CN111753340B - 一种usb接口信息安全防控方法及系统 - Google Patents
一种usb接口信息安全防控方法及系统 Download PDFInfo
- Publication number
- CN111753340B CN111753340B CN202010420275.6A CN202010420275A CN111753340B CN 111753340 B CN111753340 B CN 111753340B CN 202010420275 A CN202010420275 A CN 202010420275A CN 111753340 B CN111753340 B CN 111753340B
- Authority
- CN
- China
- Prior art keywords
- control module
- authority
- information
- usb
- prevention
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种USB接口信息安全防控方法及系统,包括外接USB设备连入安全管控模块,并由所述安全管控模块发送连入指令至管理机;所述管理机接收所述连入指令,并判断所述安全管控模块是否启用,并将权限指令发送至所述安全管控模块;所述安全管控模块根据所述权限指令控制内部开关的通断,并将所述内部开关的通断信息发送至所述管理机,对监控系统主机所有USB接口的访问使用权限从物理上进行管控,有效防控信息安全问题,保障电力监控的安全稳定运行。
Description
技术领域
本发明涉及电子信息安全的技术领域,尤其涉及一种USB接口信息安全防控方法及系统。
背景技术
随着计算机及各种电子设备在日常生活工作中的应用越来越广泛,USB接口的使用也越来越频繁,鼠标、键盘、U盘、移动硬盘、外置声卡、充电宝、电子烟等都使用了USB接口,且即插即用。据统计,在所有物理接口中除了网络适配器接口外,USB接口传播恶意病毒程序的效率是最高的,USB协议也可被攻击者利用进行攻击,所以USB接口成为很多恶意程序传播和网络安全攻击的载体。
通过USB攻击的类型主要分为以下几类:USB钓鱼、HID伪装、USB的0-day漏洞利用和基于USB的电力攻击。USB钓鱼一般通过U盘、移动硬盘、充电宝、鼠标等便携设备通过USB接口攻击或感染目标计算机和电子设备。HID伪装是USB设备上的攻击程序通过USB接口把自己伪装成HID设备(比如键盘、鼠标),从而达到控制目标监控系统主机的目的。USB的0-day漏洞,只要监控系统主机插上带有0-day漏洞攻击程序的USB设备就立刻被攻击程序所控制。基于USB的电力攻击USB Killer,当USB插入设备后会触发电力超载,对设备造成永久性破坏。这些攻击都具有很强的隐蔽性和传播性,危害非常大,国际上有很多诸如2010年伊朗核电站通过USB接口受到攻击的案例。
目前采用的USB防护措施有:(1)禁用USB接口。一般会利用物理去除或堵塞的方式禁用USB接口,在BIOS中设置禁用BIOS接口。这些做法非常有效,但是因噎废食造成USB接口全部不能使用,也常常给工作带来不方便。(2)利用各类防火墙、监控软件进行USB接口安全管控。这类软件的管控方式对USB钓鱼攻击有防范作用,对USB设备的HID伪装攻击和0-day漏洞攻击没有办法防范。监控系统作为电力系统的“眼睛”,承担着极其重要角色,对监控系统主机USB接口的信息安全防控至关重要,而上述两种防护措施都无法在满足工作需求的条件下有效避免信息安全隐患,故此,提出一种新型手段来防控USB接口的信息安全具有重要意义。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有USB防护措施存在的问题,提出了本发明。
因此,本发明解决的技术问题是:解决现有USB防护措施无法在满足工作需求的条件下有效避免信息安全隐患的问题。
为解决上述技术问题,本发明提供如下技术方案:一种USB接口信息安全防控方法,包括外接USB设备连入安全管控模块,并由所述安全管控模块发送连入指令至管理机;所述管理机接收所述连入指令,并判断所述安全管控模块是否启用,并将权限指令发送至所述安全管控模块;所述安全管控模块根据所述权限指令控制内部开关的通断,并将所述内部开关的通断信息发送至所述管理机。
作为本发明所述的USB接口信息安全防控方法的一种优选方案,其中:在所述安全管控模块上未连入所述外接USB设备时,所述安全管控模块内部配置的物理开关默认处于断开状态。
作为本发明所述的USB接口信息安全防控方法的一种优选方案,其中:在所述安全管控模块上未连入所述外接USB设备时,所述安全管控模块每隔一定时间间隔给所述管理机发送心跳报文信息。
作为本发明所述的USB接口信息安全防控方法的一种优选方案,其中:所述安全管控模块每隔3s给所述管理机发送心跳报文信息。
作为本发明所述的USB接口信息安全防控方法的一种优选方案,其中:判断所述安全管控模块是否启用,并将所述权限指令发送至所述安全管控模块包括,所述管理机依据第一权限信息检测所述外接USB设备的插入是否符合要求,若符合所述第一权限信息的要求,则通过权限,并开放所用资料权限;若不符合所述第一权限信息的要求,则进行第二权限信息检测,若符合所述第二权限信息的要求,则通过权限,并开放除核心资料外的权限;若不符合所述第二权限信息的要求,则进行人为控制所述权限指令。
作为本发明所述的USB接口信息安全防控方法的一种优选方案,其中:所述管理机通过有线或无线的方式对所述安全管控模块的控制器进行发送或接收信息。
作为本发明所述的USB接口信息安全防控方法的一种优选方案,其中:所述安全管控模块的电源从安装在主机的USB接口的电源VBUS取电。
为解决上述技术问题,本发明还提供如下技术方案:一种USB接口信息安全防控系统,包括安全管控模块,与管理机无线连接进行通信,并按照管理机的控制指令切断或接通USB接口的电源线;管理机,用于对所有所述安全管控模块进行管理,根据用户需求控制各所述USB接口的通断,提供权限管理、界面展示、实时告警和查询历史的功能,并在必要时发送通知短信给用户。
作为本发明所述的USB接口信息安全防控系统的一种优选方案,其中:所述管理机包括通信单元,用于通信,由无线通信MCU和USB转串口芯片组成;通信管理单元,用于运行操作系统,提供一个软件后台,实现权限管理、历史记录的功能,其上配置的外接显示器能够在本地查看告警及历史的功能。
作为本发明所述的USB接口信息安全防控系统的一种优选方案,其中:所述安全管控模块为无线电子锁。
本发明的有益效果:本发明提出一种USB接口信息安全防控方法,对监控系统主机所有USB接口的访问使用权限从物理上进行管控,有效防控信息安全问题,保障电力监控的安全稳定运行。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明提供的USB接口信息安全防控方法的方法流程图;
图2为本发明提供的USB接口信息安全防控系统的模块图;
图3为本发明提供的安全管控模块的工作流程图;
图4为本发明提供的USB接口信息安全防控系统的系统框图;
图5为本发明提供的管理机的结构框图;
图6为本发明提供的通用管理单元的产品图;
图7为本发明提供的通信单元的产品图;
图8为本发明提供的安全管控模块的原理框图;
图9为本发明提供的无线电子锁的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
目前采用的USB防护措施包括禁用USB接口和利用各类防火墙、监控软件进行USB接口安全管控,但这两种防护措施都无法在满足工作需求的条件下有效避免信息安全隐患。
故此,请参阅图1、图3、图4和图8,为本发明提出一种USB接口信息安全防控方法:一种USB接口信息安全防控方法,包括:
外接USB设备连入安全管控模块100,并由安全管控模块100发送连入指令至管理机200;
管理机200接收连入指令,并判断安全管控模块100是否启用,并将权限指令发送至安全管控模块100;
安全管控模块100根据权限指令控制内部开关的通断,并将内部开关的通断信息发送至管理机200。
不难理解的是:本发明提出的USB接口信息安全防控方法涉及到安全管控模块100和管理机200两个部分。安全管控模块100安装在监控系统主机的USB接口上,在使用USB设备的时候将USB设备插在安全管控模块100的USB接口上,安全管控模块100的作用是在监控系统主机USB接口与外接USB设备之间建立一个可控的物理隔离开关:无线电子锁,该无线电子锁可以与管理机200进行无线通信,并按照管理机200控制指令切断或接通USB接口的电源线。管理机200的主要作用是对所有安全管控模块100的无线电子锁进行管理,根据用户需求控制各USB接口的通断,提供权限管理、界面展示、实时告警(如模块被插拔,时限到期)、查询历史等功能,并在必要时发送通知短信给用户。这样就可以把监控系统主机的所有USB接口管控起来,外接USB设备必须按照管理机200授权插到指定的安全管控模块100上才能使用,从而达到对主机和USB接口的安全管控。
需要说明的是:
①在安全管控模块100上未连入外接USB设备时,安全管控模块100内部配置的物理开关默认处于断开状态,将USB公口与USB母口的连接断开,保证在没有得到许可前有USB设备接入时也无法与监控系统主机进行连接,提高了安全性;
②在安全管控模块100没有接到管理机200物理开关闭合的命令前,自身物理开关保持处于断开状态,此时外接USB设备不能与监控系统主机进行通信,由安全管控模块100每隔一定时间间隔给管理机200发送心跳报文信息,表明自身处于正常工作状态,没有被破坏或拔掉。
其中,安全管控模块100每隔3s给管理机200发送心跳报文信息。
心跳报文用于监视机器网络存储器的运行状态。心跳报文一次发送字符串信息表示网络存储器的运行状态,以UDP广播或单播方式发送。心跳报文的发送方式和发送间间隔可由用户在网络存储器的控制界面上设定。
注意是考虑尽量减少设备信息发送的频次,周期性发送可以避免持续性的发送监频信号来判断设备在线情况,比如有没有被拔出或损坏。同时考虑插拔一次USB设备进行数据读写的最小时间,最终定的是3秒一帧为最佳。
进一步的,判断安全管控模块100是否启用,并将权限指令发送至安全管控模块100包括:
管理机200依据第一权限信息检测外接USB设备的插入是否符合要求,若符合第一权限信息的要求,则通过权限,并开放所用资料权限;
若不符合第一权限信息的要求,则进行第二权限信息检测,若符合第二权限信息的要求,则通过权限,并开放除核心资料外的权限;
若不符合第二权限信息的要求,则进行人为控制权限指令。
具体的,第一权限信息为外接USB设备是否是授权的特定设备。记录能够访问所有资料的特定设备,当特定设备插入安全管控模块100中时,安全管控模块100中配置的记忆识别单元识别出所插入的设备具有所有权限,直接通过权限验证,允许访问,并开放所有资料权限。
若不符合第一权限信息的要求,即所插入的USB设备不是记录的特定设备,此时进行第二权限信息检测,其中,第二权限信息为外接设备所插入的时间,设定一个具体的访问时间,访问时间可以根据实际情况进行设置,比如:使用权限者一般均是在周六一天进行资料的访问,将周六设定为插入外接设备的访问时间。若符合第二权限信息的要求,则通过权限,考虑到访问时间作为权限标准的检测低于第一权限信息,且一般也是使用者才知道具体的访问时间,将资料的权限开放至除核心资料外。
若不符合第二权限信息的要求,则进行人为控制权限指令。此时,需要人为控制管理机200进行是否授权的操作,此时,系统会自动记录授权过程的具体信息。
具体的,权限访问控制是根据不同检测标准来确定资料的开发权限,可以提供更加安全、灵活以及动态访问授权机制,从而提高授权机制的安全性与可靠性。在现有中通过建立信任度来控制网络系统的访问权限,但是信任度基本都能够依靠平时访问操作的累计来逐步累积,也就是任何用户等级(由于是低等级)的权限都能够通过正常的操作都能积累信任度,从而获得更高的访问权限,并没有考虑到不同权限对于关键资料的开放度。本发明针对上述问题作出改进。首先建立不同权限信息要求与访问权限之间的映射关系:“权限信息要求→权限子集”,权限信息要求为权限子集的所有者,其次权限管理根据通过权限检测要求的不同为其分配对应的等级,这建立了主体与角色之间的映射关系:“要求→等级”,其中要求是等级的使用者,故映射关系实际为“要求→等级→权限子集”。
不同权限信息检测等级映射分配具体如下:
定义不同权限信息检测要求集合表示U={u1、u2}、定义权限等级集合R={r1、r2}。具有分配过程描述如下:
设置粗粒度二级菜单权限集合mP={mP1、mP2}、细粒度控件权限集合mp={cP1、cP2}、工作流程权限结合wfP={wfP1、wfP2};
定义等级Rj,有效周期T,任务时间t;
U->Rj,即将不同权限信息抽象成某一等级,mP->Rj,将粗粒度二级菜单权限分配给等级Rj,形成Rj的权限集合RjmP={RjmP1、RjmPi};RjcP=cP∩wfP且cP∈mP,t∈T,最终得出等级对应的操作全权限集映射关系如下:
RjmP&cP=RjmP∪RjcP。
权限设定的映射关系:
故gn(t)在不断变化中具有一定的上限,属于当前时刻的界限定值。
定义权限值计算公式:
T=[αT1+(1-α)T2]σ(t)ΔR
式中α∈[0,1]为历史因子,用来表示不同权限信息历史信任度在当前权限值中的作用大小,ΔR为权限等级变化,α计算公式如下:
式中ρ∈[0,1]为衰减速率,μ∈[0,1]能够依据时间段进行调节,时间段越大即会话时间越长,μ越小表示的整体衰减越慢。
需要说明的是,如下表1所示,为不同的权限标准对应的不同资料的开放程度说明表:
表1:不同的权限标准对应的不同资料的开放程度表
其中,在判断安全管控模块100是否启用的过程中,管理机200先通过设定好的运行程序,根据权限检测信息的深入程度进行安全管控模块100是否启用的判断,等到权限信息标准无法进行相对准确的判断时,采用人为进行权限的控制,相对智能的设置使得装置能够简化人工的实时监看。
如下表2为采用本发明与现有技术中利用各类防火墙、监控软件(例如采用瑞星防火墙24.00)进行USB接口安全管控的各性能对比表:
表2:性能对比表
模拟两台性能一致的计算机,上面的资料分为核心资料、相对保密资料、普通资料。将计算机分别安装现有技术和本发明,并在一个月内采用不同的时间、不同的外接USB以及不同的侵占技术进行破坏20次。由上表看出,采用现有技术能够100%连入计算机中,采用本发明能够连入计算机7次,其中,有3次是由于采用了授权的特定设备,另外4次则是选用在具体的时间点进行访问,同样可以连入计算机,不过得出的资料公开程度不一致。
且本发明先通过管理机200进行权限信息的检测,然后依据不同的检测结果将权限指令发送至安全管控模块100,由安全管控模块100中的控制器进行物理的通断,从根源上切除了有害程序通过USB接口进行传播的路径,保障了监控系统的安全稳定运行。
较佳的,管理机200通过有线或无线的方式对安全管控模块100的控制器进行发送或接收信息。优选使用无线的方式进行控制,使得装置简便有效,能够适用于更多的环境和场合。
不难理解的是:请参阅图8,安全管控模块100的电源从安装在主机的USB接口的电源VBUS取电,解决了电源来源的问题,整个系统形成一个整体,使得功能得以实现。
本发明在监控系统主机USB接口与外接USB设备之间建立一个可控的物理隔离开关,通过管理机200控制安全管控模块100是否启用,安全管控模块100在没有启用的时候,外接的USB设备与监控系统主机之间没有物理连接而无法使用;只有得到管理机200的授权才能启用安全管控模块100,这时外接的USB设备才能与监控系统主机建立物理连接进行使用。在需要管控的监控系统主机USB接口上均安装安全管控模块100,在USB设备接入时必须得到管理机200的授权才能和监控系统主机建立物理连接而使用,这样就可以把监控系统的所有USB接口管控起来,外接USB设备必须按照授权插到指定的安全管控模块100上才能使用,从而达到对计算机或USB接口的安全管控。
实施例2
请参阅图2和图5~9,为本发明提供的USB接口信息安全防控系统的第一个实施例:一种USB接口信息安全防控系统,包括:
安全管控模块100,与管理机200无线连接进行通信,并按照管理机200的控制指令切断或接通USB接口的电源线;
管理机200,用于对所有安全管控模块100进行管理,根据用户需求控制各USB接口的通断,提供权限管理、界面展示、实时告警(模块插拔、时限到期)和查询历史的功能,并在必要时发送通知短信给用户。
要保证USB接口完全彻底的安全防护和管控,必须使用底层硬件的方式进行安全防护和管控,仅采用软件方式进行安全防护都会存在软件漏洞而造成安全防护失败,本发明就采用硬件方式来实现USB接口的安全防护管控,参阅图8,为安全管控模块100的原理框图。安全管控模块100的电源从安装在监控系统主机的USB接口的电源VBUS取电。管理机200通过有线或无线的方式对安全管控模块100的控制器进行发送或接收信息,安全管控模块100的控制器接收管理机200的指令控制内部的开关器件控制USB公口和USB母口之间的物理连接,而且实现对外接USB设备接入的安全管控。
进一步的,管理机200包括:
通信单元,用于通信,由无线通信MCU和USB转串口芯片组成;
通信管理单元,用于运行操作系统,提供一个软件后台,实现权限管理、历史记录的功能,其上配置的外接显示器能够在本地查看告警及历史的功能。
具体的,参阅图5,为管理机200的结构框图。由通信单元和通用管理单元两部分组成。参阅图6,通用管理单元外购主流厂商机架式1U或2U管理单元(如中科腾越TGW101x等),运行操作系统,提供一个软件后台,实现了权限管理、历史记录等功能,可外接显示器可以在本地查看告警及历史。参阅图7,通信单元由无线通信MCU和USB转串口芯片组成。其中,USB转串口芯片采用常用方案(如PL2303等),MCU同样采用具有无线收发器的芯片,MCU之间通过串口通信,简化软件复杂度。且管理机200外接USB无线通信结构,外接吸盘天线置于机柜柜顶。
较佳的,安全管控模块100为无线电子锁。
无线电子锁的功能主要有两个:与集中管理机进行无线通信、按照控制指令切断或接通USB接口的电源线,结构框图如图9所示。
无线电子锁两头分别为一公一母,本身不参与也不影响原本的通信,仅控制电源线的通断,本身也从主机USB母座取电,内置带无线通信功能的MCU,并可通过板载天线与集中管理机作无线通信交互。
安全管控模块100包括:安全管控微处理器(CPU)系统、双掷继电器、数据通信差分检测电路、无线通信模块等几部分。其中安全管控CPU可直接与插入的USB设备通信,用于预置权限检查,此通信过程主要读出USB设备ID及存储在其中的授权秘钥,若校验通过,则操作双掷继电器,连接USB通信线到被管控USB接口,同时差分检测电路用于检测USB口的连接状态,当USB设备被拔出时,通信线上将无数据通信,差分硬件电路的结果会通知安全管控CPU,安全管控CPU将操作继电器复位到授权状态,以便等待下次USB设备的插入。
安全管控模块100的作用是在监控系统主机USB接口与外接USB设备之间建立一个可控的物理隔离开关,管理机200的主要作用是对安全管控模块100进行控制,并接收反馈信息,可同时管理多个安全管控模块100。安全管控模块100安装在监控系统主机的USB接口上,在使用USB设备的时候将USB设备插在安全管控模块100的USB接口上。通过管理机200控制安全管控模块100是否启用,安全管控模块100在没有启用的时候,外接的USB设备与监控系统主机之间没有物理连接而无法使用;只有得到管理机200的授权才能启用安全管控模块100,这时外接的USB设备才能与监控系统主机建立物理连接进行使用。在需要管控的监控系统主机USB接口上均安装安全管控模块100,在USB设备接入时必须得到管理机200的授权才能和监控系统主机建立物理连接而使用,这样就可以把监控系统的所有USB接口管控起来,外接USB设备必须按照授权插到指定的安全管控模块100上才能使用,从而达到对计算机或USB接口的安全管控。
应当认识到,本发明的实施例可以由计算机硬件、硬件和软件的组合、或者通过存储在非暂时性计算机可读存储器中的计算机指令来实现或实施。所述方法可以使用标准编程技术-包括配置有计算机程序的非暂时性计算机可读存储介质在计算机程序中实现,其中如此配置的存储介质使得计算机以特定和预定义的方式操作——根据在具体实施例中描述的方法和附图。每个程序可以以高级过程或面向对象的编程语言来实现以与计算机系统通信。然而,若需要,该程序可以以汇编或机器语言实现。在任何情况下,该语言可以是编译或解释的语言。此外,为此目的该程序能够在编程的专用集成电路上运行。
此外,可按任何合适的顺序来执行本文描述的过程的操作,除非本文另外指示或以其他方式明显地与上下文矛盾。本文描述的过程(或变型和/或其组合)可在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可作为共同地在一个或多个处理器上执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、由硬件或其组合来实现。所述计算机程序包括可由一个或多个处理器执行的多个指令。
进一步,所述方法可以在可操作地连接至合适的任何类型的计算平台中实现,包括但不限于个人电脑、迷你计算机、主框架、工作站、网络或分布式计算环境、单独的或集成的计算机平台、或者与带电粒子工具或其它成像装置通信等等。本发明的各方面可以以存储在非暂时性存储介质或设备上的机器可读代码来实现,无论是可移动的还是集成至计算平台,如硬盘、光学读取和/或写入存储介质、RAM、ROM等,使得其可由可编程计算机读取,当存储介质或设备由计算机读取时可用于配置和操作计算机以执行在此所描述的过程。此外,机器可读代码,或其部分可以通过有线或无线网络传输。当此类媒体包括结合微处理器或其他数据处理器实现上文所述步骤的指令或程序时,本文所述的发明包括这些和其他不同类型的非暂时性计算机可读存储介质。当根据本发明所述的方法和技术编程时,本发明还包括计算机本身。计算机程序能够应用于输入数据以执行本文所述的功能,从而转换输入数据以生成存储至非易失性存储器的输出数据。输出信息还可以应用于一个或多个输出设备如显示器。在本发明优选的实施例中,转换的数据表示物理和有形的对象,包括显示器上产生的物理和有形对象的特定视觉描绘。
如在本申请所使用的,术语“组件”、“模块”、“系统”等等旨在指代计算机相关实体,该计算机相关实体可以是硬件、固件、硬件和软件的结合、软件或者运行中的软件。例如,组件可以是,但不限于是:在处理器上运行的处理、处理器、对象、可执行文件、执行中的线程、程序和/或计算机。作为示例,在计算设备上运行的应用和该计算设备都可以是组件。一个或多个组件可以存在于执行中的过程和/或线程中,并且组件可以位于一个计算机中以及/或者分布在两个或更多个计算机之间。此外,这些组件能够从在其上具有各种数据结构的各种计算机可读介质中执行。这些组件可以通过诸如根据具有一个或多个数据分组(例如,来自一个组件的数据,该组件与本地系统、分布式系统中的另一个组件进行交互和/或以信号的方式通过诸如互联网之类的网络与其它系统进行交互)的信号,以本地和/或远程过程的方式进行通信。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
Claims (2)
1.一种USB接口信息安全防控方法,其特征在于:包括,
外接USB设备连入安全防控模块(100),并由所述安全防控模块(100)发送连入指令至管理机(200);
所述管理机(200)接收所述连入指令,并判断所述安全防控模块(100)是否启用,并将权限指令发送至所述安全防控模块(100);
所述安全防控模块(100)根据所述权限指令控制内部开关的通断,并将所述内部开关的通断信息发送至所述管理机(200);
在所述安全防控模块(100)上未连入所述外接USB设备时,所述安全防控模块(100)内部配置的物理开关默认处于断开状态;
在所述安全防控模块(100)上未连入所述外接USB设备时,所述安全防控模块(100)每隔一定时间间隔给所述管理机(200)发送心跳报文信息;
所述安全防控模块(100)每隔3s给所述管理机(200)发送心跳报文信息;
判断所述安全防控模块(100)是否启用,并将所述权限指令发送至所述安全防控模块(100)包括,所述管理机(200)依据第一权限信息检测所述外接USB设备的插入是否符合要求;
建立不同权限信息要求与访问权限之间的映射关系:“权限信息要求→权限子集”,权限信息要求为权限子集的所有者,其次权限管理根据通过权限检测要求的不同为其分配对应的等级,这建立了主体与角色之间的映射关系:“要求→等级”,其中要求是等级的使用者,故映射关系实际为“要求→等级→权限子集”;
不同权限信息检测等级映射分配具体如下:
定义不同权限信息检测要求集合表示U={u1、u2}、定义权限等级集合R={r1、r2},具有分配过程描述如下:
设置粗粒度二级菜单权限集合mP={mP1、mP2}、细粒度控件权限集合cP={cP1、cP2}、工作流程权限结合wfP={wfP1、wfP2};
定义等级Rj,有效周期T,任务时间t;
U->Rj,即将不同权限信息抽象成某一等级,mP->Rj,将粗粒度二级菜单权限分配给等级Rj,形成Rj的权限集合RjmP={RjmP1、RjmP2};RjcP=cP∩wfP且cP∈mP,t∈T,最终得出等级对应的操作全权限集映射关系如下:
RjmP&cP=RjmP∪RjcP
定义权限值计算公式:
T=[αT1+(1-α)T2]σ(t)ΔR
式中α∈[0,1]为历史因子,用来表示不同权限信息历史信任度在当前权限值中的作用大小,ΔR为权限等级变化,α计算公式如下:
式中π∈[0,1]为衰减速率,μ∈[0,1]能够依据时间段进行调节,时间段越大即会话时间越长,μ越小表示的整体衰减越慢;
若符合所述第一权限信息的要求,则通过权限,并开放所用资料权限;
若不符合所述第一权限信息的要求,则进行第二权限信息检测,若符合所述第二权限信息的要求,则通过权限,并开放除核心资料外的权限;
若不符合所述第二权限信息的要求,则进行人为控制所述权限指令;
所述管理机(200)通过有线或无线的方式对所述安全防控模块(100)的控制器进行发送或接收信息;
所述安全防控模块(100)的电源从安装在主机的USB接口的电源VBUS取电。
2.一种执行权利要求1的USB接口信息安全防控系统,其特征在于:包括,
安全防控模块(100),与管理机(200)无线连接进行通信,并按照管理机(200)的控制指令切断或接通USB接口的电源线;
管理机(200),用于对所有所述安全防控模块(100)进行管理,根据用户需求控制各所述USB接口的通断,提供权限管理、界面展示、实时告警和查询历史的功能,并发送通知短信给用户;
所述管理机(200)包括,
通信单元,用于通信,由无线通信MCU和USB转串口芯片组成;
通信管理单元,用于运行操作系统,提供一个软件后台,实现权限管理、历史记录的功能,其上配置的外接显示器能够在本地查看告警及历史的功能;
所述安全防控模块(100)为无线电子锁。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010420275.6A CN111753340B (zh) | 2020-05-18 | 2020-05-18 | 一种usb接口信息安全防控方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010420275.6A CN111753340B (zh) | 2020-05-18 | 2020-05-18 | 一种usb接口信息安全防控方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111753340A CN111753340A (zh) | 2020-10-09 |
| CN111753340B true CN111753340B (zh) | 2023-07-18 |
Family
ID=72673287
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010420275.6A Active CN111753340B (zh) | 2020-05-18 | 2020-05-18 | 一种usb接口信息安全防控方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111753340B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113392435A (zh) * | 2021-05-24 | 2021-09-14 | 国网湖北省电力有限公司电力科学研究院 | 一种智能变电站usb接口安全管控系统及方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102968599A (zh) * | 2012-10-25 | 2013-03-13 | 北京邮电大学 | 基于资源发布者自定义的访问控制系统及方法 |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN104717206A (zh) * | 2015-02-04 | 2015-06-17 | 中国科学院信息工程研究所 | 一种物联网资源访问权限控制方法及系统 |
| CN105045656A (zh) * | 2015-06-30 | 2015-11-11 | 深圳清华大学研究院 | 基于虚拟容器的大数据存储与管理方法 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7284271B2 (en) * | 2001-03-14 | 2007-10-16 | Microsoft Corporation | Authorizing a requesting entity to operate upon data structures |
| US20050132054A1 (en) * | 2003-12-10 | 2005-06-16 | International Business Machines Corporation | Fine-grained authorization by traversing generational relationships |
| CN100454278C (zh) * | 2006-01-19 | 2009-01-21 | 联想(北京)有限公司 | 计算机系统及其i/o端口访问控制方法 |
| US8862803B2 (en) * | 2011-05-31 | 2014-10-14 | Architecture Technology Corporation | Mediating communciation of a univeral serial bus device |
| US9081911B2 (en) * | 2011-05-31 | 2015-07-14 | Architecture Technology Corporation | Mediating communication of a universal serial bus device |
| CN202870836U (zh) * | 2012-11-05 | 2013-04-10 | 包头市万佳信息工程有限公司 | 涉密计算机pci信息安全防护卡及系统 |
| CN103198037B (zh) * | 2013-04-22 | 2015-06-24 | 广东电网公司电力科学研究院 | Io设备可信管控方法及其系统 |
| US9916475B2 (en) * | 2014-08-11 | 2018-03-13 | North Carolina State University | Programmable interface for extending security of application-based operating system |
| CN105160238A (zh) * | 2015-10-20 | 2015-12-16 | 国网江西省电力公司南昌供电分公司 | 一种可阻止未经安全认证的u盘连接计算机的盒子 |
| CN107171855A (zh) * | 2017-06-19 | 2017-09-15 | 淄博掌游网络科技有限公司 | 一种信息安全管控系统及信息安全管控方法 |
| CN107419964A (zh) * | 2017-07-13 | 2017-12-01 | 蒋雪娇 | 一种usb锁 |
| CN107547755B (zh) * | 2017-08-29 | 2020-08-25 | 托普朗宁(北京)教育科技有限公司 | Usb接口保护方法、移动终端及计算机可读存储介质 |
| CN108537072A (zh) * | 2017-12-18 | 2018-09-14 | 北京航天控制仪器研究所 | 一种基于usb接口的安全防控系统 |
| CN109299612A (zh) * | 2018-08-28 | 2019-02-01 | 视联动力信息技术股份有限公司 | 一种热插拔设备的控制方法和装置 |
| CN109522760B (zh) * | 2018-10-29 | 2020-08-14 | 北京博衍思创信息科技有限公司 | 一种基于硬件控制逻辑的数据转发控制方法及系统 |
| CN209785003U (zh) * | 2019-06-04 | 2019-12-13 | 山西大学商务学院 | 计算机usb接口权限控制电路 |
-
2020
- 2020-05-18 CN CN202010420275.6A patent/CN111753340B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102968599A (zh) * | 2012-10-25 | 2013-03-13 | 北京邮电大学 | 基于资源发布者自定义的访问控制系统及方法 |
| CN103078859A (zh) * | 2012-12-31 | 2013-05-01 | 普天新能源有限责任公司 | 业务系统权限管理方法、设备及系统 |
| CN104717206A (zh) * | 2015-02-04 | 2015-06-17 | 中国科学院信息工程研究所 | 一种物联网资源访问权限控制方法及系统 |
| CN105045656A (zh) * | 2015-06-30 | 2015-11-11 | 深圳清华大学研究院 | 基于虚拟容器的大数据存储与管理方法 |
Non-Patent Citations (2)
| Title |
|---|
| 基于RBAC通用权限控制系统的设计与实现;唐诠杰;;金融科技时代(第05期);52-55 * |
| 基于信任管理的移动终端安全权限设置推荐系统;程艳晓;闫峥;王普;;中国科技论文(第02期);73-78 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111753340A (zh) | 2020-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2015055141A1 (zh) | 终端设备的调试端口控制方法和装置 | |
| CN110011848B (zh) | 一种移动运维审计系统 | |
| CN111597520B (zh) | 一种计算机usb接口信息安全防控方法及系统 | |
| JP2013516676A (ja) | データ保護装置 | |
| CN109086634A (zh) | 一种bmc芯片管理方法、系统及bmc芯片和存储介质 | |
| CN103532978A (zh) | 内外网安全接入模式 | |
| CN105512524A (zh) | 一种控制终端设备上的访问权限的方法及装置 | |
| CN103546478A (zh) | 内外网安全接入方法及系统 | |
| CN104680055A (zh) | 一种u盘接入工业控制系统网络后接受管理的控制方法 | |
| CN111753340B (zh) | 一种usb接口信息安全防控方法及系统 | |
| CN111597544B (zh) | 一种应用于usb接口的中介式物理隔离方法及系统 | |
| CN203618018U (zh) | 内外网安全接入终端 | |
| JP2011039720A (ja) | ログ監視プログラム、ログ監視システム | |
| CN111212041B (zh) | 一种移动存储介质违规外联报警系统及方法 | |
| WO2024045909A1 (zh) | 可内置独立数据的存储设备 | |
| CN103824014A (zh) | 一种局域网内的usb端口设备的隔离认证及监控方法 | |
| JP2023550960A (ja) | ランサムウェア軽減システム及びランサムウェア攻撃を軽減する方法 | |
| US20080191872A1 (en) | Method and apparatus for securing an electronic device | |
| WO2023098408A1 (zh) | 断电监控装置、方法及外接式防护设备 | |
| CN1243312C (zh) | 嵌入式安全模块 | |
| JP3756880B2 (ja) | 電子機器およびデータ処理方法 | |
| CN105991524A (zh) | 家庭信息安全系统 | |
| CN113360877B (zh) | 一种基于ram的安全移动存储介质的设计方法 | |
| CN111859473A (zh) | 基于空间检测的外接式终端防护设备及防护系统 | |
| CN113973193A (zh) | 安全质量管控方法、电子设备及可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |