在現代社會中，常見的文件共享方式是通過計算機網絡來傳輸，但這種方式的弊端是需要共享文件的計算機在網絡上是互聯互通的，否則無法進行文件和數據的傳輸。

　　小巧方便隨身攜帶的移動U盤可以方便地在計算機之間進行復制和分享數據，彌補了網絡傳輸方式的不足，因而成為人們日常工作和生活中重要的信息傳輸工具。

　　但是，任何人都可以通過任意一臺計算機來訪問普通U盤里的數據和文件，這在某些涉密的特定領域或使用場景下，例如政府部門、公司和工業控制領域等等，禁止U盤交叉使用的情形下，是不被允許的，而且為涉密的信息和數據的保密工作帶來了巨大的挑戰和安全隱患。

　　為了實現允許特定領域的指定計算機只能訪問指定U盤的問題，北京天地和興科技有限公司基于自有產品----主機安全防護系統，開發了一種可以保護U盤內信息不被未授權的計算機訪問的可信U盤技術，保證在需要數據高度保密的環境下，只允許指定計算機訪問指定的U盤。

　　主機安全防護系統客戶端實現了對可信U盤的管控，用戶通過在客戶端界面上設置即可?？蛻舳思闪丝尚臮盤的驅動程序，來標識接入計算機的可信U盤，用戶對可信U盤的數據讀寫請求會被驅動放行，而對其它U盤的讀寫請求則予以阻止。

　　可信U盤驅動基于Windows操作系統的文件系統過濾驅動模型，具有更有效利用內核堆棧、方便和應用層程序交互和降低實現復雜度等等優點。

　　當用戶將U盤插入安裝有可信U盤驅動的計算機上時，用戶對該U盤的訪問請求，會被Windows操作系統轉發到內核層，并由輸入/輸出管理器截獲。輸入/輸出管理器將根據截獲的請求類型，激活過濾管理器，加載并調用對應的可信U盤過濾驅動來處理該請求。

　　可信U盤過濾驅動里事先定義了可信U盤的身份ID，并用它來和插入U盤的身份ID做對比，如果相等，則判斷為可信U盤，允許對U盤的I/O請求通過該過濾驅動，并將過濾結果返回給過濾管理器。過濾管理器收到通行的消息后，再將U盤訪問請求轉發給更底層的文件系統驅動做進一步的處理，從而允許了對可信U盤的訪問;相反，如果檢測出ID不匹配，則在該過濾驅動中終止輸入/輸出請求的進一步下發，從而禁止了對非可信U盤的讀寫訪問。如下圖所示：

　　基于文件過濾驅動的可信U盤實現流程圖

　　安裝了可信U盤過濾驅動的計算機只能使用指定的可信U盤，其它普通U盤則無法使用，防止了該計算機上資料通過普通U盤拷貝出去而泄密，同時也減少了因使用普通U盤而感染計算機病毒的風險。