一种USB接口权限控制装置及权限控制方法与流程

本发明涉及数据安全领域，尤其涉及一种基于硬件的usb接口权限控制装置及权限控制方法。

背景技术：

usb接口是计算机设备最常见的接口之一，可以用于连接键鼠、u盘、移动硬盘、光驱、打印机、网卡等设备。在对保密工作有要求的行业，通常会对usb接口的功能进行限制，只允许连接特定的设备，以便防止重要数据的泄露。传统的usb接口的访问控制是在操作系统层面实现的，通过驱动程序获取usb设备的类型，并对禁止使用的设备在软件层面进行禁止访问的处理。该方式实现的成本很低，但是由于完全在软件层面实现，容易被修改破解，从而接入未经许可的设备。

技术实现要素：

为解决上述技术问题，本发明提出了一种不依赖操作系统，由独立的硬件实现usb接口权限控制的技术：

第一方面，本发明提供一种基于硬件的usb接口权限控制装置，包括一个或多个2选1模拟量开关、n选1模拟量开关、usb类型识别电路、tcm，其中2选1模拟量开关的固定端与usb接口相连接，2选1模拟量开关的切换端分别与计算机设备的桥片和n选1模拟量开关的切换端连接，计算机设备的桥片的另一端与计算机设备的cpu连接，n选1模拟量开关的固定端与usb类型识别电路连接，usb类型识别电路与tcm连接，tcm产生控制信号，用于控制2选1模拟量开关的切换端在计算机设备的桥片和n选1模拟量开关之间进行切换。

进一步的，计算机设备上电后，所有的2选1模拟量开关均连接到n选1模拟量开关，所有的usb口都经2选1模拟量开关、n选1模拟量开关连接到usb设备类型识别电路，不允许操作系统进行访问。

进一步的，在插入usb设备后，usb类型识别电路对usb设备的类型进行检测，通过读取插入的usb设备的基本信息，并判断设备类型，将设备类型发送到tcm芯片进行判断，tcm部分判断该类型的设备是否允许接入，如果允许，则发出控制信号，将对应接口的2选1模拟量开关调整为连接到桥片，允许操作系统进行访问。

进一步的，在usb设备使用完毕拔出后，tcm将2选1模拟量开关切换到n选1模拟量开关，经n选1模拟量开关与usb设备类型识别电路连接，等待下一个设备的插入。

进一步的，2选1模拟量开关的数量与计算机设备的usb接口数量相同。

进一步的，usb设备类型识别电路使用带有usbhost接口的单片机实现，通过读取插入的usb设备的基本信息来判断设备类型，判断出的设备类型发送到tcm。

进一步的，usb设备的插入、拔出检测通过检测usb5v供电的电流或通过检测usb设备d+/d-的上拉电阻来实现。

第二方面，本发明提供一种基于硬件的usb接口权限控制方法，包括以下步骤：

ss1：计算机设备上电后，所有的2选1模拟量开关均连接到n选1模拟量开关，所有的usb口都经2选1模拟量开关、n选1模拟量开关连接到usb设备类型识别电路，不允许操作系统进行访问；

ss2：在插入usb设备后，usb类型识别电路对usb设备的类型进行检测，通过读取插入的usb设备的基本信息，并判断设备类型，将设备类型发送到tcm芯片进行判断，tcm部分判断该类型的设备是否允许接入，如果允许，则发出控制信号，将对应接口的2选1模拟量开关调整为连接到桥片，允许操作系统进行访问；

ss3：在usb设备使用完毕拔出后，tcm将2选1模拟量开关切换到n选1模拟量开关，经n选1模拟量开关与usb设备类型识别电路连接，等待下一个设备的插入。

进一步的，usb设备类型识别电路使用带有usbhost接口的单片机实现，通过读取插入的usb设备的基本信息，来判断设备类型，判断出的设备类型发送到tcm。

进一步的，usb设备的插入、拔出检测通过检测usb5v供电的电流或通过检测usb设备d+/d-的上拉电阻来实现。

通过本发明的用于usb接口的硬件端口控制技术，可以对插入计算机的usb设备的类型进行检测，并实现对不同类型设备的访问控制功能。

附图说明

图1示出本发明基于硬件的usb接口权限控制装置的结构框图。

图2示出本发明基于硬件的usb接口权限控制方法的流程图。

具体实施方式

以下结合说明书附图及具体实施例进一步说明本发明的技术方案。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1示出本发明基于硬件的usb接口权限控制装置的结构框图。

如图1所示，基于硬件的usb接口权限控制装置包括一个或多个2选1模拟量开关、n选1模拟量开关、usb类型识别电路、tcm(可信密码模块，trustcryptographymodule)，2选1模拟量开关的固定端与usb接口相连接，2选1模拟量开关的切换端分别与计算机设备的桥片和n选1模拟量开关的切换端连接，计算机设备的桥片的另一端与计算机设备的cpu连接，n选1模拟量开关的固定端与usb类型识别电路连接，usb类型识别电路与tcm连接，tcm产生控制信号，用于控制2选1模拟量开关的切换端在计算机设备的桥片和n选1模拟量开关之间进行切换。

根据本发明的一实施例，计算机设备上电后，所有的2选1模拟量开关均连接到n选1模拟量开关，所有的usb口都经2选1模拟量开关、n选1模拟量开关连接到usb设备类型识别电路，不允许操作系统进行访问。

根据本发明的一实施例，在插入usb设备后，usb类型识别电路对usb设备的类型进行检测，通过读取插入的usb设备的基本信息，并判断设备类型，将设备类型发送到tcm芯片进行判断，tcm部分判断该类型的设备是否允许接入，如果允许，则发出控制信号，将对应接口的2选1模拟量开关调整为连接到桥片，允许操作系统进行访问。

根据本发明的一实施例，在usb设备使用完毕拔出后，tcm将2选1模拟量开关切换到n选1模拟量开关经n选1模拟量开关与usb设备类型识别电路连接，等待下一个设备的插入。

根据本发明的一实施例，2选1模拟量开关的数量与计算机设备的usb接口数量相同。

根据本发明的一实施例，usb设备类型识别电路使用带有usbhost接口的单片机实现，通过读取插入的usb设备的基本信息，来判断设备类型，判断出的设备类型发送到tcm。

根据本发明的一实施例，usb设备的插入、拔出检测可以通过检测usbsv供电的电流或通过检测usb设备d+/d-的上拉电阻来实现。

图2示出本发明基于硬件的usb接口权限控制方法流程图，用于实现上文的基于硬件的usb接口权限控制装置的控制流程。

如图1所示，基于硬件的usb接口权限控制方法包括：

ss1：计算机设备上电后，所有的2选1模拟量开关均连接到n选1模拟量开关，所有的usb口都经2选1模拟量开关、n选1模拟量开关连接到usb设备类型识别电路，不允许操作系统进行访问；

ss2：在插入usb设备后，usb类型识别电路对usb设备的类型进行检测，通过读取插入的usb设备的基本信息，并判断设备类型，将设备类型发送到tcm芯片进行判断，tcm部分判断该类型的设备是否允许接入，如果允许，则发出控制信号，将对应接口的2选1模拟量开关调整为连接到桥片，允许操作系统进行访问。

根据本发明的一实施例，还包括步骤ss3：在usb设备使用完毕拔出后，tcm将2选1模拟量开关切换到n选1模拟量开关，经n选1模拟量开关与usb设备类型识别电路连接，等待下一个设备的插入。

根据本发明的一实施例，2选1模拟量开关的数量与计算机设备的usb接口数量相同。

根据本发明的一实施例，usb设备类型识别电路使用带有usbhost接口的单片机实现，通过读取插入的usb设备的基本信息，来判断设备类型，判断出的设备类型发送到tcm。

根据本发明的一实施例，usb设备的插入、拔出检测可以通过检测usb5v供电的电流或通过检测usb设备d+/d-的上拉电阻来实现。

本发明提出的基于硬件的usb接口权限控制技术，用于对插入计算机的usb设备的类型进行检测，并实现对不同类型设备的访问控制功能。usb设备的类型判断与访问控制完全通过硬件实现，具有更高的安全性。同时无需对操作系统进行改动，可以方便地集成到任何计算机平台。

整套系统完全由硬件控制，无需对操作系统进行改动，可以方便地集成到任何计算机平台。同时可以防止usb接口权限控制系统被修改破解。

尽管在装置的上下文中已描述了一些方面，但明显的是这些方面也表示对应方法的描述，其中块或设备与方法步骤或方法步骤的特征相对应。类似地，在方法步骤的上下文中所描述的各方面也表示对应的块或项目或者对应装置的特征的描述。可以通过(或使用)如微处理器、可编程计算机、或电子电路之类的硬件装置来执行方法步骤中的一些或所有。可以通过此类装置来执行最重要的方法步骤中的某一个或多个。

所述实现可以采用硬件或采用软件或可以使用例如软盘、dvd、蓝光、cd、rom、prom、eprom、eeprom、或闪存之类的具有被存储在其上的电子可读控制信号的数字存储介质来执行，所述电子可读控制信号与可编程计算机系统配合(或能够与其配合)以使得执行相应的方法。可以提供具有电子可读控制信号的数据载体，所述电子可读控制信号能够与可编程计算机系统配合以使得执行本文所描述的方法。

所述实现还可以采用具有程序代码的计算机程序产品的形式，当计算机程序产品在计算机上运行时，程序代码进行操作以执行该方法。可以在机器可读载体上存储程序代码。

以上所描述的仅是说明性，并且要理解的是，本文所描述的布置和细节的修改和变化对于本领域技术人员而言将是明显的。因此，意在仅由所附权利要求的范围而不是由通过以上描述和解释的方式所呈现的特定细节来限制。