USB(Universal Serial Bus)总线协议是标准化外设与主机连接的通用外部总线标准。伴随着USB设备类型越来越复杂,传输速度越来越快,USB存储设备的安全性问题逐渐成为一个被广泛关注的焦点。虽然已有研究者提出针对USB存储设备的安全协议,但尚存不足之处,更为全面的、效率更好、安全性更高的身份认证协议有待研究。本文针对目前的USB存储设备攻击类型,改进并实现一种安全性能更高的USB存储设备安全协议,主要工作包括以下几个方面:(1)研究了USB存储设备安全协议以及加解密算法,重点研究了USB存储设备增强式三要素安全协议。结合课题需求,分析当前USB攻击方式及防范措施,指出现有USB存储设备安全协议存在的安全隐患。(2)改进USB存储设备安全协议,提高协议的安全性,降低协议的复杂性和运算代价。首先,协议采用初始密钥的方式建立安全信道进行密钥协商,从而保障初始信道的安全,进一步保障协商密钥的安全,防止中间人攻击。其次,采用身份认证服务器(AS)进行身份认证,由于设备芯片不存储任何与身份认证相关的信息,从而可以预防针对设备芯片的攻击。再次,改进的协议既可以独立工作也可以和基于硬件的身份认证方式相结合,同时服务器可以扩展设备挂失、远程文件删除等实用功能,具有良好的功能扩展性和灵活的应用场景。最后,对改进协议进行安全性评估和运算成本分析,并与现有的协议进行对比。(3)改进的USB存储设备安全协议实现分为设备端、主机端以及AS端三部分,其中USB存储设备的硬件部分基于MSP430F5529、片外Flash及相应的外围电路。USB设备端采用MSD与HID组成的USB复合设备,实现模块驱动、加密传输、加密存储等功能,其中HID设备负责完成文件密钥的加密传输,防止USB通道窃听攻击。AS端选用预线程并发式的设计方案,实现任务队列管理、工作线程管理和安全协议AS端功能等部分。主机端实现HID设备枚举、HID通道建立及传输、安全协议客户端功能等部分。安全协议系统的测试与实际运行结果显示改进协议的有效性,系统运行状况良好,满足客户的需求。