[发明专利]计算机外围设备的管控方法及系统

权利要求书

1.一种计算机外围设备的管控方法，其特征在于包括：

步骤S1：系统内核对外围设备进行初始化注册，同时向用户层空间发出uevent事件；

步骤S2：用户层空间获取外围设备信息；

步骤S3：判断外围设备是否属于管控范畴，是则执行步骤S4-步骤S6,否则结束；

步骤S4：根据外围设备信息检索管控策略表并进行仲裁运算，得到该外围设备的仲裁结果；

步骤S5：若仲裁结果是禁止，则结束，若仲裁结果是放行，则执行步骤S6；

步骤S6：判断外围设备是否具有存储功能，若不具备，则结束，若具备，则监控外围设备的访问权限；

所述步骤S4中，所述管控策略表包括类策略表及个体策略表，分别用于提供某类外围设备以及某个外围设备的管控策略，并且，个体策略表的优先级高于类策略表；

所述步骤S6中，利用cgroup机制对外围设备访问权限的监控的实现流程包括：

步骤S61：创建cgroup层级结构，并以mount -t cgroup -o devices -/cgroup/devices命令创建devcies子系统；

步骤S62：在/cgroup/devcies/目录下自动创建包括devices.allow、devices.deny及devices.list在内的伪文件及group3-dev文件夹；

步骤S63：按照用户访问权限策略表中用户和设备的访问权限关系向/cgroup/devices/group3-dev/tasks用户进行权限设置；

所述步骤S3中，以所获取的外围设备信息作为索引值，在系统sys/bus/pci总线下分析该外围设备的硬件属性及内核驱动，判断外围设备所属类别，以进一步判断外围设备是否属于管控范畴。

2.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述类策略表及个体策略表均包括0、1及2三种状态，其中，0表示对外围设备实施禁用策略，1表示对外围设备实施放行策略，2表示对外围设备不实施相应的策略。

3.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S6中，根据访问权限策略表监控外围设备的访问权限，并且所述访问权限策略表中存储的访问状态包括严格、宽松及安全，严格访问状态下，用户无权访问该外围设备；宽松访问状态下，用户对该外围设备仅具有读访问权限；安全访问状态下，用户对该外围设备具有读、写及执行访问权限。

4.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S6中，利用cgroup机制，根据访问权限策略表实现对外围设备访问权限的监控。

5.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S2中，通过UDEV技术或Libusb技术获取外围设备信息。

6.如权利要求1所述的计算机外围设备的管控方法，其特征在于：所述步骤S6中，根据访问权限策略表监控外围设备的访问权限；或者，在将外围设备挂载到系统环节的过程中，对挂载过程进行截弧，通过设置系统挂载的权限监控外围设备的访问权限。

7.如权利要求1-6中任一项所述的计算机外围设备的管控方法，其特征在于：计算机开机时，计算机系统启动外围设备管控后台程序的守护进程devctl_server。