一种基于硬件U盘隔离方法设计与实现.docVIP

一种基于硬件的U盘隔离方法的设计与实现 　　摘要：U盘的普及使U盘病毒繁衍迅速，针对信息系统安全保护的需要，设计出一种U盘病毒隔离器。该隔离器具有隔离AUtomn病毒、防止PC的数据通过U盘泄密、防止PC中的病毒感染U盘的功能。隔离器能够快速捕获到U盘与主机之问所有底层数据，在此基础上，隔离器中的微控制器(MCU)通过分析、审计和过滤流过隔离器中的底层数据来实现上述功能。经实际检测，该设计能够实现预定功能。 　　关键词：U盘；病毒隔离；文件传输 　　中图分类号：TP309　文献标识码：A　文章编号：2095-2163(2011)04-0031-03 　　0　引言虽然目前的杀毒软件能发现部分U盘病毒，但如果采用硬件方式隔离病毒，会具有更好的安全性和易用性。因此在一些行业和部门(比如税务部门)，更愿意采用硬件方式隔离U盘病毒。国内的浪潮集团有限公司开发出了U盘病毒隔离器(以下简称隔离器)，隔离器是安装在PCUSB端口上的一个嵌入式终端设备，作为PC和U盘交换数据的中转设备。隔离器主要运用LinUx嵌入式操作系统来实现对U盘的操作，避免了U盘类病毒利用Windows的自动运行功能在用户服务器上进行病毒的自动传播，运用此装置可有效地避免一些U盘病毒的传播，大大提高了数据的安全性、可靠性…。但是该设计存在两大缺陷：(1)隔离器采用LinUx嵌入式操作系统无疑增大了隔离器自身软件负载，增加了设计成本，降低了U盘与PC之间数据传输效率。(2)使用隔离器之前需要在PC上安装特定的驱动程序和软件，因而其在通用性和易用性上受到影响。本文提出的隔离器实现方案能够克服浪潮集团有限公司的隔离器的两大缺陷。因为彼此的设计理念不相同：本文提出的解决方案不采用任何操作系统，隔离器通过分析、过滤和审计U盘与PC之间的所有底层数据来实现。设计的隔离器能彻底隔离U盘中的AUtorUn病毒，隔离器还具备U盘只读功能开关，也就是说，如果通过隔离器上的按键开肩U盘只读功能，则还能防止PC的数据通过U盘泄密、防止PC中的病毒感染U盘。经实际测试，该设计具有隔离效果好、软件负荷小、通用性好、使用方便等优点。 　　1　系统方案为了兼容高速、全速、低速USB传输标准，USB设备端和USB主控端的接口功能通过高速USB芯片ISPl761实现，ISPl761通过微控制器(MiCroControllerUnit，MCU)控制，让隔离器能够捕获到所有底层数据，因此该隔离器的功能又好比一个USB桥(类似网桥的概念)。在此功能上，隔离器中的MCU对底层数据进行分析、过滤和审计等处理，以达到所需的安全要求。使用时，将U盘插入隔离器的USB主控端，隔离器的USB设备端连接到PC。 　　2　硬件设计USB接口芯片采用NXP公司的ISPl761芯片，该芯片价格低，是满足该安全需求最理想的高速USB芯片。其主要特点有：(1)符合USB2.0标准，支持高速(480Mbps)、全速(12Mbps)、低速(1.5Mbps)标准。(2)提供2个USB主控端口(HostContro]lerport)，1个OTG端口。(3)主控端片内集成64KB高速缓存，设备端片内集成8KB高速缓存，极大提升单次数据吞吐量。(4)数据总线可配置为32位或16位，并支持DMA操作。为了最大限度地发挥ISPl761性能，MCU采用$3C2410(ARM9)处理器。这种处理器提供32位外部数据总线接口，片内集成DMA控制器，主频高达200MHz。 　　3　软件设计软件设计是本次设计的关键。由于隔离器需要同时具备USB主控端和USB设备端，而ISPl761芯片只具有USB主控端和OTG端，所以首先需要将ISPl761的OTG端配置为USB设备端。为了实现病毒隔离功能，软件设计主要分4步实现： 　　步骤1隔离器上电后进行自身初始化，主要包括主控端和设备端的初始化；步骤2隔离器在软件上断开其设备端与PC的连接，防止AUtorUn病毒感染PC。之后其主控端获取U盘中aU-torUn.inf文件所在扇区的地址信息；步骤3隔离器在获取U盘aUtorUn．inf信息后重启U盘，再实现USB桥的功能，以实现PC对U盘的识别和隔离器对底层数据的完全捕获； 　　步骤4隔离器对流过其自身的数据进行分析、过滤和审计，实现AUtorUn病毒的隔离，如果开启隔离器的只读功能，还可防止PC数据通过U盘泄密，防止PC病毒感染相连U盘。以下论述涉及AUtorUn病毒隔离、防止PC数据泄密、防止PC病毒感染U盘的解决思想。 　　3.1获取U盘中aUtorUn．inf文件所在扇区信息 　　AUtorUn病毒是利用Windows的自动播放功能借助aU-torUn.inf引导感染的。为了防止AUtomn病毒的传播，在将U盘插入到隔离器后，隔离器首先在