[发明专利]受保护的外围端口

说明书

根据本公开的方面，本公开提供了用于将外围设备连接到计算机系统的方法和装置，包括用于与外围设备接口连接的装置，该装置包括：被配置为耦合到外围设备的端口、处理器、耦合到处理器并且包括软件模块的存储器，该软件模块包括在处理器上执行时保护设备免受耦合到端口的外围设备的危害的指令、以及耦合到该端口的硬件安全控制器，该硬件安全控制器被配置为监视处理器执行软件模块，并响应于确定软件模块未在执行而禁用端口。

背景技术

用户经常将外围设备连接到计算机系统和设备的输入/输出(I/O)端口。常见端口包括雷电、eSATA、USB等可用于例如连接诸如硬盘驱动器和USB记忆棒的大容量存储设备或诸如键盘、打印机等类似的设备。

附图说明

本公开的各种特征通过以下结合附图一起示出本公开的特征的详细描述将变得显而易见，其中：

图1示出了根据本公开的示例的计算机系统；

图2示出了根据本公开的示例的方法；

图3示出了根据本公开的示例的另一方法；以及

图4是根据本公开的示例的计算机系统的示意性框图。

具体实施方式

在下面的描述中，出于解释的目的，阐述了一些示例的许多具体细节。说明书中对“示例”或类似语言的引用意味着结合该示例描述的特定特征、结构或特性至少包括在一个示例中，但不一定包括在其他示例中。

用户经常将外围设备连接到个人计算机的I/O端口以共享文件(例如，使用eSATA，USB和雷电端口)。但是，此类端口可能会被滥用。特别地，攻击者可以创建加载了恶意代码或其他功能的外围设备，当该外围设备连接到计算机系统的端口时，可能会导致计算机系统受到损害。因此，用户已经变得对使用来源不明的设备(例如，USB驱动(drive))保持警惕。此外，在公司环境中，系统管理员可以通过锁定端口或以其他方式实施关于端口使用的严格政策来回应。

保护PC免受诸如USB记忆棒(大容量存储)之类的恶意外围设备的危害非常困难，因为用户在将它们连接到计算机系统之前很难知道这些设备是否有害。攻击者可以在USB驱动上安装恶意软件，该恶意软件会在插入后自动执行。更阴险的是，看似良性的USB设备可以被重新编程以呈现为例如键盘等多个设备，这些设备可以在用户不知情的情况下意外地执行命令。其结果为，IT管理员不断警告用户不要插入不可靠的设备，或者使用限制性政策来限制其使用。这些政策通常过于严格或不切实际，但其他选择可能非常危险。

一些杀毒软件可以为计算机设备提供一些保护，使其免受加载到外围设备上的恶意软件的危害。例如，杀毒工具可用于自动扫描大容量存储设备(mass storage device)，以检测和阻止恶意代码的执行。但是，这些工具可能会产生很大的性能开销，并且可能无法保证通过外围端口阻止更多的潜在攻击。此外，这些工具可能无法阻止恶意虚拟设备的枚举(enumerate)。

响应于计算机系统通过外围端口受损的可能性，一些用户和管理员可能简单地禁用了所有端口。这可以通过BIOS设置在软件中实现，也可以通过使用硬件措施例如可锁定的端口盖来实现。尽管这种方法消除了通过端口进行攻击的可能性，但严重限制了计算机系统的功能。此外，在实践中，在用户发现自己希望在工作过程中连接外围设备时，用户可以尝试绕过保护措施以重新启用端口。

某些计算机系统可以具有保护机制，用于隔离虚拟化环境中的恶意输入。但是，在实践中，有时可以通过恶意软件破坏所提供的保护功能来禁用这些隔离机制。此外，这些保护机制可能会破坏附接和使用外围设备的正常工作流程。

本文所述的某些示例提供了通过将设备的内容和输入包含在硬件强制的保护环境中来保护用户免受恶意大容量存储设备和其他外围设备危害的方法和设备。