安全防护设备、数据接口、核心设备及安全防护方法与流程

本发明涉及信息安全技术领域，具体涉及一种安全防护设备、数据接口、核心设备以及安全防护方法。

背景技术：

在计算机信息安全领域，如何防止外来硬件设备通过数据接口读取计算机内存储的相关内容是一项备受关注的安全防护项目。

为了防止外来硬件设备通过数据接口读取计算机内存储的相关内容，现有的方法是采用攻击设备对插入数据接口的硬件设备提供物理攻击(如电能攻击)以损坏插入数据接口的硬件设备，进而达到防止外来硬件设备通过数据接口读取计算机内存储的相关内容的目的。

然而，现有的攻击设备一般是利用数据接口输出的电能进行攻击，虽然数据接口能够提供一定的电能输出，但是由于其输出的电能较弱，因此若采用现有的攻击设备对插入计算机的数据接口的硬件设备进行物理攻击，则会存在攻击时间长和攻击效果差的问题。

技术实现要素：

针对现有技术中的缺陷，本发明提供了一种安全防护设备、数据接口、核心设备以及安全防护方法，本发明能够快速有效地攻击接入核心设备的数据接口的外部设备，进而提升了核心设备的防护能力。

第一方面，本发明提供了一种安全防护设备，该安全防护设备应用于核心设备的数据接口中，该安全防护设备包括：

高压发生器、高压储能单元、比较控制单元、第一开关和第二开关；

所述高压发生器的第一端通过第一开关与核心设备的数据接口的电源线连接，第二端与所述高压储能单元的输入端连接；

所述高压发生器用于在第一开关闭合时将所述电源线输出的低压电源转换成高压电源，并利用转换后的高压电源对所述高压储能单元进行充电；

所述高压储能单元通过第二开关与核心设备的数据接口的正负信号线连接，所述高压储能单元用于在第二开关闭合时，向核心设备的数据接口的正负信号线放电；

所述比较控制单元的第一输入端与预设参考电压端连接，第二输入端与所述高压储能单元的输出端连接，输出端分别与第一开关和第二开关连接；

所述比较控制单元，用于在第二输入端的电压大于或等于第一输入端的电压时，控制第一开关断开，第二开关闭合；以及用于在第二输入端的电压小于第一输入端的电压时，控制第二开关断开，第一开关闭合；

其中，所述高压储能单元不断充电和放电，以在核心设备的数据接口输出高压脉冲电压，所述脉冲电压对接入核心设备的数据接口的外部设备具有攻击或破坏作用。

进一步地，所述高压储能单元包括若干个并联的高压储能电容。

进一步地，所述电源线输出的低压电源为2～20V电源。

进一步地，所述高压电源为100～400V电源。

进一步地，所述数据接口为USB接口、网口、串口和并口中的任意一种。

进一步地，所述核心设备为计算机、路由器、打印机、摄像机和网络交换机中的任意一种。

第二方面，本发明还提供了一种数据接口，包括如上面所述的安全防护设备。

第三方面，本发明还提供了一种核心设备，包括至少一个数据接口和至少一个如上面所述的安全防护设备；

其中，一个数据接口对应一个所述安全防护设备。

第四方面，本发明还提供了一种基于上面所述的安全防护设备的安全防护方法，包括如下步骤：

步骤S1、核心设备检测核心设备的数据接口是否有外部设备接入，若是，则执行步骤S2，否则继续执行步骤S1；

步骤S2、核心设备控制所述安全防护设备开始工作，并为核心设备的数据接口的电源线提供低压电源；

步骤S3、所述比较控制单元确定第二输入端的电压小于第一输入端的电压，并控制第二开关断开，第一开关闭合，使得所述高压发生器将所述电源线输出的低压电源转换成高压电源，并利用转换后的高压电源对所述高压储能单元进行充电；

步骤S4、在充电过程中，比较控制单元继续对第二输入端的电压和第一输入端的电压进行比较，当第二输入端的电压大于或等于第一输入端的电压时，控制第一开关断开，第二开关闭合，使得高压储能单元向核心设备的数据接口的正负信号线放电；

步骤S5、在放电过程中，比较控制单元继续对第二输入端的电压和第一输入端的电压进行比较，当第二输入端的电压小于第一输入端的电压时，控制第二开关断开，第一开关闭合，使得所述高压发生器将所述电源线输出的低压电源转换成高压电源，并利用转换后的高压电源对所述高压储能单元进行充电；

步骤S6、重复上述步骤S4-S5，以在核心设备的数据接口输出高压脉冲电压，所述脉冲电压对接入核心设备的数据接口的外部设备具有攻击或破坏作用。

进一步地，所述高压储能单元包括若干个并联的高压储能电容。

由上述技术方案可知，本发明提供的安全防护设备，充分利用了核心设备的数据接口输出的电能，通过对数据接口输出的低压电能进行转换产生高压电能，然后利用产生的高压电能对接入数据接口的外部设备进行攻击，具体地，在高压储能单元持续的储能和放能过程中，输出的高压脉冲电压对接入数据接口的外部设备(外部设备)造成了不可逆的损失，从而快速而有效地攻击了接入数据接口的外部设备，进而提升核心设备的防护能力。此外，本发明提供的安全防护设备，结构简单、体积较小，便于集成在核心设备内或核心设备外设中。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的安全防护设备的结构示意图；

图2是本发明实施例二提供的数据接口的结构示意图；

图3是本发明实施例三提供的核心设备的结构示意图；

图4是本发明实施例四提供的基于安全防护设备的安全防护方法流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1示出了本发明实施例一提供的安全防护设备的结构示意图，参见图1，该安全防护设备包括：高压发生器、高压储能单元、比较控制单元、第一开关和第二开关；其中：

所述高压发生器的第一端通过第一开关与核心设备的数据接口的电源线连接，第二端与所述高压储能单元的输入端连接；

所述高压发生器用于在第一开关闭合时将所述电源线输出的低压电源转换成高压电源，并利用转换后的高压电源对所述高压储能单元进行充电；

所述高压储能单元通过第二开关与核心设备的数据接口的正负信号线连接，所述高压储能单元用于在第二开关闭合时，向核心设备的数据接口的正负信号线放电；

所述比较控制单元的第一输入端与预设参考电压端连接，第二输入端与所述高压储能单元的输出端连接，输出端分别与第一开关和第二开关连接；

所述比较控制单元，用于在第二输入端的电压大于或等于第一输入端的电压时，控制第一开关断开，第二开关闭合；以及用于在第二输入端的电压小于第一输入端的电压时，控制第二开关断开，第一开关闭合；

其中，所述高压储能单元不断充电和放电，以在核心设备的数据接口输出高压脉冲电压，所述脉冲电压对接入核心设备的数据接口的外部设备具有攻击或破坏作用。

这里，所述低压电源可以为2～20V电源，所述高压电源可以为100～400V电源。

由于核心设备的数据接口提供的电压都是低压，例如5V，若采用这样的电压对接入数据接口的外部设备进行攻击，那么不但需要的时间长，而且效果也不太好。针对该问题，本发明实施例提供了一种安全防护设备，先通过高压发生器将数据接口提供的低压电压生成高压电压，例如220V，然后将生成的高压电压对高压储能单元进行充电，在充电过程中，高压储能单元储存的能量越来越高，比较控制单元对高压储能单元输出的电压与预设参考电压端的电压(例如为200V)进行比较，当高压储能单元输出的电压大于或等于预设参考电压端的电压时，比较控制单元控制第一开关断开，第二开关闭合，使得高压储能单元向核心设备的数据接口的正负信号线放电；在放电过程中，比较控制单元继续对高压储能单元输出的电压与预设参考电压端的电压(例如为200V)进行比较，当高压储能单元输出的电压小于预设参考电压端的电压时，比较控制单元控制第二开关断开，第一开关闭合，使得高压发生器将所述电源线输出的低压电源转换成高压电源，并利用转换后的高压电源对所述高压储能单元进行充电；在持续的充电和放电过程中，在核心设备的数据接口形成了高压脉冲电压，所述脉冲电压可以对接入核心设备的数据接口的外部设备造成攻击或破坏作用。

这里，所述的数据接口可以为USB接口、网口、串口和并口中的任意一种。

这里，所述的核心设备可以为计算机、路由器、打印机、摄像机和网络交换机中的任意一种。

这里，所述的外部设备可以为U盘、移动硬盘、手机、IPad、鼠标和键盘中的任意一种。

本发明实施例提供的安全防护设备，充分利用了核心设备的数据接口输出的电能，通过对数据接口输出的低压电能进行转换产生高压电能，然后利用产生的高压电能对接入数据接口的外部设备进行攻击，具体地，在高压储能单元持续的储能和放能过程中，输出的高压脉冲电压对接入数据接口的外部设备造成了不可逆的损失，从而快速而有效地攻击了接入数据接口的外部设备，进而提升核心设备的防护能力。此外，本发明实施例提供的安全防护设备，结构简单、体积较小，便于集成在核心设备的数据接口内或核心设备与数据接口相关的外设中。

在一种实施方式中，参见图1，优选地，所述高压储能单元包括若干个并联的高压储能电容。这里，选择并联的高压储能电容作为储能单元，是因为：高压储能电容不但储能效果好，而且体积较小、价格比较便宜。此外，通过控制高压储能电容的容量以及并联个数，可以较为精确地控制高压储能单元的储能容量或储能效果。

在一种实施方式中，所述比较控制单元采用比较器实现。该比较器具有控制功能，根据两路输入信号的大小关系，可以输出不同的输出信号。例如：当第二输入端的电压大于或等于第一输入端的电压时，向第一开关所在支路输出低电平，控制第一开关断开，向第二开关所在支路输出高电平，控制第二开关闭合；同理，当第二输入端的电压小于第一输入端的电压时，向第一开关所在支路输出高电平，控制第一开关闭合，向第二开关所在支路输出低电平，控制第二开关断开。

为了方便理解，上述的第一开关可以称为电源开关，上述的第二开关可以称为高压模拟开关。

参见图1，本发明实施例基于核心设备的数据接口所提供的5V电源，通过高压发生器，将5V电压转换为220V左右的高压，并通过放电开关对输出负载进行高压脉冲放电，从而达到破坏核心设备的数据接口及接口电路的物理破坏。

本发明实施例提供的安全防护设备的工作原理为：

a、高压发生器连接于核心设备的数据接口上，核心设备检测到外部设备接入以后会给数据接口提供5V电源；高压发生器在5V电源供电后启动工作，通过升压电路将5V升压，并持续给后端高压储能电容充电，最终将储能电容上电压提升为220V左右；

b、升压过程中比较控制单元持续对电容上电压进行比较，当电容电压升至220V的时候，比较控制单元输出控制信号切断高压发生器输入5V电源，同时打开高压模拟开关，高压储能电容将通过高压模拟开关对数据接口的正负信号线放电；

c、高压储能电容经过高压模拟开关放电后，储能电容上的电压会下降，在电压下降到低电平触发电压时，比较控制单元输出驱动信号，关闭高压模拟开关，同时打开输入电源开关，高压发生器继续工作，升压转换并对储能电容进行充电；

d、重复b-c的过程，据此产生高压脉冲电压。

本发明实施例能够高效利用核心设备的数据接口输出的电能，在持续的储能和放能的过程中对被接入核心设备的外部设备造成不可逆的损失，从而达到攻击破坏目标。这里提到的接入数据接口的外部设备可以为U盘、移动硬盘、手机、IPad、鼠标和键盘中的任意一种。

本发明实施例能够有效攻击被接入的核心设备的外部设备，且造成不可逆损坏，能够为核心设备的防护方法提供指导，从而提升核心设备的防护能力。

基于相同的发明构思，本发明实施例二提供了一种核数据接口，参见图2，该数据接口包括如上面实施例所述的安全防护设备。

本发明提供数据接口，由于包含上述实施例一所述的安全防护设备，因此具有和上述实施例一类似的技术效果，因此这里不再详述。

本实施例提供的数据接口可以为USB接口、网口、串口、并口中的一种或多种。

基于相同的发明构思，本发明实施例三提供了一种核心设备，参见图3，该核心设备包括至少一个数据接口和至少一个如上面实施例所述的安全防护设备；其中，一个数据接口对应一个所述安全防护设备。

本实施例提供的核心设备可以为计算机、路由器、打印机、摄像机和网络交换机中的任意一种。

本发明提供的核心设备，由于包含上述实施例一所述的安全防护设备，因此具有和上述实施例一类似的技术效果，因此这里不再详述。

本发明实施例四提供了一种利用上面实施例所述的安全防护设备的核心设备安全防护方法，参见图4，该方法包括如下步骤：

步骤101：核心设备检测核心设备的数据接口是否有外部设备接入，若是，则执行步骤S2，否则继续执行步骤S1。

步骤102：核心设备控制所述安全防护设备开始工作，并为核心设备的数据接口的电源线提供低压电源。

步骤103：若安全防护设备的比较控制单元确定第二输入端的电压小于第一输入端的电压，则控制第二开关断开，第一开关闭合，使得所述高压发生器将所述电源线输出的低压电源转换成高压电源，并利用转换后的高压电源对所述高压储能单元进行充电。优选地，所述高压储能单元包括若干个并联的高压储能电容。

步骤104：在充电过程中，比较控制单元继续对第二输入端的电压和第一输入端的电压进行比较，当第二输入端的电压大于或等于第一输入端的电压时，控制第一开关断开，第二开关闭合，使得高压储能单元向核心设备的数据接口的正负信号线放电。

步骤105：在放电过程中，比较控制单元继续对第二输入端的电压和第一输入端的电压进行比较，当第二输入端的电压小于第一输入端的电压时，控制第二开关断开，第一开关闭合，使得所述高压发生器将所述电源线输出的低压电源转换成高压电源，并利用转换后的高压电源对所述高压储能单元进行充电。

步骤106：重复上述步骤104-105，以在核心设备的数据接口输出高压脉冲电压，所述脉冲电压对接入核心设备的数据接口的外部设备具有攻击或破坏作用。

本发明提供的核心设备安全防护方法，采用了上述实施例所述的安全防护设备，因此具有和上述实施例一类似的技术效果，这里不再详述。

在本发明的描述中，需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上实施例仅用于说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。