[发明专利]一种基于嵌入式Linux的USB数据映射过滤方法及装置

说明书

本发明公开一种基于嵌入式Li nux的USB数据映射过滤方法及装置，在Li nux内核内设置模拟复合USB设备，并在真实USB设备的CTRL控制端点与I N/OUT数据端点和模拟复合USB设备的CTRL控制端点与I N/OUT数据端点之间转发数据。其中，该装置可以对多个USB设备进行识别、授权、数据过滤，然后模拟成一个多接口模拟复合USB设备再接入主机，为目标主机提供USB接口的一对多接入的安全防护。

技术领域

本发明涉及通用串行总线(USB)设备的映射和数据过滤技术领域。具体地说是一种基于嵌入式Linux的USB数据映射过滤方法及装置。

背景技术

经过多年发展，USB接口已经取代了多种串行和并行端口，成为计算机上最常用的外围接口。对于鼠标、键盘、打印机、光驱以及闪存盘、移动硬盘、智能手机等计算机外围设备，USB已经是标准的通信方法；甚至各种电风扇、电子烟、移动电源等等非智能类产品都通过USB接口进行取电充电。而通过USB接口对计算机进行各种攻击破坏的行为也日益增多，比如USB炸弹、BadUSB固件攻击等等。

目前针对USB接口映射及防护的方法主要都是通过网络接口进行封装转发。比如云桌面环境使用的USB重定向技术；再比如将USB存储设备连接在服务器上，再由服务器采用ftp、samba、nfs等方式通过以太网将其文件系统共享给局域网内的特定客户端用户。

现有技术需要通过网络进行数据的转发，没有网络环境无法应用。

插入USB设备的位置和使用者所在位置不在同一处，使用不方便。

主机防护类的软件对USB接口的管控力度有限，只能做到U盘控制禁止或启用，无法对U盘文件内容进行过滤。BadUSB攻击模仿的是键盘、鼠标操作，常规的安全软件、杀毒软件不能起作用。

发明内容

为此，本发明所要解决的技术问题在于提供一种基于嵌入式Linux的USB数据映射过滤方法及装置，其中，该装置可以对多个USB设备进行识别、授权、数据过滤，然后模拟成一个多接口模拟复合USB设备再接入主机，为目标主机提供USB接口的一对多接入的安全防护。

为解决上述技术问题，本发明提供如下技术方案：

一种基于嵌入式Linux的USB数据映射过滤方法，在Linux内核内设置模拟复合USB设备，并在真实USB设备的CTRL控制端点与IN/OUT数据端点和模拟复合USB设备的CTRL控制端点与IN/OUT数据端点之间转发数据。

上述基于嵌入式Linux的USB数据映射过滤方法，在Linux内核内设置模拟复合USB设备后，在Linux内核内创建关联数据结构，关联数据结构包括与真实USB设备的CTRL控制端点和IN/OUT数据端点相关联的第一端点数据结构、与模拟复合USB设备的CTRL控制端点和IN/OUT数据端点相关联的第二端点数据结构、urb、usb request链表以及用于数据转发的fifo队列。

上述基于嵌入式Linux的USB数据映射过滤方法，具体步骤包括：

1)在Linux内核设置模拟复合USB设备；

2)对由真实USB设备的IN数据端点输入至Linux内核内的网络流量进行数据过滤，并将过滤后的网络流量转发至目标主机。

上述基于嵌入式Linux的USB数据映射过滤方法，在Linux内核设置模拟复合USB设备具体步骤为：

1-1)向Linux内核注册通用usb gadget function、usb设备拔插通知函数、usbgadget插拔状态改变回调函数和用户接口字符设备，并初始化usb gadget插拔状态改变回调函数；

1-2)创建数据转发线程usb device proxy和usb gadget proxy，并设置过滤函数；