基于UEFI的数字签名接口的设计和实现

发布时间：2017-12-05 06:03

  本文关键词：基于UEFI的数字签名接口的设计和实现

  更多相关文章： 数字签名 UEFI固件 可信计算 系统管理中断

【摘要】：随着互联网技术和计算机加密技术的突飞猛进,数字签名技术已经有非常广泛的用途。目前有一些需要用到底层主板BIOS的数字签名和验证的场合,但在应用层下调用UEFI层的数字签名方法比较困难,设计和实现这样的一种接口有非常重要的意义。本文通过对UEFI和Secure Boot技术的研究,设计和实现了一种基于UEFI的数字签名接口。该接口具有以下特性:首先,该接口的可执行程序处于TCM的可信链上,是可信程序。其次,用户的密钥、证书等信息都被保护,可以保证关键信息的完整性,并防止黑客、恶意程序的篡改。再次,该接口可以对使用者进行身份认证,只授权给可以信任的用户使用。最后,数字签名操作在SMM模式下进行,不依赖于操作系统的相关功能,通过和操作系统运行环境的隔离提高了应用层数字签名接口的安全性。本文提出的接口主要分为三个模块,即密钥管理模块、功能模块和用户授权模块。本文使用SMM驱动解决了在操作系统应用层对底层UEFI数字签名功能的调用问题,运行在操作系统环境下的应用可以通过SMI请求来调用底层的相关功能。文中实现了一个简单的密钥数据库,使用不可迁移的密钥加密密钥来保护用户密钥的安全。用户授权API的实现则是通过Windows本地服务,结合证书验证、口令等方式成功实现了接口的用户授权模块。由于签名操作的运行环境和操作系统隔离,使得接口可以有很多用途,可以用在一些对安全要求比较高的签名和验证场合中,比如刷新BIOS过程中,可以用来对BIOS固件进行签名,也可以对BIOS固件进行验证。接口还可以用在对应用程序运行的控制、用于数字版权保护等。
【学位授予单位】：北京工业大学
【学位级别】：硕士
【学位授予年份】：2015
【分类号】：TN918.91
，

本文编号：1253785