本文關(guān)鍵詞：基于固件文件系統(tǒng)的UEFI安全機(jī)制研究

  更多相關(guān)文章： 統(tǒng)一可擴(kuò)展固件接口 固件文件系統(tǒng) 可信計(jì)算 信任鏈 安全模塊

【摘要】：傳統(tǒng)的BIOS由于存在程序開(kāi)發(fā)及維護(hù)困難、不易擴(kuò)展等缺陷,已嚴(yán)重制約了計(jì)算機(jī)系統(tǒng)的發(fā)展。針對(duì)這些弊端,Intel等公司推出統(tǒng)一可擴(kuò)展固件接口(Unified Extensible Firmware Interface,UEFI)以替代傳統(tǒng)BIOS。UEFI固件是計(jì)算機(jī)啟動(dòng)的第一道程序,其安全性直接關(guān)系到整個(gè)計(jì)算機(jī)系統(tǒng)的安全,一旦遭到攻擊,就會(huì)導(dǎo)致計(jì)算機(jī)在操作系統(tǒng)加載前就被攻擊者控制。隨著UEFI的普及,已經(jīng)出現(xiàn)了針對(duì)UEFI的攻擊,尤其是利用固件文件系統(tǒng)進(jìn)行的攻擊具有隱蔽性強(qiáng)、權(quán)限高的特點(diǎn)。鑒于UEFI潛在的安全威脅不斷增多,對(duì)其安全機(jī)制研究刻不容緩。UEFI規(guī)范中加入了關(guān)于可信啟動(dòng)、數(shù)字簽名等安全服務(wù)的定義,這些定義基于可信計(jì)算原理,完成UEFI固件的完整性校驗(yàn)和身份認(rèn)證等功能。但是這些安全機(jī)制主要是針對(duì)第三方程序的檢測(cè),并不能有效阻止攻擊者利用固件文件系統(tǒng)對(duì)UEFI固件進(jìn)行攻擊。由于UEFI相關(guān)文檔的公開(kāi),固件文件系統(tǒng)的細(xì)節(jié)信息很容易被攻擊者得到。攻擊者利用這些信息對(duì)固件中的文件進(jìn)行添加或修改,從而繞過(guò)固件安全機(jī)制對(duì)第三方驅(qū)動(dòng)和應(yīng)用程序的檢查,直接對(duì)UEFI固件中的代碼進(jìn)行破壞和利用。本文將UEFI的啟動(dòng)階段與可信計(jì)算的思想相結(jié)合,通過(guò)建立UEFI啟動(dòng)過(guò)程中的信任鏈和基于固件文件的可信度量機(jī)制,提出基于固件文件系統(tǒng)的UEFI安全方案,解決了目前攻擊者利用固件文件系統(tǒng)對(duì)UEFI固件進(jìn)行攻擊的問(wèn)題。本文依據(jù)UEFI Framework架構(gòu)對(duì)UEFI啟動(dòng)過(guò)程階段的劃分,將前兩個(gè)啟動(dòng)階段作為可信度量根,其它階段作為信任鏈的節(jié)點(diǎn),從而在各階段之間建立一條信任鏈。各階段在進(jìn)行控制權(quán)傳遞時(shí),必須對(duì)下一階段進(jìn)行可信度量,若下一階段可信則傳遞控制權(quán),并依次將可信度量關(guān)系傳遞下去。UEFI安全方案采用完整性度量機(jī)制作為可信度量方法,通過(guò)對(duì)固件文件進(jìn)行完整性度量,來(lái)確認(rèn)啟動(dòng)各階段的可信性,從而保證整個(gè)UEFI啟動(dòng)過(guò)程的可信性。根據(jù)UEFI安全方案,本文設(shè)計(jì)并實(shí)現(xiàn)基于UEFI驅(qū)動(dòng)的固件安全模塊。該模塊使用UEFI驅(qū)動(dòng)程序來(lái)虛擬TPM(Trusted Platform Module)芯片,主要由主模塊、Hash算法引擎、通信單元及存儲(chǔ)模塊組成。固件安全模塊是對(duì)安全方案功能的實(shí)現(xiàn),存儲(chǔ)在UEFI固件中,在UEFI啟動(dòng)過(guò)程中運(yùn)行并保護(hù)UEFI啟動(dòng)。本文最后通過(guò)實(shí)驗(yàn)對(duì)固件安全模塊進(jìn)行測(cè)試,驗(yàn)證了固件安全方案的可行性及優(yōu)缺點(diǎn)。
【關(guān)鍵詞】：統(tǒng)一可擴(kuò)展固件接口 固件文件系統(tǒng) 可信計(jì)算 信任鏈 安全模塊
【學(xué)位授予單位】：電子科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類(lèi)號(hào)】：TP334.7
【目錄】：

• 摘要5-6
• ABSTRACT6-11
• 第一章 緒論11-17
• 1.1 課題研究背景及意義11-13
• 1.1.1 研究背景11-12
• 1.1.2 研究意義12-13
• 1.2 國(guó)內(nèi)外研究現(xiàn)狀13-15
• 1.2.1 安全威脅研究現(xiàn)狀13-14
• 1.2.2 安全機(jī)制研究現(xiàn)狀14-15
• 1.3 論文主要研究?jī)?nèi)容15
• 1.4 論文組織結(jié)構(gòu)15-17
• 第二章 UEFI規(guī)范及可信計(jì)算技術(shù)研究17-32
• 2.1 UEFI基本框架17-24
• 2.1.1 UEFI系統(tǒng)服務(wù)18-19
• 2.1.2 UEFI驅(qū)動(dòng)模型19-22
• 2.1.2.1 UEFI驅(qū)動(dòng)模型簡(jiǎn)介20-22
• 2.1.2.2 UEFI驅(qū)動(dòng)分類(lèi)22
• 2.1.3 UEFI映像文件22-24
• 2.2 UEFI Framework結(jié)構(gòu)24-26
• 2.3 UEFI整體安全性分析26-28
• 2.3.1 UEFI平臺(tái)中存在的安全隱患26-27
• 2.3.2 基于Framework的UEFI啟動(dòng)階段安全性分析27-28
• 2.4 可信計(jì)算技術(shù)28-31
• 2.4.1 可信計(jì)算理論簡(jiǎn)介28-29
• 2.4.2 信任鏈技術(shù)29-30
• 2.4.3 可信度量機(jī)制30-31
• 2.5 本章小結(jié)31-32
• 第三章 UEFI固件文件系統(tǒng)研究與分析32-44
• 3.1 固件文件系統(tǒng)結(jié)構(gòu)32-33
• 3.2 固件設(shè)備33-34
• 3.3 固件卷34-35
• 3.4 固件文件35-39
• 3.4.1 固件文件類(lèi)型35-37
• 3.4.2 固件文件格式37-39
• 3.5 區(qū)塊文件與EFI文件39-42
• 3.5.1 區(qū)塊文件39-40
• 3.5.2 EFI文件40-42
• 3.5.2.1 EFI文件格式40-41
• 3.5.2.2 EFI文件生成41-42
• 3.6 文件遍歷和訪問(wèn)42
• 3.7 本章小結(jié)42-44
• 第四章 基于固件文件系統(tǒng)的UEFI安全威脅研究44-53
• 4.1 固件文件系統(tǒng)安全性分析44-45
• 4.2 固件文件系統(tǒng)初始化45-47
• 4.3 基于固件文件系統(tǒng)的攻擊方法研究47-51
• 4.3.1 UEFI Bootkit研究47-50
• 4.3.1.1 Bootkit工作原理分析47-49
• 4.3.1.2 Bootkit代碼啟動(dòng)方法49-50
• 4.3.2 基于FFS文件的攻擊方法50-51
• 4.4 本章小結(jié)51-53
• 第五章 基于固件文件系統(tǒng)的UEFI安全方案研究53-62
• 5.1 基于固件文件的可信計(jì)算研究53-54
• 5.2 UEFI的信任鏈設(shè)計(jì)54-56
• 5.2.1 UEFI信任鏈的構(gòu)建基礎(chǔ)54
• 5.2.2 可信度量根的確立54-55
• 5.2.3 基于UEFI啟動(dòng)過(guò)程的信任鏈設(shè)計(jì)55-56
• 5.3 可信度量方法56-57
• 5.4 UEFI固件安全方案設(shè)計(jì)與分析57-61
• 5.4.1 固件安全方案設(shè)計(jì)57-60
• 5.4.2 固件安全方案分析60-61
• 5.5 本章小結(jié)61-62
• 第六章 UEFI固件安全方案的實(shí)現(xiàn)與驗(yàn)證62-75
• 6.1 EDKII開(kāi)發(fā)環(huán)境介紹62-63
• 6.2 固件安全模塊設(shè)計(jì)63-67
• 6.2.1 主模塊63-65
• 6.2.2 通信單元65-66
• 6.2.3 Hash算法引擎66
• 6.2.4 存儲(chǔ)模塊66-67
• 6.3 固件安全模塊實(shí)現(xiàn)67-69
• 6.4 安全方案驗(yàn)證及結(jié)果分析69-74
• 6.4.1 實(shí)驗(yàn)環(huán)境及工具69-70
• 6.4.2 驗(yàn)證方法70
• 6.4.3 驗(yàn)證結(jié)果及分析70-74
• 6.4.3.1 整體功能驗(yàn)證及分析70-74
• 6.4.3.2 對(duì)啟動(dòng)過(guò)程影響驗(yàn)證及分析74
• 6.5 本章小結(jié)74-75
• 第七章 總結(jié)與展望75-77
• 致謝77-78
• 參考文獻(xiàn)78-81

【相似文獻(xiàn)】

中國(guó)期刊全文數(shù)據(jù)庫(kù) 前10條

1 徐鶯,李永寧,曾曦;網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)中文件系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J];現(xiàn)代計(jì)算機(jī)(專業(yè)版);2002年12期

2 劉可嘉;梁阿磊;;實(shí)現(xiàn)實(shí)時(shí)FAT文件系統(tǒng)的一種簡(jiǎn)單方法[J];計(jì)算機(jī)工程與應(yīng)用;2008年16期

3 盧萍;陳進(jìn)才;;一種基于對(duì)象存儲(chǔ)的文件系統(tǒng)的設(shè)計(jì)[J];計(jì)算機(jī)科學(xué);2008年10期

4 李濤;梁洪亮;;具有事件恢復(fù)功能的文件系統(tǒng)的研究與實(shí)現(xiàn)[J];計(jì)算機(jī)科學(xué);2009年03期

5 馮新國(guó)，徐秋元;基于文件系統(tǒng)的封鎖機(jī)制[J];計(jì)算機(jī)工程與應(yīng)用;1995年05期

6 高天真,卞立平;三種文件系統(tǒng)之剖析[J];市場(chǎng)與電腦;1998年12期

7 符碧丹,倪曉明;群集環(huán)境下的直接文件系統(tǒng)訪問(wèn)[J];四川通信技術(shù);2001年02期

8 刺猬;文件系統(tǒng)全面介紹[J];電腦愛(ài)好者;2001年09期

9 ;文件、文件系統(tǒng)、文件庫(kù)[J];電子科技文摘;2001年09期

10 曲東才;光盤(pán)文件系統(tǒng)標(biāo)準(zhǔn)[J];電腦技術(shù);2002年09期

中國(guó)重要會(huì)議論文全文數(shù)據(jù)庫(kù) 前10條

1 謝菲;錢(qián)曙霞;;并行文件系統(tǒng)技術(shù)在新華社奧運(yùn)報(bào)道系統(tǒng)中的實(shí)現(xiàn)及應(yīng)用[A];中國(guó)新聞技術(shù)工作者聯(lián)合會(huì)2008年學(xué)術(shù)年會(huì)論文集（上）[C];2008年

2 馮新國(guó);陶志成;;基于文件系統(tǒng)的封鎖機(jī)制[A];第十一屆全國(guó)數(shù)據(jù)庫(kù)學(xué)術(shù)會(huì)議論文集[C];1993年

3 仇建偉;鄭紅;;適用于視頻文件系統(tǒng)的有效調(diào)度方法[A];中國(guó)圖象圖形科學(xué)技術(shù)新進(jìn)展——第九屆全國(guó)圖象圖形科技大會(huì)論文集[C];1998年

4 王永瑞;熊劍平;;基于CF卡的特定FAT文件系統(tǒng)的軟硬件設(shè)計(jì)與實(shí)現(xiàn)[A];2008中國(guó)儀器儀表與測(cè)控技術(shù)進(jìn)展大會(huì)論文集（Ⅲ）[C];2008年

5 高杰;陸應(yīng)華;陳世文;;基于文件過(guò)濾驅(qū)動(dòng)的信息保護(hù)研究[A];教育部中南地區(qū)高等學(xué)校電子電氣基礎(chǔ)課教學(xué)研究會(huì)第二十屆學(xué)術(shù)年會(huì)會(huì)議論文集（下冊(cè)）[C];2010年

6 盧雪山;戴華東;顏躍進(jìn);;Ext文件系統(tǒng)檢測(cè)和修復(fù)工具的研究與改進(jìn)[A];2010年第16屆全國(guó)信息存儲(chǔ)技術(shù)大會(huì)（IST2010）論文集[C];2010年

7 鄭思;楊尹;;Checksum技術(shù)在文件系統(tǒng)中應(yīng)用的研究[A];全國(guó)第20屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議(CACIS·2009)暨全國(guó)第1屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集（下冊(cè)）[C];2009年

8 汪黎;章文嵩;楊學(xué)軍;;Cfslight:一個(gè)新型的輕量級(jí)對(duì)象存儲(chǔ)集群文件系統(tǒng)[A];2006年全國(guó)開(kāi)放式分布與并行計(jì)算學(xué)術(shù)會(huì)議論文集（一）[C];2006年

9 魏環(huán)宇;陽(yáng)國(guó)貴;;一個(gè)基于數(shù)據(jù)庫(kù)的文件系統(tǒng)(XFS)的設(shè)計(jì)與實(shí)現(xiàn)[A];2008通信理論與技術(shù)新進(jìn)展——第十三屆全國(guó)青年通信學(xué)術(shù)會(huì)議論文集（上）[C];2008年

10 沈志榮;薛矛;薛巍;舒繼武;;Corslet安全文件系統(tǒng)的分析和優(yōu)化[A];2010年第16屆全國(guó)信息存儲(chǔ)技術(shù)大會(huì)（IST2010）論文集[C];2010年

中國(guó)重要報(bào)紙全文數(shù)據(jù)庫(kù) 前10條

1 谷治平;文件系統(tǒng)———結(jié)合實(shí)際重在內(nèi)容[N];中國(guó)醫(yī)藥報(bào);2003年

2 江蘇 王志軍;磁盤(pán)的文件系統(tǒng)[N];電腦報(bào);2001年

3 張群英;超級(jí)文件系統(tǒng)規(guī)模再突破[N];網(wǎng)絡(luò)世界;2006年

4 ;施樂(lè)公司推出頂級(jí)數(shù)碼工程文件系統(tǒng)[N];網(wǎng)絡(luò)世界;2000年

5 凡妮;IBM TotalStorage SAN文件系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)共享[N];電腦商報(bào);2004年

6 ;共享單一文件系統(tǒng)[N];網(wǎng)絡(luò)世界;2005年

7 黑龍江 馬憲廷;玩轉(zhuǎn)文件系統(tǒng)格式轉(zhuǎn)換[N];電腦報(bào);2003年

8 記者 楊婧瀚;管道公司召開(kāi)電子文件系統(tǒng)啟動(dòng)視頻會(huì)[N];石油管道報(bào);2007年

9 樂(lè)天邋編譯;近距離觀看Snow Leopard Server[N];計(jì)算機(jī)世界;2008年

10 ;集群儲(chǔ)存技術(shù)解決“大”問(wèn)題[N];計(jì)算機(jī)世界;2004年

中國(guó)博士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 陳杰;本地文件系統(tǒng)數(shù)據(jù)更新模式研究[D];華中科技大學(xué);2014年

2 談華芳;基于共享對(duì)象存儲(chǔ)設(shè)備的并行文件系統(tǒng)研究[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2005年

3 夏鵬;文件系統(tǒng)語(yǔ)義分析技術(shù)研究[D];華中科技大學(xué);2011年

4 熊勁;大規(guī)模機(jī)群文件系統(tǒng)的關(guān)鍵技術(shù)研究[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;2006年

5 劉立坤;海量文件系統(tǒng)元數(shù)據(jù)查詢方法與技術(shù)[D];清華大學(xué);2011年

6 涂旭東;基于對(duì)象的并行文件系統(tǒng)接口語(yǔ)義擴(kuò)展研究[D];華中科技大學(xué);2011年

7 孫凝暉;可擴(kuò)展I/O的研究和參考實(shí)現(xiàn)[D];中國(guó)科學(xué)院研究生院（計(jì)算技術(shù)研究所）;1999年

8 徐虎;基于SAN的安全單映像Cluster文件系統(tǒng)關(guān)鍵技術(shù)的研究[D];國(guó)防科學(xué)技術(shù)大學(xué);2003年

9 常青;瘦型服務(wù)器及個(gè)人/家庭事務(wù)處理應(yīng)用研究[D];太原理工大學(xué);2011年

10 李慶虎;基于P2P架構(gòu)的網(wǎng)格文件系統(tǒng)研究[D];清華大學(xué);2004年

中國(guó)碩士學(xué)位論文全文數(shù)據(jù)庫(kù) 前10條

1 梁鐘麗;基于嵌入式平臺(tái)的文件系統(tǒng)研究[D];大連海事大學(xué);2016年

2 李吉樂(lè);Linux文件系統(tǒng)性能優(yōu)化技術(shù)的研究[D];中國(guó)石油大學(xué)(華東);2014年

3 劉劍;用FPGA實(shí)現(xiàn)文件系統(tǒng)及其應(yīng)用[D];太原理工大學(xué);2013年

4 馮子陵;閃存文件系統(tǒng)UBIFS的分析與優(yōu)化[D];南京大學(xué);2013年

5 唐洪英;VTOS文件系統(tǒng)形式化設(shè)計(jì)、實(shí)現(xiàn)及驗(yàn)證[D];南京大學(xué);2013年

6 李肇中;基于外內(nèi)核操作系統(tǒng)的文件系統(tǒng)研究[D];蘭州大學(xué);2016年

7 何耀;面向大容量SCM的融合式文件系統(tǒng)[D];江蘇大學(xué);2016年

8 張曉宇;面向大規(guī)模數(shù)據(jù)處理的PVFS文件系統(tǒng)改進(jìn)與應(yīng)用研究[D];南京大學(xué);2016年

9 李奇陽(yáng);FAT文件系統(tǒng)元數(shù)據(jù)合理性檢測(cè)的研究[D];北京理工大學(xué);2016年

10 房s，

本文編號(hào)：539256