對接入計算設備的外置設備進行控制的方法、裝置及系統與流程
2023-06-23 13:59:06
本發明涉及計算機安全技術領域,尤其涉及一種對接入計算設備的外置設備進行控制的方法、裝置及系統。
背景技術:
隨著計算機技術的迅速發展,計算設備已在人們的生活中隨處可見。同時,可以將各種不依賴於計算設備、獨立或半獨立工作的外置設備與計算設備連接,擴展或提高計算設備的功能或性能。而企業出於信息安全的考慮,需要對接入計算設備的外置設備進行控制。
計算設備通常通過其上的接口(例如usb接口)與外置設備連接。因此,可以通過在計算設備作業系統上額外安裝接口控制軟體來實現對接入計算設備的外置設備進行控制。但這種實現方式較複雜,並且,一方面作業系統存在的漏洞可能會導致控制失效,另一方面,人為地關閉控制軟體也可能會導致控制失效。
因此,迫切需要一種更先進更簡便的對接入計算設備的外置設備進行控制的方案。
技術實現要素:
為此,本發明提供一種對接入計算設備的外置設備進行控制的方案,以力圖解決或者至少緩解上面存在的至少一個問題。
根據本發明的一個方面,提供了一種對接入計算設備的外置設備進行控制的方法,適於在設備認證裝置中執行,設備認證裝置連接到計算設備,外置設備通過接入到設備認證裝置來接入所述計算設備,該方法包括步驟:響應於外置設備接入到設備認證裝置,讀取外置設備存儲的認證文件,認證文件為加密文件,並包括第一接入許可列表和外置設備的設備標識,第一接入許可列表記錄有一個或者多個允許通過設備認證裝置接入計算設備的外置設備的設備標識;利用設備認證裝置的密鑰解密所讀取的認證文件,以獲取其中的第一接入許可列表和設備標識;如果解密成功,比對外置設備的設備標識與認證文件中的設備標識是否一致;若二者比對一致,則查找認證文件中的第一接入許可列表是否包括該設備標識;以及若包括,則允許外置設備通過設備認證裝置接入計算設備。
根據本發明的另一方面,提供了一種對接入計算設備的外置設備進行控制的方法,適於在對接入計算設備的外置設備進行控制的系統中執行,該系統包括設備管理裝置和與計算設備連接的設備認證裝置,該方法包括步驟:在設備管理裝置處,存儲設備認證裝置的密鑰和第一接入許可列表,第一接入許可列表記錄有一個或者多個允許通過設備認證裝置接入計算設備的外置設備的設備標識;響應於具有存儲空間的外置設備接入到設備管理裝置、並請求通過設備認證裝置接入計算設備,生成認證文件,認證文件利用設備認證裝置的密鑰加密,並包括設備認證裝置的第一接入許可列表和外置設備的設備標識;將所生成的認證文件存儲至外置設備;以及在設備認證裝置處,執行根據本發明的對接入計算設備的外置設備進行控制的方法。
根據本發明的另一方面,提供了一種設備認證裝置,適於分別與外置設備和計算設備連接,並控制外置設備通過設備認證裝置對計算設備的接入,該裝置包括:連接到計算設備的接頭;供外置設備連接的接口;處理器;存儲器;以及存儲在存儲器中的程序,該程序被配置為由處理器執行,程序包括用於執行根據本發明的對接入計算設備的外置設備進行控制的方法的指令。
根據本發明的另一方面,提供了一種存儲程序的可讀存儲介質,所述程序包括指令,所述指令當由設備認證裝置執行時,使得所述設備認證裝置執行根據本發明的對接入計算設備的外置設備進行控制的方法。
根據本發明的另一方面,提供了一種設備管理裝置,該裝置包括:供外置設備和設備認證裝置連接的接口;處理器;存儲器;以及存儲在存儲器中的程序,程序被配置為由所述處理器執行,程序包括指令,指令適於由處理器加載並執行:存儲設備認證裝置的密鑰和第一接入許可列表,第一接入許可列表記錄有一個或者多個允許通過設備認證裝置接入其連接的計算設備的外置設備的設備標識;響應於具有存儲空間的外置設備接入到設備管理裝置、並請求通過設備認證裝置接入其連接的計算設備,生成認證文件,認證文件利用設備認證裝置的密鑰加密,並包括設備認證裝置的第一接入許可列表和外置設備的設備標識;以及將所生成的認證文件存儲至外置設備。
根據本發明的另一方面,提供了一種存儲程序的可讀存儲介質,程序包括指令,指令當由設備管理裝置執行時,使得設備管理裝置執行:存儲設備認證裝置的密鑰和第一接入許可列表,第一接入許可列表記錄有一個或者多個允許通過設備認證裝置接入其連接的計算設備的外置設備的設備標識;響應於具有存儲空間的外置設備接入到設備管理裝置、並請求通過設備認證裝置接入其連接的計算設備,生成認證文件,認證文件利用設備認證裝置的密鑰加密,並包括設備認證裝置的第一接入許可列表和外置設備的設備標識;以及將所生成的認證文件存儲至外置設備。
根據本發明的還有一個方面,提供了一種對接入計算設備的外置設備進行控制的系統,包括:根據本發明的設備認證裝置;以及根據本發明的設備管理裝置。
根據本發明的對接入計算設備的外置設備進行控制的方案,設備管理裝置生成加密的認證文件,存儲該認證文件的外置設備接入到設備認證裝置,設備認證裝置連接到計算設備,設備認證裝置可以根據外置設備存儲的認證文件來判斷是否允許該外置設備接入其連接的計算設備,而無需在計算設備上進行操作,這樣整個控制過程獨立於計算設備,避免了計算設備存在的漏洞可能引發的外置設備接入安全問題,實現了外置設備接入的集中控制,有利於企業信息安全管理。同時,不需要改造接入的外置設備,而是採用設備管理裝置生成的認證文件作為接入憑證,外置設備的設備標識作為認證元素,整個控制過程兼顧易用性與安全性,降低了運維成本;
進一步地,若接入設備認證設備的是不具有存儲空間的外置設備,在設備認證裝置中存儲記錄有允許接入的不具有存儲空間的外置設備的第二接入列表,通過判斷第二接入列表是否包括接入的外置設備來判斷是否允許該外置設備接入,從而實現了對不具有存儲空間的外置設備的接入控制;
進一步地,在設備認證裝置中存儲記錄有已接入過的具有存儲空間的外置設備的第三接入列表,通過對該第三接入列表是否包括接入的外置設備的判斷可大大地簡化已接入過的外置設備的接入流程,提高用戶體驗。
附圖說明
為了實現上述以及相關目的,本文結合下面的描述和附圖來描述某些說明性方面,這些方面指示了可以實踐本文所公開的原理的各種方式,並且所有方面及其等效方面旨在落入所要求保護的主題的範圍內。通過結合附圖閱讀下面的詳細描述,本公開的上述以及其它目的、特徵和優勢將變得更加明顯。遍及本公開,相同的附圖標記通常指代相同的部件或元素。
圖1示出了根據本發明的一個示例性實施方式的對接入計算設備的外置設備進行控制的系統100的結構框圖;以及
圖2示出了根據本發明的一個示例性實施方式的對接入計算設備的外置設備進行控制的方法200的流程圖。
具體實施方式
下面將參照附圖更詳細地描述本公開的示例性實施例。雖然附圖中顯示了本公開的示例性實施例,然而應當理解,可以以各種形式實現本公開而不應被這裡闡述的實施例所限制。相反,提供這些實施例是為了能夠更透徹地理解本公開,並且能夠將本公開的範圍完整的傳達給本領域的技術人員。
圖1示出了根據本發明一個示例性實施方式的對接入計算設備的外置設備進行控制的系統100的結構框圖。該系統100包括設備管理裝置120和至少一個設備認證裝置140。
在基本的配置中,設備管理裝置120典型地包括存儲器和處理器。取決於期望的配置,存儲器可以是任意類型的存儲器,包括但不限於:易失性存儲器(諸如ram)、非易失性存儲器(諸如rom、快閃記憶體等)或者它們的任何組合。存儲器可以包括作業系統、一個或者多個程序以及程序數據。在一些實施方式中,程序可以被配置為在作業系統上由處理器利用程序數據執行指令。
設備管理裝置120還可以包括供各種外置設備連接的接口。設備管理裝置120可以經由這些接口和諸如不具有存儲空間的設備(例如,鍵盤、滑鼠、筆、語音輸入設備、觸摸輸入設備、印表機、掃描儀等)或者具有存儲空間的設備(例如小型便攜存儲設備)之類的外置設備進行通信。此外,設備管理裝置120可以經由這些接口和設備認證裝置140進行通信。
具體地,設備管理裝置120可以實現為伺服器,例如文件伺服器、資料庫伺服器、應用程式伺服器和網絡伺服器等,也可以實現為包括桌面計算機和筆記本計算機配置的個人計算機。此外,設備管理裝置120還可以實現為小尺寸便攜(或者移動)電子設備的一部分,這些電子設備可以是諸如蜂窩電話、個人數字助理(pda)、個人媒體播放器設備、無線網絡瀏覽設備、個人頭戴設備、應用專用設備、或者可以包括上面任何功能的混合設備。
類似地,在基本的配置中,設備認證裝置140典型地包括存儲器和處理器。取決於期望的配置,存儲器可以是任意類型的存儲器,包括但不限於:易失性存儲器(諸如ram)、非易失性存儲器(諸如rom、快閃記憶體等)或者它們的任何組合。存儲器可以包括作業系統、一個或者多個程序以及程序數據。在一些實施方式中,程序可以被配置為在作業系統上由處理器利用程序數據執行指令。
設備認證裝置140還可以包括連接到計算設備的接頭、和供各種外置設備連接的接口。設備認證裝置140可以經由這些接口和設備管理裝置120、計算設備、以及諸如不具有存儲空間的設備(例如,鍵盤、滑鼠、筆、語音輸入設備、觸摸輸入設備、印表機、掃描儀等)或者具有存儲空間的設備(例如小型便攜存儲設備)之類的外置設備連接,從而控制這些外置設備與設備認證裝置140連接的計算設備進行通信。
具體地,設備認證裝置140可以實現為集線器,還可以實現為小尺寸便攜(或者移動)電子設備的一部分,這些電子設備可以是包括上面任何功能的混合設備。
每個設備認證裝置140均具有與該設備認證裝置140對應的、唯一的密鑰種子,設備認證裝置140的程序包括的指令可以由處理器加載並執行:基於其密鑰種子,每隔預定時間周期生成該設備認證裝置140的密鑰。生成密鑰的算法可以是諸如hotp之類的算法,預定時間周期通常為1天。
設備管理裝置120存儲有每個設備認證裝置140的密鑰。具體地,設備認證裝置140可以事先與設備管理裝置120連接,與設備管理裝置120共享其密鑰種子,這樣設備管理裝置120和設備認證裝置140可以基於該共享的設備認證裝置140的密鑰種子,每隔預定時間周期在同一時間根據同一算法生成密鑰。顯然,二者生成的密鑰必然是相同的。此外,設備認證裝置140的密鑰還可以包括數字證書。
設備管理裝置120同時還存儲有設備認證裝置140的第一接入許可列表,第一接入許可列表記錄有一個或者多個允許通過該設備認證裝置140接入其連接的計算設備的外置設備的設備標識,需要注意的是,這裡的外置設備包括具有存儲空間的外置設備和不具有存儲空間的外置設備。其中,可以由用戶預先配置該第一接入許可列表,並進行後期修改。還可以將允許通過設備認證裝置140接入其連接的計算設備的外置設備接入到設備管理裝置120,設備管理裝置120獲取其設備標識,自動生成設備認證裝置140的第一許可接入列表。
至少根據第一許可接入列表,設備管理裝置120可以為具有存儲空間的外置設備生成認證文件,以便該外置設備接入設備認證裝置時進行認證。
設備管理裝置120的程序包括用於執行根據本發明的生成認證文件的方法中任一方法的指令。根據本發明的一個實施方式,生成認證文件的方法可以如下:
具有存儲空間的外置設備可以預先接入到設備管理裝置120,設備管理裝置120響應於具有存儲空間的外置設備接入到設備管理裝置120、並請求通過設備認證裝置140接入該設備認證裝置140連接的計算設備,生成認證文件。該認證文件利用該設備認證裝置140的密鑰加密,並包括設備認證裝置140的第一接入許可列表和接入到設備管理裝置120的、具有存儲空間的外置設備的設備標識。
其中,響應於具有存儲空間的外置設備接入到設備管理裝置120,設備管理裝置120可以讀取該外置設備的設備標識。同時,設備管理裝置120存儲有設備認證裝置140的設備標識,接入到設備管理裝置120的具有存儲空間的外置設備的請求包括設備認證裝置140的設備標識,設備管理裝置120可以根據該設備標識獲取對應的設備認證裝置140的第一接入許可列表和當前時間下設備認證裝置140的密鑰,而後利用該密鑰加密所獲取的第一接入列表和所讀取的外置設備的設備標識,以生成認證文件。
生成認證文件後,設備管理裝置120將所生成的認證文件存儲至該外置設備。具體地,設備管理裝置120可以在具有存儲空間的外置設備中創建特定的目錄,將認證文件以特定的名稱存儲至該目錄下。
設備認證裝置140則與計算設備160連接,如圖1所示。外置設備可以通過接入到設備認證裝置140來接入該設備認證裝置140連接的計算設備160,因而,設備認證裝置140可以在中間進行控制,允許或拒絕外置設備通過其接入計算設備160。需要注意的是,設備認證裝置140可以與一個計算設備固定連接,也可以與不同的計算設備連接,本發明對此不做限制。
設備認證裝置140的程序包括用於執行根據本發明的對接入計算設備的外置設備進行控制的方法中任一方法的指令。圖2示出了根據本發明一個示例性實施方式的對接入計算設備的外置設備進行控制的方法200的流程圖。如圖2所示,對接入計算設備的外置設備進行控制的方法200始於步驟s220。
在步驟s220中,響應於外置設備接入到設備認證裝置140,讀取該外置設備存儲的認證文件。該認證文件為加密文件,並包括第一接入許可列表和外置設備的設備標識。
具體地,可以去外置設備中特定的目錄下讀取具有特定名稱的認證文件,若讀取不到認證文件,則拒絕該外置設備通過設備認證裝置140接入計算設備160。若讀取到認證文件,則可以根據該認證文件判斷是否允許外置設備通過設備認證裝置140接入計算設備160。
此外,考慮到接入設備認證裝置140的可能是不具有存儲空間的外置設備,根據本發明的一個實施方式,在讀取外置設備存儲的認證文件之前,可以先判斷外置設備是否具有存儲空間。
具體地,可以通過外置設備的設備標識來判斷該外置設備是否具有存儲空間。例如,具有usb接口/接頭的外置設備的設備標識為設備描述符信息,通常包括idvendor、idproduct、bdeviceclass、iserialnumber。其中,idvendor用於表示usb設備供應商的id。idproduct用於表示usb產品的id,由設備供應商提供。iserialnumber用於表示設備序列號字符串描述符的索引值。bdeviceclass用於表示該設備所屬的標準設備類,usb協議中對常見的設備進行了分類,大容量存儲設備類的編號為0x08。因此,當bdeviceclass為0x08時,可以確定該外置設備具有存儲空間,否則不具有存儲空間。
若外置設備不具有存儲空間,則查找設備認證裝置存儲的第二接入許可列表是否包括外置設備的設備標識。第二接入許可列表由設備認證裝置140存儲,並記錄有一個或者多個允許通過設備認證裝置140接入計算設備160的、不具有存儲空間的外置設備的設備標識。
若查找到第二接入許可列表包括該外置設備的設備標識,則允許該外置設備通過設備認證裝置140接入計算設備160。若查找到第二接入許可列表不包括該外置設備的設備標識,則拒絕該外置設備通過設備認證裝置140接入計算設備160。
而根據本發明的一個實施方式,第二接入許可列表還記錄有不具有存儲空間的外置設備的允許接入時間,該允許接入時間通常在一個月至一年之間。那麼在查找到第二接入許可列表包括外置設備的設備標識之後,可以繼續判斷當前時間是否在該外置設備的允許接入時間內。在當前時間不在外置設備的允許接入時間內時,拒絕該外置設備通過設備認證裝置140接入計算設備160。在當前時間在外置設備的允許接入時間內時,才允許該外置設備通過設備認證裝置140接入計算設備160,從而進一步提高了認證的安全度。
當然,若外置設備不具有存儲空間,則在查找設備認證裝置存儲的第二接入許可列表是否包括外置設備的設備標識之前,還需先查找設備認證裝置140是否存儲有第二接入許可列表,若設備認證裝置140沒有存儲第二接入許可列表,則同樣拒絕該外置設備通過設備認證裝置140接入計算設備160。
根據本發明的另一個實施方式,在允許具有存儲空間的外置設備通過設備認證裝置140接入計算設備160之後,還可以根據所獲取的認證文件中的第一接入許可列表中不具有存儲空間的外置設備的記錄來更新第二接入許可列表。具體地,當設備認證裝置140沒有存儲第二接入許可列表時,創建第二接入許可列表,並將第一接入許可列表中不具有存儲空間的外置設備的記錄添加至該第二接入列表。當設備認證裝置140存儲有第二接入許可列表時,將第一接入許可列表中未記錄在第二接入許可列表中的、不具有存儲空間的外置設備的記錄添加至第二接入許可列表。這樣就實現了對不具有存儲空間的外置設備的接入控制,且操作簡單方便。
若外置設備具有存儲空間,則在讀取到其存儲的認證文件之後,在步驟s240中,利用設備認證裝置140的密鑰解密所讀取的認證文件,以獲取其中的第一接入許可列表和設備標識。其中,該密鑰為此時設備認證裝置140生成的密鑰。
如果解密失敗,則拒絕該外置設備通過設備認證裝置140接入計算設備160。如果解密成功,則在步驟s260中,比對該外置設備的設備標識與認證文件中的設備標識是否一致,以防止認證文件被盜用。
若該外置設備的設備標識與認證文件中的設備標識比對不一致,則表明接入到設備認證裝置140的外置設備不是向設備管理裝置120請求通過該設備認證裝置140接入計算設備160的外置設備,認證文件被盜用,因而拒絕該外置設備通過設備認證裝置140接入計算設備160。
若該外置設備的設備標識與認證文件中的設備標識比對一致,則表明接入到設備認證裝置140的外置設備確實為向設備管理裝置120請求通過該設備認證裝置140接入計算設備160的外置設備,認證文件未被盜用。
而後在步驟s280中,查找認證文件中的第一接入許可列表是否包括該設備標識,若包括,則最後在步驟s290中,允許該外置設備通過設備認證裝置140接入計算設備160,若不包括,則拒絕該外置設備通過設備認證裝置140接入計算設備160。
而根據本發明的一個實施方式,第一接入許可列表還記錄有外置設備的允許接入時間,該允許接入時間通常在一個月至一年之間。那麼,在查找到第一接入許可列表包括外置設備的設備標識之後,可以繼續判斷當前時間是否在該外置設備的允許接入時間內。在當前時間不在外置設備的允許接入時間內時,拒絕該外置設備通過設備認證裝置140接入計算設備160。在當前時間在外置設備的允許接入時間內時,才允許該外置設備通過設備認證裝置140接入計算設備160。
可以理解地,外置設備在設備管理裝置120處獲取認證文件後,必須在預定時間周期內、在該外置設備的允許接入時間內接入到設備認證裝置140進行認證,否則會被拒絕接入。其中,一旦超出密鑰生成的預定時間周期,設備認證裝置140生成新的密鑰,則無法利用新的密鑰解密之前設備管理裝置120加密的認證文件。
考慮到密鑰變換的預定時間周期較短,外置設備的允許接入時間又通常大於密鑰的預定時間周期,因而會導致用戶無法在外置設備的允許接入時間內多次通過接入到設備認證裝置140而接入計算設備160,每次接入都需要在設備管理裝置120處重新獲取認證文件後,再在預定時間周期內接入設備認證裝置140進行認證,造成了使用上的不便。
為了在保證安全度的同時提高用戶體驗、簡化流程,根據本發明的另一個實施方式,在利用設備認證裝置140的密鑰解密所讀取的認證文件之前,可以查找設備認證裝置140存儲的第三接入許可列表是否包括外置設備的設備標識。第三接入許可列表由設備認證裝置140存儲,並記錄有已通過設備認證裝置140接入計算設備160的外置設備的設備標識、允許接入時間和解密認證文件的密鑰。同時,還可以定期刪除第三接入許可列表中當前時間不在允許接入時間內的外置設備的記錄,保證第三接入許可列表中不存在過期的記錄。
若第三接入許可列表不包括該外置設備的設備標識,則仍然利用設備認證裝置140當前時間生成的密鑰解密該外置設備存儲的認證文件,並進行認證。
若第三接入許可列表包括該外置設備的設備標識,則在當前時間位於外置設備的允許接入時間內時,利用第三接入許可列表中該外置設備的密鑰解密其存儲的認證文件,如果解密成功,允許該外置設備通過設備認證裝置140接入計算設備160。
如果解密失敗,考慮到外置設備可能在設備管理裝置120處重新獲取過認證文件,根據本發明的一個實施方式,可以刪除第三接入許可列表中該外置設備的記錄,而後再利用設備認證裝置140當前時間生成的密鑰解密該外置設備存儲的認證文件,並進行認證。
同樣地,在當前時間不在外置設備的允許接入時間內時,考慮到可能還未及時刪除這條過期的記錄,則可以刪除第三接入許可列表中該外置設備的記錄,而後利用設備認證裝置140當前時間生成的密鑰解密該外置設備存儲的認證文件,並進行認證。
當然,在查找設備認證裝置140存儲的第三接入許可列表是否包括外置設備的設備標識之前,還需先查找設備認證裝置140是否存儲有第三接入許可列表,若設備認證裝置140沒有存儲第三接入許可列表,則仍然利用設備認證裝置140當前時間生成的密鑰解密該外置設備存儲的認證文件,並進行認證。
根據本發明的一個實施方式,在利用設備認證裝置140的密鑰解密所讀取的認證文件、並允許外置設備通過設備認證裝置140接入計算設備160之後,還可以將該外置設備的設備標識、允許接入時間和解密認證文件的密鑰存儲至第三接入許可列表,以更新該第三接入許可列表。其中,若設備認證裝置140沒有存儲第三接入許可列表,則創建第三接入許可列表,將該外置設備的設備標識、允許接入時間和解密認證文件的密鑰存儲至第三接入許可列表。
根據本發明的另一個實施方式,外置設備、設備管理裝置120、設備認證裝置140、和計算設備160上的接口/接頭包括usb接口/接頭,外置設備、設備管理裝置120、設備認證裝置140和計算設備160均通過usb接頭和接口連接。
綜上,根據本發明的對接入計算設備的外置設備進行控制的方案,無需在計算設備上進行操作,整個控制過程獨立於計算設備,避免了計算設備存在的漏洞可能引發的外置設備接入安全問題,實現了外置設備接入的集中控制,有利於企業信息安全管理。同時,不需要改造接入的外置設備,而是採用設備管理裝置生成的認證文件作為接入憑證,外置設備的設備標識作為認證元素,整個控制過程兼顧易用性與安全性,大大降低了運維成本。
應當理解,這裡描述的各種技術可結合硬體或軟體,或者它們的組合一起實現。從而,本發明的方法和設備,或者本發明的方法和設備的某些方面或部分可採取嵌入有形媒介,例如軟盤、cd-rom、硬碟驅動器或者其它任意機器可讀的存儲介質中的程序代碼(即指令)的形式,其中當程序被載入諸如計算機之類的機器,並被該機器執行時,該機器變成實踐本發明的設備。
在程序代碼在可編程計算機上執行的情況下,計算設備一般包括處理器、處理器可讀的存儲介質(包括易失性和非易失性存儲器和/或存儲元件),至少一個輸入裝置,和至少一個輸出裝置。其中,存儲器被配置用於存儲程序代碼;處理器被配置用於根據該存儲器中存儲的該程序代碼中的指令,執行本發明的各種方法。
以示例而非限制的方式,計算機可讀介質包括計算機存儲介質和通信介質。計算機可讀介質包括計算機存儲介質和通信介質。計算機存儲介質存儲諸如計算機可讀指令、數據結構、程序模塊或其它數據等信息。通信介質一般以諸如載波或其它傳輸機制等已調製數據信號來體現計算機可讀指令、數據結構、程序模塊或其它數據,並且包括任何信息傳遞介質。以上的任一種的組合也包括在計算機可讀介質的範圍之內。
應當理解,為了精簡本公開並幫助理解各個發明方面中的一個或多個,在上面對本發明的示例性實施例的描述中,本發明的各個特徵有時被一起分組到單個實施例、圖、或者對其的描述中。然而,並不應將該公開的方法解釋成反映如下意圖:即所要求保護的本發明要求比在每個權利要求中所明確記載的特徵更多特徵。更確切地說,如下面的權利要求書所反映的那樣,發明方面在於少於前面公開的單個實施例的所有特徵。因此,遵循具體實施方式的權利要求書由此明確地併入該具體實施方式,其中每個權利要求本身都作為本發明的單獨實施例。
本領域那些技術人員應當理解在本文所公開的示例中的設備的模塊或單元或組件可以布置在如該實施例中所描述的設備中,或者可替換地可以定位在與該示例中的設備不同的一個或多個設備中。前述示例中的模塊可以組合為一個模塊或者此外可以分成多個子模塊。
本發明還可以包括:a5、如a1-4中任一個所述的方法,其中,還包括步驟:在利用所述設備認證裝置的密鑰解密所讀取的認證文件之前,查找所述設備認證裝置存儲的第三接入許可列表是否包括所述外置設備的設備標識,所述第三接入許可列表記錄有已通過所述設備認證裝置接入所述計算設備的外置設備的設備標識、允許接入時間和解密認證文件的密鑰;若包括,則在當前時間位於所述外置設備的允許接入時間內時,利用第三接入許可列表中所述外置設備的密鑰解密其存儲的認證文件;以及如果解密成功,允許所述外置設備通過所述設備認證裝置接入所述計算設備。a6、如a5所述的方法,其中,還包括步驟:在當前時間不在第三接入許可列表中所述外置設備的允許接入時間內、或者利用第三接入許可列表中所述外置設備的密鑰無法解密其存儲的認證文件時,刪除第三接入許可列表中所述外置設備的記錄。a7、如a5或6所述的方法,其中,還包括步驟:在利用所述設備認證裝置的密鑰解密所讀取的認證文件、並允許所述外置設備通過所述設備認證裝置接入所述計算設備之後,將所述外置設備的設備標識、允許接入時間和解密認證文件的密鑰存儲至第三接入許可列表。a8、如a5-7中任一個所述的方法,其中,還包括步驟:定期刪除第三接入許可列表中當前時間不在允許接入時間內的外置設備的記錄。a9、如a1-8中任一個所述的方法,其中,所述外置設備、設備認證裝置和計算設備均通過usb接頭和接口連接。a10、如a1-9中任一個所述的方法,其中,所述設備認證裝置基於其密鑰種子,每隔預定時間周期生成所述密鑰。
b12、如b11所述的方法,其中,所述外置設備、設備管理裝置、設備認證裝置和計算設備均通過usb接頭和接口連接。b13、如b11或12所述的方法,其中,所述設備認證裝置與所述設備管理裝置共享其密鑰種子,二者基於該密鑰種子,每隔預定時間周期在同一時間根據同一算法生成所述密鑰。
c19、如c18所述的系統,其中,所述外置設備、設備管理裝置、設備認證裝置和計算設備均通過usb接頭和接口連接。c20、如c18或19所述的系統,其中,所述設備認證裝置與所述設備管理裝置共享其密鑰種子,二者基於該密鑰種子,每隔預定時間周期在同一時間根據同一算法生成所述密鑰。
本領域那些技術人員可以理解,可以對實施例中的設備中的模塊進行自適應性地改變並且把它們設置在與該實施例不同的一個或多個設備中。可以把實施例中的模塊或單元或組件組合成一個模塊或單元或組件,以及此外可以把它們分成多個子模塊或子單元或子組件。除了這樣的特徵和/或過程或者單元中的至少一些是相互排斥之外,可以採用任何組合對本說明書(包括伴隨的權利要求、摘要和附圖)中公開的所有特徵以及如此公開的任何方法或者設備的所有過程或單元進行組合。除非另外明確陳述,本說明書(包括伴隨的權利要求、摘要和附圖)中公開的每個特徵可以由提供相同、等同或相似目的的替代特徵來代替。
此外,本領域的技術人員能夠理解,儘管在此所述的一些實施例包括其它實施例中所包括的某些特徵而不是其它特徵,但是不同實施例的特徵的組合意味著處於本發明的範圍之內並且形成不同的實施例。例如,在下面的權利要求書中,所要求保護的實施例的任意之一都可以以任意的組合方式來使用。
此外,所述實施例中的一些在此被描述成可以由計算機系統的處理器或者由執行所述功能的其它裝置實施的方法或方法元素的組合。因此,具有用於實施所述方法或方法元素的必要指令的處理器形成用於實施該方法或方法元素的裝置。此外,裝置實施例的在此所述的元素是如下裝置的例子:該裝置用於實施由為了實施該發明的目的的元素所執行的功能。
如在此所使用的那樣,除非另行規定,使用序數詞「第一」、「第二」、「第三」等等來描述普通對象僅僅表示涉及類似對象的不同實例,並且並不意圖暗示這樣被描述的對象必須具有時間上、空間上、排序方面或者以任意其它方式的給定順序。
儘管根據有限數量的實施例描述了本發明,但是受益於上面的描述,本技術領域內的技術人員明白,在由此描述的本發明的範圍內,可以設想其它實施例。此外,應當注意,本說明書中使用的語言主要是為了可讀性和教導的目的而選擇的,而不是為了解釋或者限定本發明的主題而選擇的。因此,在不偏離所附權利要求書的範圍和精神的情況下,對於本技術領域的普通技術人員來說許多修改和變更都是顯而易見的。對於本發明的範圍,對本發明所做的公開是說明性的,而非限制性的,本發明的範圍由所附權利要求書限定。