CN204576522U - 一种物理隔离式usb接口防护系统 - Google Patents
一种物理隔离式usb接口防护系统 Download PDFInfo
- Publication number
- CN204576522U CN204576522U CN201520323851.XU CN201520323851U CN204576522U CN 204576522 U CN204576522 U CN 204576522U CN 201520323851 U CN201520323851 U CN 201520323851U CN 204576522 U CN204576522 U CN 204576522U
- Authority
- CN
- China
- Prior art keywords
- processing unit
- central processing
- usb interface
- user
- guard system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本实用新型公开了一种物理隔离式USB接口防护系统。该防护系统包括中央处理器,与多个用户计算机连接的上位机,用于存储用户名和密码的外部存储器,用于根据中央处理器的开关信号控制用户计算机上的多个USB接口开关的多个继电器;上位机通过串行通信与中央处理器连接,继电器的控制端和外部存储器的输入端电连接中央处理器的对应端口。防护方法:中央处理器根据用户名将多个用户分为三个等级:普通用户、高级用户、保密专员;用户将用户名和密码输入用户计算机,中央处理器根据用户名和密码判断控制用户登录;中央处理器根据用户名确定用户等级并确定用户对USB接口使用的权限。该防护方法保证了电脑内数据的可控性。
Description
技术领域
本实用新型属于USB接口防护技术领域,特别涉及一种物理隔离式USB接口防护系统及其防护方法。
背景技术
对于一些涉密单位,计算机内部数据十分重要,一旦发生泄漏或破坏,损失无可挽回,所以如何确保计算机中重要文件的安全已经成为管理者必须面对的一个问题。USB接口是计算机上最常用的通讯端口之一,通过U盘、移动硬盘等存储设备都可以轻易将计算机中的文件拷贝出来,也可以轻易将其病毒木马上传到计算机破坏文件;可见USB接口已经成为威胁数据安全的一大隐患。
目前,国内外在USB接口防护方面的解决方案主要可以分为以下几种:1)BIOS设置法(快刀斩乱麻法),此方法过于霸道,不便于使用;2)禁止闪盘或移动硬盘的启动、隐藏盘符和禁止查看,此办法只对一部分USB存储设备有效,而且该方法较为复杂,更不便于用户的使用;3)禁止安装USB驱动程序,由于该方法导致所有USB设备在计算机上使用,已逐渐为用户所淘汰;4)使用单项传输器,该设备价格昂贵,且用户使用性差。
实用新型内容
本实用新型的目的在于提供一种物理隔离式USB接口防护系统及其防护方法,该防护系统克服了普通电脑内部数据保护系统单纯在软件层次上保护数据所存在的安全缺陷,从软硬结合的角度实现了电脑数据的安全访问,可以用来防止电脑中的数据的内部泄漏、外部扩散,抵御木马窃取等;实现了USB接口的自主防护,以安全芯片作为数据防护的硬件基础,结合上层软件形成了多层次的防御体系;赋予了USB接口灵活的多权限访问控制策略,保证了电脑内数据的可控性,实现了基于预期控制模型的具有主动防护技术的USB安全接口。
为达到上述技术目的,本实用新型采用如下技术方案予以实现。
一种物理隔离式USB接口防护系统,其特征在于,包括中央处理器,与多个用户计算机连接的上位机,用于存储用户名和密码的外部存储器,用于根据中央处理器的开关信号控制用户计算机上的多个USB接口开关的多个继电器;所述上位机通过串行通信与所述中央处理器电连接,所述继电器的控制端和外部存储器的输入端对应电连接所述中央处理器的对应端口。
本技术方案的特点和进一步改进在于:
所述上位机与中央处理器之间设置有用于把计算机的串口RS232电平信号转换为TTL电平信号的信号转换器。
所述中央处理器与继电器之间设置有用于把数字信号与模拟信号隔离开并防止干扰信号的隔离器。
所述防护系统还包括用于把整个系统稳压在一个稳定的电压中的稳压器。
本实用新型的物理隔离式USB接口防护系统,克服了普通电脑内部数据保护系统单纯在软件层次上保护数据所存在的安全缺陷,从软硬结合的角度实现了电脑数据的安全访问,可以用来防止电脑中的数据的内部泄漏、外部扩散,抵御木马窃取等。
本实用新型的物理隔离式USB接口防护系统,采用基于安全芯片的防护技术、USB总线技术相关协议方向访问控制技术及单片机与继电器控制的综合技术、硬件自锁防护技术、环境可信检测技术、完全物理隔离木马病毒技术等。该防护系统将物理层、数据传输层、应用层的数据防护功能通过应用软件层进行组织管理。
与现有的普通USB接口安全防护机制相比,本实用新型的物理隔离式USB接口防护系统实现了USB接口的自主防护,以安全芯片作为数据防护的硬件基础,结合上层软件形成了多层次的防御体系,赋予了USB接口灵活的多权限访问控制策略,保证了电脑内数据的可控性,实现了基于预期控制模型的具有主动防护技术的USB安全接口。
附图说明
下面结合附图和具体实施方式对本实用新型作进一步详细说明。
图1为本实用新型的一种物理隔离式USB接口防护系统的结构示意图。
具体实施方式
参照图1,为本实用新型的一种物理隔离式USB接口防护系统的结构示意图;该防护系统包括中央处理器,与多个用户计算机连接的上位机,用于存储用户名和密码的外部存储器,用于根据中央处理器的开关信号控制用户计算机上的多个USB接口开关的多个继电器;上位机通过串行通信(信号转换器)与中央处理器电连接,继电器的控制端和外部存储器的输入端对应电连接中央处理器的相应端口。
其中,上位机与中央处理器之间设置有用于把计算机的串口RS232电平信号转换为TTL电平信号的信号转换器。
其中,中央处理器与继电器之间设置有用于把数字信号与模拟信号隔离开来并防止干扰信号的隔离器。
其中,防护系统还包括用于把整个系统稳压在一个稳定的电压中的稳压器。
该物理隔离式USB接口防护系统的防护方法,包括以下步骤:
中央处理器根据用户名将多个用户分为三个等级,三个等级分别为:普通用户、高级用户、保密专员;用户名和密码存储在外部存储器中,即在外部存储器中开辟一段K[18][j]矩阵存储空间,j为当前用户的个数。其中K[0]到K[5]为用户名信息,K[6]到K[17]为用户密码信息,其中密码不足12位在上位机中用空格补齐,小于6位在上位机中判断为非法用户密码。登录时,需比较输入用户名和密码共18位字符,从K[0][0]到K[18][j]依次比较,若有正确则上传登录成功命令,若都无成功,则上传登录失败命令。注册用户时,把新用户名密码18为写在K[0][j]到K[18][j],同时j+1。删除用户时,把K[0][j]到K[18][j]的字符写到要删除的K[0][m]到K[18][m],m为要删除的用户行号,同时j-1;高级用户查看普通用户的用户名时,把所有K[0][0]到K[6][j]依次读取后上传显示。
用户将用户名和密码输入用户的计算机,中央处理器根据用户名和密码判断控制用户登录,用户名和密码正确时允许用户登录,用户名和密码其中有一个错误时禁止用户登录。
中央处理器根据用户名确定用户等级并根据用户等级确定用户对USB接口使用的权限。
其中,中央处理器确定用户为普通用户后,中央处理器控制该用户仅可通过USB接口从移动载体到计算机的单向文件流动;如普通用户需下载文件,向保密专员发送下载请求,保密专员审批通过后方可执行下载,普通用户根据中央处理器发送的下载命令修改注册表使其移动载体具有写功能,同时禁用剪切板,然后自动将需下载文件传到移动载体的指定文件夹中,传送完毕后立即关闭USB接口。
其中,中央处理器确定用户为高级用户后,中央处理器控制该用户可以通过USB接口、光驱、串口方式实现计算机与移动载体之间的双向数据交换;中央处理器控制该高级用户可以使用外围硬件设备;中央处理器控制该高级用户可以访问该中央处理器管理范围内的所有普通用户,查看普通用户使用的日志或删除普通用户。
其中,中央处理器确定用户为保密专员后,中央处理器向保密专员发送普通用户的下载请求,保密专员审核后将下载命令发送给中央处理器,中央处理器根据保密专员发送的下载命令控制普通用户执行下载操作;中央处理器控制保密专员可以访问该中央处理器管理范围内的所有普通用户,查看普通用户使用的日志。
设置不同用户权限,主要目的在于:一个是防止用户计算机的USB接口进入病毒或者木马程序;一个是防止他人在用户离开时,对电脑内数据的非法操作。两种方式都对权限提出了不同的要求,因此这里用到情景用户这个思想。“情景用户”是结合了“情景”和“用户”两个概念的综合体,一方面每个“情景用户”拥有不同的权限,可以通过它来组织管理权限,即“情景”的概念;另一方面使用者必须以某种“情景用户”的身份登录系统,而且只能按照“情景”规定的权限进行操作,即“用户”的概念。每个“情景用户”具有不同的用户名和密码,这些信息以证书形式存储在单片机中,每个情景都是根据所需要的权限设置,情景与用户是一一对应的。同时上层应用设立一个CS架构,极大方便了计算机与计算机之间的管理。普通用户为客户端,高级用户和保密专员为服务器,服务器可以在客户端上访问计算机内部的资料,下载上传修改等。普通用户还可以通过网络向保密专员申请下载文件,保密专员可以通过网络协议来控制普通用户,让普通用户下载。
磁盘文件的访问管理:采用内存映射文件(File Mapping)来访问磁盘上的数据文件,可以避免直接对文件进行I/O操作和对文件内容进行缓存
磁盘文件的访问通过以下三个步骤完成:
Step1:创建或打开一个文件内核对象,该对象标示向用作内存映射文件的磁盘文件。
Step2:创建一个文件映射内核对象,告之计算机访问方式,将文件部分或全部映射到进程的地址空间。
Step3:从进程的地址空间中取消对文件映射内核对象的映射,关闭文件映射内核,关闭文件内核对象。
这样,当公司日常工作时时,就可以预先创建一个“公司情景”的情景用户,在创建时要设置在预期环境中所需设置的权限,比如能否拷贝文件、删除文件等,并为其设置一个与之对应的帐户信息:用户名和密码。用户名密码信息储存在专用外部存储芯片上,保证信息安全性,这样当职员在公司上班时,就使用“公司情景”的账户信息,分普通职员和主管人员两种不同级别,分别以普通用户和高级用户两种身份接入USB接口系统,这样就能够使计算机内数据按照相应的权限被访问,基于预期进行访问控制,保证了数据的可控性和安全性。同时也有保密专员对其进行统一管理。
同时为了防止恶意的试探性登录和尝试性的违规操作,防护系统设置有“自我防护”的功能,系统管理员可以预先设置非法操作的容忍次数,当使用者违规行为超过既定次数时,根据其情节轻重,系统主动采取“自锁”或者“锁闭系统”的防护措施保护计算机数据安全。
而且防护系统设有日志查看模块,可以显示所有对USB接口的违规使用记录及对应的详细信息,可以根据日志了解接口的安全状况,对保护数据起到重要的作用。
本实用新型的物理隔离式USB接口防护系统,克服了普通电脑内部数据保护系统单纯在软件层次上保护数据所存在的安全缺陷,从软硬结合的角度实现了电脑数据的安全访问,可以用来防止电脑中的数据的内部泄漏、外部扩散,抵御木马窃取等。系统采用了基于安全芯片的防护技术、USB总线技术相关协议方向访问控制技术及单片机与继电器控制的综合技术、硬件自锁防护技术、环境可信检测技术、完全物理隔离木马病毒技术等等,将物理层、数据传输层、应用层的数据防护功能通过应用软件层进行组织管理。与现有的普通USB接口安全防护机制相比,我们的系统实现了USB接口的自主防护,以安全芯片作为数据防护的硬件基础,结合上层软件形成了多层次的防御体系,赋予了USB接口灵活的多权限访问控制策略,保证了电脑内数据的可控性,实现了基于预期控制模型的具有主动防护技术的USB安全接口
尽管以上结合附图对本实用新型的实施方案进行了描述,但是本实用新型并不局限于上述的具体实施方案和应用领域,上述的具体实施方案仅仅是示意性的、指导性的,而不是限制性的。本领域的普通技术人员在说明书的启示下,在不脱离本实用新型权利要求所保护的范围的情况下,还可以做出很多种的形式,这些均属于本实用新型保护之列。
Claims (4)
1.一种物理隔离式USB接口防护系统,其特征在于,包括中央处理器,与多个用户计算机连接的上位机,用于存储用户名和密码的外部存储器,用于根据中央处理器的开关信号控制用户计算机上的多个USB接口开关的多个继电器;所述上位机通过串行通信与所述中央处理器电连接,所述继电器的控制端和外部存储器的输入端对应电连接所述中央处理器的对应端口。
2.根据权利要求1所述的物理隔离式USB接口防护系统,其特征在于,所述上位机与中央处理器之间设置有用于把计算机的串口RS232电平信号转换为TTL电平信号的信号转换器。
3.根据权利要求1所述的物理隔离式USB接口防护系统,其特征在于,所述中央处理器与继电器之间设置有用于把数字信号与模拟信号隔离开并防止干扰信号的隔离器。
4.根据权利要求1所述的物理隔离式USB接口防护系统,其特征在于,所述防护系统还包括用于把整个系统稳压在一个稳定的电压中的稳压器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201520323851.XU CN204576522U (zh) | 2015-05-19 | 2015-05-19 | 一种物理隔离式usb接口防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201520323851.XU CN204576522U (zh) | 2015-05-19 | 2015-05-19 | 一种物理隔离式usb接口防护系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN204576522U true CN204576522U (zh) | 2015-08-19 |
Family
ID=53869128
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201520323851.XU Expired - Fee Related CN204576522U (zh) | 2015-05-19 | 2015-05-19 | 一种物理隔离式usb接口防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN204576522U (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104915597A (zh) * | 2015-05-19 | 2015-09-16 | 王晓楠 | 一种物理隔离式usb接口防护系统及其防护方法 |
-
2015
- 2015-05-19 CN CN201520323851.XU patent/CN204576522U/zh not_active Expired - Fee Related
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104915597A (zh) * | 2015-05-19 | 2015-09-16 | 王晓楠 | 一种物理隔离式usb接口防护系统及其防护方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10061928B2 (en) | Security-enhanced computer systems and methods | |
US20140156961A1 (en) | Access to Memory Region Including Confidential Information | |
CN107563213B (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
CN103605930A (zh) | 一种基于hook和过滤驱动的双重文件防泄密方法及系统 | |
CN104318179A (zh) | 基于文件重定向技术的虚拟化安全桌面 | |
CA2886511A1 (en) | Assembling of isolated remote data | |
CN105354479A (zh) | 一种基于u盘鉴权的固态硬盘及数据隐藏方法 | |
CN102053925A (zh) | 硬盘数据加密实现方法 | |
CN102955745A (zh) | 一种移动存储终端及其管理数据的方法 | |
CN201682524U (zh) | 一种基于文件过滤驱动的文件流转权限控制系统 | |
CN101593252B (zh) | 一种计算机对usb设备进行访问的控制方法和系统 | |
CN1996328A (zh) | 一种便携式信息安全设备 | |
CN101877246A (zh) | 加密u盘实现方法 | |
CN104915597A (zh) | 一种物理隔离式usb接口防护系统及其防护方法 | |
CN105279453B (zh) | 一种支持分离存储管理的文件分区隐藏系统及其方法 | |
CN105740733A (zh) | 一种加密移动硬盘及其实现方法 | |
CN103729582A (zh) | 一种基于三权分立的安全存储管理方法及系统 | |
CN103309819A (zh) | 嵌入式系统及其中的内存安全管理方法 | |
US20170262640A1 (en) | Database operation method and device | |
US20220326863A1 (en) | Data storage apparatus with variable computer file system | |
CN204576522U (zh) | 一种物理隔离式usb接口防护系统 | |
TWI789291B (zh) | 用於認證在儲存裝置和主機裝置之間的資料傳輸之模組和方法 | |
CN110851880A (zh) | 一种电脑数据安全控制系统 | |
US20150135335A1 (en) | Computer system and method for protecting data from external threats | |
CN2927185Y (zh) | 一种数据安全传输设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150819 Termination date: 20160519 |