亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種通過bios和內(nèi)核實現(xiàn)安全可信認證的方法

文檔序號:6548764閱讀:385來源:國知局
一種通過bios和內(nèi)核實現(xiàn)安全可信認證的方法
【專利摘要】本發(fā)明提供一種通過BIOS和內(nèi)核實現(xiàn)安全可信認證的方法,在BIOS的NVSTORAGE區(qū)域中添加對操作系統(tǒng)內(nèi)核簽名進行解密的私鑰,通過在UEFIBIOS中添加虛擬設(shè)備驅(qū)動程序,在DXE階段的初期將虛擬設(shè)備驅(qū)動程序加載到UEFI運行環(huán)境中,在隨后過程中,DXE驅(qū)動程序通過對BIOS的簽名進行非對稱加密,將加密后的結(jié)果保存于一塊預(yù)先定義的保留內(nèi)存區(qū)域,在BIOS自檢結(jié)束后將操作系統(tǒng)內(nèi)核文件加載到內(nèi)存中,通過搜索標志性字符,獲得內(nèi)核代碼的加密簽名,UEFIBIOS通過對NVSTORAGE的訪問讀取存儲在其中的私鑰,利用私鑰對操作系統(tǒng)簽名進行解密,如果解密后的簽名是可信任的,那么BIOS將跳轉(zhuǎn)到內(nèi)核代碼進而將控制權(quán)移交給操作系統(tǒng),否則將提示用戶操作系統(tǒng)未通過認證,并提示用戶是否繼續(xù)運行。
【專利說明】—種通過BIOS和內(nèi)核實現(xiàn)安全可信認證的方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機應(yīng)用【技術(shù)領(lǐng)域】,具體地說是一種通過BIOS和內(nèi)核實現(xiàn)安全可信認證的方法。
【背景技術(shù)】
[0002]信息安全技術(shù)的發(fā)展除了建立在操作系統(tǒng)級別上的安全機制,還進一步延伸到了固件層。固件BIOS處于計算機系統(tǒng)的底層,如果BIOS遭到攻擊,被惡意代碼修改,會造成計算機系統(tǒng)的徹底奔潰,或?qū)е掠嬎銠C系統(tǒng)被惡意者從底層控制。為了解決BIOS系統(tǒng)面臨的安全問題,業(yè)界提出了可信計算的概念。新版本的UEFI標準中加入了關(guān)于可信啟動、數(shù)字簽名和數(shù)字摘要等服務(wù)的定義,這些定義符合可信計算組織制定的可信平臺規(guī)范,可用于固件執(zhí)行過程中的完整性檢查和身份認證。在可信計算領(lǐng)域,以數(shù)字認證技術(shù)為核心,通過禁止固件中未知代碼的運行或者部分限制其行為來避免對系統(tǒng)的啟動造成危害。在實際應(yīng)用中,這種方法存在部分缺陷,其中包括缺乏靈活的安全管理機制和缺乏對上層操作系統(tǒng)的保護。

【發(fā)明內(nèi)容】

[0003]本發(fā)明的目的是提供一種一種通過BIOS和內(nèi)核實現(xiàn)安全可信認證的方法。
[0004]本發(fā)明的目的是按以下方式實現(xiàn)的,步驟如下:
在BIOS的NVSTORAGE區(qū)域中添加對操作系統(tǒng)內(nèi)核簽名進行解密的私鑰,通過在UEFIBIOS中添加虛擬設(shè)備驅(qū)動程序,在DXE階段的初期將虛擬設(shè)備驅(qū)動程序加載到UEFI運行環(huán)境中,在隨后過程中,DXE驅(qū)動程序通過對BIOS的簽名進行非對稱加密,將加密后的結(jié)果保存于一塊預(yù)先定義的保留內(nèi)存區(qū)域,在BIOS自檢結(jié)束后將操作系統(tǒng)內(nèi)核文件加載到內(nèi)存中,通過搜索標志性字符,獲得內(nèi)核代碼的加密簽名,UEFI BIOS通過對NVSTORAGE的訪問讀取存儲在其中的私鑰,利用私鑰對操作系統(tǒng)簽名進行解密,如果解密后的簽名是可信任的,那么BIOS將跳轉(zhuǎn)到內(nèi)核代碼進而將控制權(quán)移交給操作系統(tǒng),否則將提示用戶操作系統(tǒng)未通過認證,并提示用戶是否繼續(xù)運行。
[0005]所述的安全可信認證的方法,在Linux內(nèi)核中添加代碼,對BIOS的簽名進行解密和認證,內(nèi)核代碼必須預(yù)先存儲對BIOS簽名進行解密用的私鑰,操作系統(tǒng)內(nèi)核在獲得可信認證并運行后,內(nèi)核代碼通過對內(nèi)存的訪問,獲得BIOS啟動過程中存儲在保留內(nèi)存區(qū)域中的BIOS加密簽名,利用內(nèi)核預(yù)先保留的私鑰對BIOS簽名進行解密,如果解密后的簽名是可信任的,那么內(nèi)核將繼續(xù)運行并加載操作系統(tǒng)至登陸界面,如果解密后的簽名是不可信任的或者沒有找到簽名,那么內(nèi)核代碼將提示用戶該操作系統(tǒng)所運行的平臺是未獲得認證的,并提示用戶是否繼續(xù)運行。
[0006]所述的安全可信認證的方法,移除對操作系統(tǒng)的簽名認證部分,只對BIOS簽名進行認證,同時將BIOS中存儲的私鑰改變?yōu)閷IOS簽名進行解密的私鑰,操作系統(tǒng)內(nèi)核只對BIOS進行簽名認證,BIOS不對操作系統(tǒng)進行認證,那么使用未獲得認證的操作系統(tǒng)也可以啟動,但是只有獲得認證的內(nèi)核是可信任的,這種方法相比對操作系統(tǒng)的簽名認證,安全性較低,但是使用該方法可判斷出用戶是否使用了認證的操作系統(tǒng),這種方法的好處是內(nèi)核中無需存放私鑰,公鑰和私鑰都由BIOS產(chǎn)生,BIOS可以對公鑰和私鑰進行動態(tài)更新,操作系統(tǒng)內(nèi)核通過對BIOS的訪問獲得私鑰,并對內(nèi)存中的BIOS簽名進行解密。
[0007]本發(fā)明的有益效果是:UEFI固件的靈活性和開放性給計算機安全技術(shù)帶來了新的發(fā)展空間。相比傳統(tǒng)的BIOS,UEFI更像一個微操作系統(tǒng),可在操作系統(tǒng)載入之前操控所有的硬件資源,且具有實現(xiàn)更復雜邏輯運算的能力。本文描述的是通過在UEFI BIOS和Linux內(nèi)核中分別添加代碼實現(xiàn)安全可信認證的一種方法。該方法可應(yīng)用于沒有TPM或TCM芯片的計算機系統(tǒng)中。
[0008]這是一種比較安全的可信認證方法,如果存儲在BIOS的NVSTORAGE中的私鑰被盜取,沒有獲得操作系統(tǒng)內(nèi)核中存儲的私鑰,是無法進入操作系統(tǒng)的。如果操作系統(tǒng)內(nèi)核中的私鑰被盜取,在沒有獲得BIOS中存儲的私鑰,也無法加載操作系統(tǒng)。即使BIOS和系統(tǒng)內(nèi)核中的私鑰都被盜取,如果不知道BIOS的加密簽名在內(nèi)存中的存放位置,以及操作系統(tǒng)簽名在內(nèi)核中的位置,也同樣無法獲得認證。
【專利附圖】

【附圖說明】
[0009]圖1是通過BIOS和內(nèi)核實現(xiàn)安全可信認證方法的流程圖。
【具體實施方式】
[0010]參照說明書附圖對本發(fā)明的方法作以下詳細地說明。
[0011]在BIOS的NVSTORAGE區(qū)域中添加對操作系統(tǒng)內(nèi)核簽名進行解密的私鑰。通過在UEFI BIOS中添加虛擬設(shè)備驅(qū)動程序,在DXE階段的初期將虛擬設(shè)備驅(qū)動程序加載到UEFI運行環(huán)境中。在隨后過程中,DXE驅(qū)動程序通過對BIOS的簽名進行非對稱加密,將加密后的結(jié)果保存于一塊預(yù)先定義的保留內(nèi)存區(qū)域。在BIOS自檢結(jié)束后將操作系統(tǒng)內(nèi)核文件加載到內(nèi)存中,通過搜索標志性字符,獲得內(nèi)核代碼的加密簽名。UEFI BIOS通過對NVSTORAGE的訪問讀取存儲在其中的私鑰,利用私鑰對操作系統(tǒng)簽名進行解密,如果解密后的簽名是可信任的,那么BIOS將跳轉(zhuǎn)到內(nèi)核代碼進而將控制權(quán)移交給操作系統(tǒng)。否則將提示用戶操作系統(tǒng)未通過認證,并提示用戶是否繼續(xù)運行。
[0012]在Linux內(nèi)核中添加代碼,對BIOS的簽名進行解密和認證。內(nèi)核代碼必須預(yù)先存儲對BIOS簽名進行解密用的私鑰。操作系統(tǒng)內(nèi)核在獲得可信認證并運行后,內(nèi)核代碼通過對內(nèi)存的訪問,獲得BIOS啟動過程中存儲在保留內(nèi)存區(qū)域中的BIOS加密簽名,利用內(nèi)核預(yù)先保留的私鑰對BIOS簽名進行解密,如果解密后的簽名是可信任的,那么內(nèi)核將繼續(xù)運行并加載操作系統(tǒng)至登陸界面。如果解密后的簽名是不可信任的或者沒有找到簽名,那么內(nèi)核代碼將提示用戶該操作系統(tǒng)所運行的平臺是未獲得認證的,并提示用戶是否繼續(xù)運行。
[0013]這是一種比較安全的可信認證方法,如果存儲在BIOS的NVSTORAGE中的私鑰被盜取,沒有獲得操作系統(tǒng)內(nèi)核中存儲的私鑰,是無法進入操作系統(tǒng)的。如果操作系統(tǒng)內(nèi)核中的私鑰被盜取,在沒有獲得BIOS中存儲的私鑰,也無法加載操作系統(tǒng)。即使BIOS和系統(tǒng)內(nèi)核中的私鑰都被盜取,如果不知道BIOS的加密簽名在內(nèi)存中的存放位置,以及操作系統(tǒng)簽名在內(nèi)核中的位置,也同樣無法獲得認證。[0014]移除對操作系統(tǒng)的簽名認證部分,只是對BIOS簽名進行認證,同時將BIOS中存儲的私鑰改變?yōu)閷IOS簽名進行解密的私鑰。操作系統(tǒng)內(nèi)核只對BIOS進行簽名認證。BIOS不對操作系統(tǒng)進行認證。那么使用未獲得認證的操作系統(tǒng)也可以啟動,但是只有獲得認證的內(nèi)核是可信任的。這種方法相比上面所述安全性較低,但是使用該方法可判斷出用戶是否使用了認證的操作系統(tǒng)。這種方法的好處是內(nèi)核中無需存放私鑰。公鑰和私鑰都由BIOS產(chǎn)生,BIOS可以對公鑰和私鑰進行動態(tài)更新。操作系統(tǒng)內(nèi)核通過對BIOS的訪問獲得私鑰,并對內(nèi)存中的BIOS簽名進行解密。
實施例
[0015]如附圖所示,具體操作步驟如下:
1.在UEFI的BIOS源代碼中添加DXE驅(qū)動程序,編譯BIOS源代碼產(chǎn)生可執(zhí)行的ROM文
件;
2.更新剛編譯的BIOS文件到系統(tǒng)Firmware中;
3.在Linux內(nèi)核中添加對BIOS簽名進行認證的代碼,更新操作系統(tǒng)內(nèi)核;
4.開機啟動系統(tǒng),進入操作系統(tǒng)。
[0016]除說明書所述的技術(shù)特征外,均為本專業(yè)技術(shù)人員的已知技術(shù)。
【權(quán)利要求】
1.一種通過BIOS和內(nèi)核實現(xiàn)安全可信認證的方法,其特征在于步驟如下: 在BIOS的NVSTORAGE區(qū)域中添加對操作系統(tǒng)內(nèi)核簽名進行解密的私鑰,通過在UEFIBIOS中添加虛擬設(shè)備驅(qū)動程序,在DXE階段的初期將虛擬設(shè)備驅(qū)動程序加載到UEFI運行環(huán)境中,在隨后過程中,DXE驅(qū)動程序通過對BIOS的簽名進行非對稱加密,將加密后的結(jié)果保存于一塊預(yù)先定義的保留內(nèi)存區(qū)域,在BIOS自檢結(jié)束后將操作系統(tǒng)內(nèi)核文件加載到內(nèi)存中,通過搜索標志性字符,獲得內(nèi)核代碼的加密簽名,UEFI BIOS通過對NVSTORAGE的訪問讀取存儲在其中的私鑰,利用私鑰對操作系統(tǒng)簽名進行解密,如果解密后的簽名是可信任的,那么BIOS將跳轉(zhuǎn)到內(nèi)核代碼進而將控制權(quán)移交給操作系統(tǒng),否則將提示用戶操作系統(tǒng)未通過認證,并提示用戶是否繼續(xù)運行。
2.根據(jù)權(quán)利要求1所述的安全可信認證的方法,其特征在于在Linux內(nèi)核中添加代碼,對BIOS的簽名進行解密和認證,內(nèi)核代碼必須預(yù)先存儲對BIOS簽名進行解密用的私鑰,操作系統(tǒng)內(nèi)核在獲得可信認證并運行后,內(nèi)核代碼通過對內(nèi)存的訪問,獲得BIOS啟動過程中存儲在保留內(nèi)存區(qū)域中的BIOS加密簽名,利用內(nèi)核預(yù)先保留的私鑰對BIOS簽名進行解密,如果解密后的簽名是可信任的,那么內(nèi)核將繼續(xù)運行并加載操作系統(tǒng)至登陸界面,如果解密后的簽名是不可信任的或者沒有找到簽名,那么內(nèi)核代碼將提示用戶該操作系統(tǒng)所運行的平臺是未獲得認證的,并提示用戶是否繼續(xù)運行。
3.根據(jù)權(quán)利要求1所述的安全可信認證的方法,其特征在于移除對操作系統(tǒng)的簽名認證部分,只對BIOS簽名進行認證,同時將BIOS中存儲的私鑰改變?yōu)閷IOS簽名進行解密的私鑰,操作系統(tǒng)內(nèi)核只對BIOS進行簽名認證,BIOS不對操作系統(tǒng)進行認證,那么使用未獲得認證的操作系統(tǒng)也可以啟動,但是只有獲得認證的內(nèi)核是可信任的,這種方法相比對操作系統(tǒng)的簽名認證,安全性較低,但是使用該方法可判斷出用戶是否使用了認證的操作系統(tǒng),這種方法的好處是內(nèi)核中無需存放私鑰,公鑰和私鑰都由BIOS產(chǎn)生,BIOS可以對公鑰和私鑰進行動態(tài)更新,操作系統(tǒng)內(nèi)核通過對BIOS的訪問獲得私鑰,并對內(nèi)存中的BIOS簽名進行解密。
【文檔編號】G06F21/62GK104008342SQ201410247708
【公開日】2014年8月27日 申請日期:2014年6月6日 優(yōu)先權(quán)日:2014年6月6日
【發(fā)明者】鄢建龍 申請人:山東超越數(shù)控電子有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1