CN103942482A - 一种基于嵌入式的主机安全保护方法 - Google Patents

一种基于嵌入式的主机安全保护方法 Download PDF

Info

Publication number
CN103942482A
CN103942482A CN201410198876.1A CN201410198876A CN103942482A CN 103942482 A CN103942482 A CN 103942482A CN 201410198876 A CN201410198876 A CN 201410198876A CN 103942482 A CN103942482 A CN 103942482A
Authority
CN
China
Prior art keywords
character string
mbr
sector
arm
program
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410198876.1A
Other languages
English (en)
Other versions
CN103942482B (zh
Inventor
刘意先
罗康健
张巍耀
吴限
田荔华
王坤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an xuyao Network Technology Co., Ltd
Original Assignee
Xian University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xian University of Posts and Telecommunications filed Critical Xian University of Posts and Telecommunications
Priority to CN201410198876.1A priority Critical patent/CN103942482B/zh
Publication of CN103942482A publication Critical patent/CN103942482A/zh
Application granted granted Critical
Publication of CN103942482B publication Critical patent/CN103942482B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/32User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Automation & Control Theory (AREA)
  • Storage Device Security (AREA)

Abstract

一种基于嵌入式的主机安全保护方法,包括以下步骤:1)将MBR放到ARM的扇区中,随机生成一512B的字符串,与512B的MBR进行按位加密,生成新的512B字符串;2)解密时用随机字符串与加密MBR字符串进行按位解密运算,然后再与步骤1)的加密算法进行解密,得到真正的MBR;3)首次运行指纹验证模块时生成一个字符串,存到预先约定好的ARM上的某一个扇区,运行指纹模块时与第一次存到ARM存储器指定扇区的字符串对比,验证后生成新的随机字符串,实现动态加密解密;4)进入计算机之前,将512个字符传送到MBR指定的位置上,将真正的MBR加载到指定扇区,开机启动;5)若主机待机,据Windows消息响应机制,程序Hook所有对主机的操作,重新输入指纹信息,获得操作许可,大大的提高安全性。

Description

一种基于嵌入式的主机安全保护方法
技术领域
本发明属于主机安全保护技术领域,具体涉及一种基于嵌入式的主机安全保护方法,用于主机在启动之前和启动后的安全保护。 
背景技术
现在的个人计算机应用中,大都使用用户ID+密码的方法来进行用户的身份认证和访问控制。但是,如果一旦密码忘记,或被别人窃取,计算机系统以及文件的安全问题就受到了威胁。而基于生物特征的认证系统凭借它的唯一性,是当下信息安全领域的研究热点,很多操作权限验证方式均采用之。但是,由于以上认证系统的运行均设立在主机系统启动之后,对于专业的技术人员来说,都具备可以突破验证过程的能力,所以安全系数在专业层次来说也不是相对较高。 
发明内容
为了克服上述现有技术的不足,本发明的目的是提供一种基于嵌入式的主机安全保护方法,本发明利用嵌入式系统和生物特征识别技术, 结合嵌入式设备与密码体制,设计了一种更加安全,便捷的计算机访问控制技术,具有方法简单、安全性高的特点。 
为了实现上述目的,本发明采用的技术方案是:一种基于嵌入式的主机安全保护方法,包括以下步骤: 
1)将MBR放到ARM的扇区中,先随机生成一个512B的字符串,称为随机加密字符串,然后用随机加密字符串与MBR进行每一位的按位加密,生成一个新的字符串,称为加密MBR字符串 ;
    2)解密时用随机加密字符串与加密MBR字符串进行按位解密运算,然后再与步骤1)的加密算法进行解密,得到真正的MBR;
3)指纹验证模块会生成一个字符串,称为指纹唯一识别字符串,与存到ARM指定扇区的字符串对比相同,那么就成功验证,生成新的随机解密字符串,供下次使用,便实现了动态的加密解密;
4)在进入计算机之前,ARM和计算机BIOS的通信只能通过字符串传递,不能通过文件的形式传递,用512个字符当成文件,将512个字符传送到MBR指定的位置上,由固化在硬盘扇区中的程序将真正的MBR加载到指定扇区,就可开机启动;
5)当主机启动后,若需主机待机,此时主机端程序运行,依据Windows消息响应机制,程序Hook所有对主机的操作,待用户重新输入指纹信息,并由ARM传送转换后的字符串,通过主机程序验证方可重新获得操作许可,主机端程序写入注册表,保证开机自启动,每次都需经过验证。
采用汇编,从底层将系统引导区修改,将主机MBR转移至其他扇区,地址存储在ARM设备中,方便CPU获得读取。将验证方式与Windows Hook相结合,实现主机启动后的动态锁定与解锁。最后利用以上软硬件结合的验证方式,从头至尾贯穿主机,实行了全方位的安全防护。 
因此本发明具有以下优点: 
1)将生物特征信息与计算机访问控制相结合,可实现轻松、快速、安全的系统访问。
2)密码与生物特征结合的双重身份验证使得在访问数据或网络方面实现更高的安全 级别。 
3)利用嵌入式设备与主机进行交互实现对计算机的实时监控认证。 
4)可利用虹膜,指纹,掌纹,人脸等生物特征使验证方式多样化。 
5)进行生物特征识别的同时生成密码系统需要的随机密钥,方便且高效。 
当用户同识别系统交互进行身份认证时,识别系统(即ARM与指纹模块组成的模块)获取其特征转换为字符串并与ARM闪存中存储的特征模板进行比对,当匹配成功后,识别系统将CPU指向存储主机真实MBR的扇区使之正常启动或操作,否则系统将自动锁定,等待验证,操作系统启动后,生物特征信息仍然作为产生验证信息的来源,利用识别系统对主机系统时刻操作认证,一旦匹配不成功,计算机可以随时进行锁定。这样极大的提高了主机的安全性。该系统针对现当下存在的突出的计算机访问安全问题,实现了对计算机加解密,访问唯一性,开关机验证等安全认证功能。 
具体实施方案
下面结合具体实施例对本发明作进一步详细说明。 
一种基于嵌入式的主机安全保护方法,包括以下步骤: 
1)将MBR放到ARM的扇区中,先随机生成一个512B的字符串,称为随机加密字符串,然后用随机加密字符串与MBR进行每一位的按位加密,生成一个新的字符串,称为加密MBR字符串。
2)解密时用随机加密字符串与加密MBR字符串进行按位解密运算,然后再与步骤1)的加密算法进行解密,得到真正的MBR; 
3)指纹验证模块会生成一个字符串,称为指纹唯一识别字符串,与存到ARM指定扇区的字符串对比相同,那么就成功验证,生成新的随机解密字符串,提供给下次使用,便实现了动态的加密解密;
4)在进入计算机之前,ARM和计算机BIOS的通信只能通过字符串传递,而不通过文件的形式传递,用512个字符当成文件,将512个字符传送到MBR指定的位置上,该位置位于硬盘的第一个扇区中,由固化在硬盘扇区中的程序将真正的MBR加载到指定扇区,就能够开机启动,程序固化在硬盘的第二的扇区中;
5)当主机启动之后,若需主机待机,此时主机端程序运行,依据Windows消息响应机制,程序Hook所有对主机的操作,待用户重新输入指纹信息,并由ARM传送转换后的字符串,通过主机程序验证方可重新获得操作许可,主机端程序写入注册表,保证开机自启动,每次都需经过验证,大大的提高安全性。
计算机引导汇编部分 
1)首先分析计算机启动的引导过程:
按下开机电源 --> 固化在计算机主板上的BIOS进行开机自检 --> 如果自检成功 --> 检测第一存储外设的第一块扇区标志位是否是55AA --> 是则BIOS将第一外设存储的第一个扇区(也就是MBR)加载到计算机内存0000:7C00H处,不是则检测第二存储外设…… --> 然后将计算机的控制权力给了第一外设的第一快硬盘分区 --> 计算机开始执行该扇区上的代码 --> 代码将执行一系列代码引导计算机启动
2)由于我们的工作主要在重写MBR,所以下面我们来分析下MBR:
MBR一共512B,是446B+64B+2B的结构
446B是功能性引导代码部分,这一部分是我们写功能代码的区域,代码的长度不能超过446B,如果超过就要跨扇区写代码,对于程序的稳定性和可移植性都有一定的影响,所以我们将代码控制在446B;
64B是计算机分区表,分区表的功能是为电脑的磁盘划分多个分区便于用户管理,最多四个表项每个表项16B,如果这一部分丢失,那么计算机识别的硬盘就是一整硬盘,毫无意义,如果加密该64B的内容,那么对于磁盘的信息保护有了极大的保障。
2B是MBR标识符,常为55AA,如果不是这个数值,那么则该扇区不会当做MBR。 
3)汇编程序大体思路分析 
第一步将计算机真正的MBR备份,以防丢失,把MBR存储到ARM的存储器中,然后将MBR进行按位加密,这样即使以后有人得到ARM外设,也很难能够分析出来我们的MBR在什么地方;
第二步向计算机磁盘的第一扇区写上我们的代码,代码功能是在屏幕上显示
"Please insert your keyt and restart the computer!"然后将执行权限转交给ARM;
第三步是将ARM的代码写入到ARM指定扇区,代码功能是在屏幕上显示
PLEASE BRUSH FINGERPRINT然后等待ARM验证生物识别部分,如果成功将MBR解密写入扇区,如果失败将虚拟MBR写入扇区,最后都会把计算机的引导权给计算机。
上位机部分 
开机自启原理:
在上位机程序代码中使用RegCreateKey等注册表函数在注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下新建一个字符串,值为所要自动执行的程序名,将数据设置为程序所在的目录,即可将该程序设置自动执行。
当程序第一次执行时,写入注册表行为同时得到执行,由此实现了上位机程序的开机自启动。 
主机唤醒后,由于Hook程序的自启动,因此,主机屏蔽所有键盘鼠标消息。 
由于单一程序调用的HOOK API是仅在当前程序下的线程消息,所以需要设置动态链接库(DLL)实现Hook对系统全局消息的屏蔽。 
在主机启动之前,由于主机磁盘的0磁道1扇区已被本系统重写,如果不具备ARM设备或者指纹信息,无法通过WinPE等设备绕过验证过程进入系统(原因在于真实的MBR已被搬运,所包含的硬盘分区表信息无法读取到),并且由于主机启动之前的验证过程的识别判断程序并未运行在主机操作系统上(此时主机尚未进入操作系统),所以可以避免外界人员通过技术手段突破验证。 
当如上设备具备,并且已通过验证后,主机启动,进入操作系统。此时,用户可在本程序安装之初设置是否在开机之后决定二次验证。当主机启动之后,有时候会遭遇用户需要待机主机的情况,此时主机端程序运行,依据Windows消息响应机制,程序Hook所有对主机的操作,等待用户重新输入指纹信息,并由ARM传送转换后的字符串,通过主机程序验证方可重新获得操作能力。同时,主机端程序写入注册表,保证开机自启动,即每次都需经过验证,大大的提高安全性。 

Claims (1)

1.一种基于嵌入式的主机安全保护方法,其特征在于,包括以下步骤:
1)将MBR放到ARM的扇区中,随机生成一个512B的字符串,称为随机加密字符串,然后进行每一位的按位加密,写好简单加密算法对MBR进行加密,加密得到的字符串,称为加密MBR字符串;
2)调用随机函数生成一个512B的字符串,与加密MBR字符串进行按位加密运算,解密时用随机加密字符串与加密MBR字符串进行按位解密运算,然后再与步骤1)的加密算法进行解密,得到真正的MBR;
3)指纹验证模块会生成一个字符串,称为指纹唯一识别字符串,与事先存到ARM指定扇区的字符串对比相同,就成功验证,生成新的随机解密字符串,供下次使用,实现动态的加密解密;
4)在进入计算机之前,ARM和计算机BIOS的通信只能通过字符串传递,用512个字符当成文件,将512个字符传送到MBR指定的位置上,由固化在硬盘扇区中的程序将真正的MBR加载到指定扇区,开机启动;
5)当主机启动后,若需主机待机,此时主机端程序运行,依据Windows消息响应机制,程序Hook所有对主机的操作,待用户重新输入指纹信息,并由ARM传送转换后的字符串,通过主机程序验证方可重新获得操作许可,主机端程序写入注册表,保证开机自启动,每次都需经过验证。
CN201410198876.1A 2014-05-13 2014-05-13 一种基于嵌入式的主机安全保护方法 Active CN103942482B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410198876.1A CN103942482B (zh) 2014-05-13 2014-05-13 一种基于嵌入式的主机安全保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410198876.1A CN103942482B (zh) 2014-05-13 2014-05-13 一种基于嵌入式的主机安全保护方法

Publications (2)

Publication Number Publication Date
CN103942482A true CN103942482A (zh) 2014-07-23
CN103942482B CN103942482B (zh) 2017-01-18

Family

ID=51190149

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410198876.1A Active CN103942482B (zh) 2014-05-13 2014-05-13 一种基于嵌入式的主机安全保护方法

Country Status (1)

Country Link
CN (1) CN103942482B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107301348A (zh) * 2017-05-19 2017-10-27 深圳市同泰怡信息技术有限公司 一种检测mbr内容合理性的算法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1601430A (zh) * 2004-10-14 2005-03-30 苏州超锐微电子有限公司 一种利用加密主分区表实现硬盘保护的方法
US20060236399A1 (en) * 2005-04-15 2006-10-19 Samsung Electronics Co., Ltd. Apparatus and method for restoring master boot record infected with virus
CN1924807A (zh) * 2005-09-01 2007-03-07 横河电机株式会社 操作系统启动方法和使用该方法的设备
CN101548265A (zh) * 2006-12-31 2009-09-30 桑迪士克股份有限公司 便携式多平台引导系统及架构
US20130124846A1 (en) * 2010-05-11 2013-05-16 Hiroshi Yasuda External boot device, program product, external boot method, and network communication system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1601430A (zh) * 2004-10-14 2005-03-30 苏州超锐微电子有限公司 一种利用加密主分区表实现硬盘保护的方法
US20060236399A1 (en) * 2005-04-15 2006-10-19 Samsung Electronics Co., Ltd. Apparatus and method for restoring master boot record infected with virus
CN1924807A (zh) * 2005-09-01 2007-03-07 横河电机株式会社 操作系统启动方法和使用该方法的设备
CN101548265A (zh) * 2006-12-31 2009-09-30 桑迪士克股份有限公司 便携式多平台引导系统及架构
US20130124846A1 (en) * 2010-05-11 2013-05-16 Hiroshi Yasuda External boot device, program product, external boot method, and network communication system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘建华 等: "《基于指纹识别的Windows系统登录模块的设计》", 《西安邮电学院学报》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107301348A (zh) * 2017-05-19 2017-10-27 深圳市同泰怡信息技术有限公司 一种检测mbr内容合理性的算法
CN107301348B (zh) * 2017-05-19 2020-11-13 深圳市同泰怡信息技术有限公司 一种检测mbr内容合理性的算法

Also Published As

Publication number Publication date
CN103942482B (zh) 2017-01-18

Similar Documents

Publication Publication Date Title
AU2012205457B2 (en) System and method for tamper-resistant booting
JP4982825B2 (ja) コンピュータおよび共有パスワードの管理方法
Altuwaijri et al. Android data storage security: A review
JP6275653B2 (ja) データ保護方法及びシステム
US8555083B1 (en) Systems and methods for protecting against unauthorized access of encrypted data during power-management modes
EP4006763A1 (en) Single-use authentication methods for accessing encrypted data
TW202036347A (zh) 資料儲存、驗證方法及裝置
EP2727040B1 (en) A secure hosted execution architecture
KR20130050959A (ko) 패스워드 리커버리 비밀을 저장하기 위한 시스템 및 방법
WO2017128720A1 (zh) 基于vtpm对虚拟机进行安全保护的方法及系统
CN101916348A (zh) 一种用户操作系统的安全引导方法及引导系统
CN109614799B (zh) 一种信息权鉴方法
US11228421B1 (en) Secure secrets to mitigate against attacks on cryptographic systems
US20130166869A1 (en) Unlock a storage device
US11706022B1 (en) Method for trusted data decryption based on privacy-preserving computation
CN103198247A (zh) 一种计算机安全保护方法和系统
CN102024115B (zh) 一种具有用户安全子系统的计算机
Krstić Behind the scenes with iOS security
WO2016101559A1 (zh) 一种数据安全存取方法、装置和计算机存储介质
JP4724107B2 (ja) リムーバブル・デバイスを用いたユーザの認証方法およびコンピュータ
CN104361298B (zh) 信息安全保密的方法和装置
CN115357528B (zh) 固态硬盘的密钥加密方法、密钥解密方法和安全防护系统
CN103942482B (zh) 一种基于嵌入式的主机安全保护方法
US11283600B2 (en) Symmetrically encrypt a master passphrase key
CN201845340U (zh) 一种具有用户安全子系统的安全计算机

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20180130

Address after: 710000 Room 301, room 1, oak constellation, Shaanxi high tech Zone, Xi'an

Patentee after: Xi'an Xu Yao Network Technology Co., Ltd.

Address before: 710121 South Campus of Xi'an University of post and telecommunications, weguo Road, Xi'an, Shaanxi

Patentee before: Xi'an University of Posts & Telecommunications

CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: 710075 7a098, 7 / F, Galaxy Science and technology building, No. 25, Tangyan Road, high tech Zone, Xi'an, Shaanxi Province

Patentee after: Xi'an xuyao Network Technology Co., Ltd

Address before: 710000 Room 301, unit 2, building 1, oak constellation, high tech Zone, Xi'an, Shaanxi

Patentee before: Xi'an Xu Yao Network Technology Co.,Ltd.