随着计算机技术的发展,USB存储设备的应用越来越广泛,它具有易于携带、容量大和使用方便等特点,逐渐成为了计算机之间数据交换的重要工具,同时也成为了内部人员泄露或盗取局域网内机密信息的主要途径。现有的针对局域网内USB存储设备访问控制技术仅仅是基于本机的操作系统来限制或允许USB存储设备的使用,没有实现局域网内所有USB存储设备的集中访问控制,因此其安全性和可用性大大降低。针对局域网内USB存储设备访问控制存在的问题,论文分析了基于WDM过滤驱动的USB存储设备访问控制技术等相关工作,并总结了它们的优缺点,通过研究Linux USB子系统和SCSI控制器的模拟过程,提出了基于可信Kylin的USB过滤驱动技术;有机结合角色定权机制(RBA,Role Based Authorization)、PMI(Privilege Management Infrastructure)和PKI(Public Key Infrastructure)的相关原理,提出了RBA-PP联合安全认证与授权系统。在此基础上结合客户端和服务端双向认证技术,设计并实现了基于可信Kylin的局域网内USB存储设备访问控制系统——USBACS(USB Access Control System)。USBACS在应用层对局域网内所有需要向USB存储设备写入数据的用户,通过USBkey进行第二次身份认证;在内核层,通过USB过滤驱动实现USB存储设备的访问控制。USBACS由基于可信Kylin的USB过滤驱动子系统、RBA-PP联合安全认证与授权子系统和客户端与服务端双向认证服务共同组成。基于可信Kylin的USB过滤驱动子系统实现了在可信Kylin操作系统中系统与设备之间数据传输的单向控制。RBA-PP联合安全认证与授权子系统实现了局域网环境下服务端对客户端用户身份进行认证并对其授予权限。客户端与服务端双向认证服务提高了局域网内所有客户端和服务端的安全性和不可抵赖性。基于以上的设计思想,论文将USBACS应用于局域网环境下进行测试并对其安全性进行分析。结果表明,USBACS在保证高安全性的同时,对系统性能影响不大。