試論USB接口的安全性

摘要:USB(UniversalSerial Bus 通用串行總線)技術(shù)已成為計(jì)算機(jī)與外設(shè)之間進(jìn)行數(shù)據(jù)交換的主流總線協(xié)議。然而在USB設(shè)備給人們帶來極大地方便的同時(shí)，人們似乎忽視了USB的安全性。該文簡要概述了一下USB技術(shù)及其特點(diǎn)，然后重點(diǎn)分析了目前人們使用USB設(shè)備存在的幾種安全隱患及應(yīng)對措施。

關(guān)鍵詞:USB技術(shù);安全性

中圖分類號:TP311 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-3044(2009)36-10583-02

On the Security of USB Interface

YANG Xiao-feng

(Sub-company Information Center， Storage Transportation Sales of Daqing Oilfield Company， Daqing 163453， China)

Abstract: USB technology has been the main connection protocol between computer and peripheral. When USB devices bring great convenience to us， we seem to have forgotten the safety of USB devices. This paper first give a brief description of USB technology and mainly analyze the threads of safety andrelevant measures.

Key words: USB; safety

1 USB技術(shù)概述

1994年，Intel、Compaq、Digital、IBM、Microsoft、NEC、Nortel等7家計(jì)算機(jī)和通訊廠為了解決傳輸速度、擴(kuò)展能力和易用性問題，聯(lián)合成立了USB論壇，并于1995年11月正式制訂了USB0.9通用串行總線(Universal Serial Bus)規(guī)范，用于形成統(tǒng)一的PC外設(shè)接口標(biāo)準(zhǔn)。后來又有1996年發(fā)布的USB1.0，1998年發(fā)布的USB1.1以及2000發(fā)布的標(biāo)準(zhǔn)USB2.0。

USB為個(gè)人電腦與其外圍設(shè)備之間的連接提供了一種標(biāo)準(zhǔn)化、單一化的接口其主要特征是高速、雙向、同步、低成本、可動態(tài)連接，并且可以與當(dāng)今乃至來的計(jì)算機(jī)平臺兼容，是對計(jì)算機(jī)體系結(jié)構(gòu)的一種工業(yè)標(biāo)準(zhǔn)擴(kuò)展。

USB主要有以下優(yōu)點(diǎn):

1)速度快。USB有高速、全速和低速三種方式，主模式為高速模式，速率為480Mbps， USB2.0版規(guī)范允許480Mbps的速率傳輸數(shù)據(jù)。另外為了適應(yīng)一些不需要很大吞吐量和很高實(shí)時(shí)性的設(shè)備，如鼠標(biāo)等，USB還提供低速方式，速率為1.5Mbps。相比之下，串口數(shù)據(jù)傳輸率是115kbps-230kbps，標(biāo)準(zhǔn)并口的數(shù)據(jù)傳輸率為1Mbps，這些都遠(yuǎn)低于USB的傳輸速率。

2)設(shè)備安裝和配置容易。USB設(shè)備支持即插即用，安裝USB設(shè)備不必再打開機(jī)箱，加減己安裝過的設(shè)備完全不用關(guān)閉計(jì)算機(jī)。所有USB設(shè)備支持熱插拔，系統(tǒng)對其進(jìn)行自動配置，不再占用中斷資源或者DMA資源，徹底拋棄了過去的跳線和撥碼開關(guān)設(shè)置。USB為接纜和連接頭提供了單一模型，解決了外設(shè)越來越多所造成的插槽緊張問題。

3)易于擴(kuò)展。通過使用Hub擴(kuò)展，可接多達(dá)127個(gè)外設(shè)。標(biāo)準(zhǔn)USB電纜長度為3m，通過Hub或中繼器可以使外設(shè)距離達(dá)到30m。

4)使用靈活。USB共有4種傳輸模式:控制傳輸(control)、同步傳輸(Synchronization)、中斷傳輸(interrupt)、批量傳輸(bulk)，以適應(yīng)不同設(shè)備的需要。

5)能夠采用總線供電。USB總線可提供5V電壓、500mA電流，對于功耗較小的設(shè)備來說這是非常有效的。

2 USB接口存在的安全問題[1]

USB存儲設(shè)備在極大地方便了我們工作、生活的同時(shí)，也給公司、企事業(yè)單位以及個(gè)人的重要數(shù)據(jù)安全帶來了極大的安全隱藏，USB存儲設(shè)備的風(fēng)險(xiǎn)可以劃分為如下幾點(diǎn):

1) 數(shù)據(jù)泄漏。USB存儲設(shè)備體積小巧，容量卻很大，現(xiàn)在普通的u盤多在1GB以上，而具有存儲功能的M P4更是多達(dá)40GB以上，如果僅存儲文本文件的話，幾乎可以將一座圖書館納入其中。許多正在使用USB存儲設(shè)備的用戶為了工作或使用的方便，往往是將USB存諸設(shè)備隨身攜帶，很多雇員不假思索利用這些USB存諸設(shè)備把工作帶回家或者帶出工作場所，而USB存儲設(shè)備體積小巧很容易滑落丟失。另外， 存儲有大量重要文件的USB存儲設(shè)備也是其他別有用心之人或者是競爭對手的竊取對象，一旦USB存儲設(shè)備丟失或者是被竊，必將導(dǎo)致數(shù)據(jù)泄露或丟失，一旦公司數(shù)據(jù)落入壞人手中，毋庸置疑公司將面臨極大的風(fēng)險(xiǎn)與威脅。公司會失去信譽(yù)，卷入訴訟糾紛，造成重大財(cái)產(chǎn)的損失等等一系列的麻煩。

2) 未經(jīng)許可的數(shù)據(jù)提取。

USB存儲設(shè)備十分普及，但很多公司并沒有出臺相應(yīng)的使用管理規(guī)定，即便是出臺了，也有許多的不完善之處，比如沒有相應(yīng)的備份，加密或者資產(chǎn)管理機(jī)制。USB設(shè)備在公司內(nèi)部、外部任意的流通使用，這樣，就給別有用心之人提供了可乘之機(jī)，進(jìn)行未經(jīng)許可的數(shù)據(jù)提取，于是大量敏感的數(shù)據(jù)流出公司，瞬間被拷走。這種風(fēng)險(xiǎn)存在于兩個(gè)方面:一是將公司計(jì)算機(jī)上的重要文件提取到USB存儲設(shè)備上，帶出公司出售給競爭對手或者是他用;二是將USB存儲設(shè)備上的重要數(shù)據(jù)提取到計(jì)算機(jī)上，進(jìn)行他用非法企圖比如從企業(yè)竊取信息。2004年8月的雅典奧運(yùn)會期間，為了保護(hù)奧運(yùn)會計(jì)算機(jī)系統(tǒng)的安全，降低系統(tǒng)遭受外部攻擊的可能性，只使用傳統(tǒng)的有線局域網(wǎng)，并且還放棄了其他有可能使系統(tǒng)遭受攻擊的設(shè)備，包括USB端口。

3) 傳染病毒。USB存諸設(shè)備的這種便利性也給病毒洞開了方便之門，USB存諸設(shè)備幾乎成了病毒毫無疑問的理想載體。微型的便攜式存儲產(chǎn)品能夠繞過電子郵件服務(wù)器上的防火墻、反病毒軟件等防御系統(tǒng)，給企業(yè)網(wǎng)絡(luò)帶來特洛伊木馬或病毒等惡意代碼。僅僅是一個(gè)帶有木馬或者病毒的U盤，就可能從內(nèi)部破壞企業(yè)的安全防護(hù)體系在公司各部門之間流通的USB存儲設(shè)備，如果一旦感染了病毒，那么很快就可以使多臺公司電腦中毒，從而進(jìn)一步在公司局域網(wǎng)之間傳播，從而有可能使公司網(wǎng)絡(luò)陷入癱瘓。比如現(xiàn)如今著名的\"Automn.inf\"病毒、u盤殺手病毒、u盤窺探者病毒等等。

3 應(yīng)對USB安全威脅的措施[2]

對于通過USB端口的數(shù)據(jù)進(jìn)行安全性控制屬于信息安全的一個(gè)領(lǐng)域。對于USB端口的控制，國內(nèi)外都有一定的研究，具體有以下幾種方法:

1) 物理上直接去除USB接口。正如雅典奧運(yùn)會的做法一樣，這種做法最為安全，但是因噎廢食，使USB接口永遠(yuǎn)無法再使用。

2) 從BIOS中禁止USB端口的使用。大多數(shù)新型主板的BIOS中有禁止內(nèi)置2個(gè)(或者4個(gè))USB端口的選項(xiàng)。這種方法有一定的局限性，并不是所有的主板都有這樣的功能。而且，在B IOS下禁止端口會將所有的USB口都封掉，將會導(dǎo)致所有USB設(shè)備不能用。

3) 利用軟件進(jìn)行數(shù)據(jù)控制。利用軟件來控制通過USB端口的數(shù)據(jù)，從而達(dá)到數(shù)據(jù)安全的目的。這種方法在國內(nèi)外都比較常用，通常有以下幾類軟件:防水墻、計(jì)算機(jī)設(shè)備控制系統(tǒng)、專用的USB監(jiān)控軟件。

防水墻:防水墻的概念是由中軟總公司首先提出的，它是用來加強(qiáng)信息系統(tǒng)內(nèi)部安全的重要工具。它處于內(nèi)部網(wǎng)絡(luò)中，是一個(gè)內(nèi)網(wǎng)監(jiān)控系統(tǒng)，可以隨時(shí)監(jiān)控內(nèi)部主機(jī)的安全狀況。它的一個(gè)重要功能就是防止非法拷貝。用戶在未經(jīng)有效授權(quán)的情況下，不能用任何載體拷貝任何信息。與此同時(shí)，系統(tǒng)將對授權(quán)狀態(tài)下的拷貝進(jìn)行監(jiān)控，并自動將拷貝內(nèi)容備案。這對于通過USB接口的數(shù)據(jù)起到了良好的保護(hù)作用。國內(nèi)軟件主要有中軟防水墻系統(tǒng)WaterBox以及攀達(dá)科技公司的攀達(dá)防水墻。國外也有類似的軟件，如SecureWave發(fā)布的新版SecureEXE軟件，兼有防火墻和防水墻的兩種功能。Se2cureEXE其中的一項(xiàng)功能就是限制使用者以便攜式儲存裝置復(fù)制特定資料。

計(jì)算機(jī)設(shè)備控制系統(tǒng):是對計(jì)算機(jī)的各種外部設(shè)備進(jìn)行控制的專用軟件。國外軟件有enforce 的企業(yè)移動安全管理器(EMSM)。它使用中央控制組策略來管理筆記本用戶對各種不同渠道的訪問，而敏感數(shù)據(jù)就是從這些渠道流失的。利用EMSM可以實(shí)現(xiàn)USB端口的限制。國內(nèi)的攀達(dá)計(jì)算機(jī)設(shè)備控制系統(tǒng)是一款計(jì)算機(jī)信息安全保密軟件，它可以控制計(jì)算機(jī)的各種設(shè)備，防止計(jì)算機(jī)信息被非法拷貝，適用于各種需要嚴(yán)格保密的計(jì)算機(jī)或具備特殊用途的計(jì)算機(jī)。

USB監(jiān)控軟件: 是對USB 接口進(jìn)行專門控制的軟件。USB monitor就是這樣一款軟件，它可以攔截所有通過USB設(shè)備存取的資料，并進(jìn)行實(shí)時(shí)監(jiān)控，支持資料記錄，錄制監(jiān)控項(xiàng)目工作階段，并于稍后播放。

軟件控制方法在一定程度上能夠保證內(nèi)部的信息安全，但也存在著一定的局限性。首先，這些控制軟件一般都是對通過USB接口的數(shù)據(jù)進(jìn)行攔截，并沒有進(jìn)行高層次的控制。另外，這類應(yīng)用軟件都屬于用戶進(jìn)程，具有一定權(quán)限的用戶就可以通過殺掉進(jìn)程的方法來關(guān)閉程序，從而攻破系統(tǒng)的防御系統(tǒng)。

4 結(jié)束語

USB接口已經(jīng)成為個(gè)人計(jì)算機(jī)的一個(gè)標(biāo)準(zhǔn)配置接口[3]，可以用來接入鼠標(biāo)、游戲控制手柄、掃描儀、打印機(jī)等多種電腦周邊設(shè)備。同樣，基于USB接口的U盤和USB 硬盤也成為現(xiàn)在的主流移動存儲設(shè)備。USB存貯設(shè)備的體積也越來越小，使得信息交換可以更多、更有效、更便利。但是我們在選擇其便利性的同時(shí)，也應(yīng)該對其安全性有足夠的認(rèn)識，維護(hù)計(jì)算機(jī)系統(tǒng)、企業(yè)網(wǎng)等網(wǎng)絡(luò)的安全。

參考文獻(xiàn):

[1] 牛嶺，李騫.信息安全防護(hù)與USB安全控制技術(shù)[J].周口師范學(xué)報(bào)，2006(3).

[2] 王陽.USB安全技術(shù)及控制方法研究[J].計(jì)算機(jī)安全，2006(12).

[3] 盧震宇，潘理，倪佑生.一種基于USB的安全隔離與數(shù)據(jù)交換的實(shí)現(xiàn)方法[J].計(jì)算機(jī)工程，2006(2).