CN106161024B - 一种usb控制芯片级的usb设备可信认证方法及其*** - Google Patents
一种usb控制芯片级的usb设备可信认证方法及其*** Download PDFInfo
- Publication number
- CN106161024B CN106161024B CN201510156573.8A CN201510156573A CN106161024B CN 106161024 B CN106161024 B CN 106161024B CN 201510156573 A CN201510156573 A CN 201510156573A CN 106161024 B CN106161024 B CN 106161024B
- Authority
- CN
- China
- Prior art keywords
- usb
- control chip
- chip
- master control
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种USB控制芯片级的USB设备可信认证方法及其***,涉及信息安全技术领域。本发明USB设备可信认证***由第三方认证授权管理***、USB主控芯片设备证书生成管理***、USB主控芯片安全管理***和USB设备可信认证***组成。同现有技术相比,本发明综合运用非对称密码技术和可信认证技术,对USB主机的主控制器和USB设备的主控芯片进行安全性增强改造,并通过第三方检测机构对USB主控芯片进行认证授权管理,实现USB主机对USB设备的可信认证,达到阻止所有试图以USB控制芯片固件为中介的黑客攻击模式的目的,从而构建计算机***和USB设备***的可信计算和通讯环境。
Description
技术领域
本发明涉及信息安全技术领域,特别是USB控制芯片级的USB设备可信认证方法及其***。
背景技术
USB(Universal Serial Bus)是用来连接计算机与***装置之间的总线,其随插即用(Plug and Play)的功能,使其不须经过复杂的安装即可任意将***设备连结、配置、使用及移除。而由于USB的弹性与容易使用,使得支持USB的***装置包括鼠标、键盘、喇叭、调制解调器、扫描机等各种不同的产品逐年增加。时至今日,USB接口已成为自COM port(串行端口)以后,计算机上最成功的***连接接口,相关的产品也以每年超过30%的增幅进入市场。
移动存储介质(简称U盘)作为最广泛使用的USB设备,具有体积小、容量大、携带方便的特点,是信息交换的一种便捷介质。为了便于生产和售后维护,U盘主控芯片均向合作伙伴提供了量产工具,用于定义产品功能和技术参数,以及通过软件修复产品售后所出现的问题。但是,U盘主控芯片本身的固件则属于芯片厂家秘密,并不开放,类似做法在USB的其他***设备产品中也同样采用。
通过对USB主控芯片固件的原理分析和逆向工程,黑客组织发现了被称为“BADUSB”的安全缺陷,使得计算机可以自行修改U盘主控芯片的固件,从而可以通过主控芯片对其***的计算机***进行攻击;主控芯片固件也可以主动攻击计算机***,使其成为攻击传播的一个链条,形成了一条“计算机—>多个U盘—>更多计算机”的指数扩散感染模型,从而引发了对移动存储介质如何进行安全管理的思考。
现有技术中,由于计算机、操作***体系和USB协议的设计缺陷,导致目前无法通过软件手段对上述攻击方法进行防御,对全球的计算机***,包括工业和国家基础设施的自控***,都构成了迫在眉睫的严重威胁。
发明内容
针对上述现有技术中存在的问题,本发明的目的是提供一种USB控制芯片级的USB设备可信认证方法及其***。它综合运用非对称密码技术和可信认证技术,对USB主机的主控制器和USB设备的主控芯片进行安全性增强改造,并通过第三方检测机构对USB主控芯片进行认证授权管理,实现USB主机对USB设备的可信认证,达到阻止所有试图以USB控制芯片固件为中介的黑客攻击模式的目的,从而构建计算机***和USB设备***的可信计算和通讯环境。
为了实现上述发明目的,本发明的技术方案以如下方式实现:
一种USB控制芯片级的USB设备可信认证方法,它使用包括由第三方认证授权管理***、USB主控芯片设备证书生成管理***、USB主控芯片安全管理***和USB设备可信认证***组成的可信认证***。其中第三方芯片检测机构使用的第三方认证授权管理***由授权管理器、授权密码算法模块和USB主控芯片设备证书签发管理器组成,授权密码算法模块中包含哈希算法、数字签名算法和数字验签算法。USB主控芯片生产厂商使用的USB主控芯片设备证书生成管理***由***密码算法模块和芯片设备证书生成器组成,***密码算法模块中包含哈希算法和数字签名算法。内置于USB设备USB主控芯片的USB主控芯片安全管理***由芯片安全存储单元、芯片密码算法硬件模块、安全自检ROM引导程序和安全验证管理固件程序组成,芯片密码算法硬件模块包含哈希算法和数字验签算法。USB主机端的USB设备可信认证***由USB主控芯片认证管理器、密钥安全存储单元和认证密码算法模块组成,认证密码算法模块中包含数字验签算法。其主要实施步骤为:
1)***授权:
①第三方认证授权管理***中的授权管理器为USB设备可信认证***提供第三方认证公钥,并存储固化到USB设备可信认证***的密钥安全存储单元中。
②第三方认证授权管理***中的授权管理器为USB主控芯片安全管理***提供第三方认证公钥,并存储固化到USB主控芯片安全管理***的芯片安全存储单元中。
2)USB主控芯片设备证书生成、签发与存储固化:
①USB主控芯片设备证书生成管理***的芯片设备证书生成器使用***密码算法模块中的哈希算法对USB主控芯片中的USB主控芯片固件全部或者部分数据进行哈希处理,生成USB主控芯片固件数字摘要,并使用芯片设备私钥和***密码算法模块中的数字签名算法生成USB主控芯片固件数字摘要的数字签名。将USB主控芯片标识、USB设备类型说明、芯片设备公钥、USB主控芯片固件数字摘要以及USB主控芯片固件数字摘要的数字签名信息打包生成与USB主控安全芯片对应的芯片设备证书体,芯片设备证书体将被提供给第三方认证授权管理***。
②第三方认证授权管理***中的USB主控芯片设备证书签发管理器使用芯片设备证书体中的芯片设备公钥和授权密码算法模块中的数字验签算法验证芯片设备证书体中的USB主控芯片固件数字摘要的数字签名,确认USB主控芯片固件数字摘要的合法性和完整性;如通过数字签名验证,使用授权密码算法模块中的哈希算法对USB主控芯片固件全部或部分数据进行哈希处理,生成USB主控芯片固件数字摘要。将该USB主控芯片固件数字摘要与芯片设备证书体中的USB主控芯片固件数字摘要进行比对,如果数据一致,则使用第三方签名私钥和授权密码算法模块中的数字签名算法生成芯片设备证书体的数字签名,并将芯片设备证书体和芯片设备证书体的数字签名打包生成USB主控芯片设备证书。
③USB主控芯片设备证书将被存储固化在USB主控芯片安全管理***的芯片安全存储单元中。
3)USB主控芯片的安全自检:
①USB设备经USB总线连接到USB主机,实现USB设备上电后,USB主控芯片开始执行USB主控芯片安全管理***的安全自检ROM引导程序。
②安全自检ROM引导程序使用芯片安全存储单元中的第三方认证公钥和芯片密码算法硬件模块中的数字验签算法验证芯片安全存储单元中的USB主控芯片设备证书的数字签名,确认USB主控芯片设备证书的合法性和完整性。如未通过数字签名验证,USB设备将被阻止与USB主机进行通信连接。
③安全自检ROM引导程序使用USB主控芯片设备证书中的芯片设备公钥和芯片密码算法硬件模块中的数字验签算法验证USB主控芯片设备证书中的USB主控芯片固件数字摘要的数字签名,确认USB主控芯片固件数字摘要的合法性和完整性。如未通过数字签名验证,USB设备将阻止与USB主机进行通信连接。
④安全自检ROM引导程序使用芯片密码算法硬件模块中的哈希算法对USB主控芯片固件全部或者部分数据进行哈希处理,得到USB主控芯片固件数字摘要。将该数字摘要与USB主控芯片设备证书中的USB主控芯片固件数字摘要进行比对,如果数据一致,确认USB主控芯片固件数据未被篡改。如果数据不一致,USB设备将被阻止与USB主机进行通信连接。
⑤USB设备与USB主机建立通信连接后,USB主控芯片将执行USB主控芯片安全管理***的安全验证管理固件程序,配合USB主机对USB设备的可信认证。
4)USB主控芯片的可信认证:
①USB主机检测到USB设备后,建立通信连接,USB设备可信认证***的USB主控芯片认证管理器与USB主控芯片安全管理***的安全验证管理固件程序进行会话通讯,获取USB主控芯片设备证书,并使用密钥安全存储单元中第三方认证公钥和认证密码算法模块中的数字验签算法验证USB主控芯片设备证书的数字签名,确认USB主控芯片设备证书的合法性和完整性。如未通过数字签名验证,直接断开USB主机与USB设备的通信连接。
②USB设备可信认证***的USB主控芯片认证管理器开始USB设备枚举过程,从USB主控芯片获取USB设备类型声明,将该USB设备类型声明与USB主控芯片设备证书中的设备类型说明进行比对。如果设备类型一致,则继续USB设备的枚举过程;如类型不一致,直接断开USB主机与USB设备的通信连接。
在上述USB控制芯片级的USB设备可信认证方法中,所述的USB设备可信认证***的密钥安全存储单元和USB主控芯片安全管理***的芯片安全存储单元均是指芯片内由芯片烧录工具一次性写入数据后受芯片保护的防篡改的存储单元。
在上述USB控制芯片级的USB设备可信认证方法中,所述第三方认证公钥和第三方签名私钥是由第三方认证授权管理***A管理,用于USB主控芯片设备证书的数字签名和验签;所述的芯片设备私钥和芯片设备公钥是由USB主控芯片生产厂商所有和管理,用于对USB主控芯片固件进行数字签名和验签,与USB主控芯片没有一一对应关系。
在上述USB控制芯片级的USB设备可信认证方法中,所述USB主控芯片标识是由USB主控芯片的型号和USB主控芯片固件版本号构成的标识,与USB主控芯片设备证书一一对应。
一种USB控制芯片级的USB设备可信认证***,其结构特点是,它由第三方认证授权管理***、USB主控芯片设备证书生成管理***、USB主控芯片安全管理***和USB设备可信认证***组成。所述第三方认证授权管理***由授权管理器、授权密码算法模块和USB主控芯片设备证书签发管理器组成,授权密码算法模块中包含哈希算法、数字签名算法和数字验签算法。所述USB主控芯片设备证书生成管理***由***密码算法模块和芯片设备证书生成器组成,***密码算法模块中包含哈希算法和数字签名算法。所述的USB主控芯片安全管理***由芯片安全存储单元、芯片密码算法硬件模块、安全自检ROM引导程序和安全验证管理固件程序组成,芯片密码算法硬件模块包含硬件实现的哈希算法和数字验签算法。所述的USB设备可信认证***由USB主控芯片认证管理器、密钥安全存储单元和认证密码算法模块组成,认证密码算法模块中包含数字验签算法。第三方认证授权管理***是第三方芯片检测机构使用的***,完成对USB主控芯片安全管理***和USB设备可信认证***的认证授权功能。USB主控芯片设备证书生成管理***是USB主控芯片生产厂商使用的***,完成USB主控芯片证书的生成和管理工作。USB主控芯片安全管理***内置于USB设备的USB主控芯片中,完成USB设备的主控芯片级安全自检和安全验证功能。USB设备可信认证***内置于USB主机控制器中或由独立芯片实现,完成USB主机对USB设备的可信认证和安全使用验证功能。
本发明由于采用了上述的方法和结构,一方面对USB设备的主控芯片进行芯片级的安全改造,在与USB主机建立通信连接之前增加USB主控芯片的安全自检功能,保证USB主控芯片自身安全;另一方面,对USB主机的主控制器进行安全改造或增加独立芯片,在USB主机枚举USB设备之前增加USB主机对USB设备的可信认证功能,确保接入主机的USB设备是安全可信的。同时,通过第三方检测机构对USB主控芯片进行可信认证管理,实现USB主机对USB设备的可信认证,认证未通过的USB设备被拒绝与主机连接。本发明为信息及网络***防御以USB为介质的攻击提供了一种USB控制芯片级的USB设备可信认证技术,从而解决了因计算机、操作***体系和USB协议设计缺陷而导致的无法通过软件手段防御以USB为介质的攻击问题。本发明采用非对称密码技术实现了对USB主控芯片的授权管理和可信认证,并通过增加USB主控芯片的安全自检,从芯片层实现了USB设备的自身安全,为USB设备的可信认证提供了可靠的技术保证。
下面结合附图和具体实施方式对本发明作进一步说明。
附图说明
图1为本发明***的原理结构图;
图2为本发明方法中USB主机和USB设备的***授权处理示意图;
图3为本发明方法中USB主控芯片设备证书生成、签发与存储固化处理示意图;
图4为图3中USB主控芯片设备证书生成***流程图;
图5为本发明方法中USB主控芯片的安全自检处理***流程图;
图6为本发明方法中USB主机对USB主控芯片的可信认证处理***流程图。
具体实施方式
参看图1至图3,实现USB控制芯片级的USB设备可信认证方法的***由第三方认证授权管理***A、USB主控芯片设备证书生成管理***B、USB主控芯片安全管理***C和USB设备可信认证***D组成。
第三方认证授权管理***A是第三方芯片检测机构使用的***,它由授权管理器1、授权密码算法模块2和USB主控芯片设备证书签发管理器3组成,授权密码算法模块2中包含哈希算法、数字签名算法和数字验签算法,完成对统USB主控芯片安全管理***C和USB设备可信认证系D的认证授权功能。第三方认证授权管理***A一方面通过第三方认证公钥13的授权使用,实现对USB主机和USB设备的授权管理,另一方面,通过对USB主控芯片进行安全检测以及对待签的芯片设备证书体14进行数字签名,生成USB主控芯片设备证书15,实现USB主控芯片设备证书15的签发。
USB主控芯片设备证书生成管理***B是USB主控芯片生产厂商使用的***,它由***密码算法模块4和芯片设备证书生成器5组成,***密码算法模块4中包含哈希算法和数字签名算法,完成USB主控芯片设备证书的生成和管理工作。
USB主控芯片安全管理***C内置于USB设备的USB主控芯片,由芯片安全存储单元6、芯片密码算法硬件模块7、安全自检ROM引导程序8和安全验证管理固件程序9组成,芯片密码算法硬件模块7包含硬件实现的哈希算法和数字验签算法,完成USB设备主控芯片的安全自检和安全验证功能。
USB设备可信认证***D内置于USB主机控制器或由独立芯片实现,由USB主控芯片认证管理器10、密钥安全存储单元11和认证密码算法模块12组成,认证密码算法模块12中包含数字验签算法,完成USB主机对USB设备的可信认证和安全使用验证功能。
本发明的USB主控芯片设备证书15上包含有USB主控芯片固件数字摘要及其数字签名,为实现整个***的可信认证提供重要支持。
参看图1至图6,本发明方法使用时的步骤为:
1)***授权:
①第三方认证授权管理***A中的授权管理器1为USB设备可信认证***D提供第三方认证公钥13,并存储固化到USB设备可信认证***D的密钥安全存储单元11中,实现USB设备可信认证***D的认证授权。
②第三方认证授权管理***A中的授权管理器1为USB主控芯片安全管理***C提供第三方认证公钥13,并存储固化到USB主控芯片安全管理***C的芯片安全存储单元6中,实现USB设备的认证授权。
2)USB主控芯片设备证书生成、签发与存储固化:
①USB主控芯片设备证书生成管理***B的芯片设备证书生成器5使用***密码算法模块4中的哈希算法对USB主控芯片中的USB主控芯片固件全部或部分数据进行哈希处理,生成USB主控芯片固件数字摘要,并使用芯片设备私钥和***密码算法模块4中的数字签名算法生成USB主控芯片固件数字摘要的数字签名。将USB主控芯片标识、USB设备类型说明、芯片设备公钥、USB主控芯片固件数字摘要以及固件数字摘要的数字签名信息打包生成与USB主控安全芯片对应的芯片设备证书体14。芯片设备证书体14将被提供给第三方认证授权管理***A。
②第三方认证授权管理***A中的USB主控芯片设备证书签发管理器3使用芯片设备证书体14中的芯片设备公钥和授权密码算法模块2中的数字验签算法验证芯片设备证书体14中的USB主控芯片固件数字摘要的数字签名,确认USB主控芯片固件数字摘要的合法性和完整性;如通过数字签名验证,使用授权密码算法模块2中的哈希算法对USB主控芯片固件全部或部分数据进行哈希处理,生成USB主控芯片固件数字摘要,将该数字摘要与芯片设备证书体14中的USB主控芯片固件数字摘要进行比对,如果数据一致,则使用第三方签名私钥和授权密码算法模块2中的数字签名算法生成芯片设备证书体14的数字签名,并将芯片设备证书体14和数字签名打包生成USB主控芯片设备证书15。
③USB主控芯片设备证书15将被存储固化在USB主控芯片安全管理***D的芯片安全存储单元6中。
3)USB主控芯片的安全自检:
①USB设备经USB总线连接USB主机,实现USB设备上电后,USB主控芯片开始执行USB主控芯片安全管理***C的安全自检ROM引导程序8;
②安全自检ROM引导程序8使用芯片安全存储单元6中第三方认证公钥13和芯片密码算法硬件模块7中的数字验签算法验证芯片安全存储单元6中USB主控芯片设备证书15的数字签名,确认芯片设备证书的合法性和完整性;如未通过数字签名验证,USB设备将被阻止与USB主机进行通信连接;
③安全自检ROM引导程序8使用USB主控芯片设备证书15中的芯片设备公钥和芯片密码算法硬件模块7中的数字验签算法验证USB主控芯片设备证书15中的USB主控芯片固件数字摘要的数字签名,确认USB主控芯片固件数字摘要的合法性和完整性;如未通过数字签名验证,USB设备将被阻止与USB主机进行通信连接;
④安全自检ROM引导程序8使用芯片密码算法硬件模块7中的哈希算法对USB主控芯片固件全部或部分数据进行哈希处理,得到USB主控芯片固件数字摘要;将该数字摘要与USB主控芯片设备证书15中的USB主控芯片固件数字摘要进行比对,如果数据一致,确认USB主控芯片固件数据未被篡改;如果数据不一致,USB设备将被阻止与USB主机进行通信连接;
⑤USB设备与USB主机建立通信连接后,USB主控芯片将执行USB主控芯片安全管理***C的安全验证管理固件程序9,配合USB主机对USB设备的可信认证。
4)USB主控芯片的可信认证:
①USB主机检测到USB设备后,建立通信连接,USB设备可信认证***D的USB主控芯片认证管理器10与USB主控芯片安全管理***C的安全验证管理固件程序9进行会话通讯,获取USB主控芯片设备证书15;并使用密钥安全存储单元11中的第三方认证公钥13和认证密码算法模块12中的数字验签算法验证USB主控芯片设备证书15的数字签名,确认USB主控芯片设备证书15的合法性和完整性;如未通过数字签名验证,直接断开USB主机与USB设备的通信连接。
②USB设备可信认证统D的USB主控芯片认证管理器10开始USB设备枚举过程,从USB主控芯片获取USB设备类型声明,将该USB设备类型声明与USB主控芯片设备证书15中的设备类型说明进行比对;如果设备类型一致,则继续USB设备的正常枚举过程;如设备类型不一致,直接断开USB主机与USB设备的通信连接。
Claims (5)
1.一种USB控制芯片级的USB设备可信认证方法,它使用包括由第三方认证授权管理***(A)、USB主控芯片设备证书生成管理***(B)、USB主控芯片安全管理***(C)和USB设备可信认证***(D)组成的可信认证***;其中第三方芯片检测机构使用的第三方认证授权管理***(A)由授权管理器(1)、授权密码算法模块(2)和USB主控芯片设备证书签发管理器(3)组成,授权密码算法模块(2)中包含哈希算法、数字签名算法和数字验签算法;由USB主控芯片生产厂商使用的USB主控芯片设备证书生成管理***(B)由***密码算法模块(4)和芯片设备证书生成器(5)组成,***密码算法模块(4)中包含哈希算法和数字签名算法;内置于USB设备USB主控芯片的USB主控芯片安全管理***(C)由芯片安全存储单元(6)、芯片密码算法硬件模块(7)、安全自检ROM引导程序(8)和安全验证管理固件程序(9)组成,芯片密码算法硬件模块(7)包含硬件实现的哈希算法和数字验签算法;USB主机端的USB设备可信认证***(D)由USB主控芯片认证管理器(10)、密钥安全存储单元(11)和认证密码算法模块(12)组成,认证密码算法模块(12)中包含数字验签算法;其主要实施步骤为:
1)***授权:
① 第三方认证授权管理***(A)中的授权管理器(1)为USB设备可信认证***(D)提供第三方认证公钥(13),并存储固化到USB设备可信认证***(D)的密钥安全存储单元(11)中;
②第三方认证授权管理***(A)中的授权管理器(1)为USB主控芯片安全管理***(C)提供第三方认证公钥(13),并存储固化到USB主控芯片安全管理***(C)的芯片安全存储单元(6)中;
2)USB主控芯片设备证书生成、签发与存储固化:
①USB主控芯片设备证书生成管理***(B)的芯片设备证书生成器(5)使用***密码算法模块(4)中的哈希算法对USB主控芯片中的USB主控芯片固件全部或部分数据进行哈希处理,生成USB主控芯片固件数字摘要,并使用芯片设备私钥和***密码算法模块(4)中的数字签名算法生成USB主控芯片固件数字摘要的数字签名;将USB主控芯片标识、USB设备类型说明、芯片设备公钥、USB主控芯片固件数字摘要以及固件数字摘要的数字签名信息打包生成与USB主控芯片对应的芯片设备证书体(14);芯片设备证书体(14)将被提供给第三方认证授权管理***(A);
②第三方认证授权管理***(A)中的USB主控芯片设备证书签发管理器(3)使用芯片设备证书体(14)中的芯片设备公钥和授权密码算法模块(2)中的数字验签算法验证芯片设备证书体(14)中的USB主控芯片固件数字摘要的数字签名,确认USB主控芯片固件数字摘要的合法性和完整性;如通过数字签名验证,使用授权密码算法模块(2)中的哈希算法对USB主控芯片固件全部或部分数据进行哈希处理,生成USB主控芯片固件数字摘要,将该数字摘要与芯片设备证书体(14)中的USB主控芯片固件数字摘要进行比对,如果数据一致,则使用第三方签名私钥和授权密码算法模块(2)中的数字签名算法生成芯片设备证书体(14)的数字签名,并将芯片设备证书体(14)和数字签名打包生成USB主控芯片设备证书(15);
③USB主控芯片设备证书(15)将被存储固化在USB主控芯片安全管理***(C)的芯片安全存储单元(6)中;
3)USB主控芯片的安全自检:
①USB设备经USB总线连接USB主机,实现USB设备上电后,USB主控芯片开始执行USB主控芯片安全管理***(C)的安全自检ROM引导程序(8);
②安全自检ROM引导程序(8)使用芯片安全存储单元(6)中第三方认证公钥(13)和芯片密码算法硬件模块(7)中的数字验签算法验证芯片安全存储单元(6)中USB主控芯片设备证书(15)的数字签名,确认芯片设备证书的合法性和完整性;如未通过数字签名验证,USB设备将被阻止与USB主机进行通信连接;
③安全自检ROM引导程序(8)使用USB主控芯片设备证书(15)中的芯片设备公钥和芯片密码算法硬件模块(7)中的数字验签算法验证USB主控芯片设备证书(15)中的USB主控芯片固件数字摘要的数字签名,确认USB主控芯片固件数字摘要的合法性和完整性;如未通过数字签名验证,USB设备将被阻止与USB主机进行通信连接;
④安全自检ROM引导程序(8)使用芯片密码算法硬件模块(7)中的哈希算法对USB主控芯片固件全部或部分数据进行哈希处理,得到USB主控芯片固件数字摘要;将该数字摘要与USB主控芯片设备证书(15)中的USB主控芯片固件数字摘要进行比对,如果数据一致,确认USB主控芯片固件数据未被篡改;如果数据不一致,USB设备将被阻止与USB主机进行通信连接;
⑤USB设备与USB主机建立通信连接后,USB主控芯片将执行USB主控芯片安全管理***(C)的安全验证管理固件程序(9),配合USB主机对USB设备的可信认证;
4)USB主控芯片的可信认证:
①USB主机检测到USB设备后,建立通信连接,USB设备可信认证***(D)的USB主控芯片认证管理器(10)与 USB主控芯片安全管理***(C)的安全验证管理固件程序(9)进行会话通讯,获取USB主控芯片设备证书(15);并使用密钥安全存储单元(11)中的第三方认证公钥(13)和认证密码算法模块(12)中的数字验签算法验证USB主控芯片设备证书(15)的数字签名,确认USB主控芯片设备证书(15)的合法性和完整性;如未通过数字签名验证,直接断开USB主机与USB设备的通信连接;
②USB设备可信认证统(D)的USB主控芯片认证管理器(10)开始USB设备枚举过程,从USB主控芯片获取USB设备类型声明,将该USB设备类型声明与USB主控芯片设备证书(15)中的设备类型说明进行比对;如果设备类型一致,则继续USB设备的正常枚举过程;如设备类型不一致,直接断开USB主机与USB设备的通信连接。
2.如权利要求1所述的USB控制芯片级的USB设备可信认证方法,其特征在于,所述的USB设备可信认证***(D)的密钥安全存储单元(11)和USB主控芯片安全管理***(C)的芯片安全存储单元(6)均是指芯片内由芯片烧录工具一次性写入数据后受芯片保护的防篡改的存储单元。
3.如权利要求1或2所述的USB控制芯片级的USB设备可信认证方法,其特征在于,所述第三方认证公钥(13)和第三方签名私钥是由第三方认证授权管理***(A)管理,用于USB主控芯片设备证书(15) 的数字签名和验签;所述芯片设备私钥和芯片设备公钥是由USB主控芯片生产厂商所有和管理,用于对USB主控芯片固件进行数字签名和验签,与USB主控芯片没有一一对应关系。
4.如权利要求3所述的USB控制芯片级的USB设备可信认证方法,其特征在于,所述USB主控芯片标识是由USB主控芯片的型号和USB主控芯片固件版本号构成的标识,与USB主控芯片设备证书(15)一一对应。
5.一种USB控制芯片级的USB设备可信认证***,其特征在于,它由第三方认证授权管理***(A)、USB主控芯片设备证书生成管理***(B)、USB主控芯片安全管理***(C)和USB设备可信认证***(D)组成;所述第三方认证授权管理***(A)由授权管理器(1)、授权密码算法模块(2)和USB主控芯片设备证书签发管理器(3)组成,授权密码算法模块(2)中包含哈希算法、数字签名算法和数字验签算法;所述USB主控芯片设备证书生成管理***(B)由***密码算法模块(4)和芯片设备证书生成器(5)组成,***密码算法模块(4)中包含哈希算法和数字签名算法;所述USB主控芯片安全管理***(C)由芯片安全存储单元(6)、芯片密码算法硬件模块(7)、安全自检ROM引导程序(8)和安全验证管理固件程序(9)组成,芯片密码算法硬件模块(7)包含硬件实现的哈希算法和数字验签算法;所述USB设备可信认证***(D)由USB主控芯片认证管理器(10)、密钥安全存储单元(11)和认证密码算法模块(12)组成,认证密码算法模块(12)中包含数字验签算法;第三方认证授权管理***(A)是第三方芯片检测机构使用的***,完成对统USB主控芯片安全管理***(C)和USB设备可信认证系(D)的认证授权功能;USB主控芯片设备证书生成管理***(B)是USB主控芯片生产厂商使用的***,完成USB主控芯片设备证书(15)的生成和管理工作;USB主控芯片安全管理***(C)内置于USB设备的USB主控芯片,完成USB设备主控芯片的安全自检和安全验证功能;USB设备可信认证***(D)内置于USB主机控制器或由独立芯片实现,完成USB主机对USB设备的可信认证和安全使用验证功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510156573.8A CN106161024B (zh) | 2015-04-03 | 2015-04-03 | 一种usb控制芯片级的usb设备可信认证方法及其*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510156573.8A CN106161024B (zh) | 2015-04-03 | 2015-04-03 | 一种usb控制芯片级的usb设备可信认证方法及其*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106161024A CN106161024A (zh) | 2016-11-23 |
| CN106161024B true CN106161024B (zh) | 2023-05-12 |
Family
ID=57338008
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510156573.8A Active CN106161024B (zh) | 2015-04-03 | 2015-04-03 | 一种usb控制芯片级的usb设备可信认证方法及其*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106161024B (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108345805B (zh) * | 2017-05-05 | 2022-09-02 | 清华大学 | 验证固件的方法及装置 |
| CN107358109A (zh) * | 2017-07-17 | 2017-11-17 | 山东超越数控电子有限公司 | 一种安全增强智能终端加密存储*** |
| CN108199849B (zh) * | 2018-01-04 | 2021-01-05 | 北京中电华大电子设计有限责任公司 | 一种数据实时采集的USBkey设备安全攻击***及方法 |
| CN110532777B (zh) * | 2018-05-24 | 2023-08-29 | 霍尼韦尔环境自控产品(天津)有限公司 | 安全启动***及方法、终端设备及其核心*** |
| DE102018211597A1 (de) * | 2018-07-12 | 2020-01-16 | Siemens Aktiengesellschaft | Verfahren zur Einrichtung eines Berechtigungsnachweises für ein erstes Gerät |
| CN109063470A (zh) * | 2018-07-26 | 2018-12-21 | 郑州云海信息技术有限公司 | 一种bmc固件的安全验证方法及*** |
| CN111181724A (zh) * | 2018-11-09 | 2020-05-19 | 紫光同芯微电子有限公司 | 一种sim芯片安全可信认证***及其认证方法 |
| CN112579374B (zh) * | 2020-12-16 | 2024-03-08 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种用于嵌入式设备的安全调试的***和方法 |
| CN115630377B (zh) * | 2022-10-10 | 2023-06-06 | 广州市金其利信息科技有限公司 | 外部设备的接入方法、装置、计算机设备及外部设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553349A (zh) * | 2003-05-29 | 2004-12-08 | 联想(北京)有限公司 | 一种安全芯片及基于该芯片的信息安全处理设备和方法 |
| CN102427449A (zh) * | 2011-11-04 | 2012-04-25 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8898477B2 (en) * | 2007-11-12 | 2014-11-25 | Gemalto Inc. | System and method for secure firmware update of a secure token having a flash memory controller and a smart card |
-
2015
- 2015-04-03 CN CN201510156573.8A patent/CN106161024B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1553349A (zh) * | 2003-05-29 | 2004-12-08 | 联想(北京)有限公司 | 一种安全芯片及基于该芯片的信息安全处理设备和方法 |
| CN102427449A (zh) * | 2011-11-04 | 2012-04-25 | 北京工业大学 | 一种基于安全芯片的可信移动存储方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN106161024A (zh) | 2016-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106161024B (zh) | 一种usb控制芯片级的usb设备可信认证方法及其*** | |
| CN114154135B (zh) | 基于国密算法的车联网通信安全认证方法、***及设备 | |
| JP5703391B2 (ja) | 耐タンパー性ブート処理のためのシステム及び方法 | |
| CN105144626B (zh) | 提供安全性的方法和设备 | |
| CN103079200B (zh) | 一种无线接入的认证方法、***及无线路由器 | |
| CN102262599B (zh) | 一种基于可信根的移动硬盘指纹认证方法 | |
| RU2011153984A (ru) | Доверенный администратор достоверности (tim) | |
| CN103269271A (zh) | 一种备份电子签名令牌中私钥的方法和*** | |
| CN103248491B (zh) | 一种电子签名令牌私钥的备份方法和*** | |
| CN101610150B (zh) | 第三方数字签名方法和数据传输*** | |
| CN110795126A (zh) | 一种固件安全升级*** | |
| CN112866242B (zh) | 一种基于区块链的数字身份验证方法、设备及存储介质 | |
| CN109190401A (zh) | 一种Qemu虚拟可信根的数据存储方法、装置及相关组件 | |
| CN105099705A (zh) | 一种基于usb协议的安全通信方法及其*** | |
| WO2021128988A1 (zh) | 鉴权方法和设备 | |
| CN112311718A (zh) | 检测硬件的方法、装置、设备及存储介质 | |
| CN106992978B (zh) | 网络安全管理方法及服务器 | |
| CN112968774B (zh) | 一种组态存档加密及解密方法、装置存储介质及设备 | |
| WO2023070425A1 (zh) | 设备身份验证方法及装置、电子设备、计算机可读介质 | |
| CN105933117A (zh) | 一种基于tpm秘钥安全存储的数据加解密装置和方法 | |
| CN104486322A (zh) | 终端接入认证授权方法及终端接入认证授权*** | |
| CN105323245A (zh) | 智能终端及其授权方法和*** | |
| CN103281188A (zh) | 一种备份电子签名令牌中私钥的方法和*** | |
| TWI789291B (zh) | 用於認證在儲存裝置和主機裝置之間的資料傳輸之模組和方法 | |
| CN112702304A (zh) | 一种车辆信息的校验方法、装置及汽车 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |