[0001] 本实用新型涉及信息安全技术领域，尤其涉及一种USB设备的防护装置。

[0002] USB通用串行总线，凭借其稳定、高速的硬件数据传输特征以及强大的数据传输协议，在传统数据传输领域中，不断的适应人们对数据传输的需求。于此同时在一些具有全新功能的设备上，也在不断满足着这些设备的一些新的功能特性。

[0003] 然而事物总是具有两面性，一旦USB设备变成具有恶意的行为工具时。它的广泛应用在此时转化为无处不在的威胁。传统的反病毒手段，通过杀毒软件基于特征码的检出机制是无法对一个具有恶意的USB设备的行为进行检出并进行后期处置。例如一个具有大容量存储功能的U盘，假设U盘固件本身存在漏洞，此时在PC上完全可以枚举成为一个大容量存储设备和一个键盘设备。当一个U盘具有一个键盘的功能的时候它就完全可以通过命令行的形式，实现恶意代码的注入。从而实现破坏、或盗取信息的目的。实用新型内容

[0004] 为了解决上述技术问题，本实用新型提供了一种USB设备的防护装置，基于接入USB设备接口的USB设备的枚举信息判断是否是具备恶意行为的设备，若是，则阻断其与主机之间的通信，从而实现了主机安全防护的目的。

[0005] 本实用新型采用如下装置来实现：一种USB设备的防护装置，包括：核心控制单元、接口执行单元、USB主机接口、USB设备接口和电源供电单元；

[0006] 所述核心控制单元用于基于接入的USB设备的枚举信息向接口执行单元发出控制信号；

[0007] 所述接口执行单元用于基于所述控制信号控制内部的数据切换模块的各端口的通断；

[0008] 所述USB主机接口用于将所述防护装置接入主机设备；

[0009] 所述USB设备接口用于接入USB设备；

[0010] 所述电源供电单元用于为防护装置中各单元提供工作电压；

[0011] 其中，所述接口执行单元分别与所述核心控制单元、所述USB主机接口、所述USB设备接口和所述电源供电单元电连接。

[0012] 进一步地，所述接口执行单元包括数据切换模块1和数据切换模块2；

[0013] 其中，数据切换模块1和数据切换模块2各包括三个端口：一个主端口和两个复用端口；

[0014] 数据切换模块1的主端口与所述USB设备接口相连，两个复用端口分别与所述核心控制单元的一个端口、数据切换模块2的一个复用端口相连；

[0015] 数据切换模块2的主端口与所述USB主机接口相连，两个复用端口分别与所述核心控制单元的一个端口、数据切换模块1的一个复用端口相连。

[0016] 进一步地，所述核心控制单元包括：中央处理器、时钟振荡器电路、接口执行单元控制电路；其中，

[0017] 所述中央处理器包括两个端口，分别与所述接口执行单元中的数据切换模块1和数据切换模块2相连；

[0018] 所述时钟振荡器电路与所述中央处理器的时钟输入端口相连接；

[0019] 所述接口执行单元控制电路用于向所述接口执行单元发送控制信号。

[0020] 进一步地，所述接口执行单元控制电路具体用于：通过中央处理器的IO电平或者外设通讯端口实现向所述接口执行单元发送控制信号。

[0021] 上述防护装置中，所述时钟振荡器电路包括：振荡电容和时钟振荡器。

[0022] 综上所述，本实用新型提供了一种USB设备的防护装置，包括：核心控制单元、接口执行单元、USB主机接口、USB设备接口和电源供电单元，所述核心控制单元对接入USB设备接口的USB设备进行识别，判断其枚举信息是否与外形相符，若不符则判定疑似恶意设备，则接口执行单元通过接收核心控制单元的控制信号选择适当的通信路径甚至阻断其通信。

[0026] 本实用新型给出了一种USB设备的防护装置的实施例，本实用新型不限于某一固定形状与外观，主要在于其内部结构的组成、连接关系，以及整体工作方式。为了使本技术领域的人员更好地理解本实用新型实施例中的技术方案，并使本实用新型的上述目的、特征和优点能够更加明显易懂，下面结合附图对本实用新型作进一步详细的说明：

[0027] 本实用新型首先提供了一种USB设备的防护装置实施例1，如图1所示，包括：核心控制单元10、接口执行单元20、USB主机接口30、USB设备接口40和电源供电单元50；

[0028] 所述核心控制单元10用于基于接入的USB设备的枚举信息向接口执行单元20发出控制信号；其中，所述枚举信息包括但不限于：设备类型、PID、VID、厂商描述符、设备描述符等；

[0029] 所述接口执行单元20用于基于所述控制信号控制内部的数据切换模块的各端口的通断；

[0030] 所述USB主机接口30用于将所述防护装置接入主机设备；

[0031] 所述USB设备接口40用于接入USB设备；

[0032] 所述电源供电单元50用于为防护装置中各单元提供工作电压；

[0033] 其中，所述接口执行单元20分别与所述核心控制单元10、所述USB主机接口30、所述USB设备接口40和所述电源供电单元50电连接。

[0034] 上述实施例中，所述电源供电单元50的输入电压取自所述USB主机接口30，或者通过外部电源适配器进行取电操作，随后将电压转换成防护装置中其他各单元所需的工作电压，其中可以利用LM1117_3.3来实现电压转换。

[0035] 其中，所述接口执行单元20一端与所述USB主机接口30相连，另一端与所述USB设备接口40相连；并进一步通过来自所述核心控制单元10的信号来实现USB设备与主机设备之间的数据通信路径。所述接口执行单元20的硬件实现包括但不限于：USB开关芯片，例如：FSUSB42。

[0036] 优选地，所述接口执行单元包括数据切换模块1和数据切换模块2；所述核心控制单元包括：中央处理器、时钟振荡器电路、接口执行单元控制电路；其中，所述中央处理器包括两个端口，分别与所述接口执行单元中的数据切换模块1和数据切换模块2相连；其中，所述中央处理器包括但不限于：stm32f405、stm32f205、atmega32u4等；

[0037] 所述时钟振荡器电路与所述中央处理器的时钟输入端口相连接；

[0038] 所述接口执行单元控制电路用于向所述接口执行单元发送控制信号。

[0039] 优选地，所述接口执行单元控制电路具体用于：通过中央处理器的IO电平或者外设通讯端口实现向所述接口执行单元发送控制信号。其中，所述接口执行单元控制电路具体实现形式取决于数据切换模块的控制方式。

[0040] 上述防护装置实施例中，所述时钟振荡器电路包括：振荡电容和时钟振荡器。

[0041] 本实用新型其次提供了一种USB设备的防护装置实施例2，如图2所示，包括：核心控制单元10、接口执行单元20、USB主机接口30、USB设备接口40和电源供电单元50；

[0042] 所述核心控制单元10用于基于接入的USB设备的枚举信息向接口执行单元20发出控制信号；

[0043] 所述接口执行单元20用于基于所述控制信号控制内部的数据切换模块的各端口的通断；其中，所述接口执行单元20包括数据切换模块201和数据切换模块202；数据切换模块201和数据切换模块202各包括三个端口：一个主端口和两个复用端口；

[0044] 数据切换模块201的主端口与所述USB设备接口40相连，两个复用端口分别与所述核心控制单元10的一个端口、数据切换模块202的一个复用端口相连；

[0045] 数据切换模块202的主端口与所述USB主机接口30相连，两个复用端口分别与所述核心控制单元10的一个端口、数据切换模块201的一个复用端口相连。

[0046] 所述USB主机接口30用于将所述防护装置接入主机设备；

[0047] 所述USB设备接口40用于接入USB设备；

[0048] 所述电源供电单元50用于为防护装置中各单元提供工作电压；

[0049] 其中，所述接口执行单元20分别与所述核心控制单元10、所述USB主机接口30、所述USB设备接口40和所述电源供电单元50电连接。

[0050] 优选地，所述核心控制单元包括：中央处理器、时钟振荡器电路、接口执行单元控制电路；其中，

[0051] 所述中央处理器包括两个端口，分别与所述接口执行单元中的数据切换模块201和数据切换模块202相连；

[0052] 所述时钟振荡器电路与所述中央处理器的时钟输入端口相连接；

[0053] 所述接口执行单元控制电路用于向所述接口执行单元发送控制信号。

[0054] 优选地，所述接口执行单元控制电路具体用于：通过中央处理器的IO电平或者外设通讯端口实现向所述接口执行单元发送控制信号。

[0055] 上述防护装置实施例中，所述时钟振荡器电路包括：振荡电容和时钟振荡器。

[0056] 本实用新型所给出的上述实施例可以实现对具有潜在恶意行为的USB设备的检出，以及对恶意USB设备的阻断，进而达到对主机设备的安全防护的效果，其应用场景包括但不限于：

[0057] 1、工业控制中具有控制功能或具有重要数据存储功能的服务器或PC，例如工程师站或OPC服务器。

[0058] 2、存储高商业价值数据的服务器或PC，例如个人笔记本电脑或公司内部重要的服务器。

[0059] 3、涉及国家数据或信息安全的部门，例如存储具有涉及国家信息安全的服务器或PC。

[0060] 如上所述，本实用新型所给出的各实施例提供了一种USB设备的防护装置，包括核心控制单元、接口执行单元、USB主机接口、USB设备接口和电源供电单元；通过对接入USB设备接口的USB设备进行检测，判断其是否符合所述核心控制单元对USB设备的安全配置，若符合则所述核心控制单元发送控制信号给所述接口执行单元，所述接口执行单元允许USB设备与主机设备通信，若接入的USB设备不符合安全配置，存在一定威胁，则所述核心控制单元控制所述接口执行单元运行，阻断USB设备与主机的通信或者选择合适保守的路径与主机设备通信。利用本实用新型上述实施例对各种USB外设接入主机的情况进行检测和防护，有效防止恶意USB设备威胁主机安全，盗取主机的重要数据信息。

[0061] 以上实施例用以说明而非限制本实用新型的技术方案。不脱离本实用新型精神和范围的任何修改或局部替换，均应涵盖在本实用新型的权利要求范围当中。