CN103824014A - 一种局域网内的usb端口设备的隔离认证及监控方法 - Google Patents
一种局域网内的usb端口设备的隔离认证及监控方法 Download PDFInfo
- Publication number
- CN103824014A CN103824014A CN201410045745.XA CN201410045745A CN103824014A CN 103824014 A CN103824014 A CN 103824014A CN 201410045745 A CN201410045745 A CN 201410045745A CN 103824014 A CN103824014 A CN 103824014A
- Authority
- CN
- China
- Prior art keywords
- usb
- information
- isolator
- area network
- local area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/74—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information operating in dual or compartmented mode, i.e. at least one secure mode
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
Abstract
本发明公开了一种局域网内的USB端口设备的隔离认证及监控方法,解决了现有的USB端口的安全认证方法所存在的不能有效阻止跳过USB安全认证进行接入的技术问题。本发明的目的是按以下方式实现的,硬件配置是在每个内网用户的主机或服务器上安装一个USB隔离装置,硬件中的控制器既与计算机端程序互通,也对接入的USB设备审计控制,用户的USB接口设备均不能直接在计算机上使用,只能通过USB隔离器和该设备的后台应用程序才能对用户的USB进行读写,用户主机的操作系统和其他程序都无法直接访问用户USB设备,使得系统对USB设备具备免疫能力。起到了高效监控和安全有效隔离的作用。
Description
技术领域
本发明涉及一种局域网内的USB端口设备的隔离认证及监控方法,可对违规接入的USB设备进行有效的审计,并能有效地对USB端口进行监控。
背景技术
目前,为了防止商业秘密的泄露,设置有局域网的单位均要求网内用户连接内网计算机时必须使用经认证的带安全识别的U盘,严禁内网计算机连接到具有连网功能的手机、平板电脑和无线网卡等设备上。在实际操作过程中,局域网内的用户经常会有意或无意地通过局域网内的USB端口将内网违规外联,使原本内外网隔离的计算机互通,加大了泄密风险。现有的局域网内的USB端口的安全认证方法一般是通过预先设定USB传输安全模式来判断是否容许用户接入操作的,这种简单的开与断操作,对于接入USB设备是不进行有效审计的,存在不能有效阻止跳过USB安全认证进行接入的问题。
发明内容
本发明提供了一种局域网内的USB端口设备的隔离认证及监控方法,解决了现有的USB端口的安全认证方法所存在的不能有效阻止跳过USB安全认证进行接入的技术问题。
本发明是通过以下技术方案解决以上技术问题的:
一种局域网内的USB端口设备的隔离认证及监控方法,包括以下步骤:
第一步、在局域网内的每台计算机的主机上设置USB隔离器,该USB隔离器设置有USB隔离装置控制器、USB安全接入模式校验器、报警装置、USB公口(A型插座)、USB母口(A型插头);USB隔离装置控制器和USB安全接入模式校验器典型配置为ARM芯片,且直接互联,报警装置是指LED指示灯或蜂鸣器等起报警作用的声光警示器,USB隔离器中的USB母口(A型插头)与计算机的USB公口(A型插座)连接并为USB隔离器提供电源,USB隔离器中的USB公口(A型插座)与用户USB设备连接;
第二步、在与USB隔离器连接的计算机主机内嵌入客户端软件,该客户端软件向局域网的系统服务器发送用户信息,并与USB隔离器相互通信;
第三步、客户端软件在与USB隔离器相互通信的步骤如下:客户端软件首次安装及默认状态下将局域网内的USB端口设备禁用;在USB隔离器中嵌入请求数据互通的设定信息代码;当计算机主机内嵌入客户端软件接受到USB隔离器发出的请求数据互通的设定信息代码后,解除对该USB端口设备禁用,这种信息的交互使用非对称加密算法进行握手式互认;然后,启动客户端软件中的USB安全接入模式校验子程序,对接入的USB端口设备进行接入模式校验,并将校验结果输入到USB隔离器中,若校验结果符合USB安全接入模式,则向计算机主机发放请求数据互联信息,并开放USB端口,若校验结果不符合USB安全接入模式,则将USB设备的审计信息传送到计算机主机,并发出报警信号。
第三步所述的在客户端软件中的USB安全接入模式校验子程序的具体工作步骤为:在步骤C100中,禁止闪盘或移动硬盘等USB数据设备的启动;譬如,禁止闪盘或移动硬盘的启动的方法有BIOS设置法、注册表法和禁止安装USB驱动程序等多种方法,本发明侧重选用禁止安装含数据存储功能用户USB设备驱动程序的方法禁止闪盘或移动硬盘,由于客户端在进行本步骤前,已容许安装鼠标、键盘等不含数据功能的USB设备驱动程序,最大程度保障了用户日常功能的使用;在步骤C101中,时刻查询电脑USB公口(A型插座)输出电源信息;在步骤C102中,程序判断电脑USB公口(A型插座)是否有输出电源信息,若有,则进行步骤C103,若无,则进行步骤C101;在步骤C103中,判断连接设备驱动信息是否为USB存储设备,若是,则进行步骤C104,若无,则进行步骤C101;在步骤C104中,计算机向USB隔离装置控制器发送含非对称密钥的握手数据,若要对USB隔离装置的USB安全接入模式校验器设置安全接入模式信息,则在握手信息添加相应控制信息;在步骤W105中,计算机接收USB隔离装置返回握手信息;在步骤W106中,解密握手回传信息;在步骤W107中,判断该连接装置代码是否为该计算机上可容许数据操作的USB隔离装置,若是,则进行步骤W108,若否,则进行步骤W110;在步骤W108中,容许数据通过该USB端口自由传输;在步骤W109中,判断该USB公口(A型插座)是否掉电,若是,则进行步骤W111,若否,则返回步骤W108;在步骤W110中,记录本次违规连接信息,并向局域网的系统服务器发送违规用户信息;在步骤W111中,禁止该USB设备连接的数据传输。
本发明是通过以下机制有效地阻止跳过USB安全认证接入:当注册计算机为每一个隔离装置注册时,由于隔离装置含有隔离装置控制器,能将随机注册通信机制嵌入在隔离装置控制器,改变了单一的设备注册串码机制,避免了黑客破解USB传输安全模式,制造伪装的USB安全设备或伪装的指定数据。具体传输的时候,隔离装置控制器能够与计算机通过随机互动生成的方式生成安全加密认证过程,也就是说设计的安全隔离装置具备智能作用,可使用非对称加密算法进行握手式互认。起到了高效监控和安全有效隔离的作用。
附图说明
图1是本发明的工作流程框图;
图2是本发明的计算机主机内设置的软件框图;
图3是本发明的在USB隔离器内嵌入的软件框图。
具体实施方式
下面结合附图对本发明进行详细说明:
一种局域网内的USB端口设备的隔离认证及监控方法,包括以下步骤:
第一步、在局域网内的每台计算机的主机上设置USB隔离器,该USB隔离器设置有USB隔离装置控制器、USB安全接入模式校验器、报警装置、USB公口(A型插座)、USB母口(A型插头);USB隔离装置控制器和USB安全接入模式校验器典型配置为ARM芯片,且直接互联,报警装置是指LED指示灯或蜂鸣器等起报警作用的声光警示器,USB隔离器中的USB母口(A型插头)与计算机的USB公口(A型插座)连接并为USB隔离器提供电源,USB隔离器中的USB公口(A型插座)与用户USB设备连接;
第二步、在与USB隔离器连接的计算机主机内嵌入客户端软件,该客户端软件向局域网的系统服务器发送用户信息,并与USB隔离器相互通信;
第三步、客户端软件在与USB隔离器相互通信的步骤如下:客户端软件首次安装及默认状态下将局域网内的USB端口设备禁用;在USB隔离器中嵌入请求数据互通的设定信息代码;当计算机主机内嵌入客户端软件接受到USB隔离器发出的请求数据互通的设定信息代码后,解除对该USB端口设备禁用,这种信息的交互使用非对称加密算法进行握手式互认;然后,启动客户端软件中的USB安全接入模式校验子程序,对接入的USB端口设备进行接入模式校验,并将校验结果输入到USB隔离器中,若校验结果符合USB安全接入模式,则向计算机主机发放请求数据互联信息,并开放USB端口,若校验结果不符合USB安全接入模式,则将USB设备的审计信息传送到计算机主机,并发出报警信号;
第三步所述的在客户端软件中的USB安全接入模式校验子程序的具体工作步骤为:在步骤C100中,禁止闪盘或移动硬盘等USB数据设备的启动;譬如,禁止闪盘或移动硬盘的启动的方法有BIOS设置法、注册表法和禁止安装USB驱动程序等多种方法,本发明侧重选用禁止安装含数据存储功能用户USB设备驱动程序的方法禁止闪盘或移动硬盘,由于客户端在进行本步骤前,已容许安装鼠标、键盘等不含数据功能的USB设备驱动程序,最大程度保障了用户日常功能的使用;在步骤C101中,时刻查询电脑USB公口(A型插座)输出电源信息;在步骤C102中,程序判断电脑USB公口(A型插座)是否有输出电源信息,若有,则进行步骤C103,若无,则进行步骤C101;在步骤C103中,判断连接设备驱动信息是否为USB存储设备,若是,则进行步骤C104,若无,则进行步骤C101;在步骤C104中,计算机向USB隔离装置控制器发送含非对称密钥的握手数据,若要对USB隔离装置的USB安全接入模式校验器设置安全接入模式信息,则在握手信息添加相应控制信息;在步骤W105中,计算机接收USB隔离装置返回握手信息;在步骤W106中,解密握手回传信息;在步骤W107中,判断该连接装置代码是否为该计算机上可容许数据操作的USB隔离装置,若是,则进行步骤W108,若否,则进行步骤W110;在步骤W108中,容许数据通过该USB端口自由传输;在步骤W109中,判断该USB公口(A型插座)是否掉电,若是,则进行步骤W111,若否,则返回步骤W108;在步骤W110中,记录本次违规连接信息,并向局域网的系统服务器发送违规用户信息;在步骤W111中,禁止该USB设备连接的数据传输。
本发明的目的是按以下方式实现的,硬件配置是在每个内网用户的主机或服务器上安装一个USB隔离装置,硬件中的控制器既与计算机端程序互通,也对接入的USB设备审计控制,用户的USB接口设备均不能直接在计算机上使用,只能通过USB隔离器和该设备的后台应用程序才能对用户的USB进行读写,用户主机的操作系统和其他程序都无法直接访问用户USB设备,使得系统对USB设备具备免疫能力。在信息内网部署一台管理及监控服务器,作为本发明的管理中心和监控中心,系统管理员通过可以通过浏览器登录该系统服务器,对用户计算机或用户服务器与USB隔离装置通信策略管理,对USB设备的注册程序管理,审计用户的USB设备登录和连接信息。系统服务器强行推送至用户计算机或用户服务器安装客户端软件,该客户端软件向系统服务器发送用户信息、USB设备信息及相应连接信息,与USB隔离装置相互通信达到对USB设备的连接控制和审计,具体内容如下:客户端软件首次安装及默认状态下将用户的各USB端口禁用,只容许USB隔离装置的特定信息输入,当接受到USB隔离装置控制器的请求数据互联信息,解除相应USB端口禁用,容许用户计算机/服务器与USB设备的数据互联。USB隔离装置侦测USB接口接入USB设备后读取USB设备审计信息,同时,USB安全接入模式校验器对USB设备进行安全接入模式校验,并将校验结果输入USB隔离装置控制器。若USB安全接入模式校验结果符合USB安全接入校验模式,容许数据通过USB安全接入模式校验器,否则退出USB设备。USB隔离装置控制器接受校验结果符合安全接入模式,向用户计算机/服务器发放请求数据互联信息,并开放端口容许USB安全接入模式校验器容许传输的数据与用户计算机/服务器交互,否则启动报警装置,并将USB设备的审计信息传输至用户计算机/服务器,由其传输至系统服务器备案。均是通过的是USB隔离控制器中的嵌入式程序实现的。
整个USB安全隔离认证装置的安全使用,需要系统服务器推送客户端、USB隔离装置中的USB安全接入模式、USB设备的安全模式三者相符,方能完成整个数据的传输,具体设置如下:网管用户计算机经系统服务器容许备案后,在本地计算机上安装用户USB设备注册软件成为用户USB设备注册计算机,负责对USB设备安全注册,对USB隔离装置的安全设置,通过向USB隔离装置控制器发放设置信息请求后,开放用户USB设备注册计算机对USB隔离装置中的安全接入模式校验器的设置。
本发明的安全接入方法不局限于上述实施例中所限定步骤以及执行顺序,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权力要求范围当中。
Claims (2)
1.一种局域网内的USB端口设备的隔离认证及监控方法,包括以下步骤:
第一步、在局域网内的每台计算机的主机上设置USB隔离器,该USB隔离器设置有USB隔离装置控制器、USB安全接入模式校验器、报警装置、USB公口、USB母口;
第二步、在与USB隔离器连接的计算机主机内嵌入客户端软件,该客户端软件向局域网的系统服务器发送用户信息,并与USB隔离器相互通信;
第三步、客户端软件在与USB隔离器相互通信的步骤如下:客户端软件首次安装及默认状态下将局域网内的USB端口设备禁用;在USB隔离器中嵌入请求数据互通的设定信息代码;当计算机主机内嵌入客户端软件接受到USB隔离器发出的请求数据互通的设定信息代码后,解除对该USB端口设备禁用,这种信息的交互使用非对称加密算法进行握手式互认;然后,启动客户端软件中的USB安全接入模式校验子程序,对接入的USB端口设备进行接入模式校验,并将校验结果输入到USB隔离器中,若校验结果符合USB安全接入模式,则向计算机主机发放请求数据互联信息,并开放USB端口,若校验结果不符合USB安全接入模式,则将USB设备的审计信息传送到计算机主机,并发出报警信号;
2.根据权利要求1所述的一种局域网内的USB端口设备的隔离认证及监控方法,其特征在于,所述的在客户端软件中的USB安全接入模式校验子程序的具体工作步骤为:步骤C100、禁止闪盘或移动硬盘等USB数据设备的启动;步骤C101、时刻查询电脑USB公口输出电源信息;步骤C102、程序判断电脑USB公口是否有输出电源信息,若有,则进行步骤C103,若无,则进行步骤C101;步骤C103、判断连接设备驱动信息是否为USB存储设备,若是,则进行步骤C104,若无,则进行步骤C101;步骤C104、计算机向USB隔离装置控制器发送含非对称密钥的握手数据,若要对USB隔离装置的USB安全接入模式校验器设置安全接入模式信息,则在握手信息添加相应控制信息;步骤W105、计算机接收USB隔离装置返回握手信息;步骤W106、解密握手回传信息;步骤W107、判断该连接装置代码是否为该计算机上可容许数据操作的USB隔离装置,若是,则进行步骤W108,若否,则进行步骤W110;步骤W108、容许数据通过该USB端口自由传输;步骤W109、判断该USB公口是否掉电,若是,则进行步骤W111,若否,则返回步骤W108;在步骤W110中,记录本次违规连接信息,并向局域网的系统服务器发送违规用户信息;W111、禁止该USB设备连接的数据传输。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410045745.XA CN103824014A (zh) | 2014-02-09 | 2014-02-09 | 一种局域网内的usb端口设备的隔离认证及监控方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410045745.XA CN103824014A (zh) | 2014-02-09 | 2014-02-09 | 一种局域网内的usb端口设备的隔离认证及监控方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103824014A true CN103824014A (zh) | 2014-05-28 |
Family
ID=50759070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410045745.XA Pending CN103824014A (zh) | 2014-02-09 | 2014-02-09 | 一种局域网内的usb端口设备的隔离认证及监控方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103824014A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105160260A (zh) * | 2015-10-20 | 2015-12-16 | 国网江西省电力公司南昌供电分公司 | 可鉴别是否是已认证移动存储介质的装置 |
| CN105160238A (zh) * | 2015-10-20 | 2015-12-16 | 国网江西省电力公司南昌供电分公司 | 一种可阻止未经安全认证的u盘连接计算机的盒子 |
| GB2541000A (en) * | 2015-08-04 | 2017-02-08 | Displaylink Uk Ltd | Security Device |
| CN110688657A (zh) * | 2019-09-26 | 2020-01-14 | 福州浩恒影音工程有限公司 | 一种u盘病毒隔离器及其工作方法 |
| CN112818326A (zh) * | 2021-02-26 | 2021-05-18 | 威创集团股份有限公司 | 一种usb设备权限确定方法、装置、设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101082894A (zh) * | 2006-05-30 | 2007-12-05 | 英业达股份有限公司 | 高速周边组件连接接口设备的热插拔系统及其方法 |
| CN101916403A (zh) * | 2009-07-27 | 2010-12-15 | 周巍 | 一种检测管控一体化系统及方法 |
| CN201796367U (zh) * | 2010-09-06 | 2011-04-13 | 航天信息股份有限公司 | Usb隔离器 |
| US20120205979A1 (en) * | 2009-03-30 | 2012-08-16 | Analog Devices, Inc. | Usb isolator with advanced control features |
-
2014
- 2014-02-09 CN CN201410045745.XA patent/CN103824014A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101082894A (zh) * | 2006-05-30 | 2007-12-05 | 英业达股份有限公司 | 高速周边组件连接接口设备的热插拔系统及其方法 |
| US20120205979A1 (en) * | 2009-03-30 | 2012-08-16 | Analog Devices, Inc. | Usb isolator with advanced control features |
| US20120206164A1 (en) * | 2009-03-30 | 2012-08-16 | Analog Devices, Inc. | Usb isolator with advanced control features |
| CN101916403A (zh) * | 2009-07-27 | 2010-12-15 | 周巍 | 一种检测管控一体化系统及方法 |
| CN201796367U (zh) * | 2010-09-06 | 2011-04-13 | 航天信息股份有限公司 | Usb隔离器 |
Non-Patent Citations (1)
| Title |
|---|
| 胡林峰: "网络隔离器的设计与实现", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2541000A (en) * | 2015-08-04 | 2017-02-08 | Displaylink Uk Ltd | Security Device |
| GB2541000B (en) * | 2015-08-04 | 2018-09-19 | Displaylink Uk Ltd | Security Device |
| CN105160260A (zh) * | 2015-10-20 | 2015-12-16 | 国网江西省电力公司南昌供电分公司 | 可鉴别是否是已认证移动存储介质的装置 |
| CN105160238A (zh) * | 2015-10-20 | 2015-12-16 | 国网江西省电力公司南昌供电分公司 | 一种可阻止未经安全认证的u盘连接计算机的盒子 |
| CN110688657A (zh) * | 2019-09-26 | 2020-01-14 | 福州浩恒影音工程有限公司 | 一种u盘病毒隔离器及其工作方法 |
| CN112818326A (zh) * | 2021-02-26 | 2021-05-18 | 威创集团股份有限公司 | 一种usb设备权限确定方法、装置、设备和介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA3054268C (en) | Method and apparatus for securing kvm matrix | |
| US8566934B2 (en) | Apparatus and method for enhancing security of data on a host computing device and a peripheral device | |
| US9325497B2 (en) | Power line based theft protection of electronic devices | |
| CN101901318A (zh) | 一种可信硬件设备及其使用方法 | |
| CN103824014A (zh) | 一种局域网内的usb端口设备的隔离认证及监控方法 | |
| CN104320389A (zh) | 一种基于云计算的融合身份保护系统及方法 | |
| CN101593252B (zh) | 一种计算机对usb设备进行访问的控制方法和系统 | |
| CN107563213A (zh) | 一种防存储设备数据提取的安全保密控制装置 | |
| CN101561855B (zh) | 一种计算机对usb设备进行访问的控制方法和系统 | |
| CN103973437A (zh) | 一种终端锁定时获取rsa密钥授权的方法、装置及系统 | |
| CN104636682A (zh) | 一种基于硬件设备的密码管理系统及方法 | |
| CN102521169B (zh) | 带显示屏的保密usb存储盘及其安全控制方法 | |
| CN105787319A (zh) | 基于虹膜识别的便携式终端及其方法 | |
| CN104796262A (zh) | 数据加密方法及终端系统 | |
| CN106027258A (zh) | 一种基于tpm的家电远程控制方法 | |
| CN103457723B (zh) | 一种加密方法及以其为基础的加密设备 | |
| CN101980309A (zh) | Nfc移动终端及其nfc安全支付的实现方法 | |
| CN101790724B (zh) | 防篡改控制的系统和方法 | |
| CN202085191U (zh) | 一种数据安全存储与传输系统 | |
| CN102822840B (zh) | 使用管理系统和使用管理方法 | |
| CN115118751A (zh) | 一种基于区块链的监管系统、方法、设备和介质 | |
| CN107317925A (zh) | 移动终端 | |
| CN104995635A (zh) | 图片发送方法和装置以及终端设备 | |
| CN106097600A (zh) | 基于atl的设备管理方法、系统和金融自助设备 | |
| CN114884993B (zh) | 增强数据安全性的虚拟化安卓系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140528 |