基于EFI固件文件系統(tǒng)的平臺安全策略研究與實現(xiàn).pdf

1、上海交通大學碩士學位論文基于EFI固件文件系統(tǒng)的平臺安全策略研究與實現(xiàn)碩士研究生：黃海彬?qū)W號：1082102046導師：王琴副教授副導師：申請學位：工程碩士學科：集成電路所在單位：微電子學院答辯日期：2010年6月授予學位單位：上海交通大學I基于EFI固件文件系統(tǒng)的平臺安全策略研究與實現(xiàn)摘要作為傳統(tǒng)BIOS的革新者，EFI具有明顯的優(yōu)勢：C語言編寫，模塊化開發(fā)，驅(qū)動開發(fā)模型，固件文件系統(tǒng)等等高級特性。EFI具有強大的開放性和靈活性，支持

2、從各種外設(shè)中加載EFI文件，如硬盤，U盤，CDROM，或是遠程端的網(wǎng)絡(luò)設(shè)備。這使得病毒，蠕蟲，木馬等嚴重威脅操作系統(tǒng)的安全問題將會延伸到EFIBIOS層面。如何在EFI架構(gòu)下構(gòu)建安全可信的運行環(huán)境將是未來EFIBIOS領(lǐng)域研究的重點和熱點。本論文從可信計算入手，提出了EFI可信計算模型，并結(jié)合EFI固件文件系統(tǒng)，提出在EFI各個階段建立可信鏈的安全方案。其核心思想是對存儲在EFI固件文件系統(tǒng)中的EFI文件進行完整性校驗和完整性測量。完整

3、性校驗是指對EFI文件進行數(shù)字簽名技術(shù)的應用。數(shù)字簽名技術(shù)使得EFI文件具有防篡改性，從而防止惡意程序入侵EFI系統(tǒng)。完整性測量是指對系統(tǒng)中加載的EFI文件實體進行散列運算并記錄在TPM芯片中的PCR寄存器中，這些記錄可以被用作密封存儲，認證，甚至是重新構(gòu)造EFI系統(tǒng)整個啟動過程。數(shù)字簽名技術(shù)和散列運算都需要密碼系統(tǒng)做支撐。因此本論文深入研究了EFI密碼系統(tǒng)的實現(xiàn)，并結(jié)合EFI文件格式，詳細介紹了EFI文件數(shù)字簽名和散列運算的實現(xiàn)。本論