涉密u盤遠程監管系統及方法

專利名稱：：涉密u盤遠程監管系統及方法
技術領域：
：本發明屬于移動存儲介質控制領域，具體涉及一種涉密u盤遠程監管系統及方法。
背景技術：
：USB接口的移動存儲介質，如U盤、移動硬盤，因為其體積小、容量大等優點，得到廣泛應用。但是移動存儲介質在給人們帶來方便的同時，也給涉密單位引入了極大的安全隱患。移動存儲介質上存儲著大量涉及國家秘密和商業秘密的數據，對于這些移動存儲介質的使用狀況和進出攜帶情況目前沒有一種很好的監控方式，對于它的監控大多數采用人工監督的方式。由于移動存儲介質管理不善或是使用者安全意識淺薄，常常會發生以下危及信息安全的事情a.將涉密移動介質隨意帶進、帶出保密區或者保密室，造成信息泄漏；b.在保密區將涉密介質隨意亂放，帶出保密室，造成非授權信息查閱；C.移動存儲介質轉借，移入另一保密信息存儲室，造成秘密信息被非授權人員查閱；d.移動存儲介質誤帶，造成秘密外泄e.涉密與非涉密信息混用，造成秘密信息與普通信息混淆；f.涉密介質被盜或遺失造成信息泄漏。上面提到的各種情況，僅從保密員的人為監督和管理上下功夫是遠遠不夠的，情況一旦發生，便難以追査，責任難以明確，更無法及時阻止涉密信息泄漏事件的發生。因此各級政府，社會各階層，企事業單位紛紛投入大量人力和財力保護信息的安全，研制和發展了各種各樣用于保護移動介質信息安全的解決方案，如上海前沿的"移動設備管理系統"；江蘇技方優盾"USB移動存儲介質保密管理系統"；Chinasec(安元)"移動存儲介質管理系統"等，都從移動介質的使用注冊，信息加密，審計日志等方面著手，加強對移動存儲介質的管理。然而，這些移動介質管理系統都存在局限性，即只在安裝了本管理系統軟件的系統內有效，不能解決移動存儲介質交叉傳遞和越權外攜的問題。管理系統成本高，不方便移動存儲介質的統一管理，不能做到責任到人，實時通知移動存儲介質的使用者。
發明內容本發明所要解決的技術問題在于提供一種涉密U盤遠程監管系統，本發明同時提供一種涉密u盤遠程監管方k。采用本發明能夠加強涉密u盤的安全管理，避免u盤交叉使用、丟失及泄密后無法責任到人的情況發生。為解決上述技術問題，本發明涉密U盤遠程監管系統采用的技術方案是CY7C67300(EZ-HOST)MCU芯片及其外圍電路組成一個嵌入式U盤存放裝置安裝在保密柜內，U盤存放裝置設置有能容納多支U盤的插槽，當涉密U盤插入和拔出插槽時，U盤存放裝置通過USB總線枚舉的方式識別涉密U盤的借出、歸還狀態和涉密U盤的唯一身份ID信息。身份ID是根據USB2.0協議構建的U盤唯一性標識信息。使用者通過該ID進行身份驗證，解決U盤的使用和存放無法責任到人的問題。通過Ethernet把狀態信息和身份ID傳輸到遠程的監控中心，監控中心記錄U盤狀態和ID信息，并通過與預存在數據庫中的信息進行比較，發現未按時歸還或者私自攜帶外出的情況，及時通知使用者或者發出警告。本發明的涉密U盤遠程監管系統的嵌入式存放裝置通過網絡傳輸與遠程的監控中心連接。嵌入式存放裝置包括USB集線器收發裝置、USB主機控制器和網絡控制器；監控中心包括網絡接收模塊，數據庫査詢與比較模塊、報警模塊和數據庫模塊。嵌入式存放裝置的USB集線器收發裝置與USB插槽相連，USB主機控制器與USB集線器收發裝置相連并通過USB總線枚舉識別插在集線器上的U盤的身份ID。網絡控制器與USB主機控制器相連，將U盤唯一性身份ID和U盤狀態信息重新打包和綁定傳給遠程的監控中心。數據庫查詢與比較模塊一端與網絡接收模塊相連，另一端與數據庫模塊相連，通過網絡接收到的數據與數據庫預存的數據進行比較，根據保密管理規定發出報警信號。本發明的涉密U盤遠程監管方法，依次包括如下步驟a.通過集線器收發裝置擴展USB接口插槽數量；b.根據USB2.0協議和MSC(MassStorageClass,大容量存儲類)協議構建U盤唯一性標識廠商標識VID+產品標識？10+序列號5&c.采用MCU芯片及其外圍電路組成嵌入式存放裝置的硬件電路；d.存放裝置中的軟件包括嵌入式USB主機的控制、總線枚舉以及請求命令封裝三個部分。嵌入式USB主機通過總線枚舉和重新封裝后的請求命令識別U盤唯一性標識和U盤的存在狀態信息；e.網絡傳輸模塊建立在企業內網Intranet安全性的基礎上，采用單片機實現嵌入式存放裝置網絡的接入，并傳輸U盤身份ID信息和U盤的存在狀態信息到遠程的監控中心。f.監控中心記錄網絡傳輸過來的信息，與預存在數據庫中的信息比較，確定當前U盤所處狀態，發現有違規操作的情況及時通知使用者或發出警告信號。g.監控中心通過VC編程設計人性化的操作界面以顯示U盤當前狀態和報警信息，方便查詢管理。采用了本發明，可以使U盤的借出和歸還時時刻刻處在有效的監管之下。在需要安裝此監管系統的涉密單位內安裝嵌入式存放裝置，利用涉密單位內部的Ethernet網絡和遠程的監控中心相連。其中嵌入式存放裝置包括一個能容納多支U盤的USB接口插槽，當U盤插入或拔出時，嵌入式存放裝置自動識別每一個U盤的身份ID,而不需要人員去操作，而且由于每個U盤的身份ID具有唯一性，不可更改，與使用者信息進行綁定，使U盤的使用責任到人，通過遠程的監控中心記錄顯示U盤狀態信息并實時發出通知和警告信息，做到事前防御，事后有據可查，提高了涉密U盤的監管力度。本發明的涉密U盤遠程監管系統的體積小、安裝方便，涉密單位可以以部門為單位安裝，通過網絡集線器同時傳輸到遠端的監控中心，實現U盤的統一管理。本發明的涉密U盤遠程監管方法中的U盤唯一性標識的構建是根據協議采用各種ID的組合，該唯一性標識不可更改，可靠性高。唯一性標識的識別方法是根據協議進行函數命令封裝實現，保密性好。本發明通過涉密單位內網實現涉密U盤的網絡化的管理，由于涉密單位的內網都是物理隔離的，監管系統的安全性高。本發明也可用于其它USB接口的移動存儲介質的管理，如數碼相機，移動硬盤等。圖1為本發明的總體結構示意框圖圖2為本發明中的USB主機控制器的硬件結構框圖圖3為本發明中的USB主機控制器的總線枚舉流程圖圖4為本發明中的網絡控制器的工作狀態圖圖5為本發明中的監控中心的控制軟件的功能框圖具體實施例方式下面結合附圖對本發明作進一步的詳細描述。圖l為本發明的總體結構示意框圖，從圖中可以看出，USB集線器收發裝置1、USB主機控制器2和網絡控制器3組合形成USB嵌入式存放裝置4。嵌入式存放裝置4通過網絡傳輸與遠程的監控中心9相連，其中監控中心9包括網絡接收模塊5，數據庫査詢與比較模塊6、報警模塊7和數據庫模塊8組成。USB集線器收發裝置1與USB插槽相連，USB主機控制器2與USB集線器收發裝置1相連，通過USB總線枚舉識別插在集線器上的U盤的身份ID。網絡控制器3與USB主機控制器2相連，將U盤唯一性身份ID和U盤狀態信息重新打包和綁定傳給遠程的監控中心9。數據庫査詢與比較模塊6—端與網絡接收模塊5相連，另一端與數據庫模塊8相連，通過網絡接收到的數據與數據庫預存的數據進行比較，根據保密管理規定發出報警信號。本發明的涉密U盤遠程監管方法，依次包括如下步驟-a.通過多口HUB集線器收發裝置擴展USB接口插槽；b.根據USB2.0協議和MSC(MassStorageClass,大容量存儲類)協議構建U盤唯一性標識為VID(廠商標識)+PID(產品標識)+SN(序列號)；c.采用CYPRESS公司的MCU芯片CY7C67300及其外圍電路設計嵌入式存放裝置的硬件電路；d.裝置的軟件設計包括嵌入式USB主機的實現，總線枚舉以及請求命令封裝三部分。嵌入式主機通過總線枚舉和重新封裝后的請求命令識別U盤唯一性標識和U盤的插入、拔出狀態信息；e.網絡傳輸模塊建立在企業內網(Intranet)安全性的基礎上，采用微芯公司的PIC18F97J60實現嵌入式存放裝置網絡的接入，并傳輸U盤身份ID信息和狀態信息到遠程的監控中心。f.監控中心記錄網絡傳輸過來的信息，與預存在數據庫中的信息比較，確定當前U盤所處狀態，發現有違規操作的情況及時通知使用者或發出警告信號。g.監控中心通過VC設計人性化的操作界面以顯示U盤當前狀態和報警信息，方便查詢管理。其中多口HUB可采用4口或7口HUB以及類似產品。本發明的系統內部功能模塊的工作原理及其實現如下。由USB2.0和MSC協議可知，USB系統中規定設備地址的位數為7bit,所以其地址范圍為0-127，USB系統軟件為每一個設備只分配一個地址，所以一個主機最多只能擴展127個設備。另外，協議還規定，當U盤序列號索引值不為0，其必定含有一個唯一的序列號與之對應。該序列號由數字和字符組成，至少包括12個字符，系統構建了U盤的全球唯一身份ID為PID(ProductIdentifier,產品ID)+VID(VendorIdentifier,產商ID)+SN(SerialNumber,序列號)。USB主機控制器2實現USB主機功能，通過總線枚舉方式和請求命令的重新封裝識別U盤的身份ID并將ID信息存儲在外部存儲器中，方便后面的網絡傳輸。圖2為USB主機控制器實現的硬件結構圖，該主機控制器包括MCU主控芯片CY7C67300，芯片實現USB主機功能，主機可以從USB接口獲取U盤的唯一性標識，通過串口與超級終端連接，以進行軟件開發與調試。外部存儲器主要是用來擴展存儲數據和代碼空間，EEPROM模塊主要完成程序下載，電源模塊給每一個模塊進行供電。電源采用UPS(UninterruptiblePowerSystem,電源連續系統)電源，遇到意外斷電可以做到設備不間斷供電。圖3為總線枚舉流程圖總線枚舉是指對總線上接入的USB設備進行識別和尋址操作。當USB主機發現有設備連接時，立刻通過默認的地址0發送讀取設備描述符的命令，然后利用控制傳輸的標準命令為其動態配置設備地址，再通過該地址繼續讀取有關設備、配置、接口，以及字符串描述符，并建立有關信息的資料區。這些信息主要包括VID,PID和端點信息等。從枚舉過程中提取VID、PID。但是SN的獲得協議中沒有標準的請求命令，需要自己進行封裝，其封裝表格如表l所示-表1獲取SN的命令封裝<table>tableseeoriginaldocumentpage8</column></row><table>其中設備描述符，語言ID和字符串描述符請求命令的bmRequestType字段為1000000，其D7=l說明數據傳輸的方向是設備至主機，D6..5=00代表是標準請求，D4..0=00000代表請求命令的接收端為設備。bRequest字段的內容都為Get—Descriptor,因為設備描述符中含有語言ID和字符串描述符的索引，所以字符串描述符和語言ID的獲取都是通過獲取設備描述符實現的。Get—Descriptor命令的wValue字段為0100，01代表描述符類型為設備描述符，00為描述符索引。wlndex字段為0，wLength為設備描述符結構體的長度。Get—LanguageID命令的wValue為0300,03代表描述符類型為字符串描述符，00為描述符索引。wlndex為0，wLength為字符串描述符長度。這個命令是獲取U盤的語言ID,使語言ID作為獲取字符串描述符命令的wlndex字段值，Get—Str—Descriptor命令的wValue為0303，descriptor—type為03代表該描述符為字符串描述符，descriptor—index為03說明獲取U盤序列號的索引值為03。獲取的字符串描述符的長度wLength為字符串描述符長度。系統根據請求命令封裝，分別實現Get—Descriptor()，Get—LanguageID()，Get—Str—Descriptor()函數，利用這些函數的返回值得到U盤的SN序列號信息。網絡控制器3實現網絡數據的重新封裝與傳輸，在嵌入式領域中，大多數設備的通信接口符合RS232標準，但是這種傳輸方式距離短，不能滿足系統遠程監管的要求，解決此問題有兩種方案，一種是對原有系統進行局部或全部的重新設計，從根本上解決系統接入Ethernet問題。但是其開發周期長，成本高。另一種是采用RS232到Ethernet的協議轉換器，實現Ethernet的接入。不論從復雜度還是成本上考慮，這種方法明顯優于第一種。系統采用RS232到Ethernet的協議轉換器，實現Ethernet的接入。該轉換器工作在三種模式下UDP模式、TCP客戶端模式和TCP服務器端模式。其傳輸的狀態圖如圖4所示根據初始化狀態判定是TCP服務器模式還是UDP和TCP客戶端模式，如果是TCP服務器模式則建立TCP連接并處于監聽狀態，進行數據的接收和發送。如果是TCP客戶端模式或UDP模式，則進行地址解析，根據地址解析的結果判斷是UDP模式還是TCP客戶端模式，分別建立連接與數據的接收和發送。網絡傳輸時封裝后的網絡數據結構如表2所示，該數據結構包括U盤的唯一性標識信息VID、PID和SN，以及U盤密級和U盤的狀態信息。給每一個U盤都賦予這樣一個數據結構，使U盤的唯一性標識與密級綁定起來，使U盤的使用責任到人，并根據密級進行管理，避免了U盤交叉使用和私自攜帶外出的情況發生。表2<table>tableseeoriginaldocumentpage9</column></row><table>監控中心9是直接與監管人員接觸的部分，其主要完成的功能如下:a.接收、記錄和顯示U盤信息；b.設定報警規則；C.在報警規則指定事件發生時，進行報警并記錄；d.使用數據庫存儲U盤的信息并記錄發生的事件。監控中心9的控制軟件要完成的功能如圖5所示接收、存儲通過網絡傳輸過來的U盤陣列的身份ID，通過與預存在數據庫中的li盤陣列信息比較，發現違規現象可以通過蜂鳴報警，也可以通過GSM模塊實現保密管理規則觸發的短信報警功能。通過VC編程設計一個人性化的可操作界面實現監控中心顯示U盤的歸還時間、借出時間，顯示U盤的序列號、密級、使用者聯系方式以及目前的歸還、借出狀態等。權利要求1.一種涉密U盤遠程監管系統，其特征在于所述的監管系統的嵌入式存放裝置通過網絡傳輸與遠程的監控中心連接；嵌入式存放裝置包括USB集線器收發裝置、USB主機控制器和網絡控制器；監控中心包括網絡接收模塊，數據庫查詢與比較模塊、報警模塊和數據庫模塊；嵌入式存放裝置的USB集線器收發裝置與USB插槽相連，USB主機控制器與USB集線器收發裝置相連并通過USB總線枚舉識別插在集線器上的U盤的身份ID；網絡控制器與USB主機控制器相連，將U盤唯一性身份ID和U盤狀態信息重新打包和綁定傳給遠程的監控中心；數據庫查詢與比較模塊一端與網絡接收模塊相連，另一端與數據庫模塊相連，通過網絡接收到的數據與數據庫預存的數據進行比較確定是否發出報警信號。2.根據權利要求1所述的涉密U盤遠程監管系統，其特征在于所述的USB主機控制器包括從USB接口獲取U盤的唯一性標識以進行軟件開發與調試的MCU芯片、用來擴展存儲數據和代碼空間的外部存儲器、用于程序下載控制的EEPROM模塊、電源模塊；MCU芯片分別與外部存儲器、EEPR0M模塊、電源模塊連接，MCU芯片還通過串口與超級終端連接。3.根據權利要求1所述的監管系統，其特征在于所述的U盤嵌入式存放裝置采用嵌入式MCU作為嵌入式USB主機控制器，嵌入式USB主機控制器對USB總線設備進行枚舉獲取唯一性標識；U盤嵌入式存放裝置中的集線器收發裝置進行USB接口插槽擴展的數量小于127。4.根據權利要求1所述的監管系統，其特征在于所述網絡傳輸模塊采用TCP服務器、TCP客戶端、UDP三種工作模式中的一種，網絡傳輸模塊中的網絡傳輸數據封裝采用U盤唯一性標識+使用者信息+U盤密級。5.根據權利要求13任一所述的監管系統，其特征在于所述的嵌入式MCU采用帶有USB協議并且可以重復讀寫的芯片。6.用于權利要求1所述的涉密U盤監管系統的監管方法，依次包括如下步驟a.通過集線器收發裝置擴展USB接口插槽數量；b.根據USB2.0協議和MSC協議構建U盤唯一性標識廠商標識VID+產品標識PID+序列號SN;c.采用嵌入式MCU及其外圍電路組成嵌入式存放裝置的硬件電路；d.存放裝置中的軟件包括嵌入式USB主機的控制、總線枚舉以及請求命令封裝三個部分；嵌入式USB主機通過總線枚舉和重新封裝后的請求命令識別U盤唯一性標識和U盤的存在狀態信息；e.網絡傳輸模塊建立在企業內網Intranet安全性的基礎上，采用單片機實現嵌入式存放裝置網絡的接入，并傳輸U盤身份ID信息和U盤的存在狀態信息到遠程的監控中心；f.監控中心記錄網絡傳輸過來的信息，與預存在數據庫中的信息比較，確定當前U盤所處狀態，發現有違規操作的情況及時通知使用者或發出警告信號；g.監控中心通過VC編程設計人性化的操作界面以顯示U盤當前狀態和報警信息，方便査詢管理。7.根據權利要求6所述的監管方法，其特征在于所述的U盤嵌入式存放裝置采用嵌入式MCU作為嵌入式USB主機控制器，嵌入式USB主機控制器對USB總線設備進行枚舉獲取唯一性標識；U盤嵌入式存放裝置中的集線器收發裝置進行USB接口插槽擴展的數量小于127。8.根據權利要求6所述的監管方法，其特征在于所述網絡傳輸模塊采用TCP服務器、TCP客戶端、UDP三種工作模式中的一種，網絡傳輸模塊中的網絡傳輸數據封裝采用U盤唯一性標識+使用者信息+U盤密級。9.根據權利要求6所述的監管方法，其特征在于所述的監控中心中的1)網絡接收模塊5與上層嵌入式存放裝置連接，時刻觀察嵌入式存放裝置端是否有新的數據傳輸，負責建立連接、接收數據并進行命令的反饋；2)數據庫査詢與比較模塊6與數據庫模塊8和報警模塊7和網絡接收模塊5連接，查詢網絡接收到的數據，與數據庫中預存的數據比較，根據報警規則發出警告或通知；報警模塊7可以是蜂鳴報警也可以是通過GSM方式進行短信或電話提醒；3)數據庫模塊8采用微軟開發、系統自帶的ACCESS數據庫，方便監控界面配置，縮短實現周期。10.根據權利要求6或7所述的監管方法，其特征在于所述的嵌入式MCU采用帶有USB協議并且可以重復讀寫的芯片。全文摘要本發明提供了一種涉密U盤遠程監管系統及方法。本發明根據USB和MSC協議構建了U盤的唯一性標識，采用集線器收發裝置擴展USB接口插槽，用嵌入式存放裝置獲取和識別每一個USB插槽上的U盤的唯一性標識；通過網絡實現遠距離傳輸，以及網絡傳輸數據的封裝，使U盤唯一性標識和使用者信息綁定。通過遠程監控中心使U盤的借出和歸還始終處于有效的監控之下，并能根據報警規則進行報警或發出通知。本發明的涉密U盤遠程監管系統的體積小，安裝方便，可靠性好，保密性強，可通過網絡實現單位涉密U盤的統一管理。文檔編號H04L29/06GK101521662SQ20081014778公開日2009年9月2日申請日期2008年12月5日優先權日2008年12月5日發明者劉婷婷,李俊艷,楊高申請人:中國工程物理研究院電子工程研究所