一种基于usb协议的安全通信系统的制作方法
【技术领域】
[0001]本实用新型属于通信技术领域,具体涉及一种基于USB协议的安全通信系统。
【背景技术】
[0002]随着互联网技术的提升,各种远程代理服务器概念普及以及技术的拓展,越来越多的设备可通过自身芯片远程连接电脑进行浏览访问,有些可能是一些采用包装来伪造的远程代理服务器,这就导致电脑的安全性受到严重的影响,随着连接的设备可能会携带多种潜在问题威胁到电脑的安全。目前为止并没有全面的认证系统去识别第三方远程代理服务器的真伪。
【实用新型内容】
[0003]为了解决现有技术存在的上述问题,本实用新型提供了一种基于USB协议的安全通信系统。本实用新型通过在PC端对USB设备主控芯片的数字身份标识进行安全检查和验证,提高了主机加载USB设备的安全性,有效的保护了主机系统;通过建立与PC端的可信连接,保障了第三方通过USB设备远程访问主机的安全性。
[0004]本实用新型所采用的技术方案为:
[0005]一种基于USB协议的安全通信系统,其改进之处在于:所述系统包括USB设备和认证服务器;
[0006]所述认证服务器由服务器硬件组成,所述USB设备和认证服务器至少包含一个接口,用于建立两者之间的访问连接;
[0007]所述认证服务器包括通信模块、身份验证模块、第一分析模块、第二分析模块、加密模块、处理模块和人机交互模块;
[0008]所述身份验证模块为可编辑识别芯片;所述第一分析模块和第二分析模块为可编辑校验芯片。
[0009]优选的,所述通信模块包括采集单元和请求单元;
[0010]所述采集单元与所述请求单元相互通信,用于截获由请求单元发出的系统操作请求;并接收所述请求单元中无法篡改的且携带唯一数字身份标识的数字证书信息。
[0011]优选的,所述通信模块与身份验证模块相接,触发所述身份验证模块对USB设备的身份信息进行识别。
[0012]优选的,所述身份验证模块与第一分析模块通过CAN总线或数据总线相互连接,当身份信息有效时,通过所述第一分析模块执行完整度校验;校验通过,与认证服务器建立可信连接;当身份信息无效时,通过所述第一分析模块将该无效身份中带有危险状况标注的告警信息推送至处理模块。
[0013]优选的,所述第一分析模块用于接收USB设备的完整性信息执行完整度校验;利用动态度量法校验本地动态度量摘要值,校验合法后向USB设备发送可信连接认证;同时向所述加密模块发送信号对认证数据进行加密。
[0014]优选的,所述第二分析模块用于校验远程代理服务器通过USB设备向PC端发起建立可信连接请求,进行远程代理服务器中服务权限标识与PC端白名单库服务列表中USB设备的权限标识校验。
[0015]优选的,所述处理模块用于控制整个系统,接收所述第一分析模块发送的完整度校验结果,并以图形及表格的形式发送至所述人机交互模块。
[0016]优选的,所述人机交互模块用于显示系统的完整度校验结果。
[0017]优选的,所述连接认证包括通过openssl传输的tcp连接认证和udp连接认证。
[0018]根据权利要求1所述的一种基于USB协议的安全通信系统,其特征在于:所述处理模块包括信息维护单元和同步信息单元;
[0019]所述信息维护单元与同步信息单元相连,为同步信息单元构建存放已建立可信连接的USB设备信息的白名单。
[0020]本实用新型的有益效果为:
[0021]本实用新型首先通过PC端与USB设备建立安全检查和验证,提高了主机的安全性,有效的保护了主机系统,在通过USB设备的身份信息与第三方远程代理服务器去验证真伪,这样即使第三方远程代理服务器存在问题也会第一时间被PC端发现并采取必要措施,再次通过USB设备提升了主机的安全性。
【附图说明】
[0022]图1是本实用新型提供的一种基于USB协议的安全通信系统结构示意图。
【具体实施方式】
[0023]如图1所示,本实用新型提供了一种基于USB协议的安全通信系统,包括USB设备和认证服务器;
[0024]认证服务器由服务器硬件组成,所述USB设备和认证服务器至少包含一个接口,用于建立两者之间的访问连接。
[0025]所述认证服务器包括通信模块、身份验证模块、第一分析模块、第二分析模块、加密模块、处理模块和人机交互模块;
[0026]身份验证模块为可编辑识别芯片;所述第一分析模块和第二分析模块为可编辑校验芯片。
[0027]通信模块包括采集单元和请求单元;
[0028]采集单元与所述请求单元相互通信,用于截获由请求单元发出的系统操作请求;并接收所述请求单元中无法篡改的且携带唯一数字身份标识的数字证书信息。
[0029]通信模块与身份验证模块相接,触发所述身份验证模块对USB设备的身份信息进行识别。
[0030]身份验证模块与第一分析模块通过CAN总线或数据总线相互连接,当身份信息有效时,通过所述第一分析模块执行完整度校验;校验通过,与认证服务器建立可信连接;当身份信息无效时,通过所述第一分析模块将该无效身份中带有危险状况标注的告警信息推送至处理模块。
[0031]第一分析模块用于接收USB设备的完整性信息执行完整度校验;利用动态度量法校验本地动态度量摘要值,校验合法后向USB设备发送可信连接认证;同时向所述加密模块发送信号对认证数据进行加密;
[0032]第二分析模块用于校验远程代理服务器通过USB设备向PC端发起建立可信连接请求,进行远程代理服务器中服务权限标识与PC端白名单库服务列表中USB设备的权限标识校验。
[0033]处理模块用于控制整个系统,接收所述第一分析模块发送的完整度校验结果,并以图形及表格的形式发送至所述人机交互模块。
[0034]人机交互模块用于显示系统的完整度校验结果。
[0035]连接认证包括通过openssl传输的tcp连接认证和udp连接认证。
[0036]处理模块包括信息维护单元和同步信息单元;
[0037]信息维护单元与同步信息单元相连,为同步信息单元构建存放已建立可信连接的USB设备信息的白名单。
[0038]本实用新型提供的一种基于USB协议的安全通信系统具体实现方式为:
[0039]将USB设备插入PC端接口,截获由USB设备发出的系统操作请求;身份信息为主控芯片无法篡改的且携带唯一数字身份标识的数字证书和有效性信息。
[0040]主控芯片的数字身份标识的存在方式可以是但不限于数字证书方式;所述的数字证书是多种密码体系下形成的数字签名证书,包括但不限于PK1、IBE/IBC、CPK体系。
[0041]触发认证服务器对所述USB设备的身份信息进行识别,根据识别结果判断其有效性;
[0042]验证USB设备的身份信息,即验证USB主控芯片的不可抵赖、不可篡改的数字身份标识。PC端认证服务器可采用B1S、(U)EF1、嵌入式操作系统和片上操作系统等操作系统服务器、验证USB设备不可篡改、不可抵赖的数字身份标识通过挑战应答方式、私有密码通讯等方式实现;所述验证USB设备的身份信息过程中使用的算法,包括非对称密钥(公钥,私钥)加密算法和数字摘要算法等。
[0043]其中,非对称密钥密码(公钥,私钥)算法使用两个密钥:公开密钥和私有密钥,分别用于对数据的加密和解密,即如果用公开密钥对数据进行加密,只有用对应的私有密钥才能进行解密;如果用私有密钥对数据进行加密,则只有用对应的公开密钥才能解密。
[0044]数字摘要算法(Digital Digest)也称作为安全HASH编码法(SHA:SecureHashAlgorithm)。数字摘要算法用于对所要传输的数据进行运算生成信息摘要,它并不是一种加密机制,但却能产生信息的数字“指纹”,它的目的是为了确保数据没有被修改或变化,保证