一种局域网内的usb端口设备的隔离认证及监控方法
【专利摘要】本发明公开了一种局域网内的USB端口设备的隔离认证及监控方法,解决了现有的USB端口的安全认证方法所存在的不能有效阻止跳过USB安全认证进行接入的技术问题。本发明的目的是按以下方式实现的,硬件配置是在每个内网用户的主机或服务器上安装一个USB隔离装置,硬件中的控制器既与计算机端程序互通,也对接入的USB设备审计控制,用户的USB接口设备均不能直接在计算机上使用,只能通过USB隔离器和该设备的后台应用程序才能对用户的USB进行读写,用户主机的操作系统和其他程序都无法直接访问用户USB设备,使得系统对USB设备具备免疫能力。起到了高效监控和安全有效隔离的作用。
【专利说明】—种局域网内的USB端口设备的隔离认证及监控方法
【技术领域】
[0001]本发明涉及一种局域网内的USB端口设备的隔离认证及监控方法,可对违规接入的USB设备进行有效的审计,并能有效地对USB端口进行监控。
【背景技术】
[0002]目前,为了防止商业秘密的泄露,设置有局域网的单位均要求网内用户连接内网计算机时必须使用经认证的带安全识别的U盘,严禁内网计算机连接到具有连网功能的手机、平板电脑和无线网卡等设备上。在实际操作过程中,局域网内的用户经常会有意或无意地通过局域网内的USB端口将内网违规外联,使原本内外网隔离的计算机互通,加大了泄密风险。现有的局域网内的USB端口的安全认证方法一般是通过预先设定USB传输安全模式来判断是否容许用户接入操作的,这种简单的开与断操作,对于接入USB设备是不进行有效审计的,存在不能有效阻止跳过USB安全认证进行接入的问题。
【发明内容】
[0003]本发明提供了一种局域网内的USB端口设备的隔离认证及监控方法,解决了现有的USB端口的安全认证方法所存在的不能有效阻止跳过USB安全认证进行接入的技术问题。
[0004]本发明是通过以下技术方案解决以上技术问题的:
一种局域网内的USB端口设备的隔离认证及监控方法,包括以下步骤:
第一步、在局域网内的每台计算机的主机上设置USB隔离器,该USB隔离器设置有USB隔离装置控制器、USB安全接入模式校验器、报警装置、USB公口(A型插座)、USB母口(A型插头);USB隔离装置控制器和USB安全接入模式校验器典型配置为ARM芯片,且直接互联,报警装置是指LED指示灯或蜂鸣器等起报警作用的声光警示器,USB隔离器中的USB母口(A型插头)与计算机的USB公口(A型插座)连接并为USB隔离器提供电源,USB隔离器中的USB公口(A型插座)与用户USB设备连接;
第二步、在与USB隔离器连接的计算机主机内嵌入客户端软件,该客户端软件向局域网的系统服务器发送用户信息,并与USB隔离器相互通信;
第三步、客户端软件在与USB隔离器相互通信的步骤如下:客户端软件首次安装及默认状态下将局域网内的USB端口设备禁用;在USB隔离器中嵌入请求数据互通的设定信息代码;当计算机主机内嵌入客户端软件接受到USB隔离器发出的请求数据互通的设定信息代码后,解除对该USB端口设备禁用,这种信息的交互使用非对称加密算法进行握手式互认;然后,启动客户端软件中的USB安全接入模式校验子程序,对接入的USB端口设备进行接入模式校验,并将校验结果输入到USB隔离器中,若校验结果符合USB安全接入模式,则向计算机主机发放请求数据互联信息,并开放USB端口,若校验结果不符合USB安全接入模式,则将USB设备的审计信息传送到计算机主机,并发出报警信号。
[0005]第三步所述的在客户端软件中的USB安全接入模式校验子程序的具体工作步骤为:在步骤ClOO中,禁止闪盘或移动硬盘等USB数据设备的启动;譬如,禁止闪盘或移动硬盘的启动的方法有BIOS设置法、注册表法和禁止安装USB驱动程序等多种方法,本发明侧重选用禁止安装含数据存储功能用户USB设备驱动程序的方法禁止闪盘或移动硬盘,由于客户端在进行本步骤前,已容许安装鼠标、键盘等不含数据功能的USB设备驱动程序,最大程度保障了用户日常功能的使用;在步骤ClOl中,时刻查询电脑USB公口(A型插座)输出电源信息;在步骤C102中,程序判断电脑USB公口(A型插座)是否有输出电源信息,若有,则进行步骤C103,若无,则进行步骤ClOl ;在步骤C103中,判断连接设备驱动信息是否为USB存储设备,若是,则进行步骤C104,若无,则进行步骤ClOl ;在步骤C104中,计算机向USB隔离装置控制器发送含非对称密钥的握手数据,若要对USB隔离装置的USB安全接入模式校验器设置安全接入模式信息,则在握手信息添加相应控制信息;在步骤W105中,计算机接收USB隔离装置返回握手信息;在步骤W106中,解密握手回传信息;在步骤W107中,判断该连接装置代码是否为该计算机上可容许数据操作的USB隔离装置,若是,则进行步骤W108,若否,则进行步骤WllO ;在步骤W108中,容许数据通过该USB端口自由传输;在步骤W109中,判断该USB公口(A型插座)是否掉电,若是,则进行步骤W111,若否,则返回步骤W108 ;在步骤WllO中,记录本次违规连接信息,并向局域网的系统服务器发送违规用户信息;在步骤Wlll中,禁止该USB设备连接的数据传输。
[0006]本发明是通过以下机制有效地阻止跳过USB安全认证接入:当注册计算机为每一个隔离装置注册时,由于隔离装置含有隔离装置控制器,能将随机注册通信机制嵌入在隔离装置控制器,改变了单一的设备注册串码机制,避免了黑客破解USB传输安全模式,制造伪装的USB安全设备或伪装的指定数据。具体传输的时候,隔离装置控制器能够与计算机通过随机互动生成的方式生成安全加密认证过程,也就是说设计的安全隔离装置具备智能作用,可使用非对称加密算法进行握手式互认。起到了高效监控和安全有效隔离的作用。
【专利附图】
【附图说明】
[0007]图1是本发明的工作流程框图;
图2是本发明的计算机主机内设置的软件框图;
图3是本发明的在USB隔离器内嵌入的软件框图。
【具体实施方式】
[0008]下面结合附图对本发明进行详细说明:
一种局域网内的USB端口设备的隔离认证及监控方法,包括以下步骤:
第一步、在局域网内的每台计算机的主机上设置USB隔离器,该USB隔离器设置有USB隔离装置控制器、USB安全接入模式校验器、报警装置、USB公口(A型插座)、USB母口(A型插头);USB隔离装置控制器和USB安全接入模式校验器典型配置为ARM芯片,且直接互联,报警装置是指LED指示灯或蜂鸣器等起报警作用的声光警示器,USB隔离器中的USB母口(A型插头)与计算机的USB公口(A型插座)连接并为USB隔离器提供电源,USB隔离器中的USB公口(A型插座)与用户USB设备连接;
第二步、在与USB隔离器连接的计算机主机内嵌入客户端软件,该客户端软件向局域网的系统服务器发送用户信息,并与USB隔离器相互通信; 第三步、客户端软件在与USB隔离器相互通信的步骤如下:客户端软件首次安装及默认状态下将局域网内的USB端口设备禁用;在USB隔离器中嵌入请求数据互通的设定信息代码;当计算机主机内嵌入客户端软件接受到USB隔离器发出的请求数据互通的设定信息代码后,解除对该USB端口设备禁用,这种信息的交互使用非对称加密算法进行握手式互认;然后,启动客户端软件中的USB安全接入模式校验子程序,对接入的USB端口设备进行接入模式校验,并将校验结果输入到USB隔离器中,若校验结果符合USB安全接入模式,则向计算机主机发放请求数据互联信息,并开放USB端口,若校验结果不符合USB安全接入模式,则将USB设备的审计信息传送到计算机主机,并发出报警信号;
第三步所述的在客户端软件中的USB安全接入模式校验子程序的具体工作步骤为:在步骤ClOO中,禁止闪盘或移动硬盘等USB数据设备的启动;譬如,禁止闪盘或移动硬盘的启动的方法有BIOS设置法、注册表法和禁止安装USB驱动程序等多种方法,本发明侧重选用禁止安装含数据存储功能用户USB设备驱动程序的方法禁止闪盘或移动硬盘,由于客户端在进行本步骤前,已容许安装鼠标、键盘等不含数据功能的USB设备驱动程序,最大程度保障了用户日常功能的使用;在步骤ClOl中,时刻查询电脑USB公口(A型插座)输出电源信息;在步骤C102中,程序判断电脑USB公口(A型插座)是否有输出电源信息,若有,则进行步骤C103,若无,则进行步骤ClOl ;在步骤C103中,判断连接设备驱动信息是否为USB存储设备,若是,则进行步骤C104,若无,则进行步骤ClOl ;在步骤C104中,计算机向USB隔离装置控制器发送含非对称密钥的握手数据,若要对USB隔离装置的USB安全接入模式校验器设置安全接入模式信息,则在握手信息添加相应控制信息;在步骤W105中,计算机接收USB隔离装置返回握手信息;在步骤W106中,解密握手回传信息;在步骤W107中,判断该连接装置代码是否为该计算机上可容许数据操作的USB隔离装置,若是,则进行步骤W108,若否,则进行步骤Wl 10 ;在步骤W108中,容许数据通过该USB端口自由传输;在步骤W109中,判断该USB公口(A型插座)是否掉电,若是,则进行步骤W111,若否,则返回步骤W108 ;在步骤WllO中,记录本次违规连接信息,并向局域网的系统服务器发送违规用户信息;在步骤Wlll中,禁止该USB设备连接的数据传输。
[0009]本发明的目的是按以下方式实现的,硬件配置是在每个内网用户的主机或服务器上安装一个USB隔离装置,硬件中的控制器既与计算机端程序互通,也对接入的USB设备审计控制,用户的USB接口设备均不能直接在计算机上使用,只能通过USB隔离器和该设备的后台应用程序才能对用户的USB进行读写,用户主机的操作系统和其他程序都无法直接访问用户USB设备,使得系统对USB设备具备免疫能力。在信息内网部署一台管理及监控服务器,作为本发明的管理中心和监控中心,系统管理员通过可以通过浏览器登录该系统服务器,对用户计算机或用户服务器与USB隔离装置通信策略管理,对USB设备的注册程序管理,审计用户的USB设备登录和连接信息。系统服务器强行推送至用户计算机或用户服务器安装客户端软件,该客户端软件向系统服务器发送用户信息、USB设备信息及相应连接信息,与USB隔离装置相互通信达到对USB设备的连接控制和审计,具体内容如下:客户端软件首次安装及默认状态下将用户的各USB端口禁用,只容许USB隔离装置的特定信息输入,当接受到USB隔离装置控制器的请求数据互联信息,解除相应USB端口禁用,容许用户计算机/服务器与USB设备的数据互联。USB隔离装置侦测USB接口接入USB设备后读取USB设备审计信息,同时,USB安全接入模式校验器对USB设备进行安全接入模式校验,并将校验结果输入USB隔离装置控制器。若USB安全接入模式校验结果符合USB安全接入校验模式,容许数据通过USB安全接入模式校验器,否则退出USB设备。USB隔离装置控制器接受校验结果符合安全接入模式,向用户计算机/服务器发放请求数据互联信息,并开放端口容许USB安全接入模式校验器容许传输的数据与用户计算机/服务器交互,否则启动报警装置,并将USB设备的审计信息传输至用户计算机/服务器,由其传输至系统服务器备案。均是通过的是USB隔离控制器中的嵌入式程序实现的。
[0010]整个USB安全隔离认证装置的安全使用,需要系统服务器推送客户端、USB隔离装置中的USB安全接入模式、USB设备的安全模式三者相符,方能完成整个数据的传输,具体设置如下:网管用户计算机经系统服务器容许备案后,在本地计算机上安装用户USB设备注册软件成为用户USB设备注册计算机,负责对USB设备安全注册,对USB隔离装置的安全设置,通过向USB隔离装置控制器发放设置信息请求后,开放用户USB设备注册计算机对USB隔离装置中的安全接入模式校验器的设置。
[0011]本发明的安全接入方法不局限于上述实施例中所限定步骤以及执行顺序,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明进行修改或者等同替换,而不脱离本发明的精神和范围,其均应涵盖在本发明的权力要求范围当中。
【权利要求】
1.一种局域网内的USB端口设备的隔离认证及监控方法,包括以下步骤: 第一步、在局域网内的每台计算机的主机上设置USB隔离器,该USB隔离器设置有USB隔离装置控制器、USB安全接入模式校验器、报警装置、USB公口、USB母口; 第二步、在与USB隔离器连接的计算机主机内嵌入客户端软件,该客户端软件向局域网的系统服务器发送用户信息,并与USB隔离器相互通信; 第三步、客户端软件在与USB隔离器相互通信的步骤如下:客户端软件首次安装及默认状态下将局域网内的USB端口设备禁用;在^8隔离器中嵌入请求数据互通的设定信息代码;当计算机主机内嵌入客户端软件接受到USB隔离器发出的请求数据互通的设定信息代码后,解除对该USB端口设备禁用,这种信息的交互使用非对称加密算法进行握手式互认;然后,启动客户端软件中的USB安全接入模式校验子程序,对接入的USB端口设备进行接入模式校验,并将校验结果输入到USB隔离器中,若校验结果符合USB安全接入模式,则向计算机主机发放请求数据互联信息,并开放USB端口,若校验结果不符合USB安全接入模式,则将USB设备的审计信息传送到计算机主机,并发出报警信号;
2.根据权利要求1所述的一种局域网内的USB端口设备的隔离认证及监控方法,其特征在于,所述的在客户端软件中的USB安全接入模式校验子程序的具体工作步骤为:步骤C100、禁止闪盘或移动硬盘等USB数据设备的启动;步骤C101、时刻查询电脑USB公口输出电源信息;步骤C102、程序判断电脑USB公口是否有输出电源信息,若有,则进行步骤C103,若无,则进行步骤ClOl ;步骤C103、判断连接设备驱动信息是否为USB存储设备,若是,则进行步骤C104,若无,则进行步骤ClOl ;步骤C104、计算机向USB隔离装置控制器发送含非对称密钥的握手数据,若要对USB隔离装置的USB安全接入模式校验器设置安全接入模式信息,则在握手信息添加相应控制信息;步骤W105、计算机接收USB隔离装置返回握手信息;步骤W106、 解密握手回传信息;步骤W107、判断该连接装置代码是否为该计算机上可容许数据操作的USB隔离装置,若是,则进行步骤W108,若否,则进行步骤WllO ;步骤W108、容许数据通过该USB端口自由传输;步骤W109、判断该USB公口是否掉电,若是,则进行步骤W111,若否,则返回步骤W108 ;在步骤WllO中,记录本次违规连接信息,并向局域网的系统服务器发送违规用户信息;W111、禁止该USB设备连接的数据传输。
【文档编号】G06F21/50GK103824014SQ201410045745
【公开日】2014年5月28日 申请日期:2014年2月9日 优先权日:2014年2月9日
【发明者】郝祎, 熊莉娟, 韩小峰, 赵锐, 赵琰 申请人:国家电网公司, 国网山西省电力公司太原供电公司