CN105303081A - 一种主机可靠识别usb主控芯片身份标识的方法及系统 - Google Patents
一种主机可靠识别usb主控芯片身份标识的方法及系统 Download PDFInfo
- Publication number
- CN105303081A CN105303081A CN201510226630.5A CN201510226630A CN105303081A CN 105303081 A CN105303081 A CN 105303081A CN 201510226630 A CN201510226630 A CN 201510226630A CN 105303081 A CN105303081 A CN 105303081A
- Authority
- CN
- China
- Prior art keywords
- usb
- control chip
- main control
- certificate
- main frame
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Systems (AREA)
Abstract
本发明公开了一种主机可靠识别USB主控芯片身份标识的方法及系统,该方法包括:在USB主控制器和USB设备的主控芯片之间设置一个身份验证与通讯控制单元,在主机正常访问USB设备之前,验证插入设备中USB主控芯片的身份标识,即验证主控芯片设备证书的有效性;所述USB主控芯片设备证书是由主管机构,或公共CA及其授权机构,或设备生产厂商发的签名证书;所述身份验证与通讯控制单元通过调用算法,验证所述USB主控芯片的设备证书,当证书有效时,主机可正常访问USB设备,当证书无效时,停止运行USB设备。本发明通过对USB主控芯片的身份标识进行验证,建立了主机与设备之间可控的传输通道,防止非法设备访问主机。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及一种主机可靠识别USB主控芯片身份标识的方法及系统。
背景技术
今天,计算机通信已经成为当今工业发展的一个重要方向。USB的出现在主机和设备之间建立了一条快速的传输通道,拓展了计算机的应用范围,给用户带来了极大的方便。然而这种通信机制并非都是安全可靠的,一些用户将带有恶意代码的USB设备插入到计算机主机上,这些代码对计算机系统进行主动攻击,破坏了计算机数据的安全性及完整性,严重危害了用户的信息安全,从而形成了从USB设备到计算机,从多个计算机再到多个USB的扩散感染模型。
由于计算机、操作系统体系和USB协议的设计缺陷,导致目前无法通过软件手段对上述攻击方法进行防御,对全球的计算机系统,包括工业和国家基础设施的自控系统,都构成了迫在眉睫的严重威胁。
为了解决现有技术中存在的问题,我们专门设计了一种主机可靠识别USB主控芯片身份标识的方法及系统,通过身份验证与通讯控制单元对USB主控芯片的身份标识进行可靠识别和安全认证,用以确保连接到主机的USB设备是安全可信的,防御恶意代码攻击计算机主机系统,保护主机在与USB设备会话时的安全性。
发明内容
为了克服上述现有技术的不足,本发明一种主机可靠识别USB主控芯片身份标识的方法及系统,通过身份验证与通讯控制单元对USB主控芯片的设备证书进行验证,用以确保连接到主机的USB设备是安全可信的,防御恶意代码攻击计算机主机系统。
本发明所采用的技术方案是这样实现的:
该方法包括:在USB主控制器和USB设备的主控芯片之间设置一个身份验证与通讯控制单元,在主机正常访问USB设备之前,验证所插入设备中USB主控芯片的身份标识,即验证主控芯片设备证书的有效性;所述USB主控芯片设备证书是由主管机构,或信任的公共CA机构及其授权机构,或设备生产厂商自行签发的含有签名的证书;所述身份验证与通讯控制单元通过调用算法,验证所述USB主控芯片的设备证书,当证书有效时,主机可正常访问USB设备,当证书无效时,停止运行USB设备。
优选的是,所述身份验证与通讯控制单元的位置还可以在USBHUB上、PC机的主板上、USB主控芯片内。
优选的是,验证所述主控芯片设备证书,包括证书的生效日期、失效日期、数字签名、签发机构以及证书中包含的主控芯片设备固件的哈希值。
优选的是,所述的一种主机可靠识别USB主控芯片身份标识的方法,包括如下步骤:
a.系统上电;
b.等待USB设备插入,在本步骤中,系统USB总线与设备USB总线处于断开状态;
c.待设备插入后,验证设备身份,主机请求USB设备提供可验证的身份信息,即所述身份验证与通讯控制单元通过调用算法,验证所述USB主控芯片设备证书的有效性,当证书有效时,主机可以正常访问USB设备,当证书无效时,停止运行,设备拔出,继续等待设备插入;
d.设备身份可信后,所述身份验证与通讯控制单元建立系统USB总线与设备USB总线之间的连接;
e.主机正常访问USB设备。
优选的是,所述身份验证与通讯控制单元调用的算法包括非对称公私钥算法、数字摘要算法。
相应地,本发明还提供了一种主机可靠识别USB主控芯片身份标识的系统,包括:USB主控制器、身份验证与通讯控制单元、USB设备;所述USB设备通过所述USB主控制器与主机之间建立通信传输;所述USB设备主控芯片内置设备证书,该证书是由主管机构,或信任的公共CA机构及其授权机构,或设备生产厂商自行签发的含有签名的证书;所述身份验证与通讯控制单元通过系统USB总线与USB主控制器相连接,通过设备USB总线与USB设备相连接,是主机和USB设备之间的安全闸口,用于向主机传送安全的数据流;所述身份验证与通讯控制单元验证USB主控芯片的身份标识,即验证主控芯片设备证书的有效性,当设备证书有效时,所述身份验证与通讯控制单元建立系统USB总线与设备USB总线之间的连接,主机可以正常访问USB设备,当设备证书无效时,所述身份验证与通讯控制单元断开系统USB总线与设备USB总线之间的连接,停止主机访问USB设备。
本发明的有益效果是:一种主机可靠识别USB主控芯片身份标识的方法及系统,通过身份验证与通讯控制单元对USB主控芯片的设备证书进行验证,用以确保连接到主机的USB设备是安全可信的,从而达到主机和USB设备之间数据安全传输的目的,防御恶意代码攻击计算机主机系统。
附图说明
图1是一种主机可靠识别USB主控芯片身份标识的系统示意图;
图2是一种主机可靠识别USB主控芯片身份标识的方法流程图。
具体实施方式
下面结合附图对本发明进一步说明。如上所述,本发明提供了一种主机可靠识别USB主控芯片身份标识的方法及系统,主机通过身份验证与通讯控制单元检查插入的USB设备的安全性,有效的保护了主机系统。
如图1所示,本发明提供了一种主机可靠识别USB主控芯片身份标识系统,该系统包括:USB主控制器、身份验证与通讯控制单元、USB主控芯片;所述USB主控制器是USB系统与主机之间的接口,它被集成在主机系统中,提供一个根结点(RootHUB),可以直接与USB设备相连,也可以连接USBHUB,通过USBHUB来扩展接口,实现主机与设备之间的数据传输;所述身份验证与通讯控制单元通过系统USB总线与USB主控制器相连接,通过设备USB总线与USB设备主控芯片相连接,即连接了USB主控制器和USB设备主控芯片,是主机和USB设备之间的安全闸口;所述USB主控芯片内置设备证书,该证书由主管机构,或信任的公共CA机构及其授权机构,或设备生产厂商自行签发的含有签名的证书。
具体的,一种主机可靠识别USB主控芯片身份标识系统,即主机通过身份验证与通讯控制单元检查插入的USB主控芯片设备证书的有效性,从而控制外部USB设备对主机的访问,防御恶意代码的攻击,确保主机的安全。所述身份验证与通讯控制单元通过调用算法,用以验证所述USB主控芯片设备证书的有效性,当USB主控芯片设备证书有效时,所述身份验证与通讯控制单元建立系统USB总线与设备USB总线之间的连接,主机可以正常访问USB设备,当USB主控芯片设备证书无效时,所述身份验证与通讯控制单元断开系统USB总线与设备USB总线之间的连接,停止主机访问USB设备。
如图2所示,本发明提供了一种主机可靠识别USB主控芯片身份标识的方法,在USB主控制器和USB设备的主控芯片之间设置一个身份验证与通讯控制单元,在主机正常访问USB设备之前,验证所插入设备中USB主控芯片的身份标识,即验证主控芯片设备证书的有效性,当USB主控芯片设备证书有效时,主机可以正常访问USB设备,当USB主控芯片设备证书无效时,断开信号,停止运行。
具体的,所述的一种主机可靠识别USB主控芯片身份标识的方法,该方法包括如下步骤:
步骤S201,系统上电;
步骤S202,等待USB设备插入,在本步骤中,系统USB总线与设备USB总线处于断开状态;
步骤S203,待设备插入后,验证设备身份,主机请求USB设备提供可验证的身份信息,即所述身份验证与通讯控制单元通过调用的算法,验证所述USB主控芯片设备证书的有效性,当证书有效时,主机可以正常访问USB设备,当证书无效时,停止运行,设备拔出,继续等待设备插入;
步骤S204,设备身份可信后,所述身份验证与通讯控制单元建立系统USB总线与设备USB总线之间的连接,实现主机与设备之间的数据传输;
步骤S205,主机正常访问USB设备。
综上所述,本发明提供了一种主机可靠识别USB主控芯片身份标识的方法及系统,在USB主控制器和USB设备之间设置一个身份验证与通讯控制单元,在主机正常访问USB设备之前,验证所插入设备中USB主控芯片的身份标识,即验证主控芯片设备证书的有效性。验证所述主控芯片设备证书,包括证书的生效日期、失效日期、数字签名、签发机构以及证书中包含的主控芯片设备固件的哈希值等信息。所述身份验证与通讯控制单元调用的算法包括非对称公私钥算法、数字摘要算法等。当USB主控芯片设备证书有效时,主机可以正常访问USB设备,当USB主控芯片设备证书无效时,断开信号,停止运行,有效地保护了主机的安全。
最后应当说明的是,很显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型。
Claims (6)
1.一种主机可靠识别USB主控芯片身份标识的方法,其特征在于,该方法包括:在USB主控制器和USB设备的主控芯片之间设置一个身份验证与通讯控制单元,在主机正常访问USB设备之前,验证所插入设备中USB主控芯片的身份标识,即验证主控芯片设备证书的有效性;所述USB主控芯片设备证书是由主管机构,或信任的公共CA机构及其授权机构,或设备生产厂商自行签发的含有签名的证书;所述身份验证与通讯控制单元通过调用算法,验证所述USB主控芯片的设备证书,当证书有效时,主机可正常访问USB设备,当证书无效时,停止运行USB设备。
2.根据权利要求1所述的一种主机可靠识别USB主控芯片身份标识的方法,其特征在于,所述身份验证与通讯控制单元的位置还可以在USBHUB上、PC机的主板上、USB主控芯片内。
3.根据权利要求1所述的一种主机可靠识别USB主控芯片身份标识的方法,其特征在于,验证所述主控芯片设备证书,包括证书的生效日期、失效日期、数字签名、签发机构以及证书中包含的主控芯片设备固件的哈希值。
4.根据权利要求1所述的一种主机可靠识别USB主控芯片身份标识的方法,其特征在于,包括如下步骤:
a.系统上电;
b.等待USB设备插入,在本步骤中,系统USB总线与设备USB总线处于断开状态;
c.待设备插入后,验证设备身份,主机请求USB设备提供可验证的身份信息,即所述身份验证与通讯控制单元通过调用算法,验证所述USB主控芯片设备证书的有效性,当证书有效时,主机可以正常访问USB设备,当证书无效时,停止运行,设备拔出,继续等待设备插入;
d.设备身份可信后,所述身份验证与通讯控制单元建立系统USB总线与设备USB总线之间的连接;
e.主机正常访问USB设备。
5.根据权利要求1所述的一种主机可靠识别USB主控芯片身份标识的方法,其特征在于,所述身份验证与通讯控制单元调用的算法包括非对称公私钥算法、数字摘要算法。
6.一种主机可靠识别USB主控芯片身份标识的系统,其特征在于,包括:USB主控制器、身份验证与通讯控制单元、USB设备;所述USB设备通过所述USB主控制器与主机之间建立通信传输;所述USB设备主控芯片内置设备证书,该证书是由主管机构,或信任的公共CA机构及其授权机构,或设备生产厂商自行签发的含有签名的证书;所述身份验证与通讯控制单元通过系统USB总线与USB主控制器相连接,通过设备USB总线与USB设备相连接,是主机和USB设备之间的安全闸口,用于向主机传送安全的数据流;所述身份验证与通讯控制单元验证USB主控芯片的身份标识,即验证主控芯片设备证书的有效性,当设备证书有效时,所述身份验证与通讯控制单元建立系统USB总线与设备USB总线之间的连接,主机可以正常访问USB设备,当设备证书无效时,所述身份验证与通讯控制单元断开系统USB总线与设备USB总线之间的连接,停止主机访问USB设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510226630.5A CN105303081A (zh) | 2015-05-07 | 2015-05-07 | 一种主机可靠识别usb主控芯片身份标识的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510226630.5A CN105303081A (zh) | 2015-05-07 | 2015-05-07 | 一种主机可靠识别usb主控芯片身份标识的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN105303081A true CN105303081A (zh) | 2016-02-03 |
Family
ID=55200342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510226630.5A Pending CN105303081A (zh) | 2015-05-07 | 2015-05-07 | 一种主机可靠识别usb主控芯片身份标识的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105303081A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105760744A (zh) * | 2016-02-04 | 2016-07-13 | 同方计算机有限公司 | 一种图像输入设备及其安全检验方法 |
CN110780900A (zh) * | 2019-10-25 | 2020-02-11 | 宁波三星医疗电气股份有限公司 | 电力采集终端升级方法、系统和电力采集终端 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051292A (zh) * | 2007-01-08 | 2007-10-10 | 中国信息安全产品测评认证中心 | 一种可信u盘、实现可信u盘安全性及其与计算机数据通信的方法 |
CN102904719A (zh) * | 2011-07-27 | 2013-01-30 | 国民技术股份有限公司 | 一种USB-key的使用方法及USB-key |
CN103475484A (zh) * | 2013-09-09 | 2013-12-25 | 深信服网络科技(深圳)有限公司 | USB key认证方法及系统 |
-
2015
- 2015-05-07 CN CN201510226630.5A patent/CN105303081A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101051292A (zh) * | 2007-01-08 | 2007-10-10 | 中国信息安全产品测评认证中心 | 一种可信u盘、实现可信u盘安全性及其与计算机数据通信的方法 |
CN102904719A (zh) * | 2011-07-27 | 2013-01-30 | 国民技术股份有限公司 | 一种USB-key的使用方法及USB-key |
CN103475484A (zh) * | 2013-09-09 | 2013-12-25 | 深信服网络科技(深圳)有限公司 | USB key认证方法及系统 |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105760744A (zh) * | 2016-02-04 | 2016-07-13 | 同方计算机有限公司 | 一种图像输入设备及其安全检验方法 |
CN110780900A (zh) * | 2019-10-25 | 2020-02-11 | 宁波三星医疗电气股份有限公司 | 电力采集终端升级方法、系统和电力采集终端 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1761837B1 (en) | System and method for secure inter-platform and intra-platform communications | |
CN104717192B (zh) | 合法性验证方法及中间服务器 | |
WO2015169158A1 (zh) | 信息保护的方法和系统 | |
CN111683103B (zh) | 信息交互方法及装置 | |
KR20170095163A (ko) | 하드웨어 디바이스 및 그 인증 방법 | |
CN105099705B (zh) | 一种基于usb协议的安全通信方法及其系统 | |
CN103843303A (zh) | 虚拟机的管理控制方法及装置、系统 | |
CN103733206B (zh) | 用于保护从在包含嵌入式控制器的平台中的键盘接收到的击键的方法和装置 | |
CN106161024B (zh) | 一种usb控制芯片级的usb设备可信认证方法及其系统 | |
CN104318179A (zh) | 基于文件重定向技术的虚拟化安全桌面 | |
CN104680061A (zh) | 一种Android环境下应用程序启动中代码签名验证的方法和系统 | |
CN105138904A (zh) | 一种访问控制方法和装置 | |
CN109358859B (zh) | 在区块链网络中安装智能合约的方法、装置及存储介质 | |
CN113849847A (zh) | 用于对敏感数据进行加密和解密的方法、设备和介质 | |
Fan et al. | An improved vTPM-VM live migration protocol | |
CN112346759A (zh) | 一种固件升级方法、装置及计算机可读存储介质 | |
KR101586048B1 (ko) | 불법 어플리케이션 차단 시스템 및 서버, 이를 위한 통신 단말기 및 불법 어플리케이션 차단 방법과 기록매체 | |
CN104601555A (zh) | 可信虚拟云终端安全控制方法 | |
US20060005015A1 (en) | System and method for secure inter-platform and intra-platform communications | |
CN105205376A (zh) | 基于Android系统的指纹登录智能应用程序的方法 | |
CN105303081A (zh) | 一种主机可靠识别usb主控芯片身份标识的方法及系统 | |
KR101107056B1 (ko) | 클라우드 컴퓨팅 환경에서 가상 머신의 보안 정보 처리 방법 | |
CN108023732B (zh) | 一种数据保护方法、装置、设备和存储介质 | |
CN109657454A (zh) | 一种基于tf密码模块的安卓应用可信验证方法 | |
CN109308407A (zh) | 电子系统中的授权操作 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160203 |