专利名称:基于手机蓝牙的计算机环绕智能防护装置及方法
技术领域:
本发明是一种基于手机蓝牙的计算机环绕智能防护装置及方法,适用于windows 操作系统,属于计算机安全领域。本发明支持蓝牙手机作为用户终端,蓝牙手机与蓝牙接口 模块无线连接,蓝牙接口模块通过串行接口连接计算机终端。通过手机蓝牙-蓝牙接口模 块的硬件认证、用户-系统身份认证,完成计算机的启动。计算机启动后,系统采用AES-XTS 模式的加解密算法进行全磁盘透明加解密,并通过对用户行为的实时监控实现系统的锁定 或解锁,防止磁盘数据泄露。
背景技术:
随着计算机技术的发展和应用的延伸,计算机在人们生活中扮演的角色越来越重 要,计算机的数据安全也越来越受到人们的重视。目前,由于数据泄露造成企业机密泄露、 个人隐私被盗的现象日益严重。“艳照门”事件提醒我们即使把文件放进回收站,也不能防 止信息泄露。因此,计算安全防护已经变得越来越重要。随着自动化的普及,人们越来越倾 向于选择智能化的办公与生活。所以,计算机安全防护系统的智能化成为研发者和消费者 共同关注的问题。为了提高计算机的数据安全性,许多计算机专家推出了带有各种安全措施的电脑 产品,比如指纹锁,这种以指纹作为登陆的验证密钥的方法,实现起来比较简单,但是易被 破解,不能保护硬盘数据。申请号为CN200620120188. 4的发明专利,使用了一种指纹锁设 备来对海量存储器设备进行加密。这种方法在解密的时候需要指纹验证或者输入个人识别 码,即PIN (个人识别码)码,不便使用。又如基于USB Key (通用串行总线证书)的windows 登录系统,这种方法利用存储在移动USB Key中的密钥来完成登陆认证。这种方法安全性 较高,但是登陆需插拔,不便使用,且不能对全磁盘进行加密,无法保证计算机的数据安全。 申请号为CN200410064967. 2的发明专利,当计算机关机时,采用RSA (公钥加密算法)算法 对硬盘主分区信息进行软件加密;当计算机开机时,对插在USB接口上的USB Key进行检测 并利用USB Key上的RSA协处理器对存储在硬盘的主分区信息进行硬件解密。这种方法每 次都需要进行插拔,而且影响电脑的开关机速度。另外,虽然,一些广泛使用的磁盘加解密 方法是对全磁盘进行加密,但是,访问磁盘时均需要手动解密。这很大程度上改变了用户的 传统使用习惯,给人们的生活造成了不便,很难得到普及。
发明内容
技术问题本发明的主要目的在于提出一种在windows操作系统上进行身份认证 和透明加解密的“基于手机蓝牙的计算机环绕智能防护装置及方法”,属于计算机安全领 域。采用本发明的技术,可以提供独特的密钥生成方式,精确的身份认证方法,安全透明的 加解密算法,以及实时的监控方法。本发明具有标准的蓝牙无线接口,具有广泛的适用性。技术方案鉴于以上方法的缺点与不足,本发明提出了一种基于手机蓝牙的计算 机环绕智能防护装置及方法。本发明具有自动完成认证,透明、动态加解密用户数据,实时监控用户行为的功能。在功能实现过程中,无需手动输入密钥,无需携带专门的USB Key,采 用独特的密钥生成方式、安全性高的加解密算法。因此,既保证数据的安全,又方便用户的 使用。基于手机蓝牙的计算机环绕智能防护装置包括蓝牙接口模块、数据存储模块、CPU (中央处理单元)处理模块、算法模块四个模块;蓝牙手机作为用户终端与蓝牙接口模块中 的用户识别模块无线连接,进行手机蓝牙-蓝牙接口模块的硬件认证;蓝牙接口模块与计 算机经串行接口连接,与计算机进行通信;数据存储模块与蓝牙接口模块连接,初始化数据 配置及存储重要数据;CPU处理模块采用计算机自身的CPU,分别与数据存储模块、蓝牙接 口模块连接,协调管理数据及程序;算法模块由密钥生成算法、身份认证算法、磁盘加解密 算法、实时监控算法、进程保护算法组成;密钥生成算法与蓝牙接口模块连接,获取数据信 息及利用数据信息生成密钥;身份验证算法与密钥生成模块连接,获取密钥,进行身份认 证;磁盘加解密算法在认证成功后执行,对存储设备数据流进行加解密;实时监控算法在 认证成功后执行,实时监控用户行为;进程保护模块在系统登录后运行,对进程进行监听, 当进程被终止时,立即将其恢复,保护进程。所述的蓝牙接口模块采用蓝牙无线连接蓝牙手机与用户识别模块,获取手机蓝牙 地址、用户手机识别码、个人识别码的信息,进行蓝牙双重身份认证。所述的数据存储模块进行了分扇区存储、加密处理和原数据转移,其中存储了经 过加密的手机蓝牙地址、用户手机识别码、个人识别码码、生成密钥及身份验证程序。基于手机蓝牙的计算机环绕智能防护装置的环绕智能防护方法,其特征在于算法 模块是系统的主体软件部分,包括五个子模块密钥生成算法、身份认证算法、磁盘加密解 算法、实时监控算法和进程保护算法;
所述的密钥生成算法通过获取用户手机识别码、手机蓝牙地址、个人识别码, 采用蓝牙E3算法,生成密钥;
所述的身份认证算法采用了预启动验证技术,将主引导记录MBR程序装载到指定的扇 区存储,进行身份认证和引导启动程序的跳转;
所述的磁盘加解密算法采用了存储设备过滤驱动在系统内核层拦截到各种操作;利用 密钥生成算法生成的独特密钥进行动态加解密;加解密过程采用了高级加密标准AES加解 密算法的异或-加密-异或模式下的密文窃取的可调码本XTS模式;
所述的实时监控算法,采用了基于蓝牙协议的链路管理的“心跳”技术
1)主设备每隔一定时间发送消息给从设备,
2)如果从设备离开主设备监控范围,在指定时间内无响应,就判定链路断开,进入锁定 模式,
3)如果从设备进入监控范围,“心跳”响应,解锁Windows系统,
所述的进程保护模块,采用Windows系统的应用接口 API函数加以封装得到的函数,根 据映象名称判断该进程是否在计算机的随机存取存储器RAM中运行的方法,对进程进行监 听,当进程被终止时,立即将其恢复,保护进程,防止恶意攻击。有益效果本发明实现的是一种基于手机蓝牙的计算机环绕智能防护装置及方 法,用户只需要在首次使用该系统时进行蓝牙手机、个人识别码初始化。完成初始化后,在 电脑启动时,用户只需通过蓝牙手机输入个人识别码,系统便会自动完成密钥生成、身份验证,透明加解密、实时监控及进程保护;对授权用户来说,磁盘加解密是透明的,即在读取磁 盘数据时,不需要逐次输入解密密钥,系统会自动解密。本发明适合所有蓝牙手机进行初始 化使用,操作简单,使用便捷。加解密过程采用了 AES算法的XTS模式,可靠性高,安全性强。
图1是本发明的整体原理结构图, 图2是本发明按四层分结构图,
图3是本发明数据存储模块存储格式图, 图4是本发明身份验证算法原理图, 图5是本发明密钥生成算法流程图, 图6是本发明磁盘加解密算法流程图, 图7是本发明实时监控算法流程图, 图8是本发明进程保护算法流程图。
具体实施例方式本发明的基于手机蓝牙的计算机环绕智能防护装置及方法主要由蓝牙接口模块 1、数据存储模块2、CPU处理模块3、算法模块4四部分组成。其中
1.蓝牙接口模块1:由设备识别模块1-1和串行接口组成。设备识别模块1-1主要是 以蓝牙芯片为核心,结合蓝牙协议实现蓝牙芯片与手机蓝牙的无线通信,实现手机蓝牙的 设备认证,监测手机蓝牙的行为。串行接口实现设备识别模块1-1与计算机终端的连接,通 过串行接口,计算机对用户手机识别码、手机蓝牙地址和个人识别码、手机蓝牙行为信息进 行读取。2.数据存储模块2 对初始化产生的个人识别码、生成密钥和身份验证程序的加 密存储,采用AES-XTS模式的加密算法,存储安全性强,不易读取。3. CPU处理模块3 利用计算机强大的CPU数据处理、进程调度能力,实现对本发明 数据、程序的处理和运行,不影响Windows系统其他用户程序的运行使用,兼容性好。4.算法模块4包括
(1)密钥生成算法4-1 获取用户手机识别码、手机蓝牙地址和个人识别码,生成加解 密密钥。(2)身份认证算法4-2 获取加解密密钥,进行用户与系统的身份认证和启动程序 的执行跳转。(3)磁盘加密解算法4-3 对Windows系统存储器数据操作进行监视,采用AES算 法的XTS模式对数据I/O流进行透明加解密。(4)实时监控算法4-4 实时监控授权手机蓝牙的行为,如果授权手机蓝牙离开计 算机一定的范围,锁定Windows系统,硬盘数据得到保护,同时在屏幕上提示;当授权手机 蓝牙再次进入该范围,解锁Windows系统。(5)进程保护算法模块4-5 采用了进程保护方法,对进程进行监听,当进程被终 止时,会立即将其恢复,防止进程遭受恶意攻击。
以下结合附图,对各模块的装置结构或算法流程进行详细的说明
具体实现过程为
本发明提出的基于手机蓝牙的计算机环绕智能防护装置及方法,是一种全新的计算机 数据安全防护系统。本发明在首次使用时,初始化手机蓝牙、个人识别码,存储生成密钥和 身份验证程序。该发明在对设备硬件认证、用户-系统身份验证的基础上,利用AES-XTS模 式的高强度加密算法实现透明加解密,即实时加密授权用户写入的数据,实时解密授权用 户读取的数据。系统运行过程中,实时监控授权手机蓝牙的行为如果授权手机蓝牙离开计 算机一定的范围,锁定Windows系统,硬盘数据得到保护,同时在屏幕上提示;当授权手机 蓝牙再次进入该范围,解锁Windows系统。对非法读取磁盘数据的用户来说,数据是高度加 密保护的。如图1所示的整体结构原理图可知,本发明由蓝牙接口模块1、数据存储模块2、 CPU处理模块3、算法模块4四部分构成。以蓝牙手机作为用户终端与蓝牙接口模块1无线 连接,蓝牙接口模块1与计算机经串行接口连接。计算机在加载BIOS启动系统前,设备识 别模块1-1的蓝牙芯片作为主设备,搜索已授权用户,输入初始化时的个人识别码,完成手 机蓝牙-蓝牙接口的硬件认证;蓝牙接口模块1由设备识别模块1-1和串行接口连接组成。 设备识别模块1-1主要是以蓝牙芯片为核心,结合蓝牙协议实现蓝牙接口模块1与手机蓝 牙的无线通信。串行接口实现蓝牙接口模块1与计算机终端的连接。硬件认证过程设备 识别模块1-1的蓝牙芯片与手机蓝牙之间通过蓝牙微微网进行通信,采用基于蓝牙协议的 设备认证、授权和数据加密安全机制,实现设备识别模块1-1与手机蓝牙的硬件认证。手机 信息的获取设备识别模块1-1的蓝牙芯片使用蓝牙协议中的RFCOMM协议与手机蓝牙进行 通信时,首先获取手机蓝牙地址,将其传送至自身的L2CAP协议层,在L2CAP链接信道的基 础上建立双方RFCOMM层的对等连接,从而提供透明数据流和控制信道。再次,设备识别模 块1-1的蓝牙芯片在RFCOMM协议上获取蓝牙手机SIM卡上用户手机识别码,通过AT+CIMI 指令向手机发出问询,手机收到数据包后返回包含其用户手机识别码的应答包。由此,蓝牙 接口模块1获得手机设备信息手机蓝牙地址和用户手机识别码。CPU处理模块3结合成熟 的文件系统过滤驱动开发技术运用计算机CPU数据处理、进程调度能力,实现对本发明数 据、程序的处理和运行。算法模块4是在上述的硬件认证成功的情况下,计算机执行的主要 模块。算法模块4包含密钥生成算法4-1、身份认证算法4-2、磁盘加密解算法4-3、实时监 控算法4-4、进程保护算法4-5。在CPU处理模块3的调度下,密钥生成算法4-1读取蓝牙 接口模块2的数据,获取用户手机识别码、手机蓝牙地址和个人识别码,生成加解密密钥, 身份认证算法4-2结合该密钥与初始化时生成的密钥进行身份认证及引导Windows系统启 动程序的跳转。磁盘加解密算法4-3是在成功登陆系统后,结合存储设备过滤驱动对数据 流进行监视,使用上述的加密密钥在AES-XTS的模式下对数据流透明加解密。在计算机使 用过程过,实时监控算法4-4是实时读取手机蓝牙的行为信息,控制计算机的锁定与解锁。 进程保护算法4-5采用了进程保护方法,对进程进行监听,当进程被终止时,会立即将其 恢复,防止进程遭受恶意攻击。如图2的四层分结构图所示,本发明可划分为应用层、系统层、引导层、硬件层。硬 件层主要是指本发明的硬件装置,包括手机蓝牙、设备识别模块1-1的蓝牙芯片和串行接 口。引导层主要包含采用预启动验证技术的身份认证算法4-2,主要负责Windows系统的启动弓I导跳转。本发明的磁盘加解密算法4-3属于系统层,嵌入在存储设备过滤驱动中,运行 在系统层面。本发明的应用层主要包含密钥生成算法4-1、实时监控算法4-4、进程保护算 法4-5,在系统的后台运行。如图3所示是数据存储模块2的数据存储格式简图。所述的数据存储模块2实现 了本发明在初始化时蓝牙接口模块1获得的手机蓝牙地址、用户手机识别码、个人识别码 码、生成密钥及身份验证程序的存储。如图3所示,所述的数据存储模块2的存储格式是由 分区的前N个扇区、后续分区组成。本发明的前N个分区是用来存放所在分区的分区信息 及磁盘加解密密钥,使用了 AES-XTS模式的加密方法将其加密,对未授权用户来讲,无法识 别磁盘信息、获取正确的磁盘数据。只有通过上述的蓝牙硬件认证,得到正确的密钥后,才 能读取数据存储模块的信息,识别磁盘信息,引导启动。如图3中的数据转移所示,在占用 前N个扇区的同时,本发明还实现了前N个扇区原有的数据的安全转移。如图4的密钥生成算法流程图所示,密钥生成算法4-1是在蓝牙接口模块1与手 机蓝牙认证成功后,该模块读取手机蓝牙地址、用户手机识别码、和个人识别码,采用蓝牙 协议中的&算法生成密钥,验证读取上述的已经加密的数据存储模块2中的信息。该密钥 作为验证密钥及磁盘加解密密钥提高安全性。如图5的身份验证算法流程图所示,身份验证算法4-2是在Windows系统启动之 前进行身份认证,采用预启动验证技术。在初始化时,身份认证程序已写入系统分区的0柱 面、0磁头、1扇区。计算机在Windows系统引导启动之前,调用该段程序在内存执行,结合 密钥生成模块4-1生成的密钥,完成用户-系统身份认证。只有用户认证通过,身份认证程 序才会跳转加载MBR (主引导记录),系统启动,否则,无法启动系统。如图6所示的磁盘加解密算法流程图所示,磁盘加解密算法4-3是在成功登陆系 统后,对数据实时保护的重要算法,运行在系统内核层的存储设备过滤驱动中。本发明实现 的磁盘加解密算法采用了 AES加密算法的XTS (异或-加密-异或模式下的密文窃取的码 本可调)模式。XTS是一个基于XEX (异或-加密-异或)的带有CTS (密文窃取)特性的 TCB(码本可调)模式。在系统内核层中的存储设备过滤驱动可以监视、拦截、处理所有的存 储设备操作。磁盘加解密算法对拦截的存储设备操作进行选择处理。存储设备驱动程序在 文件系统和存储设备之间运行,当拦截的操作为数据读取的时,实时的解密数据,对识别的 用户来说,基本没有影响;当拦截的操作为数据写入时,实时的加密数据,以实现对数据的 实时保护。整个加解密过程采用AES加解密算法的XTS模式。如图7的实时监控算法流程图所示,实时监控算法4-4是在成功登陆Windows 系统后,实时监控授权手机蓝牙的行为,如果授权手机蓝牙离开计算机一定的范围,锁定 Windows系统,硬盘数据得到保护,同时在屏幕上提示;当授权手机蓝牙进入该范围,解锁 Windows系统。具体过程是在手机蓝牙与设备识别模块1-1的蓝牙芯片完成硬件认证后,设 备识别模块1-1的蓝牙芯片作为主设备采用“心跳”技术对从设备手机蓝牙进行基于蓝牙 协议的链路管理,主设备每隔一定时间发送消息给从设备时,如果从设备离开主设备一定 范围,在指定时间内无响应,就判定链路断开并进入锁定模式,采用API函数来实现对屏幕 的锁定,硬盘数据得到保护,在屏幕上提示锁定。如果从设备进入一定范围并进入监测,就 解锁Windows系统。监控程序采用后台运行的方式,因而系统对手机蓝牙的监控不影响用 户的使用。
如图8的进程保护算法流程图所示,进程保护算法4-5是采用了 Windows提供的 API函数加以封装得到GetProcessHandl^NameO函数,根据映象名称监听判断本发明的 进程是否在RAM中运行,当进程正常运行时,进程处于被监视状态;当进程被终止时,进程 立即恢复,防止进程遭受恶意攻击。
权利要求
1.一种基于手机蓝牙的计算机环绕智能防护装置,其特征在于该装置包括蓝牙接口模 块(1)、数据存储模块(2)、CPU (中央处理单元)处理模块(3)、算法模块(4)四个模块;蓝 牙手机作为用户终端与蓝牙接口模块(1)中的用户识别模块(1-1)无线连接,进行手机蓝 牙-蓝牙接口模块的硬件认证;蓝牙接口模块(1)与计算机经串行接口连接,与计算机进行 通信;数据存储模块(2)与蓝牙接口模块(1)连接,初始化数据配置及存储重要数据;CPU处 理模块(3 )采用计算机自身的CPU,分别与数据存储模块(2 )、蓝牙接口模块(1)连接,协调 管理数据及程序;算法模块(4)由密钥生成算法(4-1)、身份认证算法(4-2)、磁盘加解密算 法(4-3)、实时监控算法(4-4)、进程保护算法(4-5)组成;密钥生成算法(4-1)与蓝牙接口 模块(1)连接,获取数据信息及利用数据信息生成密钥;身份验证算法(4-2)与密钥生成模 块(4-1)连接,获取密钥,进行身份认证;磁盘加解密算法(4-3)在认证成功后执行,对存储 设备数据流进行加解密;实时监控算法(4-4)在认证成功后执行,实时监控用户行为;进程 保护模块(4-5)在系统登录后运行,对进程进行监听,当进程被终止时,立即将其恢复,保 护进程。
2.根据权利要求1所述的基于手机蓝牙的计算机环绕智能防护装置,其特征在于所述 的蓝牙接口模块(1)采用蓝牙无线连接蓝牙手机与用户识别模块(1-1 ),获取手机蓝牙地 址、用户手机识别码、个人识别码的信息,进行蓝牙双重身份认证。
3.根据权利要求1所述的基于手机蓝牙的计算机环绕智能防护装置,其特性在于所述 的数据存储模块(2)进行了分扇区存储、加密处理和原数据转移,其中存储了经过加密的手 机蓝牙地址、用户手机识别码、个人识别码码、生成密钥及身份验证程序。
4.一种如权利要求1所述装置的环绕智能防护方法,其特征在于算法模块(4)是系统 的主体软件部分,包括五个子模块密钥生成算法(4-1)、身份认证算法(4-2)、磁盘加密解 算法(4-3 )、实时监控算法(4-4 )和进程保护算法(4-5 );所述的密钥生成算法(4-1)通过获取用户手机识别码、手机蓝牙地址、个人识别码,采 用蓝牙E3算法,生成密钥;所述的身份认证算法(4-2)采用了预启动验证技术,将主引导记录MBR程序装载到指 定的扇区存储,进行身份认证和引导启动程序的跳转;所述的磁盘加解密算法(4-3)采用了存储设备过滤驱动在系统内核层拦截到各种操作;利用密钥生成算法(4-1)生成的独特密钥进行动态加解密;加解密过程采用 了高级加密标准AES加解密算法的异或-加密-异或模式下的密文窃取的可调码本XTS模 式;所述的实时监控算法(4-4),采用了基于蓝牙协议的链路管理的“心跳”技术1)主设备每隔一定时间发送消息给从设备,2)如果从设备离开主设备监控范围,在指定时间内无响应,就判定链路断开,进入锁定 模式,3)如果从设备进入监控范围,“心跳”响应,解锁Windows系统,所述的进程保护模块(4-5),采用Windows系统的应用接口 API函数加以封装得到的函 数,根据映象名称判断该进程是否在计算机的随机存取存储器RAM中运行的方法,对进程 进行监听,当进程被终止时,立即将其恢复,保护进程,防止恶意攻击。
全文摘要
本发明提供了一种基于手机蓝牙的计算机环绕智能防护装置及方法,该装置及方法以蓝牙手机作为用户终端与蓝牙接口模块无线连接,蓝牙接口模块与计算机经串行接口连接。通过手机蓝牙-蓝牙接口模块的硬件认证、用户-系统身份认证,完成计算机的启动。计算机启动后,系统采用AES-XTS模式的加解密算法实现全磁盘透明加解密;通过对用户行为的实时监控实现系统的锁定或解锁,磁盘数据得到保护。本发明主要由四部分组成蓝牙接口模块、数据存储模块、CPU处理模块、算法模块。
文档编号H04L9/00GK102136048SQ201110075500
公开日2011年7月27日 申请日期2011年3月28日 优先权日2011年3月28日
发明者宋宇波, 张南, 胡锡利, 葛蕤, 蒋睿, 黄永亮 申请人:东南大学