CN107690646B - Usb攻击保护 - Google Patents
Usb攻击保护 Download PDFInfo
- Publication number
- CN107690646B CN107690646B CN201680033529.0A CN201680033529A CN107690646B CN 107690646 B CN107690646 B CN 107690646B CN 201680033529 A CN201680033529 A CN 201680033529A CN 107690646 B CN107690646 B CN 107690646B
- Authority
- CN
- China
- Prior art keywords
- usb
- communication device
- accessory
- accessory device
- protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/82—Protecting input, output or interconnection devices
- G06F21/85—Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2213/00—Indexing scheme relating to interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
- G06F2213/0042—Universal serial bus [USB]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Mathematical Physics (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Information Transfer Systems (AREA)
Abstract
对于通信设备(CD)与附件设备(AD)之间的通用串行总线USB攻击保护,通过USB链路被插入在通信设备(CD)与附件设备(AD)之间的保护设备(PD)能够:从附件设备(AD)接收(S6)消息(Mes),消息(Mes)包括附件设备的特征字段,生成(S7)随机标识符(Rid),向通信设备(CD)发送(S8)所生成的随机标识符(Rid),通信设备(CD)基于所生成的随机标识符创建注册规则,通过包括所生成的随机标识符(Rid)来修改(S11)所拦截的来自附件设备(AD)的对来自通信设备(CD)的请求的响应,该请求旨在获取与附件设备的序列号相关联的值,向通信设备(CD)发送(S12)修改的响应,修改的响应通过修改的响应的内容和所创建的注册规则来触发对附件设备(AD)的注册的查询。
Description
技术领域
本发明涉及通信设备。更具体地,本发明涉及接收附件设备(诸如USB设备)的通信设备(诸如媒体播放器)。
背景技术
诸如计算机的现代通信设备通过提供通用串行总线(USB)插座来允许计算机内存扩展。USB外围设备通常具有符合物理和电子规格的插头,正如能够接收USB插头的通信设备具有符合物理和电子规格的插座。
USB设备可具有不同的性质,如存储设备(闪存驱动器)、计算机鼠标、计算机键盘、打印机或网络摄像头。
特别地,USB存储设备体积小、价格低、便携性高,在现代计算设备中无处不在。由于其便携性,单个USB存储设备通常被插入许多不同的托管通信设备。例如,消费者可以将他或她的个人音乐收藏存储在USB存储设备上,然后在计算机、智能电话、甚至汽车音响系统上播放该音乐。
USB存储设备的高度便携性使其成为受计算机病毒欢迎的目标。
最近,已经出现被称为BadUSB的严重攻击。在一个实例中,其涉及恶意USB设备攻击受害主机,在另一个实例中,其涉及恶意主机对受害USB设备进行重新编程。两种攻击的结合为计算机恶意软件的物理传播铺平了道路,该恶意软件能够到达空气间隙(air-gapped)系统(与任何外部网络隔离的系统)。在这种攻击中,定制的USB设备可通过键盘仿真来做出恶意行为,以攻击USB主机。普通的USB设备(例如,USB存储棒)可在微控制器级别被恶意主机重新编程,以创建能够攻击其可插入的其它USB主机的恶意USB设备。这是在USB设备的控制器级别(固件)上完成的,而不是在可通过杀毒软件被格式化或扫描的文件系统级别上完成的。
因此,需要改进的技术以使通信设备能够控制连接到所述通信设备的USB设备的性质,以同时保护USB设备和主机通信设备两者。
发明内容
提供此概述以介绍与本发明的主题相关的概念。此概述并非旨在识别所要求保护的主题的必要特征,也并非旨在用于确定或限制所要求保护的主题的范围。
根据一个实施例,提供一种用于通信设备与附件设备之间的通用串行总线USB攻击保护的方法,该方法包括在通过USB链路在通信设备与附件设备(AD)之间插入的保护设备中的以下步骤:
接收来自附件设备的消息,该消息包括附件设备的特征字段,
生成随机标识符,
向通信设备的安全代理发送所生成的随机标识符,该安全代理基于所生成的随机标识符创建注册规则,
拦截来自附件设备的对来自通信设备的请求的响应,该请求旨在获取与附件设备的序列号相关联的值,
通过包括所生成的随机标识符来修改所述响应,从而产生修改的响应,
向管理通信设备的USB驱动程序的软件模块发送修改的响应,修改的响应通过修改的响应的内容和所创建的注册规则来触发对附件设备的注册的查询。
有利地,本发明提供企业级解决方案以缓解最近的BadUSB攻击。通过强制使用USB附件设备和由保护设备提供的USB屏蔽以达成信任。为此,保护设备在硬件级别上对附件设备与通信设备之间的链路进行净化,从而防止两个方向上的攻击。
保护设备确保如果它不存在,则任何USB附件设备都不能与通信设备进行操作。
该解决方案还改进了便携式USB存储设备的个性化功能,使其使用和共享更加友好。
在实施例中,保护设备专用于一种或几种类型的附件设备,仅允许所述一种或几种类型的附件设备与通信设备进行通信。
在实施例中,消息包含USB设备描述符。
在实施例中,通信设备最初被配置为一旦保护设备被插入通信设备,则禁止任何USB设备的注册,并且基于所生成的随机标识符的所创建的注册规则是允许与所生成的随机标识符对应的USB附件设备的注册的例外规则。
在实施例中,在消息在附件设备与通信设备之间转发的期间,保护设备生成消息是否违反安全规则的通知。
在实施例中,如果与所接收的消息中的设备类型相关联的字段未被包括在授权设备列表中,则至少一个安全规则命令停止交换任何来自附件设备的消息。
在实施例中,通知经由通信设备被发送到监控服务器。
在实施例中,保护设备用经由通信设备从服务器获取的屏蔽策略来初始化一组安全规则。
在实施例中,保护设备和通信设备最初基于证书或预共享密钥来执行握手,以允许它们彼此相互认证。
在实施例中,当附件设备从保护设备中拔出时,所创建的策略规则被删除。
在实施例中,旨在获取与附件设备的序列号相关联的值的所述请求是针对字符串描述符的请求。
在实施例中,所生成的随机标识符代替与附件设备的序列号相关联的所述值或者被附加到所述值上。
该解决方案的另一个优势是,除了缓解上述威胁之外,它还可以无缝地集成到企业IT基础架构中,并且通过阻止攻击和允许监控系统尝试考虑最终与其它事件的进一步关联来有助于企业信息系统的全球安全性。
本发明还涉及一种用于通信设备与附件设备之间的通用串行总线USB攻击保护的保护设备,该保护设备通过USB链路被插入在通信设备与附件设备之间,并且包括:
用于接收来自附件设备的消息的装置,该消息包括附件设备的特征字段,
用于生成随机标识符的装置,
用于向通信设备的安全代理发送所生成的随机标识符的装置,该安全代理基于所生成的随机标识符创建策略规则,
用于拦截来自附件设备的对来自通信设备的请求的响应的装置,该请求旨在获取与附件设备的序列号相关联的值,
用于通过包括所生成的随机标识符来修改所述响应,从而产生修改的响应的装置,
用于向管理通信设备的USB驱动程序的软件模块发送修改的响应的装置,修改的响应通过修改的响应的内容和所创建的注册规则来触发对附件设备的注册的查询。
本发明还涉及一种能够在设备内实现的计算机程序,所述程序包括指令,所述指令在该程序在所述设备内被执行时,执行根据发明的方法的步骤。
附图说明
通过参照附图对下面的描述进行研究,将会更好地理解本发明及其益处,其中:
图1是根据本发明的一个实施例的用于USB攻击保护的通信系统的示意性框图;
图2是根据本发明的一个实施例的用于USB攻击保护的方法的算法。
具体实施方式
参考图1,根据本发明的通信系统包括通信设备CD、保护设备PD和附件设备AD,以及可由通信设备CD通过电信网络TN访问的保护服务器PS和监控服务器MS。
电信网络TN可以是有线或无线网络,或者有线网络和无线网络的组合。
电信网络TN可以是分组网络,例如,诸如因特网或内联网,或者甚至公司特定的专用网络的IP(“因特网协议”)高速网络。
通信设备CD能够经由USB链路直接与附件设备AD相连接,以访问存储在附件设备中的内容。通信设备可被称为经由插头接收附件设备AD的主机设备。
通信设备CD例如可以是个人计算机或膝上型计算机、平板计算机、智能电话、个人数字助理、机顶盒、住宅网关、游戏控制台或连接的电视机。更一般地,它涉及任何类型的包括能够经由USB链路与附件设备AD建立连接以与附件设备交换诸如消息的数据的通信模块的电子设备。
通信设备CD具有一个或多个USB插座,各种USB附件设备可物理地被插入其中。
附件设备AD是包括USB插头的USB设备,该USB插头与通信设备的USB插座物理和机械地兼容,其中,USB插头可被插入USB插座以实现物理和电连接。
在一个示例中,附件设备AD是作为存储设备的拇指驱动器或硬盘驱动器。
在另一个示例中,附件设备AD是个人计算机、膝上型计算机、平板计算机或智能电话。
在另一个示例中,附件设备AD是诸如广告板、电视机、家用电器、通信终端、冰箱、相机的连接的物体。连接的物体包括作为可直接嵌入在连接的物体中的数据处理单元的一部分的通信接口。
附件设备AD包含程序,该程序通常是在微控制器上运行的实现附件设备AD的USB协议和更高级功能的固件。
保护设备PD也包括与通信设备CD的USB插座物理和机械地兼容的USB插头,以及与附件设备AD的USB插头物理和机械地兼容的USB插座。因此,保护设备PD可与通信设备CD和附件设备AD物理和电连接。保护设备PD允许通信设备CD和附件设备AD通过其电连接。
通信设备CD包括USB主机堆栈UHS、主机策略注册表HPR和主机屏蔽代理HSA。
USB主机堆栈UHS是在操作系统中管理USB设备驱动程序的软件模块。USB主机堆栈UHS实现USB协议,为不同的USB设备安装和加载适当的驱动程序。
策略注册表HPR是用于注册规则的数据库,具有用于查询、插入和删除的API(应用程序编程接口)。注册规则可以由策略执行器(例如,
系统的本地组策略(LGP)或
系统的udev子系统)强制执行。
主机屏蔽代理HSA用作安全代理,并且是负责与保护设备PD相互认证的进程代理。主机屏蔽代理HSA还负责从保护服务器PS取得屏蔽策略,并将攻击企图通知中继到监控服务器MS。主机屏蔽代理HSA存储由企业机构签名的证书(或预共享密钥),并且还被配置有保护服务器PS和监控服务器MS的网络地址。默认情况下,主机屏蔽代理HAS被配置为禁止任何USB设备的注册,除非有明确的策略允许。
保护服务器PS是管理企业设置中的一组主机的服务器。例如,保护服务器PS在
环境中实现活动目录(AD)域控制器。保护服务器PS被配置有在企业中使用的屏蔽策略。
监控服务器MS是监控和管理企业设置中的安全事件的中央服务器。
保护设备PD包括屏蔽设备代理SDA和屏蔽设备代理SDP。
屏蔽设备代理SDA是负责与通信设备CD相互认证的进程代理。屏蔽设备代理SDA还负责加载屏蔽策略、创建安全标识符和通知攻击企图。屏蔽设备代理SDA被加载有由企业机构签名的证书(或者可使用企业预共享密钥代替证书)以及与证书相关联的公钥。
屏蔽设备代理SDP扮演附件设备AD的代理的角色,负责过滤通信设备与附件设备(AD)之间的消息。屏蔽设备代理SDP实现包含安全规则的数据库,这些安全规则例如包含(消息的)匹配和动作(丢弃、修补等)。
屏蔽设备代理SDP能够分析和修改设备描述符的内容。设备描述符包含分别与以下说明相关联的以下字段:
字段:bLength
说明:指定该描述符的长度(采用字节)。
字段:bDescriptorType
说明:指定描述符类型。
字段:bcdUSB
说明:标识该描述符结构符合的USB规范的版本。该值是二进制编码的十进制数字。
字段:bDeviceClass
说明:指定由USB规范组分配的设备类别码。
字段:bDeviceSubClass
说明:指定由USB规范组分配的设备子类码。
字段:bDeviceProtocol
说明:指定由USB规范组分配的设备协议码。
字段:bMaxPacketSize0
说明:指定设备的端点0的最大数据包大小(采用字节)。该值必须被设定为8、16、32或64。
字段:idVendor
说明:指定由USB规范委员会分配的设备供应商标识符。
字段:idProduct
说明:指定产品标识符。该值由制造商分配,并且是设备特定的。
字段:bcdDevice
说明:标识设备的版本。该值是二进制编码的十进制数字。
字段:iManufacturer
说明:指定设备定义的字符串描述符的索引,该索引提供包含该设备的制造商名称的字符串。
字段:iProduct
说明:指定设备定义的字符串描述符的索引,该索引提供包含设备的说明的字符串。
字段:iSerialNumber
说明:指定设备定义的字符串描述符的索引,该索引提供包含制造商确定的设备的序列号的字符串。
字段:bNumConfigurations
说明:指定设备的可能配置的总数。
屏蔽设备代理SDP专用于过滤一种或几种类型的USB附件设备。例如,屏蔽设备代理SDP专用于与USB存储设备进行操作,并且将不允许任何其它类型的USB附件设备与通信设备CD进行通信。为此,例如,屏蔽设备代理SDP用从USB附件设备获取的设备描述符在数据库中查询安全规则。更具体地,屏蔽设备代理SDP检查假设与设备类型相关联的字段“bDeviceClass”的值是否被包括在授权设备列表中。
参考图2,根据本发明的一个实施例的用于USB攻击保护的方法包括在通信系统内执行的步骤S1至S15。
在初始步骤S01中,用户想要与通信设备CD一起使用附件设备AD,并且通过将保护设备PD插入通信设备CD开始。
在步骤S1中,保护设备PD向通信设备CD注册。在收到来自通信设备的控制请求时,屏蔽设备代理SDA向USB主机堆栈UHS发送消息,该消息包含设备描述符,该设备描述符包括有关保护设备PD、其配置、接口和相关端点的信息。
USB主机堆栈UHS加载主机保护代理HPA的驱动程序部分。
注册建立保护设备PD与通信设备CD之间的双向通信链路。
在步骤S2中,屏蔽设备代理SDA和主机屏蔽代理HSA基于所存储的证书或所存储的预共享密钥来执行握手,以允许它们彼此相互认证。
在步骤S3中,主机屏蔽代理HSA从保护服务器PS取得屏蔽策略,并向屏蔽设备代理SDA发送所获取的屏蔽策略。
在步骤S4中,屏蔽设备代理SDA用所接收的屏蔽策略初始化屏蔽设备代理SDP。屏蔽策略被存储在屏蔽设备代理SDP的数据库中。
在步骤S2至S4中,保护设备PD被用屏蔽策略初始化。
在步骤S5中,附件设备AD被插入保护设备PD。因此,保护设备PD被插入在附件设备AD与通信设备CD之间。
在步骤S6中,附件设备AD向保护设备PD发送消息Mes,该消息包括有关附件设备的信息。该消息包含与附件设备相关联的设备描述符。该消息Mes响应于来自通信设备的获取设备描述符的初始请求而被发送。例如,初始请求是“获取设备描述符”类型。
更具体地,屏蔽设备代理SDP接收设备描述符,并通知屏蔽设备代理SDA附件设备作为USB设备的存在。
在步骤S7中,屏蔽设备代理SDA生成随机标识符Rid。假定随机标识符足够长以致是唯一的。随机标识符Rid用作与设备描述符中的序列号“iSerialNumber”相关联的值。设备描述符中的序列号“iSerialNumber”与索引相关联,并且与设备描述符中的序列号“iSerialNumber”相关联的所述值可经由对该索引的特定请求来获得。该特定请求可以是“获取字符串描述符”类型。
在步骤S8中,屏蔽设备代理SDA将向通信设备的主机屏蔽代理HSA发送所生成的随机标识符Rid。
在步骤S9中,主机屏蔽代理HSA基于随机标识符Rid创建注册规则,并将所创建的注册规则插入策略注册表HPR的数据库中。主机屏蔽代理HSA向屏蔽设备代理SDA发送表示接收到随机标识符Rid的确认。
在步骤S10中,屏蔽设备代理SDA向屏蔽设备代理SDP发送所生成的随机标识符Rid。
在步骤S11中,USB主机堆栈UHS通过保护设备PD向附件设备AD发送一组请求,以获取有关附件设备的更多信息。这些请求专门用于附件设备的不同描述符。
当USB主机堆栈UHS发送旨在获取与序列号“iSerialNumber”相关联的值的特定请求时,附件设备AD向USB主机堆栈UHS发送包括与序列号“iSerialNumber”相关联的值的特定响应,并且该特定响应被屏蔽设备代理SDP拦截。
屏蔽设备代理SDP通过包括所生成的随机标识符Rid来修改特定响应中与序列号“iSerialNumber”相关联的值。所生成的随机标识符Rid代替所述值或者被附加到所述值上。因此,屏蔽设备代理SDP产生修改的响应ResM。
在步骤S12中,屏蔽设备代理SDP向通信设备的USB主机堆栈UHS发送包含随机标识符Rid的修改的响应ResM。
在步骤S13中,当USB主机堆栈UHS已完成通过保护设备PD向附件设备AD发送获取有关附件设备的更多信息的请求时,USB主机堆栈UHS特别是通过所生成的随机标识符Rid来查询策略注册表HPR以用于附件设备的注册。
在步骤S14中,策略注册表HPR通过存储在数据库中的所创建的注册规则来验证包括与序列号“iSerialNumber”相关联的值(即,所生成的随机标识符Rid)的修改的响应ResM被允许,并向USB主机堆栈提供注册的授权。
在步骤S15中,USB主机堆栈完成附件设备AD的注册,并通过设备描述符和对该组请求的不同响应来为附件设备AD加载适当的驱动程序。
根据本发明,通信设备最初被配置为禁止与任何USB附件设备进行通信。最后,在步骤S9结束时,基于随机标识符Rid的新的注册规则被创建,作为允许呈现包含随机标识符Rid的设备描述符的USB附件设备的注册的例外规则。
然后,屏蔽设备代理SDP可通过查询包含安全规则的数据库来继续在附件设备AD与通信设备CD之间转发消息。
如果在消息在附件设备AD与通信设备CD之间转发的期间,屏蔽设备代理SDP遇到数据库中的安全规则,即,消息违反安全规则,则屏蔽设备代理SDP生成通知。然后,该通知经由屏蔽设备代理SDA被发送到主机屏蔽代理HSA,然后被转发到监控服务器MS。例如,如果最初被声明为USB存储设备的恶意附件设备重置并且随后声明为键盘,则专用于USB存储设备的屏蔽设备代理SDP遇到指示拒绝该附件设备的安全规则。
此外,屏蔽设备代理SDP还在该方法的其它步骤期间(例如,在步骤S6、S10、S11和S12中)查询包含安全规则的数据库,以生成将经由屏蔽设备代理SDA被发送到主机屏蔽代理HSA的通知,该通知然后被转发到监控服务器MS。例如,在S6期间,如果恶意附件设备具有USB存储设备的物理外观但宣称自己是键盘,则专用于USB存储设备的屏蔽设备代理SDP遇到指示拒绝该附件设备的安全规则。
当附件设备从保护设备中拔出时,存储在策略注册表HPR的数据库中的所创建的注册规则被删除。
此外,如果保护设备PD从通信设备中拔出,则主机屏蔽代理HAS被去激活。
在本文中描述的本发明涉及用于USB攻击保护的方法和设备。根据本发明的一个实现,本发明的步骤由并入诸如保护设备PD的设备中的计算机程序的指令来确定。该程序包括程序指令,所述指令在所述程序被加载到设备内并被执行时,执行本发明的方法的步骤。
因此,本发明还适用于计算机程序,特别是适合于实现本发明的信息介质上或信息介质内的计算机程序。该程序可使用任何编程语言,并且采用源代码、目标代码或源代码与目标代码之间的中间代码的形式,诸如采用部分编译的形式,或采用可用于实现本发明的方法的任何其它形式。
Claims (13)
1.一种用于通信设备与附件设备之间的通用串行总线USB攻击保护的方法,所述方法包括在通过USB链路在所述通信设备与所述附件设备之间插入的保护设备中执行的以下步骤:
接收来自所述附件设备的消息,所述消息包括所述附件设备的特征字段,
生成随机标识符,
向所述通信设备的安全代理发送所生成的随机标识符,所述安全代理基于所生成的随机标识符创建注册规则,
拦截来自所述附件设备的对来自所述通信设备的请求的响应,所述请求旨在获取与所述附件设备的序列号相关联的值,
通过将所生成的随机标识符包括在所述响应中来修改所述响应,从而产生修改的响应,
向管理所述通信设备的USB驱动程序的软件模块发送所述修改的响应,所述修改的响应通过所述修改的响应的内容和所创建的注册规则来触发对所述附件设备的注册的查询,
其中,所述通信设备最初被配置为一旦所述保护设备被插入所述通信设备,则禁止任何USB设备的注册,并且基于所生成的随机标识符的所创建的注册规则是允许与所生成的随机标识符对应的USB附件设备的注册的例外规则。
2.根据权利要求1所述的方法,其中,所述保护设备专用于一种或几种类型的附件设备,仅允许所述一种或几种类型的附件设备与所述通信设备进行通信。
3.根据权利要求1所述的方法,其中,所述消息包含USB设备描述符。
4.根据权利要求1所述的方法,其中,在消息在所述附件设备与所述通信设备之间转发的期间,所述保护设备生成消息是否违反安全规则的通知。
5.根据权利要求4所述的方法,其中,如果与所接收的消息中的设备类型相关联的字段未被包括在授权设备列表中,则至少一个安全规则命令停止交换任何来自所述附件设备的消息。
6.根据权利要求4所述的方法,其中,所述通知经由所述通信设备被发送到监控服务器。
7.根据权利要求4所述的方法,其中,所述保护设备用经由所述通信设备从保护服务器获取的屏蔽策略来初始化一组安全规则。
8.根据权利要求1至7中任一项所述的方法,其中,所述保护设备和所述通信设备最初基于证书或预共享密钥来执行握手,以允许它们彼此相互认证。
9.根据权利要求1至7中任一项所述的方法,其中,当所述附件设备从所述保护设备中拔出时,所创建的注册规则被删除。
10.根据权利要求1至7中任一项所述的方法,其中,旨在获取与所述附件设备的序列号相关联的值的所述请求是针对字符串描述符的请求。
11.根据权利要求1至7中任一项所述的方法,其中,所生成的随机标识符代替与所述附件设备的序列号相关联的所述值或者被附加到所述值上。
12.一种用于通信设备与附件设备之间的通用串行总线USB攻击保护的保护设备,所述保护设备通过USB链路被插入在所述通信设备与所述附件设备之间,并且包括:
用于接收来自所述附件设备的消息的装置,所述消息包括所述附件设备的特征字段,
用于生成随机标识符的装置,
用于向所述通信设备的安全代理发送所生成的随机标识符的装置,所述安全代理基于所生成的随机标识符创建注册规则,
用于拦截来自所述附件设备的对来自所述通信设备的请求的响应的装置,所述请求旨在获取与所述附件设备的序列号相关联的值,
用于通过将所生成的随机标识符包括在所述响应中来修改所述响应,从而产生修改的响应的装置,
用于向管理所述通信设备的USB驱动程序的软件模块发送所述修改的响应的装置,所述修改的响应通过所述修改的响应的内容和所创建的注册规则来触发对所述附件设备的注册的查询,
其中,所述通信设备最初被配置为一旦所述保护设备被插入所述通信设备,则禁止任何USB设备的注册,并且基于所生成的随机标识符的所创建的注册规则是允许与所生成的随机标识符对应的USB附件设备的注册的例外规则。
13.一种计算机可读介质,在其上存储指令,所述指令能够在用于通信设备与附件设备之间的通用串行总线USB攻击保护的保护设备内执行,所述保护设备通过USB链路被插入在所述通信设备与所述附件设备之间,所述指令在被加载到所述保护设备内并被执行时,执行权利要求1至11中任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP15305882.1 | 2015-06-10 | ||
| EP15305882.1A EP3104296B1 (en) | 2015-06-10 | 2015-06-10 | Usb attack protection |
| PCT/EP2016/059067 WO2016198201A1 (en) | 2015-06-10 | 2016-04-22 | Usb attack protection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107690646A CN107690646A (zh) | 2018-02-13 |
| CN107690646B true CN107690646B (zh) | 2020-10-30 |
Family
ID=53442697
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680033529.0A Active CN107690646B (zh) | 2015-06-10 | 2016-04-22 | Usb攻击保护 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10509904B2 (zh) |
| EP (1) | EP3104296B1 (zh) |
| JP (1) | JP6441510B2 (zh) |
| CN (1) | CN107690646B (zh) |
| WO (1) | WO2016198201A1 (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20180324179A1 (en) * | 2017-05-02 | 2018-11-08 | Hao-Hsun Hou | Method for preventing badusb attack |
| WO2019075620A1 (zh) * | 2017-10-16 | 2019-04-25 | 华为技术有限公司 | 数据处理系统 |
| US10296766B2 (en) * | 2018-01-11 | 2019-05-21 | Intel Corporation | Technologies for secure enumeration of USB devices |
| CN109165481B (zh) * | 2018-06-22 | 2020-11-10 | 芯启源(上海)半导体科技有限公司 | 基于usb3.0协议ts2训练序列的ip软核产权保护与侵权鉴定方法 |
| CN109214144B (zh) * | 2018-08-01 | 2020-11-10 | 芯启源(上海)半导体科技有限公司 | 基于usb3.2协议ts2训练序列的ip软核产权保护与侵权鉴定方法 |
| CN109214143B (zh) * | 2018-08-01 | 2020-11-10 | 芯启源(上海)半导体科技有限公司 | 基于usb3.2协议ts1训练序列的ip软核产权保护与侵权鉴定方法 |
| EP3663947B1 (en) * | 2018-12-06 | 2021-11-24 | Hewlett-Packard Development Company, L.P. | Protected peripheral ports |
| JP7251171B2 (ja) * | 2019-01-30 | 2023-04-04 | オムロン株式会社 | コントローラシステム、制御ユニット、および制御プログラム |
| US11681798B2 (en) * | 2019-10-31 | 2023-06-20 | Kyndryl, Inc. | Security screening of a universal serial bus device |
| CN113343240B (zh) * | 2021-07-08 | 2024-03-01 | 南方电网电力科技股份有限公司 | 一种usb伪装入侵的检测方法及装置 |
| US20230139807A1 (en) * | 2021-10-29 | 2023-05-04 | Kyndryl, Inc. | Input/output interface security |
| US11841993B1 (en) | 2022-07-29 | 2023-12-12 | Hak5 Llc | Method and device for target information exfiltration out of a computing device based on lock key reflection by the computing device at an output keyboard end point |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101720545A (zh) * | 2007-04-09 | 2010-06-02 | 桑迪士克以色列有限公司 | 使用对于usb存储设备的防火墙保护的系统和方法 |
| CN102138131A (zh) * | 2009-08-03 | 2011-07-27 | 金士顿科技股份有限公司 | 通用串行总线的硬件防火墙转接器 |
| US8230149B1 (en) * | 2007-09-26 | 2012-07-24 | Teradici Corporation | Method and apparatus for managing a peripheral port of a computer system |
| CN102760104A (zh) * | 2012-06-25 | 2012-10-31 | 成都卫士通信息产业股份有限公司 | 一种usb设备控制方法 |
| CN103218580A (zh) * | 2013-03-28 | 2013-07-24 | 安徽励图信息科技股份有限公司 | 一种usb隔离设备及其隔离方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4729944B2 (ja) * | 2005-03-01 | 2011-07-20 | パナソニック電工株式会社 | 情報監視システム |
| US7743260B2 (en) * | 2006-05-17 | 2010-06-22 | Richard Fetik | Firewall+storage apparatus, method and system |
| KR101042246B1 (ko) * | 2009-10-09 | 2011-06-17 | 한국전자통신연구원 | 침해방지용 보안 usb 커넥터 및 이를 이용한 침해 방지 시스템 |
| JP2012014454A (ja) * | 2010-06-30 | 2012-01-19 | Toshiba Corp | 外部記憶装置接続装置およびアクセス制御方法 |
| FR2969788B1 (fr) * | 2010-12-27 | 2013-02-08 | Electricite De France | Procede et dispositif de controle d'acces a un systeme informatique |
| JP2014509421A (ja) * | 2011-02-01 | 2014-04-17 | エムシーシーアイ コーポレイション | Usbホストシステムの拡張usbプロトコルスタックのためのセキュリティ手段 |
| JP5703845B2 (ja) * | 2011-03-01 | 2015-04-22 | 株式会社リコー | 情報処理装置およびプログラム |
| US8862803B2 (en) * | 2011-05-31 | 2014-10-14 | Architecture Technology Corporation | Mediating communciation of a univeral serial bus device |
| US20130167254A1 (en) * | 2011-12-22 | 2013-06-27 | Joel Gyllenskog | Universal Serial Bus Shield |
| US9684805B2 (en) * | 2013-08-20 | 2017-06-20 | Janus Technologies, Inc. | Method and apparatus for securing computer interfaces |
| US9734358B2 (en) * | 2015-01-02 | 2017-08-15 | High Sec Labs Ltd | Self-locking USB protection pug device having LED to securely protect USB jack |
| US9990325B2 (en) * | 2015-04-10 | 2018-06-05 | International Business Machines Corporation | Universal serial bus (USB) filter hub malicious code prevention system |
-
2015
- 2015-06-10 EP EP15305882.1A patent/EP3104296B1/en active Active
-
2016
- 2016-04-22 WO PCT/EP2016/059067 patent/WO2016198201A1/en active Application Filing
- 2016-04-22 CN CN201680033529.0A patent/CN107690646B/zh active Active
- 2016-04-22 JP JP2017563926A patent/JP6441510B2/ja active Active
- 2016-04-22 US US15/573,890 patent/US10509904B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101720545A (zh) * | 2007-04-09 | 2010-06-02 | 桑迪士克以色列有限公司 | 使用对于usb存储设备的防火墙保护的系统和方法 |
| US8230149B1 (en) * | 2007-09-26 | 2012-07-24 | Teradici Corporation | Method and apparatus for managing a peripheral port of a computer system |
| CN102138131A (zh) * | 2009-08-03 | 2011-07-27 | 金士顿科技股份有限公司 | 通用串行总线的硬件防火墙转接器 |
| CN102760104A (zh) * | 2012-06-25 | 2012-10-31 | 成都卫士通信息产业股份有限公司 | 一种usb设备控制方法 |
| CN103218580A (zh) * | 2013-03-28 | 2013-07-24 | 安徽励图信息科技股份有限公司 | 一种usb隔离设备及其隔离方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2018521570A (ja) | 2018-08-02 |
| JP6441510B2 (ja) | 2018-12-19 |
| US10509904B2 (en) | 2019-12-17 |
| EP3104296B1 (en) | 2019-12-18 |
| US20180293376A1 (en) | 2018-10-11 |
| EP3104296A1 (en) | 2016-12-14 |
| WO2016198201A1 (en) | 2016-12-15 |
| CN107690646A (zh) | 2018-02-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107690646B (zh) | Usb攻击保护 | |
| US9867051B2 (en) | System and method of verifying integrity of software | |
| US11991160B2 (en) | Systems and methods for providing secure services | |
| EP3258663B1 (en) | Verification method, apparatus and system for network application access | |
| US7840688B2 (en) | Information processing device, server client system, method, and computer program | |
| US9547756B2 (en) | Registration of devices in a digital rights management environment | |
| US20140223514A1 (en) | Network Client Software and System Validation | |
| US20100031308A1 (en) | Safe and secure program execution framework | |
| US20090193503A1 (en) | Network access control | |
| KR102010488B1 (ko) | 안전한 사물 인터넷 단말 원격 접속 시스템 및 그 방법, ip 주소 할당 방법 | |
| JP2009151751A (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
| CN110855709A (zh) | 安全接入网关的准入控制方法、装置、设备和介质 | |
| CN107948235B (zh) | 基于jar的云数据安全管理与审计装置 | |
| US20160179556A1 (en) | Input/output (i/o) device configuration signature | |
| JP6599567B2 (ja) | Usb攻撃保護を保証すること | |
| US10764065B2 (en) | Admissions control of a device | |
| US9135408B2 (en) | Method and device for managing authorization of right object in digital rights managment | |
| US9823944B2 (en) | Deployment control device and deployment control method for deploying virtual machine for allowing access | |
| KR20150089696A (ko) | 접근제어와 우선순위기반 무결성 검증 시스템 및 그 방법 | |
| KR20210068832A (ko) | 웹 기반 sql 툴을 이용한 접근 제어 시스템 및 방법 | |
| US20220300605A1 (en) | Provisioning control apparatus and method for provisioning electronic devices | |
| KR101330434B1 (ko) | 단말기의 서버 접속 방법 및 시스템 | |
| JP5477104B2 (ja) | 不正接続防止装置及びプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |