CN106951789B - 一种基于安全标签的usb防摆渡方法 - Google Patents

一种基于安全标签的usb防摆渡方法 Download PDF

Info

Publication number
CN106951789B
CN106951789B CN201710156288.5A CN201710156288A CN106951789B CN 106951789 B CN106951789 B CN 106951789B CN 201710156288 A CN201710156288 A CN 201710156288A CN 106951789 B CN106951789 B CN 106951789B
Authority
CN
China
Prior art keywords
usb
file
safety label
storage medium
read
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710156288.5A
Other languages
English (en)
Other versions
CN106951789A (zh
Inventor
刘飞
龙飞宇
杨少鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Publication of CN106951789A publication Critical patent/CN106951789A/zh
Application granted granted Critical
Publication of CN106951789B publication Critical patent/CN106951789B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Physics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于安全标签的USB防摆渡方法,系统启动时自动运行可信进程,加载文件过滤驱动程序、应用层过滤钩子及内核保护程序;当用户使用外接USB存储介质时,文件过滤驱动程序感知USB存储介质的插入和拔出,记录当前系统的状态,同时控制非可信进程对USB存储介质的只读权限,并禁止USB存储介质内可执行文件的加载运行;用户生成涉密文件并为需要传输的文件添加安全标签;用户通过可信进程拷贝带有安全标签的文件到USB存储介质;采用内核保护程序保护可信进程。本发明安全性更高,成本更低,用户使用体验更好。

Description

一种基于安全标签的USB防摆渡方法
技术领域
本发明涉及一种基于安全标签的USB防摆渡方法。
背景技术
USB存储设备作为一种信息存储和交换的介质,以其容量大、易携带等优点迅速得到广泛的应用,为信息的存储、交换和转发提供了极大便利。但剑有双刃,USB存储介质的普及也为国家和个人的信息安全带来了极大隐忧。究其原因,主要有以下几点:首先,USB存储设备具有随时可读可写性,一旦将其作为数据摆渡媒介用以承载机密文件,就极有可能给木马和病毒提供窃密的可乘之机;其次,由于交叉使用,USB存储设备极易成为传递病毒和木马的媒介,将内部网络暴露于攻击之下;第三,恶意程序更有可能悄悄植入USB中,在USB插入内部网络时,秘密窃取内部敏感文件及数据,最后通过连接外网达成泄密目的。
因此,依托USB存储介质的交叉使用,各种网络病毒、木马的攻击,以及人为无意或有意的操作,导致重大失泄密事件频频发生。目前,借助USB存储介质摆渡窃取涉密文件,已然成为威胁国家和个人信息安全的重大隐患。如何有效解决USB存储介质在外部和内部网络间的安全摆渡问题已经成为信息安全领域的关注焦点。
目前,针对USB防摆渡的技术可大致分为三类:第一类是通过特殊硬件级媒介实现对USB的只读控制。例如,在《数据摆渡在安全移动存储中的应用研究》中,通过特殊USB存储介质与内部网络建立非TCP/IP链接,该特殊移动介质内置智能芯片,可实现与内网终端系统的双向认证,从而达到内部与外部数据安全摆渡的目的。第二类是通过将内网或计算机中文件进行重要等级划分,同时将用户对文件的访问权限进行等级划分,通过将移动介质的访问权限设为最低,从而阻止恶意程序从内部窃取敏感数据。第三类是在USB上嵌入COS程序,通过该COS程序与安装在内部网络主机上的代理程序进行双向认证,完成对USB的只读与写入控制,例如实用新型专利“一种U盘数据安全摆渡方法”(200910092125.0)。
以上方式,虽然能在一定程度上防范恶意程序将内部敏感数据摆渡到外部,却不能规避人为操作有意或无意地将敏感数据拷贝至USB介质而导致失泄密的风险。此外,大部分防摆渡技术的实现必须依托专用USB存储介质,这不仅增加了硬件成本,还会在很大程度上影响用户的使用体验。针对以上问题,本发明实例提供了一种基于安全标签的USB防摆渡技术,旨在解决用户操作或恶意程序利用USB存储介质将敏感数据摆渡到外部从而造成重要信息泄露的问题。借助本发明实例所提供的方法,既可实现数据安全摆渡,又可提升用户体验,同时也可降低使用成本。
发明内容
为了克服现有技术的上述缺点,本发明提供了一种基于安全标签的USB防摆渡方法。通过专用软件为需要摆渡的文件及数据打上安全标签;只允许通过专用可信软件将携带安全标签的文件及数据拷贝到USB存储设备中;以其他方式向USB存储设备中拷贝数据的行为将被阻止。本发明有效地解决了现有防摆渡技术中未考虑人为无意或有意操作而导致失泄密的情况,且本发明的实现不需要依托专用USB存储介质,解决了普通USB介质的防摆渡问题。本发明有效地解决了用户或者恶意程序利用普通USB存储介质的交叉使用将敏感数据摆渡到外部而导致泄密的问题,提高了USB存储介质在交叉使用中的安全性,降低了USB防摆渡技术的硬件成本,并提升了用户的使用体验。
本发明解决其技术问题所采用的技术方案是:一种基于安全标签的USB防摆渡方法,包括如下步骤:
步骤一、系统启动,自动运行可信进程,加载文件过滤驱动程序、应用层过滤钩子及内核保护程序;
步骤二、当用户使用外接USB存储介质时,文件过滤驱动程序感知USB存储介质的插入和拔出,记录当前系统的状态,同时控制非可信进程对USB存储介质的只读权限,并禁止USB存储介质内可执行文件的加载运行;
步骤三、用户生成涉密文件,通过安全标签加密软件为需要传输的文件添加安全标签;
步骤四、用户通过可信进程拷贝带有安全标签的文件到USB存储介质;
步骤五、采用内核保护程序保护可信进程。
与现有技术相比,本发明的积极效果是:
本发明实现了主机与USB存储介质的流向控制,能够在不影响用户对USB存储介质使用的情况下,有效抵御用户操作及木马攻击将内部敏感数据摆渡到外部而导致失泄密的安全威胁,从而对涉密数据起到有效的保护作用。相比于现有USB防摆渡技术,本发明安全性更高,成本更低,用户使用体验更好。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为Windows文件过滤驱动;
图2为Hook前后的程序执行流程对比。
具体实施方式
本发明提供了一种基于安全标签的USB防摆渡技术,以解决由于用户或者恶意程序利用普通USB存储介质将敏感数据摆渡到外部而导致泄密的问题。
用户可从普通USB存储介质中拷贝任意文件或数据到本地磁盘,但仅能通过专用可信软件拷贝带有安全标签的文件到USB存储介质。拷贝任何未携带安全标签文件的行为,以及使用其他任何方式拷贝数据到USB存储介质的行为,都将被阻止。
为解决以上问题,本发明提供一种基于安全标签的USB防摆渡方法,包括如下步骤:
步骤一:系统启动,自动运行可信进程,加载文件过滤驱动程序、应用层过滤钩子及内核保护程序。
该可信进程为普通的Windows后台服务程序,用于加载应用层过滤钩子、向文件过滤驱动传递参数,以及向用户提供拷贝带安全标签文件或数据的交互界面。为了防止恶意停止该服务器,需要屏蔽该服务的停止选项,并保护该服务对应的注册表。
步骤二:当用户使用外接USB存储介质时,文件过滤驱动将感知USB存储介质的插入和拔出,记录当前系统的状态,同时控制非可信进程对USB存储介质的只读权限,并禁止USB存储介质内可执行文件的加载运行。
文件系统过滤驱动是针对文件系统而言的,由于NT的I/O管理器支持分层驱动程序模型,支持可扩展的驱动程序和其它一些执行体服务,因此它既可以位于文件系统驱动之上,也可以被插在文件系统驱动和存储设备驱动之间。
因为每个影响到设备行为的操作都是使用I/O请求包,通常被送到设备堆栈的最上层驱动程序,然后逐渐传送到下面的驱动程序。每一层驱动程序都可以决定如何处理I/O请求包。因此可以在I/O管理器与文件系统驱动之间插入本发明实例中的过滤驱动,如图1所示。该过滤驱动可以拦截来自上层的I/O请求包,并对该IRP进行处理后再继续向下传递或直接向上返回结果,也可以拦截来自下层返回的I/0请求包,并对结果进行处理后再继续向上返回。通过这种方案,可以达到控制文件访问、保护文件安全等目的。
本发明实例中文件过滤驱动具体需要实现以下三个功能:
实现USB的判定:通过拦截IRP_MN_MOUNT_VOLUME,感知当前USB的接入,获取USB的盘符,为限制USB病毒的运行、实现USB只读控制做准备;
实现USB只读控制:根据应用进程对文件的访问机理,一般来说,用户对文件的访问可以简化地描述为:创建一个文件句柄,调用读/写函数对文件进行操作,关闭文件句柄。这些函数会使操作系统在内核层创建相应的I/O读写请求包到相应的处理回调例程,在回调例程中处理文件读写操作。IRP类型有IRP_MJ_CREATE、IRP_MJ_READ、IRP_MJ_WRITE、IRP_MJ_SET_INFORMATION、IRP_MJ_CLOSE等几个IRP请求。过滤这些I/O操作,就可以提供对USB文件的禁止、只读和读写三种访问模式;
实现可信进程的判定:可以通过进程环境块PEB结构中的ProcessParameters结构中的ImagePathName获取进程名称。结合上面的USB只读控制功能,若操作文件的为可信进程,则USB具有读写权限,若操作文件为非可信进程,则USB具有只读权限。考虑到仅靠进程名称判定容易被伪造,判定时结合进程路径和进程哈希值来判定。
限制USB病毒的运行:可以通过进程环境块PEB获取进程名称、进程路径,如果判定文件名为autorun.inf、可执行文件等,则拦截IRP_MJ_READ的I/O操作,限制对该文件的读权限。
步骤三:用户生成涉密文件,通过安全标签加密软件为需要传输的文件添加安全标签,该软件实现对原始文件的重构,同时实现对文件的加密转化。
进行文件重构时,可通过在文件头部添加标签属性和水印属性等方式实现。
步骤四:用户通过可信进程拷贝此类带有安全标签的文件到USB存储介质。应用层过滤钩子实时拦截拷贝文件函数,检测所拷贝的文件是否带有安全标签。携带安全标签的文件将被放行,反之则被拦截。即通过可信进程且携带安全标签的文件拷贝可以成功,通过非可信进程或未携带安全标签的文件拷贝都将失败。
Detours是一个用来在二进制级别上对程序中的函数(Function)或者过程(Procedure)进行修改的工具库,该技术称为"Hook"。Detours的实现原理是将目标函数的前几个字节改为jmp指令跳转到自己的函数地址,以此接管对目标函数的调用,并插入自己的处理代码。
通过Hook操作系统的拷贝文件函数CopyFileA、CopyFileW、CopyFileExA、CopyFileExW实时拦截拷贝文件函数,检测所需拷贝的文件是否带有安全标签。hook前后的程序执行流程对比如图2所示。
步骤五:采用内核保护程序保护该可信进程,防止该进程被注入,被修改运行状态,同时实现内核层对可信进程的身份验证。
为了保护可信进程,需要针对当前攻击运行程序的主流方式(结束进程、注入其他的模块、关闭窗口、修改提示窗口的信息等)进行拦截。保护内容包括:
文件保护:通过编写文件过滤驱动过滤I/O操作请求,在文件系统驱动程序(FSD)和I/O管理器之间嵌入文件保护模块,当检测到非可信代理进程的操作对象为受保护的文件和目录时,拦截该操作,中断传递过程;
注册表保护:通过拦截应用程序的注册表读写信息,当检测到读写键值为受保护的键值时,中断消息传递,从而实现关键键值受保护的目的;
窗口保护:对应用程序向可信进程的窗口发送消息进行过滤,保证可信进程窗口所接收的消息均来自合法进程;
服务保护:对受保护服务的操作进行过滤,检测当前操作服务的进程是否为合法进程。

Claims (9)

1.一种基于安全标签的USB防摆渡方法,其特征在于:包括如下步骤:
步骤一、系统启动,自动运行可信进程,加载文件过滤驱动程序、应用层过滤钩子及内核保护程序;
步骤二、当用户使用外接USB存储介质时,文件过滤驱动程序感知USB存储介质的插入和拔出,记录当前系统的状态,同时控制非可信进程对USB存储介质的只读权限,并禁止USB存储介质内可执行文件的加载运行;
步骤三、用户生成涉密文件,通过安全标签加密软件为需要传输的文件添加安全标签;
步骤四、用户通过可信进程拷贝带有安全标签的文件到USB存储介质;
步骤五、采用内核保护程序保护可信进程。
2.根据权利要求1所述的一种基于安全标签的USB防摆渡方法,其特征在于:所述文件过滤驱动位于文件系统驱动之上或被插在文件系统驱动和存储设备驱动之间。
3.根据权利要求2所述的一种基于安全标签的USB防摆渡方法,其特征在于:所述文件过滤驱动程序拦截来自上层的I/O请求包,并对该IRP进行处理后再继续向下传递或直接向上返回结果;或拦截来自下层返回的I/0请求包,并对结果进行处理后再继续向上返回。
4.根据权利要求3所述的一种基于安全标签的USB防摆渡方法,其特征在于:所述文件过滤驱动程序实现如下功能:
(1)实现USB的判定:通过拦截IRP_MN_MOUNT_VOLUME,感知当前USB的接入,获取USB的盘符,为限制USB病毒的运行、实现USB只读控制做准备;
(2)实现USB只读控制:通过过滤I/O操作提供对USB文件的禁止、只读和读写三种访问模式;
(3)实现可信进程的判定:通过进程环境块获取进程名称,若操作文件为可信进程,则USB具有读写权限,若操作文件为非可信进程,则USB具有只读权限;
(4)限制USB病毒的运行:通过进程环境块获取进程名称和进程路径,如果判定文件名为autorun.inf、可执行文件,则拦截IRP_MJ_READ的I/O操作,限制对文件的读权限。
5.根据权利要求4所述的一种基于安全标签的USB防摆渡方法,其特征在于:在对可信进程进行判定时结合进程路径和进程哈希值来判定。
6.根据权利要求1所述的一种基于安全标签的USB防摆渡方法,其特征在于:所述安全标签加密软件实现对原始文件的重构,同时实现对文件的加密转化。
7.根据权利要求6所述的一种基于安全标签的USB防摆渡方法,其特征在于:通过在文件头部添加标签属性和水印属性方式实现对原始文件进行重构。
8.根据权利要求1所述的一种基于安全标签的USB防摆渡方法,其特征在于:所述应用层过滤钩子实时拦截拷贝文件函数,检测所拷贝的文件是否带有安全标签:携带安全标签的文件将被放行,反之则被拦截。
9.根据权利要求1所述的一种基于安全标签的USB防摆渡方法,其特征在于:对可信进程的保护包括:
(1)文件保护:通过编写文件过滤驱动程序过滤I/O操作请求,在文件系统驱动程序和I/O管理器之间嵌入文件保护模块,当检测到非可信代理进程的操作对象为受保护的文件和目录时,拦截该操作,中断传递过程;
(2)注册表保护:通过拦截应用程序的注册表读写信息,当检测到读写键值为受保护的键值时,中断消息传递,从而实现关键键值受保护的目的;
(3)窗口保护:对应用程序向可信进程的窗口发送消息进行过滤,保证可信进程窗口所接收的消息均来自合法进程;
(4)服务保护:对受保护服务的操作进行过滤,检测当前操作服务的进程是否为合法进程。
CN201710156288.5A 2016-12-09 2017-03-16 一种基于安全标签的usb防摆渡方法 Active CN106951789B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CN2016111300102 2016-12-09
CN201611130010 2016-12-09

Publications (2)

Publication Number Publication Date
CN106951789A CN106951789A (zh) 2017-07-14
CN106951789B true CN106951789B (zh) 2019-07-16

Family

ID=59473482

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710156288.5A Active CN106951789B (zh) 2016-12-09 2017-03-16 一种基于安全标签的usb防摆渡方法

Country Status (1)

Country Link
CN (1) CN106951789B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108763245A (zh) * 2018-03-28 2018-11-06 北京明朝万达科技股份有限公司 一种基于ntfs系统文件标签的文档管理方法及系统
CN108829708A (zh) * 2018-05-02 2018-11-16 广州金山安全管理系统技术有限公司 文件安全判断方法及装置
CN111324900A (zh) * 2020-02-18 2020-06-23 上海迅软信息科技有限公司 一种用于企业数据安全的防泄密系统
CN112068890A (zh) * 2020-08-13 2020-12-11 中国电子科技集团公司第三十研究所 一种计算机外接设备控制方法、系统及存储介质
CN115065557B (zh) * 2022-08-05 2022-11-04 国网浙江省电力有限公司 适用于多系统间的数据安全交互方法
CN116560858A (zh) * 2023-07-07 2023-08-08 北京蔚领时代科技有限公司 Vr云服务器容器隔离方法及系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1838137A (zh) * 2006-04-26 2006-09-27 南京大学 一种对即插即用存储设备进行读写访问控制的方法
CN103020510A (zh) * 2011-09-28 2013-04-03 奇智软件(北京)有限公司 一种识别移动存储设备中的非法写入的方法及装置
CN104657676A (zh) * 2015-03-05 2015-05-27 北京安普诺信息技术有限公司 一种基于微过滤驱动的文件强制访问控制方法及其系统
CN106203187A (zh) * 2016-06-26 2016-12-07 厦门天锐科技股份有限公司 一种文件过滤驱动的usb存储设备限制方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1838137A (zh) * 2006-04-26 2006-09-27 南京大学 一种对即插即用存储设备进行读写访问控制的方法
CN103020510A (zh) * 2011-09-28 2013-04-03 奇智软件(北京)有限公司 一种识别移动存储设备中的非法写入的方法及装置
CN104657676A (zh) * 2015-03-05 2015-05-27 北京安普诺信息技术有限公司 一种基于微过滤驱动的文件强制访问控制方法及其系统
CN106203187A (zh) * 2016-06-26 2016-12-07 厦门天锐科技股份有限公司 一种文件过滤驱动的usb存储设备限制方法及系统

Also Published As

Publication number Publication date
CN106951789A (zh) 2017-07-14

Similar Documents

Publication Publication Date Title
CN106951789B (zh) 一种基于安全标签的usb防摆渡方法
US7484245B1 (en) System and method for providing data security
US10938854B2 (en) Systems and methods for preventive ransomware detection using file honeypots
AU2008203454B2 (en) Systems & Methods for Preventing Unauthorized Use of Digital Content
Loscocco et al. Meeting critical security objectives with security-enhanced linux
US8887295B2 (en) Method and system for enabling enterprises to use detachable memory devices that contain data and executable files in controlled and secure way
US8856521B2 (en) Methods and systems for performing secure operations on an encrypted file
US9195828B2 (en) System and method for prevention of malware attacks on data
WO2006039244A2 (en) Mandatory access control scheme with active objects
KR20050086051A (ko) 가상 디스크를 이용한 응용 프로그램 별 접근통제시스템과 그 통제방법
US9454652B2 (en) Computer security system and method
CN110069935B (zh) 基于标记内存的内部敏感数据保护方法及系统
CN106228078A (zh) 一种Linux下基于增强型ROST的安全运行方法
Saxena et al. Security Enhancement using Image verification method to Secure Docker Containers
CN102663313B (zh) 一种实现计算机系统信息安全的方法
CN114116606A (zh) 针对windows全系统的文件保护方法及系统
Tan et al. Short paper: Chips: content-based heuristics for improving photo privacy for smartphones
US8176562B1 (en) Privacy protection during remote administration
CN101827091A (zh) 一种利用强制访问控制检测Solaris系统故障的方法
CN102110214B (zh) 防止可移动存储器中的病毒感染计算机的方法及装置
CN108595967A (zh) 一种基于虚拟化技术的数据保护方法和系统
CN110096910A (zh) 一种基于文件过滤驱动的可信u盘实现方法
KR102623168B1 (ko) 데이터 보호 시스템
KR100760050B1 (ko) 가상 드라이브를 이용한 저작권 보호방법
Parida et al. Analyzing PTM attack traces through PageDumper: A case study

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant