包括人脸信息验证的外接式终端防护设备及防护系统技术方案

一种包括人脸信息验证的外接式终端防护设备及防护系统。该外接式终端防护设备包括：若干对外接口，用于分别连接一或多个外部设备及被保护设备；人脸信息采集模块，用于实时采集使用用户的人脸信息；文件监控模块，与人脸信息采集模块连接，用于验证人脸信息，还用于控制对外接口所接入的外部设备的安全鉴权；文件传输模块，与文件监控模块连接，用于在文件监控模块的控制下将外部设备导入的文件数据传输到被保护设备中。本发明专利技术能够实现无需在被保护设备上安装安全防护软件即可达到对被保护设备进行安全防护的目的，且通过人脸识别方式确定当前操作人员的使用权限，极大地降低了系统安全风险，全面解决了各接口可能产生的安全隐患。

【技术实现步骤摘要】
包括人脸信息验证的外接式终端防护设备及防护系统
本专利技术属于计算机安全
，具体涉及一种包括人脸信息验证的外接式终端防护设备及防护系统。
技术介绍
近些年，计算机及信息技术获得高速发展，从而大大促进了网络的普及，当人们日益享受这计算机及信息技术带来的便利的同时，也为生产/生活中人们所使用的计算机中的数据安全带来了新的威胁，例如常见的有非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒和中间人窃听等等。解决内网安全问题的技术手段已有很多，例如在主机中安装和使用防火墙、防病毒、入侵检测系统等网络安全产品，但采取上述措施后各种网络安全事件仍频频发生。据统计，计算机犯罪的70％是由内部人员非法使用主机等关键资源造成的，真正来自外部的威胁只有30％，内部人员在使用主机时缺乏安全意识，又位于防火墙后端，接入各种外部设备不规范，以及系统的误操作或者蓄意的破坏，都会对机关、企事业单位等造成恶劣的影响甚至重大损失。同时，对于某些特殊设备，如配备有特殊软件控制的主机，某些工业领域的工程师站/工作员站的设备，这些主机/设备往往由于系统特殊性，市面上没有此类系统适配的安全防护软件，或是由于安装安全类软件容易导致主机原有软件出现兼容性问题，甚至性能受到影响。另外这些工程师站/工作员站的主机上线后基本不会对操作系统进行升级，即使安装安全类软件后也往往不及时更新防恶意代码软件版本和恶意代码库，起不到全面的安全防护作用。此外，对于一些外接式防护设备，也因为缺乏对于特定使用用户的识别能力，而容易被非授权用户进行破解入侵或盗用，导致相关外接式防护设备不具备私密防护性。
技术实现思路
基于此，本专利技术的主要目的在于提供一种外接式终端防护设备及防护系统，以期至少部分地解决上述技术问题中的至少之一。为了实现上述目的，作为本专利技术的第一方面，提供了一种包括人脸信息验证的外接式终端防护设备，包括：若干对外接口，用于分别连接一或多个外部设备及被保护设备；人脸信息采集模块，用于实时采集使用用户的人脸信息，所述人脸信息包括使用用户的人脸图像；文件监控模块，与所述人脸信息采集模块连接，用于验证所述人脸信息，还用于控制所述对外接口所接入的外部设备的安全鉴权；文件传输模块，与所述文件监控模块连接，用于在所述文件监控模块的控制下将外部设备导入的文件数据传输到所述被保护设备中。作为本专利技术的第二方面，还提供了一种防护系统，包括：一个或多个外部设备；被保护设备；以及如上所述的外接式终端防护设备，其中，所述外接式终端防护设备外接于所述被保护设备上，使得所述一个或多个外部设备通过所述外接式终端防护设备与所述被保护设备进行接口通信。基于上述技术方案可知，本专利技术的外接式终端防护设备及防护系统相对于现有技术至少具有如下一种或多种技术效果：本专利技术的外接式终端防护设备可以实现对被保护设备各个数据接口的接管，确保使用被保护设备各个接口的数据通信都通过外接式终端完成，且通过多种验证方式确定当前操作人员的使用权限，从而实现无需在被保护设备上安装安全防护软件即可达到对被保护设备进行安全防护的目的，并且极大降低了系统安全风险，全面解决了由各个接口可能产生的安全隐患；本专利技术的外接式终端防护设备还能够避免被非授权用户非法入侵和盗用。附图说明图1为本专利技术一实施例的包括人脸信息验证的外接式终端防护设备的应用场景示意图；图2为本专利技术一实施例的包括人脸信息验证的外接式终端防护设备的内部构造示意图。具体实施方式下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本专利技术的示例性实施例，然而应当理解，可以以各种形式实现本专利技术而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本专利技术，并且能够将本专利技术的范围完整的传达给本领域的技术人员。本文中术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。本专利技术公开了一种包括人脸信息验证的外接式终端防护设备，包括：若干对外接口，用于分别连接一或多个外部设备及被保护设备；人脸信息采集模块，用于实时采集使用用户的人脸信息，所述人脸信息包括使用用户的人脸图像；其中，该人脸信息采集模块例如包括一人脸图像采集装置，例如一带显示器的黑白或彩色摄像头，或人像采集打卡装置，其中可以通过显示屏中的虚拟轮廓线提示使用用户将其头像置于该虚拟轮廓线内。此外，由于本专利技术的外接式终端防护设备也可以做得特别小巧，其上可以不带显示器，从而并不能反馈该人脸信息采集模块是否采集到完整的人脸信息，只能通过预先规定摄像头与使用用户的相对位置，例如使用用户需要站在摄像头前30～40厘米左右的位置处，来确保完整的将使用用户的人脸信息采集。或者，也可以根据人脸信息采集模块对采集的人脸信息中一些特定部位的识别，例如发际线位置、眉毛位置、嘴唇位置、下巴位置的识别，判断该使用用户的人脸轮廓是否超出了采集图像的边缘，并发出警告信息，提示使用用户上移或下移该摄像头。文件监控模块，与所述人脸信息采集模块连接，用于验证所述人脸信息，还用于控制所述对外接口所接入的外部设备的安全鉴权；文件传输模块，与所述文件监控模块连接，用于在所述文件监控模块的控制下将外部设备导入的文件数据传输到所述被保护设备中。根据本专利技术的优选实施方式，所述文件监控模块包括：身份信息存储单元，用于临时存储使用用户的人脸信息；身份识别单元，用于验证所述使用用户的人脸信息是否满足预设的访问权限。根据本专利技术的优选实施方式，所述身份信息存储单元还用于预存储满足访问权限用户的身份信息，所述身份信息包括人脸信息。根据本专利技术的优选实施方式，当所述对外接口接入外部设备时，所述身份识别单元将从所述使用用户采集到的人脸信息与预存储的满足访问权限的用户身份信息中的人脸信息进行匹配，若匹配成功则该用户满足访问权限。根据本专利技术的优选实施方式，所述文件监控模块还包括：数据检测单元，用于检测所述外部设备存储的文件数据是否满足预设的安全条件；数据存储单元，用于存储通过安全鉴权的文件数据。根据本专利技术的优选实施方式，所述数据存储单元与所述身份识别单元连接，在所述数据存储单元接收通过安全鉴权的文件数据前，所述身份识别单元向所述人脸信息采集模块发送采集人脸信息的请求，并验证该用户的用户身份信息是否满足文件传输权限。根据本专利技术的优选实施方式，所述文件监控模块还包括：文件服务单元，用于管理所述数据存储单元存储的文件数据，并将与所述存储的文件数据对应的索引信息发送到所述文件传输模块。根据本专利技术的优选实施方式，所述文件监控模块还包括：控制单元，用于实现如下控制逻辑：若所述外部设备未通过本文档来自技高网...

【技术保护点】
1.一种包括人脸信息验证的外接式终端防护设备，其特征在于，包括：/n若干对外接口，用于分别连接一或多个外部设备及被保护设备；/n人脸信息采集模块，用于实时采集使用用户的人脸信息，所述人脸信息包括使用用户的人脸图像；/n文件监控模块，与所述人脸信息采集模块连接，用于验证所述人脸信息，还用于控制所述对外接口所接入的外部设备的安全鉴权；/n文件传输模块，与所述文件监控模块连接，用于在所述文件监控模块的控制下将外部设备导入的文件数据传输到所述被保护设备中。/n

【技术特征摘要】
1.一种包括人脸信息验证的外接式终端防护设备，其特征在于，包括：
若干对外接口，用于分别连接一或多个外部设备及被保护设备；
人脸信息采集模块，用于实时采集使用用户的人脸信息，所述人脸信息包括使用用户的人脸图像；
文件监控模块，与所述人脸信息采集模块连接，用于验证所述人脸信息，还用于控制所述对外接口所接入的外部设备的安全鉴权；
文件传输模块，与所述文件监控模块连接，用于在所述文件监控模块的控制下将外部设备导入的文件数据传输到所述被保护设备中。


2.如权利要求1所述的外接式终端防护设备，其特征在于，所述文件监控模块包括：
身份信息存储单元，用于临时存储采集到的使用用户的人脸信息；
身份识别单元，用于验证所述使用用户的人脸信息是否满足预设的访问权限。


3.如权利要求2所述的外接式终端防护设备，其特征在于，所述身份信息存储单元还用于预先存储满足访问权限用户的身份信息，所述身份信息包括人脸信息。


4.如权利要求3所述的外接式终端防护设备，其特征在于，当所述对外接口接入外部设备时，所述身份识别单元将从所述使用用户采集到的人脸信息与预存储的满足访问权限的用户身份信息中的人脸信息进行匹配，若匹配成功则该用户满足访问权限。


5.如权利要求4所述的外接式终端防护设备，其特征在于，所述文件监控模块还包括：
数据检测单元，用于检测所述外部设备存储的文件数据是否满足预设的安全条件；
数据存储单元，用于存储通过安全鉴权的文件数据。


6.如权利要求5所述的外接式终端防护设备，其特征...

【专利技术属性】
技术研发人员：褚峨维，张昊，张春然，
申请(专利权)人：北京中科麒麟信息工程有限责任公司，
类型：发明
国别省市：北京;11