[发明专利]一种计算机对USB设备进行访问的控制方法和系统

说明书

技术领域

本发明涉及信息安全领域，特别涉及一种计算机对USB设备进行访问的控 制方法和系统。

背景技术

USB(Universal Serial Bus，通用串行总线)接口是一种串行接口的新标准， 其主要优点是速度快、功耗低、支持PNP(Plug and Play，即插即用)、使用安 装方便。USB设备是通过USB总线跟计算机交互的设备，随着计算机技术和信 息存储技术的快速发展，USB设备已成为人们日常生活、办公和学习必不可少 的设备。越来越多的用户习惯于将计算机中大量的文件存放到USB设备之中， 通过USB设备可以很容易地传递文件，给人们带来了很大的便利。

USB设备与计算机之间进行数据通信的过程中存在着许多不安全因素，现 有技术中保护USB设备与计算机交互过程中数据的安全及防止非法用户使用 USB设备窃取敏感数据的手段主要包括：存储加密、或使用用户身份认证设备 来保证USB设备存放数据的安全性，用以控制非法用户阅读或截获敏感信息。 例如，利用各种密钥机制实现对USB设备中存放数据的存储加密，或者利用双 因子认证模式来认证用户的身份。

这些针对USB设备与计算机交互过程中的安全处理手段，非法用户可以通 过第三方软件截获USB设备与计算机进行通信数据，并对特征信息进行破解分 析，达到窃取敏感数据的目的，从而给USB设备与计算机通信带来安全隐患。 此外，如果USB设备是计算机的非法USB设备，是不被允许使用的USB设备， 那么非法用户使用非法USB设备与计算机进行交互，非法复制机密或传播病毒 到计算机中，给计算机中敏感信息的安全带来了极大的威胁，由此带来的损失 是无法估计的。

发明内容

为了保证USB设备与计算机交互过程的安全性，本发明提供了一种计算机 对USB设备进行访问的控制方法和系统。所述技术方案如下：

一种计算机对USB设备进行访问的控制方法，所述方法包括：

计算机加载过滤驱动，所述过滤驱动中预置缺省访问控制列表，所述过滤 驱动位于所述计算机的即插即用管理器和USB总线驱动之间；

USB设备与所述计算机建立连接；

所述过滤驱动根据所述缺省访问控制列表，判断所述USB设备是否为缺省 访问设备；

如果是，所述过滤驱动发送所述USB设备的连接关系给所述计算机的即插 即用管理器；

如果否，所述过滤驱动判断认证设备是否与所述计算机建立连接；如果是， 所述过滤驱动拦截所述计算机的即插即用管理器与USB总线驱动之间的交互数 据，根据所述交互数据中的认证数据，所述过滤驱动与所述认证设备共同完成 对所述USB设备是否为合法设备的验证，当所述USB设备为合法设备时，所述 过滤驱动发送所述交互数据中的所述USB设备的连接关系数据给所述即插即用 管理器，并保存所述连接关系数据；当所述USB设备为非法设备时，所述过滤 驱动发送上一次保存的合法连接关系数据给所述即插即用管理器；如果否，所 述过滤驱动发送清空后的连接关系数据给所述即插即用管理器。

所述缺省访问控制列表用于存储可缺省访问所述计算机的缺省访问设备；

相应的，所述过滤驱动根据所述缺省访问控制列表，判断所述USB设备是 否为缺省访问设备，具体包括：

当所述缺省访问控制列表中存在所述USB设备时，所述USB设备为缺省访 问设备；

当所述缺省访问控制列表中不存在所述USB设备时，所述USB设备为非缺 省访问设备。

所述缺省访问控制列表用于存储不可缺省访问所述计算机的缺省访问设 备；

相应的，所述过滤驱动根据所述缺省访问控制列表，判断所述USB设备是 否为缺省访问设备，具体包括：

当所述缺省访问控制列表中存在所述USB设备时，所述USB设备为非缺省 访问设备；

当所述缺省访问控制列表中不存在所述USB设备时，所述USB设备为缺省 访问设备。

所述过滤驱动判断认证设备是否与所述计算机建立连接，具体包括：

所述过滤驱动向与所述计算机建立连接的全部USB设备的设备对象指针发 送私有命令，所述设备对象指针为USB设备与所述计算机建立连接时所述USB 总线驱动创建的；

接收所述设备对象指针返回的数值；

判断所述返回的数值是否与所述过滤驱动中预置的数值相匹配；