CN110221991A - 计算机外围设备的管控方法及系统 - Google Patents
计算机外围设备的管控方法及系统 Download PDFInfo
- Publication number
- CN110221991A CN110221991A CN201810173880.0A CN201810173880A CN110221991A CN 110221991 A CN110221991 A CN 110221991A CN 201810173880 A CN201810173880 A CN 201810173880A CN 110221991 A CN110221991 A CN 110221991A
- Authority
- CN
- China
- Prior art keywords
- peripheral equipment
- peripheral
- control
- policy table
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/10—Program control for peripheral devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及计算机外围设备的管控方法及系统,管控方法的实现流程包括:步骤S1:系统内核对外围设备进行初始化注册,同时向用户层空间发出uevent事件;步骤S2:用户层空间获取外围设备信息;步骤S3:判断外围设备是否属于管控范畴,是则执行步骤S4‑步骤S6,否则结束;步骤S4:根据外围设备信息检索管控策略表并进行仲裁运算,得到该外围设备的仲裁结果;步骤S5:若仲裁结果是禁止,则结束,若仲裁结果是放行,则执行步骤步骤S6;步骤S6:判断外围设备是否具有存储功能,若不具备,则结束,若具备,则监控外围设备的访问权限。本发明管控方式灵活、管控成本低、管控粒度细。
Description
技术领域
本发明涉及数据安全技术领域,具体涉及一种计算机外围设备的管控方法及系统。
背景技术
计算机外围设备为用户与计算机的数据交互带来了极大的便利性,但同时也给一些特殊单位(军政、研究所、涉密企业和团体)带来了一定的安全隐患。据中国国家计算机病毒处理中心CVERC在2016年发布的第15次全国网络安全状况暨计算机调查分析报告统计,目前33.46%的信息泄露事件是由内部人员以外设作为载体进行盗窃造成的。而美国CSI/FBI也连续5年在计算机犯罪与安全调查报告中表明,超过85%的安全威胁来自于企业内部,而非病毒与黑客攻击。所以,针对计算机外围设备的管控研究则显得尤为迫切和重要。
国产平台外围设备管控系统及其管控方法(专利号CN 104598401 A)涉及一种国产平台外围设备管控系统及其管控方法,如图1所示,包含管控中心及管控代理。管控中心进行外围设备注册以建立被管计算机外围设备白名单,并建立与之对应的外围设备管控策略,并将外围设备白名单及管控策略传送至管控代理;管控代理依据管控中心发送的白名单及管控策略实施与之对应的外围设备管控操作,并实时与管控中心进行外围设备管控策略和白名单的信息同步。
该技术确保了只有提前完成注册的合法外围设备才能在特定管控域内使用,降低了外围设备滥用所造成的信息泄露隐患,但存在以下几方面的不足:
1、手动注册方式机械,后期管理代价高
具体表现:(1)计算机外围设备种类较多,针对某类设备实际使用的数量多少不一,在管控域中可使用的合法设备均需提前手动注册,注册方式机械、注册效率低,若管控系统大规模部署,注册设备信息工作量大;(2)每当有新设备添加使用时,该管控系统后续均需专门安全管理员进行外围设备的注册管理与相关维护,管控代价高。
2、管控方式不够灵活
具体表现:管控策略库中以白名单方式为外围设备进行合法信息记录,白名单以外的外围设备均视为非法设备,禁止使用。此种方式做到了同类不同个体的管控区分,但忽略了用户针对某一类设备全部放行或是全部禁用的需求,并且在管控过程中未能支持手动管控和自动管控并存方式的应用情景。
3、管控粒度粗
具体表现:管控过程中对被管控设备未进行细粒度(非存储类设备:打印机、扫描仪、键盘、鼠标等;存储类设备:刻录光驱、U盘、移动硬盘、读卡器等)区分,仅以设备硬件属性标识与注册信息进行比对,作为放行与禁用的依据。同时,在设备管控后未对存储类设备用户的访问权限进行细粒度(安全、宽松、严格访问权限)管控与校验,默认放行后系统用户均可最大权限访问该设备。
4、管控代理端缺乏自主性
具体表现:管控代理端无本地管控命令,所执行管控操作均受管控中心指令或是管控策略支配,一旦中心与代理端网络异常,代理端将无法自主支配。
因此,有必要提供一种新的计算机外围设备的管控方法。
发明内容
为解决现有技术存在的不足,本发明提供了一种计算机外围设备的管控方法,包括:
步骤S1:系统内核对外围设备进行初始化注册,同时向用户层空间发出uevent事件;
步骤S2:用户层空间获取外围设备信息;
步骤S3:判断外围设备是否属于管控范畴,是则执行步骤S4-步骤S6,否则结束;
步骤S4:根据外围设备信息检索管控策略表并进行仲裁运算,得到该外围设备的仲裁结果;
步骤S5:若仲裁结果是禁止,则结束,若仲裁结果是放行,则执行步骤步骤S6;
步骤S6:判断外围设备是否具有存储功能,若不具备,则结束,若具备,则监控外围设备的访问权限。
其中,所述步骤S4中,所述管控策略表包括类策略表及个体策略表,分别用于提供某类外围设备以及某个外围设备的管控策略,并且,个体策略表的优先级高于类策略表。
其中,所述类策略表及个体策略表均包括0、1及2三种状态,其中,0表示对外围设备实施禁用策略,1表示对外围设备实施放行策略,2表示对外围设备不实施相应的策略。
其中,所述步骤S6中,根据访问权限策略表监控外围设备的访问权限,并且所述访问权限策略表中存储的访问状态包括严格、宽松及安全,严格访问状态下,用户无权访问该外围设备;宽松访问状态下,用户对该外围设备仅具有读访问权限;安全访问状态下,用户对该外围设备具有读、写及执行访问权限。
其中,所述步骤S6中,利用cgroup机制,根据访问权限策略表实现对外围设备访问权限的监控。
其中,所述步骤S6中,利用cgroup机制对外围设备访问权限的监控的实现流程包括:
步骤S61:创建cgroup层级结构,并以mount-t cgroup-o devices-/cgroup/devices命令创建devcies子系统;
步骤S62:在/cgroup/devcies/目录下自动创建包括devices.allow、devices.deny及devices.list在内的伪文件及group3-dev文件夹;
步骤S63:按照用户访问权限策略表中用户和设备的访问权限关系向/cgroup/devices/group3-dev/tasks用户进行权限设置。
其中,所述步骤S3中,以所获取的外围设备信息作为索引值,在系统sys/bus/pci总线下分析该外围设备的硬件属性及内核驱动,判断外围设备所属类别,以进一步判断外围设备是否属于管控范畴。
其中,所述步骤S2中,通过UDEV技术或Libusb技术获取外围设备信息。
其中,所述步骤S6中,根据访问权限策略表监控外围设备的访问权限;或者,在将外围设备挂载到系统环节的过程中,对挂载过程进行截弧,通过设置系统挂载的权限监控外围设备的访问权限。
其中,计算机开机时,计算机系统启动外围设备管控后台程序的守护进程devctl_server。
本发明另外提供了一种计算机外围设备的管控系统,所述管控系统包括相互连接的内核层空间以及用户层空间,其中,
所述内核层空间用于识别外围设备的连接、初始化注册以及向用户层空间发出uevent事件;
所述用户层空间用于在内核层空间发出uevent事件的前提下,对外围设备进行管控策略计算,判断外围设备所属类别及是否具有存储功能,并在外围设备具备存储功能的前提下,对外围设备进行访问权限的监控。
其中,所述用户层空间包括监控模块、仲裁模块以及策略模块,其中,
所述监控模块与内核层空间连接,用于接收内核层空间发出的uevent事件,并提取外围设备信息;
所述策略模块存储有外围设备的管控策略表及访问权限策略表,用于对外围设备的管控及访问提供标准;
所述仲裁模块与监控模块及策略模块连接,用于根据监控模块提供的外围设备信息,检索策略模块中的管控策略表,并计算出仲裁结果。
其中,所述用户层空间还包括Sysfs文件系统模块、判别模块以及权限监控模块,其中,
所述Sysfs文件系统模块与仲裁模块连接,用于根据仲裁模块的仲裁结果,对外围设备进行相应的禁用或放行管控;
所述判别模块与Sysfs文件系统模块连接,用于判别Sysfs文件系统模块所放行的外围设备是否具备存储功能;
所述权限监控模块与判别模块及策略模块连接,用于根据策略模块提供的访问权限策略表,对具有存储功能的经Sysfs文件系统模块所放行的外围设备进行访问权限的监控。
其中,所述权限监控模块利用cgroup机制实现对外围设备访问权限的监控。
其中,所述监控模块通过UDEV技术获取外围设备信息。
其中,所述监控模块还具有根据外围设备信息判断外围设备所属类别的功能。
其中,所述监控模块以所获取的外围设备信息作为索引值,在系统sys/bus/pci总线下分析该外围设备的硬件属性及内核驱动,判断外围设备所属类别,以进一步判断外围设备是否属于管控范畴。
其中,所述管控策略表包括类策略表及个体策略表,分别用于提供某类外围设备以及某个外围设备的管控策略,并且,个体策略表的优先级高于类策略表。
其中,所述类策略表及个体策略表均包括0、1及2三种状态,其中,0表示对外围设备实施禁用策略,1表示对外围设备实施放行策略,2表示对外围设备不实施相应的策略。
其中,所述访问权限策略表中存储的访问状态包括严格、宽松及安全,严格访问状态下,用户无权访问该外围设备;宽松访问状态下,用户对该外围设备仅具有读访问权限;安全访问状态下,用户对该外围设备具有读、写及执行访问权限。
本发明提供的计算机外围设备的细粒度管控方法及系统,管控方式灵活、管控成本低、管控粒度细。
附图说明
图1:现有的计算机外围设备的管控方法的实现流程图。
图2:本发明的计算机外围设备的管控系统的系统架构图。
图3:本发明的计算机外围设备的管控方法的实现流程图。
附图标记说明
10 Web服务器端
20 用户层空间
21 监控模块
22 仲裁模块
23 策略模块
24 Sysfs文件系统模块
25 判别模块
26 权限监控模块
30 内核层空间
31 内核
40 外围设备
具体实施方式
为了对本发明的技术方案及有益效果有更进一步的了解,下面结合附图详细说明本发明的技术方案及其产生的有益效果。
图2及图3分别为本发明的计算机外围设备的管控系统的系统架构图及管控方法的实现流程图,现结合图2及图3,详细说明本发明的技术方案及有益效果。
如图2所示,本发明的计算机外围设备的管控系统,以B/S架构实现,分为Web服务器端10以及客户机端(客户机端包括用户层空间20和内核层空间30),Web服务器端10为外围设备管控功能提供集中式的设备管控上层界面,安全管理员可在Web服务器端10或者是客户机端以登录网址的方式登录管控Web界面,然后对各个客户机进行外围设备管控。客户机端是待管控机器,是外围设备管控主程序运行的宿主机,实际的对外围设备实施管控操作。请结合参阅图3所示,本发明具体的管控实现流程如下:
1、系统用户将外围设备40插入到客户机,客户机系统内核层30的内核31首先对该外围设备40进行初始化注册,同时向用户层空间20发出uevent事件。
2、用户层空间20的外围设备管控后台程序中的监控模块21通过UDEV技术或Libusb技术,捕获内核31发出的uevent事件,并对该外围设备40的(action)、设备在系统中的名称(sysname)、序列号(serial)、产品标识号(pid)、厂商标识号(vid)信息进行提取。具体的,本发明可自动识别设备的热拔插动作:在内核31给用户层空间20发出uevent事件时,用户层空间20捕获该uevent消息时,便可通过函数接口udev_device_get_action(dev),便可知道该设备的热插拔动作是插入(函数接口返回:add)还是拔出(函数接口返回:remove)。
3、监控模块21以获取的外围设备在系统中的信息作为索引值,在系统/sys/bus/pci/总线下面进一步详细分析该外围设备40的硬件属性信息及内核设备驱动。如:sd为存储类驱动,sr为刻录光驱类驱动,usbhid为键盘与鼠标类驱动,usblp为打印机类驱动等,进而判断外围设备40所属类别,以进一步判断外围设备40是否属于管控范畴。即,本发明可通过分析设备的硬件属性和内核驱动对设备的具体类型进行自动化判定识别。
4、若外围设备40不属于管控范畴,则结束管控,若属于,则进行下一步。
5、监控模块21将获取的外围设备信息存储在数据库(图未视)中,同时,将外围设备信息输出给仲裁模块22,仲裁模块22根据该外围设备信息去策略模块23中检索策略库中的管控策略表,根据策略库中所配置的类策略表和个体策略表进行仲裁运算,得出最终仲裁结果。策略库中针对类策略表和个体策略表设定有0、1、2三种状态,0表示禁用状态,1表示放行状态,2表示default状态(default是指安全管理员没有对该类或个体设备进行管控策略表中的状态设置,是外围设备管控后台程序自动获取并存储的结果)。
也即,1和2都是的结果都是放行,但是2的作用是一个出厂设置,即一旦此数字进行变更,便说明用户已经在用此套外设管控软件;另外,2是一个占位符,2的位置就是为了用户去设置1/0进行替换,减少了其它异常情况的程序识别(比如说识别NULL,识别\n等情况),确保了程序健壮性。
管控策略表的具体运算结果如下表所示:
表1:管控策略表的仲裁运算结果
从表1显示可知,个体策略表的优先级是高于类策略表的,也就是说,在个体策略和类策略相矛盾的情况下,仲裁结果取决于个体策略,因此,本发明通过个体策略表和类策略表的设置,实现了灵活的管控方式,在具体管控时,本发明可以对某一类外围设备设置统一的管控原则,并在此基础上,对此类外围设备中一些具有特殊性质的个体进行特殊管控。
6、Sysfs文件系统模块24以仲裁模块22做出的最终仲裁结果对外围设备40实施禁用或放行操作。禁用操作为解绑定(unbind)过程,使外围设备40与系统内核的设备驱动进行解绑定,以此禁止外围设备40的合法外联,使外围设备40不可用,略过后续的管控步骤。放行操作为绑定(bind)过程,使外围设备40与系统内核的设备驱动正常绑定,允许外围设备40合法外联,使外围设备40可正常使用。
7、判别模块25对于放行的外围设备40,也即Sysfs文件系统模块24解绑定的外围设备40,进行是否具有存储功能的判断,如果不具备存储功能,则管控流程到此结束,如果具有存储功能,则需要权限监控模块26读取策略模块23内的访问权限策略表,并调用cgroup机制,对当前系统用户的外围设备40进行访问权限的监控。或者,在系统将外围设备40挂载到系统环节的过程中,对挂载过程进行截弧(比如说改造UDEV程序),通过设置系统挂载的权限也可以达到控制访问权限的目的。
本发明中,为防止root用户权限过大,致使访问旁路,系统用户访问具有存储功能的外围设备40的管控借助cgroup中devices子模块资源管理机制进行实现。首先创建cgroup层级结构,并以mount-t cgroup-o devices-/cgroup/devices命令创建devcies子系统,此时将在/cgroup/devcies/目录下自动创建devices.allow、devices.deny、devices.list等伪文件和group3-dev文件夹,然后按照用户访问权限策略表中用户和设备的访问权限关系向/cgroup/devices/group3-dev/tasks用户进行权限设置,一旦对某用户设备访问权限设置完成,此用户下所有进程对此设备访问均仅有一种权限。cgroup资源机制设置对root用户和普通用户设置均有效,以此最终实现系统所有用户访问外设的权限约束功能。
本发明中,如表2所示,针对具有存储功能外围设备40,用户访问的权限仅有三种:严格、宽松及安全。
表2:访问权限策略表
状态 | r | w | x |
严格 | 0 | 0 | 0 |
宽松 | 1 | 0 | 0 |
安全 | 1 | 1 | 1 |
安全模式为用户合法,对外围设备具有读(r)、写(w)与执行(x)访问权限。宽松模式为用户合法,但对外围设备仅有读(r)访问权限。严格模式为用户合法,但仍然无权限访问该外围设备。
8、考虑到Web服务器端10和客户机端有可能会存在断连或是网络异常等情况,本发明在客户机端提供一个本地管控命令(devctl)。该命令可针对某类外围设备或是同类不同外围设备个体进行管控操作,也可更改策略库中的配置策略表,使外围设备管控程序在客户机中实施自动化自主管控。
以下以管控通用串行总线U盘为例,介绍本发明的管控方法,其它外围设备可参照此步骤,本发明不多加累述。
一、硬件环境和软件环境
硬件环境:
CPU:Intel(R)Core(TM)i5-2500
内存:8GB
U盘型号:金士顿DataTraveler G2 8GB
软件环境:
计算机系统:Centos6.6
内核版本:Linux 2.6.32-504.el6.x86_64
二、管控前提条件
1、客户机端管控程序的管控范畴:存储类(sd)、打印机类(usblp)、刻录光驱类(sr)外围设备进行管控,也即,安全管理员仅对存储类(sd)、打印机类(usblp)、刻录光驱类(sr)外围设备进行管控,其它类外围设备不在管控范畴中(具体管控类别可根据实际需求进行变更)。
2、目前策略库中的类策略表及个体策略表对此U盘的管控状态status字段为默认软件安装状态值2,其表示安全管理员未对该U盘的相应策略进行更改配置。
3、目前策略库中的访问权限策略表的访问权限status字段为默认软件安装状态值111[分别对应系统的读(r)、写(w)与执行(x)位值],同样表示安全管理员未对相应策略进行配置,默认用户对存储类设备具有读写执行权限。
三、管控流程
1、系统开机,启动外围设备管控后台主程序的守护进程devctl_server。
2、用户将准备好的U盘插入到计算机中,内核31对U盘进行初始化注册,监控模块22获取U盘信息如下表:
表3:U盘信息提取表
获取信息项 | 具体数值 |
action | add |
devtype | usb_device |
serial | 00142225A589BA7065150007 |
vid | 0951 |
pid | 1624 |
sysname | 2-1.4 |
3、以表3的信息作为索引值,在/sys/bus/pci/总线下面查找该设备的硬件属性和内核驱动。经过分析,外围设备管控后台主程序最终分析确认得知该设备驱动为sd,由管控的前提条件可知,sd类外围设备在管控范畴中。
4、外围设备管控后台主程序中的仲裁模块22依据此U盘的类策略表和个体策略表进行仲裁计算,由管控前提条件可知,此U盘的类策略表中的status和个体策略表中的status值均为2,根据表1计算可知,仲裁结果为2,即放行。
5、经外围设备管控后台主程序中的判别模块25的判断,该U盘具有存储功能,因此,启用croup实现用户访问机制,从策略库中获取此U盘的访问权限策略表,对U盘进行访问权限的监控。
本发明的有益效果如下:
1、管控成本低
通过自动监控外围设备的热插拔动作,并根据外围设备信息,通过分析sys/bus/pci总线下的内核驱动,可实现外围设备的智能化类型识别与判定,可省略现有的管控策略的注册环节,为安全管理员的后期维护提供了便利,降低了相关成本。
2、管控方式灵活
由于策略库中个体策略表及类策略表的设置,可使管理员以更灵活的方式选择手动实时管控或自动实时管控:(1)手动实时管控即安全管理员通过集中式的管控上层界面对所需管控设备进行手动管控;(2)自动实时管控即安全管理员事先设置好管控对象的个体管控策略及类管控策略,管控程序根据个体策略表及类策略表自动实时监测并管控外围设备。
策略库中个体策略表及类策略表的设置,同时也实现了即可对某类设备进行管控,也可针对同类设备的不同个体进行单独管控。
3、管控粒度细
通过设置安全、宽松、严格的访问权限,使安全管理员在对不同类别、不同个体的外围设备实现管控的时候,能够进行不同安全级别的访问监控。
4、通过cgroup资源机制的使用,提供了一种对root用户和普通用户均有效的具备存储功能的外围设备的访问权限控制方法。
本发明中,所谓的“UDEV”,是指用户空间设备管理器(Userspace DEV),是Linux内核的新一代设备管理器,支持硬件设备在/dev目录下的动态管理,包括设备文件的创建、删除、字符连接、更改设备文件属组、访问权限等操作。
本发明中,所谓的“vid”,是指厂商标识号(vendor id),是国际通用的商品标识系统中表示生产厂商的唯一代码。
本发明中,所谓的“pid”,是指产品标识号(product id),用于识别产品及其质量、数量、特征、特性和使用方法所做的各种表示的统称。
本发明中,所谓的“serial”,是指设备序列号,也称“设备机器码”,其为硬件的核心编号,主要作用是便于系统管理硬件,所以每个设备硬件序列号都具有唯一性。
本发明中,所谓的“sysname”,为一种系统名称(system name),是指外围设备在计算机系统中的识别名称。
虽然本发明已利用上述较佳实施例进行说明,然其并非用以限定本发明的保护范围,任何本领域技术人员在不脱离本发明的精神和范围之内,相对上述实施例进行各种变动与修改仍属本发明所保护的范围,因此本发明的保护范围以权利要求书所界定的为准。
Claims (20)
1.一种计算机外围设备的管控方法,其特征在于包括:
步骤S1:系统内核对外围设备进行初始化注册,同时向用户层空间发出uevent事件;
步骤S2:用户层空间获取外围设备信息;
步骤S3:判断外围设备是否属于管控范畴,是则执行步骤S4-步骤S6,否则结束;
步骤S4:根据外围设备信息检索管控策略表并进行仲裁运算,得到该外围设备的仲裁结果;
步骤S5:若仲裁结果是禁止,则结束,若仲裁结果是放行,则执行步骤步骤S6;
步骤S6:判断外围设备是否具有存储功能,若不具备,则结束,若具备,则监控外围设备的访问权限。
2.如权利要求1所述的计算机外围设备的管控方法,其特征在于:所述步骤S4中,所述管控策略表包括类策略表及个体策略表,分别用于提供某类外围设备以及某个外围设备的管控策略,并且,个体策略表的优先级高于类策略表。
3.如权利要求2所述的计算机外围设备的管控方法,其特征在于:所述类策略表及个体策略表均包括0、1及2三种状态,其中,0表示对外围设备实施禁用策略,1表示对外围设备实施放行策略,2表示对外围设备不实施相应的策略。
4.如权利要求1所述的计算机外围设备的管控方法,其特征在于:所述步骤S6中,根据访问权限策略表监控外围设备的访问权限,并且所述访问权限策略表中存储的访问状态包括严格、宽松及安全,严格访问状态下,用户无权访问该外围设备;宽松访问状态下,用户对该外围设备仅具有读访问权限;安全访问状态下,用户对该外围设备具有读、写及执行访问权限。
5.如权利要求1所述的计算机外围设备的管控方法,其特征在于:所述步骤S6中,利用cgroup机制,根据访问权限策略表实现对外围设备访问权限的监控。
6.如权利要求5所述的计算机外围设备的管控方法,其特征在于:所述步骤S6中,利用cgroup机制对外围设备访问权限的监控的实现流程包括:
步骤S61:创建cgroup层级结构,并以mount-t cgroup-o devices-/cgroup/devices命令创建devcies子系统;
步骤S62:在/cgroup/devcies/目录下自动创建包括devices.allow、devices.deny及devices.list在内的伪文件及group3-dev文件夹;
步骤S63:按照用户访问权限策略表中用户和设备的访问权限关系向/cgroup/devices/group3-dev/tasks用户进行权限设置。
7.如权利要求1所述的计算机外围设备的管控方法,其特征在于:所述步骤S3中,以所获取的外围设备信息作为索引值,在系统sys/bus/pci总线下分析该外围设备的硬件属性及内核驱动,判断外围设备所属类别,以进一步判断外围设备是否属于管控范畴。
8.如权利要求1所述的计算机外围设备的管控方法,其特征在于:所述步骤S2中,通过UDEV技术或Libusb技术获取外围设备信息。
9.如权利要求1所述的计算机外围设备的管控方法,其特征在于:所述步骤S6中,根据访问权限策略表监控外围设备的访问权限;或者,在将外围设备挂载到系统环节的过程中,对挂载过程进行截弧,通过设置系统挂载的权限监控外围设备的访问权限。
10.如权利要求1-9中任一项所述的计算机外围设备的细粒度管控方法,其特征在于:计算机开机时,计算机系统启动外围设备管控后台程序的守护进程devctl_server。
11.一种计算机外围设备的管控系统,其特征在于:所述管控系统包括相互连接的内核层空间以及用户层空间,其中,
所述内核层空间用于识别外围设备的连接、初始化注册以及向用户层空间发出uevent事件;
所述用户层空间用于在内核层空间发出uevent事件的前提下,对外围设备进行管控策略计算,判断外围设备所属类别及是否具有存储功能,并在外围设备具备存储功能的前提下,对外围设备进行访问权限的监控。
12.如权利要求11所述的计算机外围设备的管控系统,其特征在于:所述用户层空间包括监控模块、仲裁模块以及策略模块,其中,
所述监控模块与内核层空间连接,用于接收内核层空间发出的uevent事件,并提取外围设备信息;
所述策略模块存储有外围设备的管控策略表及访问权限策略表,用于对外围设备的管控及访问提供标准;
所述仲裁模块与监控模块及策略模块连接,用于根据监控模块提供的外围设备信息,检索策略模块中的管控策略表,并计算出仲裁结果。
13.如权利要求12所述的计算机外围设备的管控系统,其特征在于:所述用户层空间还包括Sysfs文件系统模块、判别模块以及权限监控模块,其中,
所述Sysfs文件系统模块与仲裁模块连接,用于根据仲裁模块的仲裁结果,对外围设备进行相应的禁用或放行管控;
所述判别模块与Sysfs文件系统模块连接,用于判别Sysfs文件系统模块所放行的外围设备是否具备存储功能;
所述权限监控模块与判别模块及策略模块连接,用于根据策略模块提供的访问权限策略表,对具有存储功能的经Sysfs文件系统模块所放行的外围设备进行访问权限的监控。
14.如权利要求13所述的计算机外围设备的管控系统,其特征在于:所述权限监控模块利用cgroup机制实现对外围设备访问权限的监控。
15.如权利要求12所述的计算机外围设备的管控系统,其特征在于:所述监控模块通过UDEV技术获取外围设备信息。
16.如权利要求12的计算机外围设备的管控系统,其特征在于:所述监控模块还具有根据外围设备信息判断外围设备所属类别的功能。
17.如权利要求16的计算机外围设备的管控系统,其特征在于:所述监控模块以所获取的外围设备信息作为索引值,在系统sys/bus/pci总线下分析该外围设备的硬件属性及内核驱动,判断外围设备所属类别,以进一步判断外围设备是否属于管控范畴。
18.如权利要求12的计算机外围设备的管控系统,其特征在于:所述管控策略表包括类策略表及个体策略表,分别用于提供某类外围设备以及某个外围设备的管控策略,并且,个体策略表的优先级高于类策略表。
19.如权利要求18的计算机外围设备的管控系统,其特征在于:所述类策略表及个体策略表均包括0、1及2三种状态,其中,0表示对外围设备实施禁用策略,1表示对外围设备实施放行策略,2表示对外围设备不实施相应的策略。
20.如权利要求12的计算机外围设备的管控系统,其特征在于:所述访问权限策略表中存储的访问状态包括严格、宽松及安全,严格访问状态下,用户无权访问该外围设备;宽松访问状态下,用户对该外围设备仅具有读访问权限;安全访问状态下,用户对该外围设备具有读、写及执行访问权限。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810173880.0A CN110221991B (zh) | 2018-03-02 | 2018-03-02 | 计算机外围设备的管控方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810173880.0A CN110221991B (zh) | 2018-03-02 | 2018-03-02 | 计算机外围设备的管控方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110221991A true CN110221991A (zh) | 2019-09-10 |
CN110221991B CN110221991B (zh) | 2023-04-07 |
Family
ID=67822098
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810173880.0A Active CN110221991B (zh) | 2018-03-02 | 2018-03-02 | 计算机外围设备的管控方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110221991B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN112836203A (zh) * | 2021-02-03 | 2021-05-25 | 中标软件有限公司 | 一种基于内核定制实现安卓系统设备管控的方法 |
CN113676340A (zh) * | 2020-05-15 | 2021-11-19 | 广州汽车集团股份有限公司 | 一种sdio通信异常的监测方法、架构及计算机可读存储介质 |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030177389A1 (en) * | 2002-03-06 | 2003-09-18 | Zone Labs, Inc. | System and methodology for security policy arbitration |
US20080313730A1 (en) * | 2007-06-15 | 2008-12-18 | Microsoft Corporation | Extensible authentication management |
US20110093917A1 (en) * | 2008-06-13 | 2011-04-21 | Byron A Alcorn | Hierarchical Policy Management |
CN102567667A (zh) * | 2011-12-13 | 2012-07-11 | 中标软件有限公司 | 一种智能信息设备及其操作系统 |
CN104598401A (zh) * | 2014-12-22 | 2015-05-06 | 中国人民解放军信息工程大学 | 国产平台外围设备管控系统及其管控方法 |
US20150200943A1 (en) * | 2014-01-13 | 2015-07-16 | Oracle International Corporation | Access policy harvesting |
US20150281954A1 (en) * | 2014-03-28 | 2015-10-01 | Vivint, Inc. | Anti-takeover systems and methods for network attached peripherals |
CN105005722A (zh) * | 2015-06-26 | 2015-10-28 | 北京北信源软件股份有限公司 | 移动存储设备的接入控制方法及装置 |
US20160306963A1 (en) * | 2015-04-14 | 2016-10-20 | Avecto Limited | Computer device and method for controlling untrusted access to a peripheral device |
CN106254163A (zh) * | 2016-09-28 | 2016-12-21 | 广州中软信息技术有限公司 | 监控局域网中计算机的usb端口的方法及装置 |
-
2018
- 2018-03-02 CN CN201810173880.0A patent/CN110221991B/zh active Active
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20030177389A1 (en) * | 2002-03-06 | 2003-09-18 | Zone Labs, Inc. | System and methodology for security policy arbitration |
US20080313730A1 (en) * | 2007-06-15 | 2008-12-18 | Microsoft Corporation | Extensible authentication management |
US20110093917A1 (en) * | 2008-06-13 | 2011-04-21 | Byron A Alcorn | Hierarchical Policy Management |
CN102567667A (zh) * | 2011-12-13 | 2012-07-11 | 中标软件有限公司 | 一种智能信息设备及其操作系统 |
US20150200943A1 (en) * | 2014-01-13 | 2015-07-16 | Oracle International Corporation | Access policy harvesting |
US20150281954A1 (en) * | 2014-03-28 | 2015-10-01 | Vivint, Inc. | Anti-takeover systems and methods for network attached peripherals |
CN104598401A (zh) * | 2014-12-22 | 2015-05-06 | 中国人民解放军信息工程大学 | 国产平台外围设备管控系统及其管控方法 |
US20160306963A1 (en) * | 2015-04-14 | 2016-10-20 | Avecto Limited | Computer device and method for controlling untrusted access to a peripheral device |
CN105005722A (zh) * | 2015-06-26 | 2015-10-28 | 北京北信源软件股份有限公司 | 移动存储设备的接入控制方法及装置 |
CN106254163A (zh) * | 2016-09-28 | 2016-12-21 | 广州中软信息技术有限公司 | 监控局域网中计算机的usb端口的方法及装置 |
Non-Patent Citations (2)
Title |
---|
赵俭: "国产平台外围设备管控系统研究与设计", 《网络安全技术与应用》 * |
金俊平等: "一种可推演的外设细粒度管控模型", 《计算机工程》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676340A (zh) * | 2020-05-15 | 2021-11-19 | 广州汽车集团股份有限公司 | 一种sdio通信异常的监测方法、架构及计算机可读存储介质 |
CN112836203A (zh) * | 2021-02-03 | 2021-05-25 | 中标软件有限公司 | 一种基于内核定制实现安卓系统设备管控的方法 |
Also Published As
Publication number | Publication date |
---|---|
CN110221991B (zh) | 2023-04-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101010656B (zh) | 操作系统无关的代理 | |
DE112005001739B4 (de) | Nachverfolgung geschützter Speicherbereiche zur Beschleunigung von Antivirusprogrammen | |
JP2022512192A (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
CN1773417B (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
US7984133B2 (en) | Computer and access control method in a computer | |
US20080172720A1 (en) | Administering Access Permissions for Computer Resources | |
CN108683652A (zh) | 一种基于行为权限的处理网络攻击行为的方法及装置 | |
US20040025052A1 (en) | Distributive access controller | |
CN101894225A (zh) | 聚集反病毒软件应用程序的知识库的系统和方法 | |
CN101808123B (zh) | 在存储系统中访问存储资源的方法和装置 | |
CN109447876A (zh) | 一种市民卡系统 | |
MXPA02010378A (es) | Enmascaramiento programatico de unidades de almacenamiento. | |
CN104246698A (zh) | 弹性操作系统电脑 | |
WO2007013983A2 (en) | Access based file system directory enumeration | |
KR101223594B1 (ko) | Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체 | |
JP2022512195A (ja) | 挙動による脅威検出のためのシステムおよび方法 | |
Van Meter et al. | Derived virtual devices: A secure distributed file system mechanism | |
CN105049445B (zh) | 一种访问控制方法及独立式访问控制器 | |
US20060075103A1 (en) | Systems, methods, and media for providing access to clients on a network | |
RU2434283C1 (ru) | Система защиты информации от несанкционированного доступа к информации, содержащей сведения, составляющие государственную тайну | |
WO2021033868A1 (ko) | 가변 컴퓨터 파일시스템이 적용된 데이터 저장장치 | |
US11755374B2 (en) | Cloud resource audit system | |
CN110221991A (zh) | 计算机外围设备的管控方法及系统 | |
US7844833B2 (en) | Method and system for user protected media pool | |
KR101103611B1 (ko) | 데이터의 원격 중개 및 분산 제어 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |