CN114503088A - 与外围设备建立信任连接 - Google Patents
与外围设备建立信任连接 Download PDFInfo
- Publication number
- CN114503088A CN114503088A CN202080070312.3A CN202080070312A CN114503088A CN 114503088 A CN114503088 A CN 114503088A CN 202080070312 A CN202080070312 A CN 202080070312A CN 114503088 A CN114503088 A CN 114503088A
- Authority
- CN
- China
- Prior art keywords
- peripheral device
- peripheral
- client device
- risk factor
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000002093 peripheral effect Effects 0.000 title claims abstract description 371
- 230000007613 environmental effect Effects 0.000 claims abstract description 28
- 238000000034 method Methods 0.000 claims abstract description 18
- 238000004891 communication Methods 0.000 claims description 24
- 230000004044 response Effects 0.000 claims description 8
- 239000012530 fluid Substances 0.000 claims 1
- 238000007726 management method Methods 0.000 description 53
- 238000012502 risk assessment Methods 0.000 description 41
- 230000006870 function Effects 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000013136 deep learning model Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000000903 blocking effect Effects 0.000 description 2
- 238000013528 artificial neural network Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000003066 decision tree Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005401 electroluminescence Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 210000002381 plasma Anatomy 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/10—Program control for peripheral devices
- G06F13/102—Program control for peripheral devices where the programme performs an interfacing function, e.g. device driver
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F13/00—Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F13/38—Information transfer, e.g. on bus
- G06F13/42—Bus transfer protocol, e.g. handshake; Synchronisation
- G06F13/4282—Bus transfer protocol, e.g. handshake; Synchronisation on a serial bus, e.g. I2C bus, SPI bus
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2213/00—Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F2213/0042—Universal serial bus [USB]
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Power Sources (AREA)
Abstract
本公开涉及用于建立和管理外围设备和客户端设备之间的信任连接的系统、方法和计算机可读介质。例如,本文讨论的系统包括基于外围设备数据和包括针对客户端设备的环境数据和历史使用数据的客户端配置文件的组合来确定外围设备是否构成安全风险。本文描述的系统还可以基于所确定的安全风险来授予信任级别。本文公开的系统促进用户友好且不会使客户端设备暴露于各种安全威胁的智能策略的实现。
Description
背景技术
近年来,通信技术发展迅速,尤其是在电子设备通过各种连接相互连接和通信的能力方面。例如,电子设备现在可以使用各种通信协议并使用各种不同类型的不同连接器来彼此通信。事实上,随着电子设备和通信技术的不断发展,通信能力不断扩大,使更多和更多样的电子设备能够以多种不同的方式进行通信。例如,许多设备(例如,外围或辅助设备)现在能够执行多种功能,诸如传递不同类型的数据、提供输入命令、和/或为电子设备充电。
随着各种连接器的复杂性增加和使用越来越广泛,一些安全问题也变得更加常见。例如,在一些老一代的某些设备(例如,通用串行总线(USB)驱动器、电池充电器)先前可能被限制为选择性地向计算设备提供数据或功率的情况下,更现代的设备(例如,USB-C、USB4)现在能够向计算设备上的不同系统提供多种信号类型(例如,命令信号、数据信号、功率信号)。因此,利用更当前的连接的恶意设备可能会通过劫持计算设备和/或访问敏感信息而对个人和企业造成相当大的损害。此外,这些恶意设备中许多能够在与计算设备建立连接时非常迅速地造成相当大的损害。此外,由于这些恶意设备中许多可能对计算设备而言表现为信任设备或常见类别的设备(例如,键盘、鼠标、触控板),因此许多计算设备配备不良,以阻止由于恶意设备连接到一个或多个物理端口而引起的安全威胁。
在利用更现代的连接设备的增强能力的同时在电子设备之间建立信任连接方面存在这些和其他问题。
附图说明
图1示出了根据一个或多个实施例的示例环境,其中外围设备管理系统可以管理外围设备和客户端设备之间的连接。
图2示出了根据一个或多个实施例的用于在外围设备和客户端设备之间建立安全连接的示例工作流。
图3示出了根据一个或多个实施例的用于与外围设备建立安全连接的一系列动作。
图4示出了用于智能地管理从外围设备向客户端设备的功率递送的一系列动作。
图5A示出了根据一个或多个实施例的基于外围设备和设备配置文件的示例界面提示。
图5B示出了根据一个或多个实施例的基于外围设备和设备配置文件的另一示例界面提示。
图6示出了根据一个或多个实施例的用于管理外围设备和客户端设备之间的连接的一系列示例动作。
图7示出了可以被包括在计算机系统内的某些组件。
具体实施方式
本公开总体涉及用于在外围设备和客户端设备之间建立和管理信任连接的系统。具体地,如下面将进一步详细讨论的,客户端设备可以经由客户端设备的外部端口检测与外围设备的连接,并接收包括外围设备的各种特征和特性的(多个)指标的外围设备数据。在接收到外围设备数据时,外围设备管理系统可以确定针对外围设备的风险因子,该风险因子与外围设备是能够攻击客户端设备的一个或多个系统的恶意设备的预测风险或可能性相关联。在确定风险因子后,外围设备管理系统可以基于所确定的风险因子向外围设备授予一定的信任级别。
除了在外围设备和客户端设备之间建立信任连接之外,外围设备管理系统还可以管理与外围设备的行为相关联的一个或多个功率设置,结合向客户端设备提供一个或多个信号。例如,在外围设备能够以可变充电速率,对客户端设备进行充电或以其他方式提供用于对客户端设备进行充电的功率信号的情况下,除了从外围设备接收的数据之外,外围设备管理系统还可以基于与客户端设备相关联的数据(例如,客户端配置文件数据)来确定充电速率。实际上,如下面将进一步详细讨论的,外围设备管理系统可以根据本文描述的一个或多个实施例来实现智能功率管理策略。
如下面将进一步详细讨论的,本公开包括具有本文描述的特征和功能的多个实际应用,这些特征和功能提供了与管理外围设备和客户端设备之间的连接相关联的优点和/或解决与其相关联的问题。例如,如下面将进一步详细讨论的,外围设备管理系统可以实现用于确定给予外围设备的信任级别的策略,该信任级别在建立客户端设备和各种外围设备之间的信任连接方面提供了灵活性。实际上,在常规安全策略,或者通过固有地信任所有外围设备,或者备选地,每次外围设备连接到客户端设备时需要手动批准,通常是静态且不灵活的情况下,这里描述的一个或多个实施例实现了更智能和用户友好的策略,其选择性地允许外围设备向客户端设备传递各种信号,而不使客户端设备暴露于各种安全威胁。
例如,通过考虑与客户端设备和/或外围设备相关联的环境因子,当客户端设备和外围设备在不熟悉的情况下连接时,外围设备管理系统可以应用更严格的安全标准。例如,在客户端设备检测到与公共位置(例如,机场、酒店、餐馆)的外围设备的连接的情况下,外围设备管理系统可以确定存在安全风险。此外,在客户端设备识别熟悉的无线网络失败或客户端设备无法检测到附近熟悉的移动设备的存在的情况下,外围设备管理系统可以类似地确定存在安全风险。实际上,如下面将进一步详细讨论的,外围设备管理系统在确定外围设备是恶意设备并且可能攻击客户端设备的一个或多个系统的风险级别(例如,风险因子)时可以考虑多个附加环境因子。
除了考虑与客户端设备相关联的环境因子之外,外围设备管理系统在确定与将外围设备与客户端设备连接相关联的风险级别时,还可以考虑客户端设备的历史使用信息。例如,在客户端配置文件包括指示与将一个或多个特定外围设备连接到客户端设备的外部端口(例如,在特定时间和/或位置)相关联的观察模式的使用信息历史的情况下,观察模式的变化可以触发外围设备管理系统以降低信任级别和/或向客户端设备的用户提供界面提示。用户还可以指示应该提供给外围设备的信任级别,该信任级别可以用于响应于外围设备(或类似的外围设备)连接到客户端设备的后续实例来确定是否促进信任连接。
除了增强客户端设备的安全性以阻止来自恶意外围设备的攻击之外,外围设备管理系统还可以通过在连接到外围设备时智能地管理客户端设备的一个或多个功率设置,来增强由客户端设备提供的各种接口的可用性。具体地,在外围设备能够提供功率信号以对客户端设备的电源(例如,电池)充电的情况下,外围设备管理系统可以如上所述分析客户端设备的类似环境和历史使用数据以确定对客户端设备充电的速率。例如,在环境信息指示客户端设备在机场或公共位置的情况下,外围设备管理系统可以确定在对客户端设备充电时应该使用更快的充电速度。备选地,在环境和使用历史信息指示用户在家并且即将睡觉(从而使客户端设备空闲或注销很长一段时间)的情况下,外围设备管理系统可以确定应该使用较慢的充电速度以阻止对电池的不必要磨损。
如前述讨论中所示,本公开使用各种术语来描述本文描述的系统的特征和优点。现在提供关于这些术语中的一些术语的含义的更多细节。例如,如本文所使用的,“客户端设备”可以指具有一个或多个可访问的连接端口并且能够连接到一个或多个外围设备的任何类型的电子或计算设备。客户端设备可以指移动设备,诸如移动电话、智能电话、个人数字助理(PDA)、平板电脑、膝上型计算机或可穿戴计算设备。客户端设备还可以指一个或多个非移动设备,诸如台式计算机、服务器(例如,云服务器)或其他非便携式设备。下面将结合图7讨论与示例计算设备相关的附加细节。
如本文所使用的,“连接端口”或“端口”指包括硬件的客户端设备的连接接口,该硬件被塑造和配置为接收能够在客户端设备和附加设备(例如,另一计算设备和/或外围设备)之间建立连接和促进通信的相应连接器设备。例如,连接端口可以包括位于设备外壳上的外部可访问端口,该外部可访问端口提供用于将外围设备与客户端设备连接的连接点。连接端口还可以包括接口硬件,该接口硬件包括向和从客户端设备的各种组件提供信号的一个或多个总线(例如,功率总线、数据总线、外围组件互连(PCI)总线)。连接端口的示例可以包括USB端口(例如,(多个)USB-C端口、(多个)USB4端口)、显示端口、功率端口或能够接收类似或兼容标准的连接器的任何其他标准的连接端口。
如本文所使用的,“外围设备”可以指充当客户端设备的辅助设备并且能够经由连接端口连接到客户端设备的任何电子设备。例如,外围设备可以指提供数据、功率、输入命令和/或从客户端设备接收数据的任何电子设备。外围设备的示例包括鼠标、键盘、触摸板、数字笔、便携式存储设备(例如,USB闪存驱动器)、打印机或各种物联网(IoT)设备。实际上,外围设备可以指具有相关联的连接器(例如,连接设备)的任何电子设备,该连接器能够插入到连接端口中并且使能在外围设备和客户端设备之间进行一个或多个信号的通信。连接器的示例包括USB连接器、HDMI连接器、闪电连接器或能够插入兼容连接端口的任何其他标准的连接器(和/或相关联的连接适配器)。
如本文将进一步详细讨论的,客户端设备可以接收包括与外围设备的特征和/或特性相关联的任何信息的外围设备数据。此外,客户端设备(例如,外围设备管理系统)可以基于外围设备数据和包括与客户端设备相关联的任何信息的设备配置文件数据的组合来确定授予外围设备的信任级别。设备配置文件数据可以包括历史使用数据、环境信息或由客户端设备追踪或以其他方式维护的可以被用以确定针对客户端设备和外围设备对的风险因子的任何其他信息。将结合本文描述的一个或多个实施例来讨论与外围设备数据和设备配置文件数据相关的进一步信息。
现在将提供关于本文公开的用于建立和管理外围设备和客户端设备之间的信任关系的系统的附加细节。例如,图1示出了包括连接到外围设备104的客户端设备102的示例环境100。客户端设备102可以指各种计算设备,诸如移动设备、非移动设备或具有一个或多个外部可访问连接端口的任何计算设备。类似地,外围设备104可以指各种外围设备类型,包括能够提供输入命令的电子设备、能够存储数字内容和/或提供对所存储的数字内容的访问的设备、和/或能够向客户端设备102的一个或多个组件提供功率的设备。在一个或多个实施例中,外围设备104是能够以多种方式攻击系统或滥用对系统上的信息的访问的恶意设备。
如图1所示,客户端设备102和外围设备104经由连接器130连接。连接器130可以包括有线连接设备,诸如插入客户端设备102的外部可访问连接端口的USB连接器(例如,USB-C或USB4连接器)。连接器130可以指具有不同通信能力的各种连接器。例如,在一个或多个实施例中,连接器130包括能够传送功率信号、数据信号和输入命令的USB-C或USB4连接器。在一个或多个实现中,连接器130可以指使外围设备104能够与一个或多个总线驱动或接口硬件相接口以将各种信号传送到客户端设备102的组件的任何连接器设备。
如图1所示,客户端设备102包括接口系统106。接口系统106可以具有各种系统接口,包括例如,功率接口108、数据接口110和命令接口112。接口108-112中的每个接口可以包括能够接收不同类型的信号并将不同类型的信号提供给客户端设备102的各种组件的关联硬件(例如,总线系统和驱动)。例如,接口108-112中的每个接口可以包括总线驱动、USB集线器或提供到客户端设备102的不同组件的接口的任何硬件组件。
例如,功率接口108可以包括向客户端设备102的组件提供功率供应(例如,电压和/或电流)的功率总线或总线驱动。类似地,数据接口110可以包括将数据向和从外围设备传递的数据总线或总线驱动。此外,命令接口112可以包括能够将命令或其他数据从外围设备传递到客户端设备102的通信总线或总线驱动。在一个或多个实施例中,命令接口112包括能够与客户端设备102的存储器交互并提供输入命令的外围组件互连(PCI)。
图1所示的接口108-112中的每个接口(以及其他类型的接口)可以包括用于针对客户端设备102的相应组件和系统提供接口的分开的或离散的硬件组件。此外,接口108-112中的每个接口可以包括促进客户端设备102和外围设备104之间的各种信号的交互的软件组件。备选地,尽管图1示出了其中接口108-112涉及单独且不同的组件的示例,但是接口108-112中的一个或多个接口可以被集成或组合为相同硬件和/或软件的一部分,以在外围设备104和客户端设备102之间传递相应类型的信号。
如图1进一步所示,客户端设备102包括外围设备管理系统114。如上所述,外围设备管理系统114可以基于各种因子来确定外围设备104是否应该被信任。此外,外围设备管理系统114在确定外围设备104不构成重大安全威胁后,可以确定授予外围设备104的信任级别。
如图1所示,外围设备管理系统114包括风险分析管理器116、界面提示管理器118、许可管理器120和功率管理器122。如下面将进一步详细讨论的,外围设备管理系统114的组件116-122可以协作地收集外围设备数据、标识相关设备配置文件数据、并基于外围设备数据和设备配置文件数据来确定是否信任外围设备104。下面将结合图2更详细地讨论与建立信任连接和管理连接有关的进一步细节。
如图1进一步所示,客户端设备102包括数据存储装置124,数据存储装置124可以包括模型数据126和设备数据128。模型数据126可以包括与用于分析与外围设备104建立信任连接对客户端设备102构成的风险的算法或模型相关联的任何信息。在一个或多个实施例中,模型数据126包括被训练以确定或以其他方式预测与外围设备104相关联的风险级别的机器学习模型或其他深度学习模型。
设备数据128可以包括与客户端设备102相关联的任何信息。例如,设备数据128可以包括设备配置文件,该设备配置文件可以包括客户端设备102的使用历史。使用历史数据可以包括先前已经连接到客户端设备102的任何外围设备的标识。使用历史数据还可以包括外围设备104(或具有相同指标集合的类似类型的外围设备)与客户端设备102之间的连接的记录。使用历史数据还可以包括客户端设备102的使用模式,诸如客户端设备102开启和使用的典型时间、客户端设备的位置的历史、和/或各种外围设备已经连接到客户端设备102的时间和位置的记录。
除了使用历史数据之外,设备数据128还可以包括与环境相关联的环境数据或客户端设备102的当前状态。环境数据可以包括例如,客户端设备102的当前位置(例如,在检测到与外围设备的连接时),诸如公共位置、私人位置或未知位置。环境数据还可以包括网络信息,诸如关于客户端设备102连接到的无线网络和/或与各种设备(例如,用户的移动电话)的任何现有的蓝牙或短距离无线连接(或无蓝牙或短距离无线连接)的信息。当检测到与外围设备104的连接时,环境数据还可以包括关于客户端设备102已经连接到的任何外围设备的信息。这可以包括经由内部连接硬件连接的任何内部外围设备(例如,设备上键盘、设备上触摸板)以及经由一个或多个外部可访问连接端口连接的任何外围设备的指示。
客户端设备102的系统的组件106-122可以包括软件、硬件或两者。例如,接口系统106和/或外围设备管理系统114的组件可以包括存储在计算机可读存储介质上并且由一个或多个计算设备的处理器可执行的一个或多个指令。当由一个或多个处理器执行时,系统106、114的计算机可执行指令可以使客户端设备102执行本文描述的方法。备选地,系统106、114的组件可以包括硬件,诸如执行特定功能或功能组的专用处理设备。附加地或备选地,系统106、114的组件可以包括计算机可执行指令和硬件的组合。
现在将结合图2讨论关于建立与外围设备104的信任连接和管理连接的附加细节。具体地,图2示出了示例工作流200,其示出了根据一个或多个实施例的外围设备管理系统114的组件的示例交互。
如图2所示,外围设备104可以经由接口系统106连接到客户端设备102。如上所述,接口系统106可以包括能够从外围设备104接收不同信号的不同接口。在一个或多个实施例中,在检测到与外围设备104的连接后,接口系统106可以提供对与外围设备的特征相关联的外围设备数据的请求。如上所述,外围设备数据可以包括与外围设备104相关联的任何数据。外围设备数据可以指设备描述符(例如,外围设备指标),包括例如,外围设备104的标识类别、关于外围设备104的制造商或型号的信息、以及硬件标识符。在一个或多个实施例中,外围设备数据可以包括指示外围设备的类型(例如,键盘、触摸板、鼠标、存储设备)的设备类型指标。
如本文所使用的,设备类型可以指具有相应能力集合(例如,输入、存储、介质)的设备。设备类型还可以指特定品牌的设备。在一个或多个实现中,设备类型指的是具有相应的特征或特性集合(例如,特定的输入集合)的设备。例如,第一设备类型可以指键盘或其他类似类型的输入设备(例如,相同或不同的键盘),而第二设备类型可以指鼠标、USB存储设备或其他不同类型的输入设备。作为另一示例,第一设备类型可以指具有第一输入集合的键盘,而第二设备类型指具有第二输入集合的键盘(例如,来自不同制造商的键盘)。
在接收到外围设备数据后,接口系统106就可以将外围设备数据提供给风险分析管理器116。风险分析管理器116还可以获取包括与客户端设备102相关联的信息的设备配置文件。具体地,如上所述,风险分析管理器116可以收集包括环境数据(例如,设备环境的当前状态)和客户端设备102的历史使用数据的组合的设备配置文件数据。在本文描述的一个或多个实施例中,客户端设备102可以从客户端设备102的本地存储设备收集设备配置文件数据。
风险分析管理器116可以分析外围设备数据和设备配置文件数据以确定与外围设备104建立信任连接的预测风险。具体地,风险分析管理器116可以结合来自设备配置文件数据的信号或因子来分析与外围设备104的特征相关联的指标或其他信号,以确定与外围设备104是可能攻击客户端设备102的一个或多个系统的恶意设备的风险相关联的风险因子。在一个或多个实施例中,风险分析管理器116应用被训练以将风险因子(例如,风险度量或其他值)与阈值风险因子进行比较,以确定风险因子是否超过阈值风险因子的算法或模型。
在一个或多个实施例中,风险分析管理器116应用包括机器学习模型或其他深度学习模型的风险分析模型,该机器学习模型或其他深度学习模型被训练以评估对应于外围设备的指标和/或来自客户配置文件的数据信号的任何数目的输入。例如,在一个或多个实施例中,风险分析管理器116训练或接收机器学习模型(例如,决策树模型、神经网络或其他深度学习模型),该机器学习模型被训练以将来自外围设备数据的输入的任何组合与设备配置文件数据相关联,以基于外围设备的给定指标集合和给定设备配置文件因子集合来确定外围设备是恶意设备的关联概率或可能性。
如上所述,风险分析管理器116可以分析任何数目的因子以确定相关联的风险因子。作为第一示例,当确定相关联的风险因子时,风险分析管理器116可以考虑外围设备的设备类型或类别。例如,在外围设备104包括将外围设备104标识为键盘、鼠标或能够提供输入命令的其他电子设备的设备描述符的情况下,风险分析管理器116可以将这些设备与高风险级别相关联。因此,在外围设备104能够直接与PCI总线交互或者能够以其他方式执行广泛范围的命令的情况下,风险分析管理器116可以确定比不能经由PCI总线交互或者可能具有有限范围的输入或特征的其他外围设备更高的风险级别。
然而,即使在外围设备104是与高风险级别相关联的设备类型的情况下,风险分析管理器116仍然可以基于附加因子来确定风险因子小于阈值风险因子。例如,在(例如,来自设备配置文件的)使用历史指示客户端设备102通常与外围设备104(或与具有相似或相同的设备指标的设备)交互的情况下,风险分析管理器116可以确定外围设备104能够与PCI总线交互不会构成像当使用历史指示检测到的外围设备104与客户端设备102的连接是客户端设备102第一次与类似类型的外围设备连接时那样高的威胁。
作为另一示例,风险分析管理器116可以考虑客户端设备102的当前环境集合(例如,环境因子)以进一步确定风险因子。例如,即使在客户端设备102可能具有与类似类型的外围设备连接的历史的情况下,风险分析管理器116也可以确定客户端设备102的当前位置(例如,在检测到外围设备104时客户端设备102的位置)与较高风险因子相关联。例如,在客户端设备102位于机场、餐馆或其他公共位置的情况下,风险分析管理器116可以确定连接键盘类型的设备通常是不常见的(或者至少对于特定客户端设备102来说是不常见的),因此是潜在的安全威胁。备选地,在客户端设备102具有指示客户端设备102的用户使用鼠标类型的外围设备是常见的(即使在特定公共位置)使用历史的情况下,风险分析管理器116可以指示在公共位置时,与风险分析管理器116检测键盘类设备的使用相比,风险要低。
除了客户端设备102的位置之外,风险分析管理器116还可以考虑环境因子,包括与(多个)本地网络和/或邻近对象相关联的信息。例如,在客户端设备102指的是除通常在用户身上的智能手机(或其他移动设备)之外的膝上型计算机、台式计算机或其他计算设备的情况下,风险分析管理器116可以检测到在客户端设备102的临近范围内没有智能手机。例如,风险分析管理器116可以检测到智能手机没有连接到与客户端设备102相同的无线网络(例如,在它们通常连接到相同的网络的情况下)或者客户端设备102不具有与智能手机的活动蓝牙(或其他短距离无线网络)连接(例如,在它们处于相同邻近内时通常是连接的情况下)。基于该确定,风险分析管理器116可以基于客户端设备102的用户不是典型用户的预测来确定更高的风险因子。
作为附加示例,风险分析管理器116可以考虑当前连接到客户端设备102的一个或多个附加外围设备。例如,在客户端设备102已经连接到信任键盘设备的情况下(或者在客户端设备102包括客户端设备102的用户通常使用的内置键盘的情况下),风险分析管理器116在检测到另一键盘类型的外围设备连接到连接端口而不是鼠标类型或不同类型的外围设备后,可以确定更高的风险因子。
上述用例中的每个用例都是以示例的方式提供的,并不旨在限制于其中讨论的因子的特定组合。例如,结合特定示例讨论的任何因子可以与本文讨论的一个或多个附加示例相结合。实际上,在确定外围设备104的风险因子时,可以考虑本文讨论的因子的任何组合。例如,在确定客户端设备102和所连接的外围设备104的关联风险因子时,风险分析管理器116可以考虑外围设备104的特征(例如,外围设备指标)的任何组合,结合环境因子和历史使用因子的任何组合。
在一个或多个实施例中,风险分析管理器116可以将一个或多个单个因子视为单独导致风险因子超过阈值的高风险因子。例如,每当客户端设备102第一次检测到能够与PCI总线交互的外围设备时,风险分析管理器116可以自动确定高风险因子(例如,高于阈值度量)。然而,风险分析管理器116可以考虑本文讨论的多个因子的任意组合,包括外围设备指标和客户端配置文件信息的组合,客户端配置文件信息包括与客户端设备102相关联的环境信息和使用数据。以此方式,风险分析管理器116可以实现个性化策略以确定外围设备104在连接到客户端设备102时是否构成安全风险。
如图2所示,风险分析管理器116可以向界面提示管理器118提供风险因子和/或风险因子是否超过阈值风险因子的指示。基于风险因子,界面提示管理器118可以生成并提供界面提示,以向客户端设备102的用户指示外围设备104对客户端设备102构成安全风险。例如,界面提示管理器118可以提供包括显示提示原因和/或确信外围设备104是能够攻击客户端设备102的系统的恶意设备的界面。
在一个或多个实施例中,界面提示管理器118包括一个或多个可选择选项,其使得客户端设备102的用户能够提供关于是允许还是阻止通过接口系统106的一个或多个接口访问外围设备104的输入。例如,界面提示管理器118可以提供指示与外围设备104相关联的风险的提示和使用户能够与外围设备104建立信任连接的选项,或者备选地,阻止客户端设备102和外围设备104之间的任何进一步通信的选项。在一个或多个实施例中,界面提示管理器118可以提供与授予可变访问级别相关联的附加选项。例如,界面提示管理器118可以提供可选择选项,以使能访问功率总线或数据总线,同时阻止访问PCI总线。
如图2所示,界面提示管理器118可以向许可管理器120提供检测到的用户选择。许可管理器120可以基于来自界面提示的所选选项,向外围设备104提供或以其他方式授予信任级别。在一个或多个实施例中,许可管理器120提供对外围设备104的无限制访问。备选地,在一个或多个实施例中,许可管理器120完全阻止对外围设备104的访问。在一个或多个实现中,许可管理器120提供部分访问,诸如使能与功率总线交互而不提供对PCI总线的访问。
如图2所示,许可管理器120可以向接口系统106提供许可决定,以根据许可决定授予或阻止对客户端设备102的系统的访问。例如,在许可决定包括与外围设备104建立信任连接的指令的情况下,接口系统106可以提供或以其他方式生成外围设备104的枚举。例如,接口系统106可以通过创建软件提取和初始化任何例程或驱动器来枚举外围设备,以使外围设备104能够根据外围设备管理系统114授予的信任级别与客户端设备102交互。接口系统106可以创建对外围设备104而言唯一或特定的输入的映射,使得客户端设备102了解如何解释从外围设备104接收到的输入或其他信号,并且以其他方式使外围设备104能够以外围设备104预期的方式运行。
如图2进一步所示,除了向接口系统106提供许可决定之外,许可管理器120还可以向风险分析管理器116提供许可反馈,以进一步细化用于确定针对外围设备104或其他外围设备的未来检测连接的风险因子的算法或模型。以此方式,外围设备管理系统114可以基于接收到的用户选择的历史来迭代地细化用于确定风险因子的模型,并且随着时间的推移改进确定客户端设备102的风险因子的准确性。
图2中还示出了与接口系统106通信的功率管理器122。在一个或多个实施例中,接口系统106可以考虑与风险分析管理器116类似的因子以确定与对客户端设备102充电相关联的一个或多个功率设置。例如,在外围设备104包括充电能力的情况下,接口系统106可以考虑客户端设备102的历史使用信息和环境因子,以确定要在外围设备104和客户端设备102之间应用的一个或多个功率设置。
作为示例,在检测到能够对客户端设备102充电的外围设备时客户端设备102位于机场或其他公共场所的情况下,功率管理器122可以确定以比客户端设备102的典型默认速率更快的速率向客户端设备102充电。备选地,在客户端设备102在住宅处,在夜间或预期客户端设备102在很长一段时间不会被使用的其他时间情况下,功率管理器122可以确定以低于典型默认速率的速率对客户端设备102充电(例如,为了保护电池寿命或其他功率考虑)。功率管理器122还可以考虑上述因子中的任何一个因子,以确定是与默认功率设置一致还是相反地将电池充电到满容量(例如,100%容量)或某种其他容量测量。
尽管图2示出了包括可在客户端设备102的组件之间共享的交互和数据的示例工作流200,但图3-图4示出了根据本文描述的一个或多个实施例,在与外围设备建立安全连接以及管理一个或多个功率设置时可以执行的一系列示例动作。例如,图3示出了用于根据所确定的风险因子建立与外围设备的连接的第一示例系列动作300。
如图3所示,客户端设备102可以执行检测与外围设备104的连接的动作302。在一个或多个实施例中,接口系统106基于由于外围设备104的连接器与客户端设备102的外部可访问端口接触而检测到的电压下降或尖峰,检测到与外围设备104的连接。
响应于检测到与外围设备的连接,客户端设备102可以执行从外围设备104接收外围设备数据的动作304。例如,接口系统106可以从外围设备请求信息,以使接口系统106在检测到外围设备104的连接后,就能够标识外围设备104的类别或类型、与外围设备104相关联的制造商或设备标识符以及接口系统106所请求的任何其他信息。
如进一步所示,客户端设备102可以基于客户端设备数据(例如,客户端配置文件数据)和接收到的外围设备数据来执行针对外围设备104的风险分析的动作306。例如,外围设备管理系统114可以分析任何数目的因子,包括客户端设备102的外围设备指标、环境因子和历史使用数据的组合,以确定指示外围设备104是能够并且有可能攻击客户端设备102的一个或多个系统的恶意设备的风险或可能性的风险因子。
如图2所示,客户端设备102可以执行确定风险因子是否超过阈值的动作308。例如,外围设备管理系统114可以确定外围设备104是恶意设备的可能性是否大于阈值可能性。在风险因子不超过阈值的情况下(例如,在恶意攻击的可能性非常低的情况下),外围设备管理系统114可以放弃提供任何界面提示,并执行建立与外围设备104的信任连接的动作310。例如,外围设备管理系统114可以提供指令以允许接口系统106基于外围设备104的信任状态来提供对一个或多个总线接口(例如,PCI接口)的访问。
除了建立信任连接之外,外围设备管理系统114还可以执行更新风险分析模型的动作312。例如,外围设备管理系统114可以微调或进一步训练在动作306使用的风险分析模型,以执行风险分析并确定针对外围设备104的风险因子。
再次参考动作308,在客户端设备102确定风险因子超过阈值的情况下,客户端设备102可以执行生成界面提示的动作314。例如,外围设备管理系统114可以生成包括关于潜在安全威胁的信息的界面提示,以及提供使用户能够手动指示是否信任外围设备104的多个可选择选项。下面结合图5A-图5B讨论与示例界面提示有关的附加细节。
在外围设备管理系统114检测到316信任外围设备104的输入的情况下,外围设备管理系统114可以执行建立信任连接的动作310。外围设备管理系统114还可以执行更新风险分析模型以进一步反映用户输入的动作312,该用户输入指示与相应的客户配置文件数据相关联的外围设备104在未来情况下可能是信任的(例如,取决于特定的风险分析模型)。备选地,在外围设备管理系统114没有检测到316信任外围设备104的输入的情况下(或者在用户特别选择了不信任外围设备104的输入的情况下),外围设备管理系统114可以改为执行阻止对外围设备104的访问的动作318。例如,外围设备管理系统114可以选择性地阻止对接口系统106的PCI总线或其他接口的访问。
图4示出了与建立与外围设备104的连接并基于外围设备信息和客户配置文件数据的组合来管理一个或多个功率设置相关联的另一示例系列动作400。例如,类似于图3,客户端设备102可以执行检测与外围设备104的连接的动作402。客户端设备102还可以执行接收外围设备数据的动作404。动作402-404可以包括上面结合相应动作302-304讨论的类似特征。此外,尽管图4中未示出,但是客户端设备可以在继续进行到动作406之前,根据本文描述的一个或多个实施例来继续与外围设备建立信任连接。
如图4所示,外围设备管理系统114可以执行基于客户端设备数据(例如,客户端配置文件)评估功率配置文件以确定功率设置的动作406。例如,如上所述,外围设备管理系统114可以分析各种环境因子和使用历史因子,以确定当使用外围设备104向客户端设备102充电时要应用的特定功率设置。
如图4所示,外围设备管理系统114可以执行确定是否应用默认功率设置的动作408。在外围设备管理系统114确定应用默认功率设置的情况下,外围设备管理系统114可以基于默认功率设置来执行向客户端设备102充电的动作410。这可以包括以快速速率、慢速速率、中等速率或对应于客户端设备102的默认功率设置的任何速率对客户端设备102进行充电。
备选地,在外围设备管理系统114确定在向客户端设备102充电时应当使用除默认功率设置之外的设置的情况下,外围设备管理系统114可以执行生成界面提示的动作412。界面提示可以包括任何数目的可选择选项,以使客户端设备102的用户能够选择相应的功率设置以在客户端设备102充电时应用。这可以包括选择充电速率或指示在当前情况下不应将客户端设备102充电到满容量。
基于所选择的用户输入,外围设备管理系统114可以执行确定在向客户端设备102充电时是否应用备选(例如,非默认)功率设置的动作414。在用户输入指示应用默认功率设置的偏好的情况下,外围设备管理系统114可以执行基于默认功率设置向客户端设备充电的动作410。备选地,在用户输入指示应用备选功率设置(例如,非默认功率设置)的偏好的情况下,外围设备管理系统114可以改为执行基于备选功率设置向客户端设备102充电的动作416。这可以包括根据用户输入和/或客户端设备102的环境条件来实现慢充电或快充电。
图5A-图5B示出了根据上述一个或多个实施例的示例界面提示。例如,图5A-图5B示出了基于确定风险因子超过阈值风险因子,经由客户端设备的图形用户界面提供的示例界面提示。在一个或多个实施例中,(多个)客户端设备可以放弃呈现界面提示,而改为与风险因子不超过阈值风险因子的外围设备建立信任连接。
图5A示出了包括图形用户界面504的示例客户端设备502(例如,膝上型设备)。如图5A所示,客户端设备502经由连接器508(例如,USB连接器)连接到外围设备506。如进一步示出的,客户端设备502(例如,在客户端设备502上实现的外围设备管理系统114)可以基于确定外围设备506的风险因子超过阈值风险因子,来提供界面提示510。
如图5A所示,界面提示510包括与外围设备506相关联的信息,该信息使客户端设备502的用户能够决定客户端设备502是否可以信任外围设备506。例如,界面提示510显示:“这是您一段时间以来第一次将ABC品牌鼠标连接到此计算机。您想要信任此设备吗?”在一个或多个实施例中,除了外围设备的指标(例如,品牌名称和设备类型)之外,外围设备管理系统114还提供包括使用历史的指示(例如,该品牌或类别的设备已经有一段时间没有连接到客户端设备502)的该信息。
该信息将使客户端设备502的用户能够容易地确定外围设备506是否对应于界面提示510内包含的信息。例如,如果外围设备506不是“ABC品牌鼠标”,则用户可以快速确定外围设备506构成威胁并且存在外围设备是恶意设备的重大风险。基于该观察,用户应该很容易选择“否”选项来阻止对客户端设备502的进一步访问。备选地,在外围设备506与界面提示510中包含的信息匹配的情况下,用户可以选择“是”选项,并且通过生成外围设备506的枚举并使外围设备506能够与客户端设备502的系统交互,来使客户端设备502向外围设备506授予信任级别。
图5B示出了包括图形用户界面514的另一示例客户端设备512(例如,智能电话)。如图5B所示,客户端设备经由连接器518连接到外围设备516。如进一步示出的,客户端设备512可以提供界面提示520(例如,基于确定所确定的风险因子超过阈值风险因子)。
类似于图5A,界面提示520包括与外围设备516和客户端设备512相关联的信息,以提供高风险因子的指示。例如,界面提示520显示:“看起来您是在洛杉矶国际机场。此XYZ品牌键盘是信任设备吗?”然后,客户端设备512的用户可以选择指示外围设备516是信任设备的“是”选项。备选地,客户端设备512的用户可以选择指示外围设备516不受信任的“否”选项。
这些示例图形用户界面是以示例的方式提供的,并且不旨在是限制性的。例如,界面提示可以包括与贡献于特定风险因子的因子相关联的任何信息。此外,界面提示可以包括除“是”或“否”之外的其他可选择选项。例如,在一个或多个实施例中,界面提示包括使用户能够选择性地提供对界面系统106的一个或多个界面的访问的更广泛种类的可选择选项。例如,基于用户选择,客户端设备102可以提供对功率接口108的选择性访问,同时阻止对数据接口110或命令接口112(例如,PCI接口)的访问。
现在转到图6,该附图示出了包括用于确定是否与外围设备建立信任关系的系列动作的示例流程图。尽管图6示出了根据一个或多个实施例的动作,但备选实施例可以省略、添加、重新排序和/或修改图6中所示的任何动作。此外,结合关于图6的单个动作或系列动作描述的一个或多个单个特征和功能可以类似地应用于本文描述的其他实施例和示例。图6的动作可以作为方法的一部分来执行。备选地,非瞬态计算机可读介质可以包括指令,该指令在由一个或多个处理器执行时,使计算设备执行图6的动作。在其他实施例中,系统可以执行图6的动作。
如图6所示,该系列动作600包括检测外围设备与客户端设备的连接的动作610。例如,动作610可以包括检测到外围设备与客户端设备的外部可访问端口的连接。在一个或多个实施例中,外部可访问端口包括通用串行总线(USB)端口,该USB端口包括被配置为经由客户端设备的不同总线驱动接收功率信号和数据信号的接口。
如进一步所示,该系列动作600包括接收包括关于外围设备的特征的信息的外围设备数据的动作620。例如,动作620可以包括经由检测到的连接从外围设备接收包括与外围设备的特征相关联的一个或多个指标的外围设备数据。
该系列动作600还可以包括基于外围设备特征和客户端设备的设备配置文件来确定针对外围设备的风险因子的动作630。例如,动作630可以包括基于从外围设备接收的一个或多个指标以及包括客户端设备的环境信息和客户端设备的历史使用信息的设备配置文件,来确定针对外围设备的风险因子。
环境信息可以包括各种信息。例如,环境信息可以包括在检测到外围设备的连接时客户端设备的当前位置。环境信息还可以包括外围设备的连接被检测到时一个或多个已知无线设备在客户端设备的邻近内存在或不存在的指示。环境信息还可以包括外围设备的连接被检测到时已经连接到客户端设备的一个或多个外围设备的标识。
历史使用信息还可以包括各种信息。例如,历史使用信息可以包括外围设备先前未连接到客户端设备的指示。历史使用信息还可以包括外围设备已经连接到与外围设备类似的一个或多个外围设备的指示。历史使用信息还可以包括先前检测到的客户端设备和一个或多个外围设备之间的连接的历史模式。历史使用信息还可以包括当客户端设备已经连接到一个或多个外围设备时客户端设备的一个或多个位置的指示。
在一个或多个实施例中,接收外围设备数据包括接收外围设备的设备类型的指示。此外,确定风险因子可以包括标识与接收到的指示相对应的针对设备类型的一个或多个输入能力,以及基于所标识的设备类型的一个或多个输入能力来确定风险因子。
该系列动作600还可以包括基于所确定的风险因子与外围设备建立信任连接的动作640。例如,动作640可以包括基于所确定的风险因子向外围设备授予信任级别。在一个或多个实施例中,该系列动作600还包括确定风险因子小于与外围设备是恶意设备的阈值风险相关联的阈值风险因子。在一个或多个实现中,向外围设备授予信任级别包括基于确定风险因子小于阈值风险因子,在客户端设备上枚举外围设备。
在一个或多个实施例中,该系列动作600包括确定风险因子大于与外围设备是恶意设备的阈值风险相关联的阈值风险因子。此外,该系列动作600可以包括,响应于确定风险因子大于阈值风险因子,经由客户端设备的图形用户界面提供界面提示,该界面提示指示与外围设备建立信任连接相关联的风险,其中界面提示包括与向外围设备授予信任级别相关联的一个或多个可选择选项。
该系列动作600可以包括检测从界面提示内提供的一个或多个可选择选项中对可选择选项的用户选择,该选择指示建立与外围设备的信任关系的偏好。向外围设备授予信任级别可以包括基于检测到用户对界面提示内提供的可选择选项的选择来在客户端设备上枚举外围设备。
备选地,该系列动作600可以包括检测到从界面提示内提供的一个或多个可选择选项中对可选择选项的用户选择,该选择指示阻止与外围设备的信任关系的偏好。向外围设备授予信任级别可以包括基于检测到用户对界面提示内提供的可选择选项的选择来停用从外围设备到客户端设备的进一步通信。
在一个或多个实施例中,外围设备是能够对客户端设备充电(例如,经由客户端设备和外围设备之间的连接)的设备。该系列动作600可以包括标识与经由与外围设备的连接向客户端设备充电的速度相关联的多个充电偏好。该系列动作600还可以包括,基于来自设备配置文件的环境信息,从多个充电偏好中选择充电偏好。多个充电偏好可以包括与第一充电速度相关联的第一充电速度偏好和与第二充电速度相关联的第二充电速度偏好,第二充电速度比第一充电速度更快。此外,可以基于外围设备的连接被检测到的时间和外围设备的连接被检测到时的客户端设备的位置的组合,充电偏好被选择。
图7示出了可以包括在计算机系统700内的某些组件。一个或多个计算机系统700可用于实现本文描述的各种设备、组件和系统。
计算机系统700包括处理器701。处理器701可以是通用单片或多片微处理器(例如,高级RISC(精简指令集计算机)机器(ARM))、专用微处理器(例如,数字信号处理器(DSP))、微控制器、可编程门阵列等。处理器701可以被称为中央处理单元(CPU)。尽管在图7的计算机系统700中仅示出了单个处理器701,但在备选配置中,可以使用处理器(例如,ARM和DSP)的组合。
计算机系统700还包括与处理器701进行电子通信的存储器703。存储器703可以是能够存储电子信息的任何电子组件。例如,存储器703可以实现为随机存取存储器(RAM)、只读存储器(ROM)、磁盘存储介质、光存储介质、RAM中的闪存设备、包括处理器的板上存储器、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、寄存器等,包括其组合。
指令705和数据707可以存储在存储器703中。指令705可以由处理器701执行以实现本文公开的一些或全部功能。执行指令705可以涉及使用存储在存储器703中的数据707。本文描述的模块和组件的各种示例中的任何一个可以部分或全部实现为存储在存储器703中并由处理器701执行的指令705。本文描述的各种数据示例中的任何一个可以在存储在存储器703中并在处理器701执行指令705期间使用的数据707中。
计算机系统700还可以包括用于与其他电子设备通信的一个或多个通信接口709。(多个)通信接口709可以基于有线通信技术、无线通信技术或两者。通信接口709的一些示例包括通用串行总线(USB)、以太网适配器、根据电气和电子工程师协会(IEEE)802.11无线通信协议操作的无线适配器、蓝牙
无线通信适配器和红外(IR)通信端口。
计算机系统700还可以包括一个或多个输入设备711和一个或多个输出设备713。输入设备711的一些示例包括键盘、鼠标、麦克风、遥控器、按钮、操纵杆、轨迹球、触摸板和光笔。输出设备713的一些示例包括扬声器和打印机。通常包括在计算机系统700中的一种特定类型的输出设备是显示设备715。与本文公开的实施例一起使用的显示设备715可以利用任何适合的图像投影技术,诸如液晶显示器(LCD)、发光二极管(LED)、气体等离子体、电致发光等。还可以提供显示控制器717,用于将存储在存储器703中的数据707转换为显示设备715上所示的文本、图形和/或运动图像(视情况而定)。
计算机系统700的各种组件可以通过一条或多条总线耦合在一起,该一条或多条总线可以包括功率总线、控制信号总线、状态信号总线、数据总线等。为清楚起见,在图7中将各种总线示为总线系统719。
本文描述的技术可以以硬件、软件、固件或其任何组合来实现,除非具体描述为以特定方式来实现。被描述为模块、组件等的任何特征也可以在集成逻辑设备中一起实现,或者单独实现为分立但可互操作的逻辑设备。如果以软件实现,则这些技术可以至少部分地通过包括指令的非瞬态处理器可读存储介质来实现,该指令在由至少一个处理器执行时执行本文描述的一个或多个方法。指令可以被组织为例程、程序、对象、组件、数据结构等,其可以执行特定任务和/或实现特定数据类型,并且可以根据需要在各种实施例中组合或分布。
本文描述的方法的步骤和/或动作可以在不脱离权利要求的范围的情况下彼此互换。换言之,除非所描述的方法的正确操作需要特定顺序的步骤或动作,否则可以在不脱离权利要求的范围的情况下修改特定步骤和/或动作的顺序和/或使用。
术语“确定”包括各种动作,因此,“确定”可包括运算、计算、处理、推导、调查、查找(例如,在表、数据库或另一数据结构中查找)、确认等。此外,“确定”可以包括接收(例如,接收信息)、访问(例如,访问存储器中的数据)等。此外,“确定”可以包括解析、选择、挑选、建立等。
术语“包括”、“包含”和“具有”旨在是包含性的,并且意味着可能存在除所列元素之外的附加元素。此外,应当理解,对本公开的“一个实施例”或“实施例”的引用并不旨在解释为排除也结合了所记载特征的附加实施例的存在。例如,在兼容的情况下,本文相对于实施例描述的任何元素或特征可以与本文描述的任何其他实施例的任何元素或特征组合。
本公开可以在不脱离其精神或特性的情况下以其他具体形式实施。所描述的实施例将被认为是说明性的而不是限制性的。因此,本公开的范围由所附权利要求指示,而不是由前述描述指示。权利要求的含义和等同范围内的改变应包含在其范围内。
Claims (15)
1.一种方法,包括:
检测外围设备与客户端设备的外部可访问端口的连接;
经由检测到的所述连接从所述外围设备接收外围设备数据,所述外围设备数据包括与所述外围设备的特征相关联的一个或多个指标;
基于从所述外围设备接收到的所述一个或多个指标以及包括针对所述客户端设备的环境信息和针对所述客户端设备的历史使用信息的设备配置文件,确定针对所述外围设备的风险因子;以及
基于所确定的所述风险因子向所述外围设备授予信任级别。
2.根据权利要求1所述的方法,其中所述外部可访问端口包括通用串行总线(USB)端口,所述通用串行总线端口包括被配置为经由所述客户端设备的不同总线驱动接收功率信号和数据信号的接口。
3.根据权利要求1所述的方法,
其中接收所述外围设备数据包括接收针对所述外围设备的设备类型的指示,以及
其中确定所述风险因子包括:
标识与接收到的所述指示相对应的针对所述设备类型的一个或多个输入能力;以及
基于所标识的针对所述设备类型的所述一个或多个输入能力来确定所述风险因子。
4.根据权利要求1所述的方法,其中所述环境信息包括以下一项或多项:
所述外围设备的所述连接被检测到时的所述客户端设备的当前位置;
所述外围设备的所述连接被检测到时,一个或多个已知无线设备在所述客户端设备的邻近内存在或不存在的指示;或者
所述外围设备的所述连接被检测到时已经连接到所述客户端设备的一个或多个外围设备的标识。
5.根据权利要求1所述的方法,其中所述历史使用信息包括以下一项或多项:
所述外围设备先前没有被连接到所述客户端设备的指示;
所述外围设备已经被连接到与所述外围设备类似的一个或多个外围设备的指示;
先前被检测到的所述客户端设备与一个或多个外围设备之间的连接的历史模式;或者
当所述客户端设备已经被连接到一个或多个外围设备时所述客户端设备的一个或多个位置的指示。
6.根据权利要求1所述的方法,还包括:
确定所述风险因子大于与所述外围设备是恶意设备的阈值风险相关联的阈值风险因子;以及
响应于确定所述风险因子大于所述阈值风险因子,经由所述客户端设备的图形用户界面提供界面提示,所述界面提示指示与建立与所述外围设备的信任连接相关联的风险,其中所述界面提示包括与向所述外围设备授予所述信任级别相关联的一个或多个可选择选项。
7.根据权利要求6所述的方法,还包括:
检测对所述界面提示内提供的所述一个或多个可选择选项中的可选择选项的用户选择,
其中,如果所述用户选择指示建立与所述外围设备的信任关系的偏好,向所述外围设备授予所述信任级别包括基于检测到对在所述界面提示内提供的所述可选择选项的所述用户选择而在所述客户端设备上枚举所述外围设备;以及
其中如果所述用户选择指示阻止与所述外围设备的信任关系的偏好,向所述外围设备授予所述信任级别包括基于检测到对所述界面提示内提供的所述可选择选项的所述用户选择而停用从所述外围设备到所述客户端设备的进一步通信。
8.根据权利要求1所述的方法,其中所述外围设备能够对所述客户端设备充电,还包括:
标识多个充电偏好,所述多个充电偏好与经由与所述外围设备的所述连接对所述客户端设备充电的速度相关联;以及
基于来自所述设备配置文件的环境信息,从所述多个充电偏好中选择充电偏好。
9.一种系统,包括:
一个或多个处理器;
存储器,所述存储器与所述一个或多个处理器电子通信;以及
存储在所述存储器中的指令,所述指令由所述一个或多个处理器可执行以:
检测外围设备与客户端设备的外部可访问端口的连接;
经由检测到的所述连接从所述外围设备接收外围设备数据,所述外围设备数据包括与所述外围设备的特征相关联的一个或多个指标;
基于从所述外围设备接收到的所述一个或多个指标以及包括针对所述客户端设备的环境信息和针对所述客户端设备的历史使用信息的设备配置文件,确定针对所述外围设备的风险因子;以及
基于所确定的所述风险因子向所述外围设备授予信任级别。
10.根据权利要求9所述的系统,
其中接收所述外围设备数据包括接收针对所述外围设备的设备类型的指示,以及
其中确定所述风险因子包括:
标识与接收到的所述指示的相对应的针对所述设备类型的一个或多个输入能力;以及
基于所标识的针对所述设备类型的所述一个或多个输入能力来确定所述风险因子。
11.根据权利要求9所述的系统,还包括指令,所述指令由所述一个或多个处理器可执行以:
确定所述风险因子大于与所述外围设备是恶意设备的阈值风险相关联的阈值风险因子;以及
响应于确定所述风险因子大于所述阈值风险因子,经由所述客户端设备的图形用户界面提供界面提示,所述界面提示指示与建立与所述外围设备的信任连接相关联的风险,其中所述界面提示包括与向所述外围设备授予所述信任级别相关联的一个或多个可选择选项;以及
检测对所述界面提示内提供的所述一个或多个可选择选项中的可选择选项的用户选择,所述用户选择指示与建立所述外围设备的信任关系的偏好,
其中向所述外围设备授予所述信任级别包括基于检测到在所述界面提示内提供的所述可选择选项的所述用户选择而在所述客户端设备上枚举所述外围设备。
12.根据权利要求9所述的系统,还包括指令,所述指令由所述一个或多个处理器可执行以:
确定所述风险因子大于与所述外围设备是恶意设备的阈值风险相关联的阈值风险因子;以及
响应于确定所述风险因子大于所述阈值风险因子,经由所述客户端设备的图形用户界面提供界面提示,所述界面提示指示与建立与所述外围设备的信任连接相关联的风险,其中所述界面提示包括与向所述外围设备授予所述信任级别相关联的一个或多个可选择选项;以及
检测对所述界面提示内提供的一个或多个可选择选项中的可选择选项的用户选择,所述用户选择指示阻止与所述外围设备的信任关系的偏好,
其中向所述外围设备授予所述信任级别包括基于检测到对所述界面提示内提供的所述可选择选项的所述用户选择而停用从所述外围设备到所述客户端设备的进一步通信。
13.一种非瞬态计算机可读介质,在其上存储有指令,所述指令在由一个或多个处理器执行时,使客户端设备:
检测外围设备与客户端设备的外部可访问端口的连接;
经由检测到的所述连接从所述外围设备接收外围设备数据,所述外围设备数据包括与所述外围设备的特征相关联的一个或多个指标;
基于从所述外围设备接收到的所述一个或多个指标以及包括针对所述客户端设备的环境信息和针对所述客户端设备的历史使用信息的设备配置文件,确定针对所述外围设备的风险因子;以及
基于所确定的所述风险因子向所述外围设备授予信任级别。
14.根据权利要求13所述的非瞬态计算机可读介质,还包括指令,所述指令在由所述一个或多个处理器执行时,使所述客户端设备:
确定所述风险因子大于与所述外围设备是恶意设备的阈值风险相关联的阈值风险因子;
响应于确定所述风险因子大于所述阈值风险因子,经由所述客户端设备的图形用户界面提供界面提示,所述界面提示指示与与所述外围设备建立信任连接相关联的风险,其中所述界面提示包括与向所述外围设备授予不同信任级别相关联的多个可选择选项;以及
响应于检测到对所述多个可选择选项中的第一可选择选项或第二可选择选项的用户选择:
基于对所述多个可选择选项中的所述第一可选择选项的选项,在所述客户端设备上枚举所述外围设备;或者
基于对所述多个可选择选项中的所述第二可选择选项的选择,停用从所述外围设备到所述客户端设备的进一步通信。
15.根据权利要求13所述的非瞬态计算机可读介质,其中所述外围设备能够对所述客户端设备充电,并且还包括指令,所述指令在由所述一个或多个处理器执行时,使所述客户端设备:
标识多个充电偏好,所述多个充电偏好与经由与所述外围设备的所述连接对所述客户端设备充电的速度相关联;以及
基于来自所述设备配置文件的环境信息,从所述多个充电偏好中选择充电偏好,
其中所述多个充电偏好包括与第一充电速度相关联的第一充电速度偏好和与第二充电速度相关联的第二充电速度偏好,所述第二充电速度比所述第一充电速度更快,以及
其中基于所述外围设备的所述连接被检测到的时间和所述外围设备的所述连接被检测到时所述客户端设备的位置的组合,所述充电偏好被选择。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/595,074 US11568094B2 (en) | 2019-10-07 | 2019-10-07 | Establishing a trusted connection with a peripheral device |
| US16/595,074 | 2019-10-07 | ||
| PCT/US2020/051347 WO2021071649A1 (en) | 2019-10-07 | 2020-09-18 | Establishing a trusted connection with a peripheral device |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114503088A true CN114503088A (zh) | 2022-05-13 |
| CN114503088B CN114503088B (zh) | 2024-03-19 |
Family
ID=72670854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080070312.3A Active CN114503088B (zh) | 2019-10-07 | 2020-09-18 | 与外围设备建立信任连接 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11568094B2 (zh) |
| EP (1) | EP4042313A1 (zh) |
| CN (1) | CN114503088B (zh) |
| WO (1) | WO2021071649A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20230034914A1 (en) * | 2021-07-13 | 2023-02-02 | Fortinet, Inc. | Machine Learning Systems and Methods for API Discovery and Protection by URL Clustering With Schema Awareness |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130311684A1 (en) * | 2013-06-25 | 2013-11-21 | Sky Socket, Llc | Peripheral Device Management |
| US20160182539A1 (en) * | 2014-12-23 | 2016-06-23 | Mcafee, Inc. | Detection of a malicious peripheral |
| US20160203311A1 (en) * | 2015-03-16 | 2016-07-14 | Brandon Kaines | Authorization of unique computer device specimens |
| US20170351870A1 (en) * | 2016-06-03 | 2017-12-07 | Honeywell International Inc. | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system |
| US20180365397A1 (en) * | 2017-06-16 | 2018-12-20 | Honeywell International Inc. | Apparatus and method for preventing unintended or unauthorized peripheral device connectivity by requiring authorized human response |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8667303B2 (en) * | 2010-11-22 | 2014-03-04 | Motorola Mobility Llc | Peripheral authentication |
| JP2014509421A (ja) | 2011-02-01 | 2014-04-17 | エムシーシーアイ コーポレイション | Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段 |
| US20120303827A1 (en) * | 2011-05-24 | 2012-11-29 | Microsoft Corporation | Location Based Access Control |
| US20130055044A1 (en) | 2011-08-25 | 2013-02-28 | Una Technologies Corporation | Method And Apparatus For Restricting The Operation Of USB Devices |
| US9582656B2 (en) | 2011-09-12 | 2017-02-28 | Microsoft Corporation | Systems for validating hardware devices |
| US8904496B1 (en) * | 2012-03-30 | 2014-12-02 | Emc Corporation | Authentication based on a current location of a communications device associated with an entity |
| US9026712B2 (en) | 2012-06-25 | 2015-05-05 | Intel Corporation | USB device control using endpoint type detection during enumeration |
| US20140280960A1 (en) * | 2013-03-15 | 2014-09-18 | Apple, Inc. | Methods and apparatus for dynamically allocating devices between multiple controllers |
| US9535857B2 (en) * | 2013-06-25 | 2017-01-03 | Airwatch Llc | Autonomous device interaction |
| US10515370B2 (en) * | 2013-10-09 | 2019-12-24 | The Toronto-Dominion Bank | Systems and methods for providing tokenized transaction accounts |
| US20160062762A1 (en) * | 2014-08-29 | 2016-03-03 | Coban Technologies, Inc. | Self-contained storage device for self-contained application execution |
| WO2016182554A1 (en) | 2015-05-11 | 2016-11-17 | Hewlett Packard Enterprise Development Lp | Peripheral device security |
| US20160373408A1 (en) | 2015-06-22 | 2016-12-22 | Adapt IP | Usb firewall devices |
| US9785771B1 (en) | 2015-07-13 | 2017-10-10 | Bromium, Inc. | Preventing malicious attacks launched from or involving usb devices |
| US10210326B2 (en) | 2016-06-20 | 2019-02-19 | Vmware, Inc. | USB stack isolation for enhanced security |
| US10484400B2 (en) * | 2016-07-20 | 2019-11-19 | Webroot Inc. | Dynamic sensors |
| US20180239889A1 (en) | 2017-02-21 | 2018-08-23 | Microsoft Technology Licensing, Llc | Validating human input devices when connected to a computer |
| US10713205B2 (en) * | 2017-02-24 | 2020-07-14 | Digital 14 Llc | Universal serial bus (USB) disconnection switch system, computer program product, and method |
| KR102387657B1 (ko) * | 2017-08-23 | 2022-04-19 | 삼성전자주식회사 | Usb 인터페이스를 통해 외부 장치와 연결하는 방법 및 그를 위한 전자 장치 |
| US10169567B1 (en) * | 2017-11-21 | 2019-01-01 | Lockheed Martin Corporation | Behavioral authentication of universal serial bus (USB) devices |
| US10296766B2 (en) * | 2018-01-11 | 2019-05-21 | Intel Corporation | Technologies for secure enumeration of USB devices |
| US10728259B2 (en) * | 2018-04-05 | 2020-07-28 | The Toronto-Dominion Bank | Dynamic authorization of pre-staged data exchanges based on contextual data |
-
2019
- 2019-10-07 US US16/595,074 patent/US11568094B2/en active Active
-
2020
- 2020-09-18 EP EP20781720.6A patent/EP4042313A1/en active Pending
- 2020-09-18 WO PCT/US2020/051347 patent/WO2021071649A1/en unknown
- 2020-09-18 CN CN202080070312.3A patent/CN114503088B/zh active Active
-
2023
- 2023-01-30 US US18/103,305 patent/US20230177221A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130311684A1 (en) * | 2013-06-25 | 2013-11-21 | Sky Socket, Llc | Peripheral Device Management |
| US20160182539A1 (en) * | 2014-12-23 | 2016-06-23 | Mcafee, Inc. | Detection of a malicious peripheral |
| US20160203311A1 (en) * | 2015-03-16 | 2016-07-14 | Brandon Kaines | Authorization of unique computer device specimens |
| US20170351870A1 (en) * | 2016-06-03 | 2017-12-07 | Honeywell International Inc. | Apparatus and method for device whitelisting and blacklisting to override protections for allowed media at nodes of a protected system |
| US20180365397A1 (en) * | 2017-06-16 | 2018-12-20 | Honeywell International Inc. | Apparatus and method for preventing unintended or unauthorized peripheral device connectivity by requiring authorized human response |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114503088B (zh) | 2024-03-19 |
| WO2021071649A1 (en) | 2021-04-15 |
| US11568094B2 (en) | 2023-01-31 |
| EP4042313A1 (en) | 2022-08-17 |
| US20230177221A1 (en) | 2023-06-08 |
| US20210103683A1 (en) | 2021-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11721127B2 (en) | Electronic device and method for identifying falsification of biometric information | |
| US9922194B2 (en) | Provisioning location-based security policy | |
| KR102677472B1 (ko) | 외부 장치로 전력을 공급하는 장치 및 이를 위한 방법 | |
| US10038290B2 (en) | Electrical device | |
| US10402222B2 (en) | Task migration method and apparatus | |
| KR102320151B1 (ko) | 어플리케이션을 설치하는 전자 장치 및 그 제어 방법 | |
| US10075443B2 (en) | System, apparatus and method for stateful application of control data in a device | |
| CN109416676B (zh) | 用于确定电子设备的角色的方法及其电子设备 | |
| US9779591B2 (en) | Keyboard backlight event messaging system | |
| KR20180020479A (ko) | 전자 장치, 및 전자 장치 제어 방법 | |
| CN105956436A (zh) | 一种应用程序的权限控制方法与终端 | |
| US20230177221A1 (en) | Establishing a trusted connection with a peripheral device | |
| US10805802B1 (en) | NFC-enhanced firmware security | |
| KR20150050200A (ko) | 출력 데이터 제어 방법 및 그 전자 장치 | |
| TW202030579A (zh) | 交流電源適配器指示器 | |
| US20120013474A1 (en) | Method for informing a user of a possibility to complete the execution of a process in a computing device | |
| US11430408B1 (en) | Detecting display device failures using power consumption profiling | |
| US20140283132A1 (en) | Computing application security and data settings overrides | |
| US11430405B1 (en) | Managing a display of an information handling system | |
| US20240028776A1 (en) | Input/output (i/o) attack prevention system and method of using the same | |
| EP4414830A1 (en) | Managing application updates | |
| US20230102470A1 (en) | Managing a light source of a power adapter of an information handling system | |
| US20240356927A1 (en) | System and method for enforcing a security framework for high-risk operations | |
| US20230300023A1 (en) | Context-based couplings | |
| US9843477B2 (en) | Representation and control of the scope of impact in inherited settings |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |