本发明涉及计算机安全技术领域,具体涉及一种安全防护设备、接口及核心设备。
背景技术:
USB炸弹是一种伪装成U盘的物理攻击设备,外观与普通U盘设备一致,很难从外观上区分。当USB炸弹通过设备的USB接口互联后,USB炸弹能够通过设备的USB接口对电能进行储能,当能量达到一定的破坏能力后突然发射,从而导致设备的USB接口甚至主板收到不可修复的破坏。
当前工业计算机设备和计算机设备在对USB的防护方面主要采用软件的方式,只能对一般性的病毒攻击起到防护作用,但是对于USB炸弹这种破坏性的物理攻击无效。USB炸弹攻击一旦成功,会对被攻击设备造成致命的损坏,轻则造成设备本身不可修复,严重的会造成关键计算机网络的失效,对被攻击设计及被攻击网络有极大的安全隐患。
技术实现要素:
针对现有技术中的缺陷,本发明提供了一种安全防护设备、接口及核心设备,本发明提供的安全防护设备,能够避免外部设备通过电连接接口进行储能进而对接入的核心设备产生的冲击或损坏的问题。
第一方面,本发明提供了一种安全防护设备,所述安全防护设备设置在待接入核心设备的外部设备与核心设备之间,所述外部设备通过所述安全防护设备接入所述核心设备;
所述安全防护设备包括:
第一接口、第二接口,以及设置在第一接口和第二接口之间的电源支路和数据支路;
其中,所述第一接口用于与所述外部设备连接,所述第二接口用于与所述核心设备连接;所述电源支路为所述第一接口、所述第二接口以及所述数据支路提供电源支持;所述数据支路用于传输相关的数据;
其中,所述安全防护设备,还包括:高压检测元件和控制元件;
所述高压检测元件用于检测接入所述第一接口的外部设备的电压是否超过预设电压,并在所述外部设备的电压超过预设电压时向所述控制元件发送触发信号;
所述控制元件用于在接收到所述高压检测元件发送的触发信号后,断开所述电源支路。
进一步地,所述安全防护设备还包括:设备在位检测元件;
所述设备在位检测元件,用于检测所述第一接口是否有外部设备接入,并在检测到有外部设备接入所述第一接口时,向所述高压检测元件发送第一控制信号,以使所述高压检测元件开始进行检测。
进一步地,所述数据支路上还设置有数据开关,所述数据开关与所述高压检测元件连接;
相应地,所述数据开关用于在所述高压检测元件检测到接入所述第一接口的外部设备的电压未超过预设电压时闭合。
进一步地,所述数据开关还用于在所述高压检测元件检测到接入所述第一接口的外部设备的电压超过预设电压时断开。
进一步地,所述数据开关还与所述设备在位检测元件连接;
相应地,所述数据开关还用于在所述设备在位检测元件检测到外部设备离开所述第一接口时断开。
进一步地,所述第一接口和所述第二接口为USB接口、网口、串口和并口中的任意一种。
进一步地,所述核心设备为计算机、路由器、打印机、摄像机和网络交换机中的任意一种。
进一步地,所述外部设备为具有储能和/或攻击作用的U盘、移动硬盘、手机、IPad、鼠标和键盘中的任意一种。
第二方面,本发明还提供了一种接口,包括如上面所述的安全防护设备。
第三方面,本发明还提供了一种核心设备,包括上面所述的安全防护设备,该核心设备与待接入该核心设备的外部设备的直接连接。
由上述技术方案可知,本发明提供的安全防护设备中设置有高压检测元件和控制元件,所述高压检测元件用于检测接入第一接口的外部设备的电压是否超过预设电压,并在所述外部设备的电压超过预设电压时向所述控制元件发送触发信号,以使控制元件断开所述电源支路,这样一是可以避免电源支路继续为所述外部设备继续提供充电电源,二是可以停止电路支路继续对数据支路供电,使数据支路无法继续传输数据。这样,当外部设备通过该安全防护设备接入核心设备时,该安全防护设备能够避免外部设备通过电连接接口进行储能进而对接入的核心设备产生的冲击或损坏的问题。此外,本发明提供的安全防护设备,具有独立的第一接口和第二接口,方便分别与外部设备和核心设备连接,便于使用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的安全防护设备的结构示意图;
图2是本发明实施例二提供的安全防护设备的结构示意图;
图3是本发明实施例三提供的安全防护设备的结构示意图;
图4是本发明实施例四提供的接口的结构示意图;
图5是本发明实施例五提供的核心设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整的描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1示出了本发明实施例一提供的安全防护设备的结构示意图,该安全防护设备设置在待接入核心设备的外部设备与核心设备之间,所述外部设备通过该安全防护设备接入所述核心设备;
参见图1,所述安全防护设备包括:
第一接口、第二接口,以及设置在第一接口和第二接口之间的电源支路和数据支路;
其中,所述第一接口用于与所述外部设备连接,所述第二接口用于与所述核心设备连接;所述电源支路为所述第一接口、所述第二接口以及所述数据支路提供电源支持;所述数据支路用于传输相关的数据,所述数据支路可以采用数据线实现。
其中,所述安全防护设备,还包括:高压检测元件和控制元件;
所述高压检测元件用于检测接入所述第一接口的外部设备的电压是否超过预设电压,并在所述外部设备的电压超过预设电压时向所述控制元件发送触发信号;这里,预设电压可以根据需要设置,例如可以设置为6V。这里,当外部设备的电压超过预设电压时表明外部设备可能正在通过第一接口进行储能,为了避免外部设备储能至一定程度后对核心设备造成的损伤,此时应该断开所述电源支路,以避免外部设备继续通过第一接口进行储能。
相应地,所述控制元件用于在接收到所述高压检测元件发送的触发信号后,断开所述电源支路,以避免外部设备继续通过第一接口进行储能,同时停止电路支路继续对数据支路供电,使数据支路无法继续传输数据。
优选地,所述高压检测元件采用高压检测芯片实现;所述控制元件采用CPU实现。
优选地,所述第一接口和所述第二接口为USB接口、网口、串口和并口中的任意一种。
优选地,所述核心设备为计算机、路由器、打印机、摄像机和网络交换机中的任意一种。
优选地,所述外部设备为具有储能和/或攻击作用的U盘、移动硬盘、手机、IPad、鼠标和键盘中的任意一种。如USB炸弹、移动硬盘炸弹、手机炸弹等。
由上面描述可知,本发明实施例提供的安全防护设备中设置有高压检测元件和控制元件,所述高压检测元件用于检测接入第一接口的外部设备的电压是否超过预设电压,并在所述外部设备的电压超过预设电压时向所述控制元件发送触发信号,以使控制元件断开所述电源支路,这样一是可以避免电源支路继续为所述外部设备继续提供充电电源,二是可以停止电路支路继续对数据支路供电,使数据支路无法继续传输数据。这样,当外部设备通过该安全防护设备接入核心设备时,该安全防护设备能够避免外部设备通过电连接接口进行储能进而对接入的核心设备产生的冲击或损坏的问题。此外,本发明实施例提供的安全防护设备,具有独立的第一接口和第二接口,方便分别与外部设备和核心设备连接,便于使用。
为了提高高压检测元件的使用寿命,优选地,参见图2,在本发明实施例二中,所述安全防护设备还包括:设备在位检测元件;
所述设备在位检测元件,用于检测所述第一接口是否有外部设备接入,并在检测到有外部设备接入所述第一接口时,向所述高压检测元件发送第一控制信号,以使所述高压检测元件开始进行检测。
在本实施例中,设置了设备在位检测元件,只有当设备在位检测元件检测到有外部设备接入第一接口后,才控制所述高压检测元件开始进行检测,从而避免高压检测元件一直处于开启状态,进而提高了高压检测元件的使用寿命。
为了进一步保证核心设备不受损坏,在本发明实施例三中,参见图3,所述数据支路上还设置有数据开关,所述数据开关与所述高压检测元件连接;
相应地,所述数据开关用于在所述高压检测元件检测到接入所述第一接口的外部设备的电压未超过预设电压时闭合。
本实施例中,所述数据开关的设置,使得在未确认外部设备是否为正常外部设备之前断开了外部设备在物理链路上的所有攻击通道,从而有效防护了具有威胁特性的外部设备对核心设备的攻击或损坏。
为了防止控制元件出现动作延迟没有及时断开所述电源支路而导致的不良后果,优选地,参见图3,所述数据开关还用于在所述高压检测元件检测到接入所述第一接口的外部设备的电压超过预设电压时断开,使得数据支路无法继续传输数据,这样当外部设备通过该安全防护设备接入核心设备时,该安全防护设备可以有效避免外部设备对接入的核心设备产生的冲击或损坏。
进一步地,所述数据开关还与所述设备在位检测元件连接;
相应地,所述数据开关还用于在所述设备在位检测元件检测到外部设备离开所述第一接口时自动断开。
在本实施例中,当数据传输完成,且外部设备不在位时断开数据开关,以断开物理数据连接。
本发明实施例提供的安全防护设备的工作逻辑为:当有外部设备通过该安全防护设备接入核心设备后,由高压检测部件检测接入的外部设备的电压是否合法,若合法经确认不是有威胁的外部设备(例如为正常U盘),则闭合数据开关允许正常数据传输,当数据传输完成,且设备不在位时断开数据开关,以断开物理数据连接;若由高压检测元件检测外部设备的电压高于合法数值,经逻辑检测为有威胁的外部设备(如USB炸弹),则断开电源支路,停止对外部设备的供电,自动干预外部设备的储能过程使其储能不具备破坏性,且断开数据开关,使得无硬件连路供外部设备进行攻击。
本发明实施例根据具有储能作用的外部设备的工作原理,对伪装成正常外部设备的具有威胁特性的外部设备能够做到自动检测和自动防护,能够有效检测到具有威胁特性的外部设备的储能行为,及时自主干预具有威胁特性的外部设备的前期储能过程,且在未确认外部设备是否为正常外部设备之前断开了外部设备在物理链路上的所有攻击通道,从而有效防护了具有威胁特性的外部设备对核心设备的攻击或损坏。
本实施例提供的相关元件的控制协调整过程可以通过内置的嵌入式处理器进行统一控制。
基于相同的发明构思,本发明实施例四提供了一种接口,参见图4,该接口包括如上面实施例一或二所述的安全防护设备。
由于本实施例提供的接口包括上述实施例所述的安全防护设备,故具有和上述实施例类似的技术效果,此处不再赘述。
本实施例提供的接口可以为USB接口、网口、串口、并口中的一种或多种。
基于相同的发明构思,本发明实施例五提供了一种核心设备,参见图5,该核心设备包括如上面所述的安全防护设备,该核心设备与待接入该核心设备的外部设备的直接连接。
由于本实施例提供的核心设备包括上述实施例所述的安全防护设备,故具有和上述实施例类似的技术效果,此处不再赘述。
由于本实施例提供的核心设备包括上述实施例所述的安全防护设备,故将外部设备接入该核心设备时不用再通过额外的第三设备连接(如上面实施例一所述的安全防护设备),而是可以直接将外部设备接入该核心设备,且即便外部设备产生大电流,也不会对该核心设备造成冲击或损坏。
本实施例提供的核心设备可以为计算机、路由器、打印机、摄像机和网络交换机中的任意一种。
在本发明的描述中,需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本发明所述的连接可以为物理连接,也可以为电连接或信号连接。
以上实施例仅用于说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。