本發明公開了一種基于硬件認證和安全審查的UEFI更新方法及系統，屬于計算機系統安全領域，本發明要解決的技術問題為如何對UEFI固件更新操作權限、操作保密可靠性以及UEFI文件病毒安全審查等進行規范管理，采用的技術方案為：①一種基于硬件認證和安全審查的UEFI更新方法，該方法是在固件更新啟動時，插入UKey進行硬件安全認證；同時在計算機中增加安全可信模塊，通過安全可信模塊對UEFI文件硬件安全認證，并對UEFI文件病毒掃描安全審查，固件解析精確判斷需要修改內容快速升級，固件版本更新。②一種基于硬件認證和安全審查的UEFI更新系統，該系統包括UKey、安全可信模塊和計算機，UKey插入計算機，計算機內部署有安全可信模塊。

技術領域

本發明涉及計算機系統安全領域，具體地說是一種基于硬件認證和安全審查的UEFI更新方法及系統。

背景技術

UEFI(Unified Extensible Firmware Interface,統一可擴展固件接口) 定義了操作系統和平臺固件之間的接口，是UEFI Forum發布的一種標準，并由其他公司或開源組織提供實現。

由于UEFI相對于傳統BIOS具有開發效率高、可擴展性強、性能提升、啟動快以及安全性強等特點，UEFI發展迅速并逐步替代傳統BIOS。

UEFI的迅速發展過程，需要對其安全性、維護高效性等各方面都有不斷的改進完善和規范化管理。故如何對UEFI固件更新操作權限、操作保密可靠性以及UEFI文件病毒安全審查等進行規范管理是目前現有技術中急需解決的技術問題。

專利號為CN108710804A專利文獻公開了一種計算機UEFI固件的帶硬件加密快速更新方法。本方法包括以下基本過程：1)在計算機中增加加密模塊，可提供一對密鑰，其中擁有固件更新權利的用戶，用公鑰將需要更新固件加密為密文，傳送給計算機；2)其中更新固件增加結構解析處理；3)計算機加密模塊用私鑰對密文進行完整性、安全性解密認證。安全認證成功之后，將原始固件備份，讀取新固件的結構，解析出版本信息，比較版本信息以確定是否更新。繼續選擇需要更新部分，實現更快速更新操作，并將固件版本信息做相應修改。其中將加密認證和固件更新解析過程，封裝為一個系統應用程序，完成以上安全認證和快速更新過程。但是該技術方案解決的是每次更新都是整個固定完全更新，更新速度較慢，影響工作效率和大規模維護的問題，不能實現對UEFI 固件更新操作權限、操作保密可靠性以及UEFI文件病毒安全審查等進行規范管理。

專利號為CN104573527A的專利文獻公開了一種基于更新安全機制的UEFI 系統更新方法,UEFI更新安全機制由分發、驗證兩個方法組成，用以確保加載至系統的更新文件不受篡改、不受非法訪問，并且與硬件兼容。通過利用數字簽名、加密技術，在更新文件之外封裝一層可驗證其安全性的外層數據，然后在更新安全機制的驗證方法中通過建立DXE驅動，對這一外層數據進行檢測，從而判斷更新文件是否完整，是否被篡改，是否為非法使用以及是否與硬件兼容。但是該技術方案解決的是直接從移動存儲設備中獲取更新文件，對更新文件缺少完整性和可信性的檢測機制，更無法保證更新時的安全性，不能實現對 UEFI固件更新操作權限、操作保密可靠性以及UEFI文件病毒安全審查等進行規范管理。

發明內容

本發明的技術任務是提供一種基于硬件認證和安全審查的UEFI更新方法及系統，來解決如何對UEFI固件更新操作權限、操作保密可靠性以及UEFI文件病毒安全審查等進行規范管理的問題。