[实用新型]一种USB控制芯片级的USB设备可信认证装置

说明书

技术领域

本实用新型涉及信息安全技术领域，特别是USB控制芯片级的USB设备可信认证装置。

背景技术

USB (Universal Serial Bus)是用来连接计算机与外围装置之间的总线，其随插即用(Plug and Play)的功能，使其不须经过复杂的安装即可任意将外围设备连结、配置、使用及移除。而由于USB的弹性与容易使用，使得支持USB的外围装置包括鼠标、键盘、喇叭、调制解调器、扫描机等各种不同的产品逐年增加。时至今日，USB接口已成为自COM port（串行端口）以后，计算机上最成功的外围连接接口，相关的产品也以每年超过30%的增幅进入市场。

移动存储介质（简称U盘）作为最广泛使用的USB设备，具有体积小、容量大、携带方便的特点，是信息交换的一种便捷介质。为了便于生产和售后维护，U盘主控芯片均向合作伙伴提供了量产工具，用于定义产品功能和技术参数，以及通过软件修复产品售后所出现的问题。但是，U盘主控芯片本身的固件则属于芯片厂家秘密，并不开放，类似做法在USB的其他外围设备产品中也同样采用。

通过对USB主控芯片固件的原理分析和逆向工程，黑客组织发现了被称为“BADUSB”的安全缺陷，使得计算机可以自行修改U盘主控芯片的固件，从而可以通过主控芯片对其插入的计算机系统进行攻击；主控芯片固件也可以主动攻击计算机系统，使其成为攻击传播的一个链条，形成了一条“计算机—>多个U盘—>更多计算机”的指数扩散感染模型，从而引发了对移动存储介质如何进行安全管理的思考。

现有技术中，由于计算机、操作系统体系和USB协议的设计缺陷，导致目前无法通过软件手段对上述攻击方法进行防御，对全球的计算机系统，包括工业和国家基础设施的自控系统，都构成了迫在眉睫的严重威胁。

发明内容

针对上述现有技术中存在的问题，本实用新型的目的是提供一种USB控制芯片级的USB设备可信认证装置。它综合运用非对称密码技术和可信认证技术，对USB主机的主控制器和USB设备的主控芯片进行安全性增强改造，并通过第三方检测机构对USB主控芯片进行认证授权管理，实现USB主机对USB设备的可信认证，达到阻止所有试图以USB控制芯片固件为中介的黑客攻击模式的目的，从而构建计算机系统和USB设备系统的可信计算和通讯环境。

为了实现上述发明目的，本实用新型的技术方案以如下方式实现：

一种USB控制芯片级的USB设备可信认证装置，其结构特点是，它由第三方认证授权管理系统、USB主控芯片设备证书生成管理系统、USB主控芯片安全管理系统和USB设备可信认证系统组成。所述第三方认证授权管理系统由授权管理器、授权密码算法模块和USB主控芯片设备证书签发管理器组成,授权密码算法模块中包含哈希算法、数字签名算法和数字验签算法。所述USB主控芯片设备证书生成管理系统由系统密码算法模块和芯片设备证书生成器组成,系统密码算法模块中包含哈希算法和数字签名算法。所述的USB主控芯片安全管理系统由芯片安全存储单元、芯片密码算法硬件模块、安全自检ROM引导程序和安全验证管理固件程序组成, 芯片密码算法硬件模块包含硬件实现的哈希算法和数字验签算法。所述的USB设备可信认证系统由USB主控芯片认证管理器、密钥安全存储单元和认证密码算法模块组成,认证密码算法模块中包含数字验签算法。第三方认证授权管理系统是第三方芯片检测机构使用的系统，完成对USB主控芯片安全管理系统和USB设备可信认证系统的认证授权功能。USB主控芯片设备证书生成管理系统是USB主控芯片生产厂商使用的系统，完成USB主控芯片证书的生成和管理工作。USB主控芯片安全管理系统内置于USB设备的USB主控芯片中，完成USB设备的主控芯片级安全自检和安全验证功能。USB设备可信认证系统内置于USB主机控制器中或由独立芯片实现，完成USB主机对USB设备的可信认证和安全使用验证功能。