CN105320878A - 一种基于软件/固件方式识别usb设备身份的方法 - Google Patents
一种基于软件/固件方式识别usb设备身份的方法 Download PDFInfo
- Publication number
- CN105320878A CN105320878A CN201510226513.9A CN201510226513A CN105320878A CN 105320878 A CN105320878 A CN 105320878A CN 201510226513 A CN201510226513 A CN 201510226513A CN 105320878 A CN105320878 A CN 105320878A
- Authority
- CN
- China
- Prior art keywords
- usb device
- identity
- software
- firmware
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于软件/固件方式识别USB设备身份的方法,该方法包括:USB设备插入后,主机系统要求设备报告身份信息;软件/固件验证USB设备身份信息,即验证USB主控芯片的不可抵赖、不可篡改的数字身份标识;当身份信息有效时,USB设备继续枚举,当身份信息无效时,USB设备按照安全策略处理。同现有技术相比,本发明通过在现有USB设备标准枚举流程中,在为USB设备加载驱动程序之前,采用基于软件/固件方式识别USB设备身份信息,增加了验证USB设备身份的过程,提高了主机与USB设备会话时的安全性。
Description
技术领域
本发明涉及信息安全技术领域,特别是涉及到一种基于软件/固件方式识别USB设备身份的方法。
背景技术
今天,计算机通信已经成为当今工业发展的一个重要方向。USB的出现在主机和设备之间建立了一条快速的传输通道,拓展了计算机的应用范围,给用户带来了极大的方便。通常,为了保护计算机,用户在使用USB设备时,计算机都会对USB设备进行常规验证,然而这种验证并非都是安全可靠的,即使使用安全防御软件,也不能完全阻止USB设备上携带的恶意代码攻击计算机主机系统,这些代码对计算机系统进行主动攻击,破坏了计算机数据的安全性及完整性,严重危害了用户的信息安全,从而形成了一条USB设备到多个计算机,再从多个计算机到多个USB设备的扩散感染模型。
由于计算机、操作系统体系和USB协议的设计缺陷,带来很多安全隐患。特别是,在主机正常加载USB设备驱动时,已成为大部分木马程序等非法手段攻击的对象,即使装有安全防御软件的计算机也免不了受到攻击。由此可见,在主机正常加载USB设备驱动时的安全性变得尤为重要。
为了解决现有技术中存在的问题,我们专门设计了一种基于软件/固件方式识别USB设备身份的方法,通过软件/固件方式在主机正常加载USB设备之前,对USB主控芯片的数字身份标识进行可靠识别和安全认证,提高了加载USB设备的安全性,进一步保护了主机系统的安全,防御恶意代码攻击。
发明内容
为了克服上述现有技术的不足,本发明的一种基于软件/固件方式识别USB设备身份的方法,通过软件/固件对USB主控芯片的数字身份标识进行安全检查和验证,在主机正常加载USB设备之前,对其进行了安全认证,提高了主机与USB设备会话时的安全性,防御恶意代码攻击计算机主机系统。
本发明所采用的技术方案是这样实现的:
该方法包括:步骤S11,USB设备插入后,主机系统要求设备报告身份信息;
步骤S12,软件/固件验证USB设备身份信息,即验证USB主控芯片的不可抵赖、不可篡改的数字身份标识;
步骤S13,当身份信息有效时,USB设备继续枚举,当身份信息无效时,USB设备按照安全策略处理;
该方法的目的是在现有USB设备标准枚举流程中,在为USB设备加载驱动程序之前,增加验证USB设备身份的过程,提高主机与USB设备会话时的安全性。
优选的是,所述主控芯片的不可抵赖、不可篡改的数字身份标识的存在方式可以是但不限于数字证书。
优选的是,所述的数字证书是多种密码体系下形成的数字签名证书(包括但不限于PKI、IBE/IBC、CPK体系)。
优选的是,所述安全策略处理包括:提示用户但继续枚举、警告待用户确认后继续枚举或终止、报错后终止枚举和直接终止枚举。
优选的是,所述主控芯片不可篡改、不可抵赖的数字身份标识的有效性信息,包括以下至少之一:类型信息、型号信息、版本号信息、供应商信息、数字签名信息、生效日期、失效日期。
优选的是,所述软件/固件包括:BIOS、(U)EFI、操作系统、嵌入式操作系统、片上操作系统、被定义为“固件”的软件、被定义为“固件”的操作系统。
优选的是,所述验证设备不可篡改、不可抵赖的数字身份标识通过挑战应答方式、私有密码通讯方式实现。
优选的是,所述验证设备身份标识方式过程中使用的算法,包括非对称公私钥算法、数字摘要算法。
本发明的有益效果是:一种基于软件/固件方式识别USB设备身份的方法,通过在软件/固件环境下对USB设备主控芯片的数字身份标识,进行身份检查和验证,在现有USB设备标准枚举流程中,增加验证USB设备身份的过程,提高了主机与USB设备会话时的安全性,从而达到主机和USB设备之间数据安全传输的目的。
附图说明
图1是一种基于软件/固件方式识别USB设备身份的方法流程图;
图2是一种基于软件/固件方式识别USB设备身份的方法详细流程图;
图3是安全策略处理中提示用户但继续枚举流程图;
图4是安全策略处理中警告待用户确认后继续枚举或终止流程图;
图5是安全策略处理中报错后终止枚举流程图;
图6是安全策略处理中直接终止枚举流程图。
具体实施方式
下面结合附图对本发明进一步说明。如上所述,本发明提供了一种基于软件/固件方式识别USB设备身份的方法,通过在软件/固件环境下对USB设备主控芯片的数字身份标识进行安全检查和验证,提高了主机加载USB设备的安全性,有效的保护了主机系统。
如图1所示,是本发明方法的流程图,该方法包括如下步骤:步骤S11,USB设备插入后,主机系统要求设备报告身份信息。在本较佳实施例中,所述设备身份信息为USB主控芯片的不可抵赖、不可篡改的数字身份标识;所述主控芯片的数字身份标识的存在方式可以是但不限于数字证书方式;所述的数字证书是多种密码体系下形成的数字签名证书(包括但不限于PKI、IBE/IBC、CPK体系)。
步骤S12,软件/固件验证USB设备身份信息,即验证USB主控芯片的不可抵赖、不可篡改的数字身份标识。在本较佳实施例中,所述软件/固件包括:BIOS、(U)EFI、操作系统、嵌入式操作系统、片上操作系统、被定义为“固件”的软件、被定义为“固件”的操作系统等;所述验证设备不可篡改、不可抵赖的数字身份标识通过挑战应答方式、私有密码通讯等方式实现;所述验证设备身份标识方式过程中使用的算法,包括非对称公私钥算法、数字摘要算法等。
步骤S13,当身份信息有效时,USB设备继续枚举,当身份信息无效时,USB设备按照安全策略处理;在本较佳实施例中,所述数字身份标识的有效性信息包括以下至少之一:类型信息、型号信息、版本号信息、供应商信息、数字签名信息、生效日期、失效日期等;所述安全策略处理包括:提示用户但继续枚举、警告待用户确认后继续枚举或终止、报错后终止枚举和直接终止枚举。
该实施例具体实施过程如图2所示,主机系统等待USB设备插入。待设备插入后,执行步骤S20,集线器检测到设备的插入,并中断端点报告给主机,主机获悉新设备。执行步骤S21,主机系统向集线器发送一个SetPortFeature请求,要求集线器复位端口。执行步骤S22,主机通过发送GetPortFeature请求证明设备摆脱了复位状态,便会分配一个缺省地址00h与其通讯。执行步骤S23,主机发送一个报告设备身份请求,要求设备报告身份信息,并对身份信息进行验证,即验证USB设备主控芯片的不可抵赖、不可篡改的数字身份标识。当USB设备身份信息检查和验证通过后,继续执行步骤S24,主机向地址00h发送GET-DESCRIPTOR指令包,获取设备描述符。步骤S25,主机请求集线器对设备再次复位。步骤S26,主机向缺省地址00h发送SET-ADDRESS指令包,为设备设置唯一地址。步骤S27,主机向新地址发送GET-DESCRIPTOR指令包,获取全部设备描述符。步骤S28,主机向新地址发送GET-DESCRIPTOR指令包,获取配置描述符。步骤S29,主机向新地址发送GET-DESCRIPTOR指令包,获取所有设备描述符及配置描述符。步骤S30,主机正常加载设备驱动程序。当设备身份信息检查和验证无效时,则执行步骤S31,USB设备按照安全策略处理。
如图3所示,当USB设备身份信息检查和验证通过后,继续执行步骤S24、步骤S25、步骤S26、步骤S27、步骤S28、步骤S29、步骤S30,当设备身份信息检查和验证无效时,则执行步骤S31,提示用户但继续枚举操作。
如图4所示,当USB设备身份信息检查和验证通过后,继续执行步骤S24、步骤S25、步骤S26、步骤S27、步骤S28、步骤S29、步骤S30,当设备身份信息检查和验证无效时,则执行步骤S31,警告用户,待用户确认通过后,继续枚举;待用户确认不通过后,终止枚举。
如图5所示,当USB设备身份信息检查和验证通过后,继续执行步骤S24、步骤S25、步骤S26、步骤S27、步骤S28、步骤S29、步骤S30,当设备身份信息检查和验证无效时,则执行步骤S31,设备报错后终止枚举。
如图6所示,当USB设备身份信息检查和验证通过后,继续执行步骤S24、步骤S25、步骤S26、步骤S27、步骤S28、步骤S29、步骤S30,当设备身份信息检查和验证无效时,则执行步骤S31,直接终止设备枚举。
另外,所述的步骤S23,是在现有USB设备标准枚举流程中,在为USB设备加载驱动程序之前,采用基于软件/固件方式增加的验证USB设备身份标识的流程方法,可以被广泛应用在主机加载USB设备驱动之前的任意一步,如可以放在步骤S20、S21之间,还可以放在步骤S28、S29之间。
综上所述,本发明提供了一种基于软件/固件方式识别USB设备身份的方法,在软件/固件环境下检查和验证USB设备的身份信息,即检查和验证USB设备主控芯片数字身份标识的有效性。当设备数字身份标识有效时,USB设备继续枚举,当设备数字身份标识无效时,USB设备按照安全策略处理,有效地保护了计算机主机系统的安全。
最后应当说明的是,很显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型。
Claims (8)
1.一种基于软件/固件方式识别USB设备身份的方法,其特征在于,该方法包括:
a.USB设备插入后,主机系统要求设备报告身份信息;
b.软件/固件验证USB设备身份信息,即验证USB主控芯片的不可抵赖、不可篡改的数字身份标识;
c.当身份信息有效时,USB设备继续枚举,当身份信息无效时,USB设备按照安全策略处理;
该方法的目的是在现有USB设备标准枚举流程中,在为USB设备加载驱动程序之前,增加验证USB设备身份的过程,提高主机与USB设备会话时的安全性。
2.根据权利要求1所述的方法,其特征在于,所述主控芯片的不可抵赖、不可篡改的数字身份标识的存在方式可以是但不限于数字证书。
3.根据权利要求2所述的方法,其特征在于,所述的数字证书是多种密码体系下形成的数字签名证书(包括但不限于PKI、IBE/IBC、CPK体系)。
4.根据权利要求1所述的方法,其特征在于,所述安全策略处理包括:提示用户但继续枚举、警告待用户确认后继续枚举或终止、报错后终止枚举和直接终止枚举。
5.根据权利要求1所述的方法,其特征在于,所述主控芯片不可篡改、不可抵赖的数字身份标识的有效性信息,包括以下至少之一:类型信息、型号信息、版本号信息、供应商信息、数字签名信息、生效日期、失效日期。
6.根据权利要求1所述的方法,其特征在于,所述软件/固件包括:BIOS、(U)EFI、操作系统、嵌入式操作系统、片上操作系统、被定义为“固件”的软件、被定义为“固件”的操作系统。
7.根据权利要求1所述的方法,其特征在于,所述验证设备不可篡改、不可抵赖的数字身份标识通过挑战应答方式、私有密码通讯方式实现。
8.根据权利要求7所述的方法,其特征在于,所述验证设备身份标识方式过程中使用的算法,包括非对称公私钥算法、数字摘要算法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510226513.9A CN105320878A (zh) | 2015-05-07 | 2015-05-07 | 一种基于软件/固件方式识别usb设备身份的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510226513.9A CN105320878A (zh) | 2015-05-07 | 2015-05-07 | 一种基于软件/固件方式识别usb设备身份的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105320878A true CN105320878A (zh) | 2016-02-10 |
Family
ID=55248245
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510226513.9A Pending CN105320878A (zh) | 2015-05-07 | 2015-05-07 | 一种基于软件/固件方式识别usb设备身份的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105320878A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101546363A (zh) * | 2008-03-25 | 2009-09-30 | 中芯国际集成电路制造(上海)有限公司 | 一种usb安全接入方法 |
| CN102622311A (zh) * | 2011-12-29 | 2012-08-01 | 北京神州绿盟信息安全科技股份有限公司 | Usb移动存储设备访问控制方法、装置及系统 |
| CN102904719A (zh) * | 2011-07-27 | 2013-01-30 | 国民技术股份有限公司 | 一种USB-key的使用方法及USB-key |
-
2015
- 2015-05-07 CN CN201510226513.9A patent/CN105320878A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101546363A (zh) * | 2008-03-25 | 2009-09-30 | 中芯国际集成电路制造(上海)有限公司 | 一种usb安全接入方法 |
| CN102904719A (zh) * | 2011-07-27 | 2013-01-30 | 国民技术股份有限公司 | 一种USB-key的使用方法及USB-key |
| CN102622311A (zh) * | 2011-12-29 | 2012-08-01 | 北京神州绿盟信息安全科技股份有限公司 | Usb移动存储设备访问控制方法、装置及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10242176B1 (en) | Controlled access communication between a baseboard management controller and PCI endpoints | |
| US8255930B2 (en) | Method and system for dynamically switching between different device configurations | |
| CN107567630B (zh) | 受信输入/输出设备的隔离 | |
| CN101980235B (zh) | 一种安全计算平台 | |
| US20120311207A1 (en) | Mediating communciation of a univeral serial bus device | |
| EP2181394B1 (en) | Method of protecting input/output packet of usb device and apparatus thereof | |
| JP2009544073A (ja) | コンピュータシステムの部品認証 | |
| CN103843303A (zh) | 虚拟机的管理控制方法及装置、系统 | |
| CN110096887B (zh) | 一种可信计算方法及服务器 | |
| TW201820201A (zh) | 安全的處理器晶片及終端設備 | |
| MX2010014464A (es) | Sistema y metodo para el manejo seguro de memoria. | |
| CN112181513B (zh) | 一种基于硬件板卡的控制主机系统引导的可信度量方法 | |
| TWI617946B (zh) | Device and method for safely starting embedded controller | |
| CN106612178A (zh) | 保护Android adb数据传输安全的方法及装置 | |
| CN112688942B (zh) | 基于esam的电能表固件程序升级方法、装置、介质及设备 | |
| WO2022028057A1 (zh) | 一种基于tpm服务器资产信息多层保护的装置及方法 | |
| WO2023098407A1 (zh) | Usb设备与被保护设备的通信控制方法、装置及电子设备 | |
| WO2021128988A1 (zh) | 鉴权方法和设备 | |
| US20230025979A1 (en) | Systems and methods for peripheral device security | |
| WO2020024852A1 (zh) | 一种认证方法及认证设备 | |
| CN107169318A (zh) | 一种应用程序安全保护的方法及装置 | |
| US20110047305A1 (en) | Apparatus and method for securing data of usb devices | |
| US20050210266A1 (en) | Secure device connection and operation | |
| CN104361280A (zh) | 一种通过smi中断实现对usb存储设备进行可信认证的方法 | |
| CN105320878A (zh) | 一种基于软件/固件方式识别usb设备身份的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20160210 |
|
| WD01 | Invention patent application deemed withdrawn after publication |