基于Linux的USB存储设备访问控制机制研究

USB存储设备所造成的数据泄漏问题日益严重。对USB存储设备进行访问控制,可以有效阻止USB存储设备的数据泄漏。文中主要研究基于Linux操作系统的USB存储设备访问控制机制,并且从用户态、内核Lsm框架以及驱动这三个不同层次分别提出了三种可行的USB存储设备访问控制机制。在这基础上,结合这三种访问控制机制各自的特点以及关键技术对它们的有效性、可用性进行了分析。作为验证,在Linux平台上实现了这三种机制。三种方法均可以有效地进行USB存储设备访问控制。     

基于免疫安全存储设备IBSSD的研究与实现

基于智能磁盘的安全存储设备是当前安全存储系统研究的热点问题.为解决现有安全存储设备I/O性能低的问题,引入人工免疫算法,实现高效的访问控制模块.首先给出基于免疫安全存储设备的结构,以及基于免疫访问控制模块中主要元素的定义,针对存储设备的特点,设计了差异选择算法和混合检测算法.实现了基于免疫访问控制的原型系统,验证了系统能高效地识别非法数据访问请求.修改开源存储区域网系统-Lustre中智能磁盘模块的代码,构建基于免疫安全存储设备的原型系统,测试了I/O性能.结果验证了基于免疫安全存储设备的I/O损失较小,能构成较高性能的安全存储系统.     

基于.NET C#的USB存储设备访问控制程序

USB存储设备在给个人电脑用户的数据存储带来便利的同时也带来了一些安全性的问题,如未经许可的数据访问、计算机病毒的传播等。为提高用户计算机的安全性,基于.NET C#,较为详细地说明了编写一个对USB存储设备进行访问控制的程序。     

一种新型的USB存储设备访问控制方案

针对使用USB存储设备所引发的信息安全问题,提出了一种基于嵌入式Linux系统的USB存储设备访问控制方案.该方案在保持主机系统软硬件结构不变的基础上增加了嵌入式Linux平台,并利用Linux USB从设备端驱动,在嵌入式平台中实现了对USB存储设备的访问控制;同时结合用户实际需要,采用基于角色的访问控制方式,给出了详细的设计思路和软硬件框架.试验结果表明,该方案可以有效地防范针对USB接口存储设备的攻击,从而达到保障用户信息安全的目的.     

USB移动存储设备中异常病毒数据检测技术研究

对USB移动存储设备中的异常病毒数据进行检测,可以延长USB移动存储设备寿命,提高数据利用率,减少系统运行时间。当前方法利用轨迹点片段异常对USB移动存储设备中的异常病毒数据进行检测,将几个独立的USB移动存储设备中的异常病毒数据属性进行结合,针对现有的异常病毒数据点的异常轨迹进行检测,以病毒数据的位置、速度以及方向为检测对象。该方法对USB移动存储设备中的异常病毒数据检测效率低,不适用于大规模的USB移动存储设备中的异常病毒数据检测。为此,提出一种基于PATRICIA树的USB移动存储设备中异常病毒数据检测方法。该方法利用K-means算法将USB移动存储设备中的数据划分为K个类,并利用欧几里德距离对各个类间的相似度进行衡量,然后在独立分量分析的基础上加入遗忘因子,对USB移动存储设备中异常病毒数据检测时含噪进行测量估计,最后利用小波分析法,通过设置USB移动存储设备中异常病毒数据判定阈值,以及标准化以后的小波系数内绝对值,与判定阈值的比较完成病毒数据的检测。实验结果证明,所提的检测方法可以高精度地对USB移动存储设备中异常病毒数据进行检测,更加符合该领域发展实际意义。     

基于信息安全的易失性USB存储设备设计

通用串行总线(USB)是一种大容量存储设备广泛使用的硬件接口,它具有高传输速度、容易携带等特点,被广泛应用在日常生活中,但也使得USB大容量存储设备中的数据容易被窃取。传统的数据保密方式一般通过认证系统来防止信息泄露,这种方法可以在一定程度上保障数据的安全性,但也存在认证失效或硬件暴力破解的风险。提出了一种基于SDRAM存储介质和Cortex-M4处理器的硬件防泄露方案,可以保证USB大容量存储设备断电一定时间后数据丢失,以防被硬件暴力破解,避免泄露和遗失。     

基于驱动层的USB存储设备安全增强技术

USB存储设备的应用日益广泛，其安全性不容忽视。首先介绍了基于硬件的USB存储设备安全增强技术，分析了该技术存在的主要问题，然后针对USB存储设备的特点提出了基于驱动层的安全增强技术的设计目标，最后详细阐述各功能模块的具体设计方法。     

USB存储设备访问控制与数据安全系统

针对USB存储设备接人与控制,结合访问控制技术、数据隐藏技术、加密技术,提出了一种USB存储设备的访问控制与数据安全系统,在一定程度上抵制了非法使用USB事件,有效地保证了数据安全.     

USB移动存储设备密级保护系统的设计与实现

随着USB技术的快速发展,各种移动存储设备给人们的生活带来许多便利,同时USB移动存储设备的安全问题也日益严重。本文设计了一种管理USB移动存储设备的方法,基于MFC平台使用C++语言设计实现了USB移动存储设备密级保护管理系统,对USB移动存储设备进行授权管理,从而缓解USB移动存储设备带来的诸多安全问题。     

借助Hypervisor强化TrustZone对非安全世界的监控能力

ARM TrustZone技术已经在Android手机平台上得到了广泛的应用,它把Android手机的硬件资源划分为两个世界,非安全世界（Non-Secure World）和安全世界（Secure World）.用户所使用的Android操作系统运行在非安全世界,而基于TrustZone对非安全世界监控的系统（例如,KNOX,Hypervision）运行在安全世界.这些监控系统拥有高权限,可以动态地检查Android系统的内核完整性,也可以代替Android内核来管理非安全世界的内存.但是由于TrustZone和被监控的Android系统分处于不同的世界, world gap（世界鸿沟）的存在导致处于安全世界的监控系统不能完全地监控非安全世界的资源（例如,Cache）.TrustZone薄弱的拦截能力和内存访问控制能力也弱化了它对非安全世界的监控能力.首次提出一种可扩展框架系统HTrustZone,能结合Hypervisor来协助TrustZone抵御利用world gap的攻击,增强其拦截能力和内存访问控制能力,从而为非安全世界的操作系统提供更高的安全性保障.并在Raspberry Pi2开发板上实现了HTrustZone的原型系统,实验结果表明：HTrustZone的性能开销仅增加了3%左右.     

基于驱动注入的分布式USB设备监控系统

USB设备的普及对内部网的信息安全形成了很大的威胁,用户有意或无意地违规操作,如数据拷贝、拨号上网和打印操作行为等,都有可能造成敏感信息的泄露。该文提出了一个通用的般控模型,对用户的USB设备操作行为进行监控,通过驱动注入的方法实现了USB设备实时监控系统（UDMC）,UDMC采用集中式管理,分布式控制架构,具有动态的USB设备变更检测、类型检测、敏感USB设备控制,安全警报,日志审计等功能。应用表明。UDMC能够有效地控制和降低USB设备对内部网造成的信息安全风险。     

USB存储设备MTU值配置优化技术研究

传统优化技术在随机读、混合读和数据一致性方面性能差,为解决这一问题,提出USB存储设备MTU值配置优化技术研究。先采集USB存储设备行为数据,再利用纠删码技术,设置MTU值配置存储总容量。考虑到数据数量过大,设计层次式文件管理架构记录文件属性。在此基础上,为优化存储数据,采用扁平式存储结构,实现USB存储设备MTU值配置优化。由此,完成USB存储设备MTU值配置优化技术的研究。实验在release 5.5操作系统下完成,分别测试两种优化技术随机读、混合读和数据一致性的性能。实验结果表明,使用所提技术能够达到近似最优的性能,数据访问开销比例更少。     

恶意USB设备原理及防护措施研究

在网络与信息安全领域中,计算机USB接口安全一直以来都面临着严峻的风险挑战,也是用户最容易忽略的问题,而恶意USB设备是计算机USB接口安全的主要威胁之一,它严重威胁着企业的信息安全与公民隐私信息安全。针对当前USB安全问题现状进行了分析,介绍了常见的恶意USB设备Keylogger与BadUSB的危害、攻击特性,对Keylogger,BadUSB硬件电路原理,硬件程序实现,攻击方法进行了详细剖析。通过AVR微控芯片构建出Keylogger,BadUSB设备,然后用其设备对计算机进行攻击实验,最终实现对目标主机的监听与控制,并研究拦截Keylogger记录监听与抵御BadUSB攻击的安全防护措施,为用户提供有效的安全保护解决方案。这些防护措施与解决方案能有效地保护公共信息安全与个人信息安全,能遏制USB接口层面信息安全事件的发生。     

基于网络的数据库敏感数据加密模型研究

在互联网飞速发展的今天,Web 技术与数据库技术的结合越来越紧密,所以保护数据库的安全成为了信息安全十分重要的一环。在网络环境下,应采用什么样的机制来为用户提供对数据的产生、存储和访问,以及如何有效地保证其中的数据安全性,就成为迫切需要研究的课题。加密技术对数据库中存储的高度敏感机密性数据,起着越来越重要的作用,是防止数据库中的数据在存储和传输中失密的有效手段,所以完全可以用于模型。为了保护互联网中的敏感数据,提出了数据库中敏感数据的加密模型,基于对数据库敏感数据的分析、数据分类,通过加密引擎、密钥管理、失效密钥处理,将用户敏感数据形成密文存储在数据库之中。这样即使是数据库管理员也无法轻易获取用户敏感信息,在因为攻击等问题造成的数据泄露之后也可以减少系统损失,最大限度保证数据库中数据的安全性。实验结果表明该模型可以有效保护数据库中敏感数据安全。     

USB2．0-ATA桥接器IP核设计

USB2.0为PC外设中的大容量存储设备提供了很好的支持,出现了一系列的便携式大容量存储设备.大容量存储设备遵循不同于USB2.0协议的ATA协议,因此需要在两个总线之间设计一个USB2.0-ATA桥接器来进行指令翻译和数据管理.本文设计了一种USB2.0-ATA桥接器IP核,为内嵌ATA接口的USB设备开发打下基础,并可用于SOC的集成中.     

引入内可信基的应用程序保护方法

提出一种在不可信操作系统中保护应用程序的新方法AppISO.针对传统的虚拟化方法的高开销问题,AppISO在不可信操作系统的同一特权层引入内可信基,代替虚拟机监控器实施应用程序保护,避免了昂贵的特权层切换.同时利用硬件虚拟化,以及页表锁定、影子IDT、切换页面等软件技术保证内可信基的安全性.证明了所提内可信基方法与虚拟化方法具有同样的高安全性.实验和分析结果表明,内可信基方法可显著地提高系统性能.     

USBWall: A novel security mechanism to protect against maliciously reprogrammed USB devices

Universal Serial Bus (USB) is a popular choice of interfacing computer systems with peripherals. With the increasing support of modern operating systems, it is now truly plug-and-play for most USB devices. However, this great convenience comes with a risk that can allow a device to perform arbitrary actions at any time while it is connected. Researchers have confirmed that a simple USB device such as a mass storage device can be disguised to have an additional functionality such as a keyboard. An unauthorized keyboard attachment can compromise the security of the host by allowing arbitrary keystrokes to enter the host. This undetectable threat differs from traditional virus that spreads via USB devices due to the location where it is stored and the way it behaves. We propose a novel way to protect the host via a software/hardware solution we named a USBWall. USBWall uses BeagleBone Black (BBB), a low-cost open-source computer, to act as a middleware to enumerate the devices on behalf of the host. We developed a program to assist the user to identify the risk of a device. We present a simulated USB device with malicious firmware to the USBWall. Based on the results, we confirm that using the USBWall to enumerate USB devices on behalf of the host eliminates risks to the hosts.     

U盘唯一性标识信息的构建与识别方法

根据涉密存储介质保密管理的要求,以U盘为例,提出一种新颖的、以USB协议和大容量存储类协议为基础的移动存储介质管理架构。存储介质的唯一性标识由VID、PID和硬件序列号组成。同时还提出了基于CY7C67300嵌入式主机控制器的USB总线介质管理方案。通过USB总线枚举方式,逐一识别介质唯一性标识并通过超级终端显示。测试结果证明,该标识和识别方法可以用于移动存储介质安全管理系统,从而使涉密移动存储介质处于实时监控状态下,大大减少了泄密风险。     

Two-channel user authentication by using USB on Cloud

According to parallel computing technology, Cloud service is popular, and it is easy to use Cloud service at everywhere. Cloud means involving application systems that are executed within the cloud and operated via the internet enabled devices. Cloud computing does not rely on the use of cloud storage as it will be removed upon users download action. Clouds can be classified as public, private and hybrid. Cloud service comes up with Ubiquitous; Cloud service users can use their service at anywhere at any time. It is convenient. However, there is a tradeoff. If user’s username and password are compromised, user’s cloud system is in danger, and their confidential information will be in jeopardy. At anywhere and anytime with any device, Cloud user’s credential could be in jeopardy. Security concerns in Cloud play a major role. It is the biggest obstacle to developing in Cloud. However, Cloud is still popular and vulnerability for hacking because of one channel user authentication. Therefore, this research proposes two-channel user authentication by using USB to emphasise security.