一种USB外设安全控制装置、方法、计算机设备及存储介质与流程

一种usb外设安全控制装置、方法、计算机设备及存储介质
技术领域
1.本发明涉及usb外设安全控制技术领域，具体为一种usb外设安全控制装置、方法、计算机设备及存储介质。


背景技术：

2.随着科技的不断进步，针对usb外设的攻击方式变得多样化，因此，在内网和外网的环境下对usb外设的安全需要有不同的安全需求，且还需要满足能够自由切换usb路径，但现有多以解决单一场景的需求为主，若是针对安全需求，则通过增加隔离设备，实现病毒检测，或者按文件格式的过滤等功能，而此种方案通常没有从数据平面上将内网和外网从物理上隔离，因此，从安全体系认证角度，无法充分证明其安全性；若是针对切换需求，通常是采用切换电路，实现多路设备按需切换，但此种方案通常不具备安全性，不适用外网模式下usb外设的接入。


技术实现要素：

3.针对上述问题，本发明提供了一种usb外设安全控制装置、方法、计算机设备及存储介质，其可解决现有适用范围有限、安全性不足的问题，具有安全隔离和路径自由切换的特点。
4.本发明的技术方案是这样的，一种usb外设安全控制装置，其特征在于，包括：
5.usb外设端，与外接设备连接，用于提供usb接口；
6.切换模块，与所述usb外设端连接，用于根据运行需求为所述外接设备切换数据传输路径；所述传输路径包括内网通道、外网通道；
7.隔离控制模块，与所述切换模块、用户终端均相连接，用于与所述切换模块、用户终端的通信交互，并实现对所述usb外设端与所述用户终端之间的安全隔离。
8.其进一步特征在于：
9.所述切换模块包括相连接的按钮、切换芯片，所述切换芯片与所述用户终端、隔离控制模块均相连接，以实现传输路径切换至所述用户终端或是所述隔离控制模块；
10.所述隔离控制模块包括fpga芯片及与所述fpga芯片均相连接的第一单片机、第二单片机，所述第一单片机、第二单片机均与usb扩展器相连接；
11.所述usb扩展器分为第一扩展器usb hub a、第二扩展器usb hub b，所述第一单片机通过所述第一扩展器usb hub a与所述切换芯片相连接，所述第二单片机与所述第二扩展器usb hub b相连接，且所述用户终端与所述第二扩展器usb hub b连接；
12.所述第一单片机具备usb host工作模式，用于枚举所述外接设备，并将报文信息传输至所述fpga芯片；所述第二单片机具备usb peripheral工作模式，用于根据所述fpga芯片输出的信号，模拟所接的所述外接设备；
13.所述外接设备包括但不限于鼠标、键盘、usb存储设备；
14.本发明还提出了一种usb外设安全控制方法，其特征在于，包括以下步骤：
15.外接设备接入usb外设端的usb接口；
16.响应于按钮操作，实现数据传输路径切换至内网通道或外网通道；
17.若切换至所述内网通道，切换芯片将信号切至第二扩展器usb hub b后与用户终端连通；
18.若切换至所述外网通道，切换芯片将信号切至第一扩展器usb hub a，隔离控制模块根据接收的信号，枚举并模拟所接的所述外接设备后与用户终端连通。
19.其进一步特征在于：
20.在切换至所述外网通道时，与所述用户终端的连通，包括以下步骤：
21.s1、切换芯片将信号切至第一扩展器usb hub a；
22.s2、第一单片机枚举所述外接设备，并将报文信息传输至所述fpga芯片；
23.s3、所述fpga芯片将接收的报文信息转发传输至第二单片机，第二单片机根据接收的信息分别模拟出所接的外接设备；
24.s4、所述用户终端通过第二扩展器usb hub b枚举得到所接的外接设备。
25.本发明还提出了一种计算机设备，其特征在于，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述控制方法的步骤。
26.本发明还提出了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述控制方法的步骤。
27.本发明的有益效果是，其可利用切换模块进行内网通道和外网通道的数据传输路径切换，并可实现usb外设端与用户终端之间的安全隔离，其安全性要符合相应的安全认证，且使用便捷，具有较强的扩展性，适用广泛，具有较好的使用价值。
附图说明
28.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例的描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
29.图1为本发明的结构示意图。
具体实施方式
30.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。根据本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
31.参见图1，本发明一种usb外设安全控制装置，包括：
32.usb外设端，与外接设备连接，用于提供usb接口；
33.切换模块，与usb外设端连接，用于根据运行需求为外接设备切换数据传输路径；传输路径包括内网通道、外网通道；
34.隔离控制模块，与切换模块、用户终端均相连接，用于与切换模块、用户终端的通
信交互，并实现对usb外设端与用户终端之间的安全隔离。
35.切换模块包括相连接的按钮、切换芯片，具备一键切换模式，切换芯片采用usb switch实现，是一种模拟开关，按下按钮后，即可进行usb的选路，切换芯片与用户终端、隔离控制模块均相连接，以实现传输路径切换至用户终端或是隔离控制模块，即直接连接第二扩展器usb hub b到用户终端的为直接通道，通过第一扩展器usb hub a、fpga芯片的为安全隔离通道。
36.隔离控制模块包括fpga芯片、通过spi接口与fpga芯片均相连接的第一单片机、第二单片机，第一单片机、第二单片机均与usb扩展器相连接；usb扩展器分为第一扩展器usb hub a、第二扩展器usb hub b，第一扩展器usb hub a是由安全隔离通道增加的额外扩展芯片，第二扩展器usb hub b为直接通道或安全隔离通道所需的扩展芯片；第一单片机通过第一扩展器usb hub a与切换芯片相连接，第二单片机与第二扩展器usb hub b相连接，且用户终端与第二扩展器usb hub b连接，第一单片机将usb信号和数据进行转换，并通过spi总线发送给fpga芯片，fpga芯片对接收的数据进行处理，并通过spi总线转发到第二单片机；第一单片机具备usb host工作模式，用于枚举外接设备，并将报文信息传输至fpga芯片，其只需集成usb驱动即可；第二单片机具备usb peripheral工作模式，用于根据fpga芯片输出的信号，模拟所接的外接设备，即第二单片机需要根据外设的不同，分别模拟出usb hid和usb mass storage两种类型，以分别代替鼠标键盘设备和usb存储设备，用户终端才可以发现相应的外接设备。
37.外接设备包括但不限于鼠标、键盘、usb存储设备。
38.其中，fpga芯片选用的复旦微7al100芯片；第一单片机、第二单片机均采用型号兆易gd32f205rct6；切换芯片选用型号ch440p芯片；usb扩展器选用型号ch334h扩展器。
39.第一单片机需要集成usb驱动、spi驱动，第二单片机额外需要集成usb gadget驱动，提供usb模拟功能；且第一单片机、第二单片机均需要提供spi的功能接口，接口函数主要支持spi的打开、关闭、发送、接收等操作，接口主要通过调用linuxioctl()系统调用来实现。
40.本发明还提出了一种usb外设安全控制方法，包括以下步骤：
41.将鼠标、键盘、usb存储等设备接入usb外设端的usb接口；
42.响应于按钮操作，实现数据传输路径切换至内网通道或外网通道；
43.具体地，
44.直接通道(即内网通道)工作流程是：切换芯片将信号切至第二扩展器usb hub b，用户终端枚举连接的外接设备，最后，可通过用户操作相应外接设备，以验证功能的正确性；
45.安全隔离通道(即外网通道)工作流程是：
46.s1、切换芯片将信号切至第一扩展器usb hub a；
47.s2、第一单片机枚举外接设备，并将枚举报文通过spi接口传输至fpga芯片；
48.s3、fpga芯片将接收的报文信息转发传输至第二单片机，第二单片机根据接收的信息模拟usb hid或usb mass storage两种类型的设备，以分别模拟出所接的外接设备；
49.s4、用户终端通过第二扩展器usb hub b枚举得到所接的外接设备；
50.s5、用户操作相应的usb外接设备，触发usb设备的读写操作，第二单片机将收到的
usb操作报文通过spi接口传输至fpga芯片；
51.s6、fpga芯片将收到的报文信息传输至第一单片机，第一单片机通过调用usb驱动来操作外接设备，最终可验证功能的正确性。
52.本发明还提出了一种计算机设备，其特征在于，包括存储器、处理器以及存储在存储器中并可在处理器上运行的计算机程序，处理器执行计算机程序时实现上述控制方法的步骤。
53.本发明还提出了一种计算机可读存储介质，计算机可读存储介质存储有计算机程序，计算机程序被处理器执行时实现上述控制方法的步骤。
54.本发明可根据需要随时进行内网和外网模式的切换，即利用按钮人工切换，并通过切换芯片实现两条通道路径切换，以及利用第一单片机、第二单片机和fpga芯片来达到红黑隔离的目的，内网环境使用直接通道，外网环境使用安全隔离通道，安全隔离通道下，经过了单片机+fpga隔离，无法让客户端直接枚举和操作接入的usb设备，并通过对fpga芯片的编程实现安全控制，因此具有较好的安全性。
55.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本技术所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(rom)、可编程rom(prom)、电可编程rom(eprom)、电可擦除可编程rom(eeprom)或闪存。易失性存储器可包括随机存取存储器(ram)或者外部高速缓冲存储器。作为说明而非局限，ram以多种形式可得，诸如静态ram(sram)、动态ram(dram)、同步dram(sdram)、双数据率sdram(ddrsdram)、增强型sdram(esdram)、同步链路(synchlink)dram(sldram)、存储器总线(rambus)直接ram(rdram)、直接存储器总线动态ram(drdram)、以及存储器总线动态ram(rdram)等。
56.对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
57.此外，应当理解，虽然本说明书按照实施方式加以描述，但并非每个实施方式仅包含一个独立的技术方案，说明书的这种叙述方式仅仅是为清楚起见，本领域技术人员应当将说明书作为一个整体，各实施例中的技术方案也可以经适当组合，形成本领域技术人员可以理解的其他实施方式。

技术特征：
1.一种usb外设安全控制装置，其特征在于，包括：usb外设端，与外接设备连接，用于提供usb接口；切换模块，与所述usb外设端连接，用于根据运行需求为所述外接设备切换数据传输路径；所述传输路径包括内网通道、外网通道；隔离控制模块，与所述切换模块、用户终端均相连接，用于与所述切换模块、用户终端的通信交互，并实现对所述usb外设端与所述用户终端之间的安全隔离。2.根据权利要求1所述的一种usb外设安全控制装置，其特征在于：所述切换模块包括相连接的按钮、切换芯片，所述切换芯片与所述用户终端、隔离控制模块均相连接，以实现传输路径切换至所述用户终端或是所述隔离控制模块。3.根据权利要求1所述的一种usb外设安全控制装置，其特征在于：所述隔离控制模块包括fpga芯片及与所述fpga芯片均相连接的第一单片机、第二单片机，所述第一单片机、第二单片机均与usb扩展器相连接。4.根据权利要求3所述的一种usb外设安全控制装置，其特征在于：所述usb扩展器分为第一扩展器usb hub a、第二扩展器usb hub b，所述第一单片机通过所述第一扩展器usb hub a与所述切换芯片相连接，所述第二单片机与所述第二扩展器usb hub b相连接，且所述用户终端与所述第二扩展器usb hub b连接。5.根据权利要求3所述的一种usb外设安全控制装置，其特征在于：所述第一单片机具备usb host工作模式，用于枚举所述外接设备，并将报文信息传输至所述fpga芯片；所述第二单片机具备usb peripheral工作模式，用于根据所述fpga芯片输出的信号，模拟所接的所述外接设备。6.根据权利要求1所述的一种usb外设安全控制装置，其特征在于：所述外接设备包括但不限于鼠标、键盘、usb存储设备。7.一种usb外设安全控制方法，其特征在于，包括如权利要求1～6任一所述的一种usb外设安全控制装置，所述方法还包括以下步骤：外接设备接入usb外设端的usb接口；响应于按钮操作，实现数据传输路径切换至内网通道或外网通道；若切换至所述内网通道，切换芯片将信号切至第二扩展器usb hub b后与用户终端连通；若切换至所述外网通道，切换芯片将信号切至第一扩展器usb hub a，隔离控制模块根据接收的信号，枚举并模拟所接的所述外接设备后与用户终端连通。8.根据权利要求7所述的一种usb外设安全控制方法，其特征在于：其特征在于：在切换至所述外网通道时，与所述用户终端的连通，包括以下步骤：s1、切换芯片将信号切至第一扩展器usb hub a；s2、第一单片机枚举所述外接设备，并将报文信息传输至所述fpga芯片；s3、所述fpga芯片将接收的报文信息转发传输至第二单片机，第二单片机根据接收的信息分别模拟出所接的外接设备；s4、所述用户终端通过第二扩展器usb hub b枚举得到所接的外接设备。9.一种计算机设备，其特征在于，包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现如权利要求7-8
任一所述的一种usb外设安全控制方法的步骤。10.一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求7-8任一所述的一种usb外设安全控制方法的步骤。

技术总结
本发明提供了一种USB外设安全控制装置、方法、计算机设备及存储介质，其可解决现有适用范围有限、安全性不足的问题，具有安全隔离和路径自由切换的特点；USB外设安全控制装置，包括：USB外设端，与外接设备连接，用于提供USB接口；切换模块，与所述USB外设端连接，用于根据运行需求为所述外接设备切换数据传输路径；所述传输路径包括内网通道、外网通道；隔离控制模块，与所述切换模块、用户终端均相连接，用于与所述切换模块、用户终端的通信交互，并实现对所述USB外设端与所述用户终端之间的安全隔离。隔离。隔离。


技术研发人员：张超 辛大勇 何建伟 陈小兵 黎小兵 李衡
受保护的技术使用者：昆山嘉提信息科技有限公司
技术研发日：2023.05.15
技术公布日：2023/8/13