口、光驱、串口方式实现计算机与移动载体之间的双向数据交换;中央处理器控制该高级用户可以使用外围硬件设备;中央处理器控制该高级用户可以访问该中央处理器管理范围内的所有普通用户,查看普通用户使用的日志或删除普通用户。
[0026]其中,中央处理器确定用户为保密专员后,中央处理器向保密专员发送普通用户的下载请求,保密专员审核后将下载命令发送给中央处理器,中央处理器根据保密专员发送的下载命令控制普通用户执行下载操作;中央处理器控制保密专员可以访问该中央处理器管理范围内的所有普通用户,查看普通用户使用的日志。
[0027]设置不同用户权限,主要目的在于:一个是防止用户计算机的USB接口进入病毒或者木马程序;一个是防止他人在用户离开时,对电脑内数据的非法操作。两种方式都对权限提出了不同的要求,因此这里用到情景用户这个思想。“情景用户”是结合了“情景”和“用户”两个概念的综合体,一方面每个“情景用户”拥有不同的权限,可以通过它来组织管理权限,即“情景”的概念;另一方面使用者必须以某种“情景用户”的身份登录系统,而且只能按照“情景”规定的权限进行操作,即“用户”的概念。每个“情景用户”具有不同的用户名和密码,这些信息以证书形式存储在单片机中,每个情景都是根据所需要的权限设置,情景与用户是一一对应的。同时上层应用设立一个CS架构,极大方便了计算机与计算机之间的管理。普通用户为客户端,高级用户和保密专员为服务器,服务器可以在客户端上访问计算机内部的资料,下载上传修改等。普通用户还可以通过网络向保密专员申请下载文件,保密专员可以通过网络协议来控制普通用户,让普通用户下载。
[0028]磁盘文件的访问管理:采用内存映射文件(File Mapping)来访问磁盘上的数据文件,可以避免直接对文件进行I/O操作和对文件内容进行缓存
[0029]磁盘文件的访问通过以下三个步骤完成:
[0030]Stepl:创建或打开一个文件内核对象,该对象标示向用作内存映射文件的磁盘文件。
[0031]Step2:创建一个文件映射内核对象,告之计算机访问方式,将文件部分或全部映射到进程的地址空间。
[0032]Step3:从进程的地址空间中取消对文件映射内核对象的映射,关闭文件映射内核,关闭文件内核对象。
[0033]这样,当公司日常工作时时,就可以预先创建一个“公司情景”的情景用户,在创建时要设置在预期环境中所需设置的权限,比如能否拷贝文件、删除文件等,并为其设置一个与之对应的帐户信息:用户名和密码。用户名密码信息储存在专用外部存储芯片上,保证信息安全性,这样当职员在公司上班时,就使用“公司情景”的账户信息,分普通职员和主管人员两种不同级别,分别以普通用户和高级用户两种身份接入USB接口系统,这样就能够使计算机内数据按照相应的权限被访问,基于预期进行访问控制,保证了数据的可控性和安全性。同时也有保密专员对其进行统一管理。
[0034]同时为了防止恶意的试探性登录和尝试性的违规操作,防护系统设置有“自我防护”的功能,系统管理员可以预先设置非法操作的容忍次数,当使用者违规行为超过既定次数时,根据其情节轻重,系统主动采取“自锁”或者“锁闭系统”的防护措施保护计算机数据安全。
[0035]而且防护系统设有日志查看模块,可以显示所有对USB接口的违规使用记录及对应的详细信息,可以根据日志了解接口的安全状况,对保护数据起到重要的作用。
[0036]本实用新型的物理隔离式USB接口防护系统,克服了普通电脑内部数据保护系统单纯在软件层次上保护数据所存在的安全缺陷,从软硬结合的角度实现了电脑数据的安全访问,可以用来防止电脑中的数据的内部泄漏、外部扩散,抵御木马窃取等。系统采用了基于安全芯片的防护技术、USB总线技术相关协议方向访问控制技术及单片机与继电器控制的综合技术、硬件自锁防护技术、环境可信检测技术、完全物理隔离木马病毒技术等等,将物理层、数据传输层、应用层的数据防护功能通过应用软件层进行组织管理。与现有的普通USB接口安全防护机制相比,我们的系统实现了 USB接口的自主防护,以安全芯片作为数据防护的硬件基础,结合上层软件形成了多层次的防御体系,赋予了 USB接口灵活的多权限访问控制策略,保证了电脑内数据的可控性,实现了基于预期控制模型的具有主动防护技术的USB安全接口
[0037]尽管以上结合附图对本实用新型的实施方案进行了描述,但是本实用新型并不局限于上述的具体实施方案和应用领域,上述的具体实施方案仅仅是示意性的、指导性的,而不是限制性的。本领域的普通技术人员在说明书的启示下,在不脱离本实用新型权利要求所保护的范围的情况下,还可以做出很多种的形式,这些均属于本实用新型保护之列。
【主权项】
1.一种物理隔离式USB接口防护系统,其特征在于,包括中央处理器,与多个用户计算机连接的上位机,用于存储用户名和密码的外部存储器,用于根据中央处理器的开关信号控制用户计算机上的多个USB接口开关的多个继电器;所述上位机通过串行通信与所述中央处理器电连接,所述继电器的控制端和外部存储器的输入端对应电连接所述中央处理器的对应端口。
2.根据权利要求1所述的物理隔离式USB接口防护系统,其特征在于,所述上位机与中央处理器之间设置有用于把计算机的串口 RS232电平信号转换为TTL电平信号的信号转换器。
3.根据权利要求1所述的物理隔离式USB接口防护系统,其特征在于,所述中央处理器与继电器之间设置有用于把数字信号与模拟信号隔离开并防止干扰信号的隔离器。
4.根据权利要求1所述的物理隔离式USB接口防护系统,其特征在于,所述防护系统还包括用于把整个系统稳压在一个稳定的电压中的稳压器。
【专利摘要】本实用新型公开了一种物理隔离式USB接口防护系统。该防护系统包括中央处理器,与多个用户计算机连接的上位机,用于存储用户名和密码的外部存储器,用于根据中央处理器的开关信号控制用户计算机上的多个USB接口开关的多个继电器;上位机通过串行通信与中央处理器连接,继电器的控制端和外部存储器的输入端电连接中央处理器的对应端口。防护方法:中央处理器根据用户名将多个用户分为三个等级:普通用户、高级用户、保密专员;用户将用户名和密码输入用户计算机,中央处理器根据用户名和密码判断控制用户登录;中央处理器根据用户名确定用户等级并确定用户对USB接口使用的权限。该防护方法保证了电脑内数据的可控性。
【IPC分类】G06F21-56, G06F21-85
【公开号】CN204576522
【申请号】CN201520323851
【发明人】王晓楠, 朱思雨, 高婷, 周家振, 娄来威
【申请人】王晓楠
【公开日】2015年8月19日
【申请日】2015年5月19日