基于EFI雙核的安全系統(tǒng)框架的設計與研究.pdf

1、目前，傳統(tǒng)BIOS的接替者可擴展固件接口EFI和雙核處理器技術(shù)的發(fā)展非常迅速，取得了許多重要的成果，但仍有許多問題可以供我們研究。同時，隨著信息技術(shù)的飛速發(fā)展和計算機的日益普及，現(xiàn)實世界越來越依賴于計算機系統(tǒng)，操作系統(tǒng)的安全性也變得越來越重要。安全操作系統(tǒng)的研究分析能夠為操作系統(tǒng)提供機密性和完整性的保證。再者，底層安全機制方面主要研究的是在物理平臺上利用虛擬化技術(shù)來實現(xiàn)雙系統(tǒng)的同步運行，并實施系統(tǒng)安全策略。結(jié)合這幾個方面，本文提出并研究

2、設計了基于EFI 雙核平臺的安全系統(tǒng)框架DESA。該框架利用雙核處理器從物理上同步啟動EFI和操作系統(tǒng)，每個CPU 內(nèi)核獨立地控制一個平臺的運行狀態(tài)，通過硬件劃分等方法實現(xiàn)物理隔離，并將EFI 作為平臺可信計算基的核心來實施對操作系統(tǒng)的安全策略服務，以保障和增強計算機系統(tǒng)的安全性。 在DESA 框架中，EFI 從物理結(jié)構(gòu)和邏輯概念上都作為一個隔離的安全域，并提供操作系統(tǒng)監(jiān)控、協(xié)處理及安全服務等支持。因此本文首先介紹了EFI的特性

3、及其框架的概念和過程體系，并對其進行了安全性研究分析— EFI規(guī)范支持以可信鏈模式為啟動操作系統(tǒng)之前的程序提供了一個安全的標準環(huán)境，這表明EFI 能夠成為DESA 框架安全性的支撐點。隨后研究了雙核的特點和技術(shù)優(yōu)勢，對多核技術(shù)進行了剖析，為DESA 框架的平臺設計提供理論支持。 接下來設計了基于EFI 雙核的安全系統(tǒng)框架DESA的體系架構(gòu)并闡述了其設計思想，分析了框架中各個模塊的功能和特點。同時研究了該框架中可信邊界的概念和特點

4、，說明了平臺啟動流程中動態(tài)可信邊界的構(gòu)成組件，并對DESA 框架進行了安全性特點分析。接著，本文詳細研究了構(gòu)成安全框架DESA的各個設計要素的思想、難點與實現(xiàn)方案，如EFI 對多核的支持、EFI 多線程的模擬實現(xiàn)、共享內(nèi)存通信機制、密碼庫引擎的支持等設計細節(jié)，并討論了引入可信平臺模塊TPM 來增強DESA框架安全性的技術(shù)要點。 本文實現(xiàn)了一個基于DESA 安全系統(tǒng)框架的應用實例—虛擬磁盤實時監(jiān)控及安全訪問方案，實施了操作系統(tǒng)的安