本發(fā)明涉及數(shù)據(jù)安全領域，尤其涉及一種基于硬件的usb接口權限控制裝置及權限控制方法。

背景技術：

usb接口是計算機設備最常見的接口之一，可以用于連接鍵鼠、u盤、移動硬盤、光驅(qū)、打印機、網(wǎng)卡等設備。在對保密工作有要求的行業(yè)，通常會對usb接口的功能進行限制，只允許連接特定的設備，以便防止重要數(shù)據(jù)的泄露。傳統(tǒng)的usb接口的訪問控制是在操作系統(tǒng)層面實現(xiàn)的，通過驅(qū)動程序獲取usb設備的類型，并對禁止使用的設備在軟件層面進行禁止訪問的處理。該方式實現(xiàn)的成本很低，但是由于完全在軟件層面實現(xiàn)，容易被修改破解，從而接入未經(jīng)許可的設備。

技術實現(xiàn)要素：

為解決上述技術問題，本發(fā)明提出了一種不依賴操作系統(tǒng)，由獨立的硬件實現(xiàn)usb接口權限控制的技術：

第一方面，本發(fā)明提供一種基于硬件的usb接口權限控制裝置，包括一個或多個2選1模擬量開關、n選1模擬量開關、usb類型識別電路、tcm，其中2選1模擬量開關的固定端與usb接口相連接，2選1模擬量開關的切換端分別與計算機設備的橋片和n選1模擬量開關的切換端連接，計算機設備的橋片的另一端與計算機設備的cpu連接，n選1模擬量開關的固定端與usb類型識別電路連接，usb類型識別電路與tcm連接，tcm產(chǎn)生控制信號，用于控制2選1模擬量開關的切換端在計算機設備的橋片和n選1模擬量開關之間進行切換。

進一步的，計算機設備上電后，所有的2選1模擬量開關均連接到n選1模擬量開關，所有的usb口都經(jīng)2選1模擬量開關、n選1模擬量開關連接到usb設備類型識別電路，不允許操作系統(tǒng)進行訪問。

進一步的，在插入usb設備后，usb類型識別電路對usb設備的類型進行檢測，通過讀取插入的usb設備的基本信息，并判斷設備類型，將設備類型發(fā)送到tcm芯片進行判斷，tcm部分判斷該類型的設備是否允許接入，如果允許，則發(fā)出控制信號，將對應接口的2選1模擬量開關調(diào)整為連接到橋片，允許操作系統(tǒng)進行訪問。

進一步的，在usb設備使用完畢拔出后，tcm將2選1模擬量開關切換到n選1模擬量開關，經(jīng)n選1模擬量開關與usb設備類型識別電路連接，等待下一個設備的插入。

進一步的，2選1模擬量開關的數(shù)量與計算機設備的usb接口數(shù)量相同。

進一步的，usb設備類型識別電路使用帶有usbhost接口的單片機實現(xiàn)，通過讀取插入的usb設備的基本信息來判斷設備類型，判斷出的設備類型發(fā)送到tcm。

進一步的，usb設備的插入、拔出檢測通過檢測usb5v供電的電流或通過檢測usb設備d+/d-的上拉電阻來實現(xiàn)。

第二方面，本發(fā)明提供一種基于硬件的usb接口權限控制方法，包括以下步驟：

ss1：計算機設備上電后，所有的2選1模擬量開關均連接到n選1模擬量開關，所有的usb口都經(jīng)2選1模擬量開關、n選1模擬量開關連接到usb設備類型識別電路，不允許操作系統(tǒng)進行訪問；

ss2：在插入usb設備后，usb類型識別電路對usb設備的類型進行檢測，通過讀取插入的usb設備的基本信息，并判斷設備類型，將設備類型發(fā)送到tcm芯片進行判斷，tcm部分判斷該類型的設備是否允許接入，如果允許，則發(fā)出控制信號，將對應接口的2選1模擬量開關調(diào)整為連接到橋片，允許操作系統(tǒng)進行訪問；

ss3：在usb設備使用完畢拔出后，tcm將2選1模擬量開關切換到n選1模擬量開關，經(jīng)n選1模擬量開關與usb設備類型識別電路連接，等待下一個設備的插入。

進一步的，usb設備類型識別電路使用帶有usbhost接口的單片機實現(xiàn)，通過讀取插入的usb設備的基本信息，來判斷設備類型，判斷出的設備類型發(fā)送到tcm。

進一步的，usb設備的插入、拔出檢測通過檢測usb5v供電的電流或通過檢測usb設備d+/d-的上拉電阻來實現(xiàn)。

通過本發(fā)明的用于usb接口的硬件端口控制技術，可以對插入計算機的usb設備的類型進行檢測，并實現(xiàn)對不同類型設備的訪問控制功能。

附圖說明

圖1示出本發(fā)明基于硬件的usb接口權限控制裝置的結構框圖。

圖2示出本發(fā)明基于硬件的usb接口權限控制方法的流程圖。

具體實施方式

以下結合說明書附圖及具體實施例進一步說明本發(fā)明的技術方案。應當理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

圖1示出本發(fā)明基于硬件的usb接口權限控制裝置的結構框圖。

如圖1所示，基于硬件的usb接口權限控制裝置包括一個或多個2選1模擬量開關、n選1模擬量開關、usb類型識別電路、tcm(可信密碼模塊，trustcryptographymodule)，2選1模擬量開關的固定端與usb接口相連接，2選1模擬量開關的切換端分別與計算機設備的橋片和n選1模擬量開關的切換端連接，計算機設備的橋片的另一端與計算機設備的cpu連接，n選1模擬量開關的固定端與usb類型識別電路連接，usb類型識別電路與tcm連接，tcm產(chǎn)生控制信號，用于控制2選1模擬量開關的切換端在計算機設備的橋片和n選1模擬量開關之間進行切換。

根據(jù)本發(fā)明的一實施例，計算機設備上電后，所有的2選1模擬量開關均連接到n選1模擬量開關，所有的usb口都經(jīng)2選1模擬量開關、n選1模擬量開關連接到usb設備類型識別電路，不允許操作系統(tǒng)進行訪問。

根據(jù)本發(fā)明的一實施例，在插入usb設備后，usb類型識別電路對usb設備的類型進行檢測，通過讀取插入的usb設備的基本信息，并判斷設備類型，將設備類型發(fā)送到tcm芯片進行判斷，tcm部分判斷該類型的設備是否允許接入，如果允許，則發(fā)出控制信號，將對應接口的2選1模擬量開關調(diào)整為連接到橋片，允許操作系統(tǒng)進行訪問。

根據(jù)本發(fā)明的一實施例，在usb設備使用完畢拔出后，tcm將2選1模擬量開關切換到n選1模擬量開關經(jīng)n選1模擬量開關與usb設備類型識別電路連接，等待下一個設備的插入。

根據(jù)本發(fā)明的一實施例，2選1模擬量開關的數(shù)量與計算機設備的usb接口數(shù)量相同。

根據(jù)本發(fā)明的一實施例，usb設備類型識別電路使用帶有usbhost接口的單片機實現(xiàn)，通過讀取插入的usb設備的基本信息，來判斷設備類型，判斷出的設備類型發(fā)送到tcm。

根據(jù)本發(fā)明的一實施例，usb設備的插入、拔出檢測可以通過檢測usbsv供電的電流或通過檢測usb設備d+/d-的上拉電阻來實現(xiàn)。

圖2示出本發(fā)明基于硬件的usb接口權限控制方法流程圖，用于實現(xiàn)上文的基于硬件的usb接口權限控制裝置的控制流程。

如圖1所示，基于硬件的usb接口權限控制方法包括：

ss1：計算機設備上電后，所有的2選1模擬量開關均連接到n選1模擬量開關，所有的usb口都經(jīng)2選1模擬量開關、n選1模擬量開關連接到usb設備類型識別電路，不允許操作系統(tǒng)進行訪問；

ss2：在插入usb設備后，usb類型識別電路對usb設備的類型進行檢測，通過讀取插入的usb設備的基本信息，并判斷設備類型，將設備類型發(fā)送到tcm芯片進行判斷，tcm部分判斷該類型的設備是否允許接入，如果允許，則發(fā)出控制信號，將對應接口的2選1模擬量開關調(diào)整為連接到橋片，允許操作系統(tǒng)進行訪問。

根據(jù)本發(fā)明的一實施例，還包括步驟ss3：在usb設備使用完畢拔出后，tcm將2選1模擬量開關切換到n選1模擬量開關，經(jīng)n選1模擬量開關與usb設備類型識別電路連接，等待下一個設備的插入。

根據(jù)本發(fā)明的一實施例，2選1模擬量開關的數(shù)量與計算機設備的usb接口數(shù)量相同。

根據(jù)本發(fā)明的一實施例，usb設備類型識別電路使用帶有usbhost接口的單片機實現(xiàn)，通過讀取插入的usb設備的基本信息，來判斷設備類型，判斷出的設備類型發(fā)送到tcm。

根據(jù)本發(fā)明的一實施例，usb設備的插入、拔出檢測可以通過檢測usb5v供電的電流或通過檢測usb設備d+/d-的上拉電阻來實現(xiàn)。

本發(fā)明提出的基于硬件的usb接口權限控制技術，用于對插入計算機的usb設備的類型進行檢測，并實現(xiàn)對不同類型設備的訪問控制功能。usb設備的類型判斷與訪問控制完全通過硬件實現(xiàn)，具有更高的安全性。同時無需對操作系統(tǒng)進行改動，可以方便地集成到任何計算機平臺。

整套系統(tǒng)完全由硬件控制，無需對操作系統(tǒng)進行改動，可以方便地集成到任何計算機平臺。同時可以防止usb接口權限控制系統(tǒng)被修改破解。

盡管在裝置的上下文中已描述了一些方面，但明顯的是這些方面也表示對應方法的描述，其中塊或設備與方法步驟或方法步驟的特征相對應。類似地，在方法步驟的上下文中所描述的各方面也表示對應的塊或項目或者對應裝置的特征的描述。可以通過(或使用)如微處理器、可編程計算機、或電子電路之類的硬件裝置來執(zhí)行方法步驟中的一些或所有?？梢酝ㄟ^此類裝置來執(zhí)行最重要的方法步驟中的某一個或多個。

所述實現(xiàn)可以采用硬件或采用軟件或可以使用例如軟盤、dvd、藍光、cd、rom、prom、eprom、eeprom、或閃存之類的具有被存儲在其上的電子可讀控制信號的數(shù)字存儲介質(zhì)來執(zhí)行，所述電子可讀控制信號與可編程計算機系統(tǒng)配合(或能夠與其配合)以使得執(zhí)行相應的方法?？梢蕴峁┚哂须娮涌勺x控制信號的數(shù)據(jù)載體，所述電子可讀控制信號能夠與可編程計算機系統(tǒng)配合以使得執(zhí)行本文所描述的方法。

所述實現(xiàn)還可以采用具有程序代碼的計算機程序產(chǎn)品的形式，當計算機程序產(chǎn)品在計算機上運行時，程序代碼進行操作以執(zhí)行該方法。可以在機器可讀載體上存儲程序代碼。

以上所描述的僅是說明性，并且要理解的是，本文所描述的布置和細節(jié)的修改和變化對于本領域技術人員而言將是明顯的。因此，意在僅由所附權利要求的范圍而不是由通過以上描述和解釋的方式所呈現(xiàn)的特定細節(jié)來限制。