[发明专利]用于控制访问计算机系统的方法及其设备

说明书

技术领域

本发明涉及安全访问计算机系统的领域，尤其涉及籍助于特定外设来控制访问计算机系统的领域。

背景技术

现有的计算机系统具有一定数量的端口，允许连接不同种类外设，该外设可作为用户接口、其它计算机系统的连接端以及数据存储。

于是，这些计算机系统的完整性甚至会在用户不知情的情况下，通过将这些系统的端口物理连接到某些包含恶意数据的外设而遭到破坏。

这尤其是在采用USB(通用串行总线)外设的情况下。USB端口是“多功能”类型的通用端口，即它们可以接受大量不同类型的外设，例如，网络接口，USB密钥类型的存储元件，键盘，鼠标，网络摄像头等。

根据这种接口所提供的连接和支持的功能，从灵活性的观点上来看是有利的。但已经证明这些端口的通用特性在安全性极为重要的环境中是有问题的，这是因为它允许包括恶意数据的外设连接着关键计算机系统的USB端口，而对所述关键计算机系统的访问是必须受到保护的。

使用包含例如不良数据的这种外设的恶意(或者疏忽的)用户因此可以得到(或者失去)控制，安装病毒或记录来自关键计算机系统的机密数据，仅仅由于此系统上存在USB端口，它可以将这种外设连接至所述USB端口。

单纯或简单地禁止使用这些通用端口是不可能的，因为它们对于某些基本外设的使用而言是必要的，例如，鼠标或键盘。

为了解决这一问题，已经提出了软件解决方案，其中某些种类的外设可以访问某些功能，仅仅通过软件来管理访问的功能。因此，专利申请US2006／0037084披露了一种适用于控制访问不同USB端口的系统，其籍助于操作系统使用所存储的配置信息来动态选择和配置一定数量的功能。

然而，这些软件解决方案存在一些缺点，它们管理复杂并且可以通过漏洞来规避，这些漏洞与所使用的操作系统及其管理这些外设的方式或者管理计算机系统的方式相关。包括恶意数据的外设的用户，通过对这一操作系统的控制，或者甚至将恶意内容散布至计算机系统或者通过该系统的管理员权限，能够重新配置可以访问USB端口的功能以及使用所述外设获得访问计算机系统的功能。

发明内容

本发明的目的是克服上述缺点。

本发明的目的是提出通过通用端口来控制访问计算机系统，它不能被恶意或疏忽的用户规避且易于管理。

为此，本发明提出一种适用于控制访问计算机系统的设备，该设备包括至少一个能够连接不同外设种类的多功能端口和能够连接计算机系统的访问接口，该设备的特征在于，它包括连接在多功能端口和接口之间的访问管理部件，该访问管理部件被物理地配置为授权籍助于连接多功能端口的外设来访问接口，只要所述外设属于特定且永久与连接所述外设的多功能端口相关联的外设种类。

根据一个实施例，所述设备包括第一和第二多功能端口，访问管理部件被物理地配置为籍助于连接第一多功能端口的外设来授权访问接口，只要所述外设属于特定且永久与第一多功能端口相关联的第一外设种类；以及籍助于连接第二多功能端口的外设来授权访问接口，只要所述外设属于特定且永久与第二多功能端口相关联的第二外设种类，所述第二外设种类不同于第一外设种类。

根据一个实施例，此外还包括第三多功能端口，访问管理部件被物理地配置为籍助于连接第三多功能端口的外设来授权访问接口，只要所述外设属于特定且永久与第三多功能端口相关联的第三外设种类，所述第三外设种类不同于第一和第二外设种类。

在一个具体实施例中，访问管理部件包括分别连接第一多功能端口、第二多功能端口和第三多功能端口的第一访问模块、第二访问模块和第三访问模块，以及访问接口包括连接所述第一、第二和第三访问模块的网络集线器模块。

有利的是，访问管理部件包括识别模块且配置为识别所述外设的种类以及将接口连接到与外设相连接的多功能端口，只要被识别的外设种类对应于特定且永久与所述多功能端口相关联的外设种类。

根据一个实施例，访问管理部件包括存储部件，用于存储特定且永久与所述多功能端口相关联的外设种类。例如，存储部件可以是只读式存储器类型的部件。这样，多功能端口和访问授权的外设种类(存储在只读存储器中)之间的相关联有利于永久化。

在一个实施例中，访问管理部件是一次性可编程电路，例如，FPGA(现场可编程门阵列)类型的电路，所述可编程电路可配置，使之在已编程后不可再修改。因此，有利于可编程电路不能被第三方或其它恶意程序所修改。

在一个有利的实施例中，访问管理部件还包括验证模块，连接在访问管理部件和接口之间，配置为验证在多功能端口和接口之间传输的数据。