技術領域

本發明涉及信息安全領域，特別涉及一種計算機對USB設備進行訪問的控制方法和系統。

背景技術

USB(Universal?Serial?Bus，通用串行總線)接口是一種串行接口的新標準，其主要優點是速度快、功耗低、支持PNP(Plug?and?Play，即插即用)、使用安裝方便。USB設備是通過USB總線跟計算機交互的設備，隨著計算機技術和信息存儲技術的快速發展，USB設備已成為人們日常生活、辦公和學習必不可少的設備。越來越多的用戶習慣于將計算機中大量的文件存放到USB設備之中，通過USB設備可以很容易地傳遞文件，給人們帶來了很大的便利。

USB設備與計算機之間進行數據通信的過程中存在著許多不安全因素，現有技術中保護USB設備與計算機交互過程中數據的安全及防止非法用戶使用USB設備竊取敏感數據的手段主要包括：存儲加密、或使用用戶身份認證設備來保證USB設備存放數據的安全性，用以控制非法用戶閱讀或截獲敏感信息。例如，利用各種密鑰機制實現對USB設備中存放數據的存儲加密，或者利用雙因子認證模式來認證用戶的身份。

這些針對USB設備與計算機交互過程中的安全處理手段，非法用戶可以通過第三方軟件截獲USB設備與計算機進行通信數據，并對特征信息進行破解分析，達到竊取敏感數據的目的，從而給USB設備與計算機通信帶來安全隱患。此外，如果USB設備是計算機的非法USB設備，是不被允許使用的USB設備，那么非法用戶使用非法USB設備與計算機進行交互，非法復制機密或傳播病毒到計算機中，給計算機中敏感信息的安全帶來了極大的威脅，由此帶來的損失是無法估計的。

發明內容

為了保證USB設備與計算機交互過程的安全性，本發明提供了一種計算機對USB設備進行訪問的控制方法和系統，所述技術方案如下：

一種計算機對USB設備進行訪問的控制方法，所述方法包括：

計算機加載過濾驅動；

USB設備與所述計算機建立連接；

所述過濾驅動判斷認證設備是否與所述計算機建立連接；

如果是，所述過濾驅動攔截所述計算機的即插即用管理器下發的數據請求包，并將所述數據請求包轉發給USB總線驅動，所述過濾驅動攔截所述USB總線驅動返回的所述USB設備的連接關系數據，所述過濾驅動根據所述USB設備的硬件描述符與所述認證設備共同完成對所述USB設備是否為合法設備的驗證，當所述USB設備為合法設備時，所述過濾驅動發送所述交互數據中的所述USB設備的連接關系數據給所述即插即用管理器，并保存所述連接關系數據；當所述USB設備為非法設備時，所述過濾驅動發送上一次保存的連接關系數據給所述即插即用管理器；

如果否，所述過濾驅動發送清空后的連接關系數據給所述即插即用管理器；或者，所述過濾驅動根據其預置的缺省訪問控制列表驗證所述USB設備是否為缺省訪問設備；當所述USB設備為缺省訪問設備時，所述過濾驅動發送所述USB設備的連接關系數據給所述即插即用管理器；當所述USB設備為非缺省訪問設備時，所述過濾驅動發送清空后的連接關系數據給所述即插即用管理器。

所述過濾驅動判斷認證設備是否與所述計算機建立連接，具體包括：

所述過濾驅動向與所述計算機建立連接的全部USB設備的設備對象指針發送私有命令，所述設備對象指針為USB設備與所述計算機建立連接時所述USB總線驅動創建的；

接收所述設備對象指針返回的數值；

判斷所述返回的數值是否與所述過濾驅動中預置的數值相匹配；

如果匹配，則判斷結果為是；

如果不匹配，則判斷結果為否。

所述硬件描述符的獲得過程具體為：

所述過濾驅動將攔截到的所述USB設備的連接關系數據與其保存的連接關系數據相比較；

當存在新接入所述計算機的USB設備時，所述過濾驅動向所述USB總線驅動發送獲取新接入USB端口的USB設備的硬件描述符信息，并接收所述USB總線驅動返回的所述USB設備的硬件描述符。

所述認證設備中預置USB設備控制使用列表，所述USB設備控制使用列表中存儲可合法使用的USB設備的硬件描述符通過預設算法計算得到的相應數值；

相應的，所述根據所述USB設備的硬件描述符與所述認證設備共同完成對所述USB設備是否為合法設備的驗證，具體包括：

所述認證設備接收所述過濾驅動通過所述USB總線驅動發送的所述USB設備的硬件描述符；