USB存储介质防护器转让专利
申请号 : CN200810189063.0
文献号 : CN101493798B
文献日 : 2011-07-27
发明人 : 孙岳 , 刘大虎 , 李军 , 金栋
申请人 : 中国人民解放军68002部队
摘要 :
一种USB存储介质防护器,由内置嵌入式计算机结构,外置两个高速USB接口,即上行USB接口Slave和下行USB接口Host;嵌入式计算机结构进一步包括CPU、电源模块、程序存储器、数据存储器、数据加密模块、高速USB控制器;主要技术是:上行USB接口Slave和主机连接,下行USB接口Host和U盘连接;由嵌入式计算机,上行USB接口Slave和下行USB接口Host联动驱动,文件内容判别,“禁读”或“加密”等技术措施一起实现对U盘文件数据的“上网禁读”防护或“U盘加密”防护;利用嵌入式计算机截取上行USB接口Slave收到的U盘操作命令,判断要读/写的扇区数据是否为文件内容,若不是文件内容,说明是文件系统信息,则正常读/写;若是文件内容,则进行“禁读”或“加/解密”防护。
权利要求 :
1.一种USB存储介质防护器,包括内置的嵌入式计算机结构,外置两个高速USB接口,即上行USB接口Slave和下行USB接口Host;进一步包括嵌入式CPU、电源模块、程序存储器、数据存储器、数据加密模块、高速USB控制器;其特征在于:所述上行USB接口Slave和主机连接,下行USB接口Host和U盘连接;由嵌入式计算机,上行USB接口Slave和下行USB接口Host联动驱动,对文件内容判别,“禁读”或“加密”技术措施一起实现对U盘文件数据的“上网禁读”防护或“U盘加密”防护;防护技术的核心是利用嵌入式计算机截取上行USB接口Slave收到的U盘操作命令,判断要读/写的扇区数据是否为文件内容,若不是文件内容,说明是文件系统信息,则正常读/写,以保证操作系统能够继续执行U盘文件操作,若是文件内容,则进行“禁读”或“加/解密”防护。
2.根据权利要求1所述的USB存储介质防护器,其特征在于所述上行USB接口Slave和下行USB接口Host联动驱动,即防护器的上行USB接口Slave端和下行USB接口Host端是紧密联系在一起进行驱动每一个动作。
3.根据权利要求1所述的USB存储介质防护器,其特征在于根据逻辑扇区号LBA,判别扇区数据是否为文件内容,只对文件内容进行禁读或加密防护,对其它数据正常读写,以便操作系统能够继续执行U盘操作。
4.根据权利要求1所述的USB存储介质防护器,其特征在于判断扇区数据是否为文件内容,防护器从移动U盘插入时就记录了操作系统读过的系统信息区域中必要的信息;根据文件系统的不同分为FAT文件系统下判断扇区数据是否为文件内容和NTFS文件系统下判断扇区数据是否为文件内容,因NTFS文件系统下操作U盘都要产生日志文件,该类文件的后缀名为.Log,在一些字节上的数据值是固定的,具有独立标识;判别时如果扇区数据为文件内容,先判断文件后缀名,若后缀名是.Log,再判断文件内容中一些字节上的数据值是否与固定值匹配,若匹配,则可以肯定所读扇区数据是日志文件,需正常读出;否则,就是文件内容,禁止读出。
说明书 :
USB存储介质防护器
技术领域
[0001] 本发明涉及计算机信息安全设备的技术领域,具体地说涉及一种具有“禁读”或“加密”防护功能的USB存储介质防护器。
背景技术
[0002] 随着计算机技术的飞速发展,互联网已经成为社会发展的重要保证;它涉及到国家的政府、军事、文教、工业等诸多领域。其中存贮、传输和处理的信息有许多是政府宏观调控决策,商业经济信息,能源资源数据,科研数据等重要信息,甚至也涉及到国家机密;然而,随着互联网的发展,计算机中的漏洞、病毒、黑客以及频发的信息数据安全事件,特别是可连接网络的设备,已经不再让人感到安全和放心了,数据存储的安全性显得越来越重要。
[0003] 基于计算机USB接口的移动存储介质(简称U盘),由于使用极其方便,经常用于在互联网计算机和涉密计算机之间转移数据及暂存重要文件;但是计算机极易被植入“轮渡”木马,在U盘插入互联网计算机的瞬间,U盘上的数据就会被窃取;有些“轮渡”木马的功能非常强大,即使已被删除的文件或者经过快速格式化的U盘,残留的数据也能被窃取;有些“轮渡”木马甚至能够把从内网主机窃取的文件在U盘上隐藏起来,让用户根本不知道,一旦U盘拿到互联网主机上使用,就会通过互联网传输出去,几乎每年都通报由于U盘上网导致的重大泄密案件。为了保密安全,采取刻录光盘等安全措施,但这些措施只达到了安全,却没有达到方便,给工作仍带来许多不便,很难杜绝越过安全防护措施的行为发生,依然存在很大的泄密隐患,如何有效地阻断U盘在互联网计算机上使用时的泄密通道,是急待解决的问题。
发明内容
[0004] 本发明要解决的技术问题是提供一种USB存储介质防护器,具有“禁读”或数据“加密”等防护功能。在互联网主机下载数据时,将U盘插在防护器的USB接口上,就像在计算机的USB接口上使用一样方便,U盘只能写,不能读,U盘上原来的文件绝对不会被窃取;还具有U盘加密、文件拆分功能,用于涉密计算机上,可防止移动U盘丢失所造成的泄密事故。
[0005] 为了解决上述问题,本发明采用的技术方案是:一种USB存储介质防护器,包括内置的嵌入式计算机结构,外置两个高速USB接口,即上行USB接口Slave和下行USB接口Host;进一步包括嵌入式CPU、电源模块、程序存储器、数据存储器、数据加密模块、高速USB控制器;其特征在于:所述上行USB接口Slave和主机连接,下行USB接口Host和U盘连接;由嵌入式计算机,上行USB接口Slave和下行USB接口Host联动驱动,对文件内容判别,“禁读”或“加密”等技术措施一起实现对U盘文件数据的“上网禁读”防护或“U盘加密”防护。防护技术的核心是,利用嵌入式计算机截取上行USB接口Slave收到的U盘操作命令,判断要读/写的扇区数据是否为文件内容,若不是文件内容,说明是文件系统信息,则正常读/写,以保证操作系统能够继续执行U盘文件操作,若是文件内容,则进行“禁读”或“加/解密”防护。“禁读”功能用在互联网主机上,“加密”功能用在内部涉密主机上,使用前在非互联网主机上运行配置程序设置其功能。
[0006] 所述上行USB接口Slave和下行USB接口Host联动驱动,即防护器的上行USB接口Slave端与下行USB接口Host端是紧密联系在一起进行驱动每一个动作的。U盘操作过程分为枚举阶段和批量操作阶段,枚举阶段以控制传输方式进行,包括对根hub枚举以及对U盘枚举;批量操作阶段包括获取U盘属性,设置工作模式等操作以及扇区读写;主机读写U盘要经过若干次USB批量传输才能完成。
[0007] 批量传输涉及到两个重要的数据结构,命令块数据CBW和命令执行状态包CSW,其数据结构的具体操作命令在CBWCB字段中;读写操作的CBWCB字段中含有LBA,即逻辑扇区号,是判别扇区数据是否为文件内容的唯一依据。判别扇区数据是否为文件内容,只对文件内容进行禁读或加密防护,对其它数据正常读写,以便操作系统能够继续执行U盘操作。对于写操作,先对数据加密,再从下行USB接口Host发送给U盘;对于读操作,防护器先从下行USB接口Host接收数据,对数据解密后,再从上行USB接口Slave把数据返回给主机。
[0008] 判断扇区数据是否为文件内容,防护器从移动U盘插入时就记录了操作系统读过的系统信息区域中必要的信息;根据文件系统的不同分为FAT文件系统下判断扇区数据是否为文件内容和NTFS文件系统下判断扇区数据是否为文件内容,因NTFS文件系统下操作U盘都要产生日志文件,后缀名为.Log,在一些字节上的数据值是固定的;具有独立标识。判别时如果扇区数据为文件内容,先判断文件后缀名,若后缀名是.Log,再判断文件内容中一些字节上的数据值是否与固定值匹配,若匹配,则可以肯定所读扇区数据是日志文件,需正常读出;否则,就是文件内容,禁止读出。
[0009] 本发明与现有产品相比所具有的优点:
[0010] 1、对文件内容实施“上网禁读”的安全防护措施,有效阻断了用U盘在互联网主机下载数据时,“轮渡”木马的窃密通道,为军队、政府、大企业、机关的互联网数据下载提供了安全、可靠的保障。
[0011] 2、用“加密”功能,杜绝了因U盘丢失带来的泄密隐患,特别是对携带机密数据外出执行任务的人员提供了安全可靠的保密措施。
[0012] 3、U盘在防护器上使用时,无须在计算机上运行任何软件,就像在计算机的USB接口上使用一样方便。
附图说明
[0013] 图1是本发明USB存储介质防护器硬件结构示意图
[0014] 图2是本发明“禁读”或“加密”防护的技术原理图
[0015] 图3是本发明实现禁读防护功能的上行USB接口Slave和下行USB接口Host联动驱动流程图
[0016] 图4是本发明基于FPGA的3DES批量数据加/解密机制原理图
具体实施方式
[0017] 下面结合附图及实施例对本发明技术方案做详细说明
[0018] 参照图1、图2,如图中的实施例所示,一种USB存储介质防护器,包括内置的嵌入式计算机结构,外置两个高速USB接口,即上行USB接口Slave和下行USB接口Host;所述嵌入式计算机结构进一步包括CPU、电源模块、程序存储器、数据存储器、数据加密模块、高速USB控制器;主要技术是:上行USB接口Slave和主机连接,下行USB接口Host和U盘连接。由嵌入式计算机,上行USB接口Slave和下行USB接口Host联动驱动,文件内容判别,“禁读”或“加密”等技术措施一起实现对移动U盘文件数据的“上网禁读”防护或“U盘密码机”防护。防护技术的核心是,利用嵌入式计算机截取上行USB接口Slave收到的U盘操作命令,判断要读/写的扇区数据是否为文件内容,若不是文件内容,说明是文件系统信息,则正常读/写,以保证操作系统能够继续执行U盘文件操作,若是文件内容,则进行“禁读”或“加/解密”防护。“禁读”功能用在互联网主机上,“加密”功能用在内部涉密主机上,使用前在非互联网主机上运行配置程序设置其功能。
[0019] 其中,嵌入式CPU,采用AT91RM9200芯片,可用于运行软件。电源模块,为该设备提供外加电源,把220V市电转化成5V、3.3V、1.8V的三种直流电,该设备应用时要外接U盘或移动硬盘等负载,用USB电源会出现供电不足,因此采用外部供电。
[0020] 程序存储器,采用JS28F320J3D芯片,可为固件存储器,是flash存储器芯片,容量为4MB,其中512KB用于固化程序代码和配置信息。
[0021] 数据存储器,采用MT48LC4M32B2芯片,可为SDRAM存储器,容量为16MB,作为程序运行及数据缓存空间,用于嵌入式软件运行时缓存软件代码,以便提高嵌入式软件运行速度,并缓存数据。
[0022] 数据加密模块,采用FPGA器件EPIC4T144C8芯片,可用于实现3DES加/解密。
[0023] 高速USB控制器,用高速USB芯片ISP1761扩充两个高速USB接口,一个Slave接口,作为上行USB接口;一个Host接口,作为下行USB接口;由ISP1761模块实现防护器的USB通信过程。
[0024] 参照图3,如图中的实施例所示,USB移动存储介质防护器是利用嵌入式计算机截取上行USB接口Slave收到的U盘操作命令包CBW。如果是读操作,根据CBWCB判断要读扇区是否为文件内容,若不是文件内容,说明是文件系统信息,则正常读,向下行USB接口Host转发命令包CBW,接收下行USB接口Host读出的数据Dr,将读出的数据Dr通过上行USB接口Slave发给主机,再从下行USB接口Host接收来自U盘的CSW,将CSW通过上行USB接口Slave发给主机。若是文件内容,直接向上行USB接口Slave返回全0数据,再向上行USB接口Slave发出命令状态CSW。在图3中②、③、④流程框是“禁读”操作,其他流程框都是正常的USB读/写操作。如果是写操作,接收上行USB接口Slave发出的待写数据Dw,向下行USB接口Host转发命令包CBW,向下行USB接口oHst转发送数据Dw,从下行USB接口Host接收来自U盘的CSW,将CSW通过上行USB接口Slave发给主机。
[0025] 判断扇区数据是否为文件内容时,不可能单独根据逻辑扇区号LBA就判断出扇区的数据是系统信息还是文件内容信息,必须要结合文件系统信息才能判定。该防护器从移动U盘插入时就记录了操作系统读过的所有系统信息区域中必要的信息,这些信息和LBA一起形成判断扇区数据是否为文件内容的依据。根据文件系统的不同分为FAT文件系统下判断扇区数据是否为文件内容和NTFS文件系统下判断扇区数据是否为文件内容,因为NTFS把系统信息也当作文件对待,文件列表类似一个链式结构,最难的是NTFS文件系统下操作U盘都要产生日志文件,该类文件的后缀名为.Log,在一些字节上的数据值是固定的,具有独立标识。判别时如果扇区数据为文件内容,先判断文件后缀名,若后缀名是.Log,再判断文件内容中一些字节上的数据值是否与固定值匹配,若匹配,则可以肯定所读扇区数据是日志文件,需正常读出;否则,就是文件内容,禁止读出。从而把它们与文件内容区别开。在“禁读”功能下,U盘只能写,不能读。FAT文件系统只能读出根目录信息,NTFS文件系统可读出所有目录信息。
[0026] 参照图4,如图中的实施例所示,基于FPGA的3DES批量数据硬件加/解密机制的核心是3DES算法模块,由控制模块自动控制其进行批量数据的连续加/解密操作,其控制模块是把16位总线数据拼成64位,写入64位的输入FIFO,只要输入FIFO中有数据,就自动运行加/解密操作,在同步时钟作用下经过48拍完成一个分组的加/解密,并写入16位的输出FIFO;一旦输入FIFO空,就停止操作;这样就可以保证没有任何时钟节拍被浪费,实现大批数据连续进行加/解密。嵌入式软件只需要把数据写入输入FIFO,再从输出FIFO中读出来,大批数据连续进行加/解密得以实现。相当于在主机和移动U盘之间加了一个密机,保护器在主机写数据时先对数据加密,再写入移动U盘;主机读数据时,从移动U盘读出后先解密,再传给主机。3DES即三重DES,分别用不同的三个密钥运行三次DES加密算法,完成一组数据64位的加/解密,需要48次迭代,这就相当于使用了56×3=168位的密钥,168
穷举空间为2 ,所以加密强度很强。3DES密钥是由运行在PC机上的配置程序设置的,固化于程序存储器中。
穷举空间为2 ,所以加密强度很强。3DES密钥是由运行在PC机上的配置程序设置的,固化于程序存储器中。
[0027] FPGA的3DES加/解密,密钥长度168位,加解密时钟80Mhz,加密速率13.3MB/s。
[0028] 利用防护器加密的U盘文件,即使U盘丢失,也由于不能破密而不会造成泄密。