一種usb數(shù)據(jù)安全導(dǎo)入裝置��、系統(tǒng)及方法
【專(zhuān)利摘要】本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】���,具體涉及的是一種USB數(shù)據(jù)安全導(dǎo)入裝置�、系統(tǒng)及方法����。本發(fā)明提供的一種USB數(shù)據(jù)安全導(dǎo)入裝置,包括主處理芯片����,主處理芯片包括:與U盤(pán)連接的主接口、與PC芯片連接的從接口����、與調(diào)試模塊連接的串口���、和主處理芯片雙向信號(hào)傳輸?shù)腇lash模塊和內(nèi)存芯片,F(xiàn)lash模塊嵌入linux系統(tǒng)���。本發(fā)明還提供了一種USB數(shù)據(jù)安全接入系統(tǒng)及方法�,本發(fā)明可以取得當(dāng)前在移動(dòng)存儲(chǔ)介質(zhì)安全管理領(lǐng)域中�����,使大數(shù)據(jù)安全�、快速的單向?qū)耄彝ㄟ^(guò)采用身份認(rèn)證��、行為審計(jì)��、木馬病毒防范以及權(quán)限控制等技術(shù)措施�,在保證內(nèi)網(wǎng)安全的前提下,有效提高了外網(wǎng)數(shù)據(jù)安全導(dǎo)入內(nèi)網(wǎng)的效率��,滿(mǎn)足了信息化應(yīng)用中信息安全需求�����。
【專(zhuān)利說(shuō)明】—種USB數(shù)據(jù)安全導(dǎo)入裝置�����、系統(tǒng)及方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及信息安全【技術(shù)領(lǐng)域】�,具體涉及的是一種USB數(shù)據(jù)安全導(dǎo)入裝置、系統(tǒng)及方法�。
【背景技術(shù)】
[0002]現(xiàn)有技術(shù)中,USB數(shù)據(jù)安全導(dǎo)入裝置用于數(shù)據(jù)安全交換的產(chǎn)品�,當(dāng)前針對(duì)數(shù)據(jù)安全交換問(wèn)題國(guó)內(nèi)外進(jìn)行了一定的研究,針對(duì)中國(guó)涉密計(jì)算機(jī)國(guó)家保密局在三合一產(chǎn)品提出了光單向?qū)朐O(shè)備�,通過(guò)該產(chǎn)品可通過(guò)U盤(pán)將外網(wǎng)數(shù)據(jù)單向?qū)氲缴婷苡?jì)算機(jī)內(nèi)。該產(chǎn)品成本相對(duì)比較高�,而且傳輸效率上有一定的局限性。針對(duì)敏感的行業(yè)網(wǎng)數(shù)據(jù)安全交換問(wèn)題����,提出了專(zhuān)用安全U盤(pán),專(zhuān)用安全U盤(pán)采用數(shù)據(jù)加密�、身份認(rèn)證等技術(shù)手段來(lái)保證其數(shù)據(jù)在交換過(guò)程中的安全性,但由于安全U盤(pán)受Flash工藝的限制�����,目前最大容量為1TB����,隨著信息化的發(fā)展���,很難滿(mǎn)足大數(shù)據(jù)的需求,而且安全U盤(pán)為了提高其安全性����,采用了大量的安全技術(shù)手段,使得讀寫(xiě)性能方面大大降低�����。
【發(fā)明內(nèi)容】
[0003]為了克服現(xiàn)有技術(shù)中的缺陷����,本發(fā)明提供了一種USB安全導(dǎo)入裝置、系統(tǒng)及方法�����,其用于USB類(lèi)移動(dòng)存儲(chǔ)介質(zhì)上數(shù)據(jù)的安全導(dǎo)入��,實(shí)現(xiàn)將外網(wǎng)數(shù)據(jù)單向?qū)氲絻?nèi)網(wǎng)�,在技術(shù)上實(shí)現(xiàn)準(zhǔn)入控制、數(shù)據(jù)安全導(dǎo)入�����、操作審計(jì)�、權(quán)限策略等方面。通過(guò)嚴(yán)格控制數(shù)據(jù)的流向�����,使得數(shù)據(jù)在內(nèi)網(wǎng)上只進(jìn)不出���,防止內(nèi)部數(shù)據(jù)流出���,同時(shí)提供U盤(pán)木馬病毒防護(hù)和日志記錄功能,解決了當(dāng)前數(shù)據(jù)安全交換過(guò)程中的數(shù)據(jù)安全導(dǎo)入問(wèn)題���。
[0004]本發(fā)明是通過(guò)如下技術(shù)方案實(shí)現(xiàn)的:一種USB數(shù)據(jù)安全導(dǎo)入裝置���,包括主處理芯片,所述主處理芯片包括:與U盤(pán)連接的主接口�����、與PC芯片連接的從接口���、與調(diào)試模塊連接的串口����、和所述主處理芯片雙向信號(hào)傳輸?shù)腇lash模塊和內(nèi)存芯片,所述Flash模塊嵌入Iinux系統(tǒng)��。
[0005]進(jìn)一步地�����,所述主處理芯片為AT91SAM9G45芯片�。
[0006]進(jìn)一步地,所述Flash模塊為K9F2G08U0B芯片��。
[0007]進(jìn)一步地�����,所述內(nèi)存芯片為兩個(gè)D9JLN芯片�。
[0008]進(jìn)一步地,本發(fā)明還提供了一種USB數(shù)據(jù)安全導(dǎo)入系統(tǒng)�����,所述系統(tǒng)包括PC機(jī)��,所述PC機(jī)設(shè)有WINDOW系統(tǒng),所述WINDOW系統(tǒng)設(shè)置為按照定制USB設(shè)備協(xié)議進(jìn)行驅(qū)動(dòng)加載的CDROM驅(qū)動(dòng)系統(tǒng)���,所述CDROM驅(qū)動(dòng)系統(tǒng)按照定制文件系統(tǒng)解析器進(jìn)行操作解析��,所述定制文件系統(tǒng)解析器配置有定制瀏覽器和配置管理程序,所述定制瀏覽器與UI連接�,所述定制文件系統(tǒng)解析器按照應(yīng)用程序配置的啟動(dòng)腳本進(jìn)行啟動(dòng)設(shè)置和參數(shù)配置�����,所述啟動(dòng)腳本啟動(dòng)USB數(shù)據(jù)安全導(dǎo)入裝置�����,所述USB數(shù)據(jù)安全導(dǎo)入裝置包括:嵌入式⑶ROM虛擬驅(qū)動(dòng)�����、嵌入式主USB設(shè)備驅(qū)動(dòng)��、嵌入式定制介質(zhì)設(shè)備驅(qū)動(dòng)和嵌入式從USB設(shè)備驅(qū)動(dòng)���;
[0009]所述⑶ROM驅(qū)動(dòng)系統(tǒng)與嵌入式⑶ROM虛擬驅(qū)動(dòng)通過(guò)移動(dòng)光驅(qū)掛導(dǎo),移動(dòng)光驅(qū)設(shè)置為只讀的功能�,所述定制USB設(shè)備協(xié)議與所述嵌入式定制介質(zhì)設(shè)備驅(qū)動(dòng)進(jìn)行用戶(hù)數(shù)據(jù)讀取,所述嵌入式從USB設(shè)備驅(qū)動(dòng)與外接U盤(pán)進(jìn)行數(shù)據(jù)交換����;
[0010]所述系統(tǒng)還設(shè)有USB單向?qū)肫?,所述USB單向?qū)肫髟O(shè)置在嵌入式Iinux系統(tǒng)內(nèi)���,所述嵌入式Iinux系統(tǒng)對(duì)所述嵌入式⑶ROM虛擬驅(qū)動(dòng)���、嵌入式主USB設(shè)備驅(qū)動(dòng)、嵌入式定制介質(zhì)設(shè)備驅(qū)動(dòng)和嵌入式從USB設(shè)備驅(qū)動(dòng)加載�。
[0011]進(jìn)一步地,所述Iinux系統(tǒng)內(nèi)部定義一個(gè)對(duì)應(yīng)的⑶ROM虛擬設(shè)備把獲取到的WINDOWS端讀寫(xiě)⑶ROM設(shè)備指令轉(zhuǎn)換為讀USB存儲(chǔ)設(shè)備的指令���。
[0012]進(jìn)一步地���,所述定制文件系統(tǒng)解析器只被WINDOWS端的定制瀏覽器和Iinux系統(tǒng)端的CDROM虛擬設(shè)備解析;
[0013]進(jìn)一步地�,所述系統(tǒng)還包括防止木馬病毒感染和竊取用戶(hù)數(shù)據(jù)系統(tǒng),所述防止木馬病毒感染和竊取用戶(hù)數(shù)據(jù)系統(tǒng)以只讀CD驅(qū)動(dòng)器方式加載所述USB數(shù)據(jù)安全導(dǎo)入裝置���。
[0014]進(jìn)一步地����,本發(fā)明還提供了一種USB數(shù)據(jù)安全導(dǎo)入方法,所述方法包括以下步驟:
[0015]步驟一:計(jì)算機(jī)內(nèi)設(shè)置Iinux操作系統(tǒng),在內(nèi)嵌的Iinux操作系統(tǒng)內(nèi)虛擬一個(gè)⑶R0M����,USB從接口將所述USB安全數(shù)據(jù)安全導(dǎo)入裝置以只讀光驅(qū)的方式加載到計(jì)算機(jī)內(nèi)設(shè)備,設(shè)定識(shí)別為只讀CD-ROM屬性���,容量為設(shè)定的指定容量�����,將存放所述USB數(shù)據(jù)安全導(dǎo)入裝置的程序文件,設(shè)定可用空間為零���;
[0016]步驟二:對(duì)所述USB主接口導(dǎo)入的移動(dòng)存儲(chǔ)設(shè)備加載��,定制Iinux操作系統(tǒng)的文件系統(tǒng)解析設(shè)備的存儲(chǔ)的用戶(hù)數(shù)據(jù)�,將解析的用戶(hù)數(shù)據(jù)通過(guò)所述USB從接口將所述USB數(shù)據(jù)安全導(dǎo)入裝置加載到計(jì)算機(jī)內(nèi)的自帶資源瀏覽器程序進(jìn)行加載顯示��,設(shè)定用戶(hù)只能通過(guò)該資源瀏覽器進(jìn)行數(shù)據(jù)拷貝操作�����;
[0017]步驟三:在計(jì)算機(jī)操作系統(tǒng)應(yīng)用層面���,設(shè)定用戶(hù)只能通過(guò)所述USB數(shù)據(jù)安全導(dǎo)入裝置自帶專(zhuān)用資源瀏覽器進(jìn)行文件操作�����,在程序?qū)崿F(xiàn)過(guò)程中����,對(duì)自帶專(zhuān)用資源瀏覽器的導(dǎo)入?yún)^(qū)窗體的寫(xiě)權(quán)限進(jìn)行攔截,實(shí)現(xiàn)所述USB數(shù)據(jù)安全導(dǎo)入裝置對(duì)所述USB主接口加載的移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)保護(hù)�����;
[0018]步驟四:在所述USB數(shù)據(jù)安全導(dǎo)入裝置操作系統(tǒng)層面�,對(duì)內(nèi)嵌的Iinux操作系統(tǒng)進(jìn)行定制開(kāi)發(fā),首先刪除過(guò)時(shí)的目標(biāo)文件�、然后對(duì)系統(tǒng)內(nèi)核模塊進(jìn)行重新設(shè)置,裁剪原有其他無(wú)關(guān)的服務(wù)��,根據(jù)所述USB數(shù)據(jù)安全導(dǎo)入裝置功能需求����,對(duì)嵌入的Iinux系統(tǒng)內(nèi)核功能模塊進(jìn)行裁剪,其裁剪內(nèi)容主要包括網(wǎng)絡(luò)服務(wù)功能�����、ftp服務(wù)以及設(shè)備I/O管理方面,裁剪掉系統(tǒng)對(duì)無(wú)線(xiàn)設(shè)備����、藍(lán)牙、紅外功能支持��,并提升系統(tǒng)文件和進(jìn)程的訪(fǎng)問(wèn)權(quán)限��,控制其訪(fǎng)問(wèn)�����,保證用戶(hù)能夠在滿(mǎn)足功能需求的情況下�����,實(shí)現(xiàn)權(quán)限控制機(jī)制���;
[0019]步驟五:采用消息過(guò)濾方法對(duì)USB消息總線(xiàn)進(jìn)行濾過(guò),過(guò)濾其向所述USB主接口上導(dǎo)入的移動(dòng)存儲(chǔ)設(shè)備寫(xiě)消息���,對(duì)系統(tǒng)層面的移動(dòng)存儲(chǔ)設(shè)備設(shè)定只讀控制�����,實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)保護(hù)�����;
[0020]步驟六:對(duì)所述USB數(shù)據(jù)安全導(dǎo)入裝置主控COS程序進(jìn)行定制開(kāi)發(fā)���,增加合法性驗(yàn)證�����,對(duì)于讀指令將對(duì)其操作進(jìn)行合法性驗(yàn)證����,所述驗(yàn)證過(guò)程包括如下步驟:
[0021]I)自帶專(zhuān)用瀏覽器程序與所述USB數(shù)據(jù)安全導(dǎo)入裝置主控通信時(shí)���,首先發(fā)送一個(gè)通信請(qǐng)求�����;
[0022]2)所述USB數(shù)據(jù)安全導(dǎo)入裝置主控芯片隨機(jī)生成一個(gè)字符串���,并發(fā)送給自帶專(zhuān)用瀏覽器程序;
[0023]3)雙方采用相同的加密算法對(duì)字符串進(jìn)行加密運(yùn)算�;
[0024]4)自帶專(zhuān)用瀏覽器程序?qū)⒓用芎蟮慕Y(jié)果發(fā)送給所述USB數(shù)據(jù)安全導(dǎo)入裝置主控�����,所述USB數(shù)據(jù)安全導(dǎo)入裝置主控將兩個(gè)加密結(jié)果進(jìn)行比較����,相同則驗(yàn)證通過(guò)�;
[0025]5)通過(guò)消息過(guò)濾,從硬件層面實(shí)現(xiàn)對(duì)所述USB主接口加載的移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)保護(hù)�,通過(guò)合法性認(rèn)證機(jī)制,使得由自帶專(zhuān)用資源瀏覽器發(fā)起的讀取操作指令為唯一合法操作�,且該驗(yàn)證指令是一次有效,即自帶專(zhuān)用瀏覽器程序每通過(guò)所述USB數(shù)據(jù)安全導(dǎo)入裝置主控讀取64KB����,需重啟認(rèn)證一次,該防護(hù)機(jī)制防止攻擊者通過(guò)監(jiān)聽(tīng)根據(jù)總線(xiàn)獲得的USB指令發(fā)起重放攻擊和竊取所述USB主接口導(dǎo)在的移動(dòng)存儲(chǔ)設(shè)備內(nèi)的用戶(hù)數(shù)據(jù)�。
[0026]進(jìn)一步地��,所述步驟三還包括以下步驟:
[0027]I)將攔截通過(guò)鼠標(biāo)向自帶專(zhuān)用資源瀏覽器導(dǎo)入?yún)^(qū)窗體拖拽消息�;
[0028]2)去掉自帶專(zhuān)用資源瀏覽器導(dǎo)入?yún)^(qū)內(nèi)的鼠標(biāo)右鍵菜單欄中粘貼功能項(xiàng);
[0029]3)通過(guò)導(dǎo)入?yún)^(qū)窗體屏蔽鍵盤(pán)的Ctrl+V粘貼快捷鍵消息�����,使其用戶(hù)無(wú)法通過(guò)鼠標(biāo)拖拽、鼠標(biāo)右鍵復(fù)制粘貼以及鍵盤(pán)快捷鍵完成對(duì)所述USB數(shù)據(jù)安全導(dǎo)入裝置對(duì)所述USB主接口加載的移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)操作����。
[0030]與現(xiàn)有技術(shù)相比,優(yōu)越效果在于:本發(fā)明能夠取得當(dāng)前在移動(dòng)存儲(chǔ)介質(zhì)安全管理領(lǐng)域中���,大數(shù)據(jù)安全�、快速的單向?qū)?�,且通過(guò)采用身份認(rèn)證��、行為審計(jì)�����、木馬病毒防范以及權(quán)限控制等技術(shù)措施�����,在保證內(nèi)網(wǎng)安全的前提下����,有效提高外網(wǎng)數(shù)據(jù)安全導(dǎo)入到內(nèi)網(wǎng)的效率,滿(mǎn)足信息化應(yīng)用中信息安全的需求����。
【專(zhuān)利附圖】
【附圖說(shuō)明】
[0031]圖1為本發(fā)明所述的USB數(shù)據(jù)安全導(dǎo)入系統(tǒng)示意圖����;
[0032]圖2為本發(fā)明所述USB數(shù)據(jù)安全導(dǎo)入裝置結(jié)構(gòu)示意圖���。
[0033]附圖標(biāo)記如下:
[0034]1-從接口����,2-主接口�����,3-串口�。
[0035]圖中箭頭方向?yàn)閿?shù)據(jù)傳輸方向。
【具體實(shí)施方式】
[0036]下面結(jié)合附圖對(duì)本發(fā)明【具體實(shí)施方式】作進(jìn)一步詳細(xì)說(shuō)明����。
[0037]實(shí)施例1
[0038]如圖1和圖2所示,具體說(shuō)明本發(fā)明��,本發(fā)明提供了一種USB數(shù)據(jù)安全接入裝置����,包括主處理芯片,所述主處理芯片包括:與U盤(pán)連接的主接口 2���、與PC芯片連接從接口 1���、與調(diào)試模塊連接的串口 3、和所述主處理芯片雙向信號(hào)傳輸?shù)腇lash模塊和內(nèi)存芯片�����,所述Flash模塊嵌入Iinux系統(tǒng)�����,所述主處理芯片為AT91SAM9G45芯片����。本實(shí)施例中的裝置采用K9F2G08U0B型號(hào)的flash芯片一片為外掛式,存儲(chǔ)裁減的嵌入式Iinux系統(tǒng)��;所述Flash模塊為K9F2G08U0B芯片���,D9JLN型號(hào)的芯片兩片�;提供一個(gè)符合USB2.0協(xié)議的主接口 2,用于導(dǎo)入U(xiǎn)SB存儲(chǔ)設(shè)備功能����;提供一個(gè)符合USB2.0協(xié)議的從接口用于將USB安全導(dǎo)入裝置接入到PC的功能;提供一個(gè)支持RS232協(xié)議的串口����,用于系統(tǒng)調(diào)試功能;提供GP1控制指示燈�,根據(jù)指示燈不同的閃爍狀態(tài),指示設(shè)備不同的狀態(tài)�����。USB安全導(dǎo)入裝置在接入內(nèi)網(wǎng)終端以后�����,自動(dòng)以光驅(qū)的形式加載���,用戶(hù)啟動(dòng)PC定制瀏覽器后��,通過(guò)與服務(wù)器端進(jìn)行登錄認(rèn)證以后�,PC定制瀏覽器將檢測(cè)用戶(hù)是否接入U(xiǎn)SB存儲(chǔ)類(lèi)設(shè)備�,如果有,則對(duì)該USB存儲(chǔ)類(lèi)設(shè)備進(jìn)行文件系統(tǒng)的解析,為用戶(hù)單向?qū)霐?shù)據(jù)做好準(zhǔn)備�。為了避免I/o重放攻擊等常用軟件攻擊方式�����,USB安全導(dǎo)入裝置采用可靠的自定制的加密通信協(xié)議�����,使得設(shè)備與計(jì)算機(jī)操作系統(tǒng)之間的通信是通過(guò)加密的�����,密鑰有可變因子����,相同的明文在N次會(huì)話(huà)中的密文不一樣,能夠有效的防范I/O數(shù)據(jù)重放攻擊���。
[0039]實(shí)施例2
[0040]如圖1所示����,本發(fā)明還提供了一種USB數(shù)據(jù)安全接入系統(tǒng)�����,所述系統(tǒng)包括PC機(jī),所述PC機(jī)設(shè)置有WINDOW系統(tǒng)����,所述WINDOW系統(tǒng)設(shè)置有按照定制USB設(shè)備協(xié)議進(jìn)行驅(qū)動(dòng)加載的CDROM驅(qū)動(dòng)系統(tǒng),所述CDROM驅(qū)動(dòng)系統(tǒng)按照定制文件系統(tǒng)解析器進(jìn)行操作解析���,所述定制文件系統(tǒng)解析器配置有定制瀏覽器和配置管理程序���,所述定制瀏覽器設(shè)有UI,所述定制文件系統(tǒng)解析器按照應(yīng)用程序配置的啟動(dòng)腳本進(jìn)行啟動(dòng)設(shè)置和參數(shù)配置��,所述啟動(dòng)腳本啟動(dòng)USB安全導(dǎo)入裝置��,所述USB安全導(dǎo)入裝置包括:嵌入式⑶ROM虛擬驅(qū)動(dòng)��、嵌入式從USB設(shè)備驅(qū)動(dòng)�、嵌入式定制介質(zhì)設(shè)備驅(qū)動(dòng)和嵌入式主USB設(shè)備驅(qū)動(dòng);所述CDROM驅(qū)動(dòng)系統(tǒng)與嵌入式CDROM虛擬驅(qū)動(dòng)通過(guò)移動(dòng)光驅(qū)掛導(dǎo)���,移動(dòng)光驅(qū)內(nèi)容僅為讀的功能�����,所述定制USB設(shè)備協(xié)議與所述嵌入式定制介質(zhì)設(shè)備驅(qū)動(dòng)進(jìn)行用戶(hù)數(shù)據(jù)讀取��,所述嵌入式從USB設(shè)備驅(qū)動(dòng)與外接U盤(pán)進(jìn)行數(shù)據(jù)交換���;所述系統(tǒng)還設(shè)有USB單向?qū)肫?����,所述USB單向?qū)肫髟O(shè)置在嵌入式Iinux系統(tǒng)內(nèi),所述嵌入式Iinux系統(tǒng)對(duì)所述嵌入式CDROM虛擬驅(qū)動(dòng)�、嵌入式從USB設(shè)備驅(qū)動(dòng)、嵌入式定制介質(zhì)設(shè)備驅(qū)動(dòng)和嵌入式主USB設(shè)備驅(qū)動(dòng)加載��,所述Iinux系統(tǒng)內(nèi)部定義一個(gè)對(duì)應(yīng)的CDROM虛擬設(shè)備把獲取到的WINDOWS端讀寫(xiě)CDROM設(shè)備指令轉(zhuǎn)換為讀USB存儲(chǔ)設(shè)備的指令��,所述定制文件系統(tǒng)解析器只被WINDOWS端的定制瀏覽器和Iinux端的CDROM虛擬設(shè)備解析�����,所述系統(tǒng)還包括防止木馬病毒感染和竊取用戶(hù)數(shù)據(jù)系統(tǒng)���,所述防止木馬病毒感染和竊取用戶(hù)數(shù)據(jù)系統(tǒng)以只讀CD驅(qū)動(dòng)器方式加載導(dǎo)入器��。
[0041]實(shí)施例3
[0042]本發(fā)明還提供了一種USB數(shù)據(jù)安全導(dǎo)入方法�����,所述方法包括以下步驟:步驟一:計(jì)算機(jī)內(nèi)設(shè)置Iinux操作系統(tǒng)�,在內(nèi)嵌的Iinux操作系統(tǒng)內(nèi)虛擬一個(gè)⑶R0M,從USB接口將所述USB安全數(shù)據(jù)安全導(dǎo)入裝置以只讀光驅(qū)的方式加載到計(jì)算機(jī)內(nèi)設(shè)備����,設(shè)定識(shí)別為只讀CD-ROM屬性,容量為設(shè)定的指定容量����,將存放USB數(shù)據(jù)安全導(dǎo)入裝置的程序文件,設(shè)定可用空間為零�;
[0043]步驟二:對(duì)USB主接口導(dǎo)入的移動(dòng)存儲(chǔ)設(shè)備加載,定制Iinux操作系統(tǒng)的文件系統(tǒng)解析設(shè)備的存儲(chǔ)的用戶(hù)數(shù)據(jù)���,將解析的用戶(hù)數(shù)據(jù)通過(guò)USB從接口將USB數(shù)據(jù)安全導(dǎo)入裝置加載到計(jì)算機(jī)內(nèi)的自帶資源瀏覽器程序進(jìn)行加載顯示��,設(shè)定用戶(hù)只能通過(guò)該資源瀏覽器進(jìn)行數(shù)據(jù)拷貝操作�����;
[0044]步驟三:計(jì)算機(jī)操作系統(tǒng)應(yīng)用層面�,設(shè)定用戶(hù)只能通過(guò)USB數(shù)據(jù)安全導(dǎo)入裝置自帶專(zhuān)用資源瀏覽器進(jìn)行文件操作���,在程序?qū)崿F(xiàn)過(guò)程中�,對(duì)自帶專(zhuān)用資源瀏覽器的導(dǎo)入?yún)^(qū)窗體的寫(xiě)權(quán)限進(jìn)行攔截,實(shí)現(xiàn)USB數(shù)據(jù)安全導(dǎo)入裝置對(duì)USB主接口加載的移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)保護(hù)����;
[0045]步驟四:USB數(shù)據(jù)安全導(dǎo)入裝置操作系統(tǒng)層面,對(duì)內(nèi)嵌的Iinux操作系統(tǒng)進(jìn)行定制開(kāi)發(fā)�����,首先刪除過(guò)時(shí)的目標(biāo)文件�����、然后對(duì)系統(tǒng)內(nèi)核模塊進(jìn)行重新設(shè)置��,裁剪原有其他無(wú)關(guān)的服務(wù)��,根據(jù)USB數(shù)據(jù)安全導(dǎo)入裝置功能需求���,對(duì)嵌入的Iinux系統(tǒng)內(nèi)核功能模塊進(jìn)行裁剪,其裁剪內(nèi)容主要包括網(wǎng)絡(luò)服務(wù)功能����、ftp服務(wù)以及設(shè)備1/0管理方面�����,裁剪掉系統(tǒng)對(duì)無(wú)線(xiàn)設(shè)備���、藍(lán)牙、紅外功能支持����,并提升系統(tǒng)文件和進(jìn)程的訪(fǎng)問(wèn)權(quán)限,控制其訪(fǎng)問(wèn)�,保證用戶(hù)能夠夠在滿(mǎn)足功能需求的情況下,實(shí)現(xiàn)最小權(quán)限控制機(jī)制�;
[0046]步驟五:采用消息過(guò)濾方法對(duì)USB消息總線(xiàn)進(jìn)行濾過(guò),過(guò)濾其向USB主接口上導(dǎo)入的移動(dòng)存儲(chǔ)設(shè)備寫(xiě)消息�,對(duì)系統(tǒng)層面的移動(dòng)存儲(chǔ)設(shè)備設(shè)定只讀控制,實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)保護(hù)����;
[0047]步驟六:對(duì)USB數(shù)據(jù)安全導(dǎo)入裝置主控COS程序進(jìn)行定制開(kāi)發(fā),增加合法性驗(yàn)證��,對(duì)于讀指令將對(duì)其操作進(jìn)行合法性驗(yàn)證���,所述驗(yàn)證過(guò)程包括如下步驟:
[0048]I)自帶專(zhuān)用瀏覽器程序與USB數(shù)據(jù)安全導(dǎo)入裝置主控通信時(shí)���,首先發(fā)送一個(gè)通信請(qǐng)求�����;
[0049]2)USB數(shù)據(jù)安全導(dǎo)入裝置主控芯片隨機(jī)生成一個(gè)字符串��,并發(fā)送給自帶專(zhuān)用瀏覽器程序��;
[0050]3)雙方采用相同的加密算法對(duì)字符串進(jìn)行加密運(yùn)算����;
[0051]4)自帶專(zhuān)用瀏覽器程序?qū)⒓用芎蟮慕Y(jié)果發(fā)送給USB數(shù)據(jù)安全導(dǎo)入裝置主控�,USB數(shù)據(jù)安全導(dǎo)入裝置主控將兩個(gè)加密結(jié)果進(jìn)行比較��,相同則驗(yàn)證通過(guò)����;
[0052]5)通過(guò)消息過(guò)濾,從硬件層面實(shí)現(xiàn)對(duì)主USB導(dǎo)口加載的移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)保護(hù)�����,通過(guò)合法性認(rèn)證機(jī)制��,使得由自帶專(zhuān)用資源瀏覽器發(fā)起的讀取操作指令為唯一合法操作,且該驗(yàn)證指令是一次有效���,即自帶專(zhuān)用瀏覽器程序每通過(guò)USB數(shù)據(jù)安全導(dǎo)入裝置主控讀取64KB,需重啟認(rèn)證一次����,該防護(hù)機(jī)制防止攻擊者通過(guò)監(jiān)聽(tīng)根據(jù)總線(xiàn)獲得的USB指令發(fā)起重放攻擊和竊取主USB導(dǎo)口導(dǎo)在的移動(dòng)存儲(chǔ)設(shè)備內(nèi)的用戶(hù)數(shù)據(jù)����。
[0053]其中所述步驟三還包括以下步驟:
[0054]I)將攔截通過(guò)鼠標(biāo)向自帶專(zhuān)用資源瀏覽器導(dǎo)入?yún)^(qū)窗體拖拽消息;
[0055]2)去掉自帶專(zhuān)用資源瀏覽器導(dǎo)入?yún)^(qū)內(nèi)的鼠標(biāo)右鍵菜單欄中粘貼功能項(xiàng)�����;
[0056]3)通過(guò)導(dǎo)入?yún)^(qū)窗體屏蔽鍵盤(pán)的Ctrl+V粘貼快捷鍵消息�����,使其用戶(hù)無(wú)法通過(guò)鼠標(biāo)拖拽��、鼠標(biāo)右鍵復(fù)制粘貼以及鍵盤(pán)快捷鍵完成對(duì)USB數(shù)據(jù)安全導(dǎo)入裝置對(duì)主USB導(dǎo)口加載的移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)操作��。
[0057]本實(shí)施例采用了操作系統(tǒng)內(nèi)核加固技術(shù)�����,具體是所述USB安全導(dǎo)入裝置內(nèi)嵌定制Iinux操作系統(tǒng),該Iinux操作系統(tǒng)裁剪了相關(guān)的系統(tǒng)功能��,并通過(guò)打補(bǔ)丁���、修改安全配置和增加安全機(jī)制等方法�,對(duì)操作系統(tǒng)進(jìn)行加固�����。并對(duì)系統(tǒng)操作權(quán)限進(jìn)行最小原則控制�����,使得用戶(hù)在最小授權(quán)的情況下完成相關(guān)的操作��。通過(guò)屏蔽Iinux系統(tǒng)與主���、從USB接口之間的寫(xiě)操作消息,保證USB數(shù)據(jù)安全導(dǎo)入裝置具備只讀功能��。
[0058]本發(fā)明還采用了虛擬設(shè)備驅(qū)動(dòng)技術(shù):為實(shí)現(xiàn)將USB移動(dòng)存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)安全導(dǎo)入到內(nèi)網(wǎng)計(jì)算機(jī)上�,在內(nèi)嵌的Iinux操作系統(tǒng)內(nèi)虛擬一個(gè)CDROM設(shè)備。當(dāng)USB移動(dòng)存儲(chǔ)介質(zhì)設(shè)備從USB主接口接入U(xiǎn)SB安全導(dǎo)入裝置時(shí),能夠?qū)⑵渫ㄟ^(guò)文件解析將介質(zhì)內(nèi)的數(shù)據(jù)解析到USB安全導(dǎo)入裝置的自帶的安全資源瀏覽器內(nèi)���,并通過(guò)裝置的USB從接口將USB安全導(dǎo)入裝置以只讀光驅(qū)的形式加載到計(jì)算機(jī)內(nèi)����,通過(guò)運(yùn)行光驅(qū)內(nèi)的安全資源瀏覽器將USB移動(dòng)存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)安全導(dǎo)入到內(nèi)網(wǎng)計(jì)算機(jī)上��。通過(guò)該技術(shù)將USB移動(dòng)存儲(chǔ)介質(zhì)屏蔽在USB安全導(dǎo)入裝置后面�����,使得計(jì)算機(jī)無(wú)法識(shí)別存儲(chǔ)介質(zhì)�,一定程度上保護(hù)了 U盤(pán)木馬病毒的感染移動(dòng)存儲(chǔ)介質(zhì),也無(wú)法讀取要USB移動(dòng)存儲(chǔ)介質(zhì)內(nèi)的數(shù)據(jù)件�。定制文件系統(tǒng)協(xié)議,以讀取USB移動(dòng)存儲(chǔ)介質(zhì)中的數(shù)據(jù)�,采用定制USB協(xié)議為基礎(chǔ)構(gòu)建自己一套獨(dú)立的文件系統(tǒng),在確保該協(xié)議只能夠被USB安全導(dǎo)入裝置自帶的安全資源瀏覽器和內(nèi)嵌的Linux操作系統(tǒng)能夠解析的基礎(chǔ)上����,保證數(shù)據(jù)傳輸?shù)陌踩6ㄖ瀑Y源瀏覽器�����,繼承現(xiàn)有WINDOWS自帶瀏覽器部分功能,使用和Windows資源管理器界面基本一致的窗口布局�����、顏色搭配和布局��,且用戶(hù)只能通過(guò)自帶的安全資源瀏覽器進(jìn)行文件讀操作�����,并對(duì)寫(xiě)操作進(jìn)行屏蔽��。該瀏覽器具備windows瀏覽器常用的基本功能�����,包括復(fù)制�、拖拽等操作。通過(guò)充分優(yōu)化的菜單可以使用戶(hù)有很好的適應(yīng)性����。根據(jù)定制文件系統(tǒng)協(xié)議提供的接口,完成USB移動(dòng)存儲(chǔ)介質(zhì)文件的單向?qū)氩僮?����;并支持?duì)常用文件的瀏覽查看等功能����。異步I/O、預(yù)讀取技術(shù)�����,通過(guò)異步I/O����、預(yù)讀取技術(shù)提高傳輸速率。USB安全導(dǎo)入裝置里運(yùn)行的Linux系統(tǒng)���,USB移動(dòng)存儲(chǔ)介質(zhì)接入后�,windows端通過(guò)SISC總線(xiàn)設(shè)備協(xié)議與Linux USB從接口驅(qū)動(dòng)通信�,并通過(guò)驅(qū)動(dòng)對(duì)USB主接口內(nèi)接入的USB存儲(chǔ)設(shè)備的文件進(jìn)行讀取。若是同步的讀取操作�����,速度達(dá)到7MB/s���,采用異步讀寫(xiě)取�,速度能夠達(dá)到20MB/S,優(yōu)化了讀取速度����。免驅(qū)動(dòng)通信技術(shù),為了避免使用驅(qū)動(dòng)造成的兼容性問(wèn)題��。USB安全導(dǎo)入裝置以⑶驅(qū)動(dòng)器方式加載�����,通過(guò)SCSI的bus總線(xiàn)指令與⑶驅(qū)動(dòng)器進(jìn)行通信和數(shù)據(jù)交換����。在PC端不需要安裝對(duì)應(yīng)設(shè)備的USB驅(qū)動(dòng),沒(méi)有兼容性問(wèn)題��,提高了穩(wěn)定性�。容錯(cuò)機(jī)制技術(shù),為增強(qiáng)設(shè)備的容錯(cuò)能力�����,USB安全導(dǎo)入裝置在整個(gè)系統(tǒng)中定義了一套完整的錯(cuò)誤代碼����,并設(shè)計(jì)了相關(guān)錯(cuò)誤出現(xiàn)時(shí)的處理流程機(jī)制�,使能預(yù)見(jiàn)的錯(cuò)誤都能夠得到處理���,增強(qiáng)了系統(tǒng)地容錯(cuò)處理能力,提高了系統(tǒng)穩(wěn)定性���?�?煽康淖杂喼萍用芡ㄐ艆f(xié)議��,選擇AT91SAM9G45處理器��,不但滿(mǎn)足項(xiàng)目需求���,同時(shí)由于其具有其他外接口多,能夠滿(mǎn)足今后需求的擴(kuò)展和變化��。具體如下:AT91SAM9G45處理器功能強(qiáng)大�����,外圍接口多����,集成了 400MHz的ARM926EJ-S內(nèi)核�,32KB的數(shù)據(jù)高速緩存��,32KB的指令高速緩存���,具有MMU單元��,能夠擴(kuò)展4 塊 DDR2/LPDDR�����、SDRAM/LPSDR 及 NAND FLASH,自帶 LCD 控制器��、可支持 STN 和 TFT 液晶屏����,具有一個(gè)高速USB HOST和一個(gè)高速USB DEVICE接口�����,自帶10/100M以太網(wǎng)接口�,AC97控制器,4個(gè)串口�����,160個(gè)可編程GP10。處理器具有133MHz系統(tǒng)總線(xiàn)�����,具有37個(gè)DMA通道��,操作系統(tǒng)可以從NAND FLASH��、DATA FLASH�、SD卡����、串行DATA FLASH啟動(dòng),芯片采用324-ballLFBGA封裝���。電源穩(wěn)定性�,AT91SAM9G45芯片功耗低���,所以在電路設(shè)計(jì)中�,USB安全接入裝置采用PC 5V的USB電壓供電模式�����,不需要提供后備電源,USB安全接入裝置內(nèi)部由5V電壓通過(guò)LDO電源芯片轉(zhuǎn)3.3V�����、1.8V���、IV三種電壓�����,其中��,3.3V主要是給CPU的外圍接口���、NANDFLASH芯片供電,1.8V電壓主要是給DDR2內(nèi)存及CPU處理器中的DDR2內(nèi)存控制器供電�����,IV電壓是給CPU內(nèi)核供電�����。USB安全接入裝置插入U(xiǎn)盤(pán),工作起來(lái)后����,工作電流小于240mA。USB安全導(dǎo)入裝置中各工作電壓的壓差小��、電流弱�,所以電源芯片都采用LDO電壓芯片而不是交流電源芯片,同時(shí)在LDO芯片周?chē)?7uF短電容穩(wěn)壓���、加0.0luf及0.1uf的鉭電容濾波和去耦��,以提供穩(wěn)定干凈電源。并提供一個(gè)外接電源接口�,能夠使電源供應(yīng)穩(wěn)定,適合在有些PC供電不足的情況下使用��。對(duì)于相對(duì)小功率的USB存儲(chǔ)設(shè)備��,如U盤(pán)等���,在插入U(xiǎn)SB安全導(dǎo)入裝置后����,不需外接電源;而對(duì)于移動(dòng)硬盤(pán)等相對(duì)大功率的USB存儲(chǔ)設(shè)備�,則需自行接入外接穩(wěn)壓電源?���?闺姶鸥蓴_與信號(hào)完整性,在整個(gè)電路設(shè)計(jì)中�����,系統(tǒng)的內(nèi)存電路是最需要關(guān)注的地方�,內(nèi)存芯片選用了 MICRON的DDR2 MT47H64M8CF,工作電壓1.8V�,8位數(shù)據(jù)寬度,60pin的FBGA封裝����。芯片的控制信號(hào)需要加匹配電阻,消除信號(hào)反射�����、過(guò)沖等一系列信號(hào)完整性問(wèn)題�。為了方便以后系統(tǒng)的維護(hù),系統(tǒng)的升級(jí)�����,功能方面的擴(kuò)展要求,在電路設(shè)計(jì)中����,擴(kuò)展了一個(gè)10/100M的網(wǎng)絡(luò)接口。選用的DAVIC0M公司的DM9161A芯片����,DM9161A芯片具有RMII接口,低功耗����、支持Auto-Negotiat1n功能,極小的48pin LQFP封裝��。系統(tǒng)硬件穩(wěn)定性�,PCB板的尺寸5X7cm�,采用四層板結(jié)構(gòu),其中�,TOP層和BOTTOM層用于元器件的布局與PCB布線(xiàn),第二層為地層�、第三層為電源層,電源層劃分了 3.3V�����、1.8V、1V三個(gè)SHAPE�����。PCB布局時(shí)以AT91SAM9G45處理器為中心���,分別在處理器周?chē)胖肈DR���、NAND FLASH、DM9161�,濾波電容均勻分布在各芯片周?chē)麄€(gè)布局簡(jiǎn)潔有序�����,各元器件錯(cuò)落有致���。PCB布線(xiàn)時(shí)�����,關(guān)鍵信號(hào)線(xiàn)要盡可能性的短���,內(nèi)存的數(shù)據(jù)走線(xiàn)需要繞等長(zhǎng)以滿(mǎn)足時(shí)序要求�����。由于晶振靠近芯片�,內(nèi)存的時(shí)鐘走線(xiàn)需要配對(duì)��,USB差分信號(hào)走線(xiàn)需要等長(zhǎng)和配對(duì)���,增強(qiáng)了抗干擾能力�����,提高了系統(tǒng)穩(wěn)定性����。嵌入式系統(tǒng)引導(dǎo)可靠性��,Bootload是系統(tǒng)上加電后運(yùn)行的第一段代碼�,USB安全導(dǎo)入裝置的bootload由二部分組成,第一部分是ATMEL公司提供的AT91Bootstrap,第二部分是U-boot��。AT91Bootstrap的主要工作是硬件初始化,如初始化GP10�����、時(shí)鐘、內(nèi)存�、flash等。初始化完后從FLASH中下載后繼程序到內(nèi)存中�����,轉(zhuǎn)到UBOOT程序�,進(jìn)一步配置硬件環(huán)境,為操作系統(tǒng)的運(yùn)行做準(zhǔn)備���。其中��,UBOOT是德國(guó)DENX小組開(kāi)發(fā)的用于多種嵌入式CPU的Bootloader程序��,它可以運(yùn)行在基于PowerPC�����、ARM�、MIPS等多種嵌入式系統(tǒng)中���,本系統(tǒng)采用的是U-boot 1.3.4版本�,功能非常豐富,通過(guò)移植可以支持4了913八19645 CPU����,支持NAND FLASH、DM9161網(wǎng)絡(luò)��。通過(guò)U-boot命令可以通過(guò)串口���、網(wǎng)絡(luò)下載內(nèi)核���、文件系統(tǒng),直接燒寫(xiě)NAND FLASH�。嵌入式Iinux系統(tǒng),采用Iinux 2.6.30內(nèi)核�����,是非常穩(wěn)定的版本���。裁剪掉所有不相關(guān)的功能����,保證提供必須功能的同時(shí),增強(qiáng)了系統(tǒng)的安全性�����。CDROM驅(qū)動(dòng)與嵌入式CDROM虛擬驅(qū)動(dòng)���,在嵌入式Iinux系統(tǒng)內(nèi)部定義一個(gè)對(duì)應(yīng)的CDROM虛擬設(shè)備;把獲取到的WINDOWS端讀寫(xiě)CDROM設(shè)備指令轉(zhuǎn)換為讀USB存儲(chǔ)設(shè)備的指令��,從而完成對(duì)U盤(pán)內(nèi)容的讀寫(xiě)��;保證WINDOWS端對(duì)該USB存儲(chǔ)設(shè)備只讀�����,且不影響現(xiàn)有的U盤(pán)管理系統(tǒng)�;定制文件系統(tǒng)協(xié)議,以自己獨(dú)有的方式讀取USB存儲(chǔ)設(shè)備信息�����,以定制USB協(xié)議為基礎(chǔ)構(gòu)建自己一套獨(dú)立的文件系統(tǒng)��,并確保該協(xié)議只能夠被WINDOWS端的定制瀏覽器和Iinux端的CDROM虛擬設(shè)備解析�����;定制瀏覽器,USB安全導(dǎo)入裝置定具備口令認(rèn)證功能,通過(guò)身份認(rèn)證后方能打開(kāi)定制瀏覽器進(jìn)行數(shù)據(jù)的安全導(dǎo)入��。定制瀏覽器繼承現(xiàn)有WINDOWS自帶瀏覽器部分功能��,使用和Windows資源管理器界面基本一致的窗口布局�����,使用了一致的顏色搭配和承擔(dān)布局�����。用戶(hù)只要能使用Windows資源管理器就不用任何的學(xué)習(xí)和培訓(xùn)便可熟練的使用單向?qū)氲能浖到y(tǒng)����。支持拖拽、復(fù)制以及快捷鍵等常規(guī)操作�����。這些都是用戶(hù)在使用中用的最多的操作���,通過(guò)優(yōu)化的菜單�����,適應(yīng)用戶(hù)的需求�����。根據(jù)定制文件系統(tǒng)協(xié)議提供的接口���,完成USB安全導(dǎo)入裝置端USB存儲(chǔ)設(shè)備文件的讀操作;口令認(rèn)證界面����;定制瀏覽器;嵌入式主�����、從USB設(shè)備驅(qū)動(dòng)�����,以大內(nèi)存緩存機(jī)制����,實(shí)現(xiàn)大量數(shù)據(jù)在USB安全導(dǎo)入裝置從USB從接口與USB主接口之間的數(shù)據(jù)透?jìng)骱透袷睫D(zhuǎn)換;內(nèi)置常用文件查看器,不用復(fù)制到本地磁盤(pán)就能實(shí)現(xiàn)等常用文件的快速查看���;純內(nèi)存接口�,不以任何方式在本地磁盤(pán)留下痕跡�。通過(guò)專(zhuān)用接口從USB存儲(chǔ)設(shè)備中讀取文件,檢查是不是Windows聯(lián)合文檔,若不是Windows聯(lián)合文檔便在內(nèi)存中重構(gòu)聯(lián)合文檔格式并把文件的數(shù)據(jù)填充進(jìn)去���,同時(shí)還要有固定的內(nèi)存格式封裝以便能通過(guò)OL E的內(nèi)存接口把文件數(shù)據(jù)傳輸給OLE對(duì)象���,通過(guò)OLE打開(kāi)顯示文件。支持查看所有版本的Word�、Excel文件(需要主機(jī)安裝相應(yīng)的軟件)。支持查看BMP���、JPG��、PNG�����、GIF�����、TIF等常用圖片���,支持縮放����,常用的圖片文件格式:BMP�����、JPG���、PNG、GIF�����、TIF的查看瀏覽�,不用先把文件存儲(chǔ)在本地磁盤(pán),內(nèi)嵌了這圖片格式的瀏覽器��,同樣是通過(guò)內(nèi)存接口�,安全可靠。支持常用文本格式文件���,如TXT���、IN1��、XML等����,常用的文件格式:TXT���、IN1�����、XML的查看瀏覽���,同樣不用先把文件存儲(chǔ)在本地磁盤(pán),USB安全導(dǎo)入器自帶的安全資源瀏覽器���,內(nèi)嵌該文件格式的瀏覽器���,同樣是通過(guò)內(nèi)存接口,安全可靠��。采用異步1/0,預(yù)讀取等優(yōu)化技術(shù)提高傳輸效率�,最大通信速度可以達(dá)到20MB/S。USB安全導(dǎo)入裝置設(shè)備里運(yùn)行的Linux系統(tǒng)��,USB存儲(chǔ)設(shè)備接入后���,windows端通過(guò)SISC總線(xiàn)設(shè)備協(xié)議與Linux USB從接口驅(qū)動(dòng)通信,并通過(guò)驅(qū)動(dòng)對(duì)插入U(xiǎn)SB存儲(chǔ)設(shè)備的文件做讀取����。若是同步的讀取操作�,速度大概只能達(dá)到7MB/s,采用異步讀寫(xiě)取����,速度可以20MB/S����,優(yōu)化了讀取速度。免驅(qū)動(dòng)通信����,避免使用驅(qū)動(dòng)造成的兼容性問(wèn)題。CD驅(qū)動(dòng)器方式加載導(dǎo)入器���,然通過(guò)SCSI的bus總線(xiàn)指令與CD驅(qū)動(dòng)器進(jìn)行通信和數(shù)據(jù)交換�。在PC端不需要安裝對(duì)應(yīng)設(shè)備的USB驅(qū)動(dòng),沒(méi)有兼容性問(wèn)題��,提高了穩(wěn)定性�。采用容錯(cuò)機(jī)制技術(shù),增強(qiáng)系統(tǒng)的容錯(cuò)能力��,在整個(gè)設(shè)備系統(tǒng)中定義了一套完整的錯(cuò)誤代碼����,并設(shè)計(jì)了相關(guān)錯(cuò)誤出現(xiàn)時(shí)的處理流程機(jī)制,使能預(yù)見(jiàn)的錯(cuò)誤都能夠得到處理����,增強(qiáng)了系統(tǒng)的容錯(cuò)處理能力,提高了系統(tǒng)穩(wěn)定性���。支持自動(dòng)識(shí)別使用FAT���、FAT32、VFAT, NTFS����、EXT2等常用文件系統(tǒng)的存儲(chǔ)設(shè)備���,文件的格式的解析是在Linux系統(tǒng)中完成的,為了能夠讓Linux識(shí)別FAT��、FAT32����、NTFS等文件系統(tǒng),在Linux加載了 FAT, FAT32, NTFS文件系統(tǒng)的驅(qū)動(dòng)�,通過(guò)測(cè)試運(yùn)行穩(wěn)定。支持多分區(qū)存儲(chǔ)設(shè)備��,不但支持一般U盤(pán)單個(gè)盤(pán)符(分區(qū))的存儲(chǔ)設(shè)備���,也支持像移動(dòng)硬盤(pán)這類(lèi)存在多個(gè)盤(pán)符(分區(qū))的存儲(chǔ)設(shè)備��。支持超大文件(>2G)訪(fǎng)問(wèn),對(duì)文件的所有操作���、文件大小的變量都采用64位的指針��,在Iinux內(nèi)核�、文件系統(tǒng)�����、應(yīng)用程序都做了如上相應(yīng)改動(dòng)。解決了 Iinux系統(tǒng)對(duì)文件大小的限制(不大于2G)��,能夠讀取超過(guò)2G的文件��。使用自訂制的加密通信協(xié)議����,防止I/O重放攻擊等常用軟件攻擊方式。USB安全接入裝置與windows之間的通信是通過(guò)加密的���,密鑰有可變因子����,相同的明文在N次會(huì)話(huà)中的密文不相同��,防范I/O數(shù)據(jù)重放攻擊�。防止木馬病毒感染和竊取用戶(hù)數(shù)據(jù),以只讀CD驅(qū)動(dòng)器方式加載導(dǎo)入器����,并且CD驅(qū)動(dòng)器中存放的是對(duì)應(yīng)的軟件,USB存儲(chǔ)設(shè)備對(duì)于windows系統(tǒng)來(lái)說(shuō)是不可見(jiàn)的,木馬病毒既不能感染專(zhuān)用軟件��,也無(wú)法讀取要導(dǎo)入U(xiǎn)SB存儲(chǔ)設(shè)備的文件��。
[0059]本發(fā)明有效解決了當(dāng)前在移動(dòng)存儲(chǔ)介質(zhì)安全管理領(lǐng)域中�,使得大數(shù)據(jù)安全、快速的單向?qū)雴?wèn)題得到有效解決���。通過(guò)采用身份認(rèn)證����、行為審計(jì)����、木馬病毒防范以及權(quán)限控制等技術(shù),在保證內(nèi)網(wǎng)安全的前提下�����,有效提高了外網(wǎng)數(shù)據(jù)的安全導(dǎo)入內(nèi)網(wǎng)的效率�����,滿(mǎn)足了信息化應(yīng)用中信息安全需求�。
[0060]本發(fā)明并不限于上述實(shí)施方式,在不背離本發(fā)明的實(shí)質(zhì)內(nèi)容的情況下���,本領(lǐng)域技術(shù)人員可以想到的任何變形��、改進(jìn)����、替換均落入本發(fā)明的范圍��。
【權(quán)利要求】
1.一種USB數(shù)據(jù)安全導(dǎo)入裝置����,包括主處理芯片,所述主處理芯片包括--與U盤(pán)連導(dǎo)的主接口(2)��、與PC芯片連導(dǎo)的從接口(I)���、與調(diào)試模塊連接的串口(3)���、和所述主處理芯片雙向信號(hào)傳輸?shù)腇lash模塊和內(nèi)存芯片,其特征在于,所述Flash模塊嵌入Iinux系統(tǒng)。
2.根據(jù)權(quán)利要求1所述USB數(shù)據(jù)安全導(dǎo)入裝置����,其特征在于,所述主處理芯片為AT91SAM9G45 芯片。
3.根據(jù)權(quán)利要求1所述USB數(shù)據(jù)安全導(dǎo)入裝置�,其特征在于,所述Flash模塊為K9F2G08U0B 芯片����。
4.根據(jù)權(quán)利要求1所述USB數(shù)據(jù)安全導(dǎo)入裝置,其特征在于�,所述內(nèi)存芯片為兩個(gè)D9JLN芯片。
5.一種用于權(quán)利要求1所述裝置的USB數(shù)據(jù)安全導(dǎo)入系統(tǒng)�,其特征在于,所述系統(tǒng)包括PC機(jī)���,所述PC機(jī)設(shè)有WINDOW系統(tǒng)�,所述WINDOW系統(tǒng)設(shè)置為按照定制USB設(shè)備協(xié)議進(jìn)行驅(qū)動(dòng)加載的CDROM驅(qū)動(dòng)系統(tǒng)��,所述CDROM驅(qū)動(dòng)系統(tǒng)按照定制文件系統(tǒng)解析器進(jìn)行操作解析�����,所述定制文件系統(tǒng)解析器配置有定制瀏覽器和配置管理程序�����,所述定制瀏覽器與UI連接�����,所述定制文件系統(tǒng)解析器按照應(yīng)用程序配置的啟動(dòng)腳本進(jìn)行啟動(dòng)設(shè)置和參數(shù)配置��,所述啟動(dòng)腳本啟動(dòng)USB安全導(dǎo)入裝置�����,所述USB安全導(dǎo)入裝置包括:嵌入式⑶ROM虛擬驅(qū)動(dòng)���、嵌入式主USB設(shè)備驅(qū)動(dòng)����、嵌入式定制介質(zhì)設(shè)備驅(qū)動(dòng)和嵌入式從USB設(shè)備驅(qū)動(dòng)����; 所述⑶ROM驅(qū)動(dòng)系統(tǒng)與嵌入式⑶ROM虛擬驅(qū)動(dòng)通過(guò)移動(dòng)光驅(qū)掛導(dǎo),移動(dòng)光驅(qū)設(shè)置為只讀的功能���,所述定制USB設(shè)備協(xié)議與所述嵌入式定制介質(zhì)設(shè)備驅(qū)動(dòng)進(jìn)行用戶(hù)數(shù)據(jù)讀取��,所述嵌入式從USB設(shè)備驅(qū)動(dòng)與外接U盤(pán)進(jìn)行數(shù)據(jù)交換��;所述系統(tǒng)還設(shè)有USB單向?qū)肫?����,所述USB單向?qū)肫髟O(shè)置在嵌入式Iinux系統(tǒng)內(nèi)���,所述嵌入式Iinux系統(tǒng)對(duì)所述嵌入式⑶ROM虛擬驅(qū)動(dòng)�����、嵌入式主USB設(shè)備驅(qū)動(dòng)��、嵌入式定制介質(zhì)設(shè)備驅(qū)動(dòng)和嵌入式從USB設(shè)備驅(qū)動(dòng)加載�。
6.根據(jù)權(quán)利要求5所述的USB數(shù)據(jù)安全導(dǎo)入系統(tǒng)����,其特征在于,所述Iinux系統(tǒng)內(nèi)部定義一個(gè)對(duì)應(yīng)的CDROM虛擬設(shè)備把獲取到的WINDOWS端讀寫(xiě)CDROM設(shè)備指令轉(zhuǎn)換為讀USB存儲(chǔ)設(shè)備的指令��。
7.根據(jù)權(quán)利要求5所述的USB數(shù)據(jù)安全導(dǎo)入系統(tǒng)�����,其特征在于����,所述定制文件系統(tǒng)解析器只被WINDOWS端的定制瀏覽器和Iinux端的⑶ROM虛擬設(shè)備解析。
8.根據(jù)權(quán)利要求5所述的USB數(shù)據(jù)安全導(dǎo)入系統(tǒng)�,其特征在于,所述系統(tǒng)還包括防止木馬病毒感染和竊取用戶(hù)數(shù)據(jù)系統(tǒng)�,所述防止木馬病毒感染和所述竊取用戶(hù)數(shù)據(jù)系統(tǒng)以只讀⑶驅(qū)動(dòng)器方式加載USB數(shù)據(jù)安全導(dǎo)入裝置。
9.一種權(quán)利要求1所述裝置的USB數(shù)據(jù)安全導(dǎo)入方法�����,其特征在于�,所述方法包括以下步驟: 步驟一:計(jì)算機(jī)內(nèi)設(shè)置Iinux操作系統(tǒng),在內(nèi)嵌的Iinux操作系統(tǒng)內(nèi)虛擬一個(gè)⑶ROM,USB從接口將USB安全數(shù)據(jù)安全導(dǎo)入裝置以只讀光驅(qū)的方式加載到計(jì)算機(jī)內(nèi)設(shè)備��,設(shè)定識(shí)別為只讀CD-ROM屬性��,容量為設(shè)定的指定容量����,將存放USB數(shù)據(jù)安全導(dǎo)入裝置的程序文件,設(shè)定可用空間為零���; 步驟二:對(duì)USB主接口導(dǎo)入的移動(dòng)存儲(chǔ)設(shè)備加載��,定制Iinux操作系統(tǒng)的文件系統(tǒng)解析設(shè)備的存儲(chǔ)的用戶(hù)數(shù)據(jù)�����,將解析的用戶(hù)數(shù)據(jù)通過(guò)USB從接口將USB數(shù)據(jù)安全導(dǎo)入裝置加載到計(jì)算機(jī)內(nèi)的自帶資源瀏覽器程序進(jìn)行加載顯示�,設(shè)定用戶(hù)只能通過(guò)該資源瀏覽器進(jìn)行數(shù)據(jù)拷貝操作; 步驟三:在計(jì)算機(jī)操作系統(tǒng)應(yīng)用層面����,設(shè)定用戶(hù)只能通過(guò)USB數(shù)據(jù)安全導(dǎo)入裝置自帶專(zhuān)用資源瀏覽器進(jìn)行文件操作,在程序?qū)崿F(xiàn)過(guò)程中����,對(duì)自帶專(zhuān)用資源瀏覽器的導(dǎo)入?yún)^(qū)窗體的寫(xiě)權(quán)限進(jìn)行攔截,實(shí)現(xiàn)USB數(shù)據(jù)安全導(dǎo)入裝置對(duì)USB主接口加載的移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)保護(hù)����; 步驟四:在USB數(shù)據(jù)安全導(dǎo)入裝置操作系統(tǒng)層面,對(duì)內(nèi)嵌的Iinux操作系統(tǒng)進(jìn)行定制開(kāi)發(fā)����,首先刪除過(guò)時(shí)的目標(biāo)文件、然后對(duì)系統(tǒng)內(nèi)核模塊進(jìn)行重新設(shè)置�����,裁剪原有其他無(wú)關(guān)的服務(wù)����,根據(jù)USB數(shù)據(jù)安全導(dǎo)入裝置功能需求���,對(duì)嵌入的Iinux系統(tǒng)內(nèi)核功能模塊進(jìn)行裁剪,其裁剪內(nèi)容包括網(wǎng)絡(luò)服務(wù)功能�����、ftp服務(wù)以及設(shè)備I/O管理方面��,裁剪掉系統(tǒng)對(duì)無(wú)線(xiàn)設(shè)備���、藍(lán)牙、紅外功能支持���,并提升系統(tǒng)文件和進(jìn)程的訪(fǎng)問(wèn)權(quán)限����,控制其訪(fǎng)問(wèn)�����,用戶(hù)在滿(mǎn)足功能需求的情況下��,實(shí)現(xiàn)權(quán)限控制機(jī)制��; 步驟五:采用消息過(guò)濾方法對(duì)USB消息總線(xiàn)進(jìn)行濾過(guò),過(guò)濾其向USB主接口上導(dǎo)入的移動(dòng)存儲(chǔ)設(shè)備寫(xiě)消息����,對(duì)系統(tǒng)層面的移動(dòng)存儲(chǔ)設(shè)備設(shè)定只讀控制,實(shí)現(xiàn)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)保護(hù)���; 步驟六:對(duì)USB數(shù)據(jù)安全導(dǎo)入裝置主控COS程序進(jìn)行定制開(kāi)發(fā)�����,增加合法性驗(yàn)證��,對(duì)于讀指令將對(duì)其操作進(jìn)行合法性驗(yàn)證����,所述驗(yàn)證過(guò)程包括如下步驟: 1)自帶專(zhuān)用瀏覽器程序與USB數(shù)據(jù)安全導(dǎo)入裝置主控通信時(shí)��,首先發(fā)送一個(gè)通信請(qǐng)求����; 2)所述USB數(shù)據(jù)安全導(dǎo)入裝置主控芯片隨機(jī)生成一個(gè)字符串,并發(fā)送給自帶專(zhuān)用瀏覽器程序�����; 3)雙方采用相同的加密算法對(duì)字符串進(jìn)行加密運(yùn)算; 4)自帶專(zhuān)用瀏覽器程序?qū)⒓用芎蟮慕Y(jié)果發(fā)送給所述USB數(shù)據(jù)安全導(dǎo)入裝置主控����,所述USB數(shù)據(jù)安全導(dǎo)入裝置主控將兩個(gè)加密結(jié)果進(jìn)行比較,相同則驗(yàn)證通過(guò)���; 5)通過(guò)消息過(guò)濾���,從硬件層面實(shí)現(xiàn)對(duì)所述USB主接口加載的移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)保護(hù),通過(guò)合法性認(rèn)證機(jī)制����,使得由自帶專(zhuān)用資源瀏覽器發(fā)起的讀取操作指令為唯一合法操作����,且該驗(yàn)證指令是一次有效,即自帶專(zhuān)用瀏覽器程序每通過(guò)所述USB數(shù)據(jù)安全導(dǎo)入裝置主控讀取64KB���,需重啟認(rèn)證一次�,該防護(hù)機(jī)制防止攻擊者通過(guò)監(jiān)聽(tīng)根據(jù)總線(xiàn)獲得的USB指令發(fā)起攻擊和竊取主USB導(dǎo)口導(dǎo)在的移動(dòng)存儲(chǔ)設(shè)備內(nèi)的用戶(hù)數(shù)據(jù)�。
10.根據(jù)權(quán)利要求9所述的USB數(shù)據(jù)安全導(dǎo)入方法,其特征在于,所述步驟三還包括以下步驟: 1)將攔截通過(guò)鼠標(biāo)向自帶專(zhuān)用資源瀏覽器導(dǎo)入?yún)^(qū)窗體拖拽消息�; 2)去掉自帶專(zhuān)用資源瀏覽器導(dǎo)入?yún)^(qū)內(nèi)的鼠標(biāo)右鍵菜單欄中粘貼功能項(xiàng); 3)通過(guò)導(dǎo)入?yún)^(qū)窗體屏蔽鍵盤(pán)的Ctrl+V粘貼快捷鍵消息���,使其用戶(hù)無(wú)法通過(guò)鼠標(biāo)拖拽�、鼠標(biāo)右鍵復(fù)制粘貼以及鍵盤(pán)快捷鍵完成對(duì)所述USB數(shù)據(jù)安全導(dǎo)入裝置對(duì)USB主接口加載的移動(dòng)存儲(chǔ)介質(zhì)的寫(xiě)操作��。
【文檔編號(hào)】G06F21/60GK104200172SQ201410438027
【公開(kāi)日】2014年12月10日 申請(qǐng)日期:2014年8月29日 優(yōu)先權(quán)日:2014年8月29日
【發(fā)明者】李鎖雷, 孫論強(qiáng), 蔣勇, 楊衛(wèi)軍, 趙利, 李恒訓(xùn), 蘇烈華, 趙鑫, 王晨, 劉艷, 溫萬(wàn)造, 尹丹 申請(qǐng)人:公安部第一研究所, 北京中盾安全技術(shù)開(kāi)發(fā)公司