本发明专利技术涉及一种适用于控制访问计算机系统的设备,该设备包括至少一个能够连接各类外设的多功能端口(Uj)和一个能够连接计算机系统的访问接口(INT),该设备的特征在于,还包括连接在多功能端口(Uj)和接口(INT)之间的访问管理部件(Macc),该访问管理部件被物理地配置为籍助于连接多功能端口(Uj)的外设(P)来授权访问接口,只要所述外设属于特定且永久与所连接的多功能端口(Uj)相关联的外设种类。本发明专利技术还涉及相应的访问控制方法。
【技术实现步骤摘要】
【国外来华专利技术】用于控制访问计算机系统的方法及其设备
本专利技术涉及安全访问计算机系统的领域,尤其涉及籍助于特定外设来控制访问计算机系统的领域。
技术介绍
现有的计算机系统具有一定数量的端口,允许连接不同种类外设,该外设可作为用户接口、其它计算机系统的连接端以及数据存储。于是,这些计算机系统的完整性甚至会在用户不知情的情况下,通过将这些系统的端口物理连接到某些包含恶意数据的外设而遭到破坏。这尤其是在采用USB(通用串行总线)外设的情况下。USB端口是“多功能”类型的通用端口,即它们可以接受大量不同类型的外设,例如,网络接口,USB密钥类型的存储元件,键盘,鼠标,网络摄像头等。根据这种接口所提供的连接和支持的功能,从灵活性的观点上来看是有利的。但已经证明这些端口的通用特性在安全性极为重要的环境中是有问题的,这是因为它允许包括恶意数据的外设连接着关键计算机系统的USB端口,而对所述关键计算机系统的访问是必须受到保护的。使用包含例如不良数据的这种外设的恶意(或者疏忽的)用户因此可以得到(或者失去)控制,安装病毒或记录来自关键计算机系统的机密数据,仅仅由于此系统上存在USB端口,它可以将这种外设连接至所述USB端口。单纯或简单地禁止使用这些通用端口是不可能的,因为它们对于某些基本外设的使用而言是必要的,例如,鼠标或键盘。为了解决这一问题,已经提出了软件解决方案,其中某些种类的外设可以访问某些功能,仅仅通过软件来管理访问的功能。因此,专利申请US2006/0037084披露了一种适用于控制访问不同USB端口的系统,其籍助于操作系统使用所存储的配置信息来动态选择和配置一定数量的功能。然而,这些软件解决方案存在一些缺点,它们管理复杂并且可以通过漏洞来规避,这些漏洞与所使用的操作系统及其管理这些外设的方式或者管理计算机系统的方式相关。包括恶意数据的外设的用户,通过对这一操作系统的控制,或者甚至将恶意内容散布至计算机系统或者通过该系统的管理员权限,能够重新配置可以访问USB端口的功能以及使用所述外设获得访问计算机系统的功能。
技术实现思路
本专利技术的目的是克服上述缺点。本专利技术的目的是提出通过通用端口来控制访问计算机系统,它不能被恶意或疏忽的用户规避且易于管理。为此,本专利技术提出一种适用于控制访问计算机系统的设备,该设备包括至少一个能够连接不同外设种类的多功能端口和能够连接计算机系统的访问接口,该设备的特征在于,它包括连接在多功能端口和接口之间的访问管理部件,该访问管理部件被物理地配置为授权籍助于连接多功能端口的外设来访问接口,只要所述外设属于特定且永久与连接所述外设的多功能端口相关联的外设种类。根据一个实施例,所述设备包括第一和第二多功能端口,访问管理部件被物理地配置为籍助于连接第一多功能端口的外设来授权访问接口,只要所述外设属于特定且永久与第一多功能端口相关联的第一外设种类;以及籍助于连接第二多功能端口的外设来授权访问接口,只要所述外设属于特定且永久与第二多功能端口相关联的第二外设种类,所述第二外设种类不同于第一外设种类。根据一个实施例,此外还包括第三多功能端口,访问管理部件被物理地配置为籍助于连接第三多功能端口的外设来授权访问接口,只要所述外设属于特定且永久与第三多功能端口相关联的第三外设种类,所述第三外设种类不同于第一和第二外设种类。在一个具体实施例中,访问管理部件包括分别连接第一多功能端口、第二多功能端口和第三多功能端口的第一访问模块、第二访问模块和第三访问模块,以及访问接口包括连接所述第一、第二和第三访问模块的网络集线器模块。有利的是,访问管理部件包括识别模块且配置为识别所述外设的种类以及将接口连接到与外设相连接的多功能端口,只要被识别的外设种类对应于特定且永久与所述多功能端口相关联的外设种类。根据一个实施例,访问管理部件包括存储部件,用于存储特定且永久与所述多功能端口相关联的外设种类。例如,存储部件可以是只读式存储器类型的部件。这样,多功能端口和访问授权的外设种类(存储在只读存储器中)之间的相关联有利于永久化。在一个实施例中,访问管理部件是一次性可编程电路,例如,FPGA(现场可编程门阵列)类型的电路,所述可编程电路可配置,使之在已编程后不可再修改。因此,有利于可编程电路不能被第三方或其它恶意程序所修改。在一个有利的实施例中,访问管理部件还包括验证模块,连接在访问管理部件和接口之间,配置为验证在多功能端口和接口之间传输的数据。尤其是,第一、第二和/或第三外设种类对应于选自键盘、鼠标和存储密钥等种类的外设。在一个具体实施例中,多功能端口是USB类型的通用端口。此外,本专利技术还提出了一种通过访问控制设备来控制外设访问计算机系统的方法,所述访问控制设备包括连接外设的多功能端口和连接计算机系统的接口,该方法包括授权外设来访问连接计算机系统的接口,只要所述外设属于特定且永久与连接外设的多功能端口相关联的外设种类。有利的是,该方法包括由设备来识别所述外设种类以便访问授权接口的步骤,只要所识别的外设种类对应于特定与连接外设的多功能端口相关联的外设种类。有利的是,该方法包括在访问授权之后验证在连接外设的多功能端口与连接计算机系统的设备接口之间传输的数据的步骤。根据一个有利的实施例,该方法包括将特定外设种类分别与设备的至少一个多功能端口各自永久物理相关联的先前步骤,这些特定种类的外设是彼此不同的。本专利技术还提出一种计算机程序,包括当将外设连接计算机系统的访问控制设备的处理器执行该程序时,实施上文所提到的访问控制方法的代码指令。这一程序必须被认为是在本专利申请寻求的保护范围内的一种产品。本专利技术的其它特征和优点将基于下文的详细说明及其附图而更为清晰。附图说明图1是根据本专利技术的访问控制设备的框图;图2A至2C说明了图1所示访问控制设备的三个具体实施例;以及,图3说明了根据本专利技术适用于控制访问计算机系统的方法的步骤。具体实施方式首先,参考根据本专利技术的访问控制设备的图1。所述访问控制设备DEV包括一定数量的多功能端口U1、U2、U3、...、Ui,且允许连接外设P。单个多功能端口U1可用于设备DEV中,但本专利技术更加特别有利于使用多个多功能端口,正如下文所解释的那样。术语“多功能端口”这里是指允许连接属于不同外设种类的外设的任何通用端口,而不同于专用于一种类型外设的“单功能端口”,例如PS/2端口(用途限制为鼠标或键盘类型的用户外设的连接)、IEEE1394端口或以太网端口(用途限制为网络设备的连接)、VGA端口(用途限制为显示器的连接)等情况。通过示例,USB端口在这里可作为多功能端口提及,由于这种USB端口可允许连接属于鼠标、键盘、存储单元、调制解调器、网络接口、网络摄像头等多样化类别的外设。访问控制设备DEV还包括访问接口INT,允许将设备DEV连接计算机系统。术语“计算机系统”这里是指能够对计算机化数据进行处理的任何系统或设备,无论是个人电脑PC、服务器SERV或主板PB,如图所示。在前两种情况下,设备DEC可采用外置盒子的形式,其籍助于常规接口连接在外设P和计算机PC或服务器SERV之间。在后一种情况下,接口INT可以是PCI类型以及设备DEV可采用内置板卡的形式,其连接位于计算机机箱内部的主板PB。此外,设备DEV还包括访问管理部件Macc,本文档来自技高网...
【技术保护点】
一种用于控制访问计算机系统的设备,所述设备包括至少一个能够连接各类外设的多功能端口(Ui)和一个能够连接计算机系统的访问接口(INT),该设备的特征在于,它包括连接在多功能端口和接口(INT)之间的访问管理部件(Macc),该访问管理部件被物理地配置为籍助于连接多功能端口(Ui)的外设(P)来授权访问接口,只要所述外设属于特定且永久与所连接的多功能端口(Ui)相关联的外设种类。
【技术特征摘要】
【国外来华专利技术】2010.12.27 FR 10612851.一种用于控制访问计算机系统的设备,所述设备包括至少一个能够连接各类外设的多功能端口(Ui)和一个能够连接计算机系统的访问接口(INT),该设备的特征在于,它包括连接在多功能端口和接口(INT)之间的访问管理部件(Macc),该访问管理部件包括:-一次性可编程电路,其设置为只在确立可编程电路的物理设计阶段能被修改,并且第三方或恶意程序无法修改,以及,-只读存储部件,用于存储特定且永久与所述多功能端口相关联的外设种类,以便使访问管理部件被物理地配置为籍助于连接多功能端口(Ui)的外设(P)来授权访问访问接口,一次性可编程电路设置为将外设连接至多功能端口,只要所述外设属于特定且永久地在非易失性存储部件中与所连接的多功能端口(Ui)相关联的已存储的外设种类。2.根据权利要求1所述的设备,其特征在于,所述设备包括第一和第二多功能端口,以及访问管理部件被物理地配置为籍助于连接多功能端口(U1)的外设来授权访问访问接口(INT),只要所述外设属于特定且永久与第一多功能端口(U1)相关联的第一外设种类(CP1),以及物理地配置为籍助于连接第二多功能端口(U2)的外设来授权访问访问接口(INT),只要所述外设属于特定且永久与第二多功能端口(U2)相关联的第二外设种类(CP2),所述第二外设种类不同于第一外设种类。3.根据权利要求2所述的设备,其特征在于,所述设备还包括第三多功能端口(U3),以及访问管理部件被物理地配置为籍助于连接第三多功能端口(U3)的外设来授权访问访问接口,只要所述外设属于特定且永久与第三多功能端口相关联的第三外设种类(CP3),第三外设种类(CP3)不同于第一和第二外设种类。4.根据权利要求3所述的设备,其特征在于,所述访问管理部件包括分别连接至第一多功能端口(U1)、第二多功能端口(U2)和第三多功能端口(U3)的第一访问模块(Macc1)、第二访问模块(Macc2)和第三访问模块(Macc3),以及所述访问接口(INT)包括连接所述第一、第二和第三访问模块(Macc3)的集线器模块。5.根据权利要求1所述的设备...
【专利技术属性】
技术研发人员:帕斯卡尔·西特博恩,阿诺德·塔拉戈,皮埃尔·恩古延,
申请(专利权)人:法国电力公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。