外部设备认证管理方法、装置及电子设备与流程

本发明涉及设备认证技术领域，尤其涉及一种外部设备认证管理方法、装置及电子设备。

背景技术：

现阶段，外部设备以其使用灵活、携带方便等优势，迅速得到普及。外部设备在带来使用便利性的同时，也存在机密资料外泄、木马病毒传播等安全隐患，可能造成极其严重的后果和危害。为了规范企事业内部外部设备的管理与使用，需要对外部设备进行认证管理。

以存储设备为例，目前，通常在用户层实现存储设备的认证管理，存储设备建立连接后，用户层应用程序获取到存储设备的UID（Unique ID，唯一识别码），进行认证，把认证后的唯一识别码加密后，添加到设备列表中，设备列表以文件形式保存到本地磁盘；再次连接存储设备时，从设备列表文件里进行匹配。

在实现本发明的过程中，发明人发现现有技术中至少存在如下技术问题：

设备列表保存在本地磁盘中，容易受到攻击或篡改，安全性不高；而且重装系统后，设备列表可能会丢失，已完成的外部设备的认证将会失效，可靠性不高。

技术实现要素：

本发明提供的外部设备认证管理方法、装置及电子设备，能够提高外部设备认证的安全性和可靠性。

一方面，本发明提供一种外部设备认证管理方法，应用于第一电子设备，所述方法包括：

所述第一电子设备的第二系统内核层检测到外部设备与所述第一电子设备连接时，获取所述外部设备的唯一识别码，并将所述外部设备的唯一识别码发送给所述第一电子设备的第一系统；

所述第一电子设备的第一系统在预存的设备列表中对所述外部设备的唯一识别码进行匹配，并将匹配结果发送给所述第一电子设备的第二系统内核层；

若匹配成功，则所述第一电子设备的第二系统内核层加载所述外部设备。

另一方面，本发明提供一种外部设备认证管理装置，位于第一电子设备中，所述装置包括第一系统和第二系统，其中，

所述第二系统内核层，用于当检测到外部设备与所述第一电子设备连接时，获取所述外部设备的唯一识别码，将所述外部设备的唯一识别码发送给第一系统，接收第一系统发送的匹配结果，当匹配成功时加载所述外部设备；

所述第一系统，用于接收第二系统内核层发送的外部设备的唯一识别码，在预存的设备列表中对所述外部设备的唯一识别码进行匹配，并将匹配结果发送给第二系统内核层。

再一方面，本发明提供一种电子设备，包括处理器和外部接口，所述电子设备还包括上述外部设备认证装置。

本发明提供的外部设备认证管理方法、装置及电子设备，当检测到外部设备与电子设备连接时，电子设备的第二系统内核层获取外部设备的唯一识别码并发送给电子设备的第一系统，第一系统在预存的设备列表中对所述外部设备的唯一识别码进行匹配，并将匹配结果发送给第二系统内核层，若匹配成功，则第二系统内核层加载所述外部设备。与现有技术相比，设备列表保存在电子设备的第一系统中，不容易受到攻击或篡改，安全性较高；而且即便电子设备重装系统，设备列表也不会丢失，能够保证电子设备已完成的外部设备认证仍然有效，可靠性较高。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本发明实施例提供的一种外部设备认证管理方法的流程图；

图2为本发明实施例提供的另一种外部设备认证管理方法的流程图；

图3为本发明实施例提供的一种外部设备认证管理装置的结构示意图；

图4为本发明实施例提供的另一种外部设备认证管理装置的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明实施例提供一种外部设备认证管理方法，应用于第一电子设备，如图1所示，所述方法包括：

S11、所述第一电子设备的第二系统内核层检测到外部设备与所述第一电子设备连接时，获取所述外部设备的唯一识别码，并将所述外部设备的唯一识别码发送给所述第一电子设备的第一系统；

其中，所述外部设备与第一电子设备的连接为物理连接。

所述外部设备的唯一识别码包括PID（Product ID，产品识别码）、VID（Vendor ID，供应商识别码）和SID（Security Identifiers，安全标识符）。

S12、所述第一电子设备的第一系统在预存的设备列表中对所述外部设备的唯一识别码进行匹配，并将匹配结果发送给所述第一电子设备的第二系统内核层。

S13、若匹配成功，则所述第一电子设备的第二系统内核层加载所述外部设备。

本发明实施例提供的外部设备认证管理方法，当检测到外部设备与电子设备连接时，电子设备的第二系统内核层获取外部设备的唯一识别码并发送给电子设备的第一系统，第一系统在预存的设备列表中对所述外部设备的唯一识别码进行匹配，并将匹配结果发送给第二系统内核层，若匹配成功，则第二系统内核层加载所述外部设备。与现有技术相比，设备列表保存在电子设备的第一系统中，不容易受到攻击或篡改，安全性较高；而且即便电子设备重装系统，设备列表也不会丢失，能够保证电子设备已完成的外部设备认证仍然有效，可靠性较高。具体的，第一系统可以为BIOS，第二系统可以为电子设备的操作系统。

进一步地，如图2所示，在所述将匹配结果发送给所述第一电子设备的第二系统内核层之后，所述方法还可以包括：

S14、若匹配失败，则所述第一电子设备的第二系统内核层将所述外部设备的唯一识别码发送给所述第一电子设备的第二系统用户层进行认证，所述第一电子设备的第二系统用户层将认证结果发送给所述第一电子设备的第二系统内核层；

S15、所述第一电子设备的第二系统内核层根据所述认证结果对所述外部设备进行相应操作。

具体地，所述第一电子设备的第二系统内核层根据所述认证结果对所述外部设备进行相应操作可以包括：

若认证通过，则所述第一电子设备的第二系统内核层将所述外部设备的唯一识别码发送给所述第一电子设备的第一系统，所述第一电子设备的第一系统将所述外部设备的唯一识别码保存到所述预存的设备列表中，并提示用户重新将所述外部设备与所述第一电子设备连接；

若认证未通过，则所述第一电子设备的第二系统内核层不加载所述外部设备，并生成外部设备未通过认证的提示信息。

具体的，以USB存储设备为例，下面介绍Linux系统设备对接入的USB存储设备进行认证管理的操作方式。

该Linux系统设备的操作系统内核层检测到USB存储设备连接时，获取该USB存储设备的UID，将该UID发送给该Linux系统设备的BIOS；该Linux系统设备的BIOS在预存的设备列表中对该Linux系统设备的UID进行匹配，并将匹配结果发送给该Linux系统设备的操作系统内核层；若匹配成功，则该Linux系统设备的操作系统内核层加载该USB存储设备；若匹配失败，则该Linux系统设备的操作系统内核层将该USB存储设备的UID发送给该Linux系统设备的操作系统用户层进行认证；若认证通过，则该Linux系统设备的操作系统内核层将该USB存储设备的UID发送给该Linux系统设备的BIOS，该Linux系统设备的BIOS将该USB存储设备的UID保存到预存的设备列表中，并提示用户重新将该USB存储设备与该Linux系统设备连接；若认证未通过，则该Linux系统设备的操作系统内核层不加载该USB存储设备，并生成该USB存储设备未通过认证的提示信息。

具体地，所述获取所述外部设备的唯一识别码可以包括：枚举所述外部设备，从枚举信息中获取所述外部设备的唯一识别码。

具体地，所述将所述外部设备的唯一识别码发送给所述第一电子设备的第一系统可以包括：通过所述第一电子设备的第一系统的SMI（System Management Interrupts，系统管理中断）事件将所述外部设备的唯一识别码发送给所述第一电子设备的第一系统。

本发明实施例还提供一种外部设备认证管理装置，位于第一电子设备中，如图3所示，所述装置包括第一系统11和第二系统12，其中，

所述第二系统内核层121，用于当检测到外部设备与所述第一电子设备连接时，获取所述外部设备的唯一识别码，将所述外部设备的唯一识别码发送给第一系统11，接收第一系统11发送的匹配结果，当匹配成功时加载所述外部设备；

其中，所述外部设备与第一电子设备的连接为物理连接。

所述外部设备的唯一识别码包括产品识别码、供应商识别码和安全标识符。

所述第一系统11，用于接收第二系统内核层121发送的外部设备的唯一识别码，在预存的设备列表中对所述外部设备的唯一识别码进行匹配，并将匹配结果发送给第二系统内核层121。

本发明提供的外部设备认证管理装置，当检测到外部设备与电子设备连接时，电子设备的第二系统内核层获取外部设备的唯一识别码并发送给电子设备的第一系统，第一系统在预存的设备列表中对所述外部设备的唯一识别码进行匹配，并将匹配结果发送给第二系统内核层，若匹配成功，则第二系统内核层加载所述外部设备。与现有技术相比，设备列表保存在电子设备的第一系统中，不容易受到攻击或篡改，安全性较高；而且即便电子设备重装系统，设备列表也不会丢失，能够保证电子设备已完成的外部设备认证仍然有效，可靠性较高。

进一步地，如图4所示，所述第二系统内核层121，还用于当匹配失败时将所述外部设备的唯一识别码发送给第二系统用户层122进行认证，根据第二系统用户层122发送的认证结果对所述外部设备进行相应操作；

所述第二系统用户层122，用于对第二系统内核层121发送的外部设备的唯一识别码进行认证，将认证结果发送给第二系统内核层121。

具体地，所述第二系统内核层121，还用于当认证通过时，将所述外部设备的唯一识别码发送给第一系统11；当认证未通过时，不加载所述外部设备，并生成外部设备未通过认证的提示信息；

则所述第一系统11，还用于当认证通过时，将所述外部设备的唯一识别码保存到所述预存的设备列表中，并提示用户重新将所述外部设备与所述第一电子设备连接。

具体地，所述第二系统内核层121，还用于枚举所述外部设备，从枚举信息中获取所述外部设备的唯一识别码。

具体地，所述第二系统内核层121，还用于通过所述第一系统11的SMI事件将所述外部设备的唯一识别码发送给所述第一系统11。

在上述装置实施例中，所述外部设备可以为USB存储设备，所述第一电子设备可以为Linux系统设备，所述第一系统可以为BIOS，所述第二系统可以为Linux操作系统。

本发明实施例还提供一种电子设备，所述电子设备包括处理器和外部接口，所述电子设备还包括上述实施例中所述的外部设备认证装置。

本发明实施例中的电子设备可以为台式计算机、笔记本、手机、PAD等，但不仅限于此。本发明实施例中的外部设备可以为USB存储设备、打印机、扫描仪等，但不仅限于此。

本发明实施例外部设备认证管理方法、装置及电子设备，可以适用于Linux系统设备对外部设备进行认证，但不仅限于此。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（Read-Only Memory，ROM）或随机存储记忆体（Random Access Memory，RAM）等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。