CN101534313B - 实现电子设备连接拓扑安全控制的方法 - Google Patents
实现电子设备连接拓扑安全控制的方法 Download PDFInfo
- Publication number
- CN101534313B CN101534313B CN200910302028XA CN200910302028A CN101534313B CN 101534313 B CN101534313 B CN 101534313B CN 200910302028X A CN200910302028X A CN 200910302028XA CN 200910302028 A CN200910302028 A CN 200910302028A CN 101534313 B CN101534313 B CN 101534313B
- Authority
- CN
- China
- Prior art keywords
- connection device
- plies
- downstream
- flag bit
- unit module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Selective Calling Equipment (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及信息安全控制技术,尤其涉及一种实现电子设备连接拓扑安全控制的方法。本发明公开了一种实现电子设备连接拓扑安全控制的方法,以满足更为有效的连接拓扑控制的要求,同时降低数字接口芯片的规模和成本。其技术方案可概括为:在电子设备的主芯片中增加一个管理单元模块,由它负责完成对设备下游所有发送接口链路的信息收集及对本地存储的收集信息变量或状态标志位进行更新,接着对本地收集信息变量和状态标志位进行安全检查,若安全检查通过,则继续进行其它接口链路信息收集,否则禁止通过发送接口向下游传输数字内容。本发明降低了接口芯片的设计成本,同时能够实现更有效的连接拓扑安全控制,适用于电子设备之间进行连接拓扑控制。
Description
技术领域
本发明涉及信息安全控制技术,尤其涉及一种实现电子设备连接拓扑安全控制的方法。
背景技术
数字内容在数字设备间传输时可能通过数字接口泄漏出去,为了防止数字内容泄漏,既要对数字内容在数字接口间传输过程中进行认证和加密保护,同时也要对接收数字内容的设备连接拓扑规模和允许接收该数字内容的设备类型进行控制,保证数字内容在允许的系统范围内传输。
在终端数字设备连接网络中,数字内容可以从最顶端发送设备的多个发送接口同时向下游设备传输,如果下游连接的接收设备还同时具有转发功能,则该接收设备也可以将数字内容通过它的发送接口继续向下游传送,如此可层层向下传输。在通常的数字内容安全传输体系中,根据数字内容的安全传输要求,只允许数字内容在允许的系统范围内传输,包括允许接收设备的最大数量、允许接收设备的最大级联层数、允许接收设备的功能类型等,这就需要由最顶层发送设备或中间发送设备对下游所有激活的连接设备信息进行收集,并根据收集到的信息对连接拓扑进行控制,决定是否继续进行数字内容传输。
现有技术中也有提供对电子设备连接拓扑控制方法,但其所有功能均在数字接口芯片中实现,由于接口芯片本身的存储空间及计算能力有限,使得发送接口只能对下游连接设备进行简单的拓扑控制,无法完成安全有效的连接拓扑控制,一般只能对连接设备的连接信息进行收集控制,如果接口芯片要实现安全有效的拓扑控制必然要大大增加芯片的设计规模和成本。
发明内容
本发明所要解决的技术问题是:提供一种实现电子设备连接拓扑安全控制的方法,以满足数字内容在电子设备间传输时对设备连接拓扑安全控制的要求,同时有效降低数字接口芯片的规模和成本。
本发明解决上述技术问题所采用的技术方案是:实现电子设备连接拓扑安全控制的方法,包括以下步骤:
a.在发送设备和具有转发功能的接收设备的主芯片中增加管理单元模块,所述管理单元模块中存储有三个信息收集变量:连接设备数量、连接设备层数及连接设备能力综合字段,还存储有四个设备状态标志位:设备信息收集完成标志位、连接设备数量超出标志位、连接设备层数超出标志位及存在禁止设备标志位;所述管理单元模块针对每个下游发送接口链路分别定义了接口信息收集完成标志位;
b.初始化管理单元模块中的所有信息收集变量及设备状态标志位;
c.发送设备的管理单元模块检查各个处于激活状态的下游发送接口对应的接口信息收集完成标志位,若某个接口信息收集完成标志位为0,则执行步骤d,若全部接口链路信息收集完成,则执行步骤g;
d.对该下游发送接口的链路信息进行收集,并更新信息收集变量;
e.检查发送设备的连接设备数量超出标志位、连接设备层数超出标志位及存在禁止设备标志位的值,若存在任意一个标志位的值为1,则禁止继续向下游传输数字内容,整个过程结束,若上述三个标志位的值全部为0,则执行步骤f;
f.根据系统设置的连接拓扑限制对更新后的连接设备数量、连接设备层数及连接设备能力综合字段进行安全检查,若上述三项变量检查都通过则执行步骤c,若有任意一项变量检查未通过,则禁止向下游传输数字内容,整个过程结束;
g.发送设备的管理单元模块将原存储的连接设备层数增加1,并设置设备信息收集完成标志位的值为1,整个过程结束;
所述步骤d包括以下步骤:
d1.检查下游连接设备是否具有管理单元模块,若有,则执行步骤d2,若无,则更新信息收集变量:包括更新连接设备数量及连接设备层数;其中连接设备数量=原存储的连接设备数量+1;连接设备层数取原存储的连接设备层数和1之间的较大值;发送设备的管理单元模块将本地相应的接口信息收集完成标志位设置为1,执行步骤e;
d2.检查下游连接设备的设备信息收集完成标志位的值,若为1,则执行步骤d3,若为0,则返回步骤c;
d3.检查下游连接设备的连接设备数量超出标志位、连接设备层数超出标志位及存在禁止设备标志位的值,若存在任意一个标志位的值为1,则将本地相应状态标志位的值也置1,发送设备的管理单元模块将本地相应的接口信息收集完成标志位设置为1后,执行步骤e,若上述三个状态标志位的值均为0,则由发送设备的管理单元模块发起与下游连接设备的管理单元模块之间的收集信息安全传输过程,完成后执行步骤d4;
d4.发送设备的管理单元模块更新本地存储的信息收集变量:包括更新连接设备数量、连接设备层数及连接设备能力综合字段;其中连接设备数量=原存储的连接设备数量+从下游连接设备获取的连接设备数量+1;连接设备层数取原存储的连接设备层数与从下游连接设备获取的连接设备层数之间的较大值;连接设备能力综合字段=原存储的连接设备能力综合字段位与获取到的连接设备能力综合字段,发送设备的管理单元模块将本地相应的接口信息收集完成标志位设置为1,执行步骤e。
所述步骤b中,初始化管理单元模块中的所有信息收集变量及设备状态标志位的方法是:设置连接设备层数为1,设置连接设备能力综合字段为本设备能力字段,设置连接设备数量、设备信息收集完成标志位、连接设备数量超出标志位、连接设备层数超出标志位、存在禁止设备标志位及各个接口信息收集完成标志位均为0。
所述步骤f中,根据系统设置的连接拓扑限制对更新后的连接设备数量、连接设备层数及连接设备能力综合字段进行安全检查的方法为:若连接设备数量大于或等于最大连接设备数量,则设置连接设备数量超出标志位为1,若连接设备层数大于或等于最大连接设备层数,则设置连接设备层数超出标志位为1,检查下游连接设备是否有具备特定功能的设备出现,如果该功能是禁止接入的,则设置存在禁止设备标志位为1。
本发明的有益效果是:降低接口芯片的设计成本,同时能够实现更有效的连接拓扑安全控制。
附图说明
图1为本发明的方法流程图。
具体实施方式
下面结合附图对本发明的具体实施作进一步的描述。
本发明提出的电子设备间连接拓扑安全控制的方法,在电子设备的主芯片中增加一个管理单元模块(以下简称MU模块),MU模块可以是一个软件模块,由MU模块负责完成对设备下游所有激活发送接口链路的信息收集,并在每完成一个接口链路信息收集后,使用相应的规则对本地存储的收集信息变量或状态标志位进行更新,更新完成后再根据数字内容安全传输拓扑限制对本地的收集信息变量和状态标志位进行安全控制检查,根据检查结果进行下一步操作。若安全检查通过,则继续进行其它接口链路信息收集过程,否则禁止通过发送接口继续向下游传输数字内容,并设置相应状态标志位,不再进行其它接口链路的信息收集过程。由于将对连接设备的拓扑控制改为在主芯片中实现,利用主芯片的较强计算能力及存储能力,完成更多功能的拓扑安全控制,也不需要增加额外的成本。
本发明是基于在发送设备和具有转发功能的接收设备的主芯片中增加MU模块来实现的,所述MU模块中存储有三个信息收集变量:连接设备数量、连接设备层数及连接设备能力综合字段,还存储有四个设备状态标志位:设备信息收集完成标志位、连接设备数量超出标志位、连接设备层数超出标志位及存在禁止设备标志位;MU模块针对每个下游发送接口链路分别定义了接口信息收集完成标志位。
如图1所示,本发明中所述的电子设备连接拓扑安全控制方法采取以下步骤实现:
根据图示,步骤101-105主要实现MU模块初始化、接口链路信息收集过程的启动及收尾工作;步骤201-208主要实现单个接口链路信息收集过程,也是本描述方法执行的重点;步骤301-305主要实现接口链路信息收集完成后的连接拓扑安全控制检查过程。
步骤101:MU模块初始化变量和状态位。MU模块初始化信息收集变量如下:连接设备数量LDC=0,连接设备层数LDD=1,连接设备能力综合字段LDF=本设备能力字段;初始化设备状态标志位如下:设备信息收集完成标志位LDCC=0,连接设备数量超出标志位LDCE=0,连接设备层数超出标志位LDDE=0,存在禁止设备标志位PDD=0;同时初始化所有接口信息收集完成标志位ILCC=0。
步骤102:判断本设备下游激活接口链路信息收集是否全部完成。MU模块查询本地对应的ILCC标志位的值,若全部接口链路信息收集已经全部完成,则执行步骤104,否则执行步骤103。
步骤103:选定一个ILCC=0的接口链路。MU模块依据一定的规则选择一个接口链路信息收集还没有完成的激活连接,选择完成后执行步骤201,进行接口链路信息收集过程。
步骤104:令LDD=LDD+1。若本设备所有接口链路信息收集过程完成,则MU模块将本地存储的LDD的值加1,设置完成后执行步骤105。
步骤105:设置LDCC=1,设备信息收集过程完成。
单个接口链路信息收集过程主要包括以下步骤:
步骤201:判断下游设备是否具有MU模块。MU模块执行接口链路信息收集时首先判断下游所连接设备是否具有MU模块,可以通过读取下游接口提供的设备描述字段获得,现有电子设备接口在互联过程中已经可以提供类似信息。若下游设备存在MU模块,则执行步骤202,否则执行步骤203。
步骤202:查询下游MU中LDCC标志位是否为1。若下游MU模块中设备信息收集完成标志LDCC位为1,则表示下游设备已经完成信息收集过程,执行步骤204,否则执行步骤103,继续选定下一个接口链路。
步骤203:按规则R0更新本地变量信息。若下游连接设备没有MU模块,则发送设备的MU模块按照以下规则R0更新本地变量信息:连接设备数量LDC=原来存储的连接设备数量LDC+1,连接设备层数=MAX{原来存储的连接设备层数,1},即取原存储的连接设备层数与1之间的较大值,连接设备能力综合字段LDF不变。
步骤204:查询下游MU模块中LDCE、LDDE及PDD标志位中是否有某一个或多个值为1。若这三个标志位都为0,则执行步骤205,否则执行步骤207。
步骤205:收集信息安全传输过程。若下游设备MU模块中的标志位LDCE、LDDE及PDD全为0,则执行收集信息安全传输过程,将下游设备MU模块中收集完成的LDC、LDD及LDF信息安全读取到发送设备的MU模块中。收集信息安全传输完成后执行步骤206。
步骤206:按规则R1更新本地变量信息。MU模块安全获得下游设备MU模块中存储的收集信息后,按照以下规则R1更新本地变量信息:连接设备数量LDC=原来存储的连接设备数量LDC+获取到的连接设备数量LDC′+1,连接设备层数LDD=MAX{原来存储的连接设备层数LDD,获取到的连接设备层数LDD′},连接设备能力综合字段LDF=原来存储的连接设备能力综合字段LDF位与获取到的连接设备能力综合字段LDF′。更新完成后执行步骤208。
步骤207:更新本地状态位LDCE、LDDE及PDD的值。若发送设备的MU模块查询到下游连接设备的MU模块中状态位LDCE、LDDE及PDD中有值为1,则发送设备的MU模块将本地相应的状态位也设置为1,以便将下游的错误状态指示快速向上传递,更新完成后执行步骤208。
步骤208:设置接口链路信息收集完成标志ILCC=1。发送设备的MU模块将本地相应的接口链路信息收集完成标志ILCC设置为1,表示该接口链路信息收集过程完成,设置完成后执行步骤301。
单个接口链路信息收集完成后,MU模块执行连接拓扑安全控制检查过程,该过程主要包括以下步骤:
步骤301:检查发送设备的MU模块中LDCE、LDDE及PDD标志位中是否有某一个或多个值为1。若这三个标志位都为0,则执行步骤302,否则执行步骤305。
步骤302-303:执行连接拓扑安全控制检查过程。MU模块根据系统设置的连接拓扑限制:MAX_LINKED_COUNT(最大设备连接数量)和MAX_LINKED_DEPTH(最大设备连接层数),对本地存储的LDC、LDD和LDF进行安全检查,检查的方法是:若LDC≥MAX_LINKED_COUNT,则设置LDCE=1;若LDD≥MAX_LINKED_DEPTH,则设置LDDE=1;MU模块根据LDF字段的定义(可以直接使用现有EDID等标志,也可以由芯片厂家重新定义),检查LDF相应字段的值,以此判断下游设备中是否特定功能(比如录制、编辑等)的设备出现,若该功能设备是禁止接入的,那么MU模块设置PDD=1。若该三项安全检查都顺利通过,则执行步骤102,继续进行其它发送接口链路的信息收集过程;若有任意一项安全检查没有通过,则执行步骤304。
步骤304:设置相应状态标志位的值为1。MU模块根据步骤302的检查结果,判断所有的下游发送接口是否均完成了接口链路信息收集,如果是,则管理单元模块将原存储的连接设备层数增加1,并设置设备信息收集完成标志位的值为1,设置完成后执行步骤305。
步骤305:禁止向下游继续传输数字内容。MU模块禁止通过发送接口继续向下游设备传输数字内容,完成后执行步骤105。
Claims (3)
1.实现电子设备连接拓扑安全控制的方法,其特征在于:包括以下步骤:
a.在发送设备和具有转发功能的接收设备的主芯片中增加管理单元模块,所述管理单元模块中存储有三个信息收集变量:连接设备数量、连接设备层数及连接设备能力综合字段,还存储有四个设备状态标志位:设备信息收集完成标志位、连接设备数量超出标志位、连接设备层数超出标志位及存在禁止设备标志位;所述管理单元模块针对每个下游发送接口链路分别定义了接口信息收集完成标志位;
b.初始化管理单元模块中的所有信息收集变量及设备状态标志位;
c.发送设备的管理单元模块检查各个处于激活状态的下游发送接口对应的接口信息收集完成标志位,若某个接口信息收集完成标志位为0,则执行步骤d,若全部接口链路信息收集完成,则执行步骤g;
d.对该下游发送接口的链路信息进行收集,并更新信息收集变量;
e.检查发送设备的连接设备数量超出标志位、连接设备层数超出标志位及存在禁止设备标志位的值,若存在任意一个标志位的值为1,则禁止继续向下游传输数字内容,整个过程结束,若上述三个标志位的值全部为0,则执行步骤f;
f.根据系统设置的连接拓扑限制对更新后的连接设备数量、连接设备层数及连接设备能力综合字段进行安全检查,若上述三项变量检查都通过则执行步骤c,若有任意一项变量检查未通过,则禁止向下游传输数字内容,整个过程结束;
g.发送设备的管理单元模块将原存储的连接设备层数增加1,并设置设备信息收集完成标志位的值为1,整个过程结束;
所述步骤d包括以下步骤:
d1.检查下游连接设备是否具有管理单元模块,若有,则执行步骤d2,若无,则更新信息收集变量:包括更新连接设备数量及连接设备层数;其中连接设备数量=原存储的连接设备数量+1;连接设备层数取原存储的连接设备层数和1之间的较大值;发送设备的管理单元模块将本地相应的接口信息收集完成标志位设置为1,执行步骤e;
d2.检查下游连接设备的设备信息收集完成标志位的值,若为1,则执行步骤d3,若为0,则返回步骤c;
d3.检查下游连接设备的连接设备数量超出标志位、连接设备层数超出标志位及存在禁止设备标志位的值,若存在任意一个标志位的值为1,则将本地相应状态标志位的值也置1,发送设备的管理单元模块将本地相应的接口信息收集完成标志位设置为1后,执行步骤e,若上述三个状态标志位的值均为0,则由发送设备的管理单元模块发起与下游连接设备的管理单元模块之间的收集信息安全传输过程,完成后执行步骤d4;
d4.发送设备的管理单元模块更新本地存储的信息收集变量:包括更新连接设备数量、连接设备层数及连接设备能力综合字段;其中连接设备数量=原存储的连接设备数量+从下游连接设备获取的连接设备数量+1;连接设备层数取原存储的连接设备层数与从下游连接设备获取的连接设备层数之间的较大值;连接设备能力综合字段=原存储的连接设备能力综合字段位与获取到的连接设备能力综合字段,发送设备的管理单元模块将本地相应的接口信息收集完成标志位设置为1,执行步骤e。
2.如权利要求1所述的实现电子设备连接拓扑安全控制的方法,其特征在于:所述步骤b中,初始化管理单元模块中的所有信息收集变量及设备状态标志位的方法是:设置连接设备层数为1,设置连接设备能力综合字段为本设备能力字段,设置连接设备数量、设备信息收集完成标志位、连接设备数量超出标志位、连接设备层数超出标志位、存在禁止设备标志位及各个接口信息收集完成标志位均为0。
3.如权利要求1或2所述的实现电子设备连接拓扑安全控制的方法,其特征在于:所述步骤f中,根据系统设置的连接拓扑限制对更新后的连接设备数量、连接设备层数及连接设备能力综合字段进行安全检查的方法为:若连接设备数量大于或等于最大连接设备数量,则设置连接设备数量超出标志位为1,若连接设备层数大于或等于最大连接设备层数,则设置连接设备层数超出标志位为1,检查下游连接设备是否有具备特定功能的设备出现,如果该功能是禁止接入的,则设置存在禁止设备标志位为1。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910302028XA CN101534313B (zh) | 2009-04-30 | 2009-04-30 | 实现电子设备连接拓扑安全控制的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910302028XA CN101534313B (zh) | 2009-04-30 | 2009-04-30 | 实现电子设备连接拓扑安全控制的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101534313A CN101534313A (zh) | 2009-09-16 |
| CN101534313B true CN101534313B (zh) | 2012-05-30 |
Family
ID=41104700
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910302028XA Active CN101534313B (zh) | 2009-04-30 | 2009-04-30 | 实现电子设备连接拓扑安全控制的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101534313B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101958936B (zh) * | 2010-09-21 | 2013-05-08 | 四川长虹电器股份有限公司 | 一种基于数字接口的数据传输系统及数据传输方法 |
| CN109905345B (zh) * | 2017-12-07 | 2021-02-09 | 华为技术有限公司 | 通信方法、通信装置和通信设备 |
| CN109361616B (zh) * | 2018-10-31 | 2022-05-31 | 晶晨半导体(上海)股份有限公司 | 一种提高网络性能的控制方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1866922A (zh) * | 2006-02-10 | 2006-11-22 | 华为技术有限公司 | 一种以太网中的控制系统和数据报文传输方法 |
| CN101257410A (zh) * | 2008-03-13 | 2008-09-03 | 四川长虹电器股份有限公司 | 一种数字接口自动进行信息收集的方法 |
-
2009
- 2009-04-30 CN CN200910302028XA patent/CN101534313B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1866922A (zh) * | 2006-02-10 | 2006-11-22 | 华为技术有限公司 | 一种以太网中的控制系统和数据报文传输方法 |
| CN101257410A (zh) * | 2008-03-13 | 2008-09-03 | 四川长虹电器股份有限公司 | 一种数字接口自动进行信息收集的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101534313A (zh) | 2009-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102223394B (zh) | 用于提供远程直接存储设备访问的方法、服务器 | |
| CN101977124B (zh) | 基于ZooKeeper技术的业务集群方法及系统 | |
| CN100568211C (zh) | 用可编程器件实现访问多个i2c从器件的方法及装置 | |
| CN105353989B (zh) | 存储数据访问方法及相关的控制器、设备、主机和系统 | |
| CN102938770B (zh) | 一种实现多协议消息统一接口的方法及相关装置、系统 | |
| CN102655329A (zh) | 蓄电池控制系统以及蓄电池控制方法 | |
| CN103428672A (zh) | 一种传输数据的方法和装置 | |
| CN101996128A (zh) | 硬盘状态指示灯控制系统 | |
| CN106325919A (zh) | 基于PCIE Redriver的配置系统及方法 | |
| WO2008091037A1 (en) | Realtime unification management information data conversion and monitoring apparatus and method for thereof | |
| CN101534313B (zh) | 实现电子设备连接拓扑安全控制的方法 | |
| CN100478935C (zh) | Pcie通道扩展装置、系统及其配置方法 | |
| CN107577630A (zh) | 一种扩展模块自动寻址系统 | |
| CN107222554A (zh) | 一种文件传输方法及系统 | |
| CN108920339A (zh) | 一种系统异常上报方法及装置 | |
| CN110532202A (zh) | 一种存储集群系统、数据传输方法和装置 | |
| CN110096291A (zh) | 电源管理芯片升级电路、方法及网络设备 | |
| CN100442632C (zh) | 电信电源系统中的点击式自动模块配置和电池配置 | |
| CN101227327B (zh) | 一种集中网管系统以及上载下级告警信息的方法 | |
| CN105573872A (zh) | 数据存储系统的硬盘维护方法和装置 | |
| CN102034163A (zh) | 一种对电信设备资产信息进行管理的方法和系统 | |
| CN106302061A (zh) | 一种基于FlexRay总线的通信方法、装置及系统 | |
| CN104200148B (zh) | 一种基于自主国产冗余服务器的智能卡冗余切换方法 | |
| CN101299205A (zh) | 基于表决的优先排队仲裁系统总线控制方法 | |
| CN102946574A (zh) | 光模块集成装置、无源光网络系统以及光模块共享方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |