專利名稱:一種射頻識別的計算機安全鎖定認證系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及安全認證技術(shù)�,特別是涉及一種射頻識別的非接觸式計算機 安全鎖定認證系統(tǒng)和方法。
技術(shù)背景隨著RFID (Radio Frequency Identification,射頻識別)和NFC (Near Field Communication,近距離射頻通訊)等非接觸式射頻識別技術(shù)的發(fā)展����,越來越 多的移動設(shè)備開始增加非接觸式芯片的功能,以完成購物����、電子購票、小額 電子支付��、移動終端間數(shù)據(jù)交換和門禁等功能�。非接觸式射頻識別終端使得無需用戶任何設(shè)置的移動終端間數(shù)據(jù)交換成 為可能,此時�����,用戶只需將兩個移動終端靠近����,由終端自動進行雙端的認證 和協(xié)商,然后就可以完成設(shè)備間數(shù)據(jù)交換的復(fù)雜任務(wù)���。NFC屬于下一代射頻識別技術(shù)���,它遵循現(xiàn)有的IS014443和ISO18092技 術(shù)標準,它可在具備NFC功能的任意兩個設(shè)備間實現(xiàn)信息交互�、讀取內(nèi)容和 獲得服務(wù)。NFC技術(shù)支持三種主要應(yīng)用�����,包括移動支付與交易����、對等式通信 及移動中信息訪問等。歐洲專利局專利公開號EP1501038公開了一種手持終端�����,包括一個NFC設(shè)備, 一個寫按鈕和一個讀按鈕���。為了將存儲到手持終端中的信息寫入一個 信息提供設(shè)備���,用戶可以將手持終端靠近信息提供設(shè)備。為了將存儲在信息 存儲設(shè)備中的信息讀入到手持設(shè)備中���,用戶可以將手持終端靠近信息提供設(shè) 備?�,F(xiàn)有移動終端的射頻識別設(shè)備既可以工作在主動模式下����,也可以工作在 被動模式下����。當工作在主動模式下時,其需要一個電源對移動終端設(shè)備進行 供電���,由此產(chǎn)生非接觸式設(shè)備的射頻能量場��,其相當于一個射頻識別讀卡器; 當工作在被動模式下時�,射頻識別設(shè)備仿真成為射頻標簽(如IC卡),此時 不需要任何外部供電或較低的外部電流���,其接受主設(shè)備的射頻識別信號,由
外部設(shè)備感應(yīng)電壓進行工作����,并通過感應(yīng)完成主從設(shè)備間的應(yīng)用功能交換, 其相當于一個射頻識別標簽�。隨著世界各地各廠商的推動,在日本已經(jīng)有超過10%的移動終端(如手 機)帶有非接觸射頻識別功能����。目前,在筆記本計算機或者臺式個人計算機(PC)存在很多安全開機和 計算機鎖定方法�,比如用USB key,智能卡,專有的計算機鑰匙等��,這些安 全鎖定方法增加了計算機的安全性�。然而,這些方法需要特殊的設(shè)備支持���, 用戶攜帶非常不方便�,而且設(shè)備遺失之后�,重新配置非常麻煩?�,F(xiàn)有的另一種方法是通過藍牙手機對筆記本計算機的安全鎖定���,進行管 理的方法,但是�����,此方法只能在計算機開機狀態(tài)下解決計算機安全鎖定的問 題��,使用不方便���,受到很多的限制�,很難在市場上得到推廣應(yīng)用����。 發(fā)明內(nèi)容本發(fā)明的目的在于提供一種射頻識別的計算機安全鎖定認證系統(tǒng)和方 法,其解決了計算機安全鎖定過程中鎖定設(shè)備不方便攜帶����,使用不便而受到 限制等問題。為實現(xiàn)本發(fā)明目的而提供的一種射頻識別的計算機安全鎖定認證系統(tǒng)�,包括主設(shè)備計算機和從設(shè)備移動終端,其中主設(shè)備計算機包括計算機主板,計算機電源���,安全鎖定控制器和第一射 頻識別裝置���;從設(shè)備移動終端包括移動終端主板,移動終端電源和第二射頻 識別裝置所述第一射頻識別裝置包括第一射頻識別安全鎖定認證單元����,其與安全 鎖定控制器相連�����,用于與從設(shè)備移動終端在射頻識別鏈路上交互���,利用主設(shè) 備證書與從設(shè)備移動終端進行安全鎖定認證�;所述第二射頻識別裝置包括第二射頻識別安全鎖定認證單元��,用于與主 設(shè)備計算機在射頻識別鏈路上交互����,通過從設(shè)備證書與主設(shè)備計算機進行安 全鎖定認證,控制計算機電源開關(guān)休眠狀態(tài)的安全鎖定�����。所述安全鎖定控制器是嵌入式控制器,集成到主設(shè)備計算機的主板及電 源間的計算機電源控制電路上�,對計算機的電源開關(guān)休眠狀態(tài)進行控制。所述安全鎖定控制器還包括安全鎖定模式控制單元��,用于設(shè)定主設(shè)備計 算機的安全鎖定控制模式���。所述第一射頻識別裝置和第二射頻識別裝置還包括工作模式設(shè)定單元�, 用于控制設(shè)定主設(shè)備計算機第一射頻識別裝置和從設(shè)備移動終端的第二射頻 識別裝置的工作模式為主動模式或者被動模式���。所述第一射頻識別裝置和第二射頻識別裝置還包括保存單元���,用于保存 主設(shè)備證書和從設(shè)備證書,并在射頻識別認證過程中���,將主設(shè)備證書提供給 第一射頻識別安全鎖定認證單元�,將從設(shè)備證書提供給第二射頻識別安全鎖 定認證單元進行安全鎖定認證�。所述第一射頻識別安全鎖定認證單元包含多個對應(yīng)一個或多個從設(shè)備移 動終端的一個或多個主設(shè)備證書;第二射頻識別安全鎖定認證單元包含多個 對應(yīng)一個或多個主設(shè)備計算機的一個或多個從設(shè)備證書�。所述的第一射頻識別裝置和第二射頻識別裝置還包括的射頻識別訪問單 元,用于射頻識別裝置進行通訊��,完成數(shù)據(jù)傳輸通信工作。為實現(xiàn)本發(fā)明目的還提供了一種射頻識別的計算機安全鎖定認證方法��, 包括下列步驟步驟A)主設(shè)備計算機第一射頻識別裝置與從設(shè)備移動終端的第二射頻 識別裝置關(guān)聯(lián)����,建立射頻識別通信鏈路時,利用主設(shè)備證書和從設(shè)備證書進 行安全鎖定驗證并確認后����,安全鎖定控制器控制計算機電源開關(guān)休眠狀態(tài)。所述步驟A)之前還包括下列步驟-步驟A1')安全鎖定控制器設(shè)定主設(shè)備計算機在正常啟動模式下啟動��, 第一射頻識別裝置生成主設(shè)備證書和從設(shè)備證書���,安全鎖定控制器設(shè)定主設(shè) 備計算機為密碼分發(fā)模式;步驟A2')當主設(shè)備計算機的第一射頻識別裝置與從設(shè)備移動終端第二 射頻識別裝置關(guān)聯(lián)�,建立射頻識別通信鏈路時,第一射頻識別裝置和第二射 頻識別裝置之間交互�����,交換從設(shè)備證書給從設(shè)備移動終端�����,并獲取和保存從 設(shè)備移動終端信息,安全鎖定控制器設(shè)置主設(shè)備計算機的啟動模式為射頻識 別安全鎖定模式�。所述步驟A)包括下列步驟步驟A1)在主設(shè)備計算機設(shè)置了射頻識別安全鎖定模式后,啟動主設(shè)備
計算機時�,在從設(shè)備移動終端移動到離主設(shè)備計算機足夠近的距離時,主設(shè)備計算機的第一射頻識別裝置與從設(shè)備移動終端的第二射頻識別裝置關(guān)聯(lián)�, 建立射頻識別通信鏈路;步驟A2)主從設(shè)備之間在無線射頻識別鏈路上���,利用主設(shè)備證書和從設(shè) 備證書進行安全鎖定驗證�,進行主設(shè)備安全鎖定認證確認�����,然后安全鎖定控 制器控制計算機電源開關(guān)休眠狀態(tài)�。所述步驟A2)包括下列步驟步驟A21)由從設(shè)備移動終端的第二射頻識別裝置生成第一隨機數(shù)據(jù),并將第一隨機數(shù)據(jù)在射頻識別通信鏈路上發(fā)送給主設(shè)備計算機��;步驟A22)主設(shè)備計算機中的第一射頻識別裝置收到第一隨機數(shù)據(jù)后���,使用主設(shè)備證書中的從設(shè)備驗證密鑰通過對第一隨機數(shù)據(jù)加密并簽名���,將加密簽名的第一隨機數(shù)據(jù)傳回從設(shè)備移動終端;步驟A23)從設(shè)備移動終端的第二射頻識別裝置收到主設(shè)備計算機傳來 的加密簽名第一隨機數(shù)據(jù)后����,使用從設(shè)備證書中的主設(shè)備驗證密鑰驗證簽名 并解密�,比較確認主設(shè)備計算機驗證通過��。所述步驟A22)還包括下列步驟主設(shè)備計算機中的第一射頻識別裝置生成向從設(shè)備移動終端發(fā)送的第二 隨機數(shù)據(jù)�����;所述步驟A23)之后還包括下列步驟步驟A24)從設(shè)備移動終端的第二射頻識別裝置使用從設(shè)備證書中的主 設(shè)備驗證密鑰對所述第二隨機數(shù)加密并簽名�����,并將加密簽名的第二隨機數(shù)據(jù) 傳回主設(shè)備計算機���;步驟A25)主設(shè)備計算機的第一射頻識別裝置使用主設(shè)備證書中的從設(shè) 備驗證密鑰所述加密簽名的第二隨機數(shù)據(jù)驗證簽名并解密,比較確認�;并在 比較主設(shè)備計算機發(fā)出加密簽名的第一隨機數(shù)據(jù)和從設(shè)備發(fā)傳送回來的加密 簽名的第一隨機數(shù)據(jù)后確認從設(shè)備驗證通過。所述步驟A25)后還包括下列步驟步驟A26)主從設(shè)備的雙端驗證完成���,主設(shè)備計算機啟動后����,主設(shè)備計 算機進行計算機平臺進行完整性檢驗�,主設(shè)備計算機和第一射頻識別裝置建 立的通信傳輸鏈路相互訪問數(shù)據(jù)��,主設(shè)備計算機的主板BIOS能夠確認主設(shè) 備計算機的安全鎖定認證加電復(fù)位動作由第一射頻識別裝置發(fā)出����。所述開關(guān)休眠狀態(tài)包括計算機的加電啟動��,待機啟動��,進入休眠狀態(tài)��, 從休眠狀態(tài)中喚醒中的一種或者一種以上的組合�����。所述的安全鎖定啟動模式��,包括正常啟動模式�,密碼分發(fā)模式,射頻識 別安全鎖定模式���。所述主設(shè)備證書包括證書有效期�����,證書唯一性標識���,主設(shè)備唯一性標識�����, 從設(shè)備驗證密鑰����;所述從設(shè)備證書包括證書有效期�,證書唯一性標識,從設(shè) 備唯一性標識�,主設(shè)備驗證密鑰。所述密鑰為RSA�、 Di伍e-Hellman、 ECC算法中的公私鑰對��。 所述密鑰為DES���、 3DES、 IDEA����、 RC4、 RC5��、 AES算法中的共享對稱 密鑰。本發(fā)明的有益效果是本發(fā)明的射頻識別的計算機安全鎖定認證系統(tǒng)和 方法�����,在計算機和移動設(shè)備都具備射頻識別(RFID)功能時���,將移動設(shè)備的 射頻識別(RFID)芯片作為安全鎖定鑰匙���,實現(xiàn)計算機的動態(tài)安全鎖定。由 于移動終端越來越成為人們生活中不可分割的一部分���,本發(fā)明移動終端可以 方便地替代現(xiàn)有的USB key和專有IC卡鑰匙的安全功能��,可以提高計算機安 全鎖定的安全性�,而又無須修改硬件��;其在主設(shè)備計算機不加電時����,移動終 端工作在射頻識別主動工作模式,移動終端和主設(shè)備認證通過之后���,也能方 便地進行安全認證和開機的操作���,同時�����,安全認證的數(shù)字設(shè)備證書由用戶計 算機定制��,便于用戶管理���,既方便而使用中又不受限制。
圖1為本發(fā)明射頻識別的計算機安全鎖定認證主設(shè)備計算機結(jié)構(gòu)示意圖����;圖2為本發(fā)明射頻識別的計算機安全鎖定認證從設(shè)備移動終端結(jié)構(gòu)示意圖;圖3為本發(fā)明射頻識別的計算機安全鎖定認證方法中主從設(shè)備證書生成 及交換過程流程圖�;圖4為本發(fā)明射頻識別的計算機安全鎖定認證方法中安全鎖定認證過程
流程圖。
具體實施方式
為了使本發(fā)明的目的����、技術(shù)方案及優(yōu)點更加清楚明白,以下結(jié)合附圖1~4 及實施例��,對本發(fā)明的射頻識別的計算機安全鎖定認證系統(tǒng)和方法進行進一 步詳細說明����。應(yīng)當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明��,并 不用于限定本發(fā)明��。本發(fā)明的射頻識別的計算機安全鎖定認證系統(tǒng)和方法���,在主設(shè)備計算機 具有第一射頻識別裝置和從設(shè)備移動終端具有第二射頻識別裝置的情況下����, 主設(shè)備計算機的第一射頻識別裝置在被動模式下工作�����,從設(shè)備移動終端的第 二射頻識別裝置主動模式下�。在安全鎖定認證過程中,從設(shè)備移動終端的第 二射頻識別裝置主動向主設(shè)備計算機的第一射頻識別裝置發(fā)出認證請求����,在 認證通過后,主設(shè)備計算機的第一射頻識別裝置發(fā)出系統(tǒng)加電信號���,主設(shè)備 計算機啟動��。本發(fā)明的射頻識別的計算機安全鎖定認證系統(tǒng)包括主設(shè)備計算機和從設(shè) 備移動終端�����。本發(fā)明的主設(shè)備計算機指可以進行安全鎖定認證的計算機設(shè)備�,可以是 筆記本計算機、個人計算機����、服務(wù)器或者其他需要較高安全等級的計算機設(shè)備。本發(fā)明的從設(shè)備移動終端指用于與主設(shè)備計算機交互�,進行安全鎖定認 證的移動通信設(shè)備,其可以是手機�����、PDA���、 MP3���、 MP4或者其他便攜電子設(shè)備。如圖1所示����,主設(shè)備計算機包括中央處理器(CPU)��,計算機主板���,計算 機電源����,外圍設(shè)備(如鍵盤等)等,本發(fā)明的主設(shè)備計算機還包括安全鎖定 控制器以及第一射頻識別裝置�。安全鎖定控制器可以是嵌入式控制器(Embed Controller, EC)或者是南 橋上的其他專有連接部件,其可以集成到主設(shè)備計算機的主板及電源間的計 算機電源控制電路上����,對計算機的電源開關(guān)休眠狀態(tài)進行控制。計算機電源開關(guān)休眠狀態(tài)包括計算機的加電啟動���,待機啟動����,進入休眠 狀態(tài)�����,從休眠狀態(tài)中喚醒等��。所述安全鎖定控制器還包括安全鎖定模式控制單元,用于設(shè)定主設(shè)備計 算機的安全鎖定控制模式�。較佳地,所述的安全鎖定啟動模式����,可以包括正常啟動模式,密碼分發(fā) 模式���,射頻識別安全鎖定模式等�����。當然����,所述的安全鎖定啟動模式����,也可以還包括USBkey安全鎖定模式, 以及IC卡安全鎖定模式等各種安全鎖定模式等����。所述第一射頻識別裝置包括第一射頻識別安全鎖定認證單元,其與安全 鎖定控制器相連��,用于與從設(shè)備移動終端在射頻識別鏈路上交互,利用主設(shè) 備證書與從設(shè)備移動終端進行安全鎖定認證����。本發(fā)明實現(xiàn)的射頻識別芯片控制安全鎖定認證的主設(shè)備計算機,其將第 一射頻識別裝置連接在主設(shè)備計算機的安全鎖定控制器上����。本發(fā)明的第一射頻識別裝置工作在非常低的待機功耗�����,等待外部從設(shè)備 移動終端上的第二射頻識別裝置通過射頻識別連入的被動模式下����。如圖2所示,從設(shè)備移動終端包括移動終端主板����,移動終端電源,第二 射頻識別裝置�,其中-所述第二射頻識別裝置包括第二射頻識別安全鎖定認證單元,用于與主 設(shè)備計算機在射頻識別鏈路上交互����,通過從設(shè)備證書與主設(shè)備計算機進行安 全鎖定認證�,控制計算機電源開關(guān)休眠狀態(tài)的安全鎖定��。所述第一射頻識別裝置和第二射頻識別裝置還包括工作模式設(shè)定單元�����, 用于控制設(shè)定主設(shè)備計算機第一射頻識別裝置和從設(shè)備移動終端的第二射頻 識別裝置的工作模式為主動模式或者被動模式��。當工作在主動模式下時�����,工作模式設(shè)定單元控制移動終端電源對第二射 頻識別裝置進行供電�����,由此產(chǎn)生非接觸式設(shè)備的射頻能量場�,其相當于一個 射頻識別讀卡器;當工作在被動模式下時�,工作模式設(shè)定單元控制第二射頻 識別裝置仿真成為射頻標簽(如IC卡),此時不需要任何外部供電或較低的 外部電流����,其接受主設(shè)備計算機的射頻識別信號,由外部設(shè)備感應(yīng)電壓進行 工作��,并通過感應(yīng)完成主從設(shè)備間的應(yīng)用功能交換,其相當于一個射頻識別 標簽����。當主設(shè)備沒有啟動,從設(shè)備移動終端對主設(shè)備計算機進行加電啟動安全
鎖定認證時���,工作模式設(shè)定單元控制第二射頻識別裝置在主動模式下工作���, 完成安全鎖定認證工作;當主設(shè)備己經(jīng)啟動�,從設(shè)備移動終端對主設(shè)備計算 機只是在待機啟動�����,進入休眠狀態(tài)���,從休眠狀態(tài)中喚醒等���,工作模式設(shè)定單 元既可以控制第二射頻裝置在主動模式下工作,也可以在被動模式工作��,完 成安全鎖定認證�����。所述第一射頻識別裝置和第二射頻識別裝置還包括保存單元,用于保存 主設(shè)備證書和從設(shè)備證書�����,并在射頻識別認證過程中���,將主設(shè)備證書提供給 第一射頻識別安全鎖定認證單元�,將從設(shè)備證書提供給第二射頻識別安全鎖 定認證單元進行安全鎖定認證���。保存單元保存設(shè)備證書�����,將設(shè)備證書的信息保存后��,除射頻識別安全鎖 定認證單元外����,其他任何程序無法讀取此從設(shè)備證書信息���。本發(fā)明實現(xiàn)的控制主設(shè)備計算機安全鎖定認證的從設(shè)備移動終端����,其通 過工作模式設(shè)定單元,利用移動終端電源向第二射頻識別裝置供電��,使第二 射頻識別裝置在主動模式下工作�����,向主設(shè)備計算機的第一射頻識別裝置發(fā)射 射頻信號��,建立射頻識別鏈路�,然后第二安全鎖定認證單元和第一安全鎖定 認證單元在射頻識別鏈路上利用第二射頻識別裝置的保存單元保存的從設(shè)備 證書與主設(shè)備計算機的主設(shè)備證書交互,進行主設(shè)備計算機安全鎖定認證�。本領(lǐng)域的普通技術(shù)人員可以理解,作為具有射頻識別功能的能夠進行安 全鎖定的主設(shè)備計算機和從設(shè)備移動終端��,本發(fā)明所述的第一射頻識別裝置 和第二射頻識別裝置還包括現(xiàn)有公知的射頻識別訪問單元��,用于和第一射頻 識別裝置進行通訊����,完成數(shù)據(jù)傳輸通信工作�,其所遵循的現(xiàn)有國際標準可以是射頻標簽標準,包括SONYFelica��、 ISO/IEC 14443 TYPE A、 ISO/IEC 14443 TYPEB�、 ISO/IEC15693、 ISO18092�、 ISO18000—3,在本發(fā)明中��,引用這些標準����,不再一一贅述o在主設(shè)備計算機和從設(shè)備移動終端在進行加電啟動安全鎖定認證時,從 設(shè)備移動終端的工作模式控制單元將從設(shè)備移動終端的第二射頻識別裝置控 制為主動工作模式���,通過通常的射頻通訊協(xié)議建立射頻鏈路���,在安全鎖定控 制器的安全鎖定模式控制單元設(shè)定主設(shè)備計算機為射頻識別安全鎖定模式 時,第二安全鎖定認證單元與主設(shè)備的第一射頻識別裝置中的第一安全鎖定 認證單元在訪問單元建立的射頻識別鏈路上進行安全鎖定認證����,在安全認證 通過后,第一射頻識別裝置向安全鎖定控制器發(fā)送認證通過命令��,安全鎖定 控制器通知計算機加鎖或者解鎖�����,控制控制計算機電源幵關(guān)休眠狀態(tài)的安全 鎖定。同樣��,主設(shè)備計算機在待機啟動狀態(tài)�,進入休眠狀態(tài),從休眠狀態(tài)中喚 醒時��,也通過第二射頻識別裝置向第一射頻識別裝置發(fā)出認證請求而得到安 全鎖定認證后加鎖或者解鎖主設(shè)備計算機����。因此,在本發(fā)明實施例中��,只以在計算機沒有開啟狀態(tài)下��,主設(shè)備計算 機和從設(shè)備移動終端利用射頻識別裝置進行安全鎖定認證�,實現(xiàn)主設(shè)備計算 機安全鎖定認證后的安全加電開啟的過程,對其他計算機電源開關(guān)休眠狀態(tài) 的安全鎖定�,其安全鎖定認證過程與加電過程相同,本發(fā)明中不再一一贅述����。本發(fā)明移動終端替代現(xiàn)有的USB key和專有鑰匙的安全鎖定認證功能���, 提高計算機安全鎖定的安全性���,既方便又無須對硬件做大的改動��;其在主設(shè) 備計算機不加電時�,也能方便地進行安全認證和開機的操作�。如圖3和圖4所示,下面詳細說明本發(fā)明的非接觸式計算機安全鎖定方法步驟1:安全鎖定控制器設(shè)定主設(shè)備計算機在正常啟動模式下啟動�,然 后第一射頻識別裝置生成主設(shè)備證書和從設(shè)備證書,安全鎖定控制器設(shè)定主 設(shè)備計算機為密碼分發(fā)模式�����。然后�,在主設(shè)備計算機啟動之后,主設(shè)備計算機的第一射頻識別裝置生 成主設(shè)備證書和從設(shè)備證書��。較佳地���,主設(shè)備證書包括證書有效期����,證書唯一性標識�����,主設(shè)備唯一性 標識,從設(shè)備驗證密鑰�����。從設(shè)備證書包括證書有效期����,證書唯一性標識,從設(shè)備唯一性標識�����,主 設(shè)備驗證密鑰���。主設(shè)備和從設(shè)備驗證密鑰可以采用非對稱密鑰的公私鑰對��,或者共享的 對稱密鑰�。主設(shè)備和從設(shè)備驗證密鑰所采用的加密算法���,由生產(chǎn)廠商分別預(yù)置在主 設(shè)備計算機和從設(shè)備移動終端中�����。
因此���,本發(fā)明主設(shè)備和從設(shè)備驗證密鑰可以是非對稱算法密鑰對中的密鑰,如RSA算法(是基于數(shù)論的公鑰密碼體制����,由Rivest、 Shamir與Adleman 三人合作開發(fā)�,因此叫RSA算法)、Diffie-Hellman算法�、ECC (Elliptic Curves Cryptography)或其他非對稱密鑰算法的非對稱密鑰,所述加密算法的認證密 鑰對由該算法的密鑰中心生成或者預(yù)存��。認證密鑰根據(jù)設(shè)備情況也可以選擇對稱密鑰算法��,如DES (Data Encryption Standard)�、 3DES、 IDEA (IDEA (International Data Encryption Algorithm,國際數(shù)據(jù)加密算法)��、RC4����、 RC5、 AES (Advanced Encryption Standard,高級加密標準)或者其他對稱密鑰算法的密鑰��,此時認證密鑰為一 個隨機數(shù)或變換產(chǎn)生。如果采用非對稱密鑰方式�����,從設(shè)備證書驗證密鑰將包含從設(shè)備公鑰和主 設(shè)備私鑰�;主設(shè)備證書驗證密鑰將包含主設(shè)備公鑰和從設(shè)備私鑰。本發(fā)明實施例中���,采用非對稱密鑰方式��,對主設(shè)備計算機和從設(shè)備移動 終端的安全鎖定認證過程進行詳細描述��,對對稱密鑰方式��,其過程基本相同����, 因此本發(fā)明實施例中不再一一贅述���。較佳地��,主設(shè)備證書和從設(shè)備證書生成后��,設(shè)備證書的信息保存后����,其 他任何程序無法讀取此主設(shè)備證書和從設(shè)備證書。在發(fā)現(xiàn)從設(shè)備移動終端丟 失或損壞時�,主設(shè)備計算機可以刪除和更新第一射頻識別裝置內(nèi)部保存主設(shè) 備證書�����。在主設(shè)備證書和從設(shè)備證書的證書有效期到達時��,主設(shè)備計算機和 從設(shè)備移動終端將收到射頻識別裝置的證書更新通知����,并提示用戶重復(fù)證書 生成過程進行設(shè)備證書更新。在設(shè)備證書生成之后�,主設(shè)備計算機的第一射頻識別裝置設(shè)置到密碼分 發(fā)模式,此時主設(shè)備計算機將等待從設(shè)備移動終端的關(guān)聯(lián)請求�����。步驟2:當主設(shè)備計算機的第一射頻識別裝置與從設(shè)備移動終端第二射 頻識別裝置關(guān)聯(lián)�,建立射頻識別通信鏈路時,第一射頻識別裝置和第二射頻 識別裝置之間交互���,交換從設(shè)備證書給從設(shè)備移動終端����,并獲取和保存從設(shè) 備移動終端信息,安全鎖定控制器設(shè)置主設(shè)備計算機的啟動模式為射頻識別 安全鎖定模式�����。從設(shè)備移動終端移動到足夠近的距離時����,主設(shè)備計算機的第一射頻識別1
裝置接收到從設(shè)備移動終端的第二射頻識別裝置主動發(fā)射的射頻信號,通過公矢口(如通常的ISO/IEC 14443 TYPE A/B���、ISO18092���、ISO/IEC15693、ISO18000一3等協(xié)議技術(shù)標準)的交互�,建立射頻識別通信鏈路,建立關(guān)聯(lián)�。在從設(shè)備移動終端與主設(shè)備計算機關(guān)聯(lián)之后,主設(shè)備計算機第一射頻識 別裝置傳遞主設(shè)備證書給從設(shè)備移動終端的第二射頻識別裝置��,從設(shè)備移動 終端第二射頻識別裝置將移動終端信息(如設(shè)備信息或用戶信息)傳遞到主 設(shè)備計算機�����。主設(shè)備計算機會保存移動終端信息,用于在從設(shè)備移動終端丟 失和損壞時����,通過再次與新的從設(shè)備移動終端相關(guān)聯(lián),重新恢復(fù)從設(shè)備證書����。 從設(shè)備移動終端的第二射頻識別裝置保存主設(shè)備驗證證書���,用于對主設(shè) 備計算機進行安全鎖定認證���。主設(shè)備計算機可以保存對應(yīng)多個不同從設(shè)備移動終端的主設(shè)備證書,從 設(shè)備移動終端也可以保存對應(yīng)多個主設(shè)備計算機的從設(shè)備證書����。主從設(shè)備使 用設(shè)備標識區(qū)分對應(yīng)的設(shè)備。用戶可以將從設(shè)備證書加密保存在其它設(shè)備上����, 比如USBkey或特殊的服務(wù)器上,便于在移動設(shè)備遺失或損壞時��,方便的恢 復(fù)用戶開機功能。如果主設(shè)備計算機有多個對應(yīng)不同從設(shè)備移動終端的主設(shè)備證書��,從設(shè) 備移動終端有對應(yīng)多個主設(shè)備計算機的從設(shè)備證書時�����,其通過不同的標識識 別的主從設(shè)備證書���。主設(shè)備計算機的安全鎖定控制器設(shè)置主設(shè)備計算機的安全鎖定方式為射 頻識別安全鎖定模式�。主設(shè)備計算機的安全鎖定控制器可以在射頻識別安全鎖定模式下通過安 全鎖定認證�,啟動主設(shè)備計算機,然后將其啟動模式改變?yōu)槠渌J?����,如?常啟動模式���,密碼分發(fā)模式或者USBkey安全鎖定模式�����。在設(shè)置主設(shè)備計算機為射頻識別安全鎖定模式之后����,主設(shè)備計算機的安 全鎖定控制器控制計算機的主板和電源或與加電相關(guān)的單元,使主設(shè)備計算 機在不接受射頻識別認證成功的指令����,則主設(shè)備計算機無法加電啟動。步驟3:主設(shè)備計算機第一射頻識別裝置與從設(shè)備移動終端的第二射頻 識別裝置關(guān)聯(lián)��,建立射頻識別通信鏈路時�����,利用主設(shè)備證書和從設(shè)備證書進 行安全鎖定驗證并確認后����,安全鎖定控制器控制計算機電源開關(guān)休眠狀態(tài)為
主設(shè)備計算機加電啟動。步驟31:如圖4所示�,在主設(shè)備計算機設(shè)置了射頻識別安全鎖定模式后�����, 啟動主設(shè)備計算機時����,在從設(shè)備移動終端移動到離主設(shè)備計算機足夠近的距 離時,主設(shè)備計算機的第一射頻識別裝置在被動模式下��,接收到從設(shè)備移動 終端的第二射頻識別裝置在主動模式下主動發(fā)射的射頻信號,通過公知(如ISO/IEC 14443 TYPE A/B��、 ISO/IEC15693��、 ISO 18092�����、 ISO 18000—3技術(shù)標 準)的交互關(guān)聯(lián)����,建立射頻識別通信鏈路。步驟32:主從設(shè)備之間在無線射頻識別鏈路上�,利用主設(shè)備證書和從設(shè) 備證書進行安全鎖定驗證,進行主設(shè)備安全鎖定認證確認���,然后安全鎖定控 制器控制計算機電源開關(guān)休眠狀態(tài)為主設(shè)備計算機加電啟動���。從設(shè)備移動終端的第二射頻識別裝置啟動一個使用交換的驗證密鑰進行 三次驗證過程,如圖3所示步驟321:由從設(shè)備移動終端的第二射頻識別裝置生成隨機數(shù)RandomA��, 并將隨機數(shù)RandomA在射頻識別通信鏈路上發(fā)送給主設(shè)備計算機���;步驟322:主設(shè)備計算機中的第一射頻識別裝置收到隨機數(shù)RandomA后���, 使用主設(shè)備證書中的從設(shè)備公鑰通過非對稱加密簽名算法對隨機數(shù) RandomA加密�����,并用主設(shè)備證書中的主設(shè)備私鑰對隨機數(shù)RandomA簽名����, 形成簽名TokenA�,同時生成向從設(shè)備移動終端發(fā)送的另一個隨機數(shù)據(jù) RandomB,將這三個數(shù)據(jù)一起傳回從設(shè)備移動終端��;步驟323:從設(shè)備移動終端的第二射頻識別裝置收到主設(shè)備計算機傳來 的數(shù)據(jù)后���,使用從設(shè)備證書中的主設(shè)備公鑰對簽名TokenA利用相應(yīng)的非對稱加密算法進行驗證確認����,然后使用從設(shè)備證書中的從設(shè)備私鑰利用相應(yīng)的非 對稱加密算法進行解密����,得到解密結(jié)果隨機數(shù)RandomA�����,比較解密結(jié)果與隨 機數(shù)RandomA相等后確認主設(shè)備計算機驗證通過。步驟324:從設(shè)備移動終端的第二射頻識別裝置使用從設(shè)備證書中的主 設(shè)備公鑰對隨機數(shù)RandomB利用非對稱加密算法加密����,并使用從設(shè)備私鑰對 隨機數(shù)RandomB簽名,形成簽名TokenB��,并將加密結(jié)果和簽名TokenB及簽 名數(shù)據(jù)TokenA這三個數(shù)據(jù)一起傳回主設(shè)備計算機��;步驟325:主設(shè)備計算機的第一射頻識別裝置使用主設(shè)備證書中的從設(shè)
備公鑰對TokenB利用相應(yīng)的非對稱算法驗證確認��,然后用主設(shè)備私鑰對從從設(shè)備移動終端接收到的加密結(jié)果利用相應(yīng)的非對稱加密算法進行解密����,得到 解密結(jié)果,比較解密結(jié)果與隨機數(shù)RandomB相等后確認同時�����,比較發(fā)出簽名數(shù)據(jù)TokenA和收到的簽名數(shù)據(jù)TokenA是否相等��, 如果相等則確認從設(shè)備驗證通過���。如果上述驗證過程全部完成���,則主從設(shè)備的雙端驗證完成�,則從設(shè)備移 動終端向主設(shè)備計算機發(fā)出加電啟動指令��,主設(shè)備計算機的第一射頻識別裝 置接收到指令后�,向主設(shè)備計算機的安全鎖定控制器發(fā)出加電啟動指令,主 設(shè)備計算機加電啟動操作系統(tǒng)��。步驟326:如果主從設(shè)備的雙端驗證完成�����,主設(shè)備計算機啟動后��,主設(shè) 備計算機進行計算機平臺進行完整性檢驗��,確認第一射頻識別裝置與系統(tǒng)連 接��,并且主設(shè)備計算機和第一射頻識別裝置能夠通過射頻協(xié)議建立的通信傳 輸鏈路相互訪問數(shù)據(jù)�,同時主設(shè)備計算機的主板BIOS能夠確認主設(shè)備計算 機的安全鎖定認證加電復(fù)位動作由第一射頻識別裝置發(fā)出。在本發(fā)明方法中����,如果任何一步驟驗證比較結(jié)果為否,則終止主從設(shè)備 的安全鎖定認證��。需要說明的是�����,當主設(shè)備計算機在啟動狀態(tài)���,主設(shè)備計算機和從設(shè)備移 動終端建立射頻識別鏈路�,交互而進行安全鎖定認證的加鎖或者解鎖主設(shè)備 計算機的過程中�,主設(shè)備計算機的第一射頻識別裝置可以在主動模式下,即 作為射頻識別讀卡器����;而相應(yīng)地,從設(shè)備移動終端工作在被動模式下�����,即作 為射頻識別標簽�,建立射頻識別通信鏈路,進行安全鎖定認證的加鎖和解鎖�。 此時,用戶可以設(shè)定安全鎖定的級別��,可以進行操作系統(tǒng)的鎖定����、計算機關(guān) 機鎖定和屏幕鎖定等�����。本發(fā)明的射頻識別的計算機安全鎖定認證系統(tǒng)和方法�����,在計算機和移動 設(shè)備都具備射頻識別功能時�,將移動設(shè)備的射頻識別芯片作為安全鎖定鑰匙����, 實現(xiàn)計算機的動態(tài)安全鎖定。由于移動終端越來越成為人們生活中不可分割 的一部分�����,本發(fā)明移動終端可以方便地替代現(xiàn)有的USB key和專有鑰匙的安 全功能���,可以提高計算機安全鎖定的安全性�����,而又無須修改硬件�;其在主設(shè) 備計算機不加電時,也能方便地進行安全認證和開機的操作��,同時��,安全認
證的數(shù)字設(shè)備證書由用戶計算機定制�,便于用戶管理����,既方便而使用中又不 受限制。本實施例是為了更好地理解本發(fā)明進行的詳細的描述��,并不是對本發(fā)明 所保護的范圍的限定����,因此,本領(lǐng)域普通技術(shù)人員不脫離本發(fā)明的主旨未經(jīng) 創(chuàng)造性勞動而對本發(fā)明所做的改變在本發(fā)明的保護范圍內(nèi)��。
權(quán)利要求
1.一種射頻識別的計算機安全鎖定認證系統(tǒng)����,包括主設(shè)備計算機和從設(shè)備移動終端,其中主設(shè)備計算機包括計算機主板���,計算機電源�,安全鎖定控制器和第一射頻識別裝置;從設(shè)備移動終端包括移動終端主板�,移動終端電源和第二射頻識別裝置,其特征在于所述第一射頻識別裝置包括第一射頻識別安全鎖定認證單元�,其與安全鎖定控制器相連,用于與從設(shè)備移動終端在射頻識別鏈路上交互�����,利用主設(shè)備證書與從設(shè)備移動終端進行安全鎖定認證�����;所述第二射頻識別裝置包括第二射頻識別安全鎖定認證單元�,用于與主設(shè)備計算機在射頻識別鏈路上交互,通過從設(shè)備證書與主設(shè)備計算機進行安全鎖定認證��,控制計算機電源開關(guān)休眠狀態(tài)的安全鎖定���。
2. 根據(jù)權(quán)利要求1所述的射頻識別的計算機安全鎖定認證系統(tǒng)�����,其特征 在于�,所述安全鎖定控制器是嵌入式控制器�����,集成到主設(shè)備計算機的主板及 電源間的計算機電源控制電路上,對計算機的電源開關(guān)休眠狀態(tài)進行控制�����。
3. 根據(jù)權(quán)利要求2所述的射頻識別的計算機安全鎖定認證系統(tǒng)�����,其特征 在于�����,所述開關(guān)休眠狀態(tài)包括計算機的加電啟動���,待機啟動,進入休眠狀態(tài)��, 從休眠狀態(tài)中喚醒中的一種或者一種以上的組合����。
4. 根據(jù)權(quán)利要求2所述的射頻識別的計算機安全鎖定認證系統(tǒng),其特征 在于��,所述安全鎖定控制器還包括安全鎖定模式控制單元,用于設(shè)定主設(shè)備 計算機的安全鎖定控制模式�。
5. 根據(jù)權(quán)利要求4所述的射頻識別的計算機安全鎖定認證系統(tǒng),其特征在于���,所述的安全鎖定啟動模式��,包括正常啟動模式�����,密碼分發(fā)模式����,射頻 識別安全鎖定模式��。
6. 根據(jù)權(quán)利要求1或2或4所述的射頻識別的計算機安全鎖定認證系統(tǒng)����, 其特征在于,所述主設(shè)備證書包括證書有效期���,證書唯一性標識����,主設(shè)備唯 一性標識,從設(shè)備驗證密鑰��;所述從設(shè)備證書包括證書有效期��,證書唯一性 標識�,從設(shè)備唯一性標識,主設(shè)備驗證密鑰��。
7. 根據(jù)權(quán)利要求1或2或4所述的射頻識別的計算機安全鎖定認證系統(tǒng)�����,其特征在于�,所述第一射頻識別裝置和第二射頻識別裝置還包括工作模式設(shè) 定單元�����,用于控制設(shè)定主設(shè)備計算機第一射頻識別裝置和從設(shè)備移動終端的 第二射頻識別裝置的工作模式為主動模式或者被動模式���。
8. 根據(jù)權(quán)利要求7所述的射頻識別的計算機安全鎖定認證系統(tǒng)���,其特征 在于,所述第一射頻識別裝置和第二射頻識別裝置還包括保存單元�����,用于保 存主設(shè)備證書和從設(shè)備證書,并在射頻識別認證過程中�����,將主設(shè)備證書提供 給第一射頻識別安全鎖定認證單元�,將從設(shè)備證書提供給第二射頻識別安全 鎖定認證單元進行安全鎖定認證。
9. 根據(jù)權(quán)利要求8所述的射頻識別的計算機安全鎖定認證系統(tǒng)�,其特征 在于,所述第一射頻識別安全鎖定認證單元包含多個對應(yīng)一個或多個從設(shè)備 移動終端的一個或多個主設(shè)備證書�����;第二射頻識別安全鎖定認證單元包含多個對應(yīng)一個或多個主設(shè)備計算機的一個或多個從設(shè)備證書����。
10. 根據(jù)權(quán)利要求8所述的射頻識別的計算機安全鎖定認證系統(tǒng),其特 征在于�,所述的第一射頻識別裝置和第二射頻識別裝置還包括的射頻識別訪 問單元,用于射頻識別裝置進行通訊�,完成數(shù)據(jù)傳輸通信工作。
11. 一種射頻識別的計算機安全鎖定認證方法�����,其特征在于,包括下列 步驟-步驟A)主設(shè)備計算機第一射頻識別裝置與從設(shè)備移動終端的第二射頻 識別裝置關(guān)聯(lián)���,建立射頻識別通信鏈路時��,利用主設(shè)備證書和從設(shè)備證書進 行安全鎖定驗證并確認后���,安全鎖定控制器控制計算機電源開關(guān)休眠狀態(tài)。
12. 根據(jù)權(quán)利要求ll所述的計算機安全鎖定認證方法�����,其特征在于�,所 述步驟A)之前還包括下列步驟步驟A1')安全鎖定控制器設(shè)定主設(shè)備計算機在正常啟動模式下啟動, 第一射頻識別裝置生成主設(shè)備證書和從設(shè)備證書��,安全鎖定控制器設(shè)定主設(shè) 備計算機為密碼分發(fā)模式���;步驟A2')當主設(shè)備計算機的第一射頻識別裝置與從設(shè)備移動終端第二 射頻識別裝置關(guān)聯(lián),建立射頻識別通信鏈路時�,第一射頻識別裝置和第二射 頻識別裝置之間交互,交換從設(shè)備證書給從設(shè)備移動終端����,并獲取和保存從 設(shè)備移動終端信息���,安全鎖定控制器設(shè)置主設(shè)備計算機的啟動模式為射頻識 別安全鎖定模式。
13. 根據(jù)權(quán)利要求12所述的計算機安全鎖定認證方法���,其特征在于����,所 述步驟A)包括下列步驟-步驟A1)在主設(shè)備計算機設(shè)置了射頻識別安全鎖定模式后�����,啟動主設(shè)備 計算機時�����,在從設(shè)備移動終端移動到離主設(shè)備計算機足夠近的距離時�,主設(shè) 備計算機的第一射頻識別裝置與從設(shè)備移動終端的第二射頻識別裝置關(guān)聯(lián), 建立射頻識別通信鏈路����;步驟A2)主從設(shè)備之間在無線射頻識別鏈路上,利用主設(shè)備證書和從設(shè) 備證書進行安全鎖定驗證���,進行主設(shè)備安全鎖定認證確認��,然后安全鎖定控 制器控制計算機電源開關(guān)休眠狀態(tài)��。
14. 根據(jù)權(quán)利要求13所述的計算機安全鎖定認證方法����,其特征在于,所 述步驟A2)包括下列步驟步驟A21)由從設(shè)備移動終端的第二射頻識別裝置生成第一隨機數(shù)據(jù)����, 并將第一隨機數(shù)據(jù)在射頻識別通信鏈路上發(fā)送給主設(shè)備計算機;步驟A22)主設(shè)備計算機中的第一射頻識別裝置收到第一隨機數(shù)據(jù)后��, 使用主設(shè)備證書中的從設(shè)備驗證密鑰通過對第一隨機數(shù)據(jù)加密并簽名��,將加 密簽名的第一隨機數(shù)據(jù)傳回從設(shè)備移動終端�;步驟A23)從設(shè)備移動終端的第二射頻識別裝置收到主設(shè)備計算機傳來 的加密簽名第一隨機數(shù)據(jù)后,使用從設(shè)備證書中的主設(shè)備驗證密鑰驗證簽名 并解密���,比較確認主設(shè)備計算機驗證通過。
15. 根據(jù)權(quán)利要求14所述的計算機安全鎖定認證方法�,其特征在于,所 述步驟A22)還包括下列步驟-主設(shè)備計算機中的第一射頻識別裝置生成向從設(shè)備移動終端發(fā)送的第二 隨機數(shù)據(jù)��;所述步驟A23)之后還包括下列步驟步驟A24)從設(shè)備移動終端的第二射頻識別裝置使用從設(shè)備證書中的主 設(shè)備驗證密鑰對所述第二隨機數(shù)加密并簽名���,并將加密簽名的第二隨機數(shù)據(jù) 傳回主設(shè)備計算機�����; 步驟A25)主設(shè)備計算機的第一射頻識別裝置使用主設(shè)備證書中的從設(shè) 備驗證密鑰所述加密簽名的第二隨機數(shù)據(jù)驗證簽名并解密��,比較確認�����;并在 比較主設(shè)備計算機發(fā)出加密簽名的第一隨機數(shù)據(jù)和從設(shè)備發(fā)傳送回來的加密 簽名的第一隨機數(shù)據(jù)后確認從設(shè)備驗證通過���。
16. 根據(jù)權(quán)利要求15所述的計算機安全鎖定認證方法��,其特征在于����,所 述步驟A25)后還包括下列步驟步驟A26)主從設(shè)備的雙端驗證完成����,主設(shè)備計算機啟動后,主設(shè)備計 算機進行計算機平臺進行完整性檢驗��,主設(shè)備計算機和第一射頻識別裝置建 立的通信傳輸鏈路相互訪問數(shù)據(jù),主設(shè)備計算機的主板BIOS能夠確認主設(shè) 備計算機的安全鎖定認證加電復(fù)位動作由第一射頻識別裝置發(fā)出���。
17. 根據(jù)權(quán)利要求11至16中任一項所述的計算機安全鎖定認證方法���, 其特征在于,所述開關(guān)休眠狀態(tài)包括計算機的加電啟動�,待機啟動,進入休 眠狀態(tài)�,從休眠狀態(tài)中喚醒中的一種或者一種以上的組合。
18. 根據(jù)權(quán)利要求17所述的計算機安全鎖定認證方法���,其特征在于�����,所 述的安全鎖定啟動模式���,包括正常啟動模式,密碼分發(fā)模式��,射頻識別安全 鎖定模式���。
19. 根據(jù)權(quán)利要求18所述的計算機安全鎖定認證方法,其特征在于,所 述主設(shè)備證書包括證書有效期��,證書唯一性標識�����,主設(shè)備唯一性標識����,從設(shè) 備驗證密鑰;所述從設(shè)備證書包括證書有效期����,證書唯一性標識,從設(shè)備唯 一性標識�����,主設(shè)備驗證密鑰����。
20. 根據(jù)權(quán)利要求19所述的計算機安全鎖定認證方法,其特征在于����,所 述密鑰為RSA�����、 Diffie-Hdlman�����、 ECC算法中的公私鑰對����。
21. 根據(jù)權(quán)利要求19所述的計算機安全鎖定認證方法����,其特征在于,所 述密鑰為DES�����、 3DES��、 IDEA�、 RC4、 RC5��、 AES算法中的共享對稱密鑰�。
全文摘要
本發(fā)明公開了一種射頻識別的計算機安全鎖定認證系統(tǒng)和方法����。該系統(tǒng)包括主設(shè)備計算機和從設(shè)備移動終端���,其中主設(shè)備計算機包括安全鎖定控制器和第一射頻識別裝置;從設(shè)備移動終端包括第二射頻識別裝置�,所述第一射頻識別裝置包括第一射頻識別安全鎖定認證單元,其與安全鎖定控制器相連�����,用于與從設(shè)備移動終端在射頻識別鏈路上交互�����,利用主設(shè)備證書與從設(shè)備移動終端進行安全鎖定認證����;所述第二射頻識別裝置包括第二射頻識別安全鎖定認證單元,用于與主設(shè)備計算機在射頻識別鏈路上交互����,通過從設(shè)備證書與主設(shè)備計算機進行安全鎖定認證,控制計算機電源開關(guān)休眠狀態(tài)的安全鎖定�。其能夠方便地進行計算機的安全鎖定認證�����。
文檔編號G06F21/00GK101131720SQ20061011507
公開日2008年2月27日 申請日期2006年8月23日 優(yōu)先權(quán)日2006年8月23日
發(fā)明者于辰濤 申請人:聯(lián)想(北京)有限公司