一种物理隔离式usb接口防护系统的制作方法
【技术领域】
[0001]本实用新型属于USB接口防护技术领域,特别涉及一种物理隔离式USB接口防护系统及其防护方法。
【背景技术】
[0002]对于一些涉密单位,计算机内部数据十分重要,一旦发生泄漏或破坏,损失无可挽回,所以如何确保计算机中重要文件的安全已经成为管理者必须面对的一个问题。USB接口是计算机上最常用的通讯端口之一,通过U盘、移动硬盘等存储设备都可以轻易将计算机中的文件拷贝出来,也可以轻易将其病毒木马上传到计算机破坏文件;可见USB接口已经成为威胁数据安全的一大隐患。
[0003]目前,国内外在USB接口防护方面的解决方案主要可以分为以下几种:I)B1S设置法(快刀斩乱麻法),此方法过于霸道,不便于使用;2)禁止闪盘或移动硬盘的启动、隐藏盘符和禁止查看,此办法只对一部分USB存储设备有效,而且该方法较为复杂,更不便于用户的使用;3)禁止安装USB驱动程序,由于该方法导致所有USB设备在计算机上使用,已逐渐为用户所淘汰;4)使用单项传输器,该设备价格昂贵,且用户使用性差。
【实用新型内容】
[0004]本实用新型的目的在于提供一种物理隔离式USB接口防护系统及其防护方法,该防护系统克服了普通电脑内部数据保护系统单纯在软件层次上保护数据所存在的安全缺陷,从软硬结合的角度实现了电脑数据的安全访问,可以用来防止电脑中的数据的内部泄漏、外部扩散,抵御木马窃取等;实现了 USB接口的自主防护,以安全芯片作为数据防护的硬件基础,结合上层软件形成了多层次的防御体系;赋予了 USB接口灵活的多权限访问控制策略,保证了电脑内数据的可控性,实现了基于预期控制模型的具有主动防护技术的USB安全接口。
[0005]为达到上述技术目的,本实用新型采用如下技术方案予以实现。
[0006]一种物理隔离式USB接口防护系统,其特征在于,包括中央处理器,与多个用户计算机连接的上位机,用于存储用户名和密码的外部存储器,用于根据中央处理器的开关信号控制用户计算机上的多个USB接口开关的多个继电器;所述上位机通过串行通信与所述中央处理器电连接,所述继电器的控制端和外部存储器的输入端对应电连接所述中央处理器的对应端口。
[0007]本技术方案的特点和进一步改进在于:
[0008]所述上位机与中央处理器之间设置有用于把计算机的串口 RS232电平信号转换为TTL电平信号的信号转换器。
[0009]所述中央处理器与继电器之间设置有用于把数字信号与模拟信号隔离开并防止干扰信号的隔离器。
[0010]所述防护系统还包括用于把整个系统稳压在一个稳定的电压中的稳压器。
[0011]本实用新型的物理隔离式USB接口防护系统,克服了普通电脑内部数据保护系统单纯在软件层次上保护数据所存在的安全缺陷,从软硬结合的角度实现了电脑数据的安全访问,可以用来防止电脑中的数据的内部泄漏、外部扩散,抵御木马窃取等。
[0012]本实用新型的物理隔离式USB接口防护系统,采用基于安全芯片的防护技术、USB总线技术相关协议方向访问控制技术及单片机与继电器控制的综合技术、硬件自锁防护技术、环境可信检测技术、完全物理隔离木马病毒技术等。该防护系统将物理层、数据传输层、应用层的数据防护功能通过应用软件层进行组织管理。
[0013]与现有的普通USB接口安全防护机制相比,本实用新型的物理隔离式USB接口防护系统实现了 USB接口的自主防护,以安全芯片作为数据防护的硬件基础,结合上层软件形成了多层次的防御体系,赋予了 USB接口灵活的多权限访问控制策略,保证了电脑内数据的可控性,实现了基于预期控制模型的具有主动防护技术的USB安全接口。
【附图说明】
[0014]下面结合附图和【具体实施方式】对本实用新型作进一步详细说明。
[0015]图1为本实用新型的一种物理隔离式USB接口防护系统的结构示意图。
【具体实施方式】
[0016]参照图1,为本实用新型的一种物理隔离式USB接口防护系统的结构示意图;该防护系统包括中央处理器,与多个用户计算机连接的上位机,用于存储用户名和密码的外部存储器,用于根据中央处理器的开关信号控制用户计算机上的多个USB接口开关的多个继电器;上位机通过串行通信(信号转换器)与中央处理器电连接,继电器的控制端和外部存储器的输入端对应电连接中央处理器的相应端口。
[0017]其中,上位机与中央处理器之间设置有用于把计算机的串口 RS232电平信号转换为TTL电平信号的信号转换器。
[0018]其中,中央处理器与继电器之间设置有用于把数字信号与模拟信号隔离开来并防止干扰信号的隔离器。
[0019]其中,防护系统还包括用于把整个系统稳压在一个稳定的电压中的稳压器。
[0020]该物理隔离式USB接口防护系统的防护方法,包括以下步骤:
[0021]中央处理器根据用户名将多个用户分为三个等级,三个等级分别为:普通用户、高级用户、保密专员;用户名和密码存储在外部存储器中,即在外部存储器中开辟一段K[18][j]矩阵存储空间,j为当前用户的个数。其中K[0]到Κ[5]为用户名信息,Κ[6]到Κ[17]为用户密码信息,其中密码不足12位在上位机中用空格补齐,小于6位在上位机中判断为非法用户密码。登录时,需比较输入用户名和密码共18位字符,从Κ[0] [O]到K[18][j]依次比较,若有正确则上传登录成功命令,若都无成功,则上传登录失败命令。注册用户时,把新用户名密码18为写在K[0][j]到K[18][j],同时j+1。删除用户时,把K[0][j]到K[18][j]的字符写到要删除的κ[0] [m]到K[18] [m],m为要删除的用户行号,同时j-Ι ;高级用户查看普通用户的用户名时,把所有K[0] [O]到K[6] [j]依次读取后上传显示。
[0022]用户将用户名和密码输入用户的计算机,中央处理器根据用户名和密码判断控制用户登录,用户名和密码正确时允许用户登录,用户名和密码其中有一个错误时禁止用户登录。
[0023]中央处理器根据用户名确定用户等级并根据用户等级确定用户对USB接口使用的权限。
[0024]其中,中央处理器确定用户为普通用户后,中央处理器控制该用户仅可通过USB接口从移动载体到计算机的单向文件流动;如普通用户需下载文件,向保密专员发送下载请求,保密专员审批通过后方可执行下载,普通用户根据中央处理器发送的下载命令修改注册表使其移动载体具有写功能,同时禁用剪切板,然后自动将需下载文件传到移动载体的指定文件夹中,传送完毕后立即关闭USB接口。
[0025]其中,中央处理器确定用户为高级用户后,中央处理器控制该用户可以通过USB接