形成防止数据泄露的安全外围设备共享开关的键盘、视频和鼠标设备的系统及方法与流程

本申请要求于2014年6月26日提交的美国临时申请序号62/017,513的优先权，其全部公开内容通过引用在此并入到本申请中。

技术领域

本公开内容涉及安全外围设备共享开关(“PSS”)系统，并且更具体地涉及消除经由与PSS系统通信的外围设备的数据泄露的可能的安全PSS系统及方法。

背景技术：

该部分中的陈述仅提供与本公开内容有关的背景信息，并且可以不构成现有技术。

安全外围设备共享开关(“PSS”)系统经常在外围设备例如键盘被用于与两个不同的计算机系统进行通信的应用中使用。一种特定类型的PSS系统是键盘、视频和鼠标(“KVM”)系统。为了方便起见，在理解到KVM系统仅意为一个示例的情况下，本公开内容将参考KVM系统作为考虑中的特定类型的PSS。因此，本申请的教导可以应用于除了KVM系统之外的其他类型的PSS系统。

KVM系统使得单个键盘、鼠标和视频显示装置能够通过KVM设备与一个、两个或更多个不同的目标计算机进行通信。目标计算机中的两个或更多个可以在经常具有不同安全等级的不同网络上操作。例如，一个网络可以是“涉密(classified)”网络，以及其他网络可以是“非涉密(unclassified)”网络。当两个或更多个目标计算机或其他类型的计算装置、外围装置或网络装置对接到KVM设备时，出现了如下挑战：防止数据从用户的计算机或外围设备返回通过KVM设备泄漏至不同的目标计算机。当在KVM设备被用于向单个计算机或外围设备提供至两个或更多个不同的网络(其中网络被指定具有不同的安全等级)的共享接入时，这样的数据泄露还存在问题。

如果KVM设备用于初始将用户的键盘、鼠标和显示终端对接至操作在第一网络上的第一目标计算机，则信息可从用户的键盘和鼠标两者传输至第一目标计算机，以及可从第一目标计算机传输至用户的键盘。从第一目标计算机传输至用户的键盘的数据可以是例如由用户的键盘临时存储的且对设置用户的键盘上的状态指示器进行控制的数据。在一个示例中，数据可以是：响应于用户按下键盘上的大写锁定键而设置与用户的键盘上的大写锁定键关联的灯的数据。可替选地，数据可以用于设置键盘上的滚动锁定指示器或数字锁定指示器。当KVM设备用于将用户的外围设备切换为与例如操作在第二网络上的第二目标计算机进行通信时，则一旦第二目标计算机开始与用户的键盘通信，已发送至用户的键盘且被用户的键盘存储的数据(例如，用于设置大写锁定灯)就可以被传递(即“泄漏”)至第二目标计算机。

来自用户的外围设备的信息从一个目标计算机至另一目标计算机的上述共享或“泄漏”不限于仅传递至用户的键盘的状态信息，而且可以潜在地扩展到实际上经由KVM设备在目标计算机与用户的键盘或鼠标之间共享的任何其他类型的信息。虽然这样的键盘状态信息经常用于设置用户正使用的键盘或其他外围设备上的某个类型的状态指示器，但是这种信息不必仅限于与键盘一起使用的状态信息。本领域技术人员将理解，在KVM设置中用户经常使用的各种其他外围设备可以包括：用于在KVM会话期间临时存储从目标计算机接收的信息的一些少量的存储器。在这样的实例中，如果信息可以从一个目标计算机或装置传递/泄漏至不同的目标计算机或装置，则这是非常不期望的。而且在许多应用(其中能够经由KVM共享外围设备以连接至接入涉密网络和未涉密网络两者的计算装置，例如在政府和/或军事设置中)中，规则可以是在绝对禁止信息泄露的境地。

防止信息经由KVM设备从与一个目标计算机通信的外围设备泄露到不同的目标计算机的先前的尝试已经不能完全满足。一种这样的尝试涉及到仅防止状态信息被传递至共享的外围设备(例如，用户的键盘)。然而，这提供了不能向用户提供状态信息的缺点。在一些实例中，例如在状态信息将正常地用于设置用户的键盘上的大写锁定指示器的情况下，用户将不知道大写锁定是打开的。如果要求用户输入密码到具有隐藏字符的对话框中，并且要求密码的一些字符是大写字母或符号，则对于用户这会呈现让人沮丧的情况。其他解决该挑战的尝试已经有了有限的成功。

技术实现要素：

在一方面，本公开内容涉及一种用于防止状态信息在目标计算机与用户的外围设备之间传递的KVM设备，目标计算机与KVM设备进行通信。该KVM设备可以包括：壳体；在壳体上被支承的指示器；用于接收状态信息的主处理单元(MPU)。MPU可以被配置成：监视由MPU接收的状态信息，以及确定何时所接收的状态信息是用于设置指示器的特定类型的状态信息，该指示器于是使用户获悉外围设备的特性的实时状态。当特定类型的状态信息被识别为设置指示器的类型时，使用特定类型的状态信息来设置指示器以向外围设备的用户指示特性的实时状态。

在另一方面，本公开内容涉及一种用于防止状态信息在目标计算机与用户的外围设备之间传递的KVM设备，该目标计算机与KVM设备进行通信。KVM设备可以包括：壳体；在壳体上被支承的指示器；主处理单元(MPU)。在用户选择与外围设备关联的预定特性时，MPU可以接收与状态信息有关的第一代码；至少一个目标处理单元(TPU)可以用于将MPU与目标计算机进行对接。TPU被配置成：将第一代码传递至目标计算机，以及接收包括与预定特性关联的第二代码的状态信息。第二代码被用于设置KVM壳体上的指示器。

在又一方面，本公开内容涉及一种用于防止状态信息在同设备进行通信的目标计算机与用户的外围设备之间传递的方法，用户的外围设备经由KVM设备与目标计算机进行通信。方法可以包括：使用KVM设备检测与状态信息关联的代码的存在，状态信息是从外围设备接收的状态信息或从目标计算机接收的状态信息中的至少一个，并且其中状态信息与外围设备的预定特性有关。该方法还涉及使KVM设备使用状态信息来设置KVM设备上的指示器，该指示器向用户提供预定特性为激活的实时通知。

附图说明

本文中描述的附图仅用于说明目的，并且不意在以任何方式限制本公开内容的范围。在附图中：

图1是现有技术系统的高层框图，示出了可以如何经由KVM设备在用户的键盘与操作在两个不同网络上的两个目标计算机(目标计算机1和目标计算机2)之间来回传递信息；

图2是新的安全KVM设备的示图，该新的安全KVM设备并入用于“大写锁定”的状态指示器和其他特性，使得不同类型的状态信息可以被可视地提供至用户，而无需将这样的信息传递至用户正使用的外围设备；

图3是示出了下述操作的高层流程图，所述操作可以由图2的安全KVM设备执行以检测和使用由KVM设备从目标计算机接收的状态信息来设置KVM设备上的状态指示器，以及防止状态信息被传递至与安全KVM设备进行通信的外围设备；

图4是根据本公开内容的另一实施方式的系统的高层视图，在该系统中并入了复用器，并且MPU控制复用器从多个目标处理单元(TPU)中的选择的TPU直接接收代码，然后MPU将该代码发送至指示器；

图5是根据本公开内容的另一实施方式的系统的高层视图，在该系统中，表示状态信息的代码从多个TPU中的选择的TPU被直接传输至复用器，然后其被MPU控制，使得代码在不需要由MPU处理的情况下被直接发送至指示器；

图6是示出了下述操作的高层流程图，所述操作可以由如图4中配置的KVM设备执行，以使用KVM设备的MPU来检测代码的接收以及将所接收的代码传递至指示器以打开指示器；以及

图7是示出了下述操作的高层流程图，所述操作可以由如图5中配置的KVM设备执行，使得KVM设备的MPU不涉及将代码传递至指示器。

具体实施方式

下面的描述在本质上仅仅是示例性的，并非意图限制本公开内容、应用或使用。应理解，贯穿附图相应的附图标记表示相似或相应的部件和特征。

参照图1，示出了现有技术系统10，在现有技术系统10中两个目标计算机(即，目标计算机1和2)与用户正使用的多个外围设备进行通信。在该示例中，键盘12a形成一个外围设备，鼠标12b形成另一外围设备，以及显示终端12c形成又一外围设备。外围设备12a至12c经由安全KVM设备14(在下文中为“KVM设备”14)连接至目标计算机1或2中的任一个。该现有技术布置存在下述挑战：如果目标计算机1或目标计算机2向外围设备12a至12c中的任一个发送信息例如以设置键盘12a上的大写锁定LED 18，并且然后KVM设备14被设置成与目标计算机1或2中的另一个进行通信，则可以将所存储的状态信息从键盘12a传递至新连接的目标计算机(即，目标计算机1或2中的另一个)。实际上，被传输以设置键盘12a上的大写锁定指示灯18的信息被临时存储在键盘12a中，并且然后当在键盘12a与另一目标计算机之间形成连接时该信息返回通过KVM设备14被传输(即泄漏)到另一目标计算机(即，目标计算机1或2中的另一个)。

参照图2，根据本公开内容的一个实施方式示出了系统100，系统100消除了从键盘12a或用于与目标计算机1和目标计算机2进行通信的其他外围设备泄漏信息的可能。在本示例中，系统100采用并入主处理单元100a(“MPU 100a”)和目标处理单元100b(“TPU 100b”)的安全KVM设备100的形式。MPU 100a运行存储在非易失性存储器(未示出)中的非暂态机器可读程序100a1。TPU 100b进行操作以接收来自用户的外围设备(例如，键盘12a和/或鼠标12b)的信息，以及将该信息报告给两个目标计算机1或2中的当时被选中的目标计算机。

KVM设备100还包括用于指示键盘12a上的特定键的键状态的至少一个状态指示器部件102。MPU 100a使用程序100a1来检测何时由KVM设备100从目标计算机接收一种或更多种特定类型的信息，例如设置键盘12a上的状态指示灯所需要的信息，其为不应被传递至键盘12a的信息类型。MPU 100a拦截该信息而不是将该信息传递至键盘12a，使用该信息设置与键盘12a的大写锁定特性关联的状态指示器部件102。以这种方式，用户仍通过仅查看KVM设备100的前面板104上的状态指示器部件102而获悉状态，同时KVM设备100防止状态信息被传输至用户的键盘12a。在替选配置中，如果用户已按下键盘12a上的“滚动锁定”键或“数字锁定”键，则可以设置“滚动锁定”指示器部件106，和/或可以设置“数字锁定”指示器部件108。这些仅是什么类型的状态指示器部件可以并入KVM设备100的几个示例。本领域技术人员将理解，键盘的各种其他键或实际上任何其他外围设备(例如鼠标12b或显示终端12c)的状态可以连同适当修改的程序一起正好容易地被包括在KVM设备100上，以检测何时KVM设备100接收到特定类型的信息以设置适当的状态指示器部件。此外，应理解，虽然KVM设备100仅示出为具有三个状态指示器部件102、106和108，但是实际上可以根据希望能够在前面板104上显示多少不同类型的状态来提供任意数目的不同状态指示器。

图3是更详细地示出了本公开内容的系统10如何工作以防止特定类型的信息通过KVM设备100(图2)从目标计算机(即，在本示例中在涉密网络上的目标计算机1)被传递回用户正使用的外围设备的图200。在本示例中，外围设备是键盘12a(图1)。目标计算机1接收到指示已发生一些事件的信息。因此，目标计算机1独立地将CLOC(“大写锁定打开代码”)发送至键盘12a，即不是首先接收CLDC(“大写锁定按下代码”)。键盘12a存储刚接收的CLOC。在某个稍后时间点，如果用户要将KVM100从目标计算机1切换至不同的目标计算机，例如在本示例中位于未涉密网络上的目标计算机2，则目标计算机2将读取键盘状态并检索接收到假CLOC的信息。即使这仅是1比特(大写锁定或非大写锁定)，信息也将从涉密网络传递至未涉密网络。其他情况也是可能的：其中大写锁定打开/关闭消息的序列被发送以将大量的数据传递至外围设备，在该外围设备切换至不同的计算机时该外围设备稍后被该计算机检索到。大写锁定打开消息可以用于表示“1”，以及大写锁定关闭消息用于表示“0”——例如，将CLOC/CLFC用于打开/关闭，序列(CLFC、CLOC、CLOF、CLOF、CLOF、CLOF、CLOF、CLOC)将表示作为ASCII字符“A”的二进制01000001。

进一步参照图3，利用本公开内容的系统10，不会发生将信息从一个目标计算机经由用户的外围设备传递至不同的目标计算机的以上动作。为了对此进行说明，考虑在操作202处用户按下大写锁定键18。在操作204处，键盘12a报告已生成CLDC。然后，如在操作206处所指示的，KVM设备100的主处理单元100a(“MPU 100a”)从键盘12a读取CLDC。MPU 100a经由适当的总线将CLDC传输至KVM设备100的目标处理单元100b(“TPU 1 100b”)，在本示例中该适当的总线是双向串行外围接口(“SPI”)总线100c。在操作208处，TPU 1 100b经由适当的总线将CLDC报告给目标计算机1，在本示例中该适当的总线被示出为USB。将理解，实际上除了在图3中示出的那些示例之外可以潜在地使用任何其他适当形式的总线。

在操作210处，目标计算机1处理所接收的CLDC，以及经由USB将作为响应的CLOC发送回TPU 1 100b。在操作212处，TPU 1 100b接收CLOC。然后，TPU 1 100b经由串行外围接口总线100c将CLOC发送至MPU 100a。MPU 100a使用程序100a1将所接收的信息识别为CLOC，并且然后如在操作214中所指示的，将CLOC发送至状态指示器部件102。在本示例中，状态指示器部件102是LED，当状态指示器部件102被点亮时，状态指示器部件102提供键盘的“大写锁定”特性被打开的可视指示。

参照图4和图5，示出了用于检测状态信息的替选布置。在图4中，MPU 100a与复用器100c进行通信。复用器100c进而与多个目标处理单元(TPU)100b1至100b3进行通信。TPU 100b1至TPU 100b3与多个目标计算机1至3单独地关联。目标计算机1至3可以均运行在单独的网络上或运行在仅一个或两个网络上。在本实施方式中，MPU 100a控制复用器100c选择TPU 100b1至100b3中的用于每次通信的TPU。在本示例中，用户先前通过启动KVM设备100上的选择控制(例如，按钮)选择目标计算机1作为要进行通信的计算机。这用信号通知MPU 100a目标计算机1是用户希望进行通信的计算机。然后，MPU 100a知道选择TPU100b1以供使用。现在，考虑TPU 100b1从目标计算机1接收到CLOC。由于MPU 100a已选择TPU 100b1用于进行通信，所以CLOC将从复用器100c被传递至MPU 100a。然后，MPU 100a将仅传输CLOC至指示器102，这使指示器被打开。因此，在本示例中，MPU 100a用于获得CLOC，以及将CLOC传递至指示器102以打开指示器。将理解，在本实施方式中还可以使用MPU 100a首先从键盘12a接收CLDC(大写锁定按下代码)，并且然后将CLDC传递至TPU 1100b1。然而，在图4和图5的示例中，仅示出朝向MPU 100a的信息流(即，通过图3中的虚线限定的部件)。

在图5中，与图4的实施方式有些类似的系统10的另一实施方式被示出，但是替代地使得CLOC能够被直接传递至指示器102，而不是首先被MPU 100a接收。在本示例中MPU 100a控制两个复用器100c1和100c2来选择TPU 100b1至100b3中的用于进行通信的特定TPU。然后，由所选择的TPU接收的CLOC经由复用器100c2被直接传输至指示器102，其打开指示器102。复用器100c1另外地用于使得能够与所选择的目标计算机进行针对所有其他信息的双向通信。因此，在本实施方式的情况下，决不由MPU 100a接收CLOC。如与图4中示出的实施方式一样，图5的实施方式也可以使用MPU 100a以将从键盘12a接收的CLDC传递至所选择的TPU 1100b1至100b3。在替选实施方式中，状态指示器102可以代替地被设置在经由接口线缆与KVM设备100进行通信的单独的部件上。像这样，不是绝对要求状态指示器102位于KVM设备100上，但是预期这会是用于实现状态指示器102的特别普遍和方便的手段。

图6示出了针对图4的配置的KVM设备100可执行的各种操作的一个示例，其中CLOC初始被传递至MPU 100a，并且然后由MPU 100a传递至LED 102。MPU 100a用于确定所接收的消息(“Msg”)是否是状态指示符。如果所接收的消息(“Msg”)不是状态指示符，则丢弃该消息。该确定可以基于所接收的消息与表示不同类型的状态指示的一个或更多个存储的消息的比较。

图7示出了针对图5的配置的KVM设备100可执行的各种操作的示例，其中CLOC没有被传递至MPU 100a。根据图7明显的是，MPU 100a不涉及将CLOC传递至LED 102；而是，MPU 100a仅涉及选择适当的TPU 100b1至100b3来使用。利用图7的配置，所选择的TPU(在图5示出的示例中的TPU 100b1)将使用与程序100a1类似或相同的内部程序来确定所接收的消息是否指示状态指示符的改变。然后，所选择的TPU将所接收的CLOC传递至MUX 10，MUX 10将CLOC传递至LED 102。

因此，本公开内容的KVM设备100的各种实施方式明确地消除了如下机会：在KVM设备100用于将外围设备切换为与不同的计算机进行通信时，状态信息可能由外围设备从一个计算机泄漏至另一计算机。当共享的外围设备用于与如下两个或更多个网络上的计算机进行通信时，期望该性能进一步显著地增强安全性：所述两个或更多个网络具有不同安全等级，并且其中外围设备在两个网络之间泄漏信息的能力会被认为是安全漏洞。

尽管已经描述了各种实施方式，但是本领域技术人员将会认识到，在不偏离本公开内容的情况下，可以进行修改或变化。示例示出了各种实施方式，并且不意图限制本公开内容。因此，应当仅以考虑到相关现有技术需要的这样的限制充分解释说明书和权利要求。

权利要求书(按照条约第19条的修改)

1.一种用于防止状态信息在目标计算机与用户的外围设备之间传递的KVM设备，所述目标计算机经由网络与所述KVM设备进行通信，其中在所述外围设备上具有状态指示器，所述KVM设备包括：

壳体；

在所述壳体上被支承的指示器；

用于接收状态信息的主处理单元(MPU)；

所述MPU被配置成：

监视由所述MPU接收的与所述用户的外围设备的操作有关的状态信息；

确定何时所接收的状态信息是用于设置所述用户的外围设备上的状态指示器的特定类型的状态信息，其中所述状态信息与从所述用户的外围设备发起的命令有关，并且所述指示器于是使所述用户获悉所述外围设备的特性的实时状态；以及

当所述特定类型的状态信息被识别为设置所述用户的外围设备上的所述状态指示器的类型时，使用所述特定类型的状态信息来设置所述KVM设备的所述壳体上的所述指示器以向所述外围设备的所述用户指示所述特性的实时状态，并且防止所接收的状态信息由所述KVM传输至所述用户的外围设备。

2.根据权利要求1所述的KVM设备，还包括与所述MPU和所述目标计算机两者进行通信的目标处理单元(TPU)，并且所述TPU被配置成：

将所述TPU从所述MPU接收的所述状态信息报告给所述目标计算机；以及

将与从所述目标计算机接收的所述状态信息有关的代码报告给所述MPU。

3.根据权利要求1所述的KVM设备，其中，所述特定类型的状态信息包括：用于设置键盘的大写锁定特性的状态信息。

4.根据权利要求1所述的KVM设备，其中，所述特定类型的状态信息包括：用于设置鼠标的滚动锁定特性的状态信息。

5.根据权利要求1所述的KVM设备，其中，所述特定类型的状态信息包括：用于设置键盘的数字锁定特性的状态信息。

6.根据权利要求1所述的KVM设备，其中，所述状态指示器包括：在使用所述特定类型的状态信息进行设置时能够被点亮的元件。

7.根据权利要求6所述的KVM设备，其中，所述元件包括发光二极管(LED)。

8.根据权利要求1所述的KVM设备，还包括：

与所述MPU进行通信的复用器；以及

多个目标处理单元(TPU)，所述多个目标处理单元(TPU)与所述复用器进行通信并且还与多个目标计算机进行通信，所述复用器能够由所述MPU控制以选择所述TPU中的一个TPU，状态信息通过所述复用器从所述TPU中的所选择的一个TPU被提供至所述MPU，然后所述MPU使用所述状态信息来设置所述指示器。

9.一种用于防止状态信息在目标计算机与用户的外围设备之间传递的KVM设备，所述目标计算机与所述设备进行通信，所述KVM设备包括：

壳体；

在所述壳体上被支承的指示器；

主处理单元(MPU)，用于在用户选择与所述外围设备关联的预定特性时，从所述用户的外围设备接收与所述状态信息有关的第一代码；

至少一个目标处理单元(TPU)，用于将所述MPU与所述目标计算机进行对接；

其中，所述TPU被配置成：将所述第一代码传递至所述目标计算机，以及接收包括与所述预定特性关联的第二代码的状态信息；以及

其中，所述第二代码被用于设置所述KVM壳体上的所述指示器，并且防止所述第二代码被传输回所述用户的外围设备。

10.根据权利要求9所述的KVM设备，还包括：

与所述MPU进行通信的复用器；以及

多个目标处理单元(TPU)，所述多个目标处理单元(TPU)与所述复用器进行通信并且与多个目标计算机进行通信，所述复用器能够由所述MPU控制以选择所述TPU中的一个TPU，所述第一代码和所述第二代码通过所述复用器在所述KVM设备与所述目标计算机中的所选择的一个目标计算机之间被传递。

11.根据权利要求10所述的KVM设备，其中，所述MPU被配置成直接从所述TPU中的所选择的一个TPU接收所述第二代码，以及使用所述第二代码来设置所述指示器。

12.根据权利要求10所述的KVM设备，其中，所述MPU被配置成控制所述复用器，使得所述TPU中的所选择的一个TPU将所述第二代码直接发送至所述指示器以设置所述指示器。

13.根据权利要求9所述的KVM设备，其中，所述状态信息包括：用于设置键盘的大写锁定特性的状态信息。

14.根据权利要求9所述的KVM设备，其中，所述状态信息包括：用于设置鼠标的滚动锁定特性的状态信息。

15.根据权利要求9所述的KVM设备，其中，所述状态信息包括：用于设置键盘的数字锁定特性的状态信息。

16.根据权利要求9所述的KVM设备，其中，所述状态指示器包括：在使用所述状态信息进行设置时能够被点亮的元件。

17.一种用于防止状态信息在同设备进行通信的目标计算机与用户的外围设备之间传递的方法，所述用户的外围设备经由KVM设备与所述目标计算机进行通信，所述方法包括：

使用所述KVM设备检测与所述状态信息关联的代码的存在，所述状态信息是从所述外围设备接收的状态信息或从所述目标计算机接收的状态信息中的至少一个，并且其中所述状态信息与所述外围设备的预定特性有关；以及

使所述KVM设备使用所述状态信息来设置所述KVM设备上的指示器，所述指示器向所述用户提供所述预定特性为激活的实时通知；以及

防止所述状态信息从所述KVM设备被传递回所述用户的外围设备。

18.根据权利要求17所述的方法，其中，所述KVM设备被配置成从所述外围设备接收与预定状态信息有关的第一代码，以及还从所述目标计算机接收与所述预定状态信息有关的第二代码，以及使用所述第二代码设置所述指示器。

19.根据权利要求17所述的方法，其中，使用所述状态信息包括使用下述项中的至少一个：

与键盘的大写锁定特性有关的状态信息；

与鼠标的滚动锁定特性有关的状态信息；以及

与键盘的数字锁定特性有关的状态信息。

20.根据权利要求17所述的方法，其中，设置指示器的操作包括：点亮安装在所述KVM设备上的光学元件。