基于固件文件系统的UEFI安全机制研究

发布时间：2017-07-14 02:11

  本文关键词：基于固件文件系统的UEFI安全机制研究

  更多相关文章： 统一可扩展固件接口 固件文件系统 可信计算 信任链 安全模块

【摘要】：传统的BIOS由于存在程序开发及维护困难、不易扩展等缺陷,已严重制约了计算机系统的发展。针对这些弊端,Intel等公司推出统一可扩展固件接口(Unified Extensible Firmware Interface,UEFI)以替代传统BIOS。UEFI固件是计算机启动的第一道程序,其安全性直接关系到整个计算机系统的安全,一旦遭到攻击,就会导致计算机在操作系统加载前就被攻击者控制。随着UEFI的普及,已经出现了针对UEFI的攻击,尤其是利用固件文件系统进行的攻击具有隐蔽性强、权限高的特点。鉴于UEFI潜在的安全威胁不断增多,对其安全机制研究刻不容缓。UEFI规范中加入了关于可信启动、数字签名等安全服务的定义,这些定义基于可信计算原理,完成UEFI固件的完整性校验和身份认证等功能。但是这些安全机制主要是针对第三方程序的检测,并不能有效阻止攻击者利用固件文件系统对UEFI固件进行攻击。由于UEFI相关文档的公开,固件文件系统的细节信息很容易被攻击者得到。攻击者利用这些信息对固件中的文件进行添加或修改,从而绕过固件安全机制对第三方驱动和应用程序的检查,直接对UEFI固件中的代码进行破坏和利用。本文将UEFI的启动阶段与可信计算的思想相结合,通过建立UEFI启动过程中的信任链和基于固件文件的可信度量机制,提出基于固件文件系统的UEFI安全方案,解决了目前攻击者利用固件文件系统对UEFI固件进行攻击的问题。本文依据UEFI Framework架构对UEFI启动过程阶段的划分,将前两个启动阶段作为可信度量根,其它阶段作为信任链的节点,从而在各阶段之间建立一条信任链。各阶段在进行控制权传递时,必须对下一阶段进行可信度量,若下一阶段可信则传递控制权,并依次将可信度量关系传递下去。UEFI安全方案采用完整性度量机制作为可信度量方法,通过对固件文件进行完整性度量,来确认启动各阶段的可信性,从而保证整个UEFI启动过程的可信性。根据UEFI安全方案,本文设计并实现基于UEFI驱动的固件安全模块。该模块使用UEFI驱动程序来虚拟TPM(Trusted Platform Module)芯片,主要由主模块、Hash算法引擎、通信单元及存储模块组成。固件安全模块是对安全方案功能的实现,存储在UEFI固件中,在UEFI启动过程中运行并保护UEFI启动。本文最后通过实验对固件安全模块进行测试,验证了固件安全方案的可行性及优缺点。
【关键词】：统一可扩展固件接口 固件文件系统 可信计算 信任链 安全模块
【学位授予单位】：电子科技大学
【学位级别】：硕士
【学位授予年份】：2016
【分类号】：TP334.7
【目录】：

• 摘要5-6
• ABSTRACT6-11
• 第一章 绪论11-17
• 1.1 课题研究背景及意义11-13
• 1.1.1 研究背景11-12
• 1.1.2 研究意义12-13
• 1.2 国内外研究现状13-15
• 1.2.1 安全威胁研究现状13-14
• 1.2.2 安全机制研究现状14-15
• 1.3 论文主要研究内容15
• 1.4 论文组织结构15-17
• 第二章 UEFI规范及可信计算技术研究17-32
• 2.1 UEFI基本框架17-24
• 2.1.1 UEFI系统服务18-19
• 2.1.2 UEFI驱动模型19-22
• 2.1.2.1 UEFI驱动模型简介20-22
• 2.1.2.2 UEFI驱动分类22
• 2.1.3 UEFI映像文件22-24
• 2.2 UEFI Framework结构24-26
• 2.3 UEFI整体安全性分析26-28
• 2.3.1 UEFI平台中存在的安全隐患26-27
• 2.3.2 基于Framework的UEFI启动阶段安全性分析27-28
• 2.4 可信计算技术28-31
• 2.4.1 可信计算理论简介28-29
• 2.4.2 信任链技术29-30
• 2.4.3 可信度量机制30-31
• 2.5 本章小结31-32
• 第三章 UEFI固件文件系统研究与分析32-44
• 3.1 固件文件系统结构32-33
• 3.2 固件设备33-34
• 3.3 固件卷34-35
• 3.4 固件文件35-39
• 3.4.1 固件文件类型35-37
• 3.4.2 固件文件格式37-39
• 3.5 区块文件与EFI文件39-42
• 3.5.1 区块文件39-40
• 3.5.2 EFI文件40-42
• 3.5.2.1 EFI文件格式40-41
• 3.5.2.2 EFI文件生成41-42
• 3.6 文件遍历和访问42
• 3.7 本章小结42-44
• 第四章 基于固件文件系统的UEFI安全威胁研究44-53
• 4.1 固件文件系统安全性分析44-45
• 4.2 固件文件系统初始化45-47
• 4.3 基于固件文件系统的攻击方法研究47-51
• 4.3.1 UEFI Bootkit研究47-50
• 4.3.1.1 Bootkit工作原理分析47-49
• 4.3.1.2 Bootkit代码启动方法49-50
• 4.3.2 基于FFS文件的攻击方法50-51
• 4.4 本章小结51-53
• 第五章 基于固件文件系统的UEFI安全方案研究53-62
• 5.1 基于固件文件的可信计算研究53-54
• 5.2 UEFI的信任链设计54-56
• 5.2.1 UEFI信任链的构建基础54
• 5.2.2 可信度量根的确立54-55
• 5.2.3 基于UEFI启动过程的信任链设计55-56
• 5.3 可信度量方法56-57
• 5.4 UEFI固件安全方案设计与分析57-61
• 5.4.1 固件安全方案设计57-60
• 5.4.2 固件安全方案分析60-61
• 5.5 本章小结61-62
• 第六章 UEFI固件安全方案的实现与验证62-75
• 6.1 EDKII开发环境介绍62-63
• 6.2 固件安全模块设计63-67
• 6.2.1 主模块63-65
• 6.2.2 通信单元65-66
• 6.2.3 Hash算法引擎66
• 6.2.4 存储模块66-67
• 6.3 固件安全模块实现67-69
• 6.4 安全方案验证及结果分析69-74
• 6.4.1 实验环境及工具69-70
• 6.4.2 验证方法70
• 6.4.3 验证结果及分析70-74
• 6.4.3.1 整体功能验证及分析70-74
• 6.4.3.2 对启动过程影响验证及分析74
• 6.5 本章小结74-75
• 第七章 总结与展望75-77
• 致谢77-78
• 参考文献78-81

【相似文献】

中国期刊全文数据库 前10条

1 徐莺,李永宁,曾曦;网络视频监控系统中文件系统的设计与实现[J];现代计算机(专业版);2002年12期

2 刘可嘉;梁阿磊;;实现实时FAT文件系统的一种简单方法[J];计算机工程与应用;2008年16期

3 卢萍;陈进才;;一种基于对象存储的文件系统的设计[J];计算机科学;2008年10期

4 李涛;梁洪亮;;具有事件恢复功能的文件系统的研究与实现[J];计算机科学;2009年03期

5 冯新国，徐秋元;基于文件系统的封锁机制[J];计算机工程与应用;1995年05期

6 高天真,卞立平;三种文件系统之剖析[J];市场与电脑;1998年12期

7 符碧丹,倪晓明;群集环境下的直接文件系统访问[J];四川通信技术;2001年02期

8 刺猬;文件系统全面介绍[J];电脑爱好者;2001年09期

9 ;文件、文件系统、文件库[J];电子科技文摘;2001年09期

10 曲东才;光盘文件系统标准[J];电脑技术;2002年09期

中国重要会议论文全文数据库 前10条

1 谢菲;钱曙霞;;并行文件系统技术在新华社奥运报道系统中的实现及应用[A];中国新闻技术工作者联合会2008年学术年会论文集（上）[C];2008年

2 冯新国;陶志成;;基于文件系统的封锁机制[A];第十一届全国数据库学术会议论文集[C];1993年

3 仇建伟;郑红;;适用于视频文件系统的有效调度方法[A];中国图象图形科学技术新进展——第九届全国图象图形科技大会论文集[C];1998年

4 王永瑞;熊剑平;;基于CF卡的特定FAT文件系统的软硬件设计与实现[A];2008中国仪器仪表与测控技术进展大会论文集（Ⅲ）[C];2008年

5 高杰;陆应华;陈世文;;基于文件过滤驱动的信息保护研究[A];教育部中南地区高等学校电子电气基础课教学研究会第二十届学术年会会议论文集（下册）[C];2010年

6 卢雪山;戴华东;颜跃进;;Ext文件系统检测和修复工具的研究与改进[A];2010年第16届全国信息存储技术大会（IST2010）论文集[C];2010年

7 郑思;杨尹;;Checksum技术在文件系统中应用的研究[A];全国第20届计算机技术与应用学术会议(CACIS·2009)暨全国第1届安全关键技术与应用学术会议论文集（下册）[C];2009年

8 汪黎;章文嵩;杨学军;;Cfslight:一个新型的轻量级对象存储集群文件系统[A];2006年全国开放式分布与并行计算学术会议论文集（一）[C];2006年

9 魏环宇;阳国贵;;一个基于数据库的文件系统(XFS)的设计与实现[A];2008通信理论与技术新进展——第十三届全国青年通信学术会议论文集（上）[C];2008年

10 沈志荣;薛矛;薛巍;舒继武;;Corslet安全文件系统的分析和优化[A];2010年第16届全国信息存储技术大会（IST2010）论文集[C];2010年

中国重要报纸全文数据库 前10条

1 谷治平;文件系统———结合实际重在内容[N];中国医药报;2003年

2 江苏 王志军;磁盘的文件系统[N];电脑报;2001年

3 张群英;超级文件系统规模再突破[N];网络世界;2006年

4 ;施乐公司推出顶级数码工程文件系统[N];网络世界;2000年

5 凡妮;IBM TotalStorage SAN文件系统实现数据共享[N];电脑商报;2004年

6 ;共享单一文件系统[N];网络世界;2005年

7 黑龙江 马宪廷;玩转文件系统格式转换[N];电脑报;2003年

8 记者 杨婧瀚;管道公司召开电子文件系统启动视频会[N];石油管道报;2007年

9 乐天邋编译;近距离观看Snow Leopard Server[N];计算机世界;2008年

10 ;集群储存技术解决“大”问题[N];计算机世界;2004年

中国博士学位论文全文数据库 前10条

1 陈杰;本地文件系统数据更新模式研究[D];华中科技大学;2014年

2 谈华芳;基于共享对象存储设备的并行文件系统研究[D];中国科学院研究生院（计算技术研究所）;2005年

3 夏鹏;文件系统语义分析技术研究[D];华中科技大学;2011年

4 熊劲;大规模机群文件系统的关键技术研究[D];中国科学院研究生院（计算技术研究所）;2006年

5 刘立坤;海量文件系统元数据查询方法与技术[D];清华大学;2011年

6 涂旭东;基于对象的并行文件系统接口语义扩展研究[D];华中科技大学;2011年

7 孙凝晖;可扩展I/O的研究和参考实现[D];中国科学院研究生院（计算技术研究所）;1999年

8 徐虎;基于SAN的安全单映像Cluster文件系统关键技术的研究[D];国防科学技术大学;2003年

9 常青;瘦型服务器及个人/家庭事务处理应用研究[D];太原理工大学;2011年

10 李庆虎;基于P2P架构的网格文件系统研究[D];清华大学;2004年

中国硕士学位论文全文数据库 前10条

1 梁钟丽;基于嵌入式平台的文件系统研究[D];大连海事大学;2016年

2 李吉乐;Linux文件系统性能优化技术的研究[D];中国石油大学(华东);2014年

3 刘剑;用FPGA实现文件系统及其应用[D];太原理工大学;2013年

4 冯子陵;闪存文件系统UBIFS的分析与优化[D];南京大学;2013年

5 唐洪英;VTOS文件系统形式化设计、实现及验证[D];南京大学;2013年

6 李肇中;基于外内核操作系统的文件系统研究[D];兰州大学;2016年

7 何耀;面向大容量SCM的融合式文件系统[D];江苏大学;2016年

8 张晓宇;面向大规模数据处理的PVFS文件系统改进与应用研究[D];南京大学;2016年

9 李奇阳;FAT文件系统元数据合理性检测的研究[D];北京理工大学;2016年

10 房s，

本文编号：539256