CN104200172A - 一种usb数据安全导入装置、系统及方法 - Google Patents
一种usb数据安全导入装置、系统及方法 Download PDFInfo
- Publication number
- CN104200172A CN104200172A CN201410438027.9A CN201410438027A CN104200172A CN 104200172 A CN104200172 A CN 104200172A CN 201410438027 A CN201410438027 A CN 201410438027A CN 104200172 A CN104200172 A CN 104200172A
- Authority
- CN
- China
- Prior art keywords
- usb
- safe
- gatherer
- data
- usb data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Bioethics (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及信息安全技术领域,具体涉及的是一种USB数据安全导入装置、系统及方法。本发明提供的一种USB数据安全导入装置,包括主处理芯片,主处理芯片包括:与U盘连接的主接口、与PC芯片连接的从接口、与调试模块连接的串口、和主处理芯片双向信号传输的Flash模块和内存芯片,Flash模块嵌入linux系统。本发明还提供了一种USB数据安全接入系统及方法,本发明可以取得当前在移动存储介质安全管理领域中,使大数据安全、快速的单向导入,且通过采用身份认证、行为审计、木马病毒防范以及权限控制等技术措施,在保证内网安全的前提下,有效提高了外网数据安全导入内网的效率,满足了信息化应用中信息安全需求。
Description
技术领域
本发明涉及信息安全技术领域,具体涉及的是一种USB数据安全导入装置、系统及方法。
背景技术
现有技术中,USB数据安全导入装置用于数据安全交换的产品,当前针对数据安全交换问题国内外进行了一定的研究,针对中国涉密计算机国家保密局在三合一产品提出了光单向导入设备,通过该产品可通过U盘将外网数据单向导入到涉密计算机内。该产品成本相对比较高,而且传输效率上有一定的局限性。针对敏感的行业网数据安全交换问题,提出了专用安全U盘,专用安全U盘采用数据加密、身份认证等技术手段来保证其数据在交换过程中的安全性,但由于安全U盘受Flash工艺的限制,目前最大容量为1TB,随着信息化的发展,很难满足大数据的需求,而且安全U盘为了提高其安全性,采用了大量的安全技术手段,使得读写性能方面大大降低。
发明内容
为了克服现有技术中的缺陷,本发明提供了一种USB安全导入装置、系统及方法,其用于USB类移动存储介质上数据的安全导入,实现将外网数据单向导入到内网,在技术上实现准入控制、数据安全导入、操作审计、权限策略等方面。通过严格控制数据的流向,使得数据在内网上只进不出,防止内部数据流出,同时提供U盘木马病毒防护和日志记录功能,解决了当前数据安全交换过程中的数据安全导入问题。
本发明是通过如下技术方案实现的:一种USB数据安全导入装置,包括主处理芯片,所述主处理芯片包括:与U盘连接的主接口、与PC芯片连接的从接口、与调试模块连接的串口、和所述主处理芯片双向信号传输的Flash模块和内存芯片,所述Flash模块嵌入linux系统。
进一步地,所述主处理芯片为AT91SAM9G45芯片。
进一步地,所述Flash模块为K9F2G08U0B芯片。
进一步地,所述内存芯片为两个D9JLN芯片。
进一步地,本发明还提供了一种USB数据安全导入系统,所述系统包括PC机,所述PC机设有WINDOW系统,所述WINDOW系统设置为按照定制USB设备协议进行驱动加载的CDROM驱动系统,所述CDROM驱动系统按照定制文件系统解析器进行操作解析,所述定制文件系统解析器配置有定制浏览器和配置管理程序,所述定制浏览器与UI连接,所述定制文件系统解析器按照应用程序配置的启动脚本进行启动设置和参数配置,所述启动脚本启动USB数据安全导入装置,所述USB数据安全导入装置包括:嵌入式CDROM虚拟驱动、嵌入式主USB设备驱动、嵌入式定制介质设备驱动和嵌入式从USB设备驱动;
所述CDROM驱动系统与嵌入式CDROM虚拟驱动通过移动光驱挂导,移动光驱设置为只读的功能,所述定制USB设备协议与所述嵌入式定制介质设备驱动进行用户数据读取,所述嵌入式从USB设备驱动与外接U盘进行数据交换;
所述系统还设有USB单向导入器,所述USB单向导入器设置在嵌入式linux系统内,所述嵌入式linux系统对所述嵌入式CDROM虚拟驱动、嵌入式主USB设备驱动、嵌入式定制介质设备驱动和嵌入式从USB设备驱动加载。
进一步地,所述linux系统内部定义一个对应的CDROM虚拟设备把获取到的WINDOWS端读写CDROM设备指令转换为读USB存储设备的指令。
进一步地,所述定制文件系统解析器只被WINDOWS端的定制浏览器和linux系统端的CDROM虚拟设备解析;
进一步地,所述系统还包括防止木马病毒感染和窃取用户数据系统,所述防止木马病毒感染和窃取用户数据系统以只读CD驱动器方式加载所述USB数据安全导入装置。
进一步地,本发明还提供了一种USB数据安全导入方法,所述方法包括以下步骤:
步骤一:计算机内设置linux操作系统,在内嵌的linux操作系统内虚拟一个CDROM,USB从接口将所述USB安全数据安全导入装置以只读光驱的方式加载到计算机内设备,设定识别为只读CD-ROM属性,容量为设定的指定容量,将存放所述USB数据安全导入装置的程序文件,设定可用空间为零;
步骤二:对所述USB主接口导入的移动存储设备加载,定制linux操作系统的文件系统解析设备的存储的用户数据,将解析的用户数据通过所述USB从接口将所述USB数据安全导入装置加载到计算机内的自带资源浏览器程序进行加载显示,设定用户只能通过该资源浏览器进行数据拷贝操作;
步骤三:在计算机操作系统应用层面,设定用户只能通过所述USB数据安全导入装置自带专用资源浏览器进行文件操作,在程序实现过程中,对自带专用资源浏览器的导入区窗体的写权限进行拦截,实现所述USB数据安全导入装置对所述USB主接口加载的移动存储介质的写保护;
步骤四:在所述USB数据安全导入装置操作系统层面,对内嵌的linux操作系统进行定制开发,首先删除过时的目标文件、然后对系统内核模块进行重新设置,裁剪原有其他无关的服务,根据所述USB数据安全导入装置功能需求,对嵌入的linux系统内核功能模块进行裁剪,其裁剪内容主要包括网络服务功能、ftp服务以及设备I/O管理方面,裁剪掉系统对无线设备、蓝牙、红外功能支持,并提升系统文件和进程的访问权限,控制其访问,保证用户能够在满足功能需求的情况下,实现权限控制机制;
步骤五:采用消息过滤方法对USB消息总线进行滤过,过滤其向所述USB主接口上导入的移动存储设备写消息,对系统层面的移动存储设备设定只读控制,实现对移动存储介质的写保护;
步骤六:对所述USB数据安全导入装置主控COS程序进行定制开发,增加合法性验证,对于读指令将对其操作进行合法性验证,所述验证过程包括如下步骤:
1)自带专用浏览器程序与所述USB数据安全导入装置主控通信时,首先发送一个通信请求;
2)所述USB数据安全导入装置主控芯片随机生成一个字符串,并发送给自带专用浏览器程序;
3)双方采用相同的加密算法对字符串进行加密运算;
4)自带专用浏览器程序将加密后的结果发送给所述USB数据安全导入装置主控,所述USB数据安全导入装置主控将两个加密结果进行比较,相同则验证通过;
5)通过消息过滤,从硬件层面实现对所述USB主接口加载的移动存储介质的写保护,通过合法性认证机制,使得由自带专用资源浏览器发起的读取操作指令为唯一合法操作,且该验证指令是一次有效,即自带专用浏览器程序每通过所述USB数据安全导入装置主控读取64KB,需重启认证一次,该防护机制防止攻击者通过监听根据总线获得的USB指令发起重放攻击和窃取所述USB主接口导在的移动存储设备内的用户数据。
进一步地,所述步骤三还包括以下步骤:
1)将拦截通过鼠标向自带专用资源浏览器导入区窗体拖拽消息;
2)去掉自带专用资源浏览器导入区内的鼠标右键菜单栏中粘贴功能项;
3)通过导入区窗体屏蔽键盘的Ctrl+V粘贴快捷键消息,使其用户无法通过鼠标拖拽、鼠标右键复制粘贴以及键盘快捷键完成对所述USB数据安全导入装置对所述USB主接口加载的移动存储介质的写操作。
与现有技术相比,优越效果在于:本发明能够取得当前在移动存储介质安全管理领域中,大数据安全、快速的单向导入,且通过采用身份认证、行为审计、木马病毒防范以及权限控制等技术措施,在保证内网安全的前提下,有效提高外网数据安全导入到内网的效率,满足信息化应用中信息安全的需求。
附图说明
图1为本发明所述的USB数据安全导入系统示意图;
图2为本发明所述USB数据安全导入装置结构示意图。
附图标记如下:
1-从接口,2-主接口,3-串口。
图中箭头方向为数据传输方向。
具体实施方式
下面结合附图对本发明具体实施方式作进一步详细说明。
实施例1
如图1和图2所示,具体说明本发明,本发明提供了一种USB数据安全接入装置,包括主处理芯片,所述主处理芯片包括:与U盘连接的主接口2、与PC芯片连接从接口1、与调试模块连接的串口3、和所述主处理芯片双向信号传输的Flash模块和内存芯片,所述Flash模块嵌入linux系统,所述主处理芯片为AT91SAM9G45芯片。本实施例中的装置采用K9F2G08U0B型号的flash芯片一片为外挂式,存储裁减的嵌入式linux系统;所述Flash模块为K9F2G08U0B芯片,D9JLN型号的芯片两片;提供一个符合USB2.0协议的主接口2,用于导入USB存储设备功能;提供一个符合USB2.0协议的从接口用于将USB安全导入装置接入到PC的功能;提供一个支持RS232协议的串口,用于系统调试功能;提供GPIO控制指示灯,根据指示灯不同的闪烁状态,指示设备不同的状态。USB安全导入装置在接入内网终端以后,自动以光驱的形式加载,用户启动PC定制浏览器后,通过与服务器端进行登录认证以后,PC定制浏览器将检测用户是否接入USB存储类设备,如果有,则对该USB存储类设备进行文件系统的解析,为用户单向导入数据做好准备。为了避免I/O重放攻击等常用软件攻击方式,USB安全导入装置采用可靠的自定制的加密通信协议,使得设备与计算机操作系统之间的通信是通过加密的,密钥有可变因子,相同的明文在N次会话中的密文不一样,能够有效的防范I/O数据重放攻击。
实施例2
如图1所示,本发明还提供了一种USB数据安全接入系统,所述系统包括PC机,所述PC机设置有WINDOW系统,所述WINDOW系统设置有按照定制USB设备协议进行驱动加载的CDROM驱动系统,所述CDROM驱动系统按照定制文件系统解析器进行操作解析,所述定制文件系统解析器配置有定制浏览器和配置管理程序,所述定制浏览器设有UI,所述定制文件系统解析器按照应用程序配置的启动脚本进行启动设置和参数配置,所述启动脚本启动USB安全导入装置,所述USB安全导入装置包括:嵌入式CDROM虚拟驱动、嵌入式从USB设备驱动、嵌入式定制介质设备驱动和嵌入式主USB设备驱动;所述CDROM驱动系统与嵌入式CDROM虚拟驱动通过移动光驱挂导,移动光驱内容仅为读的功能,所述定制USB设备协议与所述嵌入式定制介质设备驱动进行用户数据读取,所述嵌入式从USB设备驱动与外接U盘进行数据交换;所述系统还设有USB单向导入器,所述USB单向导入器设置在嵌入式linux系统内,所述嵌入式linux系统对所述嵌入式CDROM虚拟驱动、嵌入式从USB设备驱动、嵌入式定制介质设备驱动和嵌入式主USB设备驱动加载,所述linux系统内部定义一个对应的CDROM虚拟设备把获取到的WINDOWS端读写CDROM设备指令转换为读USB存储设备的指令,所述定制文件系统解析器只被WINDOWS端的定制浏览器和linux端的CDROM虚拟设备解析,所述系统还包括防止木马病毒感染和窃取用户数据系统,所述防止木马病毒感染和窃取用户数据系统以只读CD驱动器方式加载导入器。
实施例3
本发明还提供了一种USB数据安全导入方法,所述方法包括以下步骤:步骤一:计算机内设置linux操作系统,在内嵌的linux操作系统内虚拟一个CDROM,从USB接口将所述USB安全数据安全导入装置以只读光驱的方式加载到计算机内设备,设定识别为只读CD-ROM属性,容量为设定的指定容量,将存放USB数据安全导入装置的程序文件,设定可用空间为零;
步骤二:对USB主接口导入的移动存储设备加载,定制linux操作系统的文件系统解析设备的存储的用户数据,将解析的用户数据通过USB从接口将USB数据安全导入装置加载到计算机内的自带资源浏览器程序进行加载显示,设定用户只能通过该资源浏览器进行数据拷贝操作;
步骤三:计算机操作系统应用层面,设定用户只能通过USB数据安全导入装置自带专用资源浏览器进行文件操作,在程序实现过程中,对自带专用资源浏览器的导入区窗体的写权限进行拦截,实现USB数据安全导入装置对USB主接口加载的移动存储介质的写保护;
步骤四:USB数据安全导入装置操作系统层面,对内嵌的linux操作系统进行定制开发,首先删除过时的目标文件、然后对系统内核模块进行重新设置,裁剪原有其他无关的服务,根据USB数据安全导入装置功能需求,对嵌入的linux系统内核功能模块进行裁剪,其裁剪内容主要包括网络服务功能、ftp服务以及设备I/O管理方面,裁剪掉系统对无线设备、蓝牙、红外功能支持,并提升系统文件和进程的访问权限,控制其访问,保证用户能够够在满足功能需求的情况下,实现最小权限控制机制;
步骤五:采用消息过滤方法对USB消息总线进行滤过,过滤其向USB主接口上导入的移动存储设备写消息,对系统层面的移动存储设备设定只读控制,实现对移动存储介质的写保护;
步骤六:对USB数据安全导入装置主控COS程序进行定制开发,增加合法性验证,对于读指令将对其操作进行合法性验证,所述验证过程包括如下步骤:
1)自带专用浏览器程序与USB数据安全导入装置主控通信时,首先发送一个通信请求;
2)USB数据安全导入装置主控芯片随机生成一个字符串,并发送给自带专用浏览器程序;
3)双方采用相同的加密算法对字符串进行加密运算;
4)自带专用浏览器程序将加密后的结果发送给USB数据安全导入装置主控,USB数据安全导入装置主控将两个加密结果进行比较,相同则验证通过;
5)通过消息过滤,从硬件层面实现对主USB导口加载的移动存储介质的写保护,通过合法性认证机制,使得由自带专用资源浏览器发起的读取操作指令为唯一合法操作,且该验证指令是一次有效,即自带专用浏览器程序每通过USB数据安全导入装置主控读取64KB,需重启认证一次,该防护机制防止攻击者通过监听根据总线获得的USB指令发起重放攻击和窃取主USB导口导在的移动存储设备内的用户数据。
其中所述步骤三还包括以下步骤:
1)将拦截通过鼠标向自带专用资源浏览器导入区窗体拖拽消息;
2)去掉自带专用资源浏览器导入区内的鼠标右键菜单栏中粘贴功能项;
3)通过导入区窗体屏蔽键盘的Ctrl+V粘贴快捷键消息,使其用户无法通过鼠标拖拽、鼠标右键复制粘贴以及键盘快捷键完成对USB数据安全导入装置对主USB导口加载的移动存储介质的写操作。
本实施例采用了操作系统内核加固技术,具体是所述USB安全导入装置内嵌定制linux操作系统,该linux操作系统裁剪了相关的系统功能,并通过打补丁、修改安全配置和增加安全机制等方法,对操作系统进行加固。并对系统操作权限进行最小原则控制,使得用户在最小授权的情况下完成相关的操作。通过屏蔽linux系统与主、从USB接口之间的写操作消息,保证USB数据安全导入装置具备只读功能。
本发明还采用了虚拟设备驱动技术:为实现将USB移动存储介质内的数据安全导入到内网计算机上,在内嵌的linux操作系统内虚拟一个CDROM设备。当USB移动存储介质设备从USB主接口接入USB安全导入装置时,能够将其通过文件解析将介质内的数据解析到USB安全导入装置的自带的安全资源浏览器内,并通过装置的USB从接口将USB安全导入装置以只读光驱的形式加载到计算机内,通过运行光驱内的安全资源浏览器将USB移动存储介质内的数据安全导入到内网计算机上。通过该技术将USB移动存储介质屏蔽在USB安全导入装置后面,使得计算机无法识别存储介质,一定程度上保护了U盘木马病毒的感染移动存储介质,也无法读取要USB移动存储介质内的数据件。定制文件系统协议,以读取USB移动存储介质中的数据,采用定制USB协议为基础构建自己一套独立的文件系统,在确保该协议只能够被USB安全导入装置自带的安全资源浏览器和内嵌的Linux操作系统能够解析的基础上,保证数据传输的安全。定制资源浏览器,继承现有WINDOWS自带浏览器部分功能,使用和Windows资源管理器界面基本一致的窗口布局、颜色搭配和布局,且用户只能通过自带的安全资源浏览器进行文件读操作,并对写操作进行屏蔽。该浏览器具备windows浏览器常用的基本功能,包括复制、拖拽等操作。通过充分优化的菜单可以使用户有很好的适应性。根据定制文件系统协议提供的接口,完成USB移动存储介质文件的单向导入操作;并支持对常用文件的浏览查看等功能。异步I/O、预读取技术,通过异步I/O、预读取技术提高传输速率。USB安全导入装置里运行的Linux系统,USB移动存储介质接入后,windows端通过SISC总线设备协议与Linux USB从接口驱动通信,并通过驱动对USB主接口内接入的USB存储设备的文件进行读取。若是同步的读取操作,速度达到7MB/s,采用异步读写取,速度能够达到20MB/S,优化了读取速度。免驱动通信技术,为了避免使用驱动造成的兼容性问题。USB安全导入装置以CD驱动器方式加载,通过SCSI的bus总线指令与CD驱动器进行通信和数据交换。在PC端不需要安装对应设备的USB驱动,没有兼容性问题,提高了稳定性。容错机制技术,为增强设备的容错能力,USB安全导入装置在整个系统中定义了一套完整的错误代码,并设计了相关错误出现时的处理流程机制,使能预见的错误都能够得到处理,增强了系统地容错处理能力,提高了系统稳定性。可靠的自订制加密通信协议,选择AT91SAM9G45处理器,不但满足项目需求,同时由于其具有其他外接口多,能够满足今后需求的扩展和变化。具体如下:AT91SAM9G45处理器功能强大,外围接口多,集成了400MHz的ARM926EJ-S内核,32KB的数据高速缓存,32KB的指令高速缓存,具有MMU单元,能够扩展4块DDR2/LPDDR、SDRAM/LPSDR及NANDFLASH,自带LCD控制器、可支持STN和TFT液晶屏,具有一个高速USB HOST和一个高速USB DEVICE接口,自带10/100M以太网接口,AC97控制器,4个串口,160个可编程GPIO。处理器具有133MHz系统总线,具有37个DMA通道,操作系统可以从NAND FLASH、DATAFLASH、SD卡、串行DATA FLASH启动,芯片采用324-ball LFBGA封装。电源稳定性,AT91SAM9G45芯片功耗低,所以在电路设计中,USB安全接入装置采用PC 5V的USB电压供电模式,不需要提供后备电源,USB安全接入装置内部由5V电压通过LDO电源芯片转3.3V、1.8V、1V三种电压,其中,3.3V主要是给CPU的外围接口、NAND FLASH芯片供电,1.8V电压主要是给DDR2内存及CPU处理器中的DDR2内存控制器供电,1V电压是给CPU内核供电。USB安全接入装置插入U盘,工作起来后,工作电流小于240mA。USB安全导入装置中各工作电压的压差小、电流弱,所以电源芯片都采用LDO电压芯片而不是交流电源芯片,同时在LDO芯片周围加47uF短电容稳压、加0.01uf及0.1uf的钽电容滤波和去耦,以提供稳定干净电源。并提供一个外接电源接口,能够使电源供应稳定,适合在有些PC供电不足的情况下使用。对于相对小功率的USB存储设备,如U盘等,在插入USB安全导入装置后,不需外接电源;而对于移动硬盘等相对大功率的USB存储设备,则需自行接入外接稳压电源。抗电磁干扰与信号完整性,在整个电路设计中,系统的内存电路是最需要关注的地方,内存芯片选用了MICRON的DDR2 MT47H64M8CF,工作电压1.8V,8位数据宽度,60pin的FBGA封装。芯片的控制信号需要加匹配电阻,消除信号反射、过冲等一系列信号完整性问题。为了方便以后系统的维护,系统的升级,功能方面的扩展要求,在电路设计中,扩展了一个10/100M的网络接口。选用的DAVICOM公司的DM9161A芯片,DM9161A芯片具有RMII接口,低功耗、支持Auto-Negotiation功能,极小的48pinLQFP封装。系统硬件稳定性,PCB板的尺寸5X7cm,采用四层板结构,其中,TOP层和BOTTOM层用于元器件的布局与PCB布线,第二层为地层、第三层为电源层,电源层划分了3.3V、1.8V、1V三个SHAPE。PCB布局时以AT91SAM9G45处理器为中心,分别在处理器周围放置DDR、NAND FLASH、DM9161,滤波电容均匀分布在各芯片周围,整个布局简洁有序,各元器件错落有致。PCB布线时,关键信号线要尽可能性的短,内存的数据走线需要绕等长以满足时序要求。由于晶振靠近芯片,内存的时钟走线需要配对,USB差分信号走线需要等长和配对,增强了抗干扰能力,提高了系统稳定性。嵌入式系统引导可靠性,Bootload是系统上加电后运行的第一段代码,USB安全导入装置的bootload由二部分组成,第一部分是ATMEL公司提供的AT91Bootstrap,第二部分是U-boot。AT91Bootstrap的主要工作是硬件初始化,如初始化GPIO、时钟、内存、flash等。初始化完后从FLASH中下载后继程序到内存中,转到UBOOT程序,进一步配置硬件环境,为操作系统的运行做准备。其中,UBOOT是德国DENX小组开发的用于多种嵌入式CPU的Bootloader程序,它可以运行在基于PowerPC、ARM、MIPS等多种嵌入式系统中,本系统采用的是U-boot 1.3.4版本,功能非常丰富,通过移植可以支持AT91SAM9G45 CPU,支持NAND FLASH、DM9161网络。通过U-boot命令可以通过串口、网络下载内核、文件系统,直接烧写NAND FLASH。嵌入式linux系统,采用linux 2.6.30内核,是非常稳定的版本。裁剪掉所有不相关的功能,保证提供必须功能的同时,增强了系统的安全性。CDROM驱动与嵌入式CDROM虚拟驱动,在嵌入式linux系统内部定义一个对应的CDROM虚拟设备;把获取到的WINDOWS端读写CDROM设备指令转换为读USB存储设备的指令,从而完成对U盘内容的读写;保证WINDOWS端对该USB存储设备只读,且不影响现有的U盘管理系统;定制文件系统协议,以自己独有的方式读取USB存储设备信息,以定制USB协议为基础构建自己一套独立的文件系统,并确保该协议只能够被WINDOWS端的定制浏览器和linux端的CDROM虚拟设备解析;定制浏览器,USB安全导入装置定具备口令认证功能,通过身份认证后方能打开定制浏览器进行数据的安全导入。定制浏览器继承现有WINDOWS自带浏览器部分功能,使用和Windows资源管理器界面基本一致的窗口布局,使用了一致的颜色搭配和承担布局。用户只要能使用Windows资源管理器就不用任何的学习和培训便可熟练的使用单向导入的软件系统。支持拖拽、复制以及快捷键等常规操作。这些都是用户在使用中用的最多的操作,通过优化的菜单,适应用户的需求。根据定制文件系统协议提供的接口,完成USB安全导入装置端USB存储设备文件的读操作;口令认证界面;定制浏览器;嵌入式主、从USB设备驱动,以大内存缓存机制,实现大量数据在USB安全导入装置从USB从接口与USB主接口之间的数据透传和格式转换;内置常用文件查看器,不用复制到本地磁盘就能实现等常用文件的快速查看;纯内存接口,不以任何方式在本地磁盘留下痕迹。通过专用接口从USB存储设备中读取文件,检查是不是Windows联合文档,若不是Windows联合文档便在内存中重构联合文档格式并把文件的数据填充进去,同时还要有固定的内存格式封装以便能通过OLE的内存接口把文件数据传输给OLE对象,通过OLE打开显示文件。支持查看所有版本的Word、Excel文件(需要主机安装相应的软件)。支持查看BMP、JPG、PNG、GIF、TIF等常用图片,支持缩放,常用的图片文件格式:BMP、JPG、PNG、GIF、TIF的查看浏览,不用先把文件存储在本地磁盘,内嵌了这图片格式的浏览器,同样是通过内存接口,安全可靠。支持常用文本格式文件,如TXT、INI、XML等,常用的文件格式:TXT、INI、XML的查看浏览,同样不用先把文件存储在本地磁盘,USB安全导入器自带的安全资源浏览器,内嵌该文件格式的浏览器,同样是通过内存接口,安全可靠。采用异步I/O,预读取等优化技术提高传输效率,最大通信速度可以达到20MB/S。USB安全导入装置设备里运行的Linux系统,USB存储设备接入后,windows端通过SISC总线设备协议与Linux USB从接口驱动通信,并通过驱动对插入USB存储设备的文件做读取。若是同步的读取操作,速度大概只能达到7MB/s,采用异步读写取,速度可以20MB/S,优化了读取速度。免驱动通信,避免使用驱动造成的兼容性问题。CD驱动器方式加载导入器,然通过SCSI的bus总线指令与CD驱动器进行通信和数据交换。在PC端不需要安装对应设备的USB驱动,没有兼容性问题,提高了稳定性。采用容错机制技术,增强系统的容错能力,在整个设备系统中定义了一套完整的错误代码,并设计了相关错误出现时的处理流程机制,使能预见的错误都能够得到处理,增强了系统的容错处理能力,提高了系统稳定性。支持自动识别使用FAT、FAT32、VFAT、NTFS、EXT2等常用文件系统的存储设备,文件的格式的解析是在Linux系统中完成的,为了能够让Linux识别FAT、FAT32、NTFS等文件系统,在Linux加载了FAT,FAT32,NTFS文件系统的驱动,通过测试运行稳定。支持多分区存储设备,不但支持一般U盘单个盘符(分区)的存储设备,也支持像移动硬盘这类存在多个盘符(分区)的存储设备。支持超大文件(>2G)访问,对文件的所有操作、文件大小的变量都采用64位的指针,在linux内核、文件系统、应用程序都做了如上相应改动。解决了linux系统对文件大小的限制(不大于2G),能够读取超过2G的文件。使用自订制的加密通信协议,防止I/O重放攻击等常用软件攻击方式。USB安全接入装置与windows之间的通信是通过加密的,密钥有可变因子,相同的明文在N次会话中的密文不相同,防范I/O数据重放攻击。防止木马病毒感染和窃取用户数据,以只读CD驱动器方式加载导入器,并且CD驱动器中存放的是对应的软件,USB存储设备对于windows系统来说是不可见的,木马病毒既不能感染专用软件,也无法读取要导入USB存储设备的文件。
本发明有效解决了当前在移动存储介质安全管理领域中,使得大数据安全、快速的单向导入问题得到有效解决。通过采用身份认证、行为审计、木马病毒防范以及权限控制等技术,在保证内网安全的前提下,有效提高了外网数据的安全导入内网的效率,满足了信息化应用中信息安全需求。
本发明并不限于上述实施方式,在不背离本发明的实质内容的情况下,本领域技术人员可以想到的任何变形、改进、替换均落入本发明的范围。
Claims (10)
1.一种USB数据安全导入装置,包括主处理芯片,所述主处理芯片包括:与U盘连导的主接口(2)、与PC芯片连导的从接口(1)、与调试模块连接的串口(3)、和所述主处理芯片双向信号传输的Flash模块和内存芯片,其特征在于,所述Flash模块嵌入linux系统。
2.根据权利要求1所述USB数据安全导入装置,其特征在于,所述主处理芯片为AT91SAM9G45芯片。
3.根据权利要求1所述USB数据安全导入装置,其特征在于,所述Flash模块为K9F2G08U0B芯片。
4.根据权利要求1所述USB数据安全导入装置,其特征在于,所述内存芯片为两个D9JLN芯片。
5.一种用于权利要求1所述装置的USB数据安全导入系统,其特征在于,所述系统包括PC机,所述PC机设有WINDOW系统,所述WINDOW系统设置为按照定制USB设备协议进行驱动加载的CDROM驱动系统,所述CDROM驱动系统按照定制文件系统解析器进行操作解析,所述定制文件系统解析器配置有定制浏览器和配置管理程序,所述定制浏览器与UI连接,所述定制文件系统解析器按照应用程序配置的启动脚本进行启动设置和参数配置,所述启动脚本启动USB安全导入装置,所述USB安全导入装置包括:嵌入式CDROM虚拟驱动、嵌入式主USB设备驱动、嵌入式定制介质设备驱动和嵌入式从USB设备驱动;
所述CDROM驱动系统与嵌入式CDROM虚拟驱动通过移动光驱挂导,移动光驱设置为只读的功能,所述定制USB设备协议与所述嵌入式定制介质设备驱动进行用户数据读取,所述嵌入式从USB设备驱动与外接U盘进行数据交换;所述系统还设有USB单向导入器,所述USB单向导入器设置在嵌入式linux系统内,所述嵌入式linux系统对所述嵌入式CDROM虚拟驱动、嵌入式主USB设备驱动、嵌入式定制介质设备驱动和嵌入式从USB设备驱动加载。
6.根据权利要求5所述的USB数据安全导入系统,其特征在于,所述linux系统内部定义一个对应的CDROM虚拟设备把获取到的WINDOWS端读写CDROM设备指令转换为读USB存储设备的指令。
7.根据权利要求5所述的USB数据安全导入系统,其特征在于,所述定制文件系统解析器只被WINDOWS端的定制浏览器和linux端的CDROM虚拟设备解析。
8.根据权利要求5所述的USB数据安全导入系统,其特征在于,所述系统还包括防止木马病毒感染和窃取用户数据系统,所述防止木马病毒感染和所述窃取用户数据系统以只读CD驱动器方式加载USB数据安全导入装置。
9.一种权利要求1所述装置的USB数据安全导入方法,其特征在于,所述方法包括以下步骤:
步骤一:计算机内设置linux操作系统,在内嵌的linux操作系统内虚拟一个CDROM,USB从接口将USB安全数据安全导入装置以只读光驱的方式加载到计算机内设备,设定识别为只读CD-ROM属性,容量为设定的指定容量,将存放USB数据安全导入装置的程序文件,设定可用空间为零;
步骤二:对USB主接口导入的移动存储设备加载,定制linux操作系统的文件系统解析设备的存储的用户数据,将解析的用户数据通过USB从接口将USB数据安全导入装置加载到计算机内的自带资源浏览器程序进行加载显示,设定用户只能通过该资源浏览器进行数据拷贝操作;
步骤三:在计算机操作系统应用层面,设定用户只能通过USB数据安全导入装置自带专用资源浏览器进行文件操作,在程序实现过程中,对自带专用资源浏览器的导入区窗体的写权限进行拦截,实现USB数据安全导入装置对USB主接口加载的移动存储介质的写保护;
步骤四:在USB数据安全导入装置操作系统层面,对内嵌的linux操作系统进行定制开发,首先删除过时的目标文件、然后对系统内核模块进行重新设置,裁剪原有其他无关的服务,根据USB数据安全导入装置功能需求,对嵌入的linux系统内核功能模块进行裁剪,其裁剪内容包括网络服务功能、ftp服务以及设备I/O管理方面,裁剪掉系统对无线设备、蓝牙、红外功能支持,并提升系统文件和进程的访问权限,控制其访问,用户在满足功能需求的情况下,实现权限控制机制;
步骤五:采用消息过滤方法对USB消息总线进行滤过,过滤其向USB主接口上导入的移动存储设备写消息,对系统层面的移动存储设备设定只读控制,实现对移动存储介质的写保护;
步骤六:对USB数据安全导入装置主控COS程序进行定制开发,增加合法性验证,对于读指令将对其操作进行合法性验证,所述验证过程包括如下步骤:
1)自带专用浏览器程序与USB数据安全导入装置主控通信时,首先发送一个通信请求;
2)所述USB数据安全导入装置主控芯片随机生成一个字符串,并发送给自带专用浏览器程序;
3)双方采用相同的加密算法对字符串进行加密运算;
4)自带专用浏览器程序将加密后的结果发送给所述USB数据安全导入装置主控,所述USB数据安全导入装置主控将两个加密结果进行比较,相同则验证通过;
5)通过消息过滤,从硬件层面实现对所述USB主接口加载的移动存储介质的写保护,通过合法性认证机制,使得由自带专用资源浏览器发起的读取操作指令为唯一合法操作,且该验证指令是一次有效,即自带专用浏览器程序每通过所述USB数据安全导入装置主控读取64KB,需重启认证一次,该防护机制防止攻击者通过监听根据总线获得的USB指令发起攻击和窃取主USB导口导在的移动存储设备内的用户数据。
10.根据权利要求9所述的USB数据安全导入方法,其特征在于,所述步骤三还包括以下步骤:
1)将拦截通过鼠标向自带专用资源浏览器导入区窗体拖拽消息;
2)去掉自带专用资源浏览器导入区内的鼠标右键菜单栏中粘贴功能项;
3)通过导入区窗体屏蔽键盘的Ctrl+V粘贴快捷键消息,使其用户无法通过鼠标拖拽、鼠标右键复制粘贴以及键盘快捷键完成对所述USB数据安全导入装置对USB主接口加载的移动存储介质的写操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410438027.9A CN104200172B (zh) | 2014-08-29 | 2014-08-29 | 一种usb数据安全导入装置、系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410438027.9A CN104200172B (zh) | 2014-08-29 | 2014-08-29 | 一种usb数据安全导入装置、系统及方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104200172A true CN104200172A (zh) | 2014-12-10 |
| CN104200172B CN104200172B (zh) | 2018-01-23 |
Family
ID=52085463
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410438027.9A Active CN104200172B (zh) | 2014-08-29 | 2014-08-29 | 一种usb数据安全导入装置、系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104200172B (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573559A (zh) * | 2015-01-24 | 2015-04-29 | 浙江远望软件有限公司 | 一种支持口令授权与操作日志的文件存储与访问方法 |
| CN105809074A (zh) * | 2014-12-30 | 2016-07-27 | 华为技术有限公司 | 一种usb数据传输控制方法、装置、控制组件及系统 |
| CN106761143A (zh) * | 2016-12-29 | 2017-05-31 | 中铁信安(北京)信息安全技术有限公司 | 一种数据单向摆渡系统和方法 |
| CN107392035A (zh) * | 2017-07-19 | 2017-11-24 | 广东欧珀移动通信有限公司 | 保护数据安全的方法、移动终端及计算机可读存储介质 |
| CN107392066A (zh) * | 2017-07-19 | 2017-11-24 | 广东欧珀移动通信有限公司 | 保护数据安全的方法、移动终端及计算机可读存储介质 |
| CN107423641A (zh) * | 2017-09-19 | 2017-12-01 | 中国南方电网有限责任公司超高压输电公司南宁监控中心 | 一种用于移动存储介质的防毒方法及防毒装置 |
| CN107547542A (zh) * | 2017-08-31 | 2018-01-05 | 四川神琥科技有限公司 | 一种usb串口通讯检测方法及设备 |
| CN107748851A (zh) * | 2017-10-13 | 2018-03-02 | 天津市英贝特航天科技有限公司 | 一种用于存储设备的数据读取装置 |
| CN107844718A (zh) * | 2017-07-31 | 2018-03-27 | 深圳市辰星瑞腾科技有限公司 | 一种电脑内置usb传输安全控制器 |
| CN109241785A (zh) * | 2018-09-18 | 2019-01-18 | 鸿秦(北京)科技有限公司 | 基于usb嵌入式操作系统的安全存储系统 |
| CN109542472A (zh) * | 2018-12-04 | 2019-03-29 | 中国航空工业集团公司西安航空计算技术研究所 | 一种基于usb端口的机载综合显示控制系统软件加载方法 |
| CN111159123A (zh) * | 2019-12-30 | 2020-05-15 | 中国兵器装备集团自动化研究所 | 一种嵌入式可靠参数储存文件系统及方法 |
| CN111552501A (zh) * | 2020-04-29 | 2020-08-18 | 珠海趣印科技有限公司 | 一种windows矢量字体烧录工具及方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040073636A1 (en) * | 2002-10-15 | 2004-04-15 | International Business Machines Corporation | Self replicating installation method for operating system clusters |
| CN101014034A (zh) * | 2006-12-31 | 2007-08-08 | 武汉蓝星科技股份有限公司 | 一种基于u盘服务器的集群解决方法 |
| CN201159898Y (zh) * | 2008-03-13 | 2008-12-03 | 浪潮齐鲁软件产业有限公司 | U盘隔离器 |
| CN101808237A (zh) * | 2010-03-09 | 2010-08-18 | 西安科技大学 | 嵌入式系统Web服务器的图像采集终端及图像采集方法 |
| CN102629206A (zh) * | 2012-02-29 | 2012-08-08 | 深圳市赛格导航科技股份有限公司 | 一种嵌入式系统软件升级方法及系统 |
| CN202548829U (zh) * | 2012-04-24 | 2012-11-21 | 深圳市维信联合科技有限公司 | 安全移动存储器及安全数据系统 |
| CN203013264U (zh) * | 2012-11-06 | 2013-06-19 | 太仓市同维电子有限公司 | 一种用于实现usb接口存储器与sd卡信息互换的装置 |
-
2014
- 2014-08-29 CN CN201410438027.9A patent/CN104200172B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040073636A1 (en) * | 2002-10-15 | 2004-04-15 | International Business Machines Corporation | Self replicating installation method for operating system clusters |
| CN101014034A (zh) * | 2006-12-31 | 2007-08-08 | 武汉蓝星科技股份有限公司 | 一种基于u盘服务器的集群解决方法 |
| CN201159898Y (zh) * | 2008-03-13 | 2008-12-03 | 浪潮齐鲁软件产业有限公司 | U盘隔离器 |
| CN101808237A (zh) * | 2010-03-09 | 2010-08-18 | 西安科技大学 | 嵌入式系统Web服务器的图像采集终端及图像采集方法 |
| CN102629206A (zh) * | 2012-02-29 | 2012-08-08 | 深圳市赛格导航科技股份有限公司 | 一种嵌入式系统软件升级方法及系统 |
| CN202548829U (zh) * | 2012-04-24 | 2012-11-21 | 深圳市维信联合科技有限公司 | 安全移动存储器及安全数据系统 |
| CN203013264U (zh) * | 2012-11-06 | 2013-06-19 | 太仓市同维电子有限公司 | 一种用于实现usb接口存储器与sd卡信息互换的装置 |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105809074A (zh) * | 2014-12-30 | 2016-07-27 | 华为技术有限公司 | 一种usb数据传输控制方法、装置、控制组件及系统 |
| CN104573559A (zh) * | 2015-01-24 | 2015-04-29 | 浙江远望软件有限公司 | 一种支持口令授权与操作日志的文件存储与访问方法 |
| CN104573559B (zh) * | 2015-01-24 | 2018-05-04 | 浙江远望软件有限公司 | 一种支持口令授权与操作日志的文件存储与访问方法 |
| CN106761143A (zh) * | 2016-12-29 | 2017-05-31 | 中铁信安(北京)信息安全技术有限公司 | 一种数据单向摆渡系统和方法 |
| CN107392035A (zh) * | 2017-07-19 | 2017-11-24 | 广东欧珀移动通信有限公司 | 保护数据安全的方法、移动终端及计算机可读存储介质 |
| CN107392066A (zh) * | 2017-07-19 | 2017-11-24 | 广东欧珀移动通信有限公司 | 保护数据安全的方法、移动终端及计算机可读存储介质 |
| CN107392066B (zh) * | 2017-07-19 | 2020-12-01 | Oppo广东移动通信有限公司 | 保护数据安全的方法、移动终端及计算机可读存储介质 |
| CN107392035B (zh) * | 2017-07-19 | 2020-08-18 | Oppo广东移动通信有限公司 | 保护数据安全的方法、移动终端及计算机可读存储介质 |
| CN107844718A (zh) * | 2017-07-31 | 2018-03-27 | 深圳市辰星瑞腾科技有限公司 | 一种电脑内置usb传输安全控制器 |
| CN107547542A (zh) * | 2017-08-31 | 2018-01-05 | 四川神琥科技有限公司 | 一种usb串口通讯检测方法及设备 |
| CN107547542B (zh) * | 2017-08-31 | 2021-03-19 | 四川神琥科技有限公司 | 一种usb串口通讯检测方法及设备 |
| CN107423641A (zh) * | 2017-09-19 | 2017-12-01 | 中国南方电网有限责任公司超高压输电公司南宁监控中心 | 一种用于移动存储介质的防毒方法及防毒装置 |
| CN107423641B (zh) * | 2017-09-19 | 2023-10-03 | 中国南方电网有限责任公司超高压输电公司南宁监控中心 | 一种用于移动存储介质的防毒方法及防毒装置 |
| CN107748851A (zh) * | 2017-10-13 | 2018-03-02 | 天津市英贝特航天科技有限公司 | 一种用于存储设备的数据读取装置 |
| CN109241785A (zh) * | 2018-09-18 | 2019-01-18 | 鸿秦(北京)科技有限公司 | 基于usb嵌入式操作系统的安全存储系统 |
| CN109542472A (zh) * | 2018-12-04 | 2019-03-29 | 中国航空工业集团公司西安航空计算技术研究所 | 一种基于usb端口的机载综合显示控制系统软件加载方法 |
| CN111159123A (zh) * | 2019-12-30 | 2020-05-15 | 中国兵器装备集团自动化研究所 | 一种嵌入式可靠参数储存文件系统及方法 |
| CN111159123B (zh) * | 2019-12-30 | 2023-07-14 | 中国兵器装备集团自动化研究所 | 一种嵌入式可靠参数储存文件系统及方法 |
| CN111552501A (zh) * | 2020-04-29 | 2020-08-18 | 珠海趣印科技有限公司 | 一种windows矢量字体烧录工具及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104200172B (zh) | 2018-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104200172A (zh) | 一种usb数据安全导入装置、系统及方法 | |
| JP6049716B2 (ja) | セキュアなストレージのハイジャック保護のための技術 | |
| US8949565B2 (en) | Virtual and hidden service partition and dynamic enhanced third party data store | |
| US8442960B1 (en) | Systems and methods for process self-elevation | |
| US10768827B2 (en) | Performance throttling of virtual drives | |
| US9830457B2 (en) | Unified extensible firmware interface (UEFI) credential-based access of hardware resources | |
| US8832492B1 (en) | Systems and methods for managing applications | |
| US9300671B1 (en) | Shared access with account restriction and promotion utilizing virtual accounts | |
| BR112015027470B1 (pt) | Aparelho, método e sistema para ajuste de desempenho imediato para dispositivos de armazenamento de estado sólido | |
| US20100174894A1 (en) | Method, Apparatus, and System for Configuring an Operating System on a Target Computer | |
| CN111954998B (zh) | 用于使用户账户匿名化的系统和方法 | |
| WO2017172155A1 (en) | Technologies for mutual application isolation with processor-enforced secure enclaves | |
| US11188407B1 (en) | Obtaining computer crash analysis data | |
| CN106933583A (zh) | 操作系统中识别硬件设备的方法及计算机设备 | |
| Gay | Mastering the raspberry PI | |
| US11354259B1 (en) | Computer system configurations based on accessing data elements presented by baseboard management controllers | |
| US11886899B2 (en) | Privacy preserving introspection for trusted execution environments | |
| CN104991774B (zh) | 一种uefi平台下截获系统引导的系统和方法 | |
| US20230221971A1 (en) | Multiple port emulation | |
| EP3782066B1 (en) | Nop sled defense | |
| US11444918B2 (en) | Subsystem firewalls | |
| KR101349807B1 (ko) | 이동식 저장매체 보안시스템 및 그 방법 | |
| Chang et al. | Private small-cloud computing in connection with Linux thin client | |
| TW202029036A (zh) | 以嵌入式瀏覽器模組管理憑證之系統及方法 | |
| CN112580023B (zh) | 影子栈管理方法及装置、介质、设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |