本文關(guān)鍵詞：基于固件文件系統(tǒng)的UEFI安全機制研究

  更多相關(guān)文章： 統(tǒng)一可擴展固件接口 固件文件系統(tǒng) 可信計算 信任鏈 安全模塊

【摘要】：傳統(tǒng)的BIOS由于存在程序開發(fā)及維護困難、不易擴展等缺陷,已嚴重制約了計算機系統(tǒng)的發(fā)展。針對這些弊端,Intel等公司推出統(tǒng)一可擴展固件接口(Unified Extensible Firmware Interface,UEFI)以替代傳統(tǒng)BIOS。UEFI固件是計算機啟動的第一道程序,其安全性直接關(guān)系到整個計算機系統(tǒng)的安全,一旦遭到攻擊,就會導致計算機在操作系統(tǒng)加載前就被攻擊者控制。隨著UEFI的普及,已經(jīng)出現(xiàn)了針對UEFI的攻擊,尤其是利用固件文件系統(tǒng)進行的攻擊具有隱蔽性強、權(quán)限高的特點。鑒于UEFI潛在的安全威脅不斷增多,對其安全機制研究刻不容緩。UEFI規(guī)范中加入了關(guān)于可信啟動、數(shù)字簽名等安全服務(wù)的定義,這些定義基于可信計算原理,完成UEFI固件的完整性校驗和身份認證等功能。但是這些安全機制主要是針對第三方程序的檢測,并不能有效阻止攻擊者利用固件文件系統(tǒng)對UEFI固件進行攻擊。由于UEFI相關(guān)文檔的公開,固件文件系統(tǒng)的細節(jié)信息很容易被攻擊者得到。攻擊者利用這些信息對固件中的文件進行添加或修改,從而繞過固件安全機制對第三方驅(qū)動和應(yīng)用程序的檢查,直接對UEFI固件中的代碼進行破壞和利用。本文將UEFI的啟動階段與可信計算的思想相結(jié)合,通過建立UEFI啟動過程中的信任鏈和基于固件文件的可信度量機制,提出基于固件文件系統(tǒng)的UEFI安全方案,解決了目前攻擊者利用固件文件系統(tǒng)對UEFI固件進行攻擊的問題。本文依據(jù)UEFI Framework架構(gòu)對UEFI啟動過程階段的劃分,將前兩個啟動階段作為可信度量根,其它階段作為信任鏈的節(jié)點,從而在各階段之間建立一條信任鏈。各階段在進行控制權(quán)傳遞時,必須對下一階段進行可信度量,若下一階段可信則傳遞控制權(quán),并依次將可信度量關(guān)系傳遞下去。UEFI安全方案采用完整性度量機制作為可信度量方法,通過對固件文件進行完整性度量,來確認啟動各階段的可信性,從而保證整個UEFI啟動過程的可信性。根據(jù)UEFI安全方案,本文設(shè)計并實現(xiàn)基于UEFI驅(qū)動的固件安全模塊。該模塊使用UEFI驅(qū)動程序來虛擬TPM(Trusted Platform Module)芯片,主要由主模塊、Hash算法引擎、通信單元及存儲模塊組成。固件安全模塊是對安全方案功能的實現(xiàn),存儲在UEFI固件中,在UEFI啟動過程中運行并保護UEFI啟動。本文最后通過實驗對固件安全模塊進行測試,驗證了固件安全方案的可行性及優(yōu)缺點。
【關(guān)鍵詞】：統(tǒng)一可擴展固件接口 固件文件系統(tǒng) 可信計算 信任鏈 安全模塊
【學位授予單位】：電子科技大學
【學位級別】：碩士
【學位授予年份】：2016
【分類號】：TP334.7
【目錄】：

• 摘要5-6
• ABSTRACT6-11
• 第一章 緒論11-17
• 1.1 課題研究背景及意義11-13
• 1.1.1 研究背景11-12
• 1.1.2 研究意義12-13
• 1.2 國內(nèi)外研究現(xiàn)狀13-15
• 1.2.1 安全威脅研究現(xiàn)狀13-14
• 1.2.2 安全機制研究現(xiàn)狀14-15
• 1.3 論文主要研究內(nèi)容15
• 1.4 論文組織結(jié)構(gòu)15-17
• 第二章 UEFI規(guī)范及可信計算技術(shù)研究17-32
• 2.1 UEFI基本框架17-24
• 2.1.1 UEFI系統(tǒng)服務(wù)18-19
• 2.1.2 UEFI驅(qū)動模型19-22
• 2.1.2.1 UEFI驅(qū)動模型簡介20-22
• 2.1.2.2 UEFI驅(qū)動分類22
• 2.1.3 UEFI映像文件22-24
• 2.2 UEFI Framework結(jié)構(gòu)24-26
• 2.3 UEFI整體安全性分析26-28
• 2.3.1 UEFI平臺中存在的安全隱患26-27
• 2.3.2 基于Framework的UEFI啟動階段安全性分析27-28
• 2.4 可信計算技術(shù)28-31
• 2.4.1 可信計算理論簡介28-29
• 2.4.2 信任鏈技術(shù)29-30
• 2.4.3 可信度量機制30-31
• 2.5 本章小結(jié)31-32
• 第三章 UEFI固件文件系統(tǒng)研究與分析32-44
• 3.1 固件文件系統(tǒng)結(jié)構(gòu)32-33
• 3.2 固件設(shè)備33-34
• 3.3 固件卷34-35
• 3.4 固件文件35-39
• 3.4.1 固件文件類型35-37
• 3.4.2 固件文件格式37-39
• 3.5 區(qū)塊文件與EFI文件39-42
• 3.5.1 區(qū)塊文件39-40
• 3.5.2 EFI文件40-42
• 3.5.2.1 EFI文件格式40-41
• 3.5.2.2 EFI文件生成41-42
• 3.6 文件遍歷和訪問42
• 3.7 本章小結(jié)42-44
• 第四章 基于固件文件系統(tǒng)的UEFI安全威脅研究44-53
• 4.1 固件文件系統(tǒng)安全性分析44-45
• 4.2 固件文件系統(tǒng)初始化45-47
• 4.3 基于固件文件系統(tǒng)的攻擊方法研究47-51
• 4.3.1 UEFI Bootkit研究47-50
• 4.3.1.1 Bootkit工作原理分析47-49
• 4.3.1.2 Bootkit代碼啟動方法49-50
• 4.3.2 基于FFS文件的攻擊方法50-51
• 4.4 本章小結(jié)51-53
• 第五章 基于固件文件系統(tǒng)的UEFI安全方案研究53-62
• 5.1 基于固件文件的可信計算研究53-54
• 5.2 UEFI的信任鏈設(shè)計54-56
• 5.2.1 UEFI信任鏈的構(gòu)建基礎(chǔ)54
• 5.2.2 可信度量根的確立54-55
• 5.2.3 基于UEFI啟動過程的信任鏈設(shè)計55-56
• 5.3 可信度量方法56-57
• 5.4 UEFI固件安全方案設(shè)計與分析57-61
• 5.4.1 固件安全方案設(shè)計57-60
• 5.4.2 固件安全方案分析60-61
• 5.5 本章小結(jié)61-62
• 第六章 UEFI固件安全方案的實現(xiàn)與驗證62-75
• 6.1 EDKII開發(fā)環(huán)境介紹62-63
• 6.2 固件安全模塊設(shè)計63-67
• 6.2.1 主模塊63-65
• 6.2.2 通信單元65-66
• 6.2.3 Hash算法引擎66
• 6.2.4 存儲模塊66-67
• 6.3 固件安全模塊實現(xiàn)67-69
• 6.4 安全方案驗證及結(jié)果分析69-74
• 6.4.1 實驗環(huán)境及工具69-70
• 6.4.2 驗證方法70
• 6.4.3 驗證結(jié)果及分析70-74
• 6.4.3.1 整體功能驗證及分析70-74
• 6.4.3.2 對啟動過程影響驗證及分析74
• 6.5 本章小結(jié)74-75
• 第七章 總結(jié)與展望75-77
• 致謝77-78
• 參考文獻78-81

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 徐鶯,李永寧,曾曦;網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中文件系統(tǒng)的設(shè)計與實現(xiàn)[J];現(xiàn)代計算機(專業(yè)版);2002年12期

2 劉可嘉;梁阿磊;;實現(xiàn)實時FAT文件系統(tǒng)的一種簡單方法[J];計算機工程與應(yīng)用;2008年16期

3 盧萍;陳進才;;一種基于對象存儲的文件系統(tǒng)的設(shè)計[J];計算機科學;2008年10期

4 李濤;梁洪亮;;具有事件恢復功能的文件系統(tǒng)的研究與實現(xiàn)[J];計算機科學;2009年03期

5 馮新國，徐秋元;基于文件系統(tǒng)的封鎖機制[J];計算機工程與應(yīng)用;1995年05期

6 高天真,卞立平;三種文件系統(tǒng)之剖析[J];市場與電腦;1998年12期

7 符碧丹,倪曉明;群集環(huán)境下的直接文件系統(tǒng)訪問[J];四川通信技術(shù);2001年02期

8 刺猬;文件系統(tǒng)全面介紹[J];電腦愛好者;2001年09期

9 ;文件、文件系統(tǒng)、文件庫[J];電子科技文摘;2001年09期

10 曲東才;光盤文件系統(tǒng)標準[J];電腦技術(shù);2002年09期

中國重要會議論文全文數(shù)據(jù)庫 前10條

1 謝菲;錢曙霞;;并行文件系統(tǒng)技術(shù)在新華社奧運報道系統(tǒng)中的實現(xiàn)及應(yīng)用[A];中國新聞技術(shù)工作者聯(lián)合會2008年學術(shù)年會論文集（上）[C];2008年

2 馮新國;陶志成;;基于文件系統(tǒng)的封鎖機制[A];第十一屆全國數(shù)據(jù)庫學術(shù)會議論文集[C];1993年

3 仇建偉;鄭紅;;適用于視頻文件系統(tǒng)的有效調(diào)度方法[A];中國圖象圖形科學技術(shù)新進展——第九屆全國圖象圖形科技大會論文集[C];1998年

4 王永瑞;熊劍平;;基于CF卡的特定FAT文件系統(tǒng)的軟硬件設(shè)計與實現(xiàn)[A];2008中國儀器儀表與測控技術(shù)進展大會論文集（Ⅲ）[C];2008年

5 高杰;陸應(yīng)華;陳世文;;基于文件過濾驅(qū)動的信息保護研究[A];教育部中南地區(qū)高等學校電子電氣基礎(chǔ)課教學研究會第二十屆學術(shù)年會會議論文集（下冊）[C];2010年

6 盧雪山;戴華東;顏躍進;;Ext文件系統(tǒng)檢測和修復工具的研究與改進[A];2010年第16屆全國信息存儲技術(shù)大會（IST2010）論文集[C];2010年

7 鄭思;楊尹;;Checksum技術(shù)在文件系統(tǒng)中應(yīng)用的研究[A];全國第20屆計算機技術(shù)與應(yīng)用學術(shù)會議(CACIS·2009)暨全國第1屆安全關(guān)鍵技術(shù)與應(yīng)用學術(shù)會議論文集（下冊）[C];2009年

8 汪黎;章文嵩;楊學軍;;Cfslight:一個新型的輕量級對象存儲集群文件系統(tǒng)[A];2006年全國開放式分布與并行計算學術(shù)會議論文集（一）[C];2006年

9 魏環(huán)宇;陽國貴;;一個基于數(shù)據(jù)庫的文件系統(tǒng)(XFS)的設(shè)計與實現(xiàn)[A];2008通信理論與技術(shù)新進展——第十三屆全國青年通信學術(shù)會議論文集（上）[C];2008年

10 沈志榮;薛矛;薛巍;舒繼武;;Corslet安全文件系統(tǒng)的分析和優(yōu)化[A];2010年第16屆全國信息存儲技術(shù)大會（IST2010）論文集[C];2010年

中國重要報紙全文數(shù)據(jù)庫 前10條

1 谷治平;文件系統(tǒng)———結(jié)合實際重在內(nèi)容[N];中國醫(yī)藥報;2003年

2 江蘇 王志軍;磁盤的文件系統(tǒng)[N];電腦報;2001年

3 張群英;超級文件系統(tǒng)規(guī)模再突破[N];網(wǎng)絡(luò)世界;2006年

4 ;施樂公司推出頂級數(shù)碼工程文件系統(tǒng)[N];網(wǎng)絡(luò)世界;2000年

5 凡妮;IBM TotalStorage SAN文件系統(tǒng)實現(xiàn)數(shù)據(jù)共享[N];電腦商報;2004年

6 ;共享單一文件系統(tǒng)[N];網(wǎng)絡(luò)世界;2005年

7 黑龍江 馬憲廷;玩轉(zhuǎn)文件系統(tǒng)格式轉(zhuǎn)換[N];電腦報;2003年

8 記者 楊婧瀚;管道公司召開電子文件系統(tǒng)啟動視頻會[N];石油管道報;2007年

9 樂天邋編譯;近距離觀看Snow Leopard Server[N];計算機世界;2008年

10 ;集群儲存技術(shù)解決“大”問題[N];計算機世界;2004年

中國博士學位論文全文數(shù)據(jù)庫 前10條

1 陳杰;本地文件系統(tǒng)數(shù)據(jù)更新模式研究[D];華中科技大學;2014年

2 談華芳;基于共享對象存儲設(shè)備的并行文件系統(tǒng)研究[D];中國科學院研究生院（計算技術(shù)研究所）;2005年

3 夏鵬;文件系統(tǒng)語義分析技術(shù)研究[D];華中科技大學;2011年

4 熊勁;大規(guī)模機群文件系統(tǒng)的關(guān)鍵技術(shù)研究[D];中國科學院研究生院（計算技術(shù)研究所）;2006年

5 劉立坤;海量文件系統(tǒng)元數(shù)據(jù)查詢方法與技術(shù)[D];清華大學;2011年

6 涂旭東;基于對象的并行文件系統(tǒng)接口語義擴展研究[D];華中科技大學;2011年

7 孫凝暉;可擴展I/O的研究和參考實現(xiàn)[D];中國科學院研究生院（計算技術(shù)研究所）;1999年

8 徐虎;基于SAN的安全單映像Cluster文件系統(tǒng)關(guān)鍵技術(shù)的研究[D];國防科學技術(shù)大學;2003年

9 常青;瘦型服務(wù)器及個人/家庭事務(wù)處理應(yīng)用研究[D];太原理工大學;2011年

10 李慶虎;基于P2P架構(gòu)的網(wǎng)格文件系統(tǒng)研究[D];清華大學;2004年

中國碩士學位論文全文數(shù)據(jù)庫 前10條

1 梁鐘麗;基于嵌入式平臺的文件系統(tǒng)研究[D];大連海事大學;2016年

2 李吉樂;Linux文件系統(tǒng)性能優(yōu)化技術(shù)的研究[D];中國石油大學(華東);2014年

3 劉劍;用FPGA實現(xiàn)文件系統(tǒng)及其應(yīng)用[D];太原理工大學;2013年

4 馮子陵;閃存文件系統(tǒng)UBIFS的分析與優(yōu)化[D];南京大學;2013年

5 唐洪英;VTOS文件系統(tǒng)形式化設(shè)計、實現(xiàn)及驗證[D];南京大學;2013年

6 李肇中;基于外內(nèi)核操作系統(tǒng)的文件系統(tǒng)研究[D];蘭州大學;2016年

7 何耀;面向大容量SCM的融合式文件系統(tǒng)[D];江蘇大學;2016年

8 張曉宇;面向大規(guī)模數(shù)據(jù)處理的PVFS文件系統(tǒng)改進與應(yīng)用研究[D];南京大學;2016年

9 李奇陽;FAT文件系統(tǒng)元數(shù)據(jù)合理性檢測的研究[D];北京理工大學;2016年

10 房s，

本文編號：539256