本發(fā)明屬于信息安全技術(shù)，具體涉及一種基于驅(qū)動(dòng)控制的工控設(shè)備病毒防護(hù)系統(tǒng)。

背景技術(shù)：

近年來，信息安全形勢越來越嚴(yán)峻，尤其對工控設(shè)備的病毒管理提出了很高的要求，但是國內(nèi)軍工企業(yè)對于工控設(shè)備的病毒防護(hù)還停留在管理上，技術(shù)上對于無法安裝殺毒軟件的工控設(shè)備防護(hù)有待加強(qiáng)。針對軍工單位工控設(shè)備、設(shè)備和介質(zhì)病毒防護(hù)專門研究較少，主要存在以下問題：

1)大多數(shù)企業(yè)由于工控設(shè)備、USB接口移動(dòng)存儲(chǔ)介質(zhì)無法聯(lián)網(wǎng)監(jiān)控，工控設(shè)備病毒防護(hù)主要依靠責(zé)任人自身的安全保密意識和行政上的有管理手段，無法進(jìn)行技術(shù)手段防護(hù)與跟蹤；

2)跨單位研制階段聯(lián)合試驗(yàn)的介質(zhì)和設(shè)備使用過程沒有有效的管理措施和病毒防護(hù)措施，特別是在研制階段反復(fù)進(jìn)行產(chǎn)品創(chuàng)新設(shè)計(jì)，交接界面不清晰；

3)對于病毒庫的升級，病毒查殺的管理方式，殺毒中間機(jī)的配備沒有統(tǒng)一的要求，對介質(zhì)的病毒查殺不及時(shí)且無法管控；

4)目前軍工行業(yè)內(nèi)沒有試驗(yàn)專用的工控設(shè)備，設(shè)備病毒防護(hù)強(qiáng)制執(zhí)行的技術(shù)手段；

5)未進(jìn)行病毒查殺的介質(zhì)接入到產(chǎn)品或查殺病毒的中間機(jī)病毒庫版本太低，在試驗(yàn)過程中的設(shè)備和介質(zhì)需要共同試驗(yàn)，介質(zhì)與設(shè)備交叉接入，介質(zhì)與設(shè)備存在互相傳播病毒。

技術(shù)實(shí)現(xiàn)要素：

針對現(xiàn)有技術(shù)的以上缺陷或改進(jìn)需求，本發(fā)明提供了一種基于驅(qū)動(dòng)控制的工控設(shè)備病毒防護(hù)系統(tǒng)，其目的在于，通過移動(dòng)存儲(chǔ)介質(zhì)安全改造，并結(jié)合操作系統(tǒng)底層驅(qū)動(dòng)改造以及相關(guān)管理軟件，來管控U盤的病毒查殺狀態(tài)和是否可讀取，降低了在工控設(shè)備上因使用狀態(tài)不可控的普通移動(dòng)存儲(chǔ)介質(zhì)帶來的病毒交叉感染風(fēng)險(xiǎn)。

為實(shí)現(xiàn)上述目的，本發(fā)明提供了一種基于驅(qū)動(dòng)控制的工控設(shè)備病毒防護(hù)系統(tǒng)，包括安裝于安全U盤上的安全U盤固件、安裝于殺毒主機(jī)和工控設(shè)備上的U盤驅(qū)動(dòng)軟件、安裝于工控設(shè)備上的U盤訪問控制軟件、安裝于殺毒主機(jī)上的U盤管理軟件；

U盤驅(qū)動(dòng)軟件與安全U盤固件之間實(shí)現(xiàn)雙向認(rèn)證，認(rèn)證通過后U盤驅(qū)動(dòng)軟件作為殺毒主機(jī)與安全U盤或者工控設(shè)備與安全U盤之間的通信通道；殺毒主機(jī)上的U盤管理軟件用于初始化安全U盤、對安全U盤殺毒、設(shè)置安全U盤殺毒狀態(tài)和有效期；工控設(shè)備上的U盤訪問控制軟件用于在殺毒有效期內(nèi)對安全U盤內(nèi)執(zhí)行讀/寫操作。

進(jìn)一步地，所述殺毒主機(jī)上的U盤管理軟件對安全U盤進(jìn)行殺毒操作，記錄殺毒時(shí)間和殺毒結(jié)果，設(shè)置安全U盤的殺毒狀態(tài)為安全以及設(shè)置有效期，安全U盤的安全U盤固件記錄殺毒主機(jī)的訪問日志。

進(jìn)一步地，所述殺毒主機(jī)上的U盤管理軟件讀取安全U盤的訪問日志。

進(jìn)一步地，所述工控設(shè)備上的U盤訪問控制軟件向安全U盤固件發(fā)送讀/寫指令，安全U盤固件若在殺毒有效期內(nèi)允許工控設(shè)備執(zhí)行讀/寫操作，安全U盤固件記錄此次訪問日志；安全U盤固件若不在殺毒有效期內(nèi)則拒絕工控設(shè)備訪問。

進(jìn)一步地，所述安全U盤包括處理模塊、存儲(chǔ)模塊、LED指示燈、USB接口、按鈕；處理模塊上用于加載安全U盤固件，存儲(chǔ)模塊用于存儲(chǔ)數(shù)據(jù)，LED指示燈用于顯示殺毒狀態(tài)；USB接口用于安全U盤與殺毒主機(jī)或工控設(shè)備的連接；按鈕用于：在緊急情況下安全U盤插上普通設(shè)備，通過特定次序按壓按鈕，如果與預(yù)定按壓次序相符，則將安全U盤的殺毒狀態(tài)設(shè)置為安全，再將安全U盤插上工控設(shè)備，允許工控設(shè)備訪問。

總體而言，通過本發(fā)明所構(gòu)思的以上技術(shù)方案與現(xiàn)有技術(shù)相比，本發(fā)明結(jié)合操作系統(tǒng)底層驅(qū)動(dòng)改造以及相關(guān)管理軟件，來管控U盤的病毒查殺狀態(tài)和是否可讀取，能從存儲(chǔ)介質(zhì)底層阻止非安全的訪問，豐富了試驗(yàn)產(chǎn)品的病毒防護(hù)手段，降低了在工控設(shè)備上因使用狀態(tài)不可控的普通移動(dòng)存儲(chǔ)介質(zhì)帶來的病毒交叉感染風(fēng)險(xiǎn)。進(jìn)一步地，通過對安全U盤的改造，具備緊急狀態(tài)下數(shù)據(jù)讀出功能。通過安全U盤底部的按鈕特定的按壓序列，可以臨時(shí)緊急開啟數(shù)據(jù)讀出功能。

附圖說明

圖1是安全U盤硬件邏輯連接圖

圖2是軟件架構(gòu)層次圖

圖3是安全U盤殺毒狀態(tài)設(shè)置過程圖；

圖4是訪問日志讀取圖；

圖5是安全U盤殺毒后與工控設(shè)備連接讀取數(shù)據(jù)圖；

圖6是安全U盤無效狀態(tài)與主機(jī)連接圖；

圖7是安全U盤與未授權(quán)工控設(shè)備連接圖；

圖8是工控設(shè)備與普通U盤連接圖。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合附圖及實(shí)施例，對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。此外，下面所描述的本發(fā)明各個(gè)實(shí)施方式中所涉及到的技術(shù)特征只要彼此之間未構(gòu)成沖突就可以相互組合。

U盤包括處理模塊以及分別連接處理模塊的存儲(chǔ)模塊、LED指示燈、USB接口和Button按鈕。處理模塊用于數(shù)據(jù)安全訪問控制，根據(jù)自身安全狀態(tài)允許或阻止主機(jī)訪問存儲(chǔ)模塊的存儲(chǔ)內(nèi)容；LED指示燈顯示U盤的安全狀態(tài)，在緊急狀態(tài)下，可通過特定按壓序列按壓Button按鈕，開啟緊急數(shù)據(jù)讀出功能。

圖1給出了本發(fā)明安全U盤的一種較佳實(shí)施方式。安全U盤的硬件組件為：

1)處理模塊使用STM32F103C8T6主控芯片。使用ARM Cortex-M3內(nèi)核，具有最高72MHz運(yùn)行頻率，20KB內(nèi)存，64KBFLASH存儲(chǔ)。

2)存儲(chǔ)模塊使用TF存儲(chǔ)卡作為物理存儲(chǔ)。與主控芯片之間采用SPI總線連接，運(yùn)行頻率18MHz。

3)LED指示燈使用紅綠雙色顯示LED二級管，與主控芯片GPIO口相連。可以顯示紅、綠、黃三種顏色，斷電則不亮。

4)Button按鈕使用單觸點(diǎn)開關(guān)，與主控芯片GPIO口相連。可以檢測到邊沿跳變。

5)提供USB接口。使用USB2.0全速(FS)接口，與主控芯片的DM、DP功能引腳相連，最高速度12Mbps。

配合運(yùn)行于指定的殺毒主機(jī)Windows XP平臺的安全U盤管理軟件，在對安全U盤進(jìn)行殺毒處理之后，設(shè)定U盤的安全狀態(tài)為安全。配合運(yùn)行于工控設(shè)備Windows XP平臺的安全U盤訪問控制軟件，只對安全U盤允許訪問。

如圖2所示，本發(fā)明實(shí)施例所涉及的軟件包括安全U盤固件、U盤驅(qū)動(dòng)軟件、U盤訪問控制軟件和U盤管理軟件，其中，安全U盤固件安裝于安全U盤的處理模塊上，U盤驅(qū)動(dòng)軟件均安裝于工控設(shè)備和殺毒主機(jī)上，U盤訪問控制軟件安裝于工控設(shè)備上，U盤管理軟件安裝于殺毒主機(jī)上。下面分別詳細(xì)說明：

(1)安全U盤固件，主要提供的軟件功能：

a.實(shí)現(xiàn)與安全U盤雙向認(rèn)證，根據(jù)自身的狀態(tài)判斷是否放行后續(xù)的數(shù)據(jù)訪問；

b.執(zhí)行“獲取安全U盤ID”命令并返回結(jié)果；

c.執(zhí)行“設(shè)置安全U盤殺毒狀態(tài)標(biāo)志”命令并返回結(jié)果；

d.執(zhí)行“初始化安全U盤”命令并返回結(jié)果；

e.執(zhí)行“讀取安全U盤日志”命令并返回結(jié)果；

f.執(zhí)行“設(shè)置殺毒狀態(tài)有效期”命令并返回結(jié)果；

g.針對放行狀態(tài)，執(zhí)行正常讀/寫命令并返回結(jié)果；

h.設(shè)定的事件發(fā)生時(shí)寫入日志。

i.根據(jù)當(dāng)前狀態(tài)設(shè)置狀態(tài)指示燈

j.監(jiān)控按鈕按壓序列，匹配特定模式則開啟緊急放行狀態(tài)。

k.編程環(huán)境：Linux,GNU Toolchain,運(yùn)行環(huán)境：STM32F103芯片

(2)安全U盤驅(qū)動(dòng)軟件，主要提供的軟件功能：

a.阻止普通U盤被系統(tǒng)訪問(特殊情況可關(guān)閉)；

b.實(shí)現(xiàn)與安全U盤雙向認(rèn)證；

c.配合上層應(yīng)用程序，發(fā)送“獲取安全U盤ID”命令URB到安全U盤并返回結(jié)果；

d.配合上層應(yīng)用程序，獲取主機(jī)ID并返回結(jié)果；

e.配合上層應(yīng)用程序，發(fā)送“設(shè)置安全U盤殺毒狀態(tài)標(biāo)志”命令URB到安全U盤并返回結(jié)果

f.配合上層應(yīng)用程序，發(fā)送“初始化安全U盤”命令URB到安全U盤并返回結(jié)果；

g.配合上層應(yīng)用程序，發(fā)送“讀取安全U盤日志”命令URB到安全U盤并返回結(jié)果；

h.配合上層應(yīng)用程序，發(fā)送“設(shè)置殺毒狀態(tài)有效期”命令URB到安全U盤并返回結(jié)果；

i.針對認(rèn)證通過的安全U盤，轉(zhuǎn)發(fā)正常讀/寫URB到安全U盤；

j.編程環(huán)境：WDK.7600,運(yùn)行環(huán)境：Windows XP 32位

(3)安全U盤訪問控制軟件，主要提供的軟件功能：

主要提供特殊情況下，開啟普通U盤訪問功能。同時(shí)具備讀取本機(jī)標(biāo)識符，以及安全U盤標(biāo)識符功能，方便日志比對。編程環(huán)境為Visual Studio 2013，Visual C++，運(yùn)行環(huán)境為Windows XP 32位。

(4)安全U盤管理軟件，主要提供的軟件功能：

a.開啟普通U盤訪問；

b.獲取安全U盤ID；

c.獲取主機(jī)ID；

d.設(shè)置安全U盤殺毒完成標(biāo)志；

e.初始化安全U盤

f.導(dǎo)出安全U盤日志

g.設(shè)置殺毒狀態(tài)有效期

h.編程環(huán)境：Visual Studio 2013，Visual C++

i.運(yùn)行環(huán)境：Windows XP 32位

請參見圖3到圖8，本發(fā)明工控設(shè)備病毒防護(hù)裝置的交互流程設(shè)計(jì)如下：

1)安全U盤初始化。

安全U盤訪問控制軟件可以實(shí)施對U盤的初始化。在安全U盤啟用前，均要進(jìn)行初始化，否則不能被使用。在安全U盤處于異常狀態(tài)時(shí)也可以使用初始化功能進(jìn)行恢復(fù)。

a)步驟1進(jìn)行訪問授權(quán)認(rèn)證。

b)步驟2認(rèn)證成功回復(fù)。

c)步驟3發(fā)送設(shè)備初始化指令。

d)步驟4初始化狀態(tài)回復(fù)。

2)安全U盤殺毒狀態(tài)設(shè)置。

殺毒主機(jī)可以對安全U盤殺毒狀態(tài)進(jìn)行有效和超期設(shè)置，見圖3。

a)步驟1進(jìn)行訪問授權(quán)認(rèn)證。

b)步驟2認(rèn)證成功回復(fù)，同時(shí)安全U盤記錄此次訪問到訪問日志。

c)步驟3進(jìn)行殺毒操作，記錄經(jīng)過病毒查殺時(shí)間和查殺結(jié)果。

d)步驟4設(shè)置安全U盤狀態(tài)為0(安全)，同時(shí)指示燈顯示綠色。

e)步驟5狀態(tài)設(shè)置成功回復(fù)。

3)安全U盤訪問日志讀取。

殺毒主機(jī)可以讀取安全U盤的訪問日志，見圖4。

a)步驟1進(jìn)行訪問授權(quán)認(rèn)證。

b)步驟2認(rèn)證成功回復(fù)。

c)步驟3發(fā)送日志讀取指令。

d)步驟4返回日志記錄。

4)在有效殺毒周期內(nèi)的安全U盤與工控設(shè)備連接讀取數(shù)據(jù)。

工控設(shè)備可讀取在有效殺毒周期內(nèi)的安全U盤，見圖5。

a)步驟1進(jìn)行訪問授權(quán)認(rèn)證。安全U盤經(jīng)過病毒查殺，且查殺周期在允許使用的時(shí)間范圍內(nèi)，允許正常訪問，指示燈顯示綠色，表示正常訪問。

b)步驟2安全U盤返回允許訪問狀態(tài)，同時(shí)安全U盤記錄此次訪問到訪問日志。

c)步驟3工控設(shè)備寫入數(shù)據(jù)到安全區(qū)。

d)步驟4工控設(shè)備讀取數(shù)據(jù)。

5)安全U盤病毒查殺超過允許使用時(shí)間范圍與主機(jī)連接。

工控設(shè)備不可訪問超過有效病毒查殺周期的安全U盤，見圖6。

a)步驟1進(jìn)行訪問授權(quán)認(rèn)證。檢測安全U盤查殺時(shí)間超過7天未進(jìn)行病毒查殺，于是拒絕訪問，指示燈顯示紅色。

b)步驟2安全U盤返回拒絕訪問狀態(tài)，切斷USB與存儲(chǔ)芯片的連接，同時(shí)記錄此次訪問到訪問日志。工控設(shè)備將不會(huì)識別到有U盤。

6)安全U盤與未授權(quán)工控設(shè)備連接。

未授權(quán)工控設(shè)備不可讀取安全U盤，見圖7。由于工控設(shè)備未安裝“安全U盤控制程序”，安全U盤處于未認(rèn)證狀態(tài)，將拒絕主機(jī)的任何訪問，同時(shí)指示燈顯示紅色.。

7)工控設(shè)備與普通U盤連接。

工控設(shè)備不可讀取普通U盤。由于普通U盤沒有內(nèi)置認(rèn)證功能，“安全U盤訪問控制軟件”認(rèn)證不會(huì)通過，將會(huì)被拒絕訪問，見圖8。

8)普通設(shè)備對安全U盤緊急狀態(tài)下的數(shù)據(jù)讀取。

可實(shí)現(xiàn)在緊急情況下，普通設(shè)備讀取安全U盤數(shù)據(jù)。將安全U盤插上普通設(shè)備，通過以特定次序按壓安全U盤底部按鈕，如果與內(nèi)置的按壓次序相符，則將殺毒狀態(tài)重置為0，關(guān)閉認(rèn)證，同時(shí)記錄此次操作到日志。拔下U盤，再次插入主機(jī)，則安全U盤變成普通U盤的功能，不需要認(rèn)證即可以直接使用。再次拔出后，U盤恢復(fù)為上次狀態(tài)下的安全U盤。

9)病毒查殺超過允許使用時(shí)間范圍的安全U盤緊急狀態(tài)下的數(shù)據(jù)讀取。

通過修改工控設(shè)備安全U盤控制程序功能，允許工控設(shè)備對病毒查殺超過允許使用時(shí)間范圍的安全U盤的讀取。

本領(lǐng)域的技術(shù)人員容易理解，以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。