CN102314574A - 一种基于hid设备设置主机访问权限的方法 - Google Patents
一种基于hid设备设置主机访问权限的方法 Download PDFInfo
- Publication number
- CN102314574A CN102314574A CN201110188828A CN201110188828A CN102314574A CN 102314574 A CN102314574 A CN 102314574A CN 201110188828 A CN201110188828 A CN 201110188828A CN 201110188828 A CN201110188828 A CN 201110188828A CN 102314574 A CN102314574 A CN 102314574A
- Authority
- CN
- China
- Prior art keywords
- hardware identification
- identification code
- equipment
- hid
- uid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Stored Programmes (AREA)
Abstract
本发明提供了一种基于HID设备设置主机访问权限的方法,将硬件识别码写入HID设备中,根据人员访问需求,将相应HID设备发放到人员手中,访问设备时插入UID设备,硬件识别码符合时才可以启动主机。本发明通过在HID设备字符串描述符中存储相关格式的内容,实现了对BIOS和操作系统的启动进行安全验证,并且不添加多余设备,在保证安全验证的同时又没有使成本增加。
Description
技术领域
本发明涉及计算机安全应用,具体来说,涉及一种基于HID设备设置主机访问权限的方法。
背景技术
目前市场上销售及实际使用当中的计算机默认情况下都是采用密码的方式对BIOS和操作系统进行安全保护,安全实现BIOS的启动,登录操作系统等任务。但密码本身易破解,所以此种方法并不是非常安全的保护方法。
针对此问题,不同厂家提出了不同的解决方法,例如有基于人的生物特征进行的指纹识别、人脸识别、眼睑识别等。此方法要求每台计算机都要配有相应的外部设备,或者计算机本身集成了此设备。这对个人用户非常适用,但对拥有众多计算机的公司或者企业来说,就会增加大量的成本,效用比会明显下降。
对拥有众多计算机的公司或者企业来说,既要实现安全保护的低成本,又要达到对BIOS和操作系统的安全保护,该如何做呢?我们提出了一种基于USB接口的HID设备(人机交互设备)进行BIOS和操作系统的安全保护的方法。
USB总线已经得到了广泛地应用,目前的计算机在机箱前面板都有USB插口,而且此接口支持即插即用,使用户可以随时方便地从计算机插入、拔出USB设备。USB接口的键盘、鼠标等都是HID类USB设备,这类设备非常适合与计算机的交互操作。所以,基于USB接口的HID设备(人机交互设备)进行BIOS和操作系统的安全保护是切实可行的方法。
如何使用USB接口的HID设备进行BIOS和操作系统的安全保护呢?为了理解此发明的实现方法,需要对USB接口的HID设备与设备驱动程序之间的通讯方式有个初步的了解。
USB接口的HID设备与设备驱动程序之间使用请求方式进行通讯。设备驱动程序可以使用请求获取HID设备的相关信息,也可以使用请求设置HID设备的相关信息。USB总线协议将请求分为标准设备请求和类设备特殊定义的设备请求。所有USB设备都支持的标准设备请求包含:Clear Feature、Get Configuration、Get Descriptor、Get Interface、Get Status、Set Address、Set Configuration、Set Descriptor、Set Feature、Set Interface、SynchFrame。有些设备请求需要描述符类型信息,描述符类型信息定义如下:
| Descriptor Types | Value |
| DEVCE | 1 |
| CONFIGURATION | 2 |
| STRING | 3 |
| INTERFACE | 4 |
| ENDPOINT | 5 |
| DEVICE_QUALIFIER | 6 |
| OTHER_SPEED_CONFIGURATON | 7 |
| INTERFACE_POWER1 | 8 |
发明内容
为解决以上缺点,本发明提供了一种基于HID设备设置主机访问权限的方法
一种基于HID设备设置主机访问权限的方法,将硬件识别码写入HID设备中,根据人员访问需求,将相应HID设备发放到人员手中,访问设备时插入UID设备,硬件识别码符合时才可以启动主机。
优选的,所述硬件识别码包括网卡MAC地址,CPU ID号和硬盘ID号。
优选的,所述硬件识别码是使用配置软件通过HID设备驱动程序写到HID设备字符串描述符中。
优选的,所述硬件识别码是加密后写入到UID设备中。
优选的,多个硬件识别码写入UID设备时,可以用正则式操作。
优选的,主机启动时首先读取UID设备中的硬件识别码,交由解密模块进行解密,解密后,BIOS将解密后的硬件识别码集与主机中存储的硬件识别码集比对,若符合,则交由Linux内核继续验证;若不符合,则输出错误信息。
较优选的,Linux内核将硬件识别码集与主机中存储的硬件识别码集比对,若符合,则启动主机;若不符合,则输出错误信息。
本发明通过在HID设备字符串描述符中存储相关格式的内容,实现了对BIOS和操作系统的启动进行安全验证,并且不添加多余设备,在保证安全验证的同时又没有使成本增加。
附图说明
图1是本发明工作过程
具体实施方式
(1)在设计USB接口的HID设备时,需要实现此HID设备对必要多的字符串描述符功能的支持。这些描述符一部分用于HID设备自身的功能,另一部分用于对BIOS和操作系统的安全保护功能。用于安全保护功能的字符串描述符不少于一个,并且设备驱动程序可以对其进行设置和读取。
(2)根据人员对计算机的使用情况,将人员和计算机进行组合,即某个人都可以访问哪些计算机,哪些人员可以对某台计算机进行访问。同时,采集计算机的特征与人员进行关联。比如采集计算机的MAC地址与人员进行关联。下面举个例子进行说明:
假设公司有三台计算机和2名员工的情况下,每台计算机与人员之间的关联如下所示:
张三可以使用A和C计算机;李四只能使用B计算机。
假设A、B、C计算机的MAC地址分别如下:0X1111,0X2222,0X3333(为了简单,我们没有使用计算机的实际MAC地址和48位数)。这样,我们就可以将上述的人员与计算机的关联改成如下形式的人员与计算机之间的关联:
张三可以使用MAC地址为0X1111和0X3333的计算机;
李四只能使用MAC地址为0X2222的计算机;
(3)使用配置软件将每个员工可以使用的计算机的MAC地址通过HID设备驱动程序写到HID设备字符串描述符中。完成后,将此HID设备分发给相应人员,做为他/她使用某台计算机启动BIOS和操作系统的凭证。
在将MAC地址写到HID设备字符串描述符前,可以对MAC地址进行相应的加密。在这里,不仅仅可以一个一个MAC地址的方式对HID设备字符串描述符进行操作,也可以使用正则表达式的方式进行,这些方法都是对此方法的完善和补充,所以不在这里一一论述。
(4)每个员工在启动某台计算机前,都要将HID设备插入到USB端口上。当BIOS运行时,会检测到此HID设备,并且可以获取HID设备字符串描述符表示的MAC地址集。将获取的MAC地址集与此计算机的MAC地址进行比较,如果MAC地址集包含了此计算机的MAC地址,则表示此员工可以正确地操作此台计算机,BIOS程序会继续运行;如果MAC地址集不包含此计算机的MAC地址,则表示此员工没有权力操作此台计算机,BIOS程序打印出错信息,不再继续运行。
(5)Linux内核加载运行后,同样会检测到此HID设备,并且可以获取HID设备字符串描述符表示的MAC地址集。将获取的MAC地址集与此计算机的MAC地址进行比较,如果MAC地址集包含了此计算机的MAC地址,则表示此员工可以正确地操作此台计算机,Linux内核会继续运行;如果MAC地址集不包含此计算机的MAC地址,则表示此员工没有权力操作此台计算机,Linux内核打印出错信息,不再继续运行。
Claims (7)
1.一种基于HID设备设置主机访问权限的方法,其特征在于:将硬件识别码写入HID设备中,根据人员访问需求,将相应HID设备发放到人员手中,访问设备时插入UID设备,硬件识别码符合时才可以启动主机。
2.如权利要求1所述的方法,其特征在于:所述硬件识别码包括网卡MAC地址,CPUID号和硬盘ID号。
3.如权利要求1所述的方法,其特征在于:所述硬件识别码是使用配置软件通过HID设备驱动程序写到HID设备字符串描述符中。
4.如权利要求1所述的方法,其特征在于:所述硬件识别码是加密后写入到UID设备中。
5.如权利要求1所述的方法,其特征在于:多个硬件识别码写入UID设备时,可以用正则式操作。
6.如权利要求1所述的方法,其特征在于:主机启动时首先读取UID设备中的硬件识别码,交由解密模块进行解密,解密后,BIOS将解密后的硬件识别码集与主机中存储的硬件识别码集比对,若符合,则交由Linux内核继续验证;若不符合,则输出错误信息。
7.如权利要求6所述的方法,其特征在于:Linux内核将硬件识别码集与主机中存储的硬件识别码集比对,若符合,则启动主机;若不符合,则输出错误信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110188828A CN102314574A (zh) | 2011-07-07 | 2011-07-07 | 一种基于hid设备设置主机访问权限的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110188828A CN102314574A (zh) | 2011-07-07 | 2011-07-07 | 一种基于hid设备设置主机访问权限的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102314574A true CN102314574A (zh) | 2012-01-11 |
Family
ID=45427732
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110188828A Pending CN102314574A (zh) | 2011-07-07 | 2011-07-07 | 一种基于hid设备设置主机访问权限的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102314574A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103778388A (zh) * | 2013-01-05 | 2014-05-07 | 天津七所精密机电技术有限公司 | 一种安全增强计算机系统 |
| CN104484629A (zh) * | 2014-12-03 | 2015-04-01 | 合肥联宝信息技术有限公司 | 一种计算机启动方法及装置 |
| CN104636655A (zh) * | 2015-02-06 | 2015-05-20 | 电子科技大学 | 一种热插拔设备的可信验证方法 |
| CN108959907A (zh) * | 2018-07-25 | 2018-12-07 | 武汉恩智电子科技有限公司 | 一种基于视频监控的视频录像保密系统 |
| CN108985112A (zh) * | 2018-06-12 | 2018-12-11 | 山东超越数控电子股份有限公司 | 一种usb端口控制系统及方法 |
| US12039094B2 (en) | 2021-10-29 | 2024-07-16 | Kyndryl, Inc. | Input/output interface security |
| US12079378B2 (en) | 2021-10-25 | 2024-09-03 | Kyndryl, Inc. | Gathering universal serial bus threat intelligence |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1869999A (zh) * | 2006-06-28 | 2006-11-29 | 北京飞天诚信科技有限公司 | 一种实现计算机的开机保护方法及装置 |
| CN101488114A (zh) * | 2009-02-18 | 2009-07-22 | 北京飞天诚信科技有限公司 | Linux系统下USB设备的处理方法 |
-
2011
- 2011-07-07 CN CN201110188828A patent/CN102314574A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1869999A (zh) * | 2006-06-28 | 2006-11-29 | 北京飞天诚信科技有限公司 | 一种实现计算机的开机保护方法及装置 |
| CN101488114A (zh) * | 2009-02-18 | 2009-07-22 | 北京飞天诚信科技有限公司 | Linux系统下USB设备的处理方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103778388A (zh) * | 2013-01-05 | 2014-05-07 | 天津七所精密机电技术有限公司 | 一种安全增强计算机系统 |
| CN103778388B (zh) * | 2013-01-05 | 2016-09-14 | 天津七所精密机电技术有限公司 | 一种安全增强计算机系统 |
| CN104484629A (zh) * | 2014-12-03 | 2015-04-01 | 合肥联宝信息技术有限公司 | 一种计算机启动方法及装置 |
| CN104636655A (zh) * | 2015-02-06 | 2015-05-20 | 电子科技大学 | 一种热插拔设备的可信验证方法 |
| CN108985112A (zh) * | 2018-06-12 | 2018-12-11 | 山东超越数控电子股份有限公司 | 一种usb端口控制系统及方法 |
| CN108959907A (zh) * | 2018-07-25 | 2018-12-07 | 武汉恩智电子科技有限公司 | 一种基于视频监控的视频录像保密系统 |
| US12079378B2 (en) | 2021-10-25 | 2024-09-03 | Kyndryl, Inc. | Gathering universal serial bus threat intelligence |
| US12039094B2 (en) | 2021-10-29 | 2024-07-16 | Kyndryl, Inc. | Input/output interface security |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102314574A (zh) | 一种基于hid设备设置主机访问权限的方法 | |
| US10608819B1 (en) | Portable storage device with internal secure controller that performs self-verification and self-generates encryption key(s) without using host or memory controller and that securely sends encryption key(s) via side channel | |
| CN102254119B (zh) | 一种基于指纹u盘和虚拟机的安全可移动数据存储方法 | |
| US8255930B2 (en) | Method and system for dynamically switching between different device configurations | |
| CN100437618C (zh) | 一种便携式信息安全设备 | |
| CN201397508Y (zh) | 单机终端安全登录与监控装置 | |
| US20060112267A1 (en) | Trusted platform storage controller | |
| CN201820230U (zh) | 计算机用可信计算信任根设备及计算机 | |
| CN102024115B (zh) | 一种具有用户安全子系统的计算机 | |
| EP3812932A1 (en) | Method and portable storage device with internal controller that can self-verify the device and self-convert the device from current mode to renewed mode without communicating with host | |
| CN103810440B (zh) | 存取系统及方法 | |
| CN102819700A (zh) | 在分离环境进行多种生物特征认证的装置以及方法 | |
| CN202217282U (zh) | 一种基于指纹u盘和虚拟机的安全数据存储系统 | |
| JP2006268861A (ja) | ユーザーデータに対するコンピュータのアクセスを制御する方法および制御装置 | |
| CN105740733A (zh) | 一种加密移动硬盘及其实现方法 | |
| CN201654768U (zh) | 主动式智能安全usb移动储存设备 | |
| CN103930894A (zh) | 具有保密功能的存储装置读取器以及利用该存储装置读取器的保密方法 | |
| CN104361280A (zh) | 一种通过smi中断实现对usb存储设备进行可信认证的方法 | |
| CN104463510A (zh) | 一种财务管理系统 | |
| CN201845340U (zh) | 一种具有用户安全子系统的安全计算机 | |
| CN107784218A (zh) | 一种用于终端设备的开机方法、装置、设备和存储介质 | |
| CN103793643A (zh) | 一种启动方法及电子设备 | |
| US20070181697A1 (en) | Method of a USB interface device with a discrimination function | |
| CN103473496A (zh) | 程序、证书、数据一体化u盾 | |
| CN201237787Y (zh) | 计算机硬盘信息保护装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120111 |