刘建东

文章编号：2095-6835（2017）04-0075-02

摘 要：在移动存储设备广泛使用的同时，存在着极大的安全隐患，一些敏感的绝密数据信息面临着被泄露的风险。从移动存储设备安全监控与管理的相关功能模塊设计、移动存储设备文件过滤加密模块和移动存储设备的身份认证模块3个方面研究，探讨了移动存储设备的安全监控和管理。

关键词：移动存储设备；安全监控；功能模块；加密模块

中图分类号：TP309 文献标识码：A DOI：10.15913/j.cnki.kjycx.2017.04.075

随着科学技术的不断发展，在信息时代，出现了很多以前未曾出现的问题，无法有效保障移动存储设备的使用安全。为了解决这一问题，社会各界积极探索，努力找到安全、可靠、切实可行的方法。

1 相关功能模块设计

目前，USB接口是计算机配备的标准接口。因此当前的主流移动存储设备也大多使用USB接口作为设备连接口。当用户将移动存储设备与计算机相连时，计算机可以自动安装、识别移动存储设备相应的系统，实现即连即用的效果，不需要重新启动计算机，也不需要用户手动操作，不牵扯IRQ冲突等问题。

采用USB接口这一连接技术极大地简化了计算机与移动存储设备之间的信息互通交流过程，因此，这一技术被广泛运用，被越来越多的厂商采用。目前，利用USB接口技术可以快速传输数据信息，而且数据转存的过程也变得更简洁。但是，在USB接口技术为人们带来诸多便利的同时，也存在着很大的安全隐患。所以，加强USB接口的安全控制和管理，实现对移动存储设备安全性的把控是十分重要的。

在实际操作中，主要通过以下几种方式进行USB接口上的安全监控和管理：①直接用物理方法禁止USB接口。对于用PIC卡等附加的USB接口，可以直接手动拔出，而其他类型的USB接口，可以采用封堵的方式关闭。这种方法是最安全的，从物理层面上彻底消除了USB接口所带来的各种潜在威胁。但是，这种做法相对来说比较极端，USB接口被毁坏后无法再次使用。②在BIOS中阻断USB接口的使用，即在主板BIOS中关闭内置USB接口选项。这种方法能把所有的USB接口都关闭，但是，这种“一刀切”的做法会使所有的USB设备，例如USB鼠标，都无法正常使用。③在访问控制机制下控制USB接口。这是通过“启用”“禁用”计算机上的USB接口、1394接口等外设接口，达到阻断用户使用移动存储设备等相应硬件设备的目的。④利用全盘文件加密间接控制USB接口的数据传输。这种控制方式比前几种方式更呆板，对本地硬盘和移动存储设备采取统一的管理方法。此外，全盘文件加密也会阻碍系统正常性能的发挥。

综合上述几种方案，在现有的USB接口技术中，关于移动存储设备的安全监控与管理的措施都存在一定程度的缺陷，无法在有效监控和管理移动存储设备的同时保证其使用的便捷性和灵活性。

2 文件过滤加密模块

驱动程序是连接操作系统与系统硬件之间的重要纽带。要对移动存储设备进行安全监控和管理，有效保护USB接口数据的安全，需要移动存储设备在读取接口数据的过程中融合数据信息的加密解密工作，加密保护所有通过USB接口向外部传输的数据，对经由USB接口输入进受控主机的数据信息均采取解密处理措施。在此过程中，加密和解密是隐藏进行的，用户不需要输入密码也可以操作文件。

本文主要研究的是移动存储设备中文件的过滤加密。所谓“过滤驱动”，是指驱动层中的一种类型，它是一种特殊的核心模式驱动。过滤驱动与其他驱动相比，处于较为上层的位置，凌驾于其他驱动之上，有权限拦截底层驱动设备对象的请求。文件过滤驱动的主要功能是增加文件系统的功能，修改文件系统驱动。文件系统过滤驱动是Windows NT系统的重要组成部分，它可以记录、监控、管理文件系统或者文件系统卷的工作过程，具体的运作过程由驱动的类型决定。在操作过程中，经常使用的文件系统过滤驱动涵盖了防病毒软件、加密程序和分级存储管理系统等多种实际应用类型。要想实现USB接口对移动存储设备在使用过程中的安全监控和管理，主要依靠的是文件加密存储功能。在实际运行过程中，过滤驱动程序会拦截用户对移动存储设备的请求，保证数据加密存储，并对用户的请求进行数据解密，最终达到保护主机数据的目的。

3 身份认证模块

移动存储设备的身份认证模块主要是为了拦截主机内部人员肆意使用未经准许的存储设备，防范未经准许的存储设备向主机输入病毒，泄露内部信息等的安全问题的发生。

移动存储设备的身份认证主要功能包括：身份注册功能、身份认证功能、接入监控功能和认证处理功能等。在这些功能中，接入监控功能和认证处理功能相对来说更为重要。

用户将移动存储设备连接到主机系统时，操作系统会广播设备改变消息WM DEVICECHANGE。全部应用程序在接到WM DEVICECHANGE消息时，会相应加载处理函数OnDeviceChange。这一函数捕获WM DEVICECHANGE事件后，事件会被涵盖在消息wParam中，获得DEV BROADCEAST VOLUME结构数据。该数据中的各成员与变量之间依次对应，据此可以获得现有移动存储设备的盘符。

接收消息后将开始逐一列举主机中的全部移动设备，取得设备类型。如果是存储设备，则需依据盘符判断该设备是否需要验证；如果是待验证，则获取设备的描述符和字符串描述符进行身份验证；如果能通过验证，则可以正常操作；如果无法通过验证，该移动存储设备将会被强制卸载，无法使用，以确保主机的安全，实现对移动存储设备的安全监控和管理。

4 结束语

本文主要探讨了移动存储设备安全监控和管理的相关功能模块设计、移动存储设备文件过滤加密模块和移动存储设备的身份认证模块3个方面的内容。但是，数据信息安全性的保护不能只依靠技术层面的措施，还要充分落实各种安全保密制度，

通过法律法规来保护自主知识产权，从根本上杜绝信息被泄露

的情况发生。

参考文献

[1]彭望龙.基于J2EE的移动存储设备电子文件安全管理系统的设计与实现[D].南京：南京理工大学，2012.

[2]侯兴超.基于移动存储设备管理的主机防信息泄漏系统研究与设计[D].郑州：解放军信息工程大学，2007.

[3]曹成龙.基于文件过滤驱动的移动存储控制系统的研究与实现[D].南京：南京信息工程大学，2011.

〔编辑：白洁〕