技術領域

本發明涉及通信領域，具體而言，涉及一種外部設備控制方法及裝置。

背景技術

隨著技術的發展，終端一般提供了端口來支持外部設備，例如，計算機通用串行總線(Universal?Serial?Bus,簡稱為USB)設備的應用，極大方便了信息設備快捷使用、增強了數據交換和存儲的便利性。下面以USB設備為例進行說明。USB設備雖然使用方便，但是，USB設備使用中監控與審計等信息安全問題也顯現出來。信息安全是每一個組織需要關心的重點，信息安全無處不在。

發明人發現，相關技術中的系統沒有對終端外設權限進行分級控制，是所有USB外設全部在終端可讀寫、可掛載、可映射。這種處理方式對終端造成了巨大的安全隱患，非授權用戶可以通過USB外設對終端進行非法操作，輕者系統不能正常工作，更為嚴重的是資料的泄密。

因此，在相關技術中存在著對外部設備沒有進行權限控制導致系統安全性較低的問題。

發明內容

本發明提供了一種外部設備控制方法及裝置，以至少解決相關技術中存在的對外部設備沒有進行權限控制導致系統安全性較低的問題。

根據本發明的一個方面，提供了一種外部設備控制方法，包括：從終端的端口接收到用于指示外部設備連接到所述端口的消息；根據控制規則確定所述外部設備在所述終端上的權限；根據所述權限對所述外部設備進行控制。

優選地，所述外部設備在所述終端上的權限包括以下至少之一：是否允許所述外部設備掛載在所述終端上、是否允許所述外部設備映射到所述終端上運行的虛擬機上、所述外部設備在掛載在所述終端和/或映射到所述虛擬機上之后的讀寫權限。

優選地，所述控制規則包括以下至少之一：根據所述端口的信息確定所述外部設備在所述終端上的權限；根據所述消息中攜帶的所述外部設備的信息確定所述外部設備在所述終端上的權限；根據所述終端上操作系統登錄的用戶或者該用戶所屬的用戶組確定所述外部設備在所述終端上的權限；根據所述終端上運行虛擬機上的操作系統登錄的用戶或者該用戶所屬的用戶組確定所述外部設備在所述終端上的權限。

優選地，所述消息中攜帶的所述外部設備的信息包括以下至少之一：所述外部設備的廠商標識VID、所述外部設備的產品標識PID、所述外部設備的基類Class、所述外部設備的子類Subclass、所述外部設備的協議。

優選地，所述控制規則是在所述終端本地制定的，和/或，所述控制規則是由遠程控制端下發的。

優選地，所述方法還包括：接收到來自所述遠程控制端的查詢消息；根據所述查詢消息上報所述終端的端口信息和/或所述終端的端口上連接的外部設備的信息。

優選地，從所述終端的端口接收到用于指示所述外部設備連接到所述端口的消息包括：初始化套接字綁定所述終端本地的端口，其中，所述套接字為非阻塞的套接字；建立線程，并通過所述線程接收所述消息。

根據本發明的另一方面，提供了一種外部設備控制裝置，包括：第一接收模塊，用于從終端的端口接收到用于指示外部設備連接到所述端口的消息；確定模塊，用于根據控制規則確定所述外部設備在所述終端上的權限；控制模塊，用于根據所述權限對所述外部設備進行控制。

優選地，所述外部設備在所述終端上的權限包括以下至少之一：是否允許所述外部設備掛載在所述終端上、是否允許所述外部設備映射到所述終端上運行的虛擬機上、所述外部設備在掛載在所述終端和/或映射到所述虛擬機上之后的讀寫權限。

優選地，所述控制規則包括以下至少之一：根據所述端口的信息確定所述外部設備在所述終端上的權限；根據所述消息中攜帶的所述外部設備的信息確定所述外部設備在所述終端上的權限；根據所述終端上操作系統登錄的用戶或者該用戶所屬的用戶組確定所述外部設備在所述終端上的權限；根據所述終端上運行虛擬機上的操作系統登錄的用戶或者該用戶所屬的用戶組確定所述外部設備在所述終端上的權限。

優選地，在所述外部設備為通用串行總線USB設備的情況下，所述消息中攜帶的所述外部設備的信息包括以下至少之一：所述外部設備的廠商標識VID、所述外部設備的產品標識PID、所述外部設備的基類Class、所述外部設備的子類Subclass、所述外部設備的協議。

優選地，所述控制規則是在所述終端本地制定的，和/或，所述控制規則是由遠程控制端下發的。

優選地，所述裝置還包括：第二接收模塊，用于接收到來自所述遠程控制端的查詢消息；上報模塊，用于根據所述查詢消息上報所述終端的端口信息和/或所述終端的端口上連接的外部設備的信息。