一种usb控制芯片级的usb设备可信认证装置的制造方法
【技术领域】
[0001]本实用新型涉及信息安全技术领域,特别是USB控制芯片级的USB设备可信认证
目.ο
【背景技术】
[0002]USB (Universal Serial Bus)是用来连接计算机与外围装置之间的总线,其随插即用(Plug and Play)的功能,使其不须经过复杂的安装即可任意将外围设备连结、配置、使用及移除。而由于USB的弹性与容易使用,使得支持USB的外围装置包括鼠标、键盘、喇口八、调制解调器、扫描机等各种不同的产品逐年增加。时至今日,USB接口已成为自COM port(串彳丁端口)以后,计算机上最成功的外围连接接口,相关的广品也以每年超过30%的增幅进入市场。
[0003]移动存储介质(简称U盘)作为最广泛使用的USB设备,具有体积小、容量大、携带方便的特点,是信息交换的一种便捷介质。为了便于生产和售后维护,U盘主控芯片均向合作伙伴提供了量产工具,用于定义产品功能和技术参数,以及通过软件修复产品售后所出现的问题。但是,U盘主控芯片本身的固件则属于芯片厂家秘密,并不开放,类似做法在USB的其他外围设备产品中也同样采用。
[0004]通过对USB主控芯片固件的原理分析和逆向工程,黑客组织发现了被称为“BADUSB”的安全缺陷,使得计算机可以自行修改U盘主控芯片的固件,从而可以通过主控芯片对其插入的计算机系统进行攻击;主控芯片固件也可以主动攻击计算机系统,使其成为攻击传播的一个链条,形成了一条“计算机一〉多个U盘一〉更多计算机”的指数扩散感染模型,从而引发了对移动存储介质如何进行安全管理的思考。
[0005]现有技术中,由于计算机、操作系统体系和USB协议的设计缺陷,导致目前无法通过软件手段对上述攻击方法进行防御,对全球的计算机系统,包括工业和国家基础设施的自控系统,都构成了迫在眉睫的严重威胁。
【发明内容】
[0006]针对上述现有技术中存在的问题,本实用新型的目的是提供一种USB控制芯片级的USB设备可信认证装置。它综合运用非对称密码技术和可信认证技术,对USB主机的主控制器和USB设备的主控芯片进行安全性增强改造,并通过第三方检测机构对USB主控芯片进行认证授权管理,实现USB主机对USB设备的可信认证,达到阻止所有试图以USB控制芯片固件为中介的黑客攻击模式的目的,从而构建计算机系统和USB设备系统的可信计算和通讯环境。
[0007]为了实现上述发明目的,本实用新型的技术方案以如下方式实现:
[0008]一种USB控制芯片级的USB设备可信认证装置,其结构特点是,它由第三方认证授权管理系统、USB主控芯片设备证书生成管理系统、USB主控芯片安全管理系统和USB设备可信认证系统组成。所述第三方认证授权管理系统由授权管理器、授权密码算法模块和USB主控芯片设备证书签发管理器组成,授权密码算法模块中包含哈希算法、数字签名算法和数字验签算法。所述USB主控芯片设备证书生成管理系统由系统密码算法模块和芯片设备证书生成器组成,系统密码算法模块中包含哈希算法和数字签名算法。所述的USB主控芯片安全管理系统由芯片安全存储单元、芯片密码算法硬件模块、安全自检ROM引导程序和安全验证管理固件程序组成,芯片密码算法硬件模块包含硬件实现的哈希算法和数字验签算法。所述的USB设备可信认证系统由USB主控芯片认证管理器、密钥安全存储单元和认证密码算法模块组成,认证密码算法模块中包含数字验签算法。第三方认证授权管理系统是第三方芯片检测机构使用的系统,完成对USB主控芯片安全管理系统和USB设备可信认证系统的认证授权功能。USB主控芯片设备证书生成管理系统是USB主控芯片生产厂商使用的系统,完成USB主控芯片证书的生成和管理工作。USB主控芯片安全管理系统内置于USB设备的USB主控芯片中,完成USB设备的主控芯片级安全自检和安全验证功能。USB设备可信认证系统内置于USB主机控制器中或由独立芯片实现,完成USB主机对USB设备的可信认证和安全使用验证功能。
[0009]本实用新型由于采用了上述的结构,一方面对USB设备的主控芯片进行芯片级的安全改造,在与USB主机建立通信连接之前增加USB主控芯片的安全自检功能,保证USB主控芯片自身安全;另一方面,对USB主机的主控制器进行安全改造或增加独立芯片,在USB主机枚举USB设备之前增加USB主机对USB设备的可信认证功能,确保接入主机的USB设备是安全可信的。同时,通过第三方检测机构对USB主控芯片进行可信认证管理,实现USB主机对USB设备的可信认证,认证未通过的USB设备被拒绝与主机连接。本实用新型为信息及网络系统防御以USB为介质的攻击提供了一种USB控制芯片级的USB设备可信认证技术,从而解决了因计算机、操作系统体系和USB协议设计缺陷而导致的无法通过软件手段防御以USB为介质的攻击问题。本实用新型采用非对称密码技术实现了对USB主控芯片的授权管理和可信认证,并通过增加USB主控芯片的安全自检,从芯片层实现了 USB设备的自身安全,为USB设备的可信认证提供了可靠的技术保证。
[0010]下面结合附图和【具体实施方式】对本实用新型作进一步说明。
【附图说明】
[0011]图1为本实用新型装置的原理结构图;
[0012]图2为实施例中使用本实用新型装置实现USB设备可信认证方法中USB主机和USB设备的系统授权处理示意图;
[0013]图3为实施例中使用本实用新型装置实现USB设备可信认证方法中USB主控芯片设备证书生成、签发与存储固化处理示意图;
[0014]图4为图3中USB主控芯片设备证书生成系统流程图;
[0015]图5为实施例中使用本实用新型装置实现USB设备可信认证方法中USB主控芯片的安全自检处理系统流程图;
[0016]图6为实施例中使用本实用新型装置实现USB设备可信认证方法中USB主机对USB主控芯片的可信认证处理系统流程图。
【具体实施方式】
[0017]参看图1至图3,本实用新型USB控制芯片级的USB设备可信认证装置由第三方认证授权管理系统A、USB主控芯片设备证书生成管理系统B、USB主控芯片安全管理系统C和USB设备可信认证系统D组成。
[0018]第三方认证授权管理系统A是第三方芯片检测机构使用的系统,它由授权管理器
1、授权密码算法模块2和USB主控芯片设备证书签发管理器3组成,授权密码算法模块2中包含哈希算法、数字签名算法和数字验签算法,完成对统USB主控芯片安全管理系统C和USB设备可信认证系D的认证授权功能。第三方认证授权管理系统A —方面通过第三方认证公钥13的授权使用,实现对USB主机和USB设备的授权管理,另一方面,通过对USB主控芯片进行安全检测以及对待签的芯片设备证书体14进行数字签名,生成USB主控芯片设备证书15,实现USB主控芯片设备证书15的签发。
[0019]USB主控芯片设备证书生成管理系统B是USB主控芯片生产厂商使用的系统,它由系统密码算法模块4和芯片设备证书生成器5组成,系统密码算法模块4中包含哈希算法和数字签名算法,完成USB主控芯片设备证书的生成和管理工作。
[0020]USB主控芯片安全管理系统C内置于USB设备的USB主控芯片,由芯片安全存储单元6、芯片密码算法硬件模块7、安全自检ROM引导程序8和安全验证管理固件程序9组成,芯片密码算法硬件模块7包含硬件实现的哈希算法和数字验签算法,完成USB设备主控芯片的安全自检和安全验证功能。
[0021]USB设备可信认证系统D内置于USB主机控制器或由独立芯片实现,由USB主控芯片认证管理器10、密钥安全存储单元11和认证密码算法模块12组成,认证密码算法模块12中包含数字验签算法,完成USB主机对USB设备的可