在现代社会中，常见的文件共享方式是通过计算机网络来传输，但这种方式的弊端是需要共享文件的计算机在网络上是互联互通的，否则无法进行文件和数据的传输。

小巧方便随身携带的移动U盘可以方便地在计算机之间进行复制和分享数据，弥补了网络传输方式的不足，因而成为人们日常工作和生活中重要的信息传输工具。

但是，任何人都可以通过任意一台计算机来访问普通U盘里的数据和文件，这在某些涉密的特定领域或使用场景下，例如政府部门、公司和工业控制领域等等，禁止U盘交叉使用的情形下，是不被允许的，而且为涉密的信息和数据的保密工作带来了巨大的挑战和安全隐患。

为了实现允许特定领域的指定计算机只能访问指定U盘的问题，北京天地和兴科技有限公司基于自有产品----主机安全防护系统，开发了一种可以保护U盘内信息不被未授权的计算机访问的可信U盘技术，保证在需要数据高度保密的环境下，只允许指定计算机访问指定的U盘。

主机安全防护系统客户端实现了对可信U盘的管控，用户通过在客户端界面上设置即可。客户端集成了可信U盘的驱动程序，来标识接入计算机的可信U盘，用户对可信U盘的数据读写请求会被驱动放行，而对其它U盘的读写请求则予以阻止。

可信U盘驱动基于Windows操作系统的文件系统过滤驱动模型，具有更有效利用内核堆栈、方便和应用层程序交互和降低实现复杂度等等优点。

当用户将U盘插入安装有可信U盘驱动的计算机上时，用户对该U盘的访问请求，会被Windows操作系统转发到内核层，并由输入/输出管理器截获。输入/输出管理器将根据截获的请求类型，激活过滤管理器，加载并调用对应的可信U盘过滤驱动来处理该请求。

可信U盘过滤驱动里事先定义了可信U盘的身份ID，并用它来和插入U盘的身份ID做对比，如果相等，则判断为可信U盘，允许对U盘的I/O请求通过该过滤驱动，并将过滤结果返回给过滤管理器。过滤管理器收到通行的消息后，再将U盘访问请求转发给更底层的文件系统驱动做进一步的处理，从而允许了对可信U盘的访问；相反，如果检测出ID不匹配，则在该过滤驱动中终止输入/输出请求的进一步下发，从而禁止了对非可信U盘的读写访问。如下图所示：

                                                             基于文件过滤驱动的可信U盘实现流程图

安装了可信U盘过滤驱动的计算机只能使用指定的可信U盘，其它普通U盘则无法使用，防止了该计算机上资料通过普通U盘拷贝出去而泄密，同时也减少了因使用普通U盘而感染计算机病毒的风险。