USB接口给用户带来便利的同时,也带来了安全隐患,成为不法用户窃取系统信息资源的重要I/O通道之一。微软和一些第三方厂家都针对Windows操作系统对USB接口访问控制给出了自己的解决方案。但这些解决方案都存在着一个重要问题,就是它们的访问控制机制都是放在Windows里来完成的,在Windows遭到破坏后,这些访问控制机制的有效性将无法得到保证。本课题在国家863计划“基于双核的安全Windows终端技术研究”的重要研究成果——ENSS板卡的基础上增加USB子系统,来对USB接口进行访问控制。把访问控制机制放在安全终端的Linux系统中来实现,这样即使在Windows遭到攻击受到破坏后,Linux依然能够保证访问控制机制的有效性,防止系统的安全信息数据外泄。本文针对ENSS板卡上增加USB子系统设计了两种可行的改进方案,对这两种方案进行深入的分析与讨论,权衡利弊后,决定为USB子系统建立独立的信息通路。基于这种解决方案,对ENSS板卡在硬件上进行了重新的设计,增加了USB接口。对安全终端使用的Linux操作系统也进行了重新的移植,进一步提高了安全终端系统的性能。同时,对USB主从总线驱动以及客户软件进行了深入了研究与分析,简化了一次I/O操作的过程,进一步提高了USB设备通过安全终端与主机通信的速度。在安全访问控制方面,设计并实现了基于信息方向、基于信息内容以及基于用户身份的三种U盘用户访问控制机制,并对访问控制的效果进行了测试。最后,在三种U盘访问控制的基础上,设计了角色分级的管理策略,来对U盘用户进行访问控制。本课题在实验中基本能够达到对U盘用户访问控制的预期效果。