用于保护KVM矩阵的方法和装置制造方法及图纸

通过插入多个输入安全隔离器来保护KVM矩阵系统的方法，每个输入安全隔离器放置在KVM矩阵系统的主计算机与矩阵主机适配器之间，以实施适用于相应主计算机的安全数据流策略。另外，安全隔离器放置在外围设备与矩阵控制台适配器之间，以实施适用于相应外围设备的安全数据流策略。

Method and apparatus for protecting KVM matrix

【技术实现步骤摘要】
【国外来华专利技术】用于保护KVM矩阵的方法和装置
所公开的主题涉及增强KVM(键盘视频鼠标)矩阵的安全性的方法和装置。更具体地，所公开的主题涉及具有位于其输入和输出处的多个安全隔离器功能的KVM矩阵。安全隔离器功能旨在降低当今许多KVM矩阵系统中存在的安全风险。
技术介绍
KVM矩阵在某些需要大量用户与大量计算机交互的应用程序中常用。诸如指挥和控制中心、空中交通管制、海事控制、广播、NOC(网络运营中心)和紧急服务等应用是此类应用的示例。KVM矩阵支持向用户动态切换计算机资源，以支持每个用户的动态需求，并使得能够从不同级别的故障中恢复。在过去，KVM矩阵使用模拟数据切换。由于模拟信号容易出现质量下降和带宽受限，因此目前大多数KVM矩阵都会切换数字信号。切换数字信号可以利用专有的串行数字协议，或者可以依靠标准IP(因特网协议)帧来承载不同的计算机接口信号。在KVM矩阵系统中使用高速CATX电缆光纤可以实现来自用户的计算机资源共址。此设置可实现更高的可扩展性和控制计算机部署，并可在大型站点上轻松部署用户。这种共址的另一个原因是现代计算机产生的热量和噪音以及用户附近缺乏空间。KVM矩阵通常由其用户控制，这些用户通过KVM矩阵检测到的特定键盘切换命令请求访问基于目录服务(例如MicrosoftActiveDirectory)的某些计算资源。较大的KVM矩阵可能有特定用户，称为控制整个站点的主管、管理员或管理者。KVM矩阵主机发送器或适配器通常将计算机生成的视频和音频数字化。随着视频的分辨率和颜色深度不断增加，比KVM矩阵结构带宽更快，使用视频压缩-解压缩。KVM矩阵接收器或控制台适配器用于解压缩视频和音频流，并生成标准视频和模拟音频输出，以驱动用户显示器和扬声器或耳机。矩阵接收器或控制台适配器还将用户麦克风音频输入和用户键盘和鼠标命令数字化。生成的串行流被路由回KVM矩阵主机发送器或适配器，以与相应的计算机对接。2015年2月，NIAP(美国国家信息保障合作伙伴关系)发布了KVM交换机和矩阵的新标准，称为“外围设备共享交换机3.0版保护配置文件”(参见niap-ccevs.org)。通用准则(CommonCriteria)组织采用的这一标准提供了一种评估和测试现有产品或新产品以确保缓解已发现的数据泄漏类型的方法。自该标准发布以来，没有供应商能够根据该新标准认证其现有产品，因为现有技术产品缺乏该标准所要求的一些基本安全机制。德国的IHSEGmbH，Maybachstraβe11,88094Oberteuringen，是欧洲领先的先进KVM设备开发商和制造商，IHSE开发和制造用于在计算机和控制台之间进行操作和切换的交换机，以及用于视觉无损信号传输的扩展器，有30年经验。有关其产品的一些详细信息，请参阅可从“www.ihse.com/fileadmin/redakteur/pdf/IHSE_Product_Catalog_2015-2016.pd”获取的IHSE产品目录2015-2016。特别是，第9页讨论了KVM矩阵系统中的安全挑战。Aten是亚洲领先的KVM矩阵系统开发商和制造商。ATEN“应用指南-用于网络运营中心(NOC)的矩阵KVM解决方案”公开了公司对其KVM矩阵产品的各种特性(包括安全性)的看法。请参阅：“www.aten.com/ext_data/global_en/application_note/AG_Matrix_NOC.pdf”。Thinklogical是美国领先的KVM矩阵系统开发商和制造商。Thinklogical新闻稿“Thinklogical实现光纤KVM矩阵交换机的通用标准认证”公开了该公司针对现在过时的外围设备共享交换机保护配置文件制作的现有KVM矩阵系统的评估过程。诸如本评估的安全目标之类的已发布文档公开了Thinklogical使用的现有技术的一组威胁和安全特征。在同一家公司的另一份文件中：Thinklogical白皮书“安全多域KVM和视频路由系统设计的推荐最佳实践”，该公司披露了其对不同公司产品提供的KVM矩阵安全威胁及其缓解的看法。请参阅：www.appliedelectronics.com/documents/Best_Practices_KVM_Video_Routing_Secure_Facilities_White_Paper.pdfThinklogical文档“KVM矩阵交换机路由器产品手册，涵盖以下型号：VX40，VX80，VX160，VX320，VX320VIDEO和VX320AUDIO”提供有关该公司提供的现有技术KVM矩阵产品的技术信息。Thinklogical文档“ThinklogicalVX640路由器KVM矩阵交换机安全目标文档版本1.4”公开了VX640KVM矩阵系统基于现已过时的外围设备共享交换机保护配置文件2.1版设置安全性假设和安全功能。请参阅：“sertit.no/dokumenter/201311/ThinklogicalSecurityTarget_1_4_VX640.pdf”。授予HefetzYaron的US9697837；标题为“Securedaudiochannelforvoicecommunication(用于语音通信的安全音频信道)”；公开了一种用于通过计算机系统的音频信道阻止数据窃取和数据泄漏的安全设备。该设备基于将音频信号传递通过编码声码器并将该信号压缩为指示人类言语的低比特率数字数据，该编码声码器接收来自计算机的输入音频信号；和解码声码器，将数字数据解压缩回安全音频信号。有意限制受保护音频信道的数据传输不超过承载远低于未受保护的音频信道的能力的声码器压缩人类言语所需的比特率。模拟和数字音频端口都可以受到保护。硬件比特率限制器可保护系统免受软件黑客攻击。关于有效压缩表示人类言语的音频数据的一般信息可以在http://en.wikipedia.org/wiki/Vocoder中找到。授予AvivSoffer的US9734358；标题为“Self-lockingUSBprotectionpugdevicehavingLEDtosecurelyprotectUSBjack(具有LED以安全地保护USB插孔的自锁式USB保护设备)”；公开了通过利用自锁设备物理地阻挡未使用的USB端口，或者通过提供具有限定和保护连接到计算机的用户外围设备的内部电路的USB端口自锁设备，以及通过与可在任何USB自锁设备被移除或篡改时提供实时监控和警告的管理软件应用程序持续通信来增强计算机信息安全性的设备和系统。专利技术概述本主题涉及增强KVM矩阵系统的安全性的方法和装置。更具体地，本主题涉及KVM矩阵架构，其降低了连接到KVM矩阵的主计算机之间的数据泄漏所产生的风险。多年来，使用此类KVM矩阵的最大安全问题与用户和管理员权限有关。由于用户和会话可能具有不同的安全属性，因此这些问题主要与未被授权访问而以某种方式访问某些数据的用户有关。另一个问题是用户欺骗-用户被外部实体利用的情况，该外本文档来自技高网...

【技术保护点】
1.安全KVM矩阵系统，包括：/n至少一个KVM矩阵结构，包括：/n多个输入端，用于通过至少一个高速数据流与相应主计算机进行通信；/n多个输出端，用于通过至少一个高速数据流与相应的外围设备进行通信，所述外围设备包括：/na)从包括键盘和鼠标的组中选择的人机接口设备(HID)，以及/nb)显示器，/n其中所述KVM矩阵结构被配置为将至少一个所述输入端路由到一个或多个所述输出端；/n多个矩阵主机适配器，其中每个所述矩阵主机适配器连接到所述KVM矩阵结构的相应一个所述输入端，并且其中每一个所述矩阵主机适配器被配置为将流入和流出所述相应主计算机的外围设备接口数据转换成与所述KVM矩阵结构兼容的一个或多个高速数据流；/n多个矩阵控制台适配器，其中每一个所述矩阵控制台适配器连接到所述KVM矩阵结构的相应一个所述输出端，并且其中所述矩阵控制台适配器中的每一个被配置为将流入和流出所述相应的外围设备的外围设备接口数据转换成与KVM矩阵结构兼容的一个或多个高速数据流；/n多个输入安全隔离器，其中每个所述输入安全隔离器连接在相应主计算机和相应的矩阵主机适配器之间，并且其中每一个所述输入安全隔离器被配置为实施适用于相应主计算机的安全数据流策略；以及/n多个输出安全隔离器，其中每个所述输出安全隔离器连接在相应的外围设备和相应的矩阵控制台适配器之间，并且其中每个所述输出安全隔离器被配置为实施适用于相应的外围设备的安全数据流策略。/n...

【技术特征摘要】
【国外来华专利技术】20170221 US 15/437,9311.安全KVM矩阵系统，包括：
至少一个KVM矩阵结构，包括：
多个输入端，用于通过至少一个高速数据流与相应主计算机进行通信；
多个输出端，用于通过至少一个高速数据流与相应的外围设备进行通信，所述外围设备包括：
a)从包括键盘和鼠标的组中选择的人机接口设备(HID)，以及
b)显示器，
其中所述KVM矩阵结构被配置为将至少一个所述输入端路由到一个或多个所述输出端；
多个矩阵主机适配器，其中每个所述矩阵主机适配器连接到所述KVM矩阵结构的相应一个所述输入端，并且其中每一个所述矩阵主机适配器被配置为将流入和流出所述相应主计算机的外围设备接口数据转换成与所述KVM矩阵结构兼容的一个或多个高速数据流；
多个矩阵控制台适配器，其中每一个所述矩阵控制台适配器连接到所述KVM矩阵结构的相应一个所述输出端，并且其中所述矩阵控制台适配器中的每一个被配置为将流入和流出所述相应的外围设备的外围设备接口数据转换成与KVM矩阵结构兼容的一个或多个高速数据流；
多个输入安全隔离器，其中每个所述输入安全隔离器连接在相应主计算机和相应的矩阵主机适配器之间，并且其中每一个所述输入安全隔离器被配置为实施适用于相应主计算机的安全数据流策略；以及
多个输出安全隔离器，其中每个所述输出安全隔离器连接在相应的外围设备和相应的矩阵控制台适配器之间，并且其中每个所述输出安全隔离器被配置为实施适用于相应的外围设备的安全数据流策略。


2.如权利要求1所述的安全KVM矩阵系统，其中所述输入安全隔离器和所述输出安全隔离器具有相同的框图。


3.如权利要求2所述的安全KVM矩阵系统，其中所述输入安全隔离器和所述输出安全隔离器具有相同的硬件芯片组。


4.如权利要求3所述的安全KVM矩阵系统，其中所述输入安全隔离器和所述输出安全隔离器是相同的。


5.如权利要求1所述的安全KVM矩阵系统，其中所述输入安全隔离器和所述输出安全隔离器每个还包括EDID数据二极管，以物理地强制视频即插即用数据仅从所述相应显示器流到所述相应主计算机。


6.如权利要求1所述的安全KVM矩阵系统，其中输出安全隔离器还包括：
a)HID主机仿真器，用于在相应的用户HID设备前模拟计算机；和
b)HID设备仿真器，用于在所述相应的矩阵控制台适配器前模拟标准USBHID设备。


7.如权利要求6所述的安全KVM矩阵系统，其中所述输入安全隔离器还包括：
a)HID主机仿真器，用于在相应的矩阵主机适配器前模拟计算机；和
b)HID设备仿真器，用于在所述相应主计算机前模拟标准USBHID设备。


8.如权利要求7所述的安全KVM矩阵系统，其中所述输入安全隔离器和所述输出安全隔离器还包括连接在所述HID主机仿真器与所述HID设备仿真器之间的HID数据二极管，以仅强制从所述主机仿真器到所述设备仿真器的HID数据流。


9.如权利要求1所述的安全KVM矩阵系统，其中所述输入安全隔离器和所述输出安全隔离器每个还包括原始视频数据二极管，以仅物理地强制从所述相应主计算机到所述相应用户外围设备的原始视频数据流。


10.如权利要求1所述的安全KVM矩阵系统，其中所述输入安全隔离器和所述输出安全隔离器每个还包括通用USB信道，其被配置为基于预定义的USB设备白名单和黑名单来过滤连接的USB设备。


11.如权利要求10所述的安全KVM矩阵系统，其中所述相应输入安全隔离器和所述输出安全隔离器中的通用USB信道每个还包括加密/解密功能，其被配置为通过认证所述相应安全隔离器和加密所述相应安全隔离器之间的USB分组在经由所述KVM矩阵结构耦合的所述相应输入安全隔离器和所述相应输入安全隔离器之间创建安全隧道。


12.如权利要求10所述的安全KVM矩阵系统，其中所述通用USB信道还包括到HID主机仿真器的接口，以实现用户HID数据的加密/解密。


13.如权利要求10所述的安全KVM矩阵系统，其中所述通用USB信道还包括USB音频编解码器，用于通过USB分组通过所述KVM矩阵结构向所述相应主计算机以及自所述相应主计算机传送音频数据。


14.如权利要求1所述的安全KVM矩阵系统，其中所述输入安全隔离器和所述输出安全隔离器每个还包括管理LAN接口，以启用从包括以下各项的组中选择的功能：监视，配置，自动部署警告生成，配对，和安全密钥分发。


15.如权利要求1所述的安全KVM矩阵系统，其中：
所述输入安全隔离器、所述输出安全隔离器、所述矩阵主机适配器和所述矩阵控制台适配器形成为可移动卡。


16.如权利要求15所述的安全KVM矩阵系统，其中：
至少一个输入安全隔离器电气和机械地耦合到矩阵主机适配器；并且
至少一个输出安全隔...

【专利技术属性】
技术研发人员：A·索弗，
申请(专利权)人：翰塞克实验室有限公司，
类型：发明
国别省市：以色列;IL