[发明专利]一种基于嵌入式的主机安全保护方法

说明书

技术领域

本发明属于主机安全保护技术领域，具体涉及一种基于嵌入式的主机安全保护方法，用于主机在启动之前和启动后的安全保护。 

背景技术

现在的个人计算机应用中，大都使用用户ID+密码的方法来进行用户的身份认证和访问控制。但是，如果一旦密码忘记，或被别人窃取，计算机系统以及文件的安全问题就受到了威胁。而基于生物特征的认证系统凭借它的唯一性，是当下信息安全领域的研究热点，很多操作权限验证方式均采用之。但是，由于以上认证系统的运行均设立在主机系统启动之后，对于专业的技术人员来说，都具备可以突破验证过程的能力，所以安全系数在专业层次来说也不是相对较高。 

发明内容

为了克服上述现有技术的不足，本发明的目的是提供一种基于嵌入式的主机安全保护方法，本发明利用嵌入式系统和生物特征识别技术, 结合嵌入式设备与密码体制，设计了一种更加安全，便捷的计算机访问控制技术，具有方法简单、安全性高的特点。 

为了实现上述目的，本发明采用的技术方案是：一种基于嵌入式的主机安全保护方法，包括以下步骤： 

1）将MBR放到ARM的扇区中，先随机生成一个512B的字符串，称为随机加密字符串，然后用随机加密字符串与MBR进行每一位的按位加密，生成一个新的字符串，称为加密MBR字符串 ；

    2）解密时用随机加密字符串与加密MBR字符串进行按位解密运算，然后再与步骤1）的加密算法进行解密，得到真正的MBR；

3）指纹验证模块会生成一个字符串，称为指纹唯一识别字符串，与存到ARM指定扇区的字符串对比相同，那么就成功验证，生成新的随机解密字符串，供下次使用，便实现了动态的加密解密；

4）在进入计算机之前，ARM和计算机BIOS的通信只能通过字符串传递，不能通过文件的形式传递，用512个字符当成文件，将512个字符传送到MBR指定的位置上，由固化在硬盘扇区中的程序将真正的MBR加载到指定扇区，就可开机启动；

5）当主机启动后，若需主机待机，此时主机端程序运行，依据Windows消息响应机制，程序Hook所有对主机的操作，待用户重新输入指纹信息，并由ARM传送转换后的字符串，通过主机程序验证方可重新获得操作许可，主机端程序写入注册表，保证开机自启动，每次都需经过验证。

采用汇编，从底层将系统引导区修改，将主机MBR转移至其他扇区，地址存储在ARM设备中，方便CPU获得读取。将验证方式与Windows Hook相结合，实现主机启动后的动态锁定与解锁。最后利用以上软硬件结合的验证方式，从头至尾贯穿主机，实行了全方位的安全防护。 

因此本发明具有以下优点： 

1）将生物特征信息与计算机访问控制相结合，可实现轻松、快速、安全的系统访问。

2）密码与生物特征结合的双重身份验证使得在访问数据或网络方面实现更高的安全 级别。 

3）利用嵌入式设备与主机进行交互实现对计算机的实时监控认证。 

4）可利用虹膜，指纹，掌纹，人脸等生物特征使验证方式多样化。 

5）进行生物特征识别的同时生成密码系统需要的随机密钥，方便且高效。 

当用户同识别系统交互进行身份认证时，识别系统（即ARM与指纹模块组成的模块）获取其特征转换为字符串并与ARM闪存中存储的特征模板进行比对，当匹配成功后,识别系统将CPU指向存储主机真实MBR的扇区使之正常启动或操作，否则系统将自动锁定，等待验证，操作系统启动后，生物特征信息仍然作为产生验证信息的来源，利用识别系统对主机系统时刻操作认证，一旦匹配不成功，计算机可以随时进行锁定。这样极大的提高了主机的安全性。该系统针对现当下存在的突出的计算机访问安全问题，实现了对计算机加解密，访问唯一性，开关机验证等安全认证功能。 

具体实施方案

下面结合具体实施例对本发明作进一步详细说明。 

一种基于嵌入式的主机安全保护方法，包括以下步骤： 

1）将MBR放到ARM的扇区中，先随机生成一个512B的字符串，称为随机加密字符串，然后用随机加密字符串与MBR进行每一位的按位加密，生成一个新的字符串，称为加密MBR字符串。

2）解密时用随机加密字符串与加密MBR字符串进行按位解密运算，然后再与步骤1）的加密算法进行解密，得到真正的MBR；