[0001] 本实用新型涉及信息安全技术领域，特别是涉及一种USB安全管理设备。

[0002] 在一些应用场景中，出于信息安全的需要，服务器对外仅开放一个USB接口用于连接U盘进行信息交换，而U盘容易感染病毒，需要先将U盘插入工控机进行病毒查杀与授权验证，再将U盘拔出，插入服务器进行连接，比较繁琐，导致服务器与U盘信息交互的效率较低。

[0029] 以下结合附图和具体实施例对本实用新型作进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本实用新型，并不用于限定本实用新型。

[0030] 根据本实用新型的第一个方面，如图1所示，提供了一种USB安全管理设备，包括服务器接口11、工控机接口12、开关控制模块以及外接USB端口5；

[0031] 外接USB端口5用于连接U盘4；

[0032] USB端口通过开关控制模块分别与工控机接口12及服务器接口11电性连接；

[0033] 开关控制模块包括：工控机电子开关9、单片机7及服务器电子开关8；

[0034] 服务器电子开关8的一连接端与服务器接口11电性连接；另一连接端与外接USB端口5电性连接；

[0035] 工控机电子开关9的一连接端与工控机接口12电性连接，另一连接端与外接USB端口5电性连接；

[0036] 工控机电子开关9及服务器电子开关8均与单片机7电性连接。

[0037] 本实用新型中，当U盘4插入任一外接USB端口5时，这个USB端口对应开关控制模块的工控机电子开关9电路连通，相当于U盘4插入工控机2，工控机2对U盘4进行病毒查杀和授权验证，如果病毒查杀和授权验证不通过，则结束；如果病毒查杀和授权验证通过，则工控机2发送通知给单片机7，单片机7根据预先设置，控制这个USB端口对应开关控制模块的工控机电子开关9电路断开，然后控制这个USB端口对应开关控制模块的目标服务器电子开关8连通，相当于U盘4插入目标服务器1，开始信息交互，等信息交互结束之后，目标服务器1发通知给单片机7，单片机7控制这个USB端口对应开关控制模块的目标服务器1电子开关8断开，从而断开目标服务器1与U盘4之间的连接。

[0038] 通过单片机7控制服务器电子开关8以及工控机电子开关9的开合，USB安全管理设备既可以实现服务器1与U盘4的物理隔离，又可以在完成U盘4病毒查杀、授权验证的情况下实现与U盘4的无插拔连接，在保证服务器1信息安全的同时，提高了服务器1与U盘4信息交互的效率。

[0039] 进一步的，单片机7用于控制服务器电子开关8和\或控制工控机电子开关9的开合。

[0040] 通过单片机7控制服务器电子开关8和\或控制工控机电子开关9的开合，节省了手动切换电子开关开合的流程，提高了电子开关开合的效率。

[0041] 进一步的，所述服务器电子开关8连通时，工控机电子开关9断开。

[0042] 由于USB传送的是差分信号，所以当所述服务器电子开关8连通，相当于服务器1与U盘4连接时，将工控机电子开关9断开，也就是将U盘4与工控机2的连接断开，防止出现信号串扰，提高了系统的健壮性。

[0043] 可选的，服务器1与单片机7电性连接，工控机2与单片机7电性连接，服务器电子开关8默认断开，工控机电子开关9默认连通。

[0044] 服务器1与单片机7电性连接，可在服务器1与U盘4完成信息交互之后，由服务器1发电信号给单片机7，通知单片机7恢复默认设置，防止USB安全管理设备第一次连接到服务器1时服务器电子开关8连通，未经杀毒和授权的U盘4直接与服务器1连接，引发安全隐患。工控机2与单片机7连接，可在工控机2完成病毒查杀与授权验证的情况下，由工控机2发电信号给单片机7，通知单片机7断开工控机电子开关9，连通服务器电子开关8，建立U盘4与服务器1之间的信息交互路径。当USB安全管理设备第一次连接到服务器1时，服务器电子开关
8断开，保证服务器1与U盘4的物理隔离，防止U盘4可能携带的病毒感染服务器1，也避免了无授权的U盘4访问服务器1带来的安全隐患。当USB安全管理设备第一次连接到工控机2时，工控机电子开关9连通，可以对插入的U盘4直接进行病毒查杀和授权验证，减少了手动连接电子开关的流程，提高了病毒查杀和授权验证的效率。

[0045] 进一步的，工控机2用于对U盘4进行病毒查杀和/或授权验证。

[0046] 工控机2上安装杀毒软件和授权验证程序，可以对U盘4进行病毒查杀和/或授权验证，保证U盘4的安全性，为后续U盘4连接到服务器1做好准备。

[0047] 进一步的，外接USB端口5支持USB4.0规范。

[0048] USB4.0规范向下兼容USB1.0规范，USB2.0规范，USB3.0规范，能够提高U盘4与服务器1之间信息交互的速度，提高了工作效率。

[0049] 特别的，单片机7为51或ARM(Advanced RISC Machine)架构，优选为ATMEL的89C51单片机7或者ARM架构的STM32F107。

[0050] 51单片机7的指令系统、内部结构相对简单，成本较低。ARM处理器的设计注重安全性，提供了硬件级别的安全功能，如信任区域(TrustZone)技术，使用ARM架构的单片机7能够提高单片机7的处理效率，同时保证系统的信息安全。

[0051] 可选的，单片机7包括电池和/或外接电源。

[0052] 单片机7可以使用电池或者外接电源工作，根据不同的应用场景来进行选装。

[0053] 根据本实用新型的第二个方面，提供了另一种USB安全管理设备，其特征在于，包括：

[0054] 多个外接USB端口5、多个服务器接口11、多个开关控制模块及工控机接口12；

[0055] 每一外接USB端口5通过对应的开关控制模块分别与工控机接口12及多个服务器接口11电性连接；每一外接USB端口5均配置一个对应的开关控制模块；

[0056] 开关控制模块包括：工控机电子开关9、单片机7及多个服务器电子开关8；

[0057] 每一服务器电子开关8的一连接端分别与每一服务器接口11电性连接；每一服务器电子开关8的另一连接端均与对应的外接USB端口5电性连接；

[0058] 工控机电子开关9的一连接端与工控机接口12电性连接，工控机电子开关9的另一连接端与对应的外接USB端口5电性连接；

[0059] 工控机电子开关9及多个服务器电子开关8均与单片机7电性连接。

[0060] 通过这种结构，USB安全管理设备可以同时连接多个U盘4与多个服务器1，并且可以在不同的服务器1和U盘4之间建立一对一的安全连接，在保证系统安全的同时，提高了USB安全管理设备的可扩展性，为USB安全管理设备拓展了更多潜在的应用场景。

[0061] 根据本实用新型的第三个方面，本实用新型一种USB安全管理设备的技术原理：U盘4插入USB安全管理设备的外接USB端口5之后，由于工控机电子开关9默认为连通，因此外接USB端口5、工控机电子开关9、工控机USB端口6之间的电路连通，相当于U盘4插入工控机2，工控机2对U盘4进行病毒查杀和授权验证，如果病毒查杀和授权验证不通过，则结束；如果病毒查杀和授权验证通过，则工控机2发送通知给单片机7，单片机7控制工控机电子开关
9断开，然后控制服务器电子开关8连通，此时外接USB端口5、服务器电子开关8、服务器USB端口10之间的电路连通，相当于U盘4插入服务器1，开始信息交互，等信息交互结束之后，服务器1发通知给单片机7，单片机7控制服务器电子开关8断开，从而断开服务器1与U盘4之间的连接。

[0062] 在本说明书的描述中，参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

[0063] 在本实用新型的描述中，需要理解的是，术语“顶”、“底”、“上”、“下”(如果存在)等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本实用新型和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本实用新型的限制。

[0064] 在本实用新型的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以通过具体情况理解上述术语在本实用新型中的具体含义。

[0065] 本申请的说明书和权利要求书及上述附图说明中的术语“第一”、“第二”是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例例如能够以除了在这里图示或描述的那些以外的顺序实施。

[0066] 最后应说明的是：以上各实施例仅用以说明本实用新型的技术方案，而非对其限制；尽管参照前述各实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本实用新型各实施例技术方案的范围。