一种热插拔设备的可信验证方法.pdf

本发明提供一种热插拔设备的可信验证方法。嵌入式系统开机上电后，对本地已加密的设备数据库进行解密后，获取已插入的热插拔设备的识别码与设备数据库进行匹配验证，如通过验证则加密设备数据库后执行系统登录操作并允许自动挂载已插入的热插拔设备，否则，拒绝执行系统登录操作；登录成功后，当硬件更换可信验证模块实时监测到当前时刻有热插播设备插入，则对本地已加密的设备数据库进行解密后，获取当前插入的热插拔设备的识别码与设备数据库进行匹配验证，如通过验证则加密设备数据库后允许自动挂载当前插入的热插拔设备，否则，拒绝挂载当前插入的热插拔设备。本发明能有效的对嵌入式系统实施保护，防止硬件设备被非法更换。

权利要求书
1.  一种热插拔设备的可信验证方法，其特征在于，包括以下步骤：
登录步骤：嵌入式系统开机上电后，硬件可信验证模块对本地已加密的设备数据库进行 解密后，获取已插入的热插拔设备的识别码与设备数据库中的可信设备识别码记录进行匹配 验证，如所有已插入的热插拔设备均通过验证则加密设备数据库后执行系统登录操作并允许 自动挂载已插入的热插拔设备，否则，拒绝执行系统登录操作并拒绝挂载未通过匹配验证的 热插拔设备；
实时监测步骤：登录成功后，当硬件更换可信验证模块实时监测到当前时刻有热插播设 备插入，则对本地已加密的设备数据库进行解密后，获取当前插入的热插拔设备的识别码与 设备数据库中的可信设备识别码记录进行匹配验证，如当前插入的热插拔设备通过验证则加 密设备数据库后允许自动挂载当前插入的热插拔设备，否则，拒绝挂载当前插入的热插拔设 备。

2.  如权利要求1所述一种热插拔设备的可信验证方法，其特征在于，所述加密采用高级 加密标准AES算法密码分组链接CBC模式。

3.  如权利要求1所述一种热插拔设备的可信验证方法，其特征在于，所述嵌入式系统的 操作系统为Linux。

说明书一种热插拔设备的可信验证方法
技术领域
本发明涉及嵌入式系统上热插拔设备的数据安全领域，具体涉及一种在嵌入式系统上对 热插拔设备的更换可信验证方法。
背景技术
嵌入式设备提供了诸如usb等与外界交互的接口，那么在某些安全性要求较高的设备上， 如何保证这些外围设备没有被人恶意更换。比如某些涉密的系统中，必须对其重要数据进行 备份，当系统中的数据被破坏时，就需要使用备份设备来恢复重要数据，如果这些用于备份 的设备被人恶意替换，那么有可能数据被恶意篡改了仍不自知，又或者非法人员使用usb等 设备对系统进行病毒木马等恶意攻击，导致系统瘫痪等严重后果。
高级加密标准AES(The Advanced Encryption Standard)是美国国家标准与技术研究所用 于加密电子数据的规范。AES是一个迭代的、对称密钥分组的密码，它可以使用128、192和 256位密钥，并且用128位分组加密和解密数据。
发明内容
本发明所要解决的技术问题是，提供一种针对嵌入式系统上热插拔设备更换的可信验证 方法。
本发明为解决上述技术问题所采用的技术方案是，一种热插拔设备的可信验证方法，包 括以下步骤：
登录步骤：嵌入式系统开机上电后，硬件可信验证模块对本地已加密的设备数据库进行 解密后，获取已插入的热插拔设备的识别码与设备数据库中的可信设备识别码记录进行匹配 验证，如所有已插入的热插拔设备均通过验证则加密设备数据库后执行系统登录操作并允许 自动挂载已插入的热插拔设备，否则，拒绝执行系统登录操作并拒绝挂载未通过匹配验证的 热插拔设备；
实时监测步骤：登录成功后，当硬件更换可信验证模块实时监测到当前时刻有热插播设 备插入，则对本地已加密的设备数据库进行解密后，获取当前插入的热插拔设备的识别码与 设备数据库中的可信设备识别码记录进行匹配验证，如当前插入的热插拔设备通过验证则加 密设备数据库后允许自动挂载当前插入的热插拔设备，否则，拒绝挂载当前插入的热插拔设 备。
本发明的有益效果是，能有效的对嵌入式系统实施保护，防止硬件设备被非法更换。
附图说明
图1是本实施例热插拔设备的可信验证方法流程图；
图2是本实施例登录步骤流程图；
图3是本实时监测步骤流程图。
具体实施方式
下述经验证可信的设备称为可信设备，经验证不可信的设备称为非可信设备。为了唯一 标记每个设备，使用设备的供应商识别码和产品识别码来对不同设备进行区分，因为每个硬 件设备出厂都具有唯一的供应商识别码和产品识别码。用户在执行登录程序时，通过上述的 唯一的识别码组，验证当前插入的所有设备，保证当前插入的所有设备都为可信设备，否则 拒绝用户的登录请求，以免非可信设备对系统造成危害；当系统在运行过程中插入硬件设备 时，通过上述的唯一的识别码组，验证该设备是否为可信设备，若设备经验证后为非可信设 备，应及时对其进行处理，防止该非可信设备对系统造成危害。
用户在使用该方法时，其操作步骤如下：
步骤a：开机上电，执行登录程序，验证当前插入的所有热插拔设备，若全部设备验证 通过，即当前所有设备为可信设备，则进入步骤b；若验证未通过，拒绝登录，重新执行登 录程序；
步骤b：登录成功，运行一个后台守护进程，该进程用于实时监测热插拔设备的插入，并 对其进行可信验证；
步骤c：当守护进程监听到有设备插入时，该进程访问设备数据库中的设备信息对其进行 可信验证，若验证可信，允许该设备挂载；若验证不可信，则拒绝挂载该设备。
本发明中的登录程序在原嵌入式系统命令行的登录程序的基础上，对其进行封装，加入 硬件可信验证模块，在实际登录过程中，先运行硬件可信验证模块，当验证通过后，才执行 原嵌入式系统的登录操作，若验证过程中有非可信设备，则拒绝用户执行登录操作。
本发明中将可信设备的识别码组统一存放在系统中指定的一个设备数据库中。为了保护 该数据库中的内容，防止可信设备的识别码组信息被非法读取，使用AES算法CBC模式对 设备数据库进行加密保护措施，在进行验证时，首先应该对数据库进行解密操作，然后获取 当前插入设备的识别码组，将该识别码组与系统中设备数据库的内容(系统验证可信的设备) 进行匹配，若匹配成功，则说明该插入设备验证可信；反之，若插入设备的识别码组与设备 数据库中的任一记录都不匹配，则说明当前插入设备为非可信设备，最后在验证操作完成后， 应该对数据库进行加密操作，防止数据库的内容被非法读取。
在普通用户的系统中，为了方便用户的使用，增强用户体验，U盘等热插拔设备在插入 系统时，一般会选择让设备自动挂载到系统中的指定目录。然而在本发明中，为了对系统及 其数据实施保护，对未进行可信验证的设备将不予挂载，取消其自动挂载的功能，而是在验 证过程中选择性的挂载设备，若验证为可信设备，则自动挂载该设备，相反，若验证为非可 信设备，则拒绝挂载该设备，以免该设备对系统造成危害，即系统对该非可信设备不予响应。
下面结合附图和以Linux操作系统为例对本发明作进一步的说明：
本实施例中的后台守护进程的监听使用NETLINK作为实现基础。NETLINK专门用于 Linux内核跟用户空间之间的异步通信，通过Linux这一内置机制，建立特殊的套接字，监听 从内核中是否有数据传递过来。当有新设备插入时，内核首先检测到设备的插入，利用 NETLINK将这一消息发送给特殊套接字，程序从套接字中读取内容，从而得知当前有新设备 插入。
本方法中分两部分对设备进行验证，分别为登录过程的硬件更换可信验证和系统运行过 程的硬件更换可信验证。完成验证功能的基础是一个经过加密的存储了所有对当前系统而言 为可信设备的识别码组的设备数据库，因为每个设备都有一个唯一的由出厂商识别码和产品 识别码组成的识别码组，因此以每个设备的识别码组为主键建立数据库，从而唯一识别每个 可信设备。在此基础上，进行硬件更换可信验证时，读出设备数据库的内容与插入设备的识 别码组进行匹配，通过匹配的结果从而判定插入设备为可信设备还是非可信设备。如图1， 用户在使用该方法时的操作步骤是：
步骤101：用户开机上电后，首先执行登录程序，该登录程序封装了原Linux命令行的登 录命令，并在执行登录操作前增加了对硬件进行可信验证的功能。为了保证用户安全的登录 进系统，必须在执行具体的登录操作前对当前插入的所有热插拔设备进行验证，只有当验证 了所有设备均为可信设备时，才允许该用户登录，并执行步骤102；
如图2为封装了硬件可信验证模块的登录程序的流程图，用户进入登录程序后，先运行 硬件可信验证模块，程序首先应该对加密过的设备数据库进行解密操作，然后循环获取当前 插入的热插拔设备的识别码组，将获取的识别码组与上述的设备数据库中的记录进行匹配， 若该设备匹配成功，则自动挂载该设备到指定目录，并接着对下一个设备进行匹配验证，当 所有设备经验证后都为可信设备，则执行原Linux系统的登录操作；反之，若该设备经验证 为非可信设备，则拒绝自动挂载该设备，并拒绝执行登录操作，不再继续进行剩余设备的验 证匹配，只有当用户拔除所有非可信设备时，才允许其执行登录操作，最后，在执行完验证 操作后，执行登录操作前，应该对设备数据库进行加密操作，防止设备数据库的内容被非法 读取。
步骤102：用户登录成功后，将运行一个用于硬件更换可信验证的后台守护进程，这个进 程将在系统运行过程中实时监测热插拔设备的插入事件，并对插入的设备进行可信验证，最 后根据验证结果对设备做出处理。该进程使用NETLINK机制来监听设备的插入。由于 NETLINK是Linux的内置功能，所以在编程使用时较为方便简单。首先创建一个 AF_NETLINK协议族下NETLINK_KOBJECT_UEVENT类型的特殊文件描述符(套接字)， 然后利用setsocketopt函数允许该文件描述符(套接字)复用其他端口，再利用band函数将自 身进程绑定到这个特殊文件描述符(套接字)，最后调用进程recv接收Linux系统内核传递过 来的数据。当有设备插入时，内核将消息发送给上述的特殊文件描述符(套接字)，即当守护 进程接收到从内核传递过来的数据时，就表明检测到当前有设备插入事件发生，此时执行步 骤103。
步骤103：步骤102中的守护进程实时监测硬件设备的插入，当该进程从特殊套接字中读 取到内核传递过来的数据时，就表明当前有新的热插拔设备插入。此时该进程对新插入的设 备进行可信验证，若设备经验证为可信设备，则允许该设备自动挂载；若经验证为非可信设 备，则拒绝挂载该设备。
如图3为进行硬件更换可信验证的后台守护进程的流程图，如图所示，当守护进程监听 到有新设备插入时，首先对设备数据库进行解密操作，然后获取插入设备的识别码组，与上 述设备数据库中的记录进行匹配验证，若能成功匹配某条记录，则说明该设备对系统而言为 可信设备，允许自动挂载该设备；相反，若在设备数据库中找不到任意一条记录与之匹配， 则说明该设备为非可信设备，拒绝自动挂载该设备，最后在验证操作完成后，必须对设备数 据库执行加密操作，防止数据库中的信息被非法读取，直到下次守护进程监测到新设备插入 时才能再次对数据库进行操作。
作为完成验证功能的基础的设备数据库，必须保证该数据库的数据安全，因为数据库中 存放的是对当前系统而言为可信设备的识别码组。因此为了防止这些数据被非法使用，本实 施例中使用AES算法密码分组链接CBC模式对设备数据库进行加密保护措施，采用此种模 式的优点在于安全性好，不容易主动攻击。采用此种模式的优点在于安全性好，不容易主动 攻击。AES是分组密钥，算法按照128位的分组长度对设备数据库进行分组，然后采用128 位的密钥长度对所有分组数据进行加密，最后形成加密设备数据库。因为数据库的加解密操 作都封装在验证操作中，即在登录程序和进行硬件更换可信验证的后台守护进程中，因此对 用户空间的用户来说，看到的只是一个经过加密后的数据库，无法获取到设备数据库中的内 容。