述USB設備加密;解密模塊,用於解密已加密的所述USB設備獲得可信U盤。在其中一個實施例中,所USB設備註冊判斷具體包括:註冊判斷單元,用於判斷所述USB設備是否為註冊設備,若為註冊設備則啟動所述USB設備,若為未註冊設備則在線註冊所述USB設備,且禁止所述USB設備操作;註冊成功判斷單元,用於判斷在線註冊所述USB設備是否註冊成功,若在線註冊成功則啟動所述USB設備,並將所述USB設備的註冊信息寫入所述IO設備的白名單中,若在線註冊失敗則禁止所述USB設備操作。在其中一個實施例中,所述註冊判斷單元包括:在線註冊確認單元,用於檢測所述USB設備是否接受在線註冊,當所述USB設備不接受在線註冊時,禁止所述USB設備啟動並退出操作。在其中一個實施例中,所述USB設備註冊判斷模塊具體包括:進程監控單元,用於監控所述IO設備內核進程響應;
響應單元,用於當監控到有所述USB設備插入的事件發生時,響應事件,並將事件信息發送到用戶空間進行處理;信息獲取單元,用於獲取所述事件信息,禁止所述USB設備操作;檢查單元,用於根據所述事件信息,檢查所述IO設備的白名單中是否有所述USB設備的註冊信息,若有則啟動所述USB設備,若無則禁止所述USB設備操作。在其中一個實施例中,所述解密模塊具體包括:IO設備檢測單元,用於判斷所述IO設備是否具有TCM晶片,若具有則判斷所述TCM晶片能否正常啟動,若所述IO設備具有所述TCM晶片且所述TCM晶片能夠正常啟動則繼續如下操作,否則不解密且退出操作;算法檢測單元,用於檢查所述IO設備的內核中的算法,如果所述IO設備的內核中存有加密所述USB設備的算法,則繼續進行如下操作,否則不解密且退出操作;作業系統檢測單元,用於檢查當前作業系統,如果當前作業系統是加密所述USB設備的作業系統,則繼續進行如下操作,否則不解密且退出操作;密鑰獲取單元,用於獲取所述TCM晶片中的密鑰,判斷所述密鑰是否正確,若正確則解密所述已加密的所述USB設備,獲得所述可信U盤,若不正確則不解密且退出操作。本發明IO設備可信管控方法,首先判斷IO埠是否開啟,只有當IO埠開啟時,IO設備才允許USB設備接入,之後IO設備判斷接入的USB設備是否為註冊設備,如果接入的USB設備已經在IO設備中註冊就啟動並識別該USB設備,如果接入的USB設備未在IO設備中註冊就禁止該USB設備,USB設備啟動之後IO設備會根據當前作業系統環境將USB設備加密,通俗來說就是將USB設備按照IO設備的內核設定「格式化」,消除可能存儲在USB設備中的病毒、木馬等,最後IO設備根據內核加密USB設備時的數據解密獲得可信U盤,可信U盤與IO設備進行數據交互,確保IO設備和USB設備的安全管理與數據的安全傳輸。
圖1為本發明IO設備可信管控方法其中一個實施例的流程示意圖;圖2為本發明IO設備可信管控方法其中一個實施例的流程示意圖;圖3為本發明IO設備可信管控方法其中一個實施例的流程示意圖;圖4為本發明IO設備可信管控方法其中一個實施例中解密已加密的所述USB設備獲得可信U盤的流程示意圖;圖5為本發明IO設備可信管控系統其中一個實施例的結構示意圖;圖6為本發明IO設備可信管控系統其中一個實施例的結構示意圖;圖7為本發明IO設備可信管控系統其中一個實施例的結構示意圖;圖8為本發明IO設備可信管控系統其中一個實施例中解密模塊的結構示意圖。
具體實施例方式如圖1所示,一種IO設備可信管控方法,包括步驟:SlOO:檢測IO埠,當所述IO埠開啟時,允許接入USB設備。對於IO埠的控制,可以解決對IO設備的保護,管理員有權對IO設備上的埠進行開啟與禁止操作,防止任意的行動裝置在IO設備上進行插拔。當IO埠關閉時IO設備禁止USB設備操作,當IO埠開啟時,IO設備才會允許USB設備繼續操作。具體來說,當IO埠驅動器驅動和PCI總線驅動分離時,IO埠關閉,當IO埠驅動器驅動和PCI總線驅動綁定時,IO埠開啟。S200:判斷所述USB設備是否為註冊設備,若為註冊設備則識別所述USB設備,若為未註冊設備則禁止所述USB設備操作。判斷接入的USB設備是否是在IO設備上已註冊的設備,只有在本機上註冊過的設備才能在本機上被識別,沒有被註冊的設備將禁止被IO設備識別到。如果接入的USB設備為未註冊設備IO設備將禁止其操作,如果接入USB設備為註冊設備IO設備將會識別該設備,並繼續進行操作。S300:根據所述IO設備的當前作業系統環境,將識別的所述USB設備加密。S400:解密已加密的所述USB設備獲得可信U盤。可信u盤是一種被加密過的u盤硬體,只有支持能被加密的u盤硬體才能通過軟體進行製作可信U盤,不支持被加密的U盤硬體不能通過軟體進行加密。通過向可信U盤裡寫入的所有文件,都將自動被加密成密文,在沒有解密前,即使他人通過暴力的手段能獲取到可信U盤裡面的文件,由於是通過一些複雜的算法加密的,所以也很難將文件恢復成明文。只有通過制定的作業系統,以及可信的計算機,才能解密可信U盤。製作可信U盤的設計思路是:dm-crypt內核模塊利用內核的密碼應用編程接口實現了透明的加密,由於dm-crypt系統有著無可比擬的優越性,它的速度更快,易用性更強,適用面廣等特點,所以選擇它通過內核來加密當之無愧。解密u盤的設計思路是:是通過dm-crypt在內核中來實現的,它首先檢測該IO設備是否是有tcm晶片的可彳目計算,只有是可彳目計算機才能解密可"[目u盤,然後檢測是否是製作可信u盤時的作業系統,只有指定了的作業系統才能解密開可信u盤,然後檢測該設備的加密算法在內核中是否存在,算法模塊存在則將解密該可信U盤成功,但是此時的解密並非是解密真正的物理usb設備,而是Iinux內核2.6版本以上所支持的device-mapper這個特性,在實際的物理usb設備上添加虛擬層提供的一種通用靈活的方法,實現鏡像,加密,解密等處理的,優點是解密了的usb設備。本發明IO設備可信管控方法,首先判斷IO埠是否開啟,只有當IO埠開啟時,
IO設備才允許USB設備接入,之後IO設備判斷接入的USB設備是否為註冊設備,如果接入的USB設備已經在IO設備中註冊就啟動並識別該USB設備,如果接入的USB設備未在IO設備中註冊就禁止該USB設備,USB設備啟動之後IO設備會根據當前作業系統環境將USB設備加密,通俗來說就是將USB設備按照IO設備的內核設定「格式化」,消除可能存儲在USB設備中的病毒、木馬等,最後IO設備根據內核加密USB設備時的數據解密獲得可信U盤,可信U盤與IO設備進行數據交互,確保IO設備和USB設備的安全管理與數據的安全傳輸。在其中一個實施例中,所述檢測IO埠,當所述IO埠開啟時,允許接入USB設備具體為:檢測所述IO埠,當所述IO埠中驅動器的驅動程序加載完成時,開啟所述IO埠,允許接入所述USB設備。在現有的技術中,通過物理的方法來控制IO埠的關閉與禁止是可行的,例如在BIOS中進行設置。在本實施例中通過軟體的方法更方便更快捷達到對IO埠控制的目的,具體來是說就是通過所述IO埠中驅動器的驅動程序加載與刪除來分別實現,當驅動器的驅動程序刪除時來讓IO埠禁止,當驅動器驅動程序加載時讓IO埠開啟。如圖2所示,所述步驟S200包括步驟:S220:判斷所述USB設備是否為註冊設備,若為註冊設備則啟動所述USB設備,若為未註冊設備則在線註冊所述USB設備,且禁止所述USB設備操作。判斷接入的USB設備是否是在IO設備上已註冊的設備,只有在本機上註冊過的設備才能在本機上被識別,沒有被註冊的設備將禁止被IO設備識別到。如果接入的USB設備為未註冊設備IO設備將禁止其操作,如果接入USB設備為註冊設備IO設備將會識別該設備,並繼續進行操作。S240:判斷在線註冊所述USB設備是否註冊成功,若在線註冊成功則啟動所述USB設備,並將所述USB設備的註冊信息寫入所述IO設備的白名單中,若在線註冊失敗則禁止所述USB設備操作。如果接入的設備是未註冊的USB設備,IO設備在禁止其操作後,還會對其進行在線註冊,提供機會讓接入的USB設備註冊,如果接入的USB設備註冊成功IO設備將會把該USB設備的註冊信息寫入到IO設備的白名單中,把該USB設備當成註冊設備識別,如果在線註冊未成功IO設備將會禁止接入的USB設備操作,並退出整個操作。在本實施例中,IO設備為新接入的USB設備提供一個在線註冊的機會,方便是IO設備管理人員需求的USB設備在線註冊到IO設備中,有利於本發明IO設備可信管控方法的靈活應用。在其中一個實施例中,所述在線註冊所述USB設備之前還有步驟:檢測所述USB設備是否接受在線註冊,當所述USB設備不接受在線註冊時,禁止所述USB設備啟動並退出操作。如圖3所示,在其中一個實施例中,所述步驟S200具體包括步驟:S320:監控所述IO設備內核進程響應,實時對IO設備內核中的相應進行監控。S340:當監控到有所述USB設備插入的事件發生時,響應事件,並將事件信息發送到用戶空間進行處理。當有監控到有USB設備插入時,如遇到滑鼠,u盤等usb設備時,將獲取一個響應事件,獲取了事件後IO設備將該事件發送到用戶空間,交給用戶進行處理識別。S360:獲取事件信息,禁止所述USB設備操作。IO設備分析獲取的事件信息,同時由於還未能判斷出接入的USB設備是否註冊設備,為了確保安全將會禁止USB設備操作。S380:根據所述事件信息,檢查所述IO設備的白名單中是否有所述USB設備的註冊信息,若有則啟動所述USB設備,若無則禁止所述USB設備操作。IO設備檢查白名單中是否存有接入的USB設備的註冊信息,如果存有就啟動接入的USB設備,如果沒有將會保持對接入的USB設備的禁止並退出操作。如圖4所示,在其中一個實施例中,所述步驟S400具體包括步驟:S420:判斷所述IO設備是否具有TCM晶片,若具有則判斷所述TCM晶片能否正常啟動,若所述IO設備具有所述TCM晶片且所述TCM晶片能夠正常啟動則繼續如下操作,否則不解密且退出操作。首先檢查該IO設備環境是否是有tcm晶片的可信計算機,之後再檢測TCM晶片能否正常和開啟。如果不是則不能解密可信u盤,只有是可信計算機且其中的TCM能正常啟動才能進行下一步的解密操作。S440:檢查所述IO設備的內核中的算法,如果所述IO設備的內核中存有加密所述USB設備的算法,則繼續進行如下操作,否則不解密且退出操作。在加密所述USB設備時所使用的算法將會存在USB設備中,在解密USB設備時將會檢查內核中是否存在該算法模塊,只有存在且正確才能進行下一步的解密操作。S460:檢查當前作業系統,如果當前作業系統是加密所述USB設備的作業系統,則繼續進行如下操作,否則不解密且退出操作。檢查是否是加密所述USB設備時的作業系統,只有當前的作業系統沒有改變並且是加密所述USB設備時的作業系統,才能進行下一步的操作。S480:獲取所述TCM晶片中的密鑰,判斷所述密鑰是否正確,若正確則解密所述已加密的所述USB設備,得到所述可信U盤,若不正確則不解密且退出操作。獲取密鑰,密鑰放在tcm的nv中或者文件中,當讀取到的密鑰沒有被篡改,將能正常解密可信u盤。相對於現有的技術中u盤所用到的加密算法還沒有支持國密算法sms4,本發明IO設備可信管控方法可以在內核支持國密算法sms4的前提下,選擇調用國密算法sms4來加密u盤,由於可信計算TCM晶片支持國密算法sms4,後期的擴展還可以進行通過TCM晶片的硬體加密以達到硬體的保護操作。隨著人們對安全的認識越來越高,對於在有TCM晶片的可信計算機上,還可以指定TCM晶片中特有的值,比如能唯一確定TCM晶片的nv的值用作密鑰來加密u盤,只有在有TCM的晶片的計算機上才能解密該u盤,以此達到u盤的可f目。如圖5所示,一種IO設備可信管控系統,包括:IO埠檢測模塊100,用於檢測IO埠,當所述IO埠開啟時,允許接入USB設備。對於IO埠的控制,可以解決對IO設備的保護,管理員有權對IO設備上的埠進行開啟與禁止操作,防止任意的行動裝置在IO設備上進行插拔。當IO埠關閉時IO設備禁止USB設備操作,當IO埠開啟時,IO設備才會允許USB設備繼續操作。具體來說,當IO埠驅動器驅動和PCI總線驅動分離時,IO埠關閉,當IO埠驅動器驅動和PCI總線驅動綁定時,IO埠開啟。USB設備註冊判斷模塊200,用於判斷所述USB設備是否為註冊設備,若為註冊設備則識別所述USB設備,若為未註冊設備則禁止所述USB設備操作。判斷接入的USB設備是否是在IO設備上已註冊的設備,只有在本機上註冊過的設備才能在本機上被識別,沒有被註冊的設備將禁止被IO設備識別到。如果接入的USB設備為未註冊設備IO設備將禁止其操作,如果接入USB設備為註冊設備IO設備將會識別該設備,並繼續進行操作。加密模塊300,用於根據所述IO設備的當前作業系統環境,將識別的所述USB設備加密。解密模塊400,用於解密已加密的所述USB設備獲得可信U盤。可信u盤是一種被加密過的u盤硬體,只有支持能被加密的u盤硬體才能通過軟體進行製作可信U盤,不支持被加密的U盤硬體不能通過軟體進行加密。通過向可信U盤裡寫入的所有文件,都將自動被加密成密文,在沒有解密前,即使他人通過暴力的手段能獲取到可信U盤裡面的文件,由於是通過一些複雜的算法加密的,所以也很難將文件恢復成明文。只有通過制定的作業系統,以及可信的計算機,才能解密可信U盤。製作可信U盤的設計思路是:dm-crypt內核模塊利用內核的密碼應用編程接口實現了透明的加密,由於dm-crypt系統有著無可比擬的優越性,它的速度更快,易用性更強,適用面廣等特點,所以選擇它通過內核來加密當之無愧。解密u盤的設計思路是:是通過dm-crypt在內核中來實現的,它首先檢測該IO設備是否是有tcm晶片的可彳目計算,只有是可彳目計算機才能解密可"[目u盤,然後檢測是否是製作可信u盤時的作業系統,只有指定了的作業系統才能解密開可信u盤,然後檢測該設備的加密算法在內核中是否存在,算法模塊存在則將解密該可信U盤成功,但是此時的解密並非是解密真正的物理usb設備,而是Iinux內核2.6版本以上所支持的device-mapper這個特性,在實際的物理usb設備上添加虛擬層提供的一種通用靈活的方法,實現鏡像,力口密,解密等處理的,優點是解密了的usb設備。本發明IO設備可信管控系統,IO埠檢測模塊判斷IO埠是否開啟,只有當IO埠開啟時,IO設備才允許USB設備接入,USB設備註冊判斷模塊判斷接入的USB設備是否為註冊設備,如果接入的USB設備已經在IO設備中註冊就啟動並識別該USB設備,如果接入的USB設備未在IO設備中註冊就禁止該USB設備,加密模塊根據當前作業系統環境將USB設備加密,通俗來說就是將USB設備按照IO設備的內核設定「格式化」,消除可能存儲在USB設備中的病毒、木馬等,最後解密模塊根據內核加密USB設備時的數據解密獲得可信U盤,可信U盤與IO設備進行數據交互,確保IO設備和USB設備的安全管理與數據的安全傳輸。如圖6所示,在其中一個實施例中,USB設備註冊判斷模塊200包括:註冊判斷單元220,用於判斷所述USB設備是否為註冊設備,若為註冊設備則啟動所述USB設備,若為未註冊設備則在線註冊所述USB設備,且禁止所述USB設備操作;註冊成功判斷單元240,用於判斷在線註冊所述USB設備是否註冊成功,若在線註冊成功則啟動所述USB設備,並將所述USB設備的註冊信息寫入所述IO設備的白名單中,若在線註冊失敗則禁止所述USB設備操作。在其中一個實施例中,所述註冊判斷單元220包括:在線註冊確認單元,用於檢測所述USB設備是否接受在線註冊,當所述USB設備不接受在線註冊時,禁止所述USB設備啟動並退出操作。如圖7所示,在其中一個實施例中,USB設備註冊判斷模塊200具體包括:進程監控單元720,用於監控所述IO設備內核進程響應;響應單元740,用於當監控到有所述USB設備插入的事件發生時,響應事件,並將事件信息發送到用戶空間進行處理;信息獲取單元760,用於獲取所述事件信息,禁止所述USB設備操作;檢查單元780,用於根據所述事件信息,檢查所述IO設備的白名單中是否有所述USB設備的註冊信息,若有則啟動所述USB設備,若無則禁止所述USB設備操作。如圖8所示,在其中一個實施例中,解密模塊400具體包括:IO設備檢測單元420,用於判斷所述IO設備是否具有TCM晶片,若具有則判斷所述TCM晶片能否正常啟動,若所述IO設備具有所述TCM晶片且所述TCM晶片能夠正常啟動則繼續如下操作,否則不解密且退出操作;算法檢測單元440,用於檢查所述IO設備的內核中的算法,如果所述IO設備的內核中存有加密所述USB設備的算法,則繼續進行如下操作,否則不解密且退出操作;作業系統檢測單元460,用於檢查當前作業系統,如果當前作業系統是加密所述USB設備的作業系統,則繼續進行如下操作,否則不解密且退出操作;密鑰獲取單元480,用於獲取所述TCM晶片中的密鑰,判斷所述密鑰是否正確,若正確則解密所述已加密的所述USB設備,獲得所述可信U盤,若不正確則不解密且退出操作。以上所述實施例僅表達了本發明的幾種實施方式,其描述較為具體和詳細,但並不能因此而理解為對本發明專利範圍的限制。應當指出的是,對於本領域的普通技術人員來說,在不脫離本發明構思的前提下,還可以做出若干變形和改進,這些都屬於本發明的保護範圍。因此,本發明專利的保護範圍應以所附權利要求為準。
權利要求
1.一種IO設備可信管控方法,其特徵在於,包括步驟: 檢測IO埠,當所述IO埠開啟時,允許接入USB設備; 判斷接入的USB設備是否為註冊設備,若為註冊設備則識別所述USB設備,若為未註冊設備則禁止所述USB設備操作; 根據所述IO設備的當前作業系統環境,將識別的所述USB設備加密; 解密已加密的所述USB設備獲得可信U盤。
2.根據權利要求1所述的IO設備可信管控方法,其特徵在於,所述檢測IO埠,當所述IO埠開啟時,允許接入USB設備具體為:檢測所述IO埠,當所述IO埠中驅動器的驅動程序加載完成時,開啟所述IO埠,允許接入所述USB設備。
3.根據權利要求1或2所述的IO設備可信管控方法,其特徵在於,所述判斷所述USB設備是否為註冊設備,若為註冊設備則識別所述USB設備,若為未註冊設備則禁止所述USB設備操作包括步驟: 判斷所述USB設備是否為註冊設備,若為註冊設備則啟動所述USB設備,若為未註冊設備則在線註冊所述USB設備,且禁止所述USB設備操作; 判斷在線註冊所述USB設備是否註冊成功,若在線註冊成功則啟動所述USB設備,並將所述USB設備的註冊信息寫入所述IO設備的白名單中,若在線註冊失敗則禁止所述USB設備操作。
4.根據權利要求3所述的IO設備可信管控方法,其特徵在於,所述在線註冊所述USB設備之前還有步驟: 檢測所述USB設備是否接受在線註冊,當所述USB設備不接受在線註冊時,禁止所述USB設備啟動並退出操作。
5.根據權利要求1或2所述的IO設備可信管控方法,其特徵在於,所述判斷所述USB設備是否為註冊設備,若為註冊設備則啟動所述USB設備,若為未註冊設備則禁止所述USB設備操作具體包括步驟: 監控所述IO設備內核進程響應; 當監控到有所述USB設備插入的事件發生時,響應事件,並將事件信息發送到用戶空間進行處理; 獲取所述事件信息,禁止所述USB設備操作; 根據所述事件信息,檢查所述IO設備的白名單中是否有所述USB設備的註冊信息,若有則啟動所述USB設備,若無則禁止所述USB設備操作。
6.根據權利要求1或2所述的IO設備可信管控方法,其特徵在於,所述解密已加密的所述USB設備獲得可信U盤具體包括步驟: 判斷所述IO設備是否具有TCM晶片,若具有則判斷所述TCM晶片能否正常啟動,若所述IO設備具有所述TCM晶片且所述TCM晶片能夠正常啟動則繼續如下操作,否則不解密且退出操作; 檢查所述IO設備的內核中的算法,如果所述IO設備的內核中存有加密所述USB設備的算法,則繼續進行如下操作,否則不解密且退出操作; 檢查當前作業系統,如果當前作業系統是加密所述USB設備的作業系統,則繼續進行如下操作,否則不解密且退出操作;獲取所述TCM晶片中的密鑰,判斷所述密鑰是否正確,若正確則解密所述已加密的所述USB設備,獲得所述可信U盤,若不正確則不解密且退出操作。
7.一種IO設備可信管控系統,其特徵在於,包括: IO埠檢測模塊,用於檢測IO埠,當所述IO埠開啟時,允許接入USB設備; USB設備註冊判斷模塊,用於判斷所述USB設備是否為註冊設備,若為註冊設備則識別所述USB設備,若為未註冊設備則禁止所述USB設備操作; 加密模塊,用於根據所述IO設備的當前作業系統環境,將識別的所述USB設備加密; 解密模塊,用於解密已加密的所述USB設備獲得可信U盤。
8.根據權利要求7所述的IO設備可信管控系統,其特徵在於,所USB設備註冊判斷模塊包括: 註冊判斷單元,用於判斷所述USB設備是否為註冊設備,若為註冊設備則啟動所述USB設備,若為未註冊設備則在線註冊所述USB設備,且禁止所述USB設備操作; 註冊成功判斷單元,用於判斷在線註冊所述USB設備是否註冊成功,若在線註冊成功則啟動所述USB設備,並將所述USB設備的註冊信息寫入所述IO設備的白名單中,若在線註冊失敗則禁止所述USB設備操作。
9.根據權利要求8所述的IO設備可信管控系統,其特徵在於,所述註冊判斷單元包括: 在線註冊確認單元,用於檢測所述USB設備是否接受在線註冊,當所述USB設備不接受在線註冊時,禁止所述USB設備啟動並退出操作。
10.根據權利要求7所述的IO設備可信管控系統,其特徵在於,所述USB設備註冊判斷模塊具體包括: 進程監控單元,用於監控所述IO設備內核進程響應; 響應單元,用於當監控到有所述USB設備插入的事件發生時,響應事件,並將事件信息發送到用戶空間進行處理; 信息獲取單元,用於獲取所述事件信息,禁止所述USB設備操作; 檢查單元,用於根據所述事件信息,檢查所述IO設備的白名單中是否有所述USB設備的註冊信息,若有則啟動所述USB設備,若無則禁止所述USB設備操作。
11.根據權利要求7或8所述的IO設備可信管控系統,其特徵在於,所述解密模塊具體包括: IO設備檢測單元,用於判斷所述IO設備是否具有TCM晶片,若具有則判斷所述TCM晶片能否正常啟動,若所述IO設備具有所述TCM晶片且所述TCM晶片能夠正常啟動則繼續如下操作,否則不解密且退出操作; 算法檢測單元,用於檢查所述IO設備的內核中的算法,如果所述IO設備的內核中存有加密所述USB設備的算法,則繼續進行如下操作,否則不解密且退出操作; 作業系統檢測單元,用於檢查當前作業系統,如果當前作業系統是加密所述USB設備的作業系統,則繼續進行如下操作,否則不解密且退出操作; 密鑰獲取單元,用於獲取所述TCM晶片中的密鑰,判斷所述密鑰是否正確,若正確則解密所述已加密的所述USB設備,獲得所述可信U盤,若不正確則不解密且退出操作。
全文摘要
本發明提供一種IO設備可信管控方法及其系統,首先判斷IO埠是否開啟,只有當IO埠開啟時,IO設備才允許USB設備接入,之後IO設備判斷接入的USB設備是否為註冊設備,如果接入的USB設備已經在IO設備中註冊就啟動並識別該USB設備,如果接入的USB設備未在IO設備中註冊就禁止該USB設備,USB設備啟動之後IO設備會將USB設備加密,即將USB設備按照IO設備的內核設定「格式化」,消除可能存儲在USB設備中的病毒、木馬等,最後IO設備根據內核加密時的數據解密已加密的USB設備獲得可信U盤,可信U盤與IO設備進行數據交互,確保IO設備和USB設備的安全管理與數據的安全傳輸。
文檔編號G06F13/10GK103198037SQ20131014152
公開日2013年7月10日 申請日期2013年4月22日 優先權日2013年4月22日
發明者梁志宏, 梁智強, 黃曙, 餘南華, 胡朝輝, 江澤鑫, 陳炯聰, 周強峰, 林丹生 申請人:廣東電網公司電力科學研究院