本发明专利技术公开了一种智能USB HUB的指纹生成与匹配方法,步骤包括:将可信任的USB设备接入智能HUB,HUB连续向USB设备发送请求,同时测量时域和频域信息;对测量的数据进行处理生成设备指纹,并将该设备指纹加入白名单库;对使用时要接入的USB设备,先获取其设备指纹;将获得的设备指纹与白名单中所有设备的设备指纹进行匹配;匹配成功则允许该USB设备接入目标设备。本发明专利技术从USB设备的电气特性出发,将不可修改的数据处理成设备指纹,根据设备指纹设置白名单,采用设备指纹匹配的方式判断是否为白名单中的设备,更加安全可靠。更加安全可靠。更加安全可靠。
【技术实现步骤摘要】
一种智能USB HUB的指纹生成与匹配方法
[0001]本专利技术属于USB安全
,尤其涉及一种智能USB HUB的指纹生成与匹配方法。
技术介绍
[0002]工控安全对现代工业生产运行和国家经济发展都至关重要。在工业上,工业终端设备与外部网络是分离的,当需要传输文件或者接入一些其他工具时,通常使用U盘、移动硬盘等USB设备。这些USB设备给工作带来了便利,同时也容易感染病毒给终端设备,造成终端设备的崩溃,所以USB安全至关重要。近年来,此类病毒开始逐渐利用USB驱动程序漏洞进行攻击,这类攻击具更底层,更隐蔽,更多针对杀毒软件无法顾及的死角,造成目标设备崩溃,更有可能会造成设备异常损坏,工厂停工等各种严重后果。USB不仅仅在数据传输过程中存在安全隐患,USB接口或内部控制芯片也可能存在安全问题。所以电网中的生产终端一般不允许外接USB设备,但是存在一些特殊场景,例如生成终端中的软件需要接入厂家提供的USB设备才能升级,这情况下必须要接入特定的USB设备,因此需要对USB设备接入进行权限管理。现在存在很多对USB接口进行物理隔离的防护方法,但是这些方法中对USB设备的接入策略大多是将USB设备的PID、VID等信息与黑白名单中的信息进行匹配,但这些信息是可以被伪造的,安全性低。
[0003]公开号CN115374494A的中国专利使用USB设备的PID和VID设置白名单来判断是否运行设备接入。而PID和VID可以进行篡改和伪造,所以仍然存在安全风险。本专利技术从USB设备的电气特性出发,将不可修改的数据处理成设备指纹,根据设备指纹设置白名单,采用设备指纹匹配的方式判断是否为白名单中的设备,更加安全可靠。
技术实现思路
[0004]目前很多对USB设备接入的识别策略是获取USB设备的PID、VID等信息与黑白名单中的信息进行匹配,但这些信息是可以被伪造的,可安全性低。本专利技术针对这一问题提出了一种用于智能USB HUB的USB设备指纹生成与匹配方法,其目的在于,解决现有USB设备接入安全性低的技术问题,防止对USB接口进行识别匹配的方法所采用的PID和VID等信息被修改,避免危险设备通过修改自身信息来伪造成白名单中的设备进行接入。
[0005]有鉴于此,本专利技术提出了一种智能USB HUB的指纹生成与匹配方法,包括以下步骤:
[0006]S1:将可信任的USB设备接入智能USB HUB,HUB连续向USB设备发送请求,同时测量时域和频域信息;
[0007]S2:对步骤S1测量的数据进行处理生成设备指纹,并将该设备指纹加入白名单库;
[0008]S3:对使用时要接入的USB设备,先根据步骤S1~S2获取其设备指纹;
[0009]S4:将获得的设备指纹与白名单中所有设备的设备指纹进行匹配;
[0010]S5:匹配成功则允许该USB设备接入目标设备。
[0011]进一步地,USB设备接入智能USB HUB后进入枚举过程,其具体步骤如下:
[0012]S11:USB设备接入时,智能USB HUB检测到电压变化,发现有设备接入,将消息反馈给内置嵌入式系统;
[0013]S12:内置嵌入式系统请求获取设备的速度类型信息;
[0014]S13:内置嵌入式系统请求让hub复位接入该USB设备的接口;
[0015]S14:内置嵌入式系统对于全速设备设备进行高速检测;
[0016]S15:内置嵌入式系统不断查询是否成功复位,直到复位成功;
[0017]S16:内置嵌入式系统请求获取默认管道的最大包长度,此时USB设备返回设备描述符;
[0018]S17:HUB再次对USB设备进行复位操作;
[0019]S18:内置嵌入式系统发送请求给USB设备分配一个唯一的地址,之后USB设备使用新地址与内置嵌入式系统进行通信;
[0020]S19:内置嵌入式系统再次发送请求获取设备描述符;
[0021]S110:内置嵌入式系统发送请求获取配置描述符;
[0022]S111:当字符串描述符存在时,内置嵌入式系统将发送请求获取字符串描述符;
[0023]S112:内置嵌入式系统为USB设备挂载驱动并选择相应的配置。
[0024]进一步地,在USB设备挂载完成后,连续给USB设备发送一系列Get_Descriptor请求,同时从USB设备接入开始,每次获取响应的间隔时间T
i
、数据包大小Q6、USB设备使用的USB协议版本S1、USB设备类型S2、USB设备的PID S3、VID S4信息。
[0025]进一步地,步骤S2中对每次获取响应的间隔时间进行处理,获取平均响应时间Q1、标准差Q2、四分位数Q3,Q4,Q5,将它们与数据包大小Q6、协议版本S1、类型S2、PIDS3、VIDS4一起作为一个特征向量来表示该USB设备的设备指纹。
[0026]进一步地,Q1,Q2,Q3,Q4,Q5的计算公式如下:
[0027][0028][0029][0030][0031]Q5=3*Q1,
[0032]m为发送请求数量。
[0033]进一步地,步骤S4中将步骤S3获得的设备指纹与白名单中所有设备的设备指纹进行匹配,采用如下方法步骤:
[0034]S41:先将步骤S3获得的设备指纹与白名单中所有设备的设备指纹中的字符串类型值进行匹配,例如:协议版本S1、类型S2、PIDS3、VIDS4;
[0035]S42:当字符串类型值不完全匹配时,将该偏差值d(i)设为k,否则对设备指纹中的数值类型值计算余弦相似度作为偏差值d(i),计算公式如下:
[0036]n为白名单中设备数量;
[0037]S43:找到步骤S42中最大的偏差值d(x)与阈值k进行比较,当d(x)>k时,认为插入的USB设备与x设备匹配成功;否则匹配失败。
[0038]本专利技术的有益效果如下:
[0039]本专利技术从USB设备的电气特性出发,将不可修改的数据处理成设备指纹,根据设备指纹设置白名单,采用设备指纹匹配的方式判断是否为白名单中的设备,更加安全可靠。
附图说明
[0040]图1本专利技术的指纹生成与匹配流程图。
具体实施方式
[0041]下面结合附图对本专利技术作进一步的说明,但不以任何方式对本专利技术加以限制,基于本专利技术教导所作的任何变换或替换,均属于本专利技术的保护范围。本专利技术提出了一种用于智能USB HUB的USB设备指纹生成与匹配方法,包括以下步骤:
[0042]S1首先将可信任的USB设备接入智能USB HUB,HUB连续向USB设备发送请求,同时测量时域和频域信息;
[0043]具体而言,USB设备接入智能USB HUB后首先进入枚举过程,其具体步骤如下:
[0044]S11:USB设备接入时,智能USB HUB检测到电压变化,发现有设备接入,将消息反馈给内置嵌入式系统;
[0045]S12本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种智能USB HUB的指纹生成与匹配方法,其特征在于,包括以下步骤:S1:将可信任的USB设备接入智能USB HUB,HUB连续向USB设备发送请求,同时测量时域和频域信息;S2:对步骤S1测量的数据进行处理生成设备指纹,并将该设备指纹加入白名单库;S3:对使用时要接入的USB设备,先根据步骤S1~S2获取其设备指纹;S4:将获得的设备指纹与白名单中所有设备的设备指纹进行匹配;S5:匹配成功则允许该USB设备接入目标设备。2.根据权利要求1所述的智能USB HUB的指纹生成与匹配方法,其特征在于,USB设备接入智能USB HUB后进入枚举过程,其具体步骤如下:S11:USB设备接入时,智能USB HUB检测到电压变化,发现有设备接入,将消息反馈给内置嵌入式系统;S12:内置嵌入式系统请求获取设备的速度类型信息;S13:内置嵌入式系统请求让hub复位接入该USB设备的接口;S14:内置嵌入式系统对于全速设备设备进行高速检测;S15:内置嵌入式系统不断查询是否成功复位,直到复位成功;S16:内置嵌入式系统请求获取默认管道的最大包长度,此时USB设备返回设备描述符;S17:HUB再次对USB设备进行复位操作;S18:内置嵌入式系统发送请求给USB设备分配一个唯一的地址,之后USB设备使用新地址与内置嵌入式系统进行通信;S19:内置嵌入式系统再次发送请求获取设备描述符;S110:内置嵌入式系统发送请求获取配置描述符;S111:当字符串描述符存在时,...
【专利技术属性】
技术研发人员:杨志邦,赖琪,李肯立,杨圣洪,蔡宇辉,余思洋,唐伟,段明星,吕婷,
申请(专利权)人:湖南匡安网络技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。