一種基于嵌入式的主機安全保護方法
【專利摘要】一種基于嵌入式的主機安全保護方法，包括以下步驟：1）將MBR放到ARM的扇區(qū)中，隨機生成一512B的字符串，與512B的MBR進行按位加密，生成新的512B字符串；2）解密時用隨機字符串與加密MBR字符串進行按位解密運算，然后再與步驟1）的加密算法進行解密，得到真正的MBR；3）首次運行指紋驗證模塊時生成一個字符串，存到預(yù)先約定好的ARM上的某一個扇區(qū)，運行指紋模塊時與第一次存到ARM存儲器指定扇區(qū)的字符串對比，驗證后生成新的隨機字符串，實現(xiàn)動態(tài)加密解密；4）進入計算機之前，將512個字符傳送到MBR指定的位置上，將真正的MBR加載到指定扇區(qū)，開機啟動；5）若主機待機，據(jù)Windows消息響應(yīng)機制，程序Hook所有對主機的操作，重新輸入指紋信息，獲得操作許可，大大的提高安全性。
【專利說明】一種基于嵌入式的主機安全保護方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于主機安全保護【技術(shù)領(lǐng)域】，具體涉及一種基于嵌入式的主機安全保護方法，用于主機在啟動之前和啟動后的安全保護。
【背景技術(shù)】
[0002]現(xiàn)在的個人計算機應(yīng)用中，大都使用用戶ID+密碼的方法來進行用戶的身份認證和訪問控制。但是，如果一旦密碼忘記，或被別人竊取，計算機系統(tǒng)以及文件的安全問題就受到了威脅。而基于生物特征的認證系統(tǒng)憑借它的唯一性，是當下信息安全領(lǐng)域的研究熱點，很多操作權(quán)限驗證方式均采用之。但是，由于以上認證系統(tǒng)的運行均設(shè)立在主機系統(tǒng)啟動之后，對于專業(yè)的技術(shù)人員來說，都具備可以突破驗證過程的能力，所以安全系數(shù)在專業(yè)層次來說也不是相對較高。

【發(fā)明內(nèi)容】

[0003]為了克服上述現(xiàn)有技術(shù)的不足，本發(fā)明的目的是提供一種基于嵌入式的主機安全保護方法，本發(fā)明利用嵌入式系統(tǒng)和生物特征識別技術(shù)，結(jié)合嵌入式設(shè)備與密碼體制，設(shè)計了一種更加安全，便捷的計算機訪問控制技術(shù)，具有方法簡單、安全性高的特點。
[0004]為了實現(xiàn)上述目的，本發(fā)明采用的技術(shù)方案是:一種基于嵌入式的主機安全保護方法，包括以下步驟:
1)將MBR放到ARM的扇區(qū)中，先隨機生成一個512B的字符串，稱為隨機加密字符串，然后用隨機加密字符串與MBR進行每一位的按位加密，生成一個新的字符串，稱為加密MBR
字符串；
2)解密時用隨機加密字符串與加密MBR字符串進行按位解密運算，然后再與步驟I)的加密算法進行解密，得到真正的MBR ；
3)指紋驗證模塊會生成一個字符串，稱為指紋唯一識別字符串，與存到ARM指定扇區(qū)的字符串對比相同，那么就成功驗證，生成新的隨機解密字符串，供下次使用，便實現(xiàn)了動態(tài)的加密解密；
4)在進入計算機之前，ARM和計算機BIOS的通信只能通過字符串傳遞，不能通過文件的形式傳遞，用512個字符當成文件，將512個字符傳送到MBR指定的位置上，由固化在硬盤扇區(qū)中的程序?qū)⒄嬲腗BR加載到指定扇區(qū)，就可開機啟動；
5)當主機啟動后，若需主機待機，此時主機端程序運行，依據(jù)Windows消息響應(yīng)機制，程序Hook所有對主機的操作，待用戶重新輸入指紋信息，并由ARM傳送轉(zhuǎn)換后的字符串，通過主機程序驗證方可重新獲得操作許可，主機端程序?qū)懭胱员?，保證開機自啟動，每次都需經(jīng)過驗證。
[0005]采用匯編，從底層將系統(tǒng)引導(dǎo)區(qū)修改，將主機MBR轉(zhuǎn)移至其他扇區(qū)，地址存儲在ARM設(shè)備中，方便CPU獲得讀取。將驗證方式與Windows Hook相結(jié)合，實現(xiàn)主機啟動后的動態(tài)鎖定與解鎖。最后利用以上軟硬件結(jié)合的驗證方式，從頭至尾貫穿主機，實行了全方位的安全防護。
[0006]因此本發(fā)明具有以下優(yōu)點:
I)將生物特征信息與計算機訪問控制相結(jié)合，可實現(xiàn)輕松、快速、安全的系統(tǒng)訪問。
[0007]2)密碼與生物特征結(jié)合的雙重身份驗證使得在訪問數(shù)據(jù)或網(wǎng)絡(luò)方面實現(xiàn)更高的安全級別。
[0008]3)利用嵌入式設(shè)備與主機進行交互實現(xiàn)對計算機的實時監(jiān)控認證。
[0009]4)可利用虹膜，指紋，掌紋，人臉等生物特征使驗證方式多樣化。
[0010]5)進行生物特征識別的同時生成密碼系統(tǒng)需要的隨機密鑰，方便且高效。
[0011]當用戶同識別系統(tǒng)交互進行身份認證時，識別系統(tǒng)(即ARM與指紋模塊組成的模塊)獲取其特征轉(zhuǎn)換為字符串并與ARM閃存中存儲的特征模板進行比對，當匹配成功后，識別系統(tǒng)將CPU指向存儲主機真實MBR的扇區(qū)使之正常啟動或操作，否則系統(tǒng)將自動鎖定，等待驗證，操作系統(tǒng)啟動后，生物特征信息仍然作為產(chǎn)生驗證信息的來源，利用識別系統(tǒng)對主機系統(tǒng)時刻操作認證，一 旦匹配不成功，計算機可以隨時進行鎖定。這樣極大的提高了主機的安全性。該系統(tǒng)針對現(xiàn)當下存在的突出的計算機訪問安全問題，實現(xiàn)了對計算機加解密，訪問唯一性，開關(guān)機驗證等安全認證功能。
具體實施方案
[0012]下面結(jié)合具體實施例對本發(fā)明作進一步詳細說明。
[0013]一種基于嵌入式的主機安全保護方法，包括以下步驟:
I)將MBR放到ARM的扇區(qū)中，先隨機生成一個512B的字符串，稱為隨機加密字符串，然后用隨機加密字符串與MBR進行每一位的按位加密，生成一個新的字符串，稱為加密MBR
字符串。
[0014]2 )解密時用隨機加密字符串與加密MBR字符串進行按位解密運算，然后再與步驟O的加密算法進行解密，得到真正的MBR ；
3)指紋驗證模塊會生成一個字符串，稱為指紋唯一識別字符串，與存到ARM指定扇區(qū)的字符串對比相同，那么就成功驗證，生成新的隨機解密字符串，提供給下次使用，便實現(xiàn)了動態(tài)的加密解密；
4)在進入計算機之前，ARM和計算機BIOS的通信只能通過字符串傳遞，而不通過文件的形式傳遞，用512個字符當成文件，將512個字符傳送到MBR指定的位置上，該位置位于硬盤的第一個扇區(qū)中，由固化在硬盤扇區(qū)中的程序?qū)⒄嬲腗BR加載到指定扇區(qū)，就能夠開機啟動，程序固化在硬盤的第二的扇區(qū)中；
5)當主機啟動之后，若需主機待機，此時主機端程序運行,依據(jù)Windows消息響應(yīng)機制，程序Hook所有對主機的操作，待用戶重新輸入指紋信息，并由ARM傳送轉(zhuǎn)換后的字符串，通過主機程序驗證方可重新獲得操作許可，主機端程序?qū)懭胱员恚ＷC開機自啟動，每次都需經(jīng)過驗證，大大的提高安全性。
[0015]計算機引導(dǎo)匯編部分
I)首先分析計算機啟動的引導(dǎo)過程:
按下開機電源--> 固化在計算機主板上的BIOS進行開機自檢一> 如果自檢成功—>檢測第一存儲外設(shè)的第一塊扇區(qū)標志位是否是55AA —>是則BIOS將第一外設(shè)存儲的第一個扇區(qū)(也就是MBR)加載到計算機內(nèi)存0000:7C00H處，不是則檢測第二存儲外設(shè)……一> 然后將計算機的控制權(quán)力給了第一外設(shè)的第一快硬盤分區(qū)一> 計算機開始執(zhí)行該扇區(qū)上的代碼一> 代碼將執(zhí)行一系列代碼引導(dǎo)計算機啟動
2)由于我們的工作主要在重寫MBR，所以下面我們來分析下MBR:
MBR 一共 512B，是 446B+64B+2B 的結(jié)構(gòu)
446B是功能性引導(dǎo)代碼部分，這一部分是我們寫功能代碼的區(qū)域，代碼的長度不能超過446B，如果超過就要跨扇區(qū)寫代碼，對于程序的穩(wěn)定性和可移植性都有一定的影響，所以我們將代碼控制在446B;
64B是計算機分區(qū)表，分區(qū)表的功能是為電腦的磁盤劃分多個分區(qū)便于用戶管理，最多四個表項每個表項16B，如果這一部分丟失，那么計算機識別的硬盤就是一整硬盤，毫無意義，如果加密該64B的內(nèi)容，那么對于磁盤的信息保護有了極大的保障。
[0016]2B是MBR標識符，常為55AA，如果不是這個數(shù)值，那么則該扇區(qū)不會當做MBR。
[0017]3)匯編程序大體思路分析
第一步將計算機真正的MBR備份，以防丟失，把MBR存儲到ARM的存儲器中，然后將MBR進行按位加密，這樣即 使以后有人得到ARM外設(shè)，也很難能夠分析出來我們的MBR在什么地方；
第二步向計算機磁盤的第一扇區(qū)寫上我們的代碼，代碼功能是在屏幕上顯示 "Please insert your keyt and restart the computer! 〃然后將執(zhí)行權(quán)限轉(zhuǎn)交給
ARM ；
第三步是將ARM的代碼寫入到ARM指定扇區(qū)，代碼功能是在屏幕上顯示PLEASE BRUSH FINGERPRINT然后等待ARM驗證生物識別部分，如果成功將MBR解密寫入扇區(qū)，如果失敗將虛擬MBR寫入扇區(qū)，最后都會把計算機的引導(dǎo)權(quán)給計算機。
[0018]上位機部分 開機自啟原理:
在上位機程序代碼中使用RegCreateKey等注冊表函數(shù)在注冊表HKEY_L0CAL_MACHINE\Software\Microsoft\ffindows\CurrentVersion\Run 下新建一個字符串，值為所要自動執(zhí)行的程序名，將數(shù)據(jù)設(shè)置為程序所在的目錄，即可將該程序設(shè)置自動執(zhí)行。
[0019]當程序第一次執(zhí)行時，寫入注冊表行為同時得到執(zhí)行，由此實現(xiàn)了上位機程序的開機自啟動。
[0020]主機喚醒后，由于Hook程序的自啟動，因此，主機屏蔽所有鍵盤鼠標消息。
[0021]由于單一程序調(diào)用的HOOK API是僅在當前程序下的線程消息，所以需要設(shè)置動態(tài)鏈接庫(DLL)實現(xiàn)Hook對系統(tǒng)全局消息的屏蔽。
[0022]在主機啟動之前，由于主機磁盤的O磁道I扇區(qū)已被本系統(tǒng)重寫，如果不具備ARM設(shè)備或者指紋信息，無法通過WinPE等設(shè)備繞過驗證過程進入系統(tǒng)(原因在于真實的MBR已被搬運，所包含的硬盤分區(qū)表信息無法讀取到)，并且由于主機啟動之前的驗證過程的識別判斷程序并未運行在主機操作系統(tǒng)上(此時主機尚未進入操作系統(tǒng))，所以可以避免外界人員通過技術(shù)手段突破驗證。
[0023]當如上設(shè)備具備，并且已通過驗證后，主機啟動，進入操作系統(tǒng)。此時，用戶可在本程序安裝之初設(shè)置是否在開機之后決定二次驗證。當主機啟動之后，有時候會遭遇用戶需要待機主機的情況，此時主機端程序運行，依據(jù)Windows消息響應(yīng)機制，程序Hook所有對主機的操作，等待用戶重新輸入指紋信息，并由ARM傳送轉(zhuǎn)換后的字符串，通過主機程序驗證方可重新獲得操作能力。同時，主機端程序?qū)懭胱员?，保證開機自啟動，即每次都需經(jīng)過驗證，大大的提高安全性。
【權(quán)利要求】
1.一種基于嵌入式的主機安全保護方法，其特征在于，包括以下步驟: 1)將MBR放到ARM的扇區(qū)中，隨機生成一個512B的字符串，稱為隨機加密字符串，然后進行每一位的按位加密，寫好簡單加密算法對MBR進行加密，加密得到的字符串，稱為加密MBR字符串； 2)調(diào)用隨機函數(shù)生成一個512B的字符串，與加密MBR字符串進行按位加密運算，解密時用隨機加密字符串與加密MBR字符串進行按位解密運算，然后再與步驟I)的加密算法進行解密，得到真正的MBR; 3)指紋驗證模塊會生成一個字符串，稱為指紋唯一識別字符串，與事先存到ARM指定扇區(qū)的字符串對比相同，就成功驗證，生成新的隨機解密字符串，供下次使用，實現(xiàn)動態(tài)的加密解密； 4)在進入計算機之前，ARM和計算機BIOS的通信只能通過字符串傳遞，用512個字符當成文件，將512個字符傳送到MBR指定的位置上，由固化在硬盤扇區(qū)中的程序?qū)⒄嬲腗BR加載到指定扇區(qū)，開機啟動； 5)當主機啟動后，若需主機待機，此時主機端程序運行，依據(jù)Windows消息響應(yīng)機制，程序Hook所有對主機的操作，待用戶重新輸入指紋信息，并由ARM傳送轉(zhuǎn)換后的字符串，通過主機程序驗證方可重新獲得操作許可，主機端程序?qū)懭胱员?，保證開機自啟動，每次都需經(jīng)過驗證。
【文檔編號】G06F21/62GK103942482SQ201410198876
【公開日】2014年7月23日 申請日期:2014年5月13日 優(yōu)先權(quán)日:2014年5月13日
【發(fā)明者】劉意先, 羅康健, 張巍耀, 吳限, 田荔華, 王坤 申請人:西安郵電大學