U盘存储鉴权认证系统研究与实现.docVIP

　　U盘存储鉴权认证系统研究与实现 摘要：针对移动存储设备在使用中的安全问题，基于文件过滤驱动技术设计开发了一款能够对移动存储设备的读写权限进行灵活控制的软件，功能测试表明该软件简便易用，能够有效地防范电子文件的泄露，增强使用移动存储设备的安全性。 中国 8/vie 　　关键词：移动存储设备；文件过滤驱动；读写控制 　　中图分类号：TP333 文献标识码：A ：1009-3044（2016）29-0044-03 　　随着USB（universal Serial Bus）技术的发展，计算机的移动存储介质普遍采用U盘或移动硬盘。Uu盘、移动硬盘因其体积小、容量大、不易损坏、携带方便等诸多优点而备受青睐。但在这类移动存储设备的即插即用和便携的优点背后也给信息的保密安全问题带来了巨大的压力。 　　调查显示：在各种安全漏洞造成的损失中，30%-40%是由电子文件的泄露造成的。因此，如何对移动存储设备进行安全管理，防止涉密信息的泄露已经成为有关部门关注的重点。针对这一情况，我们通过对U盘的存储机制、U盘读写控制等技术的研究，利用文件过滤驱动技术实现对U盘的授权，开发了U盘存储鉴权认证系统，进一步提升了涉密信息的安全性。 　　1系统设计方案 　　研究开发U盘存储鉴权认证系统的目的是防止外部移动存储设备未经许可就随意在主机上进行读写。通过了解Win-dows家族操作系统的总体结构、Windows重要的内核组件，主要对文件系统相关的内核组件和与文件过滤驱动技术相关的内核组件进行研究，拟采用基于文件过滤驱动的移动存储访问控制方法，该方法通过识别出移动存储设备，对其读写权限进行禁止、浏览、只读、可写的控制。 　　考虑到接入主机的USB设备可能还包含有鼠标、键盘等，它们大多也是基于USB接口，所以系统首先要对接入主机的USB设备进行识别，以确定是否为移动存?ι璞福辉谌范?接入主机的是移动存储设备后再对其进行读写权限和使用操作权限的细粒度的控制，即通过文件过滤驱动程序对接入的移动存储设备进行读写控制。总体方案如图1所示。 　　由此可见，该系统通过对USB存储设备的识别定位、移动存储设备权限识别和控制、存储设备读写控制等几个环节对主机信息进行防护。 　　2文件过滤驱动技术简介 　　2.1基本原理 　　过滤驱动属于内核模式驱动，其依靠挂载在其他驱动上，对某设备发往存在的内核模式驱动的请求进行拦截过滤，可以对设备进行功能扩展或是数据加密等，从而提供附加值。发往目标驱动的I/O（输入/输出）操作请求被过滤驱动拦截过滤（过滤指监控、修改功能驱动的数据流或指令），过滤驱动通过使用目标驱动提供的服务或者使用用户模式、内核模式软件提供的服务进行功能扩展。开发文件系统过滤驱动是为了提供操作系统不能提供的附加功能，例如操作系统一般对于移动存储设备来者不拒，用户可以对移动存储设备上的文件进行任意读写，这在信息安全管理上就是一个漏洞，本文即通过开发文件系统过滤驱动技术，在不改变底层设备驱动情况下，提供新的功能，实现对移动存储设备的鉴权与管理。 　　过滤驱动工作原理如图2所示： 　　当用户发出对文件进行读写的操作请求，该请求首先被传给I/O管理器，其先解析文件路径，找到符合该功能的文件系统驱动程序后进行发送。I/O管理器会在内部的注册表中遍历每个文件系统驱动，因此只有通过I/O管理注册的文件系统驱动才能拥有操作文件的权利。文件系统要和I/O管理器以及其他重要的内核组件进行交互。通过设计和实现文件过滤驱动，将其附加到文件系统驱动之上，就可以在I/O管理器发送IRP（I/O Request Package）给文件系统驱动程序之前截获该IRP，并根据需要进行定制。文件系统驱动程序只有一个控制设备对象CDO，主要用于接收请求控制文件系统的命令，例如查询一个卷是否挂载，该访问请求首先传递给I/O管理器，由I/O管理器检查其是否已挂载，若尚未挂载，则生成挂载IRP，传递给文件系统驱动程序的CDO，请求挂载，这时所设计开发的文件过滤驱动程序将拦截并处理该挂载操作。需要说明的是要实现这一目的，文件过滤驱动必须将自己的CDO附加到文件系统驱动的CDO之上，这样I/O管理器在给文件系统驱动程序的CDO发送IRP之前，将检查是否有过滤驱动的CDO存在，若有多层过滤驱动，则I/O管理器依据从上向下的顺序依次传递IRP请求，从而确保每个过滤驱动都有机会处理该请求。 　　2.2设计实现 　　通过上述分析可知，要达到对移动存储设备进行鉴权认证的目的，设计和实现文件过滤驱动是关键。而文件过滤驱动的设计实现的一般步骤如下： 　　1）过滤驱动创建设备对象后附加到目标设备对象，以拦截所有发往该目标设备对象的请求； 　　2）加载过滤驱动，对截获的IRP进行处理； 　　3）建立完成例