專利名稱:基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法
技術(shù)領(lǐng)域:
本發(fā)明是基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法���,屬于信息安全技術(shù)領(lǐng)域�。在計算機操作系統(tǒng)啟動之前以及運行的時候,通過藍牙設(shè)備與手機終端間的通信��,實現(xiàn)身份認證、實時監(jiān)控及系統(tǒng)訪問控制功能����,以達到防護計算機系統(tǒng)的目的。
背景技術(shù):
隨著信息化程度的越來越高��,信息安全顯得格外重要���,很多人認為安全隱患主要來自黑客攻擊和病毒破壞����,只要部署了防火墻及防毒殺毒軟件等系統(tǒng)就安全了��。但據(jù)美國聯(lián)邦調(diào)查局和計算機安全機構(gòu)的調(diào)差結(jié)果表明超過80%的信息安全隱患來自于內(nèi)部而非外來黑客和病毒��,信息泄露所造成的損失遠比被病毒破壞和被黑客攻擊所造成損失大的多��。無論是個人電腦還是信息系統(tǒng)的客戶端電腦����,都存儲著大量的個人或者公司非常重要的數(shù)據(jù)和信息,未經(jīng)授權(quán)的訪問會給計算機用戶帶來重要的損失�。于是如何防止非授權(quán)用戶使用電腦等問題日益受到人們的關(guān)注。為了保證計算機數(shù)據(jù)和信息免遭泄露����、竊取�、更改和破壞�����,通常采用身份認證技術(shù)對計算機數(shù)據(jù)和信息進行保護�����。身份認證的主要目的是鑒別用戶身份���,區(qū)分合法用戶和非授權(quán)用戶����,防止攻擊者偽冒合法用戶獲取訪問權(quán)限�����。目前主要的身份認證手段可以分為以下兩類一是采用軟件技術(shù)進行認證�����,二是采用硬件技術(shù)進行認證。軟件技術(shù)中最傳統(tǒng)的認證方法是在操作系統(tǒng)登錄界面中輸入用戶名和口令����。申請?zhí)枮?00910057107.9的發(fā)明描述了一種計算機動態(tài)安全認證方法���,該方法在上述方法的基礎(chǔ)上����,通過計算機無線通信發(fā)射裝置�����,發(fā)射一動態(tài)密碼至預(yù)先設(shè)置的便攜式電子裝置上���, 通過此密碼實現(xiàn)認證�。但是這些方法可以通過使用超級管理員賬戶或者光盤啟動方式繞過認證�,以達到破解的目的。而且以現(xiàn)在主流家用計算機的處理能力�,強行破解10位數(shù)字和字母組成的字符口令也只需要十幾分鐘,因此這種方法的安全性非常低��。此外這些方法僅僅在開機時驗證一次��,驗證后沒有實時監(jiān)控,無法保證使用過程中的安全性�����。硬件技術(shù)則是采用如智能卡����、指紋認證等技術(shù),通過增加硬件設(shè)備來保證認證的安全性����。時向衛(wèi)等人在“基于key的Windows登錄系統(tǒng)的設(shè)計與實現(xiàn)”一文中,提出通 a^MUniversal Serial BUS��,通用串行總線)key來實現(xiàn)認證的方法����,在啟動系統(tǒng)時插入 Usb key,輸入正確的PIN碼調(diào)用hb key中的用戶名和口令進行登錄驗證��。這種方法雖然通過雙口令認證方式���,提高了安全性�����,但是并沒有從根本上改變認證機制����,依舊可以使用上述方法破解;此外hb key也會存在丟失的可能��,反而增加了安全隱患��。此外申請專利號為 200610063146. 6的發(fā)明描述了一種基于安全計算機的安全認證方法��,該方法通過在基本輸入輸出系統(tǒng)BIOS上增添一組可信平臺模塊TPM(Trusted Platform Module���,可信賴平臺模塊)芯片,將用戶輸入的密鑰數(shù)據(jù)與在TPM芯片中預(yù)存的密鑰數(shù)據(jù)進行比對��,以實現(xiàn)安全認證����。這種方法也存在著明顯的不足不僅成本高,而且只能做到在剛開機時進行一次認證��, 無法做到實時的監(jiān)控���。
發(fā)明內(nèi)容
技術(shù)問題本發(fā)明的目的是提出的一種基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法該�����,方法是在磁盤MBR寫入控制程序���,并結(jié)合藍牙無線傳輸協(xié)議��,在藍牙安全信道上傳輸藍牙地址��、PIN碼以及IMSI號�����,使用特定算法生成認證密鑰和認證字段��,在操作系統(tǒng)啟動之前��,實現(xiàn)了硬件設(shè)備和用戶身份的雙重認證�����。在操作系統(tǒng)運行過程中��,設(shè)置有自動實時監(jiān)控�����,一旦用戶的藍牙設(shè)備離開藍牙適配器的覆蓋范圍��,系統(tǒng)就會自動被鎖定�����,無法操作��;而當用戶的藍牙設(shè)備回到該范圍內(nèi)后��,系統(tǒng)會自動解除鎖定��,恢復(fù)操作��。技術(shù)方案本發(fā)明提出的一種基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法包括以下步驟1)計算機啟動設(shè)置好藍牙適配器�����,開啟電源����,2)基于藍牙的用戶預(yù)認證在操作系統(tǒng)啟動前通過藍牙適配器完成用戶的身份認證�����;如果認證通過,則開始加載操作系統(tǒng)���;如果認證未通過����,則一直嘗試身份認證��;3)加載操作系統(tǒng)認證通過后���,自動加載操作系統(tǒng)���,并進入操作系統(tǒng);4)基于藍牙的實時監(jiān)控若檢測不到藍牙設(shè)備則自動鎖定系統(tǒng)��,若檢測到藍牙設(shè)備則恢復(fù)工作���?;谒{牙的用戶預(yù)認證包括執(zhí)行基本輸入輸出系統(tǒng)BIOS�����,讀取硬盤主引導(dǎo)記錄 MBR����,藍牙設(shè)備檢測�,身份認證和正常啟動操作系統(tǒng)五個步驟���;首先基本輸入輸出系統(tǒng)BIOS 完成系統(tǒng)自檢和初始化�,在計算機初始化硬件設(shè)備時�,對用戶藍牙設(shè)備進行檢測,在檢測到用戶藍牙設(shè)備后����,通過藍牙適配器,對用戶進行強制身份認證�����?����;谒{牙的實時監(jiān)控包括啟動應(yīng)用程序�����,藍牙設(shè)備檢測�,身份認證和鎖定系統(tǒng)四個步驟;在進入操作系統(tǒng)后��,系統(tǒng)自動啟動之前安裝好的應(yīng)用程序�����,定期進行藍牙設(shè)備檢測����;如果沒有檢測到設(shè)備,應(yīng)用程序自動進入保護模式�����,將系統(tǒng)鎖定�,用戶無法操作;如果檢測到設(shè)備�,則通過藍牙適配器,對用戶進行身份認證����,如果認證通過,則操作系統(tǒng)正常運作�;如果認證未通過,應(yīng)用程序自動進入保護模式�����,將系統(tǒng)鎖定,用戶無法操作�����。藍牙設(shè)備檢測包括藍牙設(shè)備搜索��,設(shè)備接入請求和等待連接建立三個步驟�;用戶通過手機或者掌上電腦PDA的藍牙功能搜索附近的藍牙設(shè)備,當發(fā)現(xiàn)計算機上的藍牙適配器時����,發(fā)出接入請求,并等待計算機回應(yīng)以建立連接�����。所述的身份認證包括以下步驟1)硬件設(shè)備認證根據(jù)個人標識號PIN碼和藍牙地址完成對藍牙設(shè)備的認證���,同時協(xié)商生成鏈路保護使用的密鑰,為下一步的用戶身份認證提供鏈路數(shù)據(jù)傳輸加密保護���;2)用戶身份認證用戶和計算機通過藍牙的E3算法��,以用戶手機的IMSI號����,用戶手機藍牙地址設(shè)備以及藍牙加密密鑰KC,生成用戶身份認證密鑰KA�����,完成用戶身份的雙向認證�����。所述的硬件設(shè)備認證包括掃描藍牙設(shè)備��,查詢藍牙設(shè)備��,獲取藍牙地址���,呼叫藍牙設(shè)備�����,完成藍牙設(shè)備認證步驟��;計算機通過藍牙適配器對附近的藍牙設(shè)備進行掃描��,獲取用戶手機或者PDA的藍牙信息����,根據(jù)探測到的藍牙設(shè)備的地址進行判定是否為需要匹配的手機,若不是則放棄認證�����,若是則呼叫該藍牙設(shè)備�����,啟動手機或PDA的藍牙設(shè)備認證過程��;藍牙適配器與手機或者PDA的藍牙設(shè)備利用PIN碼以及兩者的藍牙地址生成初始化密鑰����,若兩者擁有相同的PIN碼,則認證通過�,并生成用于后續(xù)數(shù)據(jù)傳輸?shù)募用苊荑€KC ;手機藍牙設(shè)備和計算機藍牙適配器在后續(xù)傳輸過程中可以利用該加密密鑰建立安全的傳輸通道�;加密密鑰KC的生成過程遵循藍牙標準的定義���。所述的用戶身份認證包括計算機和用戶間采用雙向身份認證�����,具體過程如下1)計算機啟動認證過程���,向用戶設(shè)備發(fā)送IMSI號獲取請求�;2)用戶手機收到國際移動用戶識別碼IMSI號獲取請求后��,執(zhí)行如下操作�����;①獲取手機的IMSI號���;②使用藍牙標準的E3算法對PIN碼和BD_ADDR | | IMSI進行加密����,其中BD_ADDR為用戶端藍牙地址�����,加密密鑰采用上述的KC����,生成認證密鑰KA;③發(fā)送IMSI號給計算機��;3)計算機收到IMSI號后���,執(zhí)行如下操作①使用藍牙標準的E3算法對PIN碼和BD_ADDR | | IMSI進行加密,其中BD_ADDR為用戶端藍牙地址�,加密密鑰采用上述的KC,生成認證密鑰KA �;②發(fā)送認證命令;4)用戶手機收到認證命令后����,產(chǎn)生128比特的隨機數(shù)RA,并將隨機數(shù)RA發(fā)送給計算機����;5)計算機收到用戶手機發(fā)送的隨機數(shù)RA后,執(zhí)行如下操作①產(chǎn)生128比特的隨機數(shù)RB ����;②使用分組加密算法對RB I I RA進行加密,加密密鑰采用上述的認證密鑰KA��,產(chǎn)生認證字段iTokenl ���;③將生成的認證字段Tokenl發(fā)送給用戶手機��;6)用戶手機收到計算機發(fā)送的認證字段Tokenl后�����,執(zhí)行如下操作①采用預(yù)先生成的認證密鑰KA對收到的Tokenl進行解密�����,得到RA’和RB’ �;②判斷解密得到的RA’是否和自己產(chǎn)生的RA相同���,若相同則通過對計算機的認證���;③產(chǎn)生128比特的隨機數(shù)RC ;④使用分組加密算法對RC| RB'進行加密���,加密密鑰采用上述的認證密鑰KA�,產(chǎn)生認證字段iToker^ �����;⑤將生成的認證字段T0ken2發(fā)送給計算機;7)計算機收到用戶手機發(fā)送的認證字段T0ken2后���,執(zhí)行如下操作①采用預(yù)先生成的認證密鑰KA對收到的T0ken2進行解密�����,得到RC’和RB” �����;②判斷RB”是否與RB相同���,如果不相同,認證失?�?���;如果相同,則通過對用戶的身份認證��,繼續(xù)后續(xù)步驟�����。所述的認證密鑰KA,其生成方式為KA = E3 (KC, PIN, BD_ADDR | | IMSI)��,即通過藍牙標準的E3算法����,以硬件設(shè)備認證過程生成的密鑰KC���,PIN碼�����,用戶端藍牙地址BD_ADDR和用戶信息IMSI號作為參數(shù)�,生成認證密鑰KA��。所述的認證字段Tokenl�����,其生成方式為Tokenl = E (KA��,RB | | RA)即通過分組加密算法��,以認證密鑰KA��,計算機生成的128比特隨機數(shù)RB和用戶手機生成的128比特隨機數(shù)RA作為參數(shù),生成認證字段Tokenl����。所述的認證字段T0ken2,其生成方式為Token2 = E (ΚΑ, RC | | RB�,)即通過分組加密算法,以上述認證密鑰KA��,從認證字段Tokenl中解密獲取的字段 RB’����,用戶設(shè)備隨機生成的128比特隨機數(shù)RC作為參數(shù),生成認證字段T0ken2����。有益效果本發(fā)明提供了一種基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法,該方法是在磁盤MBR寫入控制程序�����,在操作系統(tǒng)啟動前結(jié)合藍牙無線傳輸協(xié)議��,利用藍牙地址��、PIN碼以及移動終端IMSI號實現(xiàn)了硬件設(shè)備和用戶身份的雙重認證。在操作系統(tǒng)運行過程中���,設(shè)置有自動實時監(jiān)控�,一旦用戶的藍牙設(shè)備離開計算機藍牙適配器的覆蓋范圍��, 系統(tǒng)就會被自動鎖定��,無法操作��;而當用戶的藍牙設(shè)備回到該范圍內(nèi)后�����,系統(tǒng)會自動解除鎖定��,用戶無需再次輸入密碼進行驗證���。本發(fā)明提供了一種基于無線通信的計算機自動防護功能,與現(xiàn)有解決方案相比�,本發(fā)明在提供計算機系統(tǒng)防護的同時,簡化了操作方式����,計算機操作系統(tǒng)的接入和使用時的防護均通過無線連接的方式自動執(zhí)行,對用戶來說操作透明�����,降低了因遺忘或疏忽而帶來的安全風(fēng)險。此外���,本方法在硬件上所需要的只是隨身攜帶的手機或者PDA以及通用型的藍牙適配器���,無需其他特殊設(shè)備,成本低����,適用性廣。
圖1是本發(fā)明的應(yīng)用場景����;
圖2是本發(fā)明的主流程圖3是本發(fā)明基于藍牙的用戶預(yù)認證的流程圖4是本發(fā)明基于藍牙的實時監(jiān)控的流程圖5是本發(fā)明藍牙設(shè)備檢測的流程圖6是本發(fā)明身份認證的流程圖7是本發(fā)明硬件設(shè)備認證的流程圖8是本發(fā)明用戶身份認證的交互圖9是本發(fā)明用戶身份認證過程中認證密鑰KA計算圖10是本發(fā)明用戶身份認證過程中認證字段Tokenl計算圖11是本發(fā)明用戶身份認證過程中認證字段T0ken2計算圖。
具體實施例方式以下結(jié)合附圖對本發(fā)明的關(guān)鍵技術(shù)和具體實現(xiàn)方法進行詳細說明��。如圖1所示�����,本發(fā)明的應(yīng)用場景包括用戶的手機或者PDA����,藍牙適配器和計算機��, 藍牙適配器可采用通用型的USB藍牙適配器����。裝有防護軟件的計算機�����,在開機后自動執(zhí)行 BIOS�����,然后通過與其連接的藍牙適配器與用戶手機或者PDA的藍牙進行交互�����,獲取用戶設(shè)備的藍牙地址以及IMSI號�����,并等待用戶輸入PIN碼��。用戶通過在手機或者PDA上鍵入PIN 碼����,計算機通過特定算法計算出認證密鑰,完成手機藍牙和計算機藍牙適配器之間的設(shè)備認證�����,以及用戶和操作系統(tǒng)之間的身份認證��。認證通過后��,自動加載操作系統(tǒng)����。進入系統(tǒng)后, 計算機啟動應(yīng)用程序開始實時監(jiān)控��,通過藍牙適配器與用戶的手機或者PDA的藍牙進行交互�����,實時獲取用戶設(shè)備的藍牙地址���、PIN碼及IMSI號以通過認證���,確保用戶的設(shè)備在藍牙適配器的有效覆蓋范圍內(nèi)��。如果用戶的設(shè)備超出該有效范圍����,應(yīng)用程序立即鎖定操作系統(tǒng)��,實現(xiàn)計算機的安全防護�����。當用戶的設(shè)備回到有效覆蓋范圍時���,計算機自動解鎖�����,恢復(fù)到離開時的工作狀態(tài)����。如圖2所示���,本發(fā)明的主流程包括以下四個步驟1)計算機啟動101 設(shè)置好藍牙適配器,開啟電源�。2)基于藍牙的用戶預(yù)認證102 首先BIOS完成系統(tǒng)自檢和初始化���,在計算機初始化硬件設(shè)備時,對用戶藍牙設(shè)備進行檢測�����,檢測到設(shè)備后���,通過藍牙適配器對用戶進行強制身份認證���。如果認證通過,則開始加載操作系統(tǒng)���;如果認證未通過��,則一直嘗試身份認證�����。3)加載操作系統(tǒng)103 認證通過后����,自動加載操作系統(tǒng)�,并進入操作系統(tǒng)���。4)基于藍牙的實時監(jiān)控104 在進入操作系統(tǒng)后,系統(tǒng)自動啟動之前安裝好的應(yīng)用程序�,通過藍牙適配器,對用戶進行實時監(jiān)控��。如果檢測及認證通過����,則操作系統(tǒng)正常運作;如果檢測或認證未通過�����,應(yīng)用程序自動進入保護模式�����,將系統(tǒng)鎖定��,用戶無法操作��。如圖3所示�����,本發(fā)明基于藍牙的用戶預(yù)認證102的流程包括執(zhí)行BIOS 201�����,讀取硬盤MBR 202�,藍牙設(shè)備檢測203,身份認證204和正常啟動操作系統(tǒng)205����。當計算機開啟后,首先執(zhí)行BIOS 201���,BI0S通過自檢后檢查所有硬件設(shè)備����,然后讀取硬盤MBR 202����。為了實現(xiàn)身份預(yù)認證,將身份認證程序存儲在磁盤的前N個扇區(qū)����,同時將原先的MBR存儲在磁盤的其他扇區(qū),讀取硬盤MBR 202時���,磁盤0扇區(qū)的代碼會被復(fù)制到內(nèi)存中運行���。接著進行藍牙設(shè)備檢測203�,計算機通過藍牙適配器對用戶的設(shè)備進行檢測�,如果未檢測到設(shè)備,則保持檢測狀態(tài)���;如果檢測到設(shè)備����,計算機通過藍牙適配器與用戶的手機或者PDA的藍牙進行交互��,獲取硬件信息及用戶信息�����,生成認證密鑰KA和認證字段Token進行雙向身份認證���,如果認證未通過�����,則一直嘗試身份認證�����,不進入操作系統(tǒng)���;如果認證通過,原先的MBR程序會被復(fù)制到內(nèi)存中�����,正常引導(dǎo)計算機啟動操作系統(tǒng)205�。如圖4所示,本發(fā)明基于藍牙的實時監(jiān)控104的流程包括啟動應(yīng)用程序206���,藍牙設(shè)備檢測203��,身份認證204和鎖定系統(tǒng)207���。在進入操作系統(tǒng)后,預(yù)先安裝在系統(tǒng)中的應(yīng)用程序自動運行����,應(yīng)用程序在運行過程中,會周期性地進行藍牙設(shè)備檢測203,如果未檢測到設(shè)備�����,則進入鎖定系統(tǒng)207 �;如果檢測到設(shè)備,則向藍牙適配器發(fā)送指令���,使其與用戶的手機或者PDA的藍牙進行交互���,獲取硬件信息和用戶信息,生成認證密鑰KA和認證字段 Token進行用戶認證204�。如果認證未通過,應(yīng)用程序會立即鎖定系統(tǒng)207��,不允許用戶進行任何操作��。如圖5所示����,本發(fā)明藍牙設(shè)備檢測203的流程包括藍牙設(shè)備搜索301,設(shè)備接入請求302和等待連接建立303��。用戶開啟手機或者PDA的藍牙功能��,搜索附近的藍牙設(shè)備, 可以發(fā)現(xiàn)與計算機連接的藍牙適配器��,此時選擇連接此設(shè)備���,手機或者PDA會向藍牙適配器發(fā)出接入請求��,并等待計算機回應(yīng)以建立連接�。如圖6所示����,本發(fā)明身份認證204的流程包括硬件設(shè)備認證304和用戶身份認證 305��。計算機通過藍牙適配器對附近的藍牙設(shè)備進行掃描�����,當發(fā)現(xiàn)用戶發(fā)出的接入請求時��, 對該設(shè)備進行查詢���,以獲得該設(shè)備的時鐘進行同步��,同時獲取該設(shè)備的藍牙地址��,接著在特定頻段上呼叫用戶的藍牙設(shè)備并要求用戶輸入PIN碼�,同時用時鐘和藍牙地址計算生成密鑰,當接收到用戶發(fā)送的用相同密鑰加密過的PIN碼時��,通過解密解出PIN碼���,最后對比接收到的PIN碼與預(yù)存的PIN碼���,以達到硬件設(shè)備認證304的目的。計算機發(fā)送指令���,通過藍牙適配器�,向用戶的藍牙設(shè)備發(fā)出獲取IMSI號的請求��,當接收到用戶IMSI號后�����,通過特定算法生成認證密鑰KA和認證字段Token進行雙向認證��,以達到用戶身份認證305的目的���。如圖7所示���,本發(fā)明硬件設(shè)備認證304的流程包括掃描藍牙設(shè)備401���,查詢藍牙設(shè)備402,獲取藍牙地址403�����,呼叫藍牙設(shè)備404和藍牙設(shè)備認證405��。計算機通過藍牙適配器對附近的藍牙設(shè)備進行掃描���,獲取用戶手機或者PDA的藍牙信息,根據(jù)探測到的藍牙設(shè)備的地址進行判定是否為需要匹配的手機����,若不是則放棄認證,若是則呼叫該藍牙設(shè)備�����,啟動手機或PDA的藍牙設(shè)備認證過程���。藍牙適配器與手機或者PDA的藍牙設(shè)備利用PIN碼以及兩者的藍牙地址生成初始化密鑰�����,若兩者擁有相同的PIN碼�����,則認證通過��,并生成用于后續(xù)數(shù)據(jù)傳輸?shù)募用苊荑€KC��。手機藍牙設(shè)備和計算機藍牙適配器在后續(xù)傳輸過程中可以利用該加密密鑰建立安全的傳輸通道�����。加密密鑰KC的生成過程遵循藍牙標準的定義����。如圖8所示,本發(fā)明用戶身份認證305中����,其認證過程如下1.計算機啟動認證過程,向用戶設(shè)備發(fā)送IMSI號獲取請求����。2.用戶手機收到IMSI號獲取請求后�,執(zhí)行如下操作1)獲取手機的IMSI號��;2)使用藍牙標準的E3算法對PIN和BD_ADDR| | IMSI進行加密���,其中BD_ADDR為用戶端藍牙地址����,加密密鑰采用上述的KC����,生成認證密鑰KA ;3)發(fā)送IMSI號給計算機�。3.計算機收到IMSI號后,執(zhí)行如下操作1)使用藍牙標準的E3算法對PIN和BD_ADDR| | IMSI進行加密�,其中BD_ADDR為用戶端藍牙地址,加密密鑰采用上述的KC���,生成認證密鑰KA ;2)發(fā)送認證命令�����。4.用戶手機收到認證命令后�,產(chǎn)生128比特的隨機數(shù)RA,并將隨機數(shù)RA發(fā)送給計算機���。5.計算機收到用戶手機發(fā)送的隨機數(shù)RA后�����,執(zhí)行如下操作1)產(chǎn)生128比特的隨機數(shù)RB ;2)使用分組加密算法對RB I I RA進行加密��,加密密鑰采用上述的認證密鑰KA��,產(chǎn)生認證字段iTokenl ����;3)將生成的認證字段Tokenl發(fā)送給用戶手機�。6.用戶手機收到計算機發(fā)送的認證字段Tokenl后���,執(zhí)行如下操作1)采用預(yù)先生成的認證密鑰KA對收到的Tokenl進行解密��,得到RA,和RB���,��;2)判斷解密得到的RA’是否和自己產(chǎn)生的RA相同����,若相同則通過對計算機的認證;3)產(chǎn)生128比特的隨機數(shù)RC �;4)使用分組加密算法對RCI I RB����,進行加密,加密密鑰采用上述的認證密鑰KA�,產(chǎn)生認證字段iToker^ ���;5)將生成的認證字段T0ken2發(fā)送給計算機。7.計算機收到用戶手機發(fā)送的認證字段T0ken2后����,執(zhí)行如下操作1)采用預(yù)先生成的認證密鑰KA對收到的T0ken2進行解密,得到RC��,和RB” �;2)判斷RB”是否與RB相同,如果不相同�,認證失?����。蝗绻嗤?,則通過對用戶的身份認證��,繼續(xù)后續(xù)步驟�。如圖9所示,本發(fā)明用戶身份認證過程中認證密鑰KA的生成方式為KA = E3(Kc, PIN, BD_ADDR| | IMSI)��,即通過藍牙E3算法,以硬件設(shè)備認證過程生成的密鑰KC��,PIN碼��,手機端的藍牙地址BD_ADDR和用戶信息IMSI號作為參數(shù)�,生成認證密鑰KA�。如圖10所示,本發(fā)明用戶身份認證過程中認證字段Tokenl的生成方式為Tokenl =E(KA���,RB| RA)��,即通過分組加密算法����,以上述生成的認證密鑰KA,計算機生成的128比特隨機數(shù)RB和用戶手機生成的128比特隨機數(shù)RA作為參數(shù)�����,生成認證字段Tokenl��。如圖11所示���,本發(fā)明用戶身份認證過程中認證字段Token2的生成方式為T0ken2 =E(KA, RC |Β’),即通過分組加密算法�,以上述生成的認證密鑰ΚΑ,從認證字段Tokenl 中解密獲取的字段RB’�����,用戶設(shè)備隨機生成的128比特隨機數(shù)RC作為參數(shù)�����,生成認證字段 Token20
權(quán)利要求
1.一種基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法���,其特征在于該方法包括以下步驟3)計算機啟動設(shè)置好藍牙適配器�,開啟電源�����,4)基于藍牙的用戶預(yù)認證在操作系統(tǒng)啟動前通過藍牙適配器完成用戶的身份認證; 如果認證通過��,則開始加載操作系統(tǒng)���;如果認證未通過����,則一直嘗試身份認證����;5)加載操作系統(tǒng)認證通過后,自動加載操作系統(tǒng)�,并進入操作系統(tǒng);6)基于藍牙的實時監(jiān)控若檢測不到藍牙設(shè)備則自動鎖定系統(tǒng)�,若檢測到藍牙設(shè)備則恢復(fù)工作。
2.根據(jù)權(quán)利要求1所述的基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法���,其特征在于基于藍牙的用戶預(yù)認證包括執(zhí)行基本輸入輸出系統(tǒng)BIOS���,讀取硬盤主引導(dǎo)記錄MBR,藍牙設(shè)備檢測����,身份認證和正常啟動操作系統(tǒng)五個步驟��;首先基本輸入輸出系統(tǒng)BIOS完成系統(tǒng)自檢和初始化�����,在計算機初始化硬件設(shè)備時,對用戶藍牙設(shè)備進行檢測���,在檢測到用戶藍牙設(shè)備后�����,通過藍牙適配器�����,對用戶進行強制身份認證���。
3.根據(jù)權(quán)利要求1所述的基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法,其特征在于基于藍牙的實時監(jiān)控包括啟動應(yīng)用程序����,藍牙設(shè)備檢測���,身份認證和鎖定系統(tǒng)四個步驟;在進入操作系統(tǒng)后�,系統(tǒng)自動啟動之前安裝好的應(yīng)用程序,定期進行藍牙設(shè)備檢測��;如果沒有檢測到設(shè)備�,應(yīng)用程序自動進入保護模式,將系統(tǒng)鎖定��,用戶無法操作�����;如果檢測到設(shè)備�,則通過藍牙適配器,對用戶進行身份認證���,如果認證通過���,則操作系統(tǒng)正常運作;如果認證未通過�,應(yīng)用程序自動進入保護模式,將系統(tǒng)鎖定�����,用戶無法操作。
4.根據(jù)權(quán)利要求3所述的基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法�����,其特征在于藍牙設(shè)備檢測包括藍牙設(shè)備搜索�,設(shè)備接入請求和等待連接建立三個步驟;用戶通過手機或者掌上電腦PDA的藍牙功能搜索附近的藍牙設(shè)備����,當發(fā)現(xiàn)計算機上的藍牙適配器時�����,發(fā)出接入請求�����,并等待計算機回應(yīng)以建立連接���。
5.根據(jù)權(quán)利要求3所述的基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法�,其特征在于所述的身份認證包括以下步驟3)硬件設(shè)備認證根據(jù)個人標識號PIN碼和藍牙地址完成對藍牙設(shè)備的認證�,同時協(xié)商生成鏈路保護使用的密鑰����,為下一步的用戶身份認證提供鏈路數(shù)據(jù)傳輸加密保護��;4)用戶身份認證用戶和計算機通過藍牙的E3算法�,以用戶手機的IMSI號,用戶手機藍牙地址設(shè)備以及藍牙加密密鑰KC��,生成用戶身份認證密鑰KA�����,完成用戶身份的雙向認證����。
6.根據(jù)權(quán)利要求5所述的基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法,其特征在于所述的硬件設(shè)備認證包括掃描藍牙設(shè)備��,查詢藍牙設(shè)備���,獲取藍牙地址��,呼叫藍牙設(shè)備���,完成藍牙設(shè)備認證步驟�;計算機通過藍牙適配器對附近的藍牙設(shè)備進行掃描�����,獲取用戶手機或者PDA的藍牙信息�,根據(jù)探測到的藍牙設(shè)備的地址進行判定是否為需要匹配的手機,若不是則放棄認證�,若是則呼叫該藍牙設(shè)備,啟動手機或PDA的藍牙設(shè)備認證過程���;藍牙適配器與手機或者PDA的藍牙設(shè)備利用PIN碼以及兩者的藍牙地址生成初始化密鑰��,若兩者擁有相同的PIN碼,則認證通過����,并生成用于后續(xù)數(shù)據(jù)傳輸?shù)募用苊荑€KC ;手機藍牙設(shè)備和計算機藍牙適配器在后續(xù)傳輸過程中可以利用該加密密鑰建立安全的傳輸通道��;加密密鑰 KC的生成過程遵循藍牙標準的定義�����。 2
7.根據(jù)權(quán)利要求5所述的基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法����,其特征在于所述的用戶身份認證包括計算機和用戶間采用雙向身份認證�����,具體過程如下8)計算機啟動認證過程�����,向用戶設(shè)備發(fā)送IMSI號獲取請求�;9)用戶手機收到國際移動用戶識別碼IMSI號獲取請求后��,執(zhí)行如下操作��;①獲取手機的IMSI號���;②使用藍牙標準的E3算法對PIN碼和BD_ADDR| | IMSI進行加密�����,其中BD_ADDR為用戶端藍牙地址��,加密密鑰采用上述的KC�����,生成認證密鑰KA �����;③發(fā)送IMSI號給計算機���;10)計算機收到IMSI號后�����,執(zhí)行如下操作①使用藍牙標準的E3算法對PIN碼和BD_ADDR| | IMSI進行加密����,其中BD_ADDR為用戶端藍牙地址��,加密密鑰采用上述的KC��,生成認證密鑰KA ��;②發(fā)送認證命令����;11)用戶手機收到認證命令后,產(chǎn)生128比特的隨機數(shù)RA�����,并將隨機數(shù)RA發(fā)送給計算機��;12)計算機收到用戶手機發(fā)送的隨機數(shù)RA后���,執(zhí)行如下操作①產(chǎn)生128比特的隨機數(shù)RB;②使用分組加密算法對RBI I RA進行加密�����,加密密鑰采用上述的認證密鑰KA��,產(chǎn)生認證字段 Tokenl �����;③將生成的認證字段Tokenl發(fā)送給用戶手機�;13)用戶手機收到計算機發(fā)送的認證字段Tokenl后����,執(zhí)行如下操作①采用預(yù)先生成的認證密鑰KA對收到的Tokenl進行解密,得到RA’和RB’���;②判斷解密得到的RA’是否和自己產(chǎn)生的RA相同�����,若相同則通過對計算機的認證���;③產(chǎn)生128比特的隨機數(shù)RC;④使用分組加密算法對RC|RB'進行加密���,加密密鑰采用上述的認證密鑰KA,產(chǎn)生認證字段iToker^ �����;⑤將生成的認證字段T0ken2發(fā)送給計算機�;14)計算機收到用戶手機發(fā)送的認證字段T0ken2后,執(zhí)行如下操作①采用預(yù)先生成的認證密鑰KA對收到的T0ken2進行解密�����,得到RC’和RB”��;②判斷RB”是否與RB相同���,如果不相同,認證失敗�;如果相同,則通過對用戶的身份認證�,繼續(xù)后續(xù)步驟。
8.根據(jù)權(quán)利要求7所述的基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法��,其特征在于所述的認證密鑰KA���,其生成方式為KA = E3(KC, PIN,BD_ADDR |IMSI)��,即通過藍牙標準的E3算法�����,以硬件設(shè)備認證過程生成的密鑰KC�����,PIN碼�,用戶端藍牙地址BD_ADDR和用戶信息IMSI號作為參數(shù)���,生成認證密鑰KA��。
9.根據(jù)權(quán)利要求7所述的基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法�����,其特征在于所述的認證字段Tokenl�����,其生成方式為Tokenl = E(KA, RB | RA)即通過分組加密算法���,以認證密鑰KA�,計算機生成的128比特隨機數(shù)RB和用戶手機生成的128比特隨機數(shù)RA作為參數(shù)�����,生成認證字段Tokenl���。
10.根據(jù)權(quán)利要求7所述的基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法��,其特征在于所述的認證字段Token2�,其生成方式為 Token2 = E(ΚΑ, RC RB')即通過分組加密算法�����,以上述認證密鑰KA��,從認證字段Tokenl中解密獲取的字段RB’, 用戶設(shè)備隨機生成的128比特隨機數(shù)RC作為參數(shù)��,生成認證字段T0ken2�����。
全文摘要
本發(fā)明提供了一種基于藍牙設(shè)備認證的計算機系統(tǒng)自動防護方法�,該方法是在磁盤MBR寫入控制程序����,在操作系統(tǒng)啟動前結(jié)合藍牙無線傳輸協(xié)議,利用藍牙地址����、PIN碼以及移動終端IMSI號實現(xiàn)了硬件設(shè)備和用戶身份的雙重認證。在操作系統(tǒng)運行過程中���,設(shè)置有自動實時監(jiān)控�����,一旦用戶的藍牙設(shè)備離開藍牙適配器的覆蓋范圍���,系統(tǒng)就會自動被鎖定�,無法操作����;而當用戶的藍牙設(shè)備回到該范圍內(nèi)后,系統(tǒng)會自動解除鎖定��,恢復(fù)操作���。
文檔編號G06F21/00GK102184352SQ20111006573
公開日2011年9月14日 申請日期2011年3月16日 優(yōu)先權(quán)日2011年3月16日
發(fā)明者宋宇波, 張南, 胡錫利, 蔣睿 申請人:東南大學(xué)