授权 USB 密钥的最佳方式是什么

Question

我们的软件有自动更新功能，通过 USB 密钥安装（自动运行）。如果我想确保只使用授权的 USB 密钥，最好的方法是什么？

我们的安装程序已经签名，否则它将无法运行。但我更想检查 USB 密钥是否有签名的安装程序，如果它不存在，则忽略甚至“弹出”USB 设备。

我应该能够区分 USB 存储设备和相机或键盘之间的区别（在代码中）。

我只想禁用未经授权的存储设备。

谢谢你的想法。

Answer 1

未经授权的存储设备？这取决于您希望它的安全程度。对于最安全的级别，它将包括：

• 写入闪存驱动器的特殊固件，以获取额外的“元信息”（阅读：闪存驱动器的昂贵定制制造）
• 闪存驱动器中读取元信息
• 特殊的 Windows 驱动程序，用于从程序谈论的 该设备驱动程序以确认其已获得授权。

或者对于最不安全的级别，您有以下选项：

• 使用隐藏文件和特殊密钥（可能是上次文件系统修改的哈希时间或其他什么？）（dd 可破坏）
• 下降到文件系统级别以下并重新创建您自己的非常简单的文件系统..（通过模糊性提高安全性，而 dd 可能会打破这一点）

另外，对于“最安全”的选项，您确实需要一种比自动运行和设备驱动程序更安全的运行程序的方式（这可能是半生不熟的，可以做任何事情）出现授权）。为什么您希望它只从授权的闪存驱动器进行更新？

Answer 2

您或许能够读取 USB 驱动器的序列号（假设您获得的 USB 驱动器具有序列号；并非所有 USB 驱动器都有序列号）。然后，您的应用程序可以打电话回家获取最新的授权序列号列表，并检查是否存在匹配。

Answer 3

Earlz 的反应很好，尽管我认为您不需要定制制造闪存驱动器...您只需要带有某种唯一固件加密标识符的闪存驱动器。或许 Kingston Data Traveller Line 中的某些功能可以解决问题。 （我从未真正使用过这些加密的 USB 记忆棒，所以我对实际的实现细节有点模糊）。