一种USB存储设备的认证方法、系统及装置与流程

本发明属于信息安全技术领域，尤其是涉及一种对usb存储设备接入计算机进行认证的方法以及认证系统与装置。

背景技术：

随着硬件技术的快速发展，基于移动存储设备的应用越来广泛，如数据存储、身份认证、电子邮箱等等。在企业的管理中，需要必要的措施防止使用移动存储设备进行数据导出的泄密可能，一种通常使用的彻底杜绝移动设备进行数据拷贝的方式，是直接对usb的接口进行诸如胶水封闭等的物理措施，但是由于使用usb接口的设备类型众多，例如打印机、键盘、鼠标等，物理封闭的措施会导致非存储用途的其他usb设备使用不便；而现有的软件措施多是进行设备认证，通常需要对设备进行账号绑定或者预先配置相关信息的移动存储设备才能接入，这种方式依靠软件运行的兼容性和稳定性，一旦无法及时准确获取信息则会导致设备认证失败、无法使用；同时目前常用的认证方式中，对不同该设备采用的是固定不变的认证信息，即被授权的设备都具有同样的认证信息，如同样的密钥文件，无法做到与设备唯一对应，容易被拷贝从而骗过认证系统；另外目前的安全认证方案，大都难以实现存储设备的即插即用。

技术实现要素：

基于上述背景，本发明旨在提供一种usb存储设备的认证方法、系统及装置，即插即用，在对usb存储设备接入进行授权认证的同时，避免对其他usb设备的影响。具体的技术方案如下所述。

第一方面，一种usb存储设备的认证方法，包括：读取usb存储设备；判断是否具有正确的认证标识；若不具有认证标识或标识不正确则阻止该设备接入；若具有正确的认证标识则进一步读取设备序列号，并判断对应的注册信息是否正确，若注册信息正确则允许设备接入，若注册信息不正确或未查询到注册信息则阻止设备接入。

若所述usb存储设备不具有认证标识，则发起注册请求：上报当前设备的序列号与注册信息；对设备序列号与注册标识进行加密生成认证标识；将认证标识写入设备的mbr分区；对设备进行格式化。

所述设备的注册标识，包括：收到设备注册请求时的时间戳，和/或，收到设备注册请求时生成的随机数。

对设备序列号与注册标识采用md5算法进行加密，并保存加密生成的认证标识；判断设备是否具有正确的认证标识，包括根据设备序列号，将从设备读取的认证标识与保存的认证标识进行匹配，若匹配成功表示具有正确的认证标识。

第二方面，一种usb存储设备的认证系统，包括：

注册模块，用于接收包括设备序列号与注册信息的注册请求，并为设备生成唯一的认证标识；

存储模块，存储具有对应关系的设备序列号、设备注册信息与设备认证标识；

驱动模块，检测设备接入，并与设备进行通信；

认证模块，通过所述驱动模块对接入的设备进行安全认证。

作为较佳的，usb存储设备的注册过程包括：

未注册设备，通过驱动模块向注册模块上报当前设备的序列号与注册信息；

注册模块，对设备序列号与注册标识进行md5加密生成认证标识，将设备序列号、注册信息与认证标示形成对应关系，保存至存储模块；并且将认证标识写入设备的mbr分区后，对设备进行格式化。

所述设备的注册标识，包括：收到设备注册请求时的时间戳，和/或，收到设备注册请求时生成的随机数。

进一步的，系统认证过程包括：

系统启动时，注册模块从存储模块加载注册信息，并将注册信息同步至认证模块；

驱动模块检测到usb存储设备接入时，认证模块通过驱动模块读取usb存储设备的mbr分区，判断是否具有认证标识；

根据设备序列号，将从设备读取的认证标识与存储模块的认证标识进行匹配；若认证标识匹配不成功或未从设备读取到认证标识则阻止设备接入；若认证标识匹配成功，进一步根据设备序列号查询设备的信息与存储模块的注册信息是否匹配，若信息匹配成功则允许设备接入，若信息匹配失败则阻止设备接入。

第三方面，一种usb存储设备认证装置，包括处理器与存储器，所述存储器上存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述方法的步骤。

采用以上技术方案的本发明，具有以下有益效果：设备可以实现即插即用；接入时，通过判断设备上是否具有规定的认证标识，确定是否为注册设备，认证成功的设备允许接入而认证失败的设备拒绝接入，并且为认证失败的设备提供注册功能；同时认证标识是对设备的唯一序列号与注册时的唯一注册标识进行加密所得，具有更高安全性；而对于非存储设备，因为无法保存特定的认证标识，无需进行认证即可正常使用。从而实现对usb存储设备的便捷、高效、稳定的自动认证。

附图说明

图1为本发明的usb存储设备的认证方法实施例，设备认证流程示意图；

图2为本发明的usb存储设备的认证方法实施例，设备注册流程示意图；

图3为本发明的usb存储设备的认证系统实施例，系统组成模块示意图；

图4为本发明的优选实施例一，整体工作流程示意图。

具体实施方式

为使本发明的内容更加清楚，下面将结合附图对本发明实施例中的技术方案进行详细描述。

首先是对涉及的技术术语进行说明。

mbr是“masterbootrecord”的英文缩写，简称主引导记录，还可以叫做主引导扇区。它存储在硬盘的第一个扇区上，是计算机开机以后访问硬盘时所必须要读取的第一个扇区。主引导扇区记录着硬盘本身的相关信息以及硬盘各个分区的大小及位置信息。如果它受到破坏，硬盘上的基本数据结构信息将会丢失，需要用繁琐的方式试探性地重建数据结构信息后，才可能重新访问原先的数据。主引导扇区内的信息可以通过任何一种基于某种操作系统的分区软件写入，但和某种操作系统没有特定的关系，即只要创建了有效的主引导记录就可以引导任意一种操作系统。

与硬盘类似，usb存储设备（例如u盘）也属于存储设备，只不过前者是磁道存储，后者是芯片存储，但作用都是存取文件，存储设备的mbr都是可以建立和删除的。usb存储设备通常是不具有mbr的，但通过u盘启动盘软件对其写入引导后把启动文件考进去就变成启动盘了，并且启动盘制作软件也可以把带引导的设备的mbr用0或1重置参数，使它变为一般不带mbr的存储设备。同理，mp3和手机等也属于芯片存储，只要它们能被计算机识别到盘符，就同样适用前述的原理。

usb存储设备的主引导扇区，是设备接入计算机时被读取的第一个扇区，因此在该分区存入特定的内容作为启动数据就可以实现许多功能。

基于上述的mbr分区技术原理，本发明提出用于对usb存储设备进行授权认证的技术方案。

如图1所述，usb存储设备的认证方法实施例，包括：读取usb存储设备；判断是否具有正确的认证标识；标识不正确则阻止该设备接入，若不具有认证标识则发出要求设备进行注册；若具有正确的认证标识则进一步读取设备序列号，并判断对应的注册信息是否正确，若注册信息正确则允许设备接入，若注册信息不正确或未查询到注册信息则阻止设备接入。

如图2所示，如果设备是未注册过的新设备，设备不具有认证标识，则发起注册请求：上报当前设备的序列号与输入注册信息；对设备序列号与注册标识进行加密生成认证标识；将认证标识写入设备的mbr分区，同时保存生成的序列号、注册信息与认证标识的对应关系；最后对设备进行格式化完成注册。

上述的设备注册标识，包括：收到设备注册请求时的时间戳，和/或，收到设备注册请求时生成的随机数。对设备序列号与注册标识采用md5算法进行加密，并保存加密生成的认证标识。则图1中所述的，判断设备是否具有正确的认证标识，包括根据设备序列号，将从设备读取的认证标识与保存的认证标识进行匹配，若匹配成功表示具有正确的认证标识。

作为一种较佳的实施方式，可以进一步对设备存储的认证标识进行解密，并且将解密后的序列号、注册信息也进行匹配，只有认证标识、序列号、注册信息三者都匹配一致才表示认证成功。

如图3所示，usb存储设备的认证系统实施例，包括：

注册模块，用于接收包括设备序列号与注册信息的注册请求，并为设备生成唯一的认证标识；

存储模块，存储具有对应关系的设备序列号、设备注册信息与设备认证标识；

驱动模块，检测设备接入，并与设备进行通信；

认证模块，通过所述驱动模块对接入的设备进行安全认证。

结合图2，usb存储设备向认证系统进行注册的过程，包括：

未注册设备，通过驱动模块向注册模块上报当前设备的序列号与注册信息；

注册模块，对设备序列号与注册标识进行md5加密生成认证标识，将设备序列号、注册信息与认证标示形成对应关系，保存至存储模块；并且将认证标识写入设备的mbr分区后，对设备进行格式化。

所述设备的注册标识，包括：收到设备注册请求时的时间戳，和/或，收到设备注册请求时生成的随机数。

结合图1，系统对usb存储设备的认证过程包括：

系统启动时，注册模块从存储模块加载注册信息，并将注册信息同步至认证模块；

驱动模块检测到usb存储设备接入时，认证模块通过驱动模块读取usb存储设备的mbr分区，判断是否具有认证标识；

根据设备序列号，将从设备读取的认证标识与存储模块的认证标识进行匹配；若认证标识匹配不成功或未从设备读取到认证标识则阻止设备接入；若认证标识匹配成功，进一步根据设备序列号查询设备的信息与存储模块的注册信息是否匹配，若信息匹配成功则允许设备接入，若信息匹配失败则阻止设备接入。

基于上述的认证方法与系统，提出一种usb存储设备认证装置，包括处理器与存储器，所述存储器上存储有可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述方法的步骤。

实施例一

在上述的技术内容基础上，通过一个更具体的实施例详细说明本发明的实现过程。

如图4所示，首先是设置有安装到计算机的、用于对插入计算机的usb存储设备进行认证的客户端程序。

客户端启动时，加载预先保存的认证信息，并且将认证信息同步发送至驱动。此处所述的认证信息包括注册并且保存至当前客户端的设备序列号、注册信息与认证标识。当然也可以只将已注册的设备序列号同步至驱动，驱动根据插入的设备的序列号向客户端查询相对应的认证信息。

驱动初始化后，接收并保存客户端下发的认证信息，启动监测接口，等待计算机usb设备的接入请求。

当检测到有新的usb存储设备插入计算机时，根据上述的mbr原理，计算机会通过驱动首先读取设备的mbr分区；由于已经注册到当前客户端的设备的mbr分区保存有注册生成的认证标识，因此没有认证标识就表示当前设备没有进行注册。此处需要说明的是，对于非存储类usb设备，由于没有存储功能，更不会有分区等设置，因此，如果有必要，在判断是否具有认证标识之前，可以增加usb设备类型为存储或非存储的判断步骤，将非存储设备先排除在外，无需再进行后续的认证步骤。所述的认证标识可以是一种规定格式以及命名规则的文件，当未在设备上查找到该格式和命名的文件，则表示不具有认证标识。

如果设备不具有认证标识，一方面向客户端返回非法设备接入的通知，由客户端生成并保存相关日志，另一方面向设备用户提示设备未认证需要注册。作为一种优选的实施方式，用户可以通过点击该通知触发设备注册相关流程。

如果设备具有认证标识，则进一步获取设备的序列号，根据该序列号查询从客户端同步的认证信息中对应的认证标识，与设备上的认证标识是否一致。由于认证标识是经过加密后生成的文件，可以通过匹配两者的命名是否一致，文件大小是否一致等进行初步判断，进一步的根据加密方式选择相应的解密方式，解密认证标识得到具体的标识内容，从前述的叙述中可知，认证标识的内容包括序列号和特定的注册标识，判断认证标识是否正确，既需要解密得到的序列号与从设备获取的序列号一致，还需要注册标识信息相一致。此处判断注册标识是否一致，可以是将解密得到的收到设备注册请求时的时间戳，和/或，收到设备注册请求时生成的随机数等，与客户端记录的设备注册日志中的相关信息进行匹配，例如解密设备上的注册标识得到的注册请求时的时间戳，和/或，收到设备注册请求时生成的随机数，与客户端对设备注册请求的处理日志中的对应信息是否一致，若一致则表示注册标识相符，进一步认证标识正确；若不一致则说明注册标识不符、认证标识不正确。

进一步的，如果认证标识正确，则进一步的根据设备序列号查找注册时输入的设备注册信息，判断与当前设备是否相符，例如设备名称、厂商、生产日期、设备容量，设备芯片等。如果注册信息不相符，则一方面向客户端返回非法设备接入的通知，由客户端生成并保存相关日志，另一方面向设备用户提示设备认证失败无法使用。作为一种优选实施方式，如果认证失败可以向用户发送触发重新注册的通知，引导用户重新提交注册流程。此处需要说明的是，已经注册并认证成功的设备同样可以发起重新注册流程，不同的是，已注册设备对应的相关信息会根据设备序列号进行更新覆盖。

如果设备的注册信息判断一致，则表示当前设备通过了安全认证，可以接入进行使用，一方面向客户端返回合法设备接入的通知，由客户端生成并保存相关日志，另一方面向设备用户提示设备认证成功，正常使用。

当设备使用完成，设备拔除后，驱动向客户端返回重置命令，清楚缓存内容，并将使用过程中的日志进行保存以待审计。

当设备重新插入计算机，按照上述过程重新进行认证。

作为一种优选的实施方式，前述的客户端程序与服务器进行数据的交互。设备注册成功后的信息由服务器保存，客户端对设备进行认证时，根据设备序列号从服务器加载对应的认证信息，按照上述的认真过程进行设备认证。