一种USB设备权限确定方法、装置、设备和介质

技术领域

本申请涉及信息安全技术领域，尤其涉及一种USB设备权限确定方法、装置、设备和介质。

背景技术

USB设备是目前应用较多的移动存储设备，在使用的过程中，容易出现信息泄露的问题。而在公安等政府机关、能源部门等坐席系统中，特别注重信息安全，需加强对USB设备安全的管控，防止非法USB设备的使用导致系统信息的泄露或病毒入侵。

因此，提供一种安全、可靠的USB设备权限管控方法是本领域亟需解决的技术问题。

发明内容

本申请提供了一种USB设备权限确定方法、装置、设备和介质，用于解决非法USB设备的使用导致坐席系统信息的泄露或病毒入侵的技术问题。

有鉴于此，本申请第一方面提供了一种USB设备权限确定方法，包括：

通过盒子程序检测坐席系统是否有USB设备接入，若是，则通过所述盒子程序获取所述USB设备的设备信息；

通过所述盒子程序根据公钥对所述设备信息进行加密处理，将得到的加密数据上传至所述坐席系统中的主控端；

通过所述主控端根据私钥对所述加密数据进行解密得到所述设备信息，并通过所述主控端根据所述设备信息和当前登录用户的身份信息计算待认证值；

通过所述主控端将所述待认证值与存储的认证值进行比对，得到所述USB设备的验证结果，所述认证值通过目标USB设备的设备信息计算得到；

通过所述主控端将所述验证结果发送至所述盒子程序，使得所述盒子程序根据所述验证结果确定所述USB设备的权限。

可选的，所述公钥和所述私钥的配置过程为：

通过SSH脚本生成所述坐席系统中的配置客户端的所述公钥和所述私钥；

通过所述配置客户端将所述公钥发送至所述主控端和所述盒子程序；

在所述盒子程序升级时，将所述私钥上传至所述主控端。

可选的，所述认证值的配置过程为：

以管理员身份登录所述坐席系统中的配置客户端，当通过所述盒子程序检测到所述目标USB设备接入时，获取所述目标USB设备的设备信息；

根据所述目标USB设备的设备信息和所述管理员的身份信息进行加密处理，得到所述认证值；

通过所述配置客户端将所述认证值发送至所述主控端进行存储。

可选的，所述待认证值或所述认证值的计算过程为：

将所述设备信息和所述身份信息分别转换为base64字符串，得到设备字符串和身份字符串，所述身份信息包括人脸信息和指纹信息；

将所述设备字符串和所述身份字符串中相同位置的字符ASCII值作为采样值，将所述采样值代入预置公式计算得到所述待认证值或所述认证值，所述预置公式为：

其中，x、y、z分别为人脸信息、指纹信息和设备信息对应的采样值，P、Q和R为预置调节参数。

可选的，所述将所述设备信息和所述身份信息分别转换为base64字符串，得到设备字符串和身份字符串，之后还包括：

从所述设备字符串和所述身份字符串中分别选取目标位置处预置长度的字符串作为目标设备字符串和目标身份字符串；

所述将所述设备字符串和所述身份字符串中相同位置的字符ASCII值作为采样值，将所述采样值代入预置公式计算得到所述待认证值或所述认证值，包括：

将所述目标设备字符串和所述目标身份字符串中相同位置的字符ASCII值作为采样值，将所述采样值代入预置公式计算得到所述待认证值或所述认证值。

本申请第二方面提供了一种USB设备权限确定装置，包括：

检测单元，用于通过盒子程序检测坐席系统是否有USB设备接入，若是，则通过所述盒子程序获取所述USB设备的设备信息；

加密单元，用于通过所述盒子程序根据公钥对所述设备信息进行加密处理，将得到的加密数据上传至所述坐席系统中的主控端；

解密和计算单元，用于通过所述主控端根据私钥对所述加密数据进行解密得到所述设备信息，并通过所述主控端根据所述设备信息和当前登录用户的身份信息计算待认证值；

比对单元，用于通过所述主控端将所述待认证值与存储的认证值进行比对，得到所述USB设备的验证结果，所述认证值通过目标USB设备的设备信息计算得到；

发送单元，用于通过所述主控端将所述验证结果发送至所述盒子程序，使得所述盒子程序根据所述验证结果确定所述USB设备的权限。

可选的，所述认证值的配置过程为：

以管理员身份登录所述坐席系统中的配置客户端，当通过所述盒子程序检测到所述目标USB设备接入时，获取所述目标USB设备的设备信息；

根据所述目标USB设备的设备信息和所述管理员的身份信息进行加密处理，得到所述认证值；

通过所述配置客户端将所述认证值发送至所述主控端进行存储。

可选的，所述待认证值或所述认证值的计算过程为：

将所述设备信息和所述身份信息分别转换为base64字符串，得到设备字符串和身份字符串，所述身份信息包括人脸信息和指纹信息；

将所述设备字符串和所述身份字符串中相同位置的字符ASCII值作为采样值，将所述采样值代入预置公式计算得到所述待认证值或所述认证值，所述预置公式为：

其中，x、y、z分别为人脸信息、指纹信息和设备信息对应的采样值，P、Q和R为预置调节参数。

本申请第三方面提供了一种USB设备权限确定设备，所述设备包括处理器以及存储器；

所述存储器用于存储程序代码，并将所述程序代码传输给所述处理器；

所述处理器用于根据所述程序代码中的指令执行第一方面任一种所述的USB设备权限确定方法。

本申请第四方面提供了一种计算机可读存储介质，所述计算机可读存储介质用于存储程序代码，所述程序代码用于执行第一方面任一种所述的USB设备权限确定方法。

从以上技术方案可以看出，本申请具有以下优点：

本申请提供了一种USB设备权限确定方法，包括：通过盒子程序检测坐席系统是否有USB设备接入，若是，则通过盒子程序获取USB设备的设备信息；通过盒子程序根据公钥对设备信息进行加密处理，将得到的加密数据上传至坐席系统中的主控端；通过主控端根据私钥对加密数据进行解密得到设备信息，并通过主控端根据设备信息和当前登录用户的身份信息计算待认证值；通过主控端将待认证值与存储的认证值进行比对，得到USB设备的验证结果，所述认证值通过目标USB设备的设备信息计算得到；通过主控端将验证结果发送至盒子程序，使得盒子程序根据验证结果确定USB设备的权限。

本申请中，在盒子程序检测到坐席系统有USB设备接入时，通过公钥对该USB设备的设备信息进行加密上传至主控端，在主控端通过私钥进行解密得到设备信息，通过公钥对设备信息进行加密，保证了设备信息在传输过程中的安全性和真实性；通过主控端根据设备信息和当前登录用户的身份信息计算待认证值，通过比对待认证值和预先存储在主控端的认证值，确定该USB设备是否有使用权限，以避免非法USB设备的使用，解决了非法USB设备的使用导致坐席系统信息的泄露或病毒入侵的技术问题。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其它的附图。

图1为本申请实施例提供的一种USB设备权限确定方法的一个流程示意图；

图2为本申请实施例提供的一种USB设备权限确定方法的另一个流程示意图；

图3为本申请实施例提供的一种USB设备权限确定装置的一个结构示意图。

具体实施方式

本申请提供了一种USB设备权限确定方法、装置、设备和介质，用于解决非法USB设备的使用导致坐席系统信息的泄露或病毒入侵的技术问题。

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

为了便于理解，请参阅图1，本申请提供的一种USB设备权限确定方法的一个实施例，包括：

步骤101、通过盒子程序检测坐席系统是否有USB设备接入，若是，则通过盒子程序获取USB设备的设备信息。

坐席系统包括配置客户端和主控端，本申请实施例通过盒子程序检测坐席系统是否有USB设备接入，若是，则通过盒子程序获取USB设备的设备信息，设备信息可以包括该USB设备的标识、生成厂商信息、设备序列号等。

步骤102、通过盒子程序根据公钥对设备信息进行加密处理，将得到的加密数据上传至坐席系统中的主控端。

为了保证设备信息在传输过程中的安全性和真实性，本申请实施例中的盒子程序根据公钥对设备信息进行加密处理得到加密数据，然后将该加密数据上传至坐席系统中的主控端。

步骤103、通过主控端根据私钥对加密数据进行解密得到设备信息，并通过主控端根据设备信息和当前登录用户的身份信息计算待认证值。

在主控端接收到加密数据后，通过私钥对该加密数据进行加密以获取设备信息，然后根据该设备信息和当前登录用户的身份信息计算待认证值，当前登录用户为当前登录坐席系统的用户。

进一步，公钥和私钥的配置过程为：

通过SSH脚本生成坐席系统中的配置客户端的公钥和私钥；通过配置客户端将公钥发送至主控端和盒子程序；在盒子程序升级时，将私钥上传至主控端。

因为配置客户端和主控端之间通过网络进行数据传输，为了保证数据在传输过程中的一致性和安全性，防止传输中途被第三方非法截取、篡改和伪造等，本申请实施例中的配置客户端通过第三方脚本，以SSH加密方式生成公钥和私钥，然后将公钥发送至主控端和盒子程序，以便对传输的数据进行加密。私钥通过工程人员在盒子程序升级时，将私钥升级至主控端，这样通过第三方认证人员签名保证了私钥的可靠性，从而确保数据传输的安全性。

进一步，待认证值的计算过程为：

S1、将设备信息和身份信息分别转换为base64字符串，得到设备字符串和身份字符串。

将USB设备的设备信息和当前登录用户的身份信息分别转换为base64字符串得到设备字符串和身份字符串。其中，身份信息包括人脸信息和指纹信息，相应的，身份字符串包括人脸信息字符串和指纹信息字符串。

S2、将设备字符串和身份字符串中相同位置的字符ASCII值作为采样值，将采样值代入预置公式计算得到待认证值或认证值。

进一步，在步骤S2之前还可以从设备字符串和身份字符串中分别选取目标位置处预置长度的字符串作为目标设备字符串和目标身份字符串；将目标设备字符串和目标身份字符串中相同位置的字符ASCII值作为采样值，将采样值代入预置公式计算得到待认证值。其中，预置公式为：

其中，x、y、z分别为人脸信息、指纹信息和设备信息对应的采样值，P、Q和R为预置调节参数，可以根据实际情况进行灵活的设置。

若计算得到的待认证值有小数点，可以取六位有效值作为最终的待认证值。

步骤104、通过主控端将待认证值与存储的认证值进行比对，得到USB设备的验证结果，认证值通过目标USB设备的设备信息计算得到。

在主控端计算得到待认证值后，将待认证值与预先存储在主控端的认证值进行比对，比对待认证值与认证值是否一致，若一致，得到的验证结果为验证通过，若不一致，得到的验证结果为验证不通过。其中，认证值为有授权的目标USB设备的设备信息计算得到的。

步骤105、通过主控端将验证结果发送至盒子程序，使得盒子程序根据验证结果确定USB设备的权限。

盒子程序从主控端获取当前接入USB设备的验证结果，根据该验证结果确定该USB设备是否有使用权限，当验证结果为验证通过时，该USB设备有使用权限，当验证结果为验证不通过时，该USB设备没有使用权限，为非法设备。

本申请实施例中，在盒子程序检测到坐席系统有USB设备接入时，通过公钥对该USB设备的设备信息进行加密上传至主控端，在主控端通过私钥进行解密得到设备信息，通过公钥对设备信息进行加密，保证了设备信息在传输过程中的安全性和真实性；通过主控端根据设备信息和当前登录用户的身份信息计算待认证值，通过比对待认证值和预先存储在主控端的认证值，确定该USB设备是否有使用权限，以避免非法USB设备的使用，解决了非法USB设备的使用导致坐席系统信息的泄露或病毒入侵的技术问题。

以上为本申请提供的一种USB设备权限确定方法的一个实施例，以下为本申请提供的一种USB设备权限确定方法的另一个实施例。

请参考图2，本申请实施例提供的一种USB设备权限确定方法，包括：

步骤201、通过配置客户端配置认证值，并通过配置客户端将认证值发送至主控端进行存储。

在本申请实施例中，在坐席系统正式投入用户使用前，有管理者权限的用户可以在配置客户端提前对若干个安全的目标USB设备进行授权配置。通过计算该目标USB设备的认证值，并将该认证值发送至主控端进行存储，主控端存储的认证值对应的目标USB设备即为授权的USB设备，有使用权限。认证值的配置过程为：

S2011、以管理员身份登录坐席系统中的配置客户端，当通过盒子程序检测到目标USB设备接入时，获取目标USB设备的设备信息。

配置认证值时，登录配置客户端的用户只能是管理员用户，这是对目标USB设备授权控制的第一道防线。登录时，配置客户端会进行人脸验证和指纹验证来获取管理员的身份信息(人脸信息和指纹信息)。登录后，可以接入安全的待授权的目标USB设备，当坐席系统中的盒子程序检测到目标USB设备接入时，自动获取目标USB设备的设备信息。

S2012、根据目标USB设备的设备信息和管理员的身份信息进行加密处理，得到认证值。

在配置客户端中，根据目标USB设备的设备信息和管理员的身份信息进行加密计算，得到目标USB设备唯一的认证值。认证值的计算过程与待认证值的计算过程相似，不同的是，待认证值采用的是当前登录用户的身份信息，而认证值采用的是管理员的身份信息。

S2013、通过配置客户端将认证值发送至主控端进行存储。

通过配置客户端将认证值发送至主控端进行存储，可以采用不对称加密密钥传输数据，通过公钥对认证值进行加密处理，然后再将加密后的认证值发生至主控端。在盒子程序升级时，将私钥升级至主控端，使得主控端可以通过该私钥对加密后的认证值进行解密，保证了认证值传输的安全性和真实性。

当坐席系统投入使用时，在盒子程序检测到USB设备接入时，根据坐席用户的身份信息和USB设备的设备信息计算待认证值，根据接入的USB设备的待认证值和存储的目标USB设备的认证值进行比对，以确认当前接入的USB设备是否为目标USB设备，进而确认其使用权限。

步骤202、通过盒子程序检测坐席系统是否有USB设备接入，若是，则通过盒子程序获取USB设备的设备信息。

步骤203、通过盒子程序根据公钥对设备信息进行加密处理，将得到的加密数据上传至坐席系统中的主控端。

步骤204、通过主控端根据私钥对加密数据进行解密得到设备信息，并通过主控端根据设备信息和当前登录用户的身份信息计算待认证值。

步骤205、通过主控端将待认证值与存储的认证值进行比对，得到USB设备的验证结果，认证值通过目标USB设备的设备信息计算得到。

步骤206、通过主控端将验证结果发送至盒子程序，使得盒子程序根据验证结果确定USB设备的权限。

步骤202至步骤206的具体内容与前述步骤101至步骤105的具体内容一致，在此不再进行赘述。

本申请实施例中，在盒子程序检测到坐席系统有USB设备接入时，通过公钥对该USB设备的设备信息进行加密上传至主控端，在主控端通过私钥进行解密得到设备信息，通过公钥对设备信息进行加密，保证了设备信息在传输过程中的安全性和真实性；通过主控端根据设备信息和当前登录用户的身份信息计算待认证值，通过比对待认证值和预先存储在主控端的认证值，确定该USB设备是否有使用权限，以避免非法USB设备的使用，解决了非法USB设备的使用导致坐席系统信息的泄露或病毒入侵的技术问题。

进一步，本申请实施例中，通过管理员在配置客户端对目标USB设备进行授权配置，计算目标USB设备的认证值，并在传输认证值时对其进行加密处理，保证了认证值的安全性和真实性，可以避免认证值被第三方截取和伪造。

以上为本申请提供的一种USB设备权限确定方法的另一个实施例，以下为本申请提供的一种USB设备权限确定装置的一个实施例。

请参考图3，本申请实施例提供的一种USB设备权限确定装置，包括：

检测单元，用于通过盒子程序检测坐席系统是否有USB设备接入，若是，则通过盒子程序获取USB设备的设备信息；

加密单元，用于通过盒子程序根据公钥对设备信息进行加密处理，将得到的加密数据上传至坐席系统中的主控端；

解密和计算单元，用于通过主控端根据私钥对加密数据进行解密得到设备信息，并通过主控端根据设备信息和当前登录用户的身份信息计算待认证值；

比对单元，用于通过主控端将待认证值与存储的认证值进行比对，得到USB设备的验证结果，认证值通过目标USB设备的设备信息计算得到；

发送单元，用于通过主控端将验证结果发送至盒子程序，使得盒子程序根据验证结果确定USB设备的权限。

作为进一步地改进，公钥和私钥的配置过程为：

通过SSH脚本生成坐席系统中的配置客户端的公钥和私钥；

通过配置客户端将公钥发送至主控端和盒子程序；

在盒子程序升级时，将私钥上传至主控端。

作为进一步地改进，认证值的配置过程为：

以管理员身份登录坐席系统中的配置客户端，当通过盒子程序检测到目标USB设备接入时，获取目标USB设备的设备信息；

根据目标USB设备的设备信息和管理员的身份信息进行加密处理，得到认证值；

通过配置客户端将认证值发送至主控端进行存储。

作为进一步地改进，待认证值或认证值的计算过程为：

将设备信息和身份信息分别转换为base64字符串，得到设备字符串和身份字符串，身份信息包括人脸信息和指纹信息；

将设备字符串和身份字符串中相同位置的字符ASCII值作为采样值，将采样值代入预置公式计算得到待认证值或认证值，预置公式为：

其中，x、y、z分别为人脸信息、指纹信息和设备信息对应的采样值，P、Q和R为预置调节参数。

本申请实施例中，在盒子程序检测到坐席系统有USB设备接入时，通过公钥对该USB设备的设备信息进行加密上传至主控端，在主控端通过私钥进行解密得到设备信息，通过公钥对设备信息进行加密，保证了设备信息在传输过程中的安全性和真实性；通过主控端根据设备信息和当前登录用户的身份信息计算待认证值，通过比对待认证值和预先存储在主控端的认证值，确定该USB设备是否有使用权限，以避免非法USB设备的使用，解决了非法USB设备的使用导致坐席系统信息的泄露或病毒入侵的技术问题。

进一步，本申请实施例中，通过管理员在配置客户端对目标USB设备进行授权配置，计算目标USB设备的认证值，并在传输认证值时对其进行加密处理，保证了认证值的安全性和真实性，可以避免认证值被第三方截取和伪造。

本申请实施例还提供了一种USB设备权限确定设备，设备包括处理器以及存储器；

存储器用于存储程序代码，并将程序代码传输给处理器；

处理器用于根据程序代码中的指令执行前述方法实施例中的USB设备权限确定方法。

本申请实施例还提供了一种计算机可读存储介质，计算机可读存储介质用于存储程序代码，程序代码用于执行前述方法实施例中的USB设备权限确定方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本申请各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以通过一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文全称：Read-OnlyMemory，英文缩写：ROM)、随机存取存储器(英文全称：RandomAccess Memory，英文缩写：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，以上实施例仅用以说明本申请的技术方案，而非对其限制；尽管参照前述实施例对本申请进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本申请各实施例技术方案的精神和范围。