一種區域網內的usb埠設備的隔離認證及監控方法
2023-10-06 15:26:34
一種區域網內的usb埠設備的隔離認證及監控方法
【專利摘要】本發明公開了一種區域網內的USB埠設備的隔離認證及監控方法,解決了現有的USB埠的安全認證方法所存在的不能有效阻止跳過USB安全認證進行接入的技術問題。本發明的目的是按以下方式實現的,硬體配置是在每個內網用戶的主機或伺服器上安裝一個USB隔離裝置,硬體中的控制器既與計算機端程序互通,也對接入的USB設備審計控制,用戶的USB接口設備均不能直接在計算機上使用,只能通過USB隔離器和該設備的後臺應用程式才能對用戶的USB進行讀寫,用戶主機的作業系統和其他程序都無法直接訪問用戶USB設備,使得系統對USB設備具備免疫能力。起到了高效監控和安全有效隔離的作用。
【專利說明】—種區域網內的USB埠設備的隔離認證及監控方法
【技術領域】
[0001]本發明涉及一種區域網內的USB埠設備的隔離認證及監控方法,可對違規接入的USB設備進行有效的審計,並能有效地對USB埠進行監控。
【背景技術】
[0002]目前,為了防止商業秘密的洩露,設置有區域網的單位均要求網內用戶連接內網計算機時必須使用經認證的帶安全識別的U盤,嚴禁內網計算機連接到具有連網功能的手機、平板電腦和無線網卡等設備上。在實際操作過程中,區域網內的用戶經常會有意或無意地通過區域網內的USB埠將內網違規外聯,使原本內外網隔離的計算機互通,加大了洩密風險。現有的區域網內的USB埠的安全認證方法一般是通過預先設定USB傳輸安全模式來判斷是否容許用戶接入操作的,這種簡單的開與斷操作,對於接入USB設備是不進行有效審計的,存在不能有效阻止跳過USB安全認證進行接入的問題。
【發明內容】
[0003]本發明提供了一種區域網內的USB埠設備的隔離認證及監控方法,解決了現有的USB埠的安全認證方法所存在的不能有效阻止跳過USB安全認證進行接入的技術問題。
[0004]本發明是通過以下技術方案解決以上技術問題的:
一種區域網內的USB埠設備的隔離認證及監控方法,包括以下步驟:
第一步、在區域網內的每臺計算機的主機上設置USB隔離器,該USB隔離器設置有USB隔離裝置控制器、USB安全接入模式校驗器、報警裝置、USB公口(A型插座)、USB母口(A型插頭);USB隔離裝置控制器和USB安全接入模式校驗器典型配置為ARM晶片,且直接互聯,報警裝置是指LED指示燈或蜂鳴器等起報警作用的聲光警示器,USB隔離器中的USB母口(A型插頭)與計算機的USB公口(A型插座)連接並為USB隔離器提供電源,USB隔離器中的USB公口(A型插座)與用戶USB設備連接;
第二步、在與USB隔離器連接的計算機主機內嵌入客戶端軟體,該客戶端軟體向區域網的系統伺服器發送用戶信息,並與USB隔離器相互通信;
第三步、客戶端軟體在與USB隔離器相互通信的步驟如下:客戶端軟體首次安裝及默認狀態下將區域網內的USB埠設備禁用;在USB隔離器中嵌入請求數據互通的設定信息代碼;當計算機主機內嵌入客戶端軟體接受到USB隔離器發出的請求數據互通的設定信息代碼後,解除對該USB埠設備禁用,這種信息的交互使用非對稱加密算法進行握手式互認;然後,啟動客戶端軟體中的USB安全接入模式校驗子程序,對接入的USB埠設備進行接入模式校驗,並將校驗結果輸入到USB隔離器中,若校驗結果符合USB安全接入模式,則向計算機主機發放請求數據互聯信息,並開放USB埠,若校驗結果不符合USB安全接入模式,則將USB設備的審計信息傳送到計算機主機,並發出報警信號。
[0005]第三步所述的在客戶端軟體中的USB安全接入模式校驗子程序的具體工作步驟為:在步驟ClOO中,禁止閃盤或移動硬碟等USB數據設備的啟動;譬如,禁止閃盤或移動硬碟的啟動的方法有BIOS設置法、註冊表法和禁止安裝USB驅動程序等多種方法,本發明側重選用禁止安裝含數據存儲功能用戶USB設備驅動程序的方法禁止閃盤或移動硬碟,由於客戶端在進行本步驟前,已容許安裝滑鼠、鍵盤等不含數據功能的USB設備驅動程序,最大程度保障了用戶日常功能的使用;在步驟ClOl中,時刻查詢電腦USB公口(A型插座)輸出電源信息;在步驟C102中,程序判斷電腦USB公口(A型插座)是否有輸出電源信息,若有,則進行步驟C103,若無,則進行步驟ClOl ;在步驟C103中,判斷連接設備驅動信息是否為USB存儲設備,若是,則進行步驟C104,若無,則進行步驟ClOl ;在步驟C104中,計算機向USB隔離裝置控制器發送含非對稱密鑰的握手數據,若要對USB隔離裝置的USB安全接入模式校驗器設置安全接入模式信息,則在握手信息添加相應控制信息;在步驟W105中,計算機接收USB隔離裝置返回握手信息;在步驟W106中,解密握手回傳信息;在步驟W107中,判斷該連接裝置代碼是否為該計算機上可容許數據操作的USB隔離裝置,若是,則進行步驟W108,若否,則進行步驟WllO ;在步驟W108中,容許數據通過該USB埠自由傳輸;在步驟W109中,判斷該USB公口(A型插座)是否掉電,若是,則進行步驟W111,若否,則返回步驟W108 ;在步驟WllO中,記錄本次違規連接信息,並向區域網的系統伺服器發送違規用戶信息;在步驟Wlll中,禁止該USB設備連接的數據傳輸。
[0006]本發明是通過以下機制有效地阻止跳過USB安全認證接入:當註冊計算機為每一個隔離裝置註冊時,由於隔離裝置含有隔離裝置控制器,能將隨機註冊通信機制嵌入在隔離裝置控制器,改變了單一的設備註冊串碼機制,避免了黑客破解USB傳輸安全模式,製造偽裝的USB安全設備或偽裝的指定數據。具體傳輸的時候,隔離裝置控制器能夠與計算機通過隨機互動生成的方式生成安全加密認證過程,也就是說設計的安全隔離裝置具備智能作用,可使用非對稱加密算法進行握手式互認。起到了高效監控和安全有效隔離的作用。
【專利附圖】
【附圖說明】
[0007]圖1是本發明的工作流程框圖;
圖2是本發明的計算機主機內設置的軟體框圖;
圖3是本發明的在USB隔離器內嵌入的軟體框圖。
【具體實施方式】
[0008]下面結合附圖對本發明進行詳細說明:
一種區域網內的USB埠設備的隔離認證及監控方法,包括以下步驟:
第一步、在區域網內的每臺計算機的主機上設置USB隔離器,該USB隔離器設置有USB隔離裝置控制器、USB安全接入模式校驗器、報警裝置、USB公口(A型插座)、USB母口(A型插頭);USB隔離裝置控制器和USB安全接入模式校驗器典型配置為ARM晶片,且直接互聯,報警裝置是指LED指示燈或蜂鳴器等起報警作用的聲光警示器,USB隔離器中的USB母口(A型插頭)與計算機的USB公口(A型插座)連接並為USB隔離器提供電源,USB隔離器中的USB公口(A型插座)與用戶USB設備連接;
第二步、在與USB隔離器連接的計算機主機內嵌入客戶端軟體,該客戶端軟體向區域網的系統伺服器發送用戶信息,並與USB隔離器相互通信; 第三步、客戶端軟體在與USB隔離器相互通信的步驟如下:客戶端軟體首次安裝及默認狀態下將區域網內的USB埠設備禁用;在USB隔離器中嵌入請求數據互通的設定信息代碼;當計算機主機內嵌入客戶端軟體接受到USB隔離器發出的請求數據互通的設定信息代碼後,解除對該USB埠設備禁用,這種信息的交互使用非對稱加密算法進行握手式互認;然後,啟動客戶端軟體中的USB安全接入模式校驗子程序,對接入的USB埠設備進行接入模式校驗,並將校驗結果輸入到USB隔離器中,若校驗結果符合USB安全接入模式,則向計算機主機發放請求數據互聯信息,並開放USB埠,若校驗結果不符合USB安全接入模式,則將USB設備的審計信息傳送到計算機主機,並發出報警信號;
第三步所述的在客戶端軟體中的USB安全接入模式校驗子程序的具體工作步驟為:在步驟ClOO中,禁止閃盤或移動硬碟等USB數據設備的啟動;譬如,禁止閃盤或移動硬碟的啟動的方法有BIOS設置法、註冊表法和禁止安裝USB驅動程序等多種方法,本發明側重選用禁止安裝含數據存儲功能用戶USB設備驅動程序的方法禁止閃盤或移動硬碟,由於客戶端在進行本步驟前,已容許安裝滑鼠、鍵盤等不含數據功能的USB設備驅動程序,最大程度保障了用戶日常功能的使用;在步驟ClOl中,時刻查詢電腦USB公口(A型插座)輸出電源信息;在步驟C102中,程序判斷電腦USB公口(A型插座)是否有輸出電源信息,若有,則進行步驟C103,若無,則進行步驟ClOl ;在步驟C103中,判斷連接設備驅動信息是否為USB存儲設備,若是,則進行步驟C104,若無,則進行步驟ClOl ;在步驟C104中,計算機向USB隔離裝置控制器發送含非對稱密鑰的握手數據,若要對USB隔離裝置的USB安全接入模式校驗器設置安全接入模式信息,則在握手信息添加相應控制信息;在步驟W105中,計算機接收USB隔離裝置返回握手信息;在步驟W106中,解密握手回傳信息;在步驟W107中,判斷該連接裝置代碼是否為該計算機上可容許數據操作的USB隔離裝置,若是,則進行步驟W108,若否,則進行步驟Wl 10 ;在步驟W108中,容許數據通過該USB埠自由傳輸;在步驟W109中,判斷該USB公口(A型插座)是否掉電,若是,則進行步驟W111,若否,則返回步驟W108 ;在步驟WllO中,記錄本次違規連接信息,並向區域網的系統伺服器發送違規用戶信息;在步驟Wlll中,禁止該USB設備連接的數據傳輸。
[0009]本發明的目的是按以下方式實現的,硬體配置是在每個內網用戶的主機或伺服器上安裝一個USB隔離裝置,硬體中的控制器既與計算機端程序互通,也對接入的USB設備審計控制,用戶的USB接口設備均不能直接在計算機上使用,只能通過USB隔離器和該設備的後臺應用程式才能對用戶的USB進行讀寫,用戶主機的作業系統和其他程序都無法直接訪問用戶USB設備,使得系統對USB設備具備免疫能力。在信息內網部署一臺管理及監控伺服器,作為本發明的管理中心和監控中心,系統管理員通過可以通過瀏覽器登錄該系統伺服器,對用戶計算機或用戶伺服器與USB隔離裝置通信策略管理,對USB設備的註冊程序管理,審計用戶的USB設備登錄和連接信息。系統伺服器強行推送至用戶計算機或用戶伺服器安裝客戶端軟體,該客戶端軟體向系統伺服器發送用戶信息、USB設備信息及相應連接信息,與USB隔離裝置相互通信達到對USB設備的連接控制和審計,具體內容如下:客戶端軟體首次安裝及默認狀態下將用戶的各USB埠禁用,只容許USB隔離裝置的特定信息輸入,當接受到USB隔離裝置控制器的請求數據互聯信息,解除相應USB埠禁用,容許用戶計算機/伺服器與USB設備的數據互聯。USB隔離裝置偵測USB接口接入USB設備後讀取USB設備審計信息,同時,USB安全接入模式校驗器對USB設備進行安全接入模式校驗,並將校驗結果輸入USB隔離裝置控制器。若USB安全接入模式校驗結果符合USB安全接入校驗模式,容許數據通過USB安全接入模式校驗器,否則退出USB設備。USB隔離裝置控制器接受校驗結果符合安全接入模式,向用戶計算機/伺服器發放請求數據互聯信息,並開放埠容許USB安全接入模式校驗器容許傳輸的數據與用戶計算機/伺服器交互,否則啟動報警裝置,並將USB設備的審計信息傳輸至用戶計算機/伺服器,由其傳輸至系統伺服器備案。均是通過的是USB隔離控制器中的嵌入式程序實現的。
[0010]整個USB安全隔離認證裝置的安全使用,需要系統伺服器推送客戶端、USB隔離裝置中的USB安全接入模式、USB設備的安全模式三者相符,方能完成整個數據的傳輸,具體設置如下:網管用戶計算機經系統伺服器容許備案後,在本地計算機上安裝用戶USB設備註冊軟體成為用戶USB設備註冊計算機,負責對USB設備安全註冊,對USB隔離裝置的安全設置,通過向USB隔離裝置控制器發放設置信息請求後,開放用戶USB設備註冊計算機對USB隔離裝置中的安全接入模式校驗器的設置。
[0011]本發明的安全接入方法不局限於上述實施例中所限定步驟以及執行順序,儘管參照較佳實施例對本發明進行了詳細說明,本領域的普通技術人員應當理解,可以對本發明進行修改或者等同替換,而不脫離本發明的精神和範圍,其均應涵蓋在本發明的權力要求範圍當中。
【權利要求】
1.一種區域網內的USB埠設備的隔離認證及監控方法,包括以下步驟: 第一步、在區域網內的每臺計算機的主機上設置USB隔離器,該USB隔離器設置有USB隔離裝置控制器、USB安全接入模式校驗器、報警裝置、USB公口、USB母口; 第二步、在與USB隔離器連接的計算機主機內嵌入客戶端軟體,該客戶端軟體向區域網的系統伺服器發送用戶信息,並與USB隔離器相互通信; 第三步、客戶端軟體在與USB隔離器相互通信的步驟如下:客戶端軟體首次安裝及默認狀態下將區域網內的USB埠設備禁用;在^8隔離器中嵌入請求數據互通的設定信息代碼;當計算機主機內嵌入客戶端軟體接受到USB隔離器發出的請求數據互通的設定信息代碼後,解除對該USB埠設備禁用,這種信息的交互使用非對稱加密算法進行握手式互認;然後,啟動客戶端軟體中的USB安全接入模式校驗子程序,對接入的USB埠設備進行接入模式校驗,並將校驗結果輸入到USB隔離器中,若校驗結果符合USB安全接入模式,則向計算機主機發放請求數據互聯信息,並開放USB埠,若校驗結果不符合USB安全接入模式,則將USB設備的審計信息傳送到計算機主機,並發出報警信號;
2.根據權利要求1所述的一種區域網內的USB埠設備的隔離認證及監控方法,其特徵在於,所述的在客戶端軟體中的USB安全接入模式校驗子程序的具體工作步驟為:步驟C100、禁止閃盤或移動硬碟等USB數據設備的啟動;步驟C101、時刻查詢電腦USB公口輸出電源信息;步驟C102、程序判斷電腦USB公口是否有輸出電源信息,若有,則進行步驟C103,若無,則進行步驟ClOl ;步驟C103、判斷連接設備驅動信息是否為USB存儲設備,若是,則進行步驟C104,若無,則進行步驟ClOl ;步驟C104、計算機向USB隔離裝置控制器發送含非對稱密鑰的握手數據,若要對USB隔離裝置的USB安全接入模式校驗器設置安全接入模式信息,則在握手信息添加相應控制信息;步驟W105、計算機接收USB隔離裝置返回握手信息;步驟W106、 解密握手回傳信息;步驟W107、判斷該連接裝置代碼是否為該計算機上可容許數據操作的USB隔離裝置,若是,則進行步驟W108,若否,則進行步驟WllO ;步驟W108、容許數據通過該USB埠自由傳輸;步驟W109、判斷該USB公口是否掉電,若是,則進行步驟W111,若否,則返回步驟W108 ;在步驟WllO中,記錄本次違規連接信息,並向區域網的系統伺服器發送違規用戶信息;W111、禁止該USB設備連接的數據傳輸。
【文檔編號】G06F21/50GK103824014SQ201410045745
【公開日】2014年5月28日 申請日期:2014年2月9日 優先權日:2014年2月9日
【發明者】郝禕, 熊莉娟, 韓小峰, 趙銳, 趙琰 申請人:國家電網公司, 國網山西省電力公司太原供電公司