CN205029678U - 一种基于usb协议的安全通信系统 - Google Patents
一种基于usb协议的安全通信系统 Download PDFInfo
- Publication number
- CN205029678U CN205029678U CN201520629151.3U CN201520629151U CN205029678U CN 205029678 U CN205029678 U CN 205029678U CN 201520629151 U CN201520629151 U CN 201520629151U CN 205029678 U CN205029678 U CN 205029678U
- Authority
- CN
- China
- Prior art keywords
- module
- information
- analysis module
- communication system
- usb device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本实用新型涉及一种基于USB协议的安全通信系统,所述系统包括USB设备和认证服务器;所述认证服务器由服务器硬件组成,所述USB设备和认证服务器至少包含一个接口,用于建立两者之间的访问连接;包括通信模块、身份验证模块、第一分析模块、第二分析模块、加密模块、处理模块和人机交互模块;所述身份验证模块为可编辑识别芯片;所述第一分析模块和第二分析模块为可编辑校验芯片。本实用新型的有益效果为:本实用新型通过PC端与USB设备建立安全检查和验证,提高了主机的安全性,有效的保护了主机系统,在通过USB设备的身份信息与第三方远程代理服务器去验证真伪,再次通过USB设备提升了主机的安全性。
Description
技术领域
本实用新型属于通信技术领域,具体涉及一种基于USB协议的安全通信系统。
背景技术
随着互联网技术的提升,各种远程代理服务器概念普及以及技术的拓展,越来越多的设备可通过自身芯片远程连接电脑进行浏览访问,有些可能是一些采用包装来伪造的远程代理服务器,这就导致电脑的安全性受到严重的影响,随着连接的设备可能会携带多种潜在问题威胁到电脑的安全。目前为止并没有全面的认证系统去识别第三方远程代理服务器的真伪。
实用新型内容
为了解决现有技术存在的上述问题,本实用新型提供了一种基于USB协议的安全通信系统。本实用新型通过在PC端对USB设备主控芯片的数字身份标识进行安全检查和验证,提高了主机加载USB设备的安全性,有效的保护了主机系统;通过建立与PC端的可信连接,保障了第三方通过USB设备远程访问主机的安全性。
本实用新型所采用的技术方案为:
一种基于USB协议的安全通信系统,其改进之处在于:所述系统包括USB设备和认证服务器;
所述认证服务器由服务器硬件组成,所述USB设备和认证服务器至少包含一个接口,用于建立两者之间的访问连接;
所述认证服务器包括通信模块、身份验证模块、第一分析模块、第二分析模块、加密模块、处理模块和人机交互模块;
所述身份验证模块为可编辑识别芯片;所述第一分析模块和第二分析模块为可编辑校验芯片。
优选的,所述通信模块包括采集单元和请求单元;
所述采集单元与所述请求单元相互通信,用于截获由请求单元发出的系统操作请求;并接收所述请求单元中无法篡改的且携带唯一数字身份标识的数字证书信息。
优选的,所述通信模块与身份验证模块相接,触发所述身份验证模块对USB设备的身份信息进行识别。
优选的,所述身份验证模块与第一分析模块通过CAN总线或数据总线相互连接,当身份信息有效时,通过所述第一分析模块执行完整度校验;校验通过,与认证服务器建立可信连接;当身份信息无效时,通过所述第一分析模块将该无效身份中带有危险状况标注的告警信息推送至处理模块。
优选的,所述第一分析模块用于接收USB设备的完整性信息执行完整度校验;利用动态度量法校验本地动态度量摘要值,校验合法后向USB设备发送可信连接认证;同时向所述加密模块发送信号对认证数据进行加密。
优选的,所述第二分析模块用于校验远程代理服务器通过USB设备向PC端发起建立可信连接请求,进行远程代理服务器中服务权限标识与PC端白名单库服务列表中USB设备的权限标识校验。
优选的,所述处理模块用于控制整个系统,接收所述第一分析模块发送的完整度校验结果,并以图形及表格的形式发送至所述人机交互模块。
优选的,所述人机交互模块用于显示系统的完整度校验结果。
优选的,所述连接认证包括通过openssl传输的tcp连接认证和udp连接认证。
根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述处理模块包括信息维护单元和同步信息单元;
所述信息维护单元与同步信息单元相连,为同步信息单元构建存放已建立可信连接的USB设备信息的白名单。
本实用新型的有益效果为:
本实用新型首先通过PC端与USB设备建立安全检查和验证,提高了主机的安全性,有效的保护了主机系统,在通过USB设备的身份信息与第三方远程代理服务器去验证真伪,这样即使第三方远程代理服务器存在问题也会第一时间被PC端发现并采取必要措施,再次通过USB设备提升了主机的安全性。
附图说明
图1是本实用新型提供的一种基于USB协议的安全通信系统结构示意图。
具体实施方式
如图1所示,本实用新型提供了一种基于USB协议的安全通信系统,包括USB设备和认证服务器;
认证服务器由服务器硬件组成,所述USB设备和认证服务器至少包含一个接口,用于建立两者之间的访问连接。
所述认证服务器包括通信模块、身份验证模块、第一分析模块、第二分析模块、加密模块、处理模块和人机交互模块;
身份验证模块为可编辑识别芯片;所述第一分析模块和第二分析模块为可编辑校验芯片。
通信模块包括采集单元和请求单元;
采集单元与所述请求单元相互通信,用于截获由请求单元发出的系统操作请求;并接收所述请求单元中无法篡改的且携带唯一数字身份标识的数字证书信息。
通信模块与身份验证模块相接,触发所述身份验证模块对USB设备的身份信息进行识别。
身份验证模块与第一分析模块通过CAN总线或数据总线相互连接,当身份信息有效时,通过所述第一分析模块执行完整度校验;校验通过,与认证服务器建立可信连接;当身份信息无效时,通过所述第一分析模块将该无效身份中带有危险状况标注的告警信息推送至处理模块。
第一分析模块用于接收USB设备的完整性信息执行完整度校验;利用动态度量法校验本地动态度量摘要值,校验合法后向USB设备发送可信连接认证;同时向所述加密模块发送信号对认证数据进行加密;
第二分析模块用于校验远程代理服务器通过USB设备向PC端发起建立可信连接请求,进行远程代理服务器中服务权限标识与PC端白名单库服务列表中USB设备的权限标识校验。
处理模块用于控制整个系统,接收所述第一分析模块发送的完整度校验结果,并以图形及表格的形式发送至所述人机交互模块。
人机交互模块用于显示系统的完整度校验结果。
连接认证包括通过openssl传输的tcp连接认证和udp连接认证。
处理模块包括信息维护单元和同步信息单元;
信息维护单元与同步信息单元相连,为同步信息单元构建存放已建立可信连接的USB设备信息的白名单。
本实用新型提供的一种基于USB协议的安全通信系统具体实现方式为:
将USB设备插入PC端接口,截获由USB设备发出的系统操作请求;身份信息为主控芯片无法篡改的且携带唯一数字身份标识的数字证书和有效性信息。
主控芯片的数字身份标识的存在方式可以是但不限于数字证书方式;所述的数字证书是多种密码体系下形成的数字签名证书,包括但不限于PKI、IBE/IBC、CPK体系。
触发认证服务器对所述USB设备的身份信息进行识别,根据识别结果判断其有效性;
验证USB设备的身份信息,即验证USB主控芯片的不可抵赖、不可篡改的数字身份标识。PC端认证服务器可采用BIOS、(U)EFI、嵌入式操作系统和片上操作系统等操作系统服务器、验证USB设备不可篡改、不可抵赖的数字身份标识通过挑战应答方式、私有密码通讯等方式实现;所述验证USB设备的身份信息过程中使用的算法,包括非对称密钥(公钥,私钥)加密算法和数字摘要算法等。
其中,非对称密钥密码(公钥,私钥)算法使用两个密钥:公开密钥和私有密钥,分别用于对数据的加密和解密,即如果用公开密钥对数据进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,则只有用对应的公开密钥才能解密。
数字摘要算法(DigitalDigest)也称作为安全HASH编码法(SHA:SecureHashAlgorithm)。数字摘要算法用于对所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但却能产生信息的数字“指纹”,它的目的是为了确保数据没有被修改或变化,保证信息的完整性不被破坏。
若身份信息有效,再次执行完整度校验;校验通过,建立与PC端的可信连接;
USB设备的身份信息包括以下至少之一:类型信息、型号信息、版本号信息、供应商信息、数字签名信息、生效日期、失效日期等;再次执行完整度校验包括,PC端接收USB设备的完整性信息,利用动态度量法校验本地动态度量摘要值,校验合法后向USB设备发送可信连接认证;并对认证数据进行加密。
连接认证包括tcp连接认证和udp连接认证;加密采用国密SM算法和AES算法加密,并通过openssl传输。
当USB设备的身份信息检查和验证通过后,建立与PC端的可信连接;远端代理服务器通过USB设备向PC端发起建立可信连接请求;PC端响应此请求;启动PC端可信平台,注册服务总线;接受远端代理服务器连接请求;双访问权限标识的信息验证全部通过后,响应建立可信连接请求;接收远端代理服务器服务请求,生成远程浏览指令;
双访问权限标识的信息验证未通过,则将该远端代理服务器中带有危险状况标注的告警信息推送至PC端显示器上显示。
具体实施例包括:USB设备(权限标识0x00000001)远端代理服务器(服务权限标识0x00000001)。当远程代理服务器通过USB设备向PC端发起请求时,使用服务权限标识0x00000001,请求在PC端被截获之后,利用PC端可信平台提取远程代理服务器的服务权限标识0x00000001,同时在本地白名单库服务列表中寻找USB设备的权限标识;并提取USB设备的权限标识0x00000001;将用户和服务的主客体权限标识进行异或运算(0x00000001xor0x00000001=0),判定通过,则允许其发起远程浏览请求。
设置白名单库,用于存放已建立可信连接的USB设备信息;其中,所述白名单库,包括本地白名单库、网络白名单库和临时白名单库;
本地白名单库,在程序初始化安装时,通过扫描接口扫描生成;所述扫描接口,包括程序安装接口、软件扫描接口和网络控件扫描接口。
其中,网络白名单库包括:当PC端将已建立可信连接的USB设备信息上报至管理中心后,通过管理中心自动生成;并将所有白名单文件均保存在whitelist文件中,对白名单库中的所有信息提供防篡改保护,禁止非授权的修改行为,防止改名、更换位置、修改内容和删除操作;
在默认情况下,仅允许升级程序及升级程序所创建的执行程序对白名单库中的执行程序进行增、删、改操作,修改后的可执行程序保存在临时文件中,待操作系统重启后将临时文件写入到临时白名单库中。
若身份信息无效或建立与PC端的可信连接失败,将带有危险状况标注的告警信息推送至PC端;
当USB设备的身份信息检查和验证无效,则直接终止PC端与USB设备,并通过PC端中认证服务器将该无效身份中带有危险状况标注的告警信息推送至PC端显示器上显示,从而有效地保护了计算机主机系统的安全;
当远端代理服务器与PC端的可信连接,双访问权限标识的信息验证未通过,则将该远端代理服务器中带有危险状况标注的告警信息推送至PC端显示器上显示。
例如:USB设备(权限标识0x00000001)远端代理服务器(服务权限标识0x00000000)。当远程代理服务器通过USB设备向PC端发起请求时,使用服务权限标识0x00000000,请求在PC端被截获之后,利用PC端可信平台提取远程代理服务器的服务权限标识0x00000000,同时在本地白名单库服务列表中寻找USB设备的权限标识;并提取USB设备的权限标识0x00000001;由于其权限判定不通过(0x00000000xor0x00000001=1),则不允许其发起远程浏览请求,并将该远端代理服务器中带有危险状况标注的告警信息推送至PC端显示器上显示。
本实用新型不局限于上述最佳实施方式,任何人在本实用新型的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是具有与本申请相同或相近似的技术方案,均落在本实用新型的保护范围之内。
Claims (10)
1.一种基于USB协议的安全通信系统,其特征在于:所述系统包括USB设备和认证服务器;
所述认证服务器由服务器硬件组成,所述USB设备和认证服务器至少包含一个接口,用于建立两者之间的访问连接;
所述认证服务器包括通信模块、身份验证模块、第一分析模块、第二分析模块、加密模块、处理模块和人机交互模块;
所述身份验证模块为可编辑识别芯片;所述第一分析模块和第二分析模块为可编辑校验芯片。
2.根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述通信模块包括采集单元和请求单元;
所述采集单元与所述请求单元相互通信,用于截获由请求单元发出的系统操作请求;并接收所述请求单元中无法篡改的且携带唯一数字身份标识的数字证书信息。
3.根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述通信模块与身份验证模块相接,触发所述身份验证模块对USB设备的身份信息进行识别。
4.根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述身份验证模块与第一分析模块通过CAN总线或数据总线相互连接,当身份信息有效时,通过所述第一分析模块执行完整度校验;校验通过,与认证服务器建立可信连接;当身份信息无效时,通过所述第一分析模块将该无效身份中带有危险状况标注的告警信息推送至处理模块。
5.根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述第一分析模块用于接收USB设备的完整性信息执行完整度校验;利用动态度量法校验本地动态度量摘要值,校验合法后向USB设备发送可信连接认证;同时向所述加密模块发送信号对认证数据进行加密。
6.根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述第二分析模块用于校验远程代理服务器通过USB设备向PC端发起建立可信连接请求,进行远程代理服务器中服务权限标识与PC端白名单库服务列表中USB设备的权限标识校验。
7.根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述处理模块用于控制整个系统,接收所述第一分析模块发送的完整度校验结果,并以图形及表格的形式发送至所述人机交互模块。
8.根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述人机交互模块用于显示系统的完整度校验结果。
9.根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述连接认证包括通过openssl传输的tcp连接认证和udp连接认证。
10.根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述处理模块包括信息维护单元和同步信息单元;
所述信息维护单元与同步信息单元相连,为同步信息单元构建存放已建立可信连接的USB设备信息的白名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201520629151.3U CN205029678U (zh) | 2015-08-19 | 2015-08-19 | 一种基于usb协议的安全通信系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201520629151.3U CN205029678U (zh) | 2015-08-19 | 2015-08-19 | 一种基于usb协议的安全通信系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN205029678U true CN205029678U (zh) | 2016-02-10 |
Family
ID=55262179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201520629151.3U Expired - Fee Related CN205029678U (zh) | 2015-08-19 | 2015-08-19 | 一种基于usb协议的安全通信系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN205029678U (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109905366A (zh) * | 2019-01-16 | 2019-06-18 | 平安科技(深圳)有限公司 | 终端设备安全验证方法、装置、可读存储介质及终端设备 |
-
2015
- 2015-08-19 CN CN201520629151.3U patent/CN205029678U/zh not_active Expired - Fee Related
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109905366A (zh) * | 2019-01-16 | 2019-06-18 | 平安科技(深圳)有限公司 | 终端设备安全验证方法、装置、可读存储介质及终端设备 |
| CN109905366B (zh) * | 2019-01-16 | 2022-03-22 | 平安科技(深圳)有限公司 | 终端设备安全验证方法、装置、可读存储介质及终端设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361668B (zh) | 一种数据可信传输方法 | |
| CN105099705A (zh) | 一种基于usb协议的安全通信方法及其系统 | |
| US6138239A (en) | Method and system for authenticating and utilizing secure resources in a computer system | |
| US8312272B1 (en) | Secure authentication token management | |
| KR101078546B1 (ko) | 범용 저장장치의 식별정보를 기반으로 하는 보안 데이터 파일 암호화 및 복호화 장치, 그를 이용한 전자 서명 시스템 | |
| Paverd et al. | Hardware security for device authentication in the smart grid | |
| CN101005361A (zh) | 一种服务器端软件保护方法及系统 | |
| CN105207776A (zh) | 一种指纹认证方法及系统 | |
| CN104735065A (zh) | 一种数据处理方法、电子设备及服务器 | |
| CN101661599A (zh) | 一种对设备系统自带的软件进行合法性认证的方法 | |
| CN105740725A (zh) | 一种文件保护方法与系统 | |
| CN102025503A (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
| Jang et al. | Biometric Enabled Portable Trusted Computing Platform | |
| US20150047001A1 (en) | Application program execution device | |
| WO2018033017A1 (zh) | 一种授信的终端状态转换方法和系统 | |
| CN112968774B (zh) | 一种组态存档加密及解密方法、装置存储介质及设备 | |
| CN105933117A (zh) | 一种基于tpm秘钥安全存储的数据加解密装置和方法 | |
| CN114785514A (zh) | 一种用于工业物联化终端应用许可授权的方法及系统 | |
| CN205029678U (zh) | 一种基于usb协议的安全通信系统 | |
| CN100334519C (zh) | 建立可信输入输出通道的方法 | |
| KR20130100032A (ko) | 코드 서명 기법을 이용한 스마트폰 어플리케이션 배포 방법 | |
| CN107317925B (zh) | 移动终端 | |
| CN116881936A (zh) | 可信计算方法及相关设备 | |
| CN102025492A (zh) | 一种web服务器及其数据保护方法 | |
| CN110460562A (zh) | 一种pos终端远程激活方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160210 Termination date: 20180819 |