控制数据处理设备和外围设备间通信的中间模块的制作方法

本发明涉及对数据处理设备和外围设备之间的通信的控制。

背景技术：

现代数据处理设备通常配备通信接口，该通信接口上可连接存储设备(尤其usb存储设备)或键盘等外围设备。然而，此类外围设备可用于对数据处理设备发起攻击。例如，外围设备可用于尝试在数据处理设备上安装非所需软件。

举例而言，可通过停用数据处理设备的某些通信接口保护该数据处理设备免受非所需外围设备访问。然而，由于外围设备的广泛使用和重要性，此方法的实施通常较有难度。

技术实现要素：

本发明的目的在于提供一种在数据处理设备和外围设备之间进行更为安全的通信的概念。

此目的由独立权利要求的特征实现。从属权利要求的技术方案包含其有利拓展形式。

本发明基于如下发现：上述目的由一种对数据处理设备和外围设备之间的通信进行管理的中间模块实现。该中间模块包括用于连接数据处理设备和外围设备的通信接口。该中间模块对所述数据处理设备和所述外围设备的功能进行模拟，以针对所述外围设备模拟其向数据处理设备的连接，以及/或者针对所述数据处理设备模拟外围设备的连接。该中间模块可根据传输规则，对接收数据从所述外围设备向所述数据处理设备的传输进行控制，从而防止非所需数据的传输。

根据第一方面，本发明涉及一种对数据处理设备和外围设备之间的通信进行控制的中间模块，该模块包括：具有第一通信接口的第一数据处理单元，该第一通信接口可连接至所述外围设备的通信接口，其中，该第一数据处理单元配置为对所述数据处理设备的功能进行模拟，并且经所述第一通信接口从所述外围设备接收接收数据；具有第二通信接口的第二数据处理单元，该第二通信接口可连接至所述数据处理设备的通信接口，其中，该第二数据处理单元配置为对所述外围设备的功能进行模拟，并且将所述接收数据传输至所述数据处理设备；以及第三数据处理单元，该第三数据处理单元在通信层面上设置于所述第一数据处理单元和所述第二数据处理单元之间，并且配置为将所述接收数据传输至所述第二数据处理单元，以便传输至所述数据处理设备。

所述中间模块可使所述外围设备以安全方式连接至所述数据处理设备。该外围设备将所述第一数据处理单元视作所述数据处理设备的一部分，而所述数据处理设备将所述第二数据处理单元视作具有特定功能的外围设备。所述第三数据处理单元可配置为接收从所述外围设备发送至所述第一数据处理单元且以所述数据处理设备为目的地的接收数据，并将该接收数据传输至所述第二数据处理单元。该第二数据处理单元可将所传输的数据提供给所述数据处理设备。如此，可确保所述外围设备和所述数据处理设备之间不存在直接连接。此外，所述第二数据处理单元仅能模拟所述外围设备的存储功能等特定功能。通过这种方式，可防止已遭损害且以未受注意的方式向所述数据处理设备宣称自己为键盘的大容量存储设备等外围设备作出以未受注意的方式进行输入的非所需访问尝试，这是因为借助所述第二数据处理单元对存储功能的模拟，任何键盘输入均不能传输至所述数据处理设备。

模拟是指另一技术系统对某个系统的行为的模仿。在本文所述的中间模块中，所述第二数据处理单元和所述第一数据处理单元分别模仿所述外围设备和所述数据处理设备的功能。

为了确保所述第一数据处理单元、第二数据处理单元和第三数据处理单元的运行，所述中间模块可包括存储器和/或处理器。该存储器可以为闪存。来自所述外围设备的数据可在被提供于所述数据处理设备之前先临时存储于该存储器中。所述处理器可以为微处理器。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为根据一预设的传输规则对所述接收数据进行检验，且仅当满足该传输规则时，将所述接收数据传输至所述第二数据处理单元，以便传输至所述数据处理设备。

如此，所实现的优点在于，可高效地保护所述数据处理设备免受非所需数据(如非所需软件)的侵扰。所述传输规则可保存于所述中间模块的与所述第三数据处理单元相关联的存储器内。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为按照所述传输规则仅将包括特定文件类型的文件，尤其文本文件、图形文件或视频文件的接收数据传输至所述第二数据处理单元，以便传输至所述数据处理设备。

如此，所实现的优点在于，可防止优盘等具有存储功能的已连接外围设备上的非所需文件类型文件的传输。该非所需文件类型可例如为所述优盘的隐藏存储空间内所存的exe文件等可执行文件。该优盘可配置为，在连接至数据处理设备后，向该数据处理设备传输此类型非所需文件。然而，当所述中间模块的传输规则将传输限定至word文档等特定文件类型时，则可有效防止该非所需文件向所述数据处理设备的传输。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为按照所述传输规则仅将包括特定内容，尤其具有特定签名的文件的接收数据传输至所述第二数据处理单元，以便传输至所述数据处理设备。

如此，所实现的优点在于，仅具有已知安全内容的数据可从所述外围设备传输至所述数据处理设备，从而可同样有效地防止非所需数据向该数据处理设备的传输。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为对所述第一数据处理单元对所述数据处理设备的功能的模拟以及所述第二数据处理单元对所述外围设备的功能的模拟进行控制。

如此，所实现的优点在于，所述外围设备及所述数据处理设备本身均不能影响对该数据处理设备或该外围设备的功能的模拟。为此目的，所述第三数据处理单元可配置为对于所述外围设备或数据处理设备而言为隐藏数据处理单元。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为仅允许所述第二数据处理单元模拟所述外围设备的特定功能，尤其存储功能或控制功能。

如此，所实现的优点在于，可针对具有特定功能的外围设备对所述中间模块进行配置。举例而言，可针对存储设备、输入设备或输出设备等不同外围设备，对所述中间模块进行配置。如此，可有效防止所述数据处理设备受此类外围设备的非所需额外功能的侵扰。

在所述中间模块的一种实施方式中，所述第一通信接口和所述第二通信接口为以下通信接口中的一种：usb通信接口、ps/2通信接口、sata通信接口、hdmi通信接口、displayport通信接口、以太网通信接口、蓝牙通信接口、wlan通信接口、umts通信接口以及lte通信接口。

在所述中间模块的一种实施方式中，所述第一通信接口和第二通信接口均为usb接口，而且所述第一数据处理单元模拟usb主机控制器，所述第二数据处理单元模拟usb外围设备。

如此，所实现的优点在于，所述中间模块可用于将数据处理设备安全地连接至usp外围设备。如此，可有效地防止所述数据处理设备受已遭损害的usb外围设备(或称badusb设备)的侵扰。

在所述中间模块的一种实施方式中，所述中间模块包括显示器和/或操作控制器，以向用户显示所述中间模块的活动，以及/或者可使用户能够对接收数据的传输进行确认。

所述操作控制器可以为至少一个按钮式开关、数字键盘、键盘或触摸屏。所述显示器可以为至少一个指示灯或者屏幕，例如lcd显示器或薄膜显示器。

在所述中间模块的一种实施方式中，所述第三数据处理单元以控制和/或通信目的连接至所述显示器和/或所述操作控制器。

如此，所实现的优点在于，所述显示器及操作控制器仅可由所述第三数据处理单元控制，而且所述外围设备或数据处理设备无法影响所述显示器或无法模拟所述操作控制器的动作。如此，可确保所述中间模块与用户间的高效通信。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为在接收到确认信号，尤其所述操作控制器的启动信号或所连接的外围设备的操作控制功能的启动信号后，将接收数据传输至所述第二数据处理单元。

如此，所实现的优点在于，接收数据仅可在用户指定的时间传输至所述数据处理设备。举例而言，用户可通过在所述数据处理设备启动过程完成前不启动所述操作控制器的方式，防止接收数据在该数据处理设备的启动过程当中被传输。

此外，可提示用户在所述操作控制器或已连接外围设备上操作所述显示器上所显示的按键组合。如此，用户可对接收数据的传输进行许可。此外，通过在已连接键盘上操作所述中间模块所定义的按键组合，可以对该键盘的真实性进行确认。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为仅以特定时间间隔将接收数据传输至所述第二数据处理单元，其中，该时间间隔存储于所述第三数据处理单元内。

如此，所实现的优点在于，可防止所述外围设备在用户未知的时间，如用户工作时间之外的时间影响所述数据处理设备。此外，所述中间模块在连接至外围设备后，可仅在一段特定时间之后将所述接收数据传输至所述数据处理设备。这可保证所述数据处理设备在来自所述外围设备的接收数据被传输前已完全完成启动(例如，病毒扫描器已处于工作状态)。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为根据所述数据处理设备的工作状态将所述接收数据传输至所述第二数据处理单元，以便传输至所述数据处理设备。

如此，所实现的优点在于，可以防止来自所述外围设备的接收数据在所述数据处理设备的未受保护的工作状态下(例如，操作系统启动过程中)被传输至所述数据处理设备。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为将所述外围设备的存储内容传输至所述第二数据处理单元，并防止接收数据进一步从所述外围设备传输至所述第二数据处理单元。

如此，所实现的优点在于，可防止特定事件触发基于所述外围设备存储器内的数据所实施的篡改。举例而言，这可防止所述外围设备的隐藏存储器内的非所需软件在病毒扫描后才显现，或者所述外围设备的存储器内的非所需软件变得适应所述数据处理设备的操作系统。

在所述中间模块的一种实施方式中，所述中间模块包括用于连接额外外围设备的额外通信接口，其中，该额外通信接口连接至所述第一数据处理单元。

如此，所实现的优点在于，该中间模块可对多个外围设备与所述数据处理设备的通信进行同时控制。

在所述中间模块的一种实施方式中，所述第二数据处理单元对所述额外外围设备的额外功能进行模拟，而且所述第三数据处理单元配置为仅当该额外接收数据满足额外传输规则时，才将该额外接收数据传输至所述第二数据处理单元，以便传输至所述数据处理设备。

如此，所实现的优点在于，可有效防止所述额外外围设备危及所述数据处理设备。这些额外外围设备可通过所述中间模块同时运行，其中，每个外围设备均可附带具有特定传输规则的特定功能。

所述额外外围设备可例如为可同时运行的usb键盘、usb鼠标及usb大容量存储设备。

在所述中间模块的一种实施方式中，所述第二数据处理单元配置为经所述第二通信接口接收来自所述数据处理设备的发送数据，所述第一数据处理单元配置为将该发送数据提供给所述外围设备，其中，所述第三数据处理单元将来自所述第二数据处理单元的该发送数据传输至所述第一数据处理单元，以供其传输至所述外围设备。

如此，所实现的优点在于，可经所述中间模块将数据从所述数据处理设备传输至所述外围设备。

在所述中间模块的一种实施方式中，所述第三数据处理单元配置为根据预设传输规则对所述发送数据进行检验，而且当满足该传输规则时，才将该发送数据传输至所述第一数据处理单元，以供其传输至所述外围设备。

如此，所实现的优点在于，可有效防止所述数据处理设备向所述外围设备传输非所需数据，例如非所需软件。这可有效防止所述数据处理设备的隐藏软件危及连接至该数据处理设备的外围设备。

根据第二方面，本发明涉及一种用于连接外围设备的数据处理设备，其中，上述中间模块集成于该数据处理设备中。

如此，所实现的优点在于，可提供一种有效防止已连接外围设备的非所需访问尝试的数据处理设备。

所述的方法和系统可属于不同类型。所述的各个元件可由电子部件等硬件器件或软件部件实现，所述硬件器件可由不同技术制成，并且例如包括半导体芯片、专用集成电路(asic)、微处理器、数字信号处理器、集成电路、光电电路和/或无源器件。

用于连接所述模块的所述数据处理设备可以为计算机、笔记本电脑或智能手机。其可以为服务器或工业控制器。该数据处理设备可通过与其他数据处理设备连接而形成计算机网络。

所述外围设备可属于不同类型且可具有不同功能。其可包括存储设备、输入设备、输出设备或其他设备。适用的存储设备例如为优盘、外置硬盘、存储卡或存储卡读卡器。输入设备可例如为键盘、鼠标、触摸板、网络摄像头或麦克风，而输出设备可例如为显示器、耳机、扬声器、投影仪或打印机。所述外围设备还可以为智能手机、mp3播放器或笔记本电脑等可经所述中间模块连接至数据处理设备的其他数据处理设备。

附图说明

以下参考附图，对其他例示实施方式进行说明，附图中：

图1为将外围设备连接至数据处理设备的中间模块的示意图；

图2为将输入设备连接至数据处理设备的中间模块的示意图；

图3为未经中间模块连接至数据处理设备的外围设备示意图。

附图标记列表

100中间模块

101外围设备

103数据处理设备

105第一通信接口

107外围设备通信接口

109第二通信接口

111数据处理设备通信接口

113第一数据处理单元

115第二数据处理单元

117第三数据处理单元

119数据

121所传输的接收数据

123外围设备存储器

125外围设备隐藏存储器

127非所需数据

201显示器

203操作控制器

205键盘

207鼠标

具体实施方式

图1为将外围设备101连接至数据处理设备103的中间模块100的示意图。

中间模块100包括第一通信接口105、第二通信接口109、第一数据处理单元113、含有所传输的接收数据121的第二数据处理单元115、以及第三数据处理单元117。外围设备101配置为存储设备，并且包括通信接口107、含有数据119的存储器123、以及含有非所需数据127的隐藏存储器125。数据处理设备103包括通信接口111。

中间模块100用于控制数据处理设备103和外围设备101之间的通信。

第一数据处理单元113连接至第一通信接口105，该第一通信接口可连接至外围设备101的通信接口107，其中，第一数据处理单元113配置为模拟数据处理设备103的功能，并经第一通信接口105从外围设备101接收接收数据。

第二数据处理单元115连接至第二通信接口109，该第二通信接口可连接至数据处理设备103的通信接口111，其中，第二数据处理单元115配置为模拟外围设备101的功能，并将所述接收数据传输至数据处理设备103。

在通信层面上，第三数据处理单元117设置于第一数据处理单元113和第二数据处理单元115之间，而且配置为将所述接收数据传输至第二数据处理单元115，从而将其传输至数据处理设备103。

中间模块100可使外围设备101以安全方式连接至数据处理设备103。所述外围设备将第一数据处理单元113视作数据处理设备103的一部分，而数据处理设备103将第二数据处理单元115视作具有特定功能的外围设备101。第三数据处理单元117可配置为接收从外围设备101发送至第一数据处理单元113且以数据处理设备103为目的地的接收数据，并将该接收数据传输至第二数据处理单元115。该第二数据处理单元115可将所传输的数据提供给数据处理设备103。如此，可确保外围设备101和数据处理设备103之间不存在直接连接。第二数据处理单元115仅能模拟外围设备101的特定功能，例如存储功能。另外，通过这种方式，可防止已遭损害且以未受注意的方式向数据处理设备宣称自己为键盘的大容量存储设备等外围设备101作出以未受注意的方式进行输入的未受注意的访问尝试，这是因为借助第二数据处理单元115对存储功能的模拟，任何键盘输入均不能传输至数据处理设备103。

模拟是指另一技术系统对某个系统的行为的模仿。在本文所述的中间模块100中，第二数据处理单元115和第一数据处理单元113分别模仿外围设备101和数据处理设备103的功能。

为了确保第一数据处理单元113、第二数据处理单元115和第三数据处理单元117的运行，中间模块100可包括存储器和/或处理器。该存储器可以为闪存。来自外围设备101的数据119可在被提供于数据处理设备103之前先临时存储于该存储器中。所述处理器可以为微处理器。

第一通信接口105和第二通信接口109可配置为usb接口，第一数据处理单元113可模拟usb主机控制器。如此，中间模块100可用于连接优盘等usb外围设备。

第三数据处理单元117可对第二数据处理单元115对外围设备101功能的模拟进行控制。该功能可例如为存储功能(尤其存储数据119)或外围设备101的控制功能。

第三数据处理单元117可向接收数据的传输应用传输规则。该传输规则可配置为仅允许包括特定文件类型的文件或具有特定内容的文件的接收数据传输至第一数据处理单元115。被允许的文件类型可例如为文本文件、图形文件或视频文件，而所述具有特定内容的文件可例如为已签名文件。

图1中的外围设备101为已遭损害的存储设备，例如badusb设备。该已遭损害的存储设备含有包含用于传输至数据处理设备103的数据119的公开存储器123以及包含非所需数据127的隐藏存储器125。

在图1中，第三数据处理单元117根据上述传输规则将接收数据传输至第二数据处理单元115。然后，该所传输的接收数据121提供给数据处理设备103。数据处理设备103仅可访问第二数据处理单元115，因此仅可访问所述存储设备的所传输的接收数据121，但是不能访问该存储设备本身。如此，可防止非所需数据127传输至数据处理设备103。

从第一数据处理单元113接收且传输至第二数据处理单元115的所述接收数据可以为外围设备101的存储器123内的数据119。

第三数据处理单元117可配置为仅允许存储于第三数据处理单元117的接收数据以特定时间间隔或根据数据处理单元103的工作状态传输至第二数据处理单元115。如此，当数据处理设备103为计算机时，可确保接收数据传输前，数据处理设备103操作系统的启动过程完全完成，而且安装于数据处理设备103上的病毒扫描器完全启动。

第三数据处理单元117可配置为，在外围设备101连接后，将外围设备101的存储器123的内容全部传输至第二数据处理单元115，而且将该存储内容提供给数据处理设备103，并且防止数据进一步从外围设备101传输至第二数据处理单元115。外围设备101的存储内容可以为可完全传输至第二数据处理单元115的可见存储内容123。隐藏存储内容125不能传输。因此，隐藏存储器125内可能包含的非所需数据127不能进入数据处理设备103中或第二数据处理单元115的存储内容副本中。

图2为将输入设备连接至数据处理设备103的中间模块100的示意图。

中间模块100包括第一通信接口105、第二通信接口109、第一数据处理单元113、第二数据处理单元115、第三数据处理单元117、显示器201以及操作控制器203。所示输入设备为键盘205及鼠标207。数据处理设备103包括通信接口111。

第三数据处理单元117可配置为对显示器201和操作控制器203进行控制。如此，可防止外围设备101或数据处理设备103对显示器201或操作控制器203造成影响，例如抑制显示信号或模拟操作控制器203的动作功能。

显示器201可配置为在接收数据(例如键盘205或鼠标207的输入)传输至第二数据处理单元115前，提示用户启动操作控制器203或启动所连输入设备的操作控制功能。如此，用户可允许通过中间模块100将接收数据传输至数据处理设备103。

当外围设备101为如图2所示的输入设备时，中间模块100可提示用户启动特定的按键组合，例如在键盘205上或鼠标207上同时按下一个以上的按键。与所需按下的输入设备的按键相关的信息可存储于第三数据处理单元117内。在第一数据处理单元113对相关按键组合的启动信息进行注册后，第三数据处理单元117即可将所述接收数据从外围设备101传输至第二数据处理单元115。

中间模块100可包括连接额外外围设备的额外通信接口，其中，该额外通信接口可连接至第一数据处理单元113，第二数据处理单元115可配置为对额外功能进行模拟，以同时操作具有不同功能的额外外围设备。第三数据处理单元117可配置为根据额外预设传输规则对来自所述额外外围设备的接收数据进行检验，而且仅在当该额外传输规则满足时，才将所述接收数据传输至所述第二数据处理单元，以供其进一步传输至所述数据处理设备。在此情况下，该第三数据处理单元可配置为向具有不同功能的外围设备应用不同的传输规则。

图3为未经中间模块100连接至数据处理设备103的外围设备101的示意图。

数据处理设备103的通信接口111连接至外围设备101的通信接口107。外围设备101的隐藏存储器125内的非所需数据127可传输至数据处理设备103。此外，图3中的外围设备101可以为具有隐藏非所需功能(如键盘功能)的存储设备。数据处理设备103可能无法将该键盘功能识别为非所需功能。图3中未示出的中间模块100可保护数据处理设备103免受此类非所需访问尝试的侵扰。

以上参考附图对本发明的各个方面和实施方式进行了描述，其中，相同元件总体采用相同附图标记标示。在以上描述中，以例示目的给出许多具体细节，以使得本发明的一个或多个方面能过够被彻底理解。然而，对于本领域技术人员而言容易理解的是，一个或多个方面或实施方式也可以更少的细节得以实施。在其他情况下，为了简化对一个或多个方面或实施方式的描述，已知结构和元件在附图中以示意形式示出。显然，在不脱离本发明的构思的情况下，还可使用其他实施方式，并作出结构或逻辑上的修改。