[发明专利]USB存储介质防护器

说明书

技术领域

本发明涉及计算机信息安全设备的技术领域，具体地说涉及一种具有“禁读”或“加密”防护功能的USB存储介质防护器。

背景技术

随着计算机技术的飞速发展，互联网已经成为社会发展的重要保证；它涉及到国家的政府、军事、文教、工业等诸多领域。其中存贮、传输和处理的信息有许多是政府宏观调控决策，商业经济信息，能源资源数据，科研数据等重要信息，甚至也涉及到国家机密；然而，随着互联网的发展，计算机中的漏洞、病毒、黑客以及频发的信息数据安全事件，特别是可连接网络的设备，已经不再让人感到安全和放心了，数据存储的安全性显得越来越重要。

基于计算机USB接口的移动存储介质(简称U盘)，由于使用极其方便，经常用于在互联网计算机和涉密计算机之间转移数据及暂存重要文件；但是计算机极易被植入“轮渡”木马，在U盘插入互联网计算机的瞬间，U盘上的数据就会被窃取；有些“轮渡”木马的功能非常强大，即使已被删除的文件或者经过快速格式化的U盘，残留的数据也能被窃取；有些“轮渡”木马甚至能够把从内网主机窃取的文件在U盘上隐藏起来，让用户根本不知道，一旦U盘拿到互联网主机上使用，就会通过互联网传输出去，几乎每年都通报由于U盘上网导致的重大泄密案件。为了保密安全，采取刻录光盘等安全措施，但这些措施只达到了安全，却没有达到方便，给工作仍带来许多不便，很难杜绝越过安全防护措施的行为发生，依然存在很大的泄密隐患，如何有效地阻断U盘在互联网计算机上使用时的泄密通道，是急待解决的问题。

发明内容

本发明要解决的技术问题是提供一种USB存储介质防护器，具有“禁读”或数据“加密”等防护功能。在互联网主机下载数据时，将U盘插在防护器的USB接口上，就像在计算机的USB接口上使用一样方便，U盘只能写，不能读，U盘上原来的文件绝对不会被窃取；还具有U盘加密、文件拆分功能，用于涉密计算机上，可防止移动U盘丢失所造成的泄密事故。

为了解决上述问题，本发明采用的技术方案是：一种USB存储介质防护器，包括内置的嵌入式计算机结构，外置两个高速USB接口，即上行USB接口Slave和下行USB接口Host；进一步包括嵌入式CPU、电源模块、程序存储器、数据存储器、数据加密模块、高速USB控制器；其特征在于：所述上行USB接口Slave和主机连接，下行USB接口Host和U盘连接；由嵌入式计算机，上行USB接口Slave和下行USB接口Host联动驱动，对文件内容判别，“禁读”或“加密”等技术措施一起实现对U盘文件数据的“上网禁读”防护或“U盘加密”防护。防护技术的核心是，利用嵌入式计算机截取上行USB接口Slave收到的U盘操作命令，判断要读/写的扇区数据是否为文件内容，若不是文件内容，说明是文件系统信息，则正常读/写，以保证操作系统能够继续执行U盘文件操作，若是文件内容，则进行“禁读”或“加/解密”防护。“禁读”功能用在互联网主机上，“加密”功能用在内部涉密主机上，使用前在非互联网主机上运行配置程序设置其功能。

所述上行USB接口Slave和下行USB接口Host联动驱动，即防护器的上行USB接口Slave端与下行USB接口Host端是紧密联系在一起进行驱动每一个动作的。U盘操作过程分为枚举阶段和批量操作阶段，枚举阶段以控制传输方式进行，包括对根hub枚举以及对U盘枚举；批量操作阶段包括获取U盘属性，设置工作模式等操作以及扇区读写；主机读写U盘要经过若干次USB批量传输才能完成。

批量传输涉及到两个重要的数据结构，命令块数据CBW和命令执行状态包CSW，其数据结构的具体操作命令在CBWCB字段中；读写操作的CBWCB字段中含有LBA，即逻辑扇区号，是判别扇区数据是否为文件内容的唯一依据。判别扇区数据是否为文件内容，只对文件内容进行禁读或加密防护，对其它数据正常读写，以便操作系统能够继续执行U盘操作。对于写操作，先对数据加密，再从下行USB接口Host发送给U盘；对于读操作，防护器先从下行USB接口Host接收数据，对数据解密后，再从上行USB接口Slave把数据返回给主机。