WO2014180244A1

WO2014180244A1 - 外部设备控制方法及装置

Info

Publication number: WO2014180244A1
Application number: PCT/CN2014/075847
Authority: WO
Inventors: 覃晓旭
Original assignee: 中兴通讯股份有限公司
Priority date: 2013-11-20
Filing date: 2014-04-21
Publication date: 2014-11-13
Also published as: CN104657690A

Abstract

本发明提供了外部设备控制方法及装置，该方法包括：从终端的端口接收到用于指示外部设备连接到端口的消息；根据控制规则确定外部设备在终端上的权限；根据权限对外部设备进行控制。通过本发明解决了相关技术中存在的对外部设备没有进行权限控制，导致系统安全性较低的问题，进而达到了提高系统稳定性、系统安全性和用户体验的效果。

Description

外部设备控制方法及装置

技术领域本发明涉及通信领域，具体而言，涉及一种外部设备控制方法及装置。背景技术随着技术的发展，终端一般提供了端口来支持外部设备，例如，计算机通用串行总线 (Universal Serial Bus, 简称为 USB)设备的应用，极大方便了信息设备快捷使用、增强了数据交换和存储的便利性。下面以 USB设备为例进行说明。 USB设备虽然使用方便，但是， USB设备使用中监控与审计等信息安全问题也显现出来。信息安全是每一个组织需要关心的重点，信息安全无处不在。发明人发现，相关技术中的系统没有对终端外设权限进行分级控制，是所有 USB 外设全部在终端可读写、可挂载、可映射。这种处理方式对终端造成了巨大的安全隐患，非授权用户可以通过 USB外设对终端进行非法操作，轻者系统不能正常工作，更为严重的是资料的泄密。因此，在相关技术中存在着对外部设备没有进行权限控制导致系统安全性较低的问题。发明内容本发明提供了一种外部设备控制方法及装置，以至少解决相关技术中存在的对外部设备没有进行权限控制导致系统安全性较低的问题。根据本发明的一个方面，提供了一种外部设备控制方法，包括：从终端的端口接收到用于指示外部设备连接到所述端口的消息；根据控制规则确定所述外部设备在所述终端上的权限；根据所述权限对所述外部设备进行控制。优选地，所述外部设备在所述终端上的权限包括以下至少之一：是否允许所述外部设备挂载在所述终端上、是否允许所述外部设备映射到所述终端上运行的虚拟机上、所述外部设备在挂载在所述终端和 /或映射到所述虚拟机上之后的读写权限。优选地，所述控制规则包括以下至少之一：根据所述端口的信息确定所述外部设备在所述终端上的权限；根据所述消息中携带的所述外部设备的信息确定所述外部设备在所述终端上的权限；根据所述终端上操作系统登录的用户或者该用户所属的用户组确定所述外部设备在所述终端上的权限；根据所述终端上运行虚拟机上的操作系统登录的用户或者该用户所属的用户组确定所述外部设备在所述终端上的权限。优选地，所述消息中携带的所述外部设备的信息包括以下至少之一：所述外部设备的厂商标识 VID、所述外部设备的产品标识 PID、所述外部设备的基类 Class、所述外部设备的子类 Subclass 所述外部设备的协议。优选地，所述控制规则是在所述终端本地制定的，和 /或，所述控制规则是由远程控制端下发的。优选地，所述方法还包括：接收到来自所述远程控制端的查询消息；根据所述查询消息上报所述终端的端口信息和 /或所述终端的端口上连接的外部设备的信息。优选地，从所述终端的端口接收到用于指示所述外部设备连接到所述端口的消息包括：初始化套接字绑定所述终端本地的端口，其中，所述套接字为非阻塞的套接字；建立线程，并通过所述线程接收所述消息。根据本发明的另一方面，提供了一种外部设备控制装置，包括：第一接收模块，设置为从终端的端口接收到用于指示外部设备连接到所述端口的消息；确定模块，设置为根据控制规则确定所述外部设备在所述终端上的权限；控制模块，设置为根据所述权限对所述外部设备进行控制。优选地，所述外部设备在所述终端上的权限包括以下至少之一：是否允许所述外部设备挂载在所述终端上、是否允许所述外部设备映射到所述终端上运行的虚拟机上、所述外部设备在挂载在所述终端和 /或映射到所述虚拟机上之后的读写权限。优选地，所述控制规则包括以下至少之一：根据所述端口的信息确定所述外部设备在所述终端上的权限；根据所述消息中携带的所述外部设备的信息确定所述外部设备在所述终端上的权限；根据所述终端上操作系统登录的用户或者该用户所属的用户组确定所述外部设备在所述终端上的权限；根据所述终端上运行虚拟机上的操作系统登录的用户或者该用户所属的用户组确定所述外部设备在所述终端上的权限。优选地，在所述外部设备为通用串行总线 USB设备的情况下，所述消息中携带的所述外部设备的信息包括以下至少之一：所述外部设备的厂商标识 VID、所述外部设备的产品标识 PID、所述外部设备的基类 Class、所述外部设备的子类 Subclass 所述外部设备的协议。优选地，所述控制规则是在所述终端本地制定的，和 /或，所述控制规则是由远程控制端下发的。优选地，所述装置还包括：第二接收模块，设置为接收到来自所述远程控制端的查询消息；上报模块，设置为根据所述查询消息上报所述终端的端口信息和 /或所述终端的端口上连接的外部设备的信息。优选地，所述第一接收模块设置为初始化套接字绑定所述终端本地的端口，并建立线程，通过所述线程接收所述消息，其中，所述套接字为非阻塞的套接字。通过本发明，采用根据外部设备在终端上的权限对外部设备进行控制的方法解决了在相关技术中存在的对外部设备没有进行权限控制导致系统安全性较低的问题，进而达到了提高系统稳定性、系统安全性和用户体验的效果。附图说明此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中- 图 1是根据本发明实施例的外部设备控制方法的流程图；图 2是根据本发明实施例的外部设备控制装置的结构框图；图 3是根据本发明实施例的外部设备控制装置的优选结构框图；图 4是根据本发明实施例的系统拓扑关系图；图 5是根据本发明实施例的远端控制远端映射系统框架图；图 6是根据本发明实施例的远端控制本地的系统框架图；图 7是根据本发明实施例的本地控制远端映射的系统框架图；图 8是根据本发明实施例的瘦终端本地（local) USB外设权限控制的流程；图 9是根据本发明实施例的远端下发控制命令控制本地 USB外设权限控制的流程图。具体实施方式下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。在本实施例中提供了一种外部设备控制方法，图 1是根据本发明实施例的外部设备控制方法的流程图，如图 1所示，该流程包括如下步骤：步骤 S102, 从终端的端口接收到用于指示外部设备连接到端口的消息；步骤 S104, 根据控制规则确定该外部设备在终端上的权限；步骤 S106, 根据该权限对该外部设备进行控制。通过上述步骤，采用控制规则并根据外部设备在终端上的权限对外部设备进行控制的方法，从而解决了在相关技术中存在的对外部设备没有进行权限控制导致系统安全性较低的问题，提高了系统稳定性、系统安全性和用户体验。优选地，从终端的端口接收到用于指示外部设备连接到端口的消息可以有多种实现方式，在一个优选实施方式中，可以采用套接字的方式来实现，例如，上述步骤 S102 可以包括：初始化套接字绑定终端本地的端口，其中，套接字为非阻塞的套接字；建立线程，并通过线程接收消息。实现非阻塞套接字的方式可以为通过 select机制来实现非阻塞的套接字，还可以采用在操作系统 Linux下通过 ioctl设置 0_NONBLOCK实现非阻塞的套接字，在操作系统 Windows下通过 ioctlsocket设置 FIONBIO实现非阻塞的套接字的方式，还可以通过其它可实现的方式。优选地，外部设备在终端上的权限可以为多种多样，例如，可以包括以下至少之一：是否允许外部设备挂载在终端上、是否允许外部设备映射到终端上运行的虚拟机上、外部设备在挂载在终端和 /或映射到虚拟机上之后的读写权限。在上述权限中，涉及到虚拟机。虚拟机可以使用在云技术中。随着虚拟技术的发展，云虚拟技术使用越来越频繁，云虚拟机同样存在安全问题，这是因为通过虚拟映射技术， USB外设能够正常使用，所以也需要终端把外设的映射权限控制起来。通过上述 "是否允许外部设备映射到终端上运行的虚拟机上" 就可以解决虚拟机安全的问题。根据上述的多种权限可以更全面的对外部设备进行控制，保证系统安全和稳定。优选地，上述控制规则也可以是多样的，例如，可以包括以下至少之一：根据端口的信息确定外部设备在终端上的权限；根据消息中携带的外部设备的信息确定外部设备在终端上的权限；根据终端上操作系统登录的用户或者该用户所属的用户组确定外部设备在终端上的权限；根据终端上运行虚拟机上的操作系统登录的用户或者该用户所属的用户组确定外部设备在终端上的权限。通过这些规则，可以针对不同的端口来进行设置，也可以根据具体的设备来进行控制，还可以根据用户本身来进行设置。这些规则可以结合使用，也可以单独使用。外部设备的类型可能存在有很多种，对于不同种类的设备可以得到不同的信息，例如，在一个优选的实施方式中，在外部设备为通用串行总线 USB设备的情况下，上述消息中携带的外部设备的信息可以包括以下至少之一：外部设备的厂商标识 VID、外部设备的产品标识 PID、外部设备的基类 Class、外部设备的子类 Subclass 外部设备的协议 Protocol。该优选实施方式可以使控制更加灵活，例如，可以通过 VID可以实现对不同厂商的设备的控制，通过 PID可以通过不同种类的外部设备的控制等等，通过该优选实施例可以实现对某一个具体的 USB设备进行权限限制，也可以实现对某一类 USB设备进行权限限制。优选地，上述控制规则可以是在终端本地制定的，也可以是由远程控制端下发的，这样可以实现本地外部设备的权限控制，又可以实现远端控制本地的外部设备的权限控制。优选地，远程控制端还可以查询终端的外部设备的信息，此时终端可以在接收到来自远程控制端的查询消息之后；根据该查询消息上报该终端的端口信息和 /或终端的端口上连接的外部设备的信息。在本实施例中还提供了一种外部设备控制装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语 "模块" 可以实现预定功能的软件和 /或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。图 2是根据本发明实施例的外部设备控制装置的结构框图，如图 2所示，该装置包括第一接收模块 22、确定模块 24和控制模块 26。下面对该外部设备控制装置进行说明。第一接收模块 22，设置为从终端的端口接收到用于指示外部设备连接到端口的消息；确定模块 24，连接至上述第一接收模块 22，设置为根据控制规则确定外部设备在终端上的权限；控制模块 26，连接至上述确定模块 24，设置为根据权限对外部设备进行控制。优选地，上述外部设备在终端上的权限包括以下至少之一：是否允许外部设备挂载在终端上、是否允许外部设备映射到终端上运行的虚拟机上、外部设备在挂载在终端和 /或映射到虚拟机上之后的读写权限。优选地，上述控制规则包括以下至少之一：根据端口的信息确定外部设备在终端上的权限；根据消息中携带的外部设备的信息确定外部设备在终端上的权限；根据终端上操作系统登录的用户或者该用户所属的用户组确定外部设备在终端上的权限；根据终端上运行虚拟机上的操作系统登录的用户或者该用户所属的用户组确定外部设备在终端上的权限。优选地，在外部设备为通用串行总线 USB设备的情况下，消息中携带的外部设备的信息包括以下至少之一：外部设备的厂商标识 VID、外部设备的产品标识 PID、外部设备的基类 Class、外部设备的子类 Subclass 外部设备的协议。优选地，上述控制规则是在终端本地制定的，和 /或，上述控制规则是由远程控制端下发的。图 3是根据本发明实施例的外部设备控制装置的优选结构框图，如图 3所示，该装置除包括图 2所示的所有模块外，还包括第二接收模块 32和上报模块 34。下面对该外部设备控制装置优选结构框图进行说明。第二接收模块 32，设置为接收到来自远程控制端的查询消息；上报模块 34，连接至上述第二接收模块 32，设置为根据查询消息上报终端的端口信息和 /或终端的端口上连接的外部设备的信息。优选地，上述第一接收模块 22还设置为初始化套接字绑定终端本地的端口，并建立线程，通过线程接收消息，其中，套接字为非阻塞的套接字。下面以 USB设备为例结合优选的实施例进行说明。以往终端的 USB外设的权限控制在 Windows下是利用操作系统提供的一些解决方案实现的，而在 Linux下通过终端命令行模式下手动进行 umount (卸载）和 mount

(挂载）实现分级权限控制的，而对于嵌入式终端没有命令行而无法做到精确控制。在本优选实施例中是通过后台监控 netlink消息，识别 USB外设插拔动作，通过网管服务器下发的控制命令，达到分级权限控制的目的。在本优选实施例中控制项可以细化到 USB外设的是否可挂载、是否可映射、是否只读、用户操作记录监控并上报给服务器控制。本优选实施例可以通过监听系统的消息，获取外设事件，然后对外设按权限分级进行挂载。可实现的分级有按设备类别、具体的设备控制动作对所有的 USB外设的控制有：是否可挂载、是否可映射，对 USB存储设备还可以控制其是否可读写等。禁止挂载，用户就不能挂载任何 USB设备；设置只读，用户就不能写入信息到 USB设备; 禁止映射，用户就不能将 USB设备映射到虚拟机，从而大大提高终端的信息安全性。其中，可以根据 USB设备的 vid (厂商 ID)、 pid (产品 Id)控制一个具体的 USB 设备的权限。也可以根据 USB设备的 Class (基类）、 Subclass (子类）、 Protocol (协议）的组合来达到控制某一类 USB设备的权限。还可以根据用户、用户组控制 USB 设备的权限。从而实现 USB设备的挂载、映射、读写权限的控制，也可以实现本地控制和远端映射控制。本优选实施例中以瘦终端为例进行说明。本优选实施例中实现瘦终端 USB外设权限分级控制的系统和方法可以如下：第一步，监听系统 netlink广播消息。该步骤可以包括如下步骤：初始化 socket; 建立收发线程；监听端口；接收消息。第二步，权限分级控制。该步骤可以包括如下步骤；接收消息；判断是否 USB外设；分析权限配置文件；根据权限配置文件进行挂载。在本优选实施例中体现了控制方式和控制类别。通过这两点可以对瘦终端的 USB 外设的权限进行控制；可以对瘦终端的 USB外设权限的控制方式；还可以对瘦终端的 USB外设权限的控制类别。权限配置文件的格式可以有很多种，在本优选实施例中提供了一种优选的权限配置文件的格式如下：

[USB Local Deny] version=V3.01.02T03 vidpid= class:

[USB Local Allow] version=V3.01.02T03 vidpid:

class:

[USB Remote Deny] version=V3.01.02T03 vidpid:

class:

[USB Remote Allow] version=V3.01.02T03 vidpid:

class:

[Others Local Deny] version=V3.01.02T03 dev=

[Others Remote Deny] version=V3.01.02T03 dev=

[Ports Local Deny] version=V3.01.02T03 ports:

[Ports Remote Deny] version=V3.01.02T03 ports: [Local ReadWrite] rw=readonly

[Remote ReadWrite] rw=readonly

USB权限配置描述：配置文件采用标准的 ini格式，包含十个 section (段）： [USB Local Deny]、 [USB Local Allow]、 [USB Remote Deny] [USB Remote Allow]、 [Others Local Deny]、 [Others Remote Deny]、 [Ports Local Deny] [Ports Remote Deny]、 [Local ReadWrite]、 [Remote ReadWrite]。每个段的意义如下： [USB Local Deny]和 [USB Local Allow]记录 USB外设在终端本地的权限控制规贝 1」，其中 vidpid记录的某些（个）具体的 USB外设在终端本地使能或者禁止， class 记录的是某些（个）类型的 USB外设在终端本地的使能和禁止；

[USB Remote Deny]和 [USB Remote Allow] 记录终端 USB外设映射到虚拟机的权限控制规则，其中 vidpid记录的某些（个）具体的终端终端 USB外设映射到虚拟机使能或者禁止， class记录的是某些（个）类型的终端 USB外设映射到虚拟机的使能和禁止；

[Others Local Deny]和 [Others Remote Deny]记录本地和映射时其他类型 USB外设的禁止规则，不是所有的 USB外设都遵循 USB协议会给出正确的 Vid、 pid、 class, subclass, protocol, 如果你不想那些不识别的 USB设备接入终端，可以在此添加规则。 [Ports Local Deny]和 [Ports Remote Deny] 记录本地和映射时 USB端口的禁止规贝 ij，如果 port值被设置，插入到终端上的这个设备就不能被识别或被映射到虚拟机。

[Local ReadWrite]、 [Remote ReadWrite]记录 rw的控制项，当 rw的值为 readonly 时表示设备为只读，默认值是只读，一般是针对存储设备的。权限控制规则：规则定义的是 Deny的优先级权限高于 Allow的优先级权限， vidpid 的优先级权限高于 class的优先级权限，端口的权限规则高于设备类型的权限。通过本优选实施例，可以使瘦终端从无到实现了 USB外设的权限控制，不仅可以控制具体的某个具体的 USB设备，还能控制一类 USB设备，从而对终端的信息安全起到了不可忽视的作用。图 4是根据本发明实施例的系统拓扑关系图。图 5是根据本发明实施例的远端控制远端映射系统框架图。图 6是根据本发明实施例的远端控制本地的系统框架图。图 7是根据本发明实施例的本地控制远端映射的系统框架图。图 4-7是系统框架图，描述系统各组成部分之间的关系。 USB外设权限分级控制系统主要针对应用层，采用 B/S 架构设计；整体系统拓扑关系上主要由 web 网页客户端、后台管理程序（管理端）、服务器、监控程序（客户端）、中继器、虚拟机六部分组成。 web网页客户端用于访问管理服务器下发控制命令，后台管理程序（管理端）跟终端监控程序通信实现控制 USB 外设权限分级控制的目的，服务器由数据库服务器、升级服务器、日志服务器等组成，中继器用于发送一些特殊的命令，云虚拟机是通过终端访问的可以进行办公的系统环境，监控程序接受服务器的控制命令，对 USB外设进行相应的控制。下面结合附图对技术方案的实施作进一步的描述：图 8是根据本发明实施例的瘦终端本地（local) USB外设权限控制的流程图，如图 8所示，该流程包括如下步骤：

S802, 初始化 socket, 绑定本地的端口，采用非阻塞的 socket。常见实现方式：使用 select 机制来实现非阻塞的 socket。可替代方式： Linux 下通过 ioctl 设置 0_N0NBL0CK实现非阻塞的 socket, Windows下通过 ioctlsocket设置 FI0NBI0实现非阻塞的 socket;

S804，建立收发线程，收线程主要监听端口消息；

S806, 发线程主要分析外设信息，然后分发给各个模块处理； S808 , 当收线程收到消息，判断是否 USB设备相关；

S810, 如果与 USB设备无关，则不处理，继续监听；

S812, 如果是设备相关的信息就交给发线程来处理，发线程解析收到的设备字符串，根据字符串解析出 USB端口信息（如 2-1.0)，并且在系统中获取 vendorid、productid、 productclass, subclass, protocol等信息，记录这些信息到一个结构体中； S814, 发线程分析权限控制文件，控制的规则是： Deny的权限规则高于 Allow的权限规则， pidvid的权限规则要高于 class的权限规则，端口的权限规则高于设备类型的权限规则，首先分析端口是否在 section [Ports Local Deny]中，如果端口在这个 section 中，则记录 mout的信息为 umount, 执行下一步；而如果端口不在该 section中，则继续分析设备的 vendorid、 roductid是否在 [USB Local Deny]的 vidpid中，如果在 vidpid 中，则记录 mout的信息为 umount, 执行下一步；否则分析设备的 vendorid、 productid 是否在 [USB Local Allow]的 vidpid中，如果在 vidpid中，则记录 mout的信息为 mount, 执行下一步；否则分析设备的 productclass 信息是否在段 [USB Local Deny]的 class中，如果在 section [USB Local Deny]的 class中，则记录 mout的信息为 umount, 执行下一步；否则记录 mout的信息为 mount, 执行下一步，分析设备的 class是否属于存储设备，如果是存储设备，那么读取 usb存储的 section [Local ReadWrite]的 rw的值，如果 rw为 readolny,则记录 rw的信息为 readonly,否则记为 writeable;如果不是存储设备， rw的信息为 null, 执行下一步；

S816, 如果 mout的信息为 mount, 而且 rw的信息不为 null, 也就是说是需要挂载 USB 存储设备，那么根据 rw 的属性重新挂载 usb存储设备，如果 rw 的属性为 readonly,那么挂载为只读，如果 rw的属性为 writeable,那么挂载为可读写；如果 mout 的信息为 umount, 而且 rw的信息不为 null, 那么需要卸载掉已经被系统挂载了的该设备；如果 mout的信息为 umount, 而且 rw的信息为 null, 则根据设备的 class卸载掉相应的驱动程序； S818 , 至此，瘦终端 USB外设的本地控制已经完成。图 9是根据本发明实施例的远端下发控制命令控制本地 USB外设权限控制的流程图，如图 9所示，该流程包括如下步骤：

S902, 初始化 socket, 绑定本地的端口，采用非阻塞的 socket。常见实现方式：使用 select 机制来实现非阻塞的 socket。可替代方式： Linux 下通过 ioctl 设置 0_NONBLOCK实现非阻塞的 socket, Windows下通过 ioctlsocket设置 FIONBIO实现非阻塞的 socket;

S904，建立收发线程，收线程主要监听端口消息；

S906, 发线程主要分析外设信息，然后分发给各个模块处理；

S908 , 当收线程收到消息，判断是否 USB设备相关； S910, 如果与 USB设备无关，则不处理，继续监听；

S912, 如果是设备相关的信息就交给发线程来处理，发线程解析收到的设备字符串，根据字符串解析出 USB端口信息（如 2-1.0)，并且在系统中获取 vendorid、productid、 productclass, subclass, protocol等信息，记录这些信息到一个结构体中； S914，发线程分析权限控制文件，控制的规则是： Deny的权限规则高于 Allow的权限规则， pidvid的权限规则要高于 class的权限规则，端口的权限规则高于设备类型的权限规则，首先分析端口是否在 section [Ports Local Deny]中，如果端口在这个 section 中，则记录 mout的信息为 umount, 执行下一步；而如果端口不在该 section中，则继续分析设备的 vendorid、 roductid是否在 [USB Local Deny]的 vidpid中，如果在 vidpid 中，则记录 mout的信息为 umount, 执行下一步；否则分析设备的 vendorid、 productid 是否在 [USB Local Allow]的 vidpid中，如果在 vidpid中，则记录 mout的信息为 mount, 执行下一步；否则分析设备的 productclass信息是否在段 [USB Local Deny]的 class中，如果在 section [USB Local Deny]的 class中，则记录 mout的信息为 umount, 执行下一步；否则记录 mout的信息为 mount, 执行下一步，分析设备的 class是否属于存储设备，如果是存储设备，那么读取 usb存储的 section [Local ReadWrite]的 rw的值，如果 rw为 readolny,则记录 rw的信息为 readonly,否则记为 writeable;如果不是存储设备， rw的信息为 null, 执行下一步；

S916, 如果 mout的信息为 mount, 而且 rw的信息不为 null, 也就是说是需要挂载 USB 存储设备，那么根据 rw 的属性重新挂载 usb存储设备，如果 rw 的属性为 readonly,那么挂载为只读，如果 rw的属性为 writeable,那么挂载为可读写；如果 mout 的信息为 umount, 而且 rw的信息不为 null, 那么需要卸载掉已经被系统挂载了的该设备；如果 mout的信息为 umount, 而且 rw的信息为 null, 则根据设备的 class卸载掉相应的驱动程序。远程控制端管理界面可查询和修改如下项目：按端口控制（对应终端的 port规则，如 Ports Local Deny )，按设备类型控制（对应终端的 class规则，如 [USB Local Allow]下的 class ),

设备类型可按大类和小类来分，对应 USB协议的 base class和 subclass。 Base class 如下：

每个 base class都有本属性的 subclass禾口 protocol, 以 Base Class EOh (Wireless Controller)为例：

按具体的设备 vid、 pid控制（对应终端的 vidpid规则，如 [USB Local Allow]下的 vidpid )。控制的类型有开启（同时开启本地和映射的权限）、关闭（同时关闭本地和映射的权限）、仅开启本地（关闭映射权限）、仅开启映射（关闭本地权限）。

S918 ,远端控制端可查询当前设备的 USB外设信息。瘦终端接收控制端查询参数，轮询当前 USB外设端口情况，包括设备类型及其权限，并上报当前瘦终端的权限规则，保存当前外设链表；

S920, 瘦终端接收远程控制端配置参数，并写入配置文件对应的项；

S922, 如果有必要对瘦终端上的外设按照第 S914-S916步的规则重新挂载设备；

S924, 瘦终端 USB外设的远端控制端下发控制命令控制本地 USB设备权限流程已经完成。在以下部分中示出了远端控制端管理界面下发控制消息。远程控制端管理界面可以有如下项目：按端口控制（对应终端的 port规则）；按设备类型控制（对应终端的 class规则）；按具体的设备 vid、pid控制（对应终端的 vidpid 规则）；控制的类型有开启（同时开启本地和映射的权限）、关闭（同时关闭本地和映射的权限）、仅开启本地（关闭映射权限）、仅开启映射（关闭本地权限）。根据管理界面选择的权限控制规则，组成一个数据序列下发给瘦终端设备，管理协议可以采用 tr069协议或者 snmp协议。瘦终端代理程序把原创管理端下发的规则写进终端本地存储的配置文件中，供权限管理模块使用。远端控制端下发控制命令控制瘦终端 USB外设映射权限的流程，其流程图与图 9 相似，该流程包括如下步骤：

S1002, 初始化 socket, 绑定本地的端口，采用非阻塞的 socket, 初始化 select。常见实现方式：使用 select机制来实现非阻塞的 socket。可替代方式： Linux下通过 ioctl 设置 0_NONBLOCK实现非阻塞的 socket, Windows下通过 ioctlsocket设置 FI0NBI0 实现非阻塞的 socket。 S1004, 建立收发线程，收线程主要监听端口消息；

S1006, 发线程主要分析外设信息，然后分发给各个模块处理；

S1008, 当收线程收到消息，判断是否 USB设备相关；

S1010, 如果与 USB设备无关，则不处理，继续监听；

S1012,如果是设备相关的信息就交给发线程来处理，发线程解析收到的设备字符串，根据字符串解析出 USB端口信息（如 2-1.0)，并且在系统中获取 vendorid、productid、 productclass, subclass, protocol等信息，记录这些信息到一个结构体中；

S1014, 发线程分析权限控制文件，控制的规则是： Deny 的权限规则高于 Allow 的权限规则， pidvid的权限规则要高于 class的权限规则，端口的权限规则高于设备类型的权限规则，首先分析端口是否在 section [Ports Remote Deny]中，如果端口在这个 section中，则记录 mout的信息为 umount, 执行下一步；而如果端口不在该 section 中，则继续分析设备的 vendorid、 productid 是否在 [USB Remote Deny]的 vidpid中，如果在 vidpid中，则记录 mout的信息为 umount,执行下一步；否则分析设备的 vendorid、 productid 是否在 [USB Remote Allow]的 vidpid中，如果在 vidpid中，则记录 mout的信息为 mount, 执行下一步；否则分析设备的 productclass 信息是否在段 [USB Remote Deny]的 class中，如果在 section [USB Remote Deny]的 class中，贝 ij记录 mout的信息为 umount, 执行下一步；否则记录 mout的信息为 mount, 执行下一步。分析设备的 class 是否属于存储设备，如果是存储设备，那么读取 usb 存储的 section [Remote ReadWrite]的 rw的值，如果 rw为 readolny, 则记录 rw的信息为 readonly, 否则记为 writeable; 如果不是存储设备， rw的信息为 null, 执行下一步；

S1016, 如果 mout的信息为 mount, 而且 rw的信息不为 null, 也就是说是需要映射 USB存储设备，那么根据 nv的属性重新发送命令给虚拟机以重映射 usb存储设备，如果 rw的属性为 readonly, 那么映射为只读，如果 rw的属性为 writeable, 那么映射为可读写；如果 mout的信息为 umount, 而且 rw的信息不为 null, 那么需要解除该外设映射关系；如果 mout的信息为 umount, 而且 rw的信息为 null, 则根据设备的 class 解除该外设的映射关系；远程控制端管理界面可查询和修改如下项目：按端口控制（对应终端的 port规则）；按设备类型控制（对应终端的 class规则）：设备类型可按大类和小类来分，对应

USB协议的 base class和 subclass, 同上例；每个 base class都有本属性的 subclass和 protocol, 同上例；按具体的设备 vid、 pid控制（对应终端的 vidpid规则）。控制的类型有开启（同时开启本地和映射的权限）、关闭（同时关闭本地和映射的权限）、仅开启本地（关闭映射权限）、仅开启映射（关闭本地权限）。

S1018, 远端控制端可查询瘦终端已经映射了的 USB外设信息。瘦终端接收控制端查询参数，轮询当前 USB外设端口情况，包括设备类型及其权限，并上报当前瘦终端的权限规则。保存当前外设链表；

S1020, 瘦终端接收远程控制端配置参数，并写入配置文件对应的项； S1022, 如果有必要将对瘦终端上的外设按照第 S1014- S1016步的规则重新映射设备；

S1024,瘦终端 USB外设的远端控制端下发控制命令控制 USB设备映射权限流程已经完成。显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。工业实用性如上所述，本发明实施例提供的一种外部设备控制方法及装置具有以下有益效果：解决了相关技术中存在的对外部设备没有进行权限控制，导致系统安全性较低的问题，进而达到了提高系统稳定性、系统安全性和用户体验的效果。

Claims

权利要求书

1. 一种外部设备控制方法，包括：

从终端的端口接收到用于指示外部设备连接到所述端口的消息；根据控制规则确定所述外部设备在所述终端上的权限；

根据所述权限对所述外部设备进行控制。

2. 根据权利要求 1所述的方法，其中，所述外部设备在所述终端上的权限包括以下至少之一：

是否允许所述外部设备挂载在所述终端上、是否允许所述外部设备映射到所述终端上运行的虚拟机上、所述外部设备在挂载在所述终端和 /或映射到所述虚拟机上之后的读写权限。

3. 根据权利要求 1或 2所述的方法，其中，所述控制规则包括以下至少之一：根据所述端口的信息确定所述外部设备在所述终端上的权限；根据所述消息中携带的所述外部设备的信息确定所述外部设备在所述终端上的权限；

根据所述终端上操作系统登录的用户或者该用户所属的用户组确定所述外部设备在所述终端上的权限；

根据所述终端上运行虚拟机上的操作系统登录的用户或者该用户所属的用户组确定所述外部设备在所述终端上的权限。

4. 根据权利要求 3所述的方法，其中，在所述外部设备为通用串行总线 USB设备的情况下，所述消息中携带的所述外部设备的信息包括以下至少之一：

所述外部设备的厂商标识 VID、所述外部设备的产品标识 PID、所述外部设备的基类 Class、所述外部设备的子类 Subclass 所述外部设备的协议。

5. 根据权利要求 1至 4中任一项所述的方法，其中，所述控制规则是在所述终端本地制定的，和 /或，所述控制规则是由远程控制端下发的。

6. 根据权利要求 5所述的方法，其中，所述方法还包括：

接收到来自所述远程控制端的查询消息；根据所述查询消息上报所述终端的端口信息和 /或所述终端的端口上连接的外部设备的信息。

7. 根据权利要求 1至 4中任一项所述的方法，其中，从所述终端的端口接收到用于指示所述外部设备连接到所述端口的消息包括：

初始化套接字绑定所述终端本地的端口，其中，所述套接字为非阻塞的套接字；

建立线程，并通过所述线程接收所述消息。

8. 一种外部设备控制装置，包括：

第一接收模块，设置为从终端的端口接收到用于指示外部设备连接到所述端口的消息；

确定模块，设置为根据控制规则确定所述外部设备在所述终端上的权限；控制模块，设置为根据所述权限对所述外部设备进行控制。

9. 根据权利要求 8所述的装置，其中，所述外部设备在所述终端上的权限包括以下至少之一：

10. 根据权利要求 8或 9所述的装置，其中，所述控制规则包括以下至少之一：根据所述端口的信息确定所述外部设备在所述终端上的权限；根据所述消息中携带的所述外部设备的信息确定所述外部设备在所述终端上的权限；

11. 根据权利要求 10所述的装置，其中，在所述外部设备为通用串行总线 USB设备的情况下，所述消息中携带的所述外部设备的信息包括以下至少之一：所述外部设备的厂商标识 VID、所述外部设备的产品标识 PID、所述外部设备的基类 Class、所述外部设备的子类 Subclass 所述外部设备的协议。

12. 根据权利要求 8至 11中任一项所述的装置，其中，所述控制规则是在所述终端本地制定的，和 /或，所述控制规则是由远程控制端下发的。

13. 根据权利要求 12所述的装置，其中，所述装置还包括：

第二接收模块，设置为接收到来自所述远程控制端的查询消息；上报模块，设置为根据所述查询消息上报所述终端的端口信息和 /或所述终端的端口上连接的外部设备的信息。

14. 根据权利要求 8至 11中任一项所述的装置，其中，所述第一接收模块设置为初始化套接字绑定所述终端本地的端口，并建立线程，通过所述线程接收所述消息，其中，所述套接字为非阻塞的套接字。