本文關鍵詞：基于UEFI的數字簽名接口的設計和實現(xiàn)

  更多相關文章： 數字簽名 UEFI固件 可信計算 系統(tǒng)管理中斷

【摘要】：隨著互聯(lián)網技術和計算機加密技術的突飛猛進,數字簽名技術已經有非常廣泛的用途。目前有一些需要用到底層主板BIOS的數字簽名和驗證的場合,但在應用層下調用UEFI層的數字簽名方法比較困難,設計和實現(xiàn)這樣的一種接口有非常重要的意義。本文通過對UEFI和Secure Boot技術的研究,設計和實現(xiàn)了一種基于UEFI的數字簽名接口。該接口具有以下特性:首先,該接口的可執(zhí)行程序處于TCM的可信鏈上,是可信程序。其次,用戶的密鑰、證書等信息都被保護,可以保證關鍵信息的完整性,并防止黑客、惡意程序的篡改。再次,該接口可以對使用者進行身份認證,只授權給可以信任的用戶使用。最后,數字簽名操作在SMM模式下進行,不依賴于操作系統(tǒng)的相關功能,通過和操作系統(tǒng)運行環(huán)境的隔離提高了應用層數字簽名接口的安全性。本文提出的接口主要分為三個模塊,即密鑰管理模塊、功能模塊和用戶授權模塊。本文使用SMM驅動解決了在操作系統(tǒng)應用層對底層UEFI數字簽名功能的調用問題,運行在操作系統(tǒng)環(huán)境下的應用可以通過SMI請求來調用底層的相關功能。文中實現(xiàn)了一個簡單的密鑰數據庫,使用不可遷移的密鑰加密密鑰來保護用戶密鑰的安全。用戶授權API的實現(xiàn)則是通過Windows本地服務,結合證書驗證、口令等方式成功實現(xiàn)了接口的用戶授權模塊。由于簽名操作的運行環(huán)境和操作系統(tǒng)隔離,使得接口可以有很多用途,可以用在一些對安全要求比較高的簽名和驗證場合中,比如刷新BIOS過程中,可以用來對BIOS固件進行簽名,也可以對BIOS固件進行驗證。接口還可以用在對應用程序運行的控制、用于數字版權保護等。
【學位授予單位】：北京工業(yè)大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TN918.91
，

本文編號：1253785