[發明專利]一種基于薄虛擬機監控器的USB存儲設備安全訪問控制方法有效
| 申請號: | 201710351397.2 | 申請日: | 2017-05-18 |
| 公開(公告)號: | CN107239321B | 公開(公告)日: | 2020-08-21 |
| 發明(設計)人: | 馬恒太;劉歡;薛剛汝 | 申請(專利權)人: | 中國科學院軟件研究所;北京兆芯電子科技有限公司 |
| 主分類號: | G06F9/455 | 分類號: | G06F9/455;G06F13/42;G06F21/60 |
| 代理公司: | 北京君尚知識產權代理有限公司 11200 | 代理人: | 邱曉鋒 |
| 地址: | 100190 *** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 虛擬機 監控器 usb 存儲 設備 安全 訪問 控制 方法 | ||
1.一種基于薄虛擬機監控器的USB存儲設備安全訪問控制方法,其步驟包括:
1)在薄虛擬機監控器BitVisor中,利用USB主機控制器模擬BULK-ONLY數據傳輸協議;
2)通過薄虛擬機監控器BitVisor中的BULK-ONLY數據傳輸協議,對USB存儲設備的識別操作、讀操作和寫操作進行攔截,實現對USB存儲設備的安全訪問控制;
所述對USB存儲設備的安全訪問控制包括USB存儲設備識別控制、只讀控制和只寫控制;通過Bitvisor控制轉發命令塊包CBW和命令狀態包CSW,實現對USB存儲設備的I/O的攔截;按照USB存儲設備安全訪問控制需求,通過Bitvisor修改CBW的傳輸長度域和CSW的狀態位信息來控制USB存儲設備與操作系統之間的數據傳遞,從而在只寫條件下控制操作系統對特定USB存儲設備的讀操作,在只讀條件下控制操作系統對特定USB存儲設備的寫操作;
通過在Bitvisor中為USB存儲設備注冊HOOK函數,控制對特定USB存儲設備的識別操作。
2.如權利要求1所述的方法,其特征在于,對于禁止訪問的USB存儲設備,當系統對該USB存儲設備進行配置時,HOOK函數會被調用,并在HOOK函數中返回給操作系統配置錯誤的信息,此時操作系統對該USB存儲設備的配置失敗,導致該USB存儲設備不能被操作系統識別。
3.如權利要求1所述的方法,其特征在于,在BitVisor中設有緩沖區列表,稱為影子緩存,在操作系統中設有與其對應的緩沖區列表,稱為客機緩存,在BitVisor中實現客機緩存與影子緩存中的數據交換,進而通過影子緩存與USB存儲設備直接進行數據傳輸。
4.如權利要求3所述的方法,其特征在于,當有數據從USB存儲設備到主機時,數據首先從USB存儲設備傳輸到BitVisor的影子緩存中,然后再從影子緩存中拷貝到操作系統的客機緩存中以供用戶使用;當有數據從主機到USB存儲設備時,數據首先從客機緩存中拷貝到影子緩存中,然后再由BitVisor控制影子緩存中的數據傳輸到USB存儲設備中。
5.如權利要求4所述的方法,其特征在于,通過以下步驟實現USB存儲設備的只讀控制:
a)在HOOK函數中得到CBW命令塊,解析該命令塊并根據其中數據的傳輸方向來判斷數據是否是主機發送至USB存儲設備的,若是則將其傳輸長度修改為0,并記錄下命令塊中SCSI命令,以及該命令塊的標識;
b)當SCSI命令為0x2a或者0xaa時,阻止客機緩存中的數據被復制到BitVisor中的影子緩存,從而阻止數據流向USB存儲設備;
c)將Bitvisor中此次數據傳輸的傳輸描述符qtds中狀態標識設為傳輸完成,以使BitVisor能夠接收USB存儲設備發來的CSW傳輸狀態包,完成一次完整的I/O傳輸過程;當BitVisor檢查數據傳輸狀態時,數據傳輸完成,則接收從USB存儲設備返回的CSW命令狀態塊,根據CSW中的標識來判斷是否是CBW命令包對應的CSW,若是則將該CSW的狀態修改為1,代表此次讀寫操作傳輸錯誤,返回給操作系統。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于中國科學院軟件研究所;北京兆芯電子科技有限公司,未經中國科學院軟件研究所;北京兆芯電子科技有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/201710351397.2/1.html,轉載請聲明來源鉆瓜專利網。
