基于内网安全的移动存储设备认证研究

　1引言

    　随着信息技术的发展，以企业内网为基础的信息系统大量涌现，同时也涉及到了更加广泛秘密信息。构建基于企业内网的信息系统需要解决的首要问题之一就是安全保密问题。将结合企业网络的实际情况和具体需求，对接入内部计算机的移动存储设备结合认证技术手段进行安全管理，从而防止通过移动存储设备途径泄漏敏感信息，达到可靠保护计算机信息安全的目的

　　2移动存储设备安全认证技术

   　 本文的移动存储设备安全认证技术是基于识别接入主机的USB设备，判断USB设备是否是移动存储设备；对那些合法的普通移动存储设备进行注册，未经认证的外部移动存储设备禁止使用，从而达到控制移动存储设备访问主机信息。

    　2.1移动存储设备识别的设计

    　当前所使用的移动存储设备，一般是一种支持热插拨的PnP设备，基于USB接口、携带方便、无需安装驱动程序，这些优点支持大容量数据的传输，但是同时信息泄漏的可能性也增大了，因此，注册和认证移动存储设备，先要做的是要对接入主机的USB外部设备进行判断，看其是否属于移动存储设备。本文通过构建PnP的协同工作环境来实现移动存储设备识别，

  　  用户模式PnP管理器和内核模式PnP管理器两个部分共同构成PnP管理器，0S组件和驱动程序与内核模式PnP管理器通过相互作用来进行配置与管理。用户安装组件与用户模式PnP管理器通过相互作用来进行设备配置和安装。

    　PnP服务在Windows系统服务中管理设备配置及安装，并通知程序设备的更改，某个设备或某类设备以RegisterDevice Notification表示，为获得更多的消息通知，可以调用Register Device Notification函数，在应用程序中向其注册，Register Device Notification函数如下所示：

  　  不管设备当前是否接入系统，在系统中出现的所有设备信息系统在运行中会自动记录，在注册表中保存这些设备信息被系统，对指定的某类设备信息集的获取可以通过对SetupDiGetCiassDevs函数的调用，获取USB类的设备信息则可用GUIDCLASS USBDEVICE，从这个设备信息集中选出接口信息使用的是SetupDiEnumDeviceInterfaces。依次枚举接口信息中每个设备接口的细节则用SetupDiGetInterheeDeviee-Detail，这样一来，在WM DEVICECHANGE中得到的设备符号链接名就是这个设备细节的DevicePath域，在这时。获取具体的单个设备的设备属性集可以通过SetupDiEnumDevieelnfo函数根据其ncount值来进行。

   　 2.2移动存储设备注册

  　  注册移动存储设备的目的，是将普通移动存储设备经过注册操作后。使之成为合法的移动存储设备，不能在主机中使用未注册的移动存储设备。目的是实现移动存储设备的管理。不被非法移动存储设备窃取主机信息，移动存储设备的注册过程阐述如下：

   　 (1)当移动存储设备被合法用户注册时，Windows设备消息就会在设备接人时触发，捕捉设备消息I对设备的逻辑信息和物理信息进行捕捉，分别采用的是文件驱动和识别技术。

  　  (2)设备信息获取之后，综合所获取的信息，在MDS算法的支持下，得到移动存储设备信息摘要，该摘要是惟一标识移动存储设备的信息，在存储设备注册信息库中将信息存入，

    　(3)为设备设置验证策略，在设备注册信息阵写入移动存储设备用户的口令信息，属于口令验证方式；此外还可以采用证书验证方式，在用户注册信息载体中写入移动存储设备信息，并绑定用户身份与移动存储设备，

   　 2.3移动存储设备的认证

    　每次使用移动存储设备的时候。需要验证其合法性，分为两种验证方式，分别是：证书方式和口令方式，若设置证书验证方式为验证的策略，每次使用移动存储设备时，接入敏感主机必须与其绑定的数字证书同时进行；若口令验证方式为设置的验证策略，每次使用移动存储设备时必须输入用户口令，目的是保证使用进行存取操作的只有移动存储设备的主人，具体的步骤阐述如下：

  　  (1)生成移动存储设备的标识信息，按照与移动存储设备注册相同的过程

　    (2)将注册信息库中的标识信息与生成的标识信息进行匹配，如果找到符合项则可以断定是合法注册移动存储设备，如果找不到符合项则可以断定是未注册移动存储设备，发出报警信息，并拒绝移动存储设备在敏感主机使用；

    　(3)若选择证书验证方式为验证策略：将数字证书载体中的标识信息与生成的标识信息进行匹配，如果匹配结果完全相同，则可以断定正在使用移动存储设备的用户身份是合法的，否则发出报警信息，拒绝移动存储设备在敏感主机使用，并认为移动存储设备正被非法用户使用；

  　  (4)若选择口令验证方式为验证策略：将注册信息库中的口令信息与用户输入的口令进行匹配，如果匹配口令是正确的，则可以断定正在使用移动存储设备的用户身份合法，否则发出报警信息，拒绝移动存储设备在敏感主机使用，并认为移动存储设备正被非法用户使用。  

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。