本发明涉及一种信息安全领域,特别是一种基于usb接口的安全防控系统。
背景技术:
目前针对usb接口的安全防控对于信息安全的保护主要还是通过软件控制和物理隔离方法进行的。软件方面主要基于usb接口所在设备的操作系统上进行封堵,例如某公司的“三合一”软件等,但是此类软件属于被动的防控模式,原理上首先通过操作系统识别该usb接口上接入了usb设备,然后在根据相应的安全策略,进行授权或封堵,属于usb设备已经接入系统这起事件过程中或事件后的阻止方式,无法在设备接入系统这起事件前进行阻止;物理隔离法主要是对计算机上的usb口进行蜡封,这又给用户带来不便,无法对usb口灵活使用授权,降低用户体验。
现阶段存在的控制usb端口的方法
(1)物理法隔离
物理隔离的方法很简单,就是将计算机主板上扩展usb端口拆除,将集成usb端口用热熔胶或胶水堵死,即usb外设无法插入usb端口,从而达到控制端口的目的。
(2)bios屏蔽
启动计算机,按f2或del键(主板不同略有不同),进入bios设置,把usb设备设置为disable。再为bios设一个管理员密码,目的是除管理员以外的人不允许进入设置修改,这样设置的计算机就无法使用usb外设了。
(3)删除驱动程序控制
删除系统自带的usb设备驱动,这样u盘等设备插入计算机找不到驱动,自然就不能用了。但利用这种方法控制其实比较脆弱,很容易就可以把限制解除。
(4)软件控制
工作中发现采用软件控制的方法可行性比较高,既可以控制usb外设,又不影响usb键盘鼠标以及usb-key的使用。军工企业常用的控制usb使用的软件有:三合一,北信源等。
(5)其他方法
控制usb端口的方法还有很多,比如:建立服务器,利用ad域管理。这种方法适用于规模较大的企业网,这里不做过多介绍;还有可以利用屏蔽物理硬盘以外的盘符,达到控制usb外设无法映射的目的,等等。
以上的usb端口控制方法,都不能做到usb设备接入系统前进行识别或者封堵,特别是在一些测试设备或者正在运行的设备上,在不允许安装防控软件或不允许进行任何操作的条件下,以上的方法就不能实现;在此,我们提出了一种基于usb的安全防控方法,能够做到事前阻止,以及能够实现在不安装或者安装小客户端的前提下,实现usb2.0/3.0的防控。
技术实现要素:
本发明的目的在于克服现有技术的上述不足,提供一种基于usb接口的安全防控系统,设计了针对涉密计算机,非涉密单机以及测试机为基础u盘合规性检查装置,编写了u盘唯一性识别算法,开发了涉密单位usb安全控制盒的授权软件,实现了u盘与计算机合理性通信要求。
本发明的上述目的是通过如下技术方案予以实现的:
一种基于usb接口的安全防控系统,包括主控模块、第一接口模块、第一开关、usbhub模块、第三开关、第二接口模块、光电转换模块、第二开关和第四开关;
主控模块:初始化时,人工录入外部待识别usb设备的序列号和外部待绑定计算机的mac地址;将序列号和mac地址整合成白名单,并存储;发出获取序列号指令至第一接口模块;接收第一接口模块传来的序列号,对序列号与存储的白名单进行判别;当序列号存在于白名单中时,发出闭合指令至第一开关;当序列号不存在于白名单中时,发出断开指令至第四开关;发出获取mac地址电信号指令至光电转换模块;接收光电转换模块传来的mac地址的电信号;并将mac地址与存储的白名单进行判别;当mac地址存在于白名单时,发出闭合指令至第三开关;当mac地址不存在于白名单时,发出断开指令至第二开关;
第一接口模块:接收主控模块传来的获取序列号指令,获取外部待识别usb设备的序列号,并将序列号发送至主控模块;
第一开关:接收主控模块传来的闭合指令,闭合,连通第一接口模块和usbhub模块;
第四开关:接收主控模块传来的断开指令;断开与外部待识别usb设备的连通;
光电转换模块:接收主控模块传来的获取mac地址电信号指令,将获取mac地址电信号指令转换为获取mac地址光信号指令,再转化为获取mac地址电信号指令;获取外部待绑定计算机mac地址的电信号,将mac地址的电信号转化为光信号,再转化为mac地址的电信号;并将mac地址的电信号发送至主控模块;
第三开关:接收主控模块传来的闭合指令,闭合,连通usbhub模块和第二接口模块;实现外部待识别usb设备依次通过第一接口模块、第一开关、usbhub模块、第三开关、第二接口模块和光电转换模块与外部待绑定计算机连通;
第二开关:接收主控模块传来的断开指令;断开与外部待绑定计算机的联通。
在上述的一种基于usb接口的安全防控系统,所述初始化状态下,第一开关处于断开状态。
在上述的一种基于usb接口的安全防控系统,所述初始化状态下,第四开关处于闭合状态。
在上述的一种基于usb接口的安全防控系统,所述初始化状态下,第三开关处于断开状态。
在上述的一种基于usb接口的安全防控系统,所述初始化状态下,第二开关处于闭合状态。
在上述的一种基于usb接口的安全防控系统,当外部待识别usb设备与外部待绑定计算机连通;连通后,主控模块分别发出断开指令至第二开关和第四开关,实现外部待识别usb设备与外部待绑定计算机连通路中不接入其它设备。
在上述的一种基于usb接口的安全防控系统,所述usbhub模块包括usb3.0和usb2.0两种模式。
本发明与现有技术相比具有如下优点:
(1)本发明使用优防控设备对计算机进行安全保护,可在非法usb设备接入系统前进行阻止,避免了软件控制的事后阻止方法带来的危险以及物理隔离方法带来的不便;
(2)本发明上位机软件具备日志管理功能,可有效监测所有的usb设备插拔日志,便于日后审查记录,且占用空间、内存极小;
(3)本发明具有快速性、安全性、便捷性的设计。本发明支持基于usb3.0接口的数据高速传输;支持由优防控设备的独立存储控制器对上位机及接入的usb设备进行控制;支持在线、离线两种上位机的识别认证管理。
附图说明
图1为本发明安全防控系统示意图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步详细的描述:
如图1所示为安全防控系统示意图,由图可知,一种基于usb接口的安全防控系统,包括主控模块、第一接口模块、第一开关、usbhub模块、第三开关、第二接口模块、光电转换模块、第二开关和第四开关;
主控模块:初始化时,人工录入外部待识别usb设备的序列号和外部待绑定计算机的mac地址;将序列号和mac地址整合成白名单,并存储;发出获取序列号指令至第一接口模块;接收第一接口模块传来的序列号,对序列号与存储的白名单进行判别;当序列号存在于白名单中时,发出闭合指令至第一开关;当序列号不存在于白名单中时,发出断开指令至第四开关;发出获取mac地址电信号指令至光电转换模块;接收光电转换模块传来的mac地址的电信号;并将mac地址与存储的白名单进行判别;当mac地址存在于白名单时,发出闭合指令至第三开关;当mac地址不存在于白名单时,发出断开指令至第二开关;
第一接口模块:接收主控模块传来的获取序列号指令,获取外部待识别usb设备的序列号,并将序列号发送至主控模块;
第一开关:初始化状态下,第一开关处于断开状态;接收主控模块传来的闭合指令,闭合,连通第一接口模块和usbhub模块;
第四开关:初始化状态下,第四开关处于闭合状态;接收主控模块传来的断开指令;断开与外部待识别usb设备的连通;
光电转换模块:接收主控模块传来的获取mac地址电信号指令,将获取mac地址电信号指令转换为获取mac地址光信号指令,再转化为获取mac地址电信号指令;获取外部待绑定计算机mac地址的电信号,将mac地址的电信号转化为光信号,再转化为mac地址的电信号;并将mac地址的电信号发送至主控模块;
第三开关:初始化状态下,第三开关处于断开状态;接收主控模块传来的闭合指令,闭合,连通usbhub模块和第二接口模块;实现外部待识别usb设备依次通过第一接口模块、第一开关、usbhub模块、第三开关、第二接口模块和光电转换模块与外部待绑定计算机连通;
第二开关:初始化状态下,第二开关处于闭合状态;接收主控模块传来的断开指令;断开与外部待绑定计算机的联通;
当外部待识别usb设备与外部待绑定计算机连通;连通后,主控模块分别发出断开指令至第二开关和第四开关,实现外部待识别usb设备与外部待绑定计算机连通路中不接入其它设备。
usbhub模块包括usb3.0和usb2.0两种模式。
本发明使用优防控设备对计算机进行安全保护,可在非法usb设备接入系统前进行阻止,避免了软件控制的事后阻止方法带来的危险以及物理隔离方法带来的不便;且具有快速性、安全性、便捷性的设计。本发明支持基于usb3.0接口的数据高速传输;支持由优防控设备的独立存储控制器对上位机及接入的usb设备进行控制;支持在线、离线两种上位机的识别认证管理。
本发明说明书中未作详细描述的内容属本领域技术人员的公知技术。