基于EFI固件文件系統(tǒng)的平臺(tái)安全策略研究與實(shí)現(xiàn).pdf

1、上海交通大學(xué)碩士學(xué)位論文基于EFI固件文件系統(tǒng)的平臺(tái)安全策略研究與實(shí)現(xiàn)碩士研究生：黃海彬?qū)W號(hào)：1082102046導(dǎo)師：王琴副教授副導(dǎo)師：申請(qǐng)學(xué)位：工程碩士學(xué)科：集成電路所在單位：微電子學(xué)院答辯日期：2010年6月授予學(xué)位單位：上海交通大學(xué)I基于EFI固件文件系統(tǒng)的平臺(tái)安全策略研究與實(shí)現(xiàn)摘要作為傳統(tǒng)BIOS的革新者，EFI具有明顯的優(yōu)勢(shì)：C語(yǔ)言編寫(xiě)，模塊化開(kāi)發(fā)，驅(qū)動(dòng)開(kāi)發(fā)模型，固件文件系統(tǒng)等等高級(jí)特性。EFI具有強(qiáng)大的開(kāi)放性和靈活性，支持

2、從各種外設(shè)中加載EFI文件，如硬盤(pán)，U盤(pán)，CDROM，或是遠(yuǎn)程端的網(wǎng)絡(luò)設(shè)備。這使得病毒，蠕蟲(chóng)，木馬等嚴(yán)重威脅操作系統(tǒng)的安全問(wèn)題將會(huì)延伸到EFIBIOS層面。如何在EFI架構(gòu)下構(gòu)建安全可信的運(yùn)行環(huán)境將是未來(lái)EFIBIOS領(lǐng)域研究的重點(diǎn)和熱點(diǎn)。本論文從可信計(jì)算入手，提出了EFI可信計(jì)算模型，并結(jié)合EFI固件文件系統(tǒng)，提出在EFI各個(gè)階段建立可信鏈的安全方案。其核心思想是對(duì)存儲(chǔ)在EFI固件文件系統(tǒng)中的EFI文件進(jìn)行完整性校驗(yàn)和完整性測(cè)量。完整

3、性校驗(yàn)是指對(duì)EFI文件進(jìn)行數(shù)字簽名技術(shù)的應(yīng)用。數(shù)字簽名技術(shù)使得EFI文件具有防篡改性，從而防止惡意程序入侵EFI系統(tǒng)。完整性測(cè)量是指對(duì)系統(tǒng)中加載的EFI文件實(shí)體進(jìn)行散列運(yùn)算并記錄在TPM芯片中的PCR寄存器中，這些記錄可以被用作密封存儲(chǔ)，認(rèn)證，甚至是重新構(gòu)造EFI系統(tǒng)整個(gè)啟動(dòng)過(guò)程。數(shù)字簽名技術(shù)和散列運(yùn)算都需要密碼系統(tǒng)做支撐。因此本論文深入研究了EFI密碼系統(tǒng)的實(shí)現(xiàn)，并結(jié)合EFI文件格式，詳細(xì)介紹了EFI文件數(shù)字簽名和散列運(yùn)算的實(shí)現(xiàn)。本論