技術領域

本發明涉及計算機應用技術領域,具體地說是一種通過BIOS和內核實現安全可信認證的方法。

背景技術

信息安全技術的發展除了建立在操作系統級別上的安全機制，還進一步延伸到了固件層。固件BIOS處于計算機系統的底層，如果BIOS遭到攻擊，被惡意代碼修改，會造成計算機系統的徹底奔潰，或導致計算機系統被惡意者從底層控制。為了解決BIOS系統面臨的安全問題，業界提出了可信計算的概念。新版本的UEFI標準中加入了關于可信啟動、數字簽名和數字摘要等服務的定義，這些定義符合可信計算組織制定的可信平臺規范，可用于固件執行過程中的完整性檢查和身份認證。在可信計算領域，以數字認證技術為核心，通過禁止固件中未知代碼的運行或者部分限制其行為來避免對系統的啟動造成危害。在實際應用中，這種方法存在部分缺陷，其中包括缺乏靈活的安全管理機制和缺乏對上層操作系統的保護。

發明內容

本發明的目的是提供一種一種通過BIOS和內核實現安全可信認證的方法。

本發明的目的是按以下方式實現的，步驟如下：

在BIOS的NVSTORAGE區域中添加對操作系統內核簽名進行解密的私鑰，通過在UEFI BIOS中添加虛擬設備驅動程序，在DXE階段的初期將虛擬設備驅動程序加載到UEFI運行環境中，在隨后過程中，DXE驅動程序通過對BIOS的簽名進行非對稱加密，將加密后的結果保存于一塊預先定義的保留內存區域，在BIOS自檢結束后將操作系統內核文件加載到內存中，通過搜索標志性字符，獲得內核代碼的加密簽名，UEFI BIOS通過對NVSTORAGE的訪問讀取存儲在其中的私鑰，利用私鑰對操作系統內核簽名進行解密，如果解密后的簽名是可信任的，那么BIOS將跳轉到內核代碼進而將控制權移交給操作系統，否則將提示用戶操作系統未通過認證，并提示用戶是否繼續運行。

所述的安全可信認證的方法,在Linux內核中添加代碼，對BIOS的簽名進行解密和認證，內核代碼必須預先存儲對BIOS簽名進行解密用的私鑰，操作系統內核在獲得可信認證并運行后，內核代碼通過對內存的訪問，獲得BIOS啟動過程中存儲在保留內存區域中的BIOS加密簽名，利用內核預先保留的私鑰對BIOS簽名進行解密，如果解密后的簽名是可信任的，那么內核將繼續運行并加載操作系統至登陸界面，如果解密后的簽名是不可信任的或者沒有找到簽名，那么內核代碼將提示用戶該操作系統所運行的平臺是未獲得認證的，并提示用戶是否繼續運行。

所述的安全可信認證的方法,移除對操作系統的簽名認證部分，只對BIOS簽名進行認證，同時將BIOS中存儲的私鑰改變為對BIOS簽名進行解密的私鑰，操作系統內核只對BIOS進行簽名認證，BIOS不對操作系統進行認證，那么使用未獲得認證的操作系統也可以啟動，但是只有獲得認證的內核是可信任的，這種方法相比對操作系統的簽名認證，安全性較低，但是使用該方法可判斷出用戶是否使用了認證的操作系統，這種方法的好處是內核中無需存放私鑰，公鑰和私鑰都由BIOS產生，BIOS可以對公鑰和私鑰進行動態更新，操作系統內核通過對BIOS的訪問獲得私鑰，并對內存中的BIOS簽名進行解密。

本發明的有益效果是：UEFI固件的靈活性和開放性給計算機安全技術帶來了新的發展空間。相比傳統的BIOS，UEFI更像一個微操作系統，可在操作系統載入之前操控所有的硬件資源，且具有實現更復雜邏輯運算的能力。本文描述的是通過在UEFI BIOS和Linux內核中分別添加代碼實現安全可信認證的一種方法。該方法可應用于沒有TPM或TCM芯片的計算機系統中。

這是一種比較安全的可信認證方法，如果存儲在BIOS的NVSTORAGE中的私鑰被盜取，沒有獲得操作系統內核中存儲的私鑰，是無法進入操作系統的。如果操作系統內核中的私鑰被盜取，在沒有獲得BIOS中存儲的私鑰，也無法加載操作系統。即使BIOS和系統內核中的私鑰都被盜取，如果不知道BIOS的加密簽名在內存中的存放位置，以及操作系統內核簽名在內核中的位置，也同樣無法獲得認證。

附圖說明

圖1是通過BIOS和內核實現安全可信認證方法的流程圖。

具體實施方式

參照說明書附圖對本發明的方法作以下詳細地說明。