本发明涉及信息交互安全技术领域,具体公开了一种基于文件系统过滤的便携式移动工作方法及系统,包括:将计算机系统和文件系统安装在便携式移动工作设备中;所述便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的字符设备或块设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统。本发明通过技术挂载与驱动过滤层,能够安全有效的对外接设备进行管理控制。
1.一种基于文件系统过滤的便携式移动工作方法,其特征在于,包括:
将计算机系统和文件系统安装在便携式移动工作设备中;
所述便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的字符设备或块设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统;
公共计算机中的字符设备或块设备被扫描到后,卷管理器创建逻辑卷,并请求挂载,挂载后创建逻辑卷设备;
逻辑卷设备创建后,便携式移动工作设备中的文件系统识别器激活相对应的文件系统,当文件系统激活后,创建一个IRP,发给对应的设备;
便携式移动工作设备中的文件系统过滤驱动通过拦截便携式移动工作设备的I/O管理器与公共计算机中非法的设备之间的IRP通信,实现对非法设备的过滤屏蔽,具体过程为:文件系统过滤驱动调用设定的程序打开公共计算机中的设备并读取设备信息;
便携式移动工作设备的I/O管理器检测所述设备的逻辑卷是否被绑定;
如果逻辑卷已经被绑定,且在白名单中,则不对所述设备的IRP进行拦截或修改;若不在白名单中,则进行拦截或修改;
如果逻辑卷未被绑定,则将设备的字符设备信息与白名单中的信息进行比对,若在白名单中,则不对所述设备的IRP进行拦截或修改;若不在白名单中,则对所述设备的IRP进行拦截或修改,且将所述设备置为已绑定状态;
设备被移出白名单之后,文件系统过滤驱动阻断I/O管理器与该设备的通信,并通过文件系统过滤驱动发送卸载指令,将设备从文件系统卸载。
2.如权利要求1所述的一种基于文件系统过滤的便携式移动工作方法,其特征在于,所述字符设备或块设备信息包括:MAC地址、SN序列号、供应商ID或产品识别码PID。
3.如权利要求1所述的一种基于文件系统过滤的便携式移动工作方法,其特征在于,便携式移动工作设备工作过程中,如果有新的字符设备或块设备接入,则触发新的文件系统加载事件,过滤驱动将自身附加到这个新的文件系统之上;获取设备信息,判断所述设备是否为白名单设备,若是则放行,否则屏蔽。
4.如权利要求1所述的一种基于文件系统过滤的便携式移动工作方法,其特征在于,还包括:便携式移动工作设备接入公共计算机后,为公共计算机中处于白名单中的设备分配IRP分发函数与快速IO分发函数,以实现便携式移动工作设备与公共计算机中处于白名单中的设备进行数据通信和读写操作。
5.如权利要求1所述的一种基于文件系统过滤的便携式移动工作方法,其特征在于,所述公共计算机中的设备在未取得相应权限时,无法对注册表中的白名单信息进行修改,以防止第三方恶意修改白名单。
6.一种基于文件系统过滤的便携式移动工作系统,其特征在于,包括:
加载模块,用于将计算机系统和文件系统安装在便携式移动工作设备中;
过滤模块,用于在便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的字符设备或块设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统;
其中,在驱动层将所述非法设备进行过滤屏蔽的方法具体为:
公共计算机中的字符设备或块设备被扫描到后,卷管理器创建逻辑卷,并请求挂载,挂载后创建逻辑卷设备;
逻辑卷设备创建后,便携式移动工作设备中的文件系统识别器激活相对应的文件系统,当文件系统激活后,创建一个IRP,发给对应的设备;
便携式移动工作设备中的文件系统过滤驱动通过拦截便携式移动工作设备的I/O管理器与公共计算机中非法的设备之间的IRP通信,实现对非法设备的过滤屏蔽,具体过程为:文件系统过滤驱动调用设定的程序打开公共计算机中的设备并读取设备信息;
便携式移动工作设备的I/O管理器检测所述设备的逻辑卷是否被绑定;
如果逻辑卷已经被绑定,且在白名单中,则不对所述设备的IRP进行拦截或修改;若不在白名单中,则进行拦截或修改;
如果逻辑卷未被绑定,则将设备的字符设备信息与白名单中的信息进行比对,若在白名单中,则不对所述设备的IRP进行拦截或修改;若不在白名单中,则对所述设备的IRP进行拦截或修改,且将所述设备置为已绑定状态;
设备被移出白名单之后,文件系统过滤驱动阻断I/O管理器与该设备的通信,并通过文件系统过滤驱动发送卸载指令,将设备从文件系统卸载。
7.一种便携式移动工作设备,其特征在于,所述便携式移动工作设备中安装有计算机系统和文件系统,所述便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的字符设备或块设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统;
其中,在驱动层将所述非法设备进行过滤屏蔽的方法具体为:
公共计算机中的字符设备或块设备被扫描到后,卷管理器创建逻辑卷,并请求挂载,挂载后创建逻辑卷设备;
逻辑卷设备创建后,便携式移动工作设备中的文件系统识别器激活相对应的文件系统,当文件系统激活后,创建一个IRP,发给对应的设备;
便携式移动工作设备中的文件系统过滤驱动通过拦截便携式移动工作设备的I/O管理器与公共计算机中非法的设备之间的IRP通信,实现对非法设备的过滤屏蔽,具体过程为:文件系统过滤驱动调用设定的程序打开公共计算机中的设备并读取设备信息;
便携式移动工作设备的I/O管理器检测所述设备的逻辑卷是否被绑定;
如果逻辑卷已经被绑定,且在白名单中,则不对所述设备的IRP进行拦截或修改;若不在白名单中,则进行拦截或修改;
如果逻辑卷未被绑定,则将设备的字符设备信息与白名单中的信息进行比对,若在白名单中,则不对所述设备的IRP进行拦截或修改;若不在白名单中,则对所述设备的IRP进行拦截或修改,且将所述设备置为已绑定状态;
设备被移出白名单之后,文件系统过滤驱动阻断I/O管理器与该设备的通信,并通过文件系统过滤驱动发送卸载指令,将设备从文件系统卸载。
一种基于文件系统过滤的便携式移动工作方法及系统
技术领域
[0001] 本发明涉及信息交互安全技术领域,尤其涉及一种基于文件系统过滤的便携式移动工作方法及系统。
背景技术
[0002] 本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
[0003] 随着计算机技术更新迭代,计算机也越来越普及,信息安全、个人隐私也成了人们特别关注的焦点。而人们在外出或工作过程中,难免会遇到需要使用公共PC机的情况,存在信息泄露的风险。
[0004] 便携式移动工作设备是将系统安装在U盘移动硬盘中,需要使用时可以将U盘或移动硬盘接入主计算机,在主计算机上首次启动时,它会检测计算机的所有硬件,并安装任何需要的驱动程序,使用主计算机的硬件设备运行U盘或移动硬盘上的系统及应用。
[0005] 现在大部分便携式移动工作设备,例如winTOGO,直接接入公共PC。无法对公共PC的硬件设备进行隔离,公共PC的硬件设备(U盘或硬盘)可以直接对便携式移动工作设备主系统进行文件读写操作。同时便携式移动工作设备主系统与外部设备进行交互时主要使用明文数据进行交互,增加了信息泄露的风险。
发明内容
[0006] 为了解决上述问题,本发明提出了一种基于文件系统过滤的便携式移动工作方法及系统,将计算机系统和文件系统安装在便携式移动工作设备(比如U盘或便携式移动硬盘)中,需要使用时只需要将便携式移动工作设备接入公共计算机。通过文件系统过滤驱动过滤的技术,将公共计算机的硬件设备隔离到便携式移动工作设备的主系统之外,使其无法访问主系统。
[0007] 在一些实施方式中,采用如下技术方案:
[0008] 一种基于文件系统过滤的便携式移动工作方法,包括:
[0009] 将计算机系统和文件系统安装在便携式移动工作设备中;
[0010] 所述便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的字符设备或块设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统。
[0011] 作为可选的方案,所述字符设备或块设备信息包括:MAC地址、SN序列号、供应商ID(VID)或产品识别码(PID)。
[0012] 作为可选的方案,在驱动层将所述非法设备进行过滤屏蔽的方法具体为:
[0013] 公共计算机中的字符设备或块设备被扫描到后,卷管理器创建逻辑卷,并请求挂载,挂载后创建逻辑卷设备;
[0014] 逻辑卷设备创建后,便携式移动工作设备中的文件系统识别器激活相对应的文件系统,当文件系统激活后,创建一个IRP,发给对应的设备;
[0015] 便携式移动工作设备中的文件系统过滤驱动通过拦截便携式移动工作设备的I/O管理器与公共计算机中非法的设备之间的IRP通信,实现对非法设备的过滤屏蔽。
[0016] 作为可选的方案,便携式移动工作设备中的文件系统过滤驱动拦截便携式移动工作设备的I/O管理器与公共计算机中非法的设备之间的IRP通信的过程具体为:
[0017] 文件系统过滤驱动调用设定的程序打开公共计算机中的设备并读取设备信息;
[0018] 便携式移动工作设备的I/O管理器检测所述设备的逻辑卷是否被绑定;
[0019] 如果逻辑卷已经被绑定,且在白名单中,则不对所述设备的IRP进行拦截或修改;若不在白名单中,则进行拦截或修改;
[0020] 如果逻辑卷未被绑定,则将设备的字符设备信息与白名单中的信息进行比对,若在白名单中,则不对所述设备的IRP进行拦截或修改;若不在白名单中,则对所述设备的IRP进行拦截或修改,且将所述设备置为已绑定状态。
[0021] 作为可选的方案,设备被移出白名单之后,文件系统过滤驱动阻断I/O管理器与该设备的通信,并通过文件系统过滤驱动发送卸载指令,将设备从文件系统卸载。
[0022] 作为可选的方案,便携式移动工作设备工作过程中,如果有新的字符设备或块设备接入,则触发新的文件系统加载事件,过滤驱动将自身附加到这个新的文件系统之上;获取设备信息,判断所述设备是否为白名单设备,若是则放行,否则屏蔽。
[0023] 作为可选的方案,还包括:便携式移动工作设备接入公共计算机后,为公共计算机中处于白名单中的设备分配IRP分发函数与快速IO分发函数,以实现便携式移动工作设备与公共计算机中处于白名单中的设备进行数据通信和读写操作。
[0024] 作为可选的方案,所述公共计算机中的设备在未取得相应权限时,无法对注册表中的白名单信息进行修改,以防止第三方恶意修改白名单。
[0025] 在另一些实施方式中,采用如下技术方案:
[0026] 一种基于文件系统过滤的便携式移动工作系统,包括:
[0027] 加载模块,用于将计算机系统和文件系统安装在便携式移动工作设备中;
[0028] 过滤模块,用于在便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的字符设备或块设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统。
[0029] 在另一些实施方式中,采用如下技术方案:
[0030] 一种便携式移动工作设备,所述便携式移动工作设备中安装有计算机系统和文件系统,所述便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的字符设备或块设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统。
[0031] 与现有技术相比,本发明的有益效果是:
[0032] (1)本发明公共计算机中的设备在未取得相应权限时,无法对注册表中的白名单管控策略进行修改,从而防止第三方恶意修改白名单。
[0033] (2)本发明通过技术挂载与驱动过滤层,能够安全有效的对外接设备进行管理控制。可以方便快捷的设置非法设备和白名单设备,能够快速有效的对设备进行管控和放行,而无需繁杂的操作。
[0034] (3)本发明能够将计算机系统和文件系统安装在U盘或便携式移动硬盘中,需要使用是只需要将U盘活便携式硬盘接入公共PC机。通过文件系统过滤驱动过滤的技术,将公共PC机的硬件设备隔离到主系统之外,使其无法访问主系统。
[0035] 本发明的其他特征和附加方面的优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本方面的实践了解到。
附图说明
[0036] 图1为本发明实施例中的基于文件系统过滤的便携式移动工作方法流程图。
具体实施方式
[0037] 应该指出,以下详细说明都是例示性的,旨在对本申请提供进一步的说明。除非另有指明,本发明使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。
[0038] 需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本申请的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
[0039] 术语解释:
[0040] VPB是Windows I/O Manager子系统的一个重要的数据结构,全称为 Volume Parameter Block。它的任务是绑定卷设备(如磁盘分区或虚拟磁盘)和接管此卷设备的文件系统(如FastFat,NTFS);
[0041] IRP为I/O请求数据包,全称I/O request packets;
[0042] VPB_MOUNTED是I/O管理器和目标对象通信报文的一个参数,VPB_MOUNTED (1<<0)表示此卷已被文件系统识别并已挂载。
[0043] 实施例一
[0044] 在一个或多个实施方式中,公开了一种基于文件系统过滤的便携式移动工作方法,结合图1,具体包括如下过程:
[0045] 将计算机系统和文件系统安装在便携式移动工作设备中;便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统。
[0046] 其中,公共计算机中的字符设备包括鼠标、键盘、打印机等;块设备包括:硬盘、U盘,CD‑ROM驱动等。
[0047] 设备信息为设备指纹信息,包括MAC地址、SN序列号、供应商ID(VID)或产品识别码(PID)等信息。
[0048] 具体地,公共计算机中的字符设备或块设备被扫描到后,卷管理器创建逻辑卷,并请求挂载,挂载后创建逻辑卷设备;
[0049] 其中,挂载是指由操作系统使一个存储设备(诸如硬盘、CD‑ROM或共享资源)上的计算机文件和目录可供用户通过计算机的文件系统访问的一个过程。请求挂载时设备向系统发起的请求。计算机上像C:D:这种逻辑盘都属于逻辑卷。
[0050] 逻辑卷设备创建后,创建vpb,完成了部分初始化,然后通知文件系统开始装载这个卷,根据设备系统,来通知对应的文件系统,文件系统识别器负责激活对应的文件系统,当文件系统激活后,创建一个IRP,发给对应的设备;
[0051] 在IRP的创建过程中,会将磁盘设备对象的vpb初始化到irpSp‑>Parameters.MoutVolume.Vpb字段上,将该IRP发给文件系统控制的设备。
[0052] 当设备在白名单上时,不对I/O管理器与该控制设备之间的IRP通信进行拦截,如果设备不在白名单上,则文件系统过滤驱动通过监控拦截系统I/O管理器与设备之间的IRP通信,达到禁用该设备的功能。
[0053] 作为具体地实施方式,便携式移动工作设备中的文件系统过滤驱动拦截便携式移动工作设备的I/O管理器与公共计算机中非法的设备之间的IRP通信的过程具体为:
[0054] (1)文件系统过滤驱动在内核态调用ZwCreateFile或者IoCreateFileSpecifyDeviceObjectHint打开设备并读取设备指纹信息。
[0055] (2)便携式移动工作设备的I/O管理器检测目标对象控制设备的逻辑卷是否被绑定;如果VPB_MOUNTED标志被设置,说明这个逻辑卷已经被文件系统绑定。
[0056] (3)如果逻辑卷已经被绑定,且将设备指纹信息与白名单中的信息进行比对,若设备在白名单中,则不对该设备的IRP进行拦截或修改;若不在白名单中,则进行拦截或修改;
[0057] (4)如果逻辑卷未被绑定,则将设备指纹信息与白名单中的信息进行比对。如发现设备在白名单中,则不对IRP进行拦截修改。
[0058] (5)如果逻辑卷在系统启动后没有被文件系统绑定(VPB_MOUNTED标志没有被设置),且设备不在白名单中,则对I/O管理器通过发送装载文件系统的IRP请求(IRP_MJ_FILE_SYSTEM_CONTROL,IRP_MN_LOAD_FILE_SYSTEM)进行拦截。同时将VPB_MOUNTED设为已绑定状态,防止I/O管理器继续发送绑定请求,否则I/O管理器会继续发送挂载消息,但是IRP会持续被拦截。
[0059] (6)针对已绑定的设备被移出白名单后,文件系统过滤驱动阻断I/O管理器与设备进行通信,并通过文件系统过滤驱动发送卸载指令,将设备从便携式移动工作设备卸载。不对VPB_MOUNTED状态进行修改,仍为绑定状态,防止I/O管理器继续发送绑定请求。
[0060] 本实施例中,系统启动时即会对接入系统的设备进行扫描屏蔽。系统启动完成后,如果有新的字符设备或块设备接入,则会发现新的文件系统加载事件,然后,过滤驱动将自身附加到这个新的文件系统之上。获取新设备的设备指纹信息,判断新接入的设备是否为白名单设备,是则放行,否则屏蔽。
[0061] 便携式移动工作设备接入公共计算机后,为公共计算机中处于白名单中的设备分配IRP分发函数与快速IO分发函数,以实现便携式移动工作设备与公共计算机中处于白名单中的设备进行数据通信和读写操作。
[0062] 另外,公共计算机在未取得相应权限时,无法对存放管控策略白名单的注册表中的管控策略进行修改,从而防止第三方恶意修改白名单。
[0063] 本实施例可以方便快捷的设置非法设备和白名单设备,能够快速有效的对设备进行管控和放行,而无需繁杂的操作。
[0064] 实施例二
[0065] 在一个或多个实施方式中,公开了一种基于文件系统过滤的便携式移动工作系统,包括:
[0066] 加载模块,用于将计算机系统和文件系统安装在便携式移动工作设备中;
[0067] 过滤模块,用于在便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的字符设备或块设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统。
[0068] 上述模块的具体实现方式已经在实施例一中进行了说明,不再详述。
[0069] 实施例三
[0070] 在一个或多个实施方式中,公开了一种便携式移动工作设备,所述便携式移动工作设备中安装有计算机系统和文件系统,所述便携式移动工作设备接入公共计算机时,获取公共计算机中的字符设备或块设备信息;将获取到的字符设备或块设备信息与便携式移动工作设备中预设的白名单设备信息进行比对,判断是否存在非法设备;若存在,在驱动层将所述非法设备进行过滤屏蔽,使其无法访问便携式移动工作设备中的计算机系统和文件系统。
[0071] 上述过程的具体实现方式已经在实施例一中进行了详细说明,不再详述。
[0072] 上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
