在现代社会中,常见的文件共享方式是通过计算机网络来传输,但这种方式的弊端是需要共享文件的计算机在网络上是互联互通的,否则无法进行文件和数据的传输。
小巧方便随身携带的移动U盘可以方便地在计算机之间进行复制和分享数据,弥补了网络传输方式的不足,因而成为人们日常工作和生活中重要的信息传输工具。
但是,任何人都可以通过任意一台计算机来访问普通U盘里的数据和文件,这在某些涉密的特定领域或使用场景下,例如政府部门、公司和工业控制领域等等,禁止U盘交叉使用的情形下,是不被允许的,而且为涉密的信息和数据的保密工作带来了巨大的挑战和安全隐患。
为了实现允许特定领域的指定计算机只能访问指定U盘的问题,北京天地和兴科技有限公司基于自有产品—-主机安全防护系统,开发了一种可以保护U盘内信息不被未授权的计算机访问的可信U盘技术,保证在需要数据高度保密的环境下,只允许指定计算机访问指定的U盘。
主机安全防护系统客户端实现了对可信U盘的管控,用户通过在客户端界面上设置即可。客户端集成了可信U盘的驱动程序,来标识接入计算机的可信U盘,用户对可信U盘的数据读写请求会被驱动放行,而对其它U盘的读写请求则予以阻止。
可信U盘驱动基于Windows操作系统的文件系统过滤驱动模型,具有更有效利用内核堆栈、方便和应用层程序交互和降低实现复杂度等等优点。
当用户将U盘插入安装有可信U盘驱动的计算机上时,用户对该U盘的访问请求,会被Windows操作系统转发到内核层,并由输入/输出管理器截获。输入/输出管理器将根据截获的请求类型,激活过滤管理器,加载并调用对应的可信U盘过滤驱动来处理该请求。
可信U盘过滤驱动里事先定义了可信U盘的身份ID,并用它来和插入U盘的身份ID做对比,如果相等,则判断为可信U盘,允许对U盘的I/O请求通过该过滤驱动,并将过滤结果返回给过滤管理器。过滤管理器收到通行的消息后,再将U盘访问请求转发给更底层的文件系统驱动做进一步的处理,从而允许了对可信U盘的访问;相反,如果检测出ID不匹配,则在该过滤驱动中终止输入/输出请求的进一步下发,从而禁止了对非可信U盘的读写访问。如下图所示:
基于文件过滤驱动的可信U盘实现流程图
安装了可信U盘过滤驱动的计算机只能使用指定的可信U盘,其它普通U盘则无法使用,防止了该计算机上资料通过普通U盘拷贝出去而泄密,同时也减少了因使用普通U盘而感染计算机病毒的风险。
来源:freebuf.com 2018-11-27 11:26:27 by: 北京天地和兴科技有限公司
请登录后发表评论
注册