专利名称:计算机i/0端口控制程序的制作方法
技术领域:
本发明涉及信息技术与互联网技术中的计算机安全管理领域,特别是计算机I/O端口控制程序。
背景技术:
目前市场上有很多类似的网络安全软件,比如木马克星、加密专家、网管专家等等,他们中的很多都可以对计算机进行一定程度的保护,但通常都是通过输入密码或数据验证的方式来实现,很少有软件通过直接干预计算机I/O端口来控制光驱、软驱、USB的使用权限,本发明人设计的I/O LOCK计算机安全软件创新的使用了这种方法来保护I/O资源,限制非授权人员的非法使用。
总之,从现有技术来看,网络安全软件没有能够从信息泄密的基本渠道着手,有效地保护和管理内部网络以及单机的保密信息。这属于现有技术中存在的缺陷或不足。
发明内容
本发明针对现有技术中存在的上述缺陷或不足,提供计算机I/O端口控制程序。采用该方法能够完全从用户角度出发,针对安全措施和权限分配对所有用户全部透明的特点,防范内部各种可能的违规连接互联网、非法拷贝转移数据、非法利用数据、非授权接触机密数据和资料、恶意破坏各种机密数据等实际安全问题,实现对整个内部网络和单机的监控和安全管理。
本发明的技术构思为,管理端软件运行在局域网内的管理机上,负责管理整个局域网内的计算机;客户端软件运行在局域网内的每台客户机上,开机后程序即在后台运行,实时监控本机的I/O资源工作状态。通过直接干预计算机I/O端口来控制光驱、软驱、USB的使用权限,如果没有经过服务器端的授权,任何人都不可以随意使用被管理机器的I/O设备,从而可以保护计算机内的资料不会被未授权人员随意带走。
本发明的技术方案如下计算机I/O端口控制程序,其特征在于通过服务器的管理端软件和相应的客户端软件直接对计算机的I/O端口资源进行权限控制。
所述权限控制包括以下步骤步骤1,客户端软件运行;步骤2,客户端提出使用设备申请;步骤3,申请通过网络传达到服务器端;步骤4,服务器端验证客户身份;步骤5,如果验证不通过,反馈给客户端,由客户端收到反馈后进行处理;如果验证通过,则执行步骤6;步骤6,验证客户权限;步骤7,如果验证不通过,则拒绝使用设备并反馈给客户端,由客户端收到反馈后进行处理;如果验证通过,则执行步骤8;步骤8,允许使用设备并反馈给客户端,由客户端收到反馈后进行处理。
所述I/O端口资源包括串口、USB口、光盘、Zip盘、红外传输接口、打印机并口和/或局域网共享目录。
所述服务器端设定局域网访问权限时包括设定允许访问的机位,即使用合格密码但在不同机器上进行访问是不允许的。
所述客户端软件运行在局域网内的每台客户机上,开机后程序即在后台运行,实时监控本机的I/O资源工作状态,能够显示本台计算机的网络联接情况。
所述管理端软件运行在局域网内的管理机上,负责管理整个局域网内的计算机,能够根据客户端许可证数量设置来管理网内的客户机、在授权情况下查看客户机的屏幕内容、关闭客户机或是注销网络用户、查看客户机的网络连接情况、切断客户机的网络连接和/或进行报警记录并分析。
所述管理端软件和相应的客户端软件具有远程升级功能。
所述客户端软件程序不允许本机操作人员干涉其运行,在发生中止进程等情况时,将发出报警信息,并记录报警画面,在某些紧急的情况下,根据服务器发送的关机命令,客户机将自动关机。
对拨号上网进行检测,在发现后发出报警信息并立即关机。
本发明的技术效果如下由于本发明的计算机I/O端口控制程序,通过服务器的管理端软件和相应的客户端软件直接对计算机的I/O端口资源进行权限控制,这就是说,本发明创新地使用了这种方法来保护I/O资源,限制非授权人员的非法使用,能够从信息泄密的基本渠道着手,有效地保护和管理内部网络以及单机的保密信息。它完全从用户角度出发,针对安全措施和权限分配对所有用户全部透明的特点,防范内部各种可能的违规连接互联网、非法拷贝转移数据、非法利用数据、非授权接触机密数据和资料、恶意破坏各种机密数据等实际安全问题,实现对整个内部网络和单机的监控和安全管理。
本发明的计算机安全软件分为二个部分管理端软件和客户端软件。管理端软件运行在局域网内的管理机上,负责管理整个局域网内的计算机;客户端软件运行在局域网内的每台客户机上,开机后程序即在后台运行,实时监控本机的I/O资源工作状态。
事实上,本发明不但可以控制I/O端口,还可以对非授权行为、危险行为进行自动记录和报警,并在必要的时候,可以关闭客户端计算机,阻止危险行为的进一步破坏。
图1为本发明的程序流程图。
图2为I/O LOCK软件的使用流程图。
图3为IRP访问限制的结构图。
具体实施例方式
下面结合附图对本发明作进一步的详细说明。
如图1所示,本发明的计算机I/O端口控制程序,通过服务器的管理端软件和相应的客户端软件直接对计算机的I/O端口资源进行权限控制,包括以下步骤步骤1,客户端软件运行;步骤2,客户端提出使用设备申请;步骤3,申请通过网络传达到服务器端;步骤4,服务器端验证客户身份;步骤5,如果验证不通过,反馈给客户端,由客户端收到反馈后进行处理;如果验证通过,则执行步骤6;
步骤6,验证客户权限;步骤7,如果验证不通过,则拒绝使用设备并反馈给客户端,由客户端收到反馈后进行处理;如果验证通过,则执行步骤8;步骤8,允许使用设备并反馈给客户端,由客户端收到反馈后进行处理。
如图2所示,I/O LOCK软件的使用包括以下步骤步骤A,安装服务器端软件;步骤B,安装客户端软件;步骤C,客户端与服务器端建立通信;步骤D,服务器端对I/O设备使用权限进行设置并传送到客户端;步骤E,客户端接收到信息并完成对I/O设备的管理。
上述I/O LOCK软件或者说I/O LOCK计算机安全软件就是指本发明的管理端软件和客户端软件,也就是一种对局域网内的计算机I/O端口进行控制的方法,或者说计算机I/O端口控制程序。下面对这一软件进行功能说明和技术说明。
功能说明如下1.检测是否有拨号上网,并在发现后发出报警信息并立即关机。
2.对各种I/O资源(串口、USB口、光盘、Zip盘、红外传输接口、并口(打印机)和局域网共享目录)进行权限管理控制,并对操作事件日志记录。其中重点在进行局域网访问时可以设定允许访问的机位。即使用合格密码但在不同机器来进行访问是不允许的。
3.客户端程序在开机后即在后台自动运行,可以显示本台计算机的网络联接情况。
4.根据客户端许可证数量设置来管理网内的客户机。
5.管理端软件可以在授权情况下查看客户机的屏幕内容。
6.管理端软件可以关闭客户机或是注销网络用户。
7.管理端软件可以查看客户机的网络连接情况。
8.管理端软件可以切断客户机的网络连接。
9.管理端软件的数据及报警记录;以及客户机记录信息的管理、分析功能。
10.系统具有远程升级功能。
11.端程序不允许本机操作人员干涉其运行,在发生中止进程等情况时,将发出报警信息,并记录报警画面。在某些紧急的情况下,根据服务器发送的关机命令,客户机将自动关机。
技术说明如下由于Win98/winme/winnt/win2000或者没有内置的或内置不充分的安全管理、审计功能,或者限制客户端的易用性,并且功能不能满足I/O LOCK计算机安全软件的需要,因此I/O LOCK计算机安全软件的设计不依赖于Win98/winme/winnt/win2000提供的安全功能,而使用Win98/winme/winnt/win2000提供的API和驱动程序的方式实现。
以下为对应不同控制功能的实现方式a.拨号网络的监测、控制使用Win32 API。
b.对软驱、光驱和USB存储、打印机、Zip盘、红外的控制使用Windows DDK开发filter device driver。
Windows驱动程序模型(WDM)使用层次模型,如图3所示所有对物理设备的访问使用I/O request packet(IRP).进行。IRP需要经过Filter Driver,Function Driver,Bus Driver之后才能到达硬件物理设备。使用filter device driver拦截、过滤IRPs,可以达到访问限制的目的。
c.查看客户机屏幕内容,使用Win32 API,Winsock2。
d.关闭客户机、注销用户,使用Win32 API。
e.查看、切断客户机网络连接,使用Win32 API。
f.管理端报警记录、分析,关闭客户端PC、远程升级。使用Win32 API及数据库系统g.管理端与客户机之间的通讯,使用Win32 API、Winsock2。
应当指出,以上所述具体实施方式
可以使本领域的技术人员更全面地理解本发明,但不以任何方式限制本发明。因此,尽管本说明书参照附图和实施方式对本发明已进行了详细的说明,但是,本领域技术人员应当理解,仍然可以对本发明进行修改或者等同替换;而一切不脱离本发明的精神和技术实质的技术方案及其改进,其均应涵盖在本发明专利的保护范围当中。
权利要求
1.计算机I/O端口控制程序,其特征在于通过服务器的管理端软件和相应的客户端软件直接对计算机的I/O端口资源进行权限控制。
2.根据权利要求1所述的计算机I/O端口控制程序,其特征在于所述权限控制包括以下步骤步骤1,客户端软件运行;步骤2,客户端提出使用设备申请;步骤3,申请通过网络传达到服务器端;步骤4,服务器端验证客户身份;步骤5,如果验证不通过,反馈给客户端,由客户端收到反馈后进行处理;如果验证通过,则执行步骤6;步骤6,验证客户权限;步骤7,如果验证不通过,则拒绝使用设备并反馈给客户端,由客户端收到反馈后进行处理;如果验证通过,则执行步骤8;步骤8,允许使用设备并反馈给客户端,由客户端收到反馈后进行处理。
3.根据权利要求1所述的计算机I/O端口控制程序,其特征在于所述I/O端口资源包括串口、USB口、光盘、Zip盘、红外传输接口、打印机并口和/或局域网共享目录。
4.根据权利要求1所述的计算机I/O端口控制程序,其特征在于所述服务器端设定局域网访问权限时包括设定允许访问的机位,即使用合格密码但在不同机器上进行访问是不允许的。
5.根据权利要求1所述的计算机I/O端口控制程序,其特征在于所述客户端软件运行在局域网内的每台客户机上,开机后程序即在后台运行,实时监控本机的I/O资源工作状态,能够显示本台计算机的网络联接情况。
6.根据权利要求1所述的计算机I/O端口控制程序,其特征在于所述管理端软件运行在局域网内的管理机上,负责管理整个局域网内的计算机,能够根据客户端许可证数量设置来管理网内的客户机、在授权情况下查看客户机的屏幕内容、关闭客户机或是注销网络用户、查看客户机的网络连接情况、切断客户机的网络连接和/或进行报警记录并分析。
7.根据权利要求1所述的计算机I/O端口控制程序,其特征在于所述管理端软件和相应的客户端软件具有远程升级功能。
8.根据权利要求1所述的计算机I/O端口控制程序,其特征在于所述客户端软件程序不允许本机操作人员干涉其运行,在发生中止进程等情况时,将发出报警信息,并记录报警画面,在某些紧急的情况下,根据服务器发送的关机命令,客户机将自动关机。
9.根据权利要求1所述的计算机I/O端口控制程序,其特征在于对拨号上网进行检测,在发现后发出报警信息并立即关机。
全文摘要
本发明提供计算机I/O端口控制程序,其特征在于通过服务器的管理端软件和相应的客户端软件直接对计算机的I/O端口资源进行权限控制。采用该方法能够完全从用户角度出发,针对安全措施和权限分配对所有用户全部透明的特点,防范内部各种可能的违规连接互联网、非法拷贝转移数据、非法利用数据、非授权接触机密数据和资料、恶意破坏各种机密数据等实际安全问题,实现对整个内部网络和单机的监控和安全管理。
文档编号H04L9/32GK1773411SQ20041000976
公开日2006年5月17日 申请日期2004年11月10日 优先权日2004年11月10日
发明者李苏安 申请人:北京中科诚毅科技发展有限公司