本文關(guān)鍵詞：基于UEFI的數(shù)字簽名接口的設(shè)計和實現(xiàn)

  更多相關(guān)文章： 數(shù)字簽名 UEFI固件 可信計算 系統(tǒng)管理中斷

【摘要】：隨著互聯(lián)網(wǎng)技術(shù)和計算機(jī)加密技術(shù)的突飛猛進(jìn),數(shù)字簽名技術(shù)已經(jīng)有非常廣泛的用途。目前有一些需要用到底層主板BIOS的數(shù)字簽名和驗證的場合,但在應(yīng)用層下調(diào)用UEFI層的數(shù)字簽名方法比較困難,設(shè)計和實現(xiàn)這樣的一種接口有非常重要的意義。本文通過對UEFI和Secure Boot技術(shù)的研究,設(shè)計和實現(xiàn)了一種基于UEFI的數(shù)字簽名接口。該接口具有以下特性:首先,該接口的可執(zhí)行程序處于TCM的可信鏈上,是可信程序。其次,用戶的密鑰、證書等信息都被保護(hù),可以保證關(guān)鍵信息的完整性,并防止黑客、惡意程序的篡改。再次,該接口可以對使用者進(jìn)行身份認(rèn)證,只授權(quán)給可以信任的用戶使用。最后,數(shù)字簽名操作在SMM模式下進(jìn)行,不依賴于操作系統(tǒng)的相關(guān)功能,通過和操作系統(tǒng)運行環(huán)境的隔離提高了應(yīng)用層數(shù)字簽名接口的安全性。本文提出的接口主要分為三個模塊,即密鑰管理模塊、功能模塊和用戶授權(quán)模塊。本文使用SMM驅(qū)動解決了在操作系統(tǒng)應(yīng)用層對底層UEFI數(shù)字簽名功能的調(diào)用問題,運行在操作系統(tǒng)環(huán)境下的應(yīng)用可以通過SMI請求來調(diào)用底層的相關(guān)功能。文中實現(xiàn)了一個簡單的密鑰數(shù)據(jù)庫,使用不可遷移的密鑰加密密鑰來保護(hù)用戶密鑰的安全。用戶授權(quán)API的實現(xiàn)則是通過Windows本地服務(wù),結(jié)合證書驗證、口令等方式成功實現(xiàn)了接口的用戶授權(quán)模塊。由于簽名操作的運行環(huán)境和操作系統(tǒng)隔離,使得接口可以有很多用途,可以用在一些對安全要求比較高的簽名和驗證場合中,比如刷新BIOS過程中,可以用來對BIOS固件進(jìn)行簽名,也可以對BIOS固件進(jìn)行驗證。接口還可以用在對應(yīng)用程序運行的控制、用于數(shù)字版權(quán)保護(hù)等。
【學(xué)位授予單位】：北京工業(yè)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2015
【分類號】：TN918.91
，

本文編號：1253785