24小時(shí)論文定制熱線(xiàn)
24小時(shí)論文定制熱線(xiàn)
摘 要
隨著(zhù)科學(xué)技術(shù)的快速發(fā)展,信息化已經(jīng)成為當今時(shí)代發(fā)展的大趨勢,信息化 為人們提供方便快捷的同時(shí)其安全性也面臨著(zhù)新的挑戰,《信息安全技術(shù) 網(wǎng)絡(luò ) 安全等級保護基本要求》國家標準中提出了重要系統需提供可信驗證的要求,目 前國家重要信息系統都已經(jīng)按照這一標準實(shí)行了等級保護。在云計算、數據中心 等環(huán)境,服務(wù)器操作系統的安裝都是通過(guò) PXE 技術(shù)完成的,相比于傳統的操作 系統啟動(dòng)方式,該方式可以同時(shí)進(jìn)行多臺計算機操作系統的部署安裝。無(wú)論是何 種操作系統啟動(dòng)方式,都離不開(kāi)底層固件的支持,UEFI 是目前最主流的固件類(lèi) 型,作為 BIOS 的替代者,UEFI 在開(kāi)發(fā)效率及可擴展性方面明顯增強,但也存 在新的安全隱患。可信啟動(dòng)作為可信驗證的基礎,其安全機制一直是人們研究的 熱點(diǎn),目前基于 UEFI 的計算機在單機環(huán)境的可信啟動(dòng)已有完善的解決方案,而 基于網(wǎng)絡(luò )的計算機遠程啟動(dòng)的安全方案仍有待研究。因此,研究基于 UEFI 的計 算機遠程可信啟動(dòng)具有重要的意義。本文主要工作如下:
(1)針對 UEFI 體系計算機遠程啟動(dòng)過(guò)程中存在的安全威脅,通過(guò)對 UEFI 系統啟動(dòng)各個(gè)階段以及 PXE 技術(shù)的研究,結合可信計算理論提出了基于 UEFI 的計算機遠程可信啟動(dòng)的總體框架,實(shí)現了計算機從上電、平臺初始化直至遠程 加載操作系統過(guò)程中的安全可信。
(2)針對目前 UEFI 體系計算機存在的安全問(wèn)題,本文通過(guò)研究固件系統的 具體實(shí)現以及攻擊者對文件系統的攻擊原理,以 UEFI 系統啟動(dòng)后的第一階段和 自定義的驅動(dòng)程序模塊作為可信根,實(shí)現了對固件系統的安全度量機制,以此確 保在 PXE 啟動(dòng)之前客戶(hù)端固件文件系統的安全性。
(3)針對 PXE 技術(shù)中服務(wù)端和客戶(hù)端在網(wǎng)絡(luò )傳輸文件過(guò)程存在的安全問(wèn)題, 本文通過(guò)對 UEFI 網(wǎng)絡(luò )協(xié)議棧分析,在 UEFI 系統層面通過(guò)數字簽名技術(shù)保障了 PXE 服務(wù)端所傳文件的安全性。同時(shí),在 PXE 服務(wù)端和客戶(hù)端間建立通訊通道, 解決了客戶(hù)端無(wú)法向 PXE 服務(wù)端報告操作系統啟動(dòng)狀況的問(wèn)題。
最后,設計攻擊方法對基于安全方案的計算機在遠程啟動(dòng)過(guò)程中的安全性進(jìn) 行了測試,實(shí)驗結果表明,在功能上,基于安全方案的計算機在遠程啟動(dòng)過(guò)程中 的安全性大大增強;在性能上,由于在啟動(dòng)過(guò)程中引入了驅動(dòng)程序模塊,導致開(kāi) 機時(shí)間平均增加了 39%.因此,安全方案在提高了安全性的同時(shí)也在一定程度上 降低了計算機的啟動(dòng)效率。
關(guān)鍵詞:UEFI;操作系統;PXE;可信計算
Abstract
With the rapid development of science and technology, informatization has become a major trend in the current era. Informatization provides people with convenience and speed, and its security is also facing new challenges. The national standard "Information Security Technology-Baseline for Classified Protection of Cybersecurity" puts forward the requirement that important systems need to provide credible verification. Currently, many important national-level information systems have implemented grade protection in accordance with this standard. In environments such as cloud computing and data centers, the installation of server operating systems is done through PXE technology. Compared with the traditional operating system startup method, this method can simultaneously deploy and install multiple computer operating systems. No matter what kind of operating system startup method is, it is inseparable from the support of the underlying firmware. UEFI is currently the most mainstream firmware type. As a substitute for BIOS, UEFI has been significantly enhanced in development efficiency and scalability, but there are also new security risks. Trusted startup as the basis of trusted verification, its security mechanism has always been a hotspot of people's research. At present, there is a sophisticated solution for the trusted startup of UEFI-based computers in a single-machine environment, and the security solution for remote startup of network-based computers is still to be studied. Therefore, it is of great significance to study the remote trusted startup of computers based on UEFI. The main work of this article is as follows:
(1) Aiming at the security threats existing in the remote boot process of the UEFI system computer, through the research of various stages of UEFI system startup and PXE technology, combined with the theory of trusted computing, the overall framework of UEFI-based computer remote trusted boot is proposed, safe and reliable power-on and platform initialization to remote loading of the operating system is achieved.
(2) In view of the current security problems of the UEFI system computer, by studying the specific implementation of the firmware system and the attacker's principle of attacking the file system, this study takes the first stage after the UEFI system startup and the custom driver module as the root of trust, a security measurement mechanism for the firmware system is introduced to ensure the security of the client firmware file system before PXE starts.
(3) In view of the security problems existing in the process of file transmission between the server and the client in the PXE technology, this study analyzes the UEFI network protocol stack and ensures the security of the file transmission by the PXE server at the UEFI system level through digital signature technology. Meanwhile, a correspondence way is built between the PXE server and the client to solve the problem that the client cannot report the operating system startup status to the PXE server.
Finally, an attack is designed to test the security of the computer based on the security scheme during the remote startup process, the experimental results show that, in terms of function, the security of the computer based on the security scheme during the remote startup process is greatly enhanced; in terms of performance, the boot time has increased by an average of 39% since the driver module was introduced during the startup process. Therefore, the security scheme not only improves the security but also reduces the startup efficiency of the computer to a certain extent.
Keywords: UEFI; operating system; PXE; trusted computing
目 錄
第 1 章 緒論
1.1 研究背景及意義
信息作為人類(lèi)社會(huì )的重要戰略資源,近年來(lái)隨著(zhù)信息技術(shù)的快速發(fā)展,信息 安全問(wèn)題屢見(jiàn)不鮮。目前,國家重要信息系統都已經(jīng)按照等保 2.0 的要求實(shí)行等 級保護。在云計算、數據中心等環(huán)境,服務(wù)器的安裝部署都是采用 PXE 方式完 成的,PXE 方式的最大優(yōu)點(diǎn)是使得計算機可以擺脫已經(jīng)安裝的操作系統或者硬 盤(pán)等存儲設備而啟動(dòng),并且可以實(shí)現操作系統的批量安裝部署[1].PXE 屬于 Client/Server 的網(wǎng)絡(luò )工作模式[2],客戶(hù)端是欲通過(guò)網(wǎng)絡(luò )啟動(dòng)計算機的一端,服務(wù) 端負責提供引導程序文件和操作系統內核文件。由于 PXE 技術(shù)的實(shí)現是在網(wǎng)絡(luò ) 環(huán)境中完成的,未經(jīng)驗證的設備也可以預先接入網(wǎng)絡(luò ),并且客戶(hù)端在遠程啟動(dòng)過(guò) 程中并未對 PXE 服務(wù)端的身份進(jìn)行驗證,所以相比于傳統的操作系統啟動(dòng)方式, 其安全性面臨巨大的挑戰。
為了完成計算機遠程啟動(dòng)中的可信驗證,需要研究計 算機自身固件系統以及系統啟動(dòng)相關(guān)文件在網(wǎng)絡(luò )傳輸過(guò)程中的安全問(wèn)題。 計算機遠程啟動(dòng)操作系統的安全因素涉及方方面面,不僅與 PXE 服務(wù)端有 關(guān),而且也與客戶(hù)端計算機固件系統有關(guān)。固件是計算機中重要的底層基礎系統, 通常以軟件的方式存儲于芯片當中,常見(jiàn)用途包括:對計算機硬件設備進(jìn)行配置、 作為操作系統內核的組成成員為操作系統提供基礎服務(wù)[3]等。UEFI 作為現階段 最流行的固件類(lèi)型,是由 UEFI 論壇推出的一種標準[4],許多公司基于 UEFI 標 準實(shí)現具體的代碼結構,如 Phoenix 公司的開(kāi)發(fā)項目 SecureCore Tiano 和 Intel 公 司的 TianoCore 等。UEFI 之所以能在短時(shí)間內替換傳統的 BIOS[5],歸結于 UEFI 設計中的幾大優(yōu)勢:首先 UEFI 基于 C 語(yǔ)言開(kāi)發(fā)編寫(xiě),開(kāi)發(fā)效率遠遠高于傳統的 BIOS[6];其次對于硬件設備的初始化,UEFI 采用驅動(dòng)的方式實(shí)現,將各個(gè)驅動(dòng) 封裝成獨立的模塊[7],在系統啟動(dòng)時(shí)由實(shí)際需要完成加載;另外,UEFI 支持異 步操作,從而使 CPU 的利用率大大增加,減少了開(kāi)機進(jìn)入操作系統的時(shí)間。但 是 UEFI 在設計之初,開(kāi)發(fā)者著(zhù)重考慮底層固件的開(kāi)發(fā)效率和功能擴展,而忽略 了其自身的安全性[8][9],攻擊者針對 UEFI 體系計算機的攻擊從未停止。
2018 年, ESET 專(zhuān)家宣布他們發(fā)現首個(gè)在野外使用的 UEFI rootkit,UEFI rootkit 使得黑客 植入的惡意軟件可以長(cháng)期存在于目標計算機,即使通過(guò)對硬盤(pán)驅動(dòng)器格式化也不 能清除惡意軟件。這款?lèi)阂廛浖Q(chēng)作 Lojax,研究人員發(fā)現該 UEFI rootkit 是通 過(guò)捆綁能夠"修補"計算機系統固件的工具,以便將 Lojax 惡意軟件安裝在目標系統的底層深處,感染此類(lèi)惡意軟件的計算機,只有使用主板對應的干凈固件映 像重新刷寫(xiě) Flash 芯片才能徹底清除 rootkit[10]. 可信計算作為信息系統的一種安全技術(shù),其目的在于保障信息系統的可預期 性以及對計算過(guò)程進(jìn)行測量、控制,國家標準《信息安全技術(shù) 信息系統安全等 級保護基本要求》中已經(jīng)明確將可信計算作為等級保護評測工作中的重要依據, 近年來(lái)可信計算技術(shù)已經(jīng)在信息安全領(lǐng)域得到了廣泛應用。
基于可信計算技術(shù), UEFI 體系計算機在單機環(huán)境的可信啟動(dòng)已經(jīng)有完善的解決方案并且在商業(yè)領(lǐng)域 中實(shí)際應用,安全方案大多是以可信平臺模塊 TPM、可信密碼模塊 TCM[11]及可 信平臺控制模塊 TPCM 等模塊作為信任根,結合信任鏈機制提高了計算機系統 的安全性。 目前國內外對于 UEFI 體系計算機的安全啟動(dòng)研究大部分是基于操作系統從 本地存儲媒介啟動(dòng)的方式,基于網(wǎng)絡(luò )環(huán)境的計算機遠程啟動(dòng)的安全方案仍有待進(jìn) 一步研究。PXE 技術(shù)作為網(wǎng)絡(luò )啟動(dòng)操作系統的重要手段,由于其設計時(shí)是以系 統在遠程啟動(dòng)過(guò)程中的簡(jiǎn)單、方便性為目的,而未考慮網(wǎng)絡(luò )環(huán)境中文件的安全傳 輸問(wèn)題。另一方面,UEFI 本身存在的漏洞導致 rootkit 惡意軟件在遠程啟動(dòng)操作 系統之前就可以藏匿于計算機中,所以為了能夠實(shí)現計算機的遠程可信啟動(dòng),首 先要確保計算機加載操作系統前各個(gè)階段的安全,其次是保證 PXE 服務(wù)端傳輸 的啟動(dòng)相關(guān)文件的完整性,故有必要針對這兩部分研究黑客可能的攻擊的方式以 設計相應的安全方案。本文針對 UEFI 體系計算機遠程啟動(dòng)過(guò)程中存在的安全威 脅,通過(guò)對 PXE 技術(shù)以及 UEFI 系統啟動(dòng)過(guò)程的研究,結合可信計算技術(shù)提出 了安全方案,實(shí)現了計算機從上電、平臺初始化直至遠程加載操作系統開(kāi)機過(guò)程 中的安全可信,對構建基于 UEFI 的計算機遠程啟動(dòng)操作系統的安全體系具有重 要意義。
1.2 國內外研究現狀
基于 UEFI 的計算機遠程啟動(dòng)以 PXE 服務(wù)端和客戶(hù)端的網(wǎng)絡(luò )通信為界可以劃 分為兩大階段,第一階段是計算機上電之后進(jìn)行軟、硬件環(huán)境的初始化[12],第二 階段是計算機從 PXE 服務(wù)端獲取操作系統啟動(dòng)相關(guān)文件。針對 UEFI 系統啟動(dòng) 階段面臨的安全威脅,國外主要是通過(guò)在計算機主板上嵌入可信構建模塊 (Trusted Building Block,TBB)[13],TBB 是作為可信計算機的信任根而存在, 其包含可信平臺模塊 TPM、可信度量根核心 CRTM[14]以及它們與主板其他部件 的連接。可信計算機的主板結構如圖 1-1 所示,計算機上電以后,CRTM 是首先 被執行的指令,通過(guò)和 TPM 的配合對計算機硬件、操作系統及應用程序等軟硬件進(jìn)行完整性度量,TPM 在此過(guò)程中提供可信報告和可信存儲,基于 TBB 和信 任鏈機制,保障了計算機的可信啟動(dòng)。
目前我國對于計算機可信啟動(dòng)的研究大部分是基于 TCM、TPCM 等安全芯 片對計算機啟動(dòng)過(guò)程中的硬件、軟件進(jìn)行度量,以存儲在安全芯片上的可度量模 塊為可信根,建立了從安全芯片到 BIOS 再到加載操作系統過(guò)程中的信任鏈。文 獻[15]中,作者提出了一種基于 BMC(Baseboard Management Controller,基板 管理控制器)的可信度量方案,BMC 是一種特殊芯片,通常是安裝在服務(wù)器中 以便對系統的一些硬件資源進(jìn)行監控。其解決方案是當計算機上電之后,首先由 引導程序 U_Boot 對 BMC 內核進(jìn)行完整性度量,度量通過(guò)之后 BMC 系統啟動(dòng), 之后以BMC作為整個(gè)系統的信任根對BIOS代碼進(jìn)行度量,根據度量結果對CPU 的上電進(jìn)行管理以便控制系統的啟動(dòng)。
文獻[16]中,作者提出一種基于 USB Key 的 UEFI 系統安全啟動(dòng)設計方案, 為了解決 UEFI 系統中底層網(wǎng)絡(luò )環(huán)境和系統資源訪(fǎng)問(wèn)的安全問(wèn)題,其提出在 UEFI 系統的驅動(dòng)程序加載階段完成 USB Key 驅動(dòng)的加載,并將計算機中一部分關(guān)鍵 數據從固件文件中抽出,儲存到加密的 USB Key 設備中,這意味著(zhù)計算機在啟 動(dòng)過(guò)程中不能獨立開(kāi)機,必須依賴(lài)此 USB Key,由于 USB Key 是經(jīng)過(guò)加密的, 所以攻擊者在不知道 PIN 碼的前提下即使擁有此 UEFI 的 USB Key 也無(wú)法開(kāi)機,從而在固件層面完成對計算機啟動(dòng)階段的保護。文獻[17]針對 UEFI 計算機啟動(dòng) 過(guò)程中存在操作系統加載器被篡改致使系統被劫持的漏洞,提出將操作系統加載 器文件從硬盤(pán)轉存到 USB Key 并加密,在計算機啟動(dòng)階段通過(guò) PIN 碼并結合動(dòng) 態(tài)口令令牌完成用戶(hù)身份認證,在驗證通過(guò)之后才將操作系統加載器文件加載至 內存進(jìn)行系統啟動(dòng),從而實(shí)現了計算機啟動(dòng)過(guò)程中的多層安全防護方案。
但是以 上兩種安全方案都是針對計算機從本地啟動(dòng)操作系統的場(chǎng)景,并未給出計算機遠 程啟動(dòng)中的安全方案。 PXE 技術(shù)的實(shí)現機制是通過(guò)在服務(wù)端搭建 DHCP 服務(wù)為客戶(hù)端分配 IP 地址, 然后基于 TFTP 服務(wù)將啟動(dòng)文件以及操作系統內核文件傳輸到客戶(hù)端[18].文獻[19] 提出一種針對 PXE 遠程啟動(dòng)的攻擊方法,其表示如果攻擊者事先利用 DDOS[20][21] 之類(lèi)的手段向原本正常工作的服務(wù)器發(fā)起攻擊,那么就會(huì )導致服務(wù)端無(wú)法提供正 常服務(wù),然后攻擊者在網(wǎng)絡(luò )中放置自己的 DHCP 服務(wù)器為客戶(hù)端提供 IP 地址, 繼而客戶(hù)端在啟動(dòng)的時(shí)候從攻擊者的計算機中下載啟動(dòng)文件及內核文件,這樣攻 擊者就可以很方便的將惡意程序植入客戶(hù)端計算機中以完成盜取用戶(hù)信息等隱 私數據的目的。
文獻[22]中,作者提出一種計算機遠程啟動(dòng)中的設備認證機制,為了防止 PXE 服務(wù)端被攻擊者攻擊,其提出遠程啟動(dòng)時(shí)首先要對客戶(hù)端的身份進(jìn)行認證,實(shí)現 方式是通過(guò)獨立的授權系統對客戶(hù)端設備信息進(jìn)行驗證,如果是未識別的設備信 息,授權系統將拒絕客戶(hù)端與 PXE 服務(wù)端進(jìn)行連接;如果認證合法,將授權信 息發(fā)往客戶(hù)端,同時(shí)也會(huì )將客戶(hù)端設備標識和相應的授權信息發(fā)往 PXE 服務(wù)端 驗證系統。之后客戶(hù)端基于授權系統授予的授權信息與服務(wù)端進(jìn)行連接,當客戶(hù) 端的數據包發(fā)往服務(wù)端時(shí),服務(wù)端過(guò)濾系統提取數據包中的授權信息并與驗證系 統中的授權信息比對以判斷是否是經(jīng)過(guò)授權系統認證的客戶(hù)端,如果不一致,則 丟棄數據包;如果一致,則開(kāi)始為該客戶(hù)端提供服務(wù)。通過(guò)此機制阻止了未經(jīng)過(guò) 認證的客戶(hù)端遠程連接服務(wù)端,但是該方案中只考慮了攻擊者通過(guò)窮舉攻擊導致 PXE 服務(wù)端癱瘓而無(wú)法為客戶(hù)端提供服務(wù)的場(chǎng)景,然而,因為客戶(hù)端與 DHCP 服務(wù)器的連接具有不確定性,所以即使正常的 PXE 服務(wù)端并未癱瘓,客戶(hù)端遠 程啟動(dòng)時(shí)仍有可能是選擇攻擊者建立的 PXE 服務(wù)端啟動(dòng)操作系統。
1.3 主要研究?jì)热?/strong>
鑒于 PXE 網(wǎng)絡(luò )啟動(dòng)在操作系統批量部署安裝中的優(yōu)勢,確保 PXE 遠程啟動(dòng) 操作系統過(guò)程中的安全性變得格外重要,而 UEFI 是目前最為流行的操作系統引 導模式,因此研究基于 UEFI 的計算機遠程啟動(dòng)過(guò)程中的安全機制具有重要意義。
本文主要研究?jì)热莅ǎ?/p>
(1)針對 UEFI 體系計算機遠程啟動(dòng)過(guò)程中存在的安全威脅,通過(guò)分析 UEFI 系統框架以及 PXE 技術(shù),結合可信計算理論提出了基于 UEFI 的計算機遠程安 全啟動(dòng)的總體框架,研究解決計算機從上電、平臺初始化直至遠程加載操作系統 過(guò)程中的安全可信。
(2)針對當前 UEFI 固件文件系統存在的安全問(wèn)題,通過(guò)研究固件系統的具 體實(shí)現以及攻擊者對文件系統的攻擊原理,研究以驅動(dòng)程序模塊作為信任源頭的 安全度量機制,以此確保在 PXE 啟動(dòng)之前客戶(hù)端固件文件系統的安全性。
(3)針對 PXE 服務(wù)端和客戶(hù)端在網(wǎng)絡(luò )傳輸文件過(guò)程存在的安全問(wèn)題,本文 通過(guò)對UEFI網(wǎng)絡(luò )協(xié)議棧分析,研究在UEFI系統層面基于數字簽名技術(shù)保障PXE 服務(wù)端所傳輸文件的安全性,并且研究通訊方式解決客戶(hù)端無(wú)法向 PXE 服務(wù)端 報告操作系統啟動(dòng)狀況的問(wèn)題。
(4)依據安全方案,在申威固件中嵌入可信驗證模塊并且對 PXE 服務(wù)端進(jìn) 行設計,同時(shí)模擬攻擊者的攻擊方式對系統在遠程啟動(dòng)過(guò)程中的安全性進(jìn)行測試, 最后對添加了可信驗證模塊的計算機與基于 TPM 安全芯片的計算機在啟動(dòng)過(guò)程 中的性能進(jìn)行了對比分析。
1.4 本文組織結構
全文結構一共分為六大部分,各部分內容如下:
第一章,緒論。介紹了本文的研究背景、意義,分析了目前的國內外研究現 狀,并且確定了本文的主要研究點(diǎn)。
第二章,相關(guān)技術(shù)介紹。首先對 UEFI 系統的層次結構和網(wǎng)絡(luò )管理進(jìn)行了介 紹,并對 UEFI 基礎架構進(jìn)行分析,然后描述了遠程啟動(dòng)中的 PXE 技術(shù)原理, 最后介紹了可信計算的發(fā)展及本文所用到的相關(guān)技術(shù)。
第三章,基于 UEFI 的計算機遠程可信啟動(dòng)架構。首先對 UEFI 體系計算機 遠程啟動(dòng)過(guò)程中安全需求進(jìn)行分析,并對系統啟動(dòng)時(shí)的度量過(guò)程進(jìn)行了階段劃分, 然后結合可信計算理論確立了總體設計架構,最后概述了服務(wù)端模塊和客戶(hù)端可 信驗證模塊中的各個(gè)子模塊及其調度關(guān)系。
第四章,基于 UEFI 的計算機遠程可信啟動(dòng)詳細設計。首先詳述了 PXE 服務(wù) 端模塊,接著(zhù)給出客戶(hù)端可信驗證模塊中各個(gè)子模塊的具體設計,最后基于可信 驗證模塊對計算機遠程啟動(dòng)中各個(gè)階段的度量設計進(jìn)行了詳細介紹。
第五章,遠程可信啟動(dòng)方案實(shí)現及測試。根據系統安全方案設計,介紹了項 目中各個(gè)模塊的實(shí)現方法及實(shí)驗開(kāi)發(fā)環(huán)境,通過(guò)實(shí)驗對計算機從上電到遠程啟動(dòng)操作系統的安全性進(jìn)行了測試以及分析。 總結與展望。對本文所做的工作進(jìn)行了總結,分析了安全方案的不足之處, 并提出了下一步的研究方向。
第 2 章 相關(guān)技術(shù)介紹
2.1 UEFI 概述
2.1.1 UEFI 層次結構
2.1.2 UEFI 網(wǎng)絡(luò )管理
2.2 UEFI 基礎架構
2.2.1 系統表
2.2.2 啟動(dòng)服務(wù)和運行時(shí)服務(wù)
2.2.3 句柄數據庫
2.3 PXE 技術(shù)
2.4 可信計算
2.4.1 可信計算發(fā)展
2.4.2 可信計算技術(shù)
2.5 本章小結
第 3 章 基于 UEFI 的計算機遠程可信啟動(dòng)總體架構
3.1 安全需求分析
3.1.1 PXE 技術(shù)分析
3.1.2 客戶(hù)端遠程啟動(dòng)分析
3.2 度量階段劃分
3.2.1 PEI 階段
3.2.2 DXE 階段
3.2.3 BDS 階段
3.3 總體設計架構
3.4 功能模塊
3.5 本章小結
第 4 章 基于 UEFI 的計算機遠程可信啟動(dòng)詳細設計
4.1 PXE 服務(wù)端模塊設計
4.1.1 數字摘要生成模塊
4.1.2 啟動(dòng)文件封裝模塊
4.2 客戶(hù)端可信驗證模塊設計
4.2.1 哈希模塊
4.2.2 基準模塊
4.2.3 度量模塊
4.2.4 日志模塊
4.2.5 通訊模塊
4.3 客戶(hù)端啟動(dòng)階段度量設計
4.3.1 PEI 階段設計
4.3.2 DXE 階段設計
4.3.3 BDS 階段設計
4.4 本章小結
第 5 章 遠程可信啟動(dòng)方案實(shí)現及測試
1 5.1 PXE 服務(wù)端實(shí)現
5.1.1 服務(wù)端構建
5.1.2 基礎服務(wù)配置
5.1.3 簽名模塊的實(shí)現
5.2 客戶(hù)端可信驗證模塊實(shí)現
5.3 測試與分析
5.3.1 實(shí)驗環(huán)境
5.3.2 測試方法
5.3.3 測試過(guò)程
5.3.4 測試結果及分析
5.3.5 對比試驗
5.4 本章小結
總結和展望
全文總結
PXE 作為一種網(wǎng)絡(luò )啟動(dòng)操作系統的技術(shù),這種方式不僅使得計算機可以擺脫 已安裝的操作系統或者本地存儲設備而啟動(dòng),而且可以實(shí)現操作系統的批量安裝 部署,故在數據中心、企業(yè)中應用廣泛。但是由于網(wǎng)絡(luò )環(huán)境中各種設備可以自由 接入,因此此種方式增加了計算機啟動(dòng)的安全風(fēng)險,另一方面,rootkit 病毒在 UEFI 固件層次的攻擊也威脅著(zhù)計算機的啟動(dòng)。目前國內外對于 UEFI 計算機的 安全啟動(dòng)研究大部分針對的是單機環(huán)境,基于此現狀,本文設計了基于 UEFI 的 計算機遠程可信啟動(dòng)框架,在一定程序上保障了計算機在遠程啟動(dòng)中的安全性。 本文的主要工作內容總結如下:
1.對 UEFI 系統啟動(dòng)階段及 PXE 技術(shù)進(jìn)行研究,分析目前基于 UEFI 的計算 機遠程啟動(dòng)過(guò)程中存在的安全威脅,結合可信計算的思想,提出了計算機遠程可 信啟動(dòng)方案。
2.可信驗證模塊設計。可信驗證模塊是 PEI 階段加載的自定義驅動(dòng)程序,通 過(guò)可信驗證模塊模擬 TPM 完成了對系統啟動(dòng)中各個(gè)階段的度量,其中哈希模塊 用于提供度量算法,基準模塊保存待度量信息的基準值,日志模塊負責記錄完整 性度量結果以便分析度量過(guò)程,通訊模塊是客戶(hù)端基于 TCP 協(xié)議在 UEFI 系統層 面與 PXE 服務(wù)端交互的通道,度量模塊負責度量計算機啟動(dòng)中各個(gè)階段的關(guān)鍵 數據,文中對這六個(gè)子模塊進(jìn)行了詳細設計。
3.度量流程設計。整個(gè)度量過(guò)程以客戶(hù)端和服務(wù)端的網(wǎng)絡(luò )通信為界劃分為兩 部分,在 PEI、DXE 階段,可信驗證模塊對這兩個(gè)階段的核心固件文件、驅動(dòng)文 件及系統中關(guān)鍵信息的完整性進(jìn)行驗證,以保證在加載操作系統前 SEC、PEI 階 段的安全性。第二部分是 BDS 階段,可信驗證模塊基于數字簽名技術(shù)驗證服務(wù) 端傳輸的啟動(dòng)相關(guān)文件的完整性。
4.PXE 服務(wù)端模塊設計。為了保證服務(wù)端傳輸文件的安全性,在 PXE 服務(wù)端 設計數字摘要生成模塊和啟動(dòng)文件模塊,完成了對啟動(dòng)相關(guān)文件數字簽名的計算 及文件的封裝。
5.根據提出的計算機遠程可信啟動(dòng)方案,在相關(guān)平臺上進(jìn)行了實(shí)現和測試, 具體包括 PXE 服務(wù)端的搭建及本地客戶(hù)端可信驗證模塊的開(kāi)發(fā),并且通過(guò)模擬 攻擊者在系統啟動(dòng)階段的攻擊方式對計算機從上電到加載操作系統完成的安全性進(jìn)行測試,驗證了遠程可信啟動(dòng)方案的可用性。
展望
本文所設計的是基于 UEFI 的計算機遠程可信啟動(dòng)方案,通過(guò)對 UEFI 系統 啟動(dòng)階段和 PXE 技術(shù)的研究,結合可信計算的思想,完成了計算機從上電、平 臺初始化、遠程獲取操作系統啟動(dòng)文件及內核文件的度量流程,確保了計算機遠 程啟動(dòng)的安全,但是方案設計還存在一些不足之處,需要進(jìn)一步完善: 1.該方案分析了操作系統加載前核心固件文件和驅動(dòng)文件存在被惡意篡改或 添加的可能性,所以對 PEI、DXE 階段的相應文件進(jìn)行了度量,但是由于這些文 件數量相對較多,所以度量過(guò)程繁雜,導致計算機開(kāi)機緩慢,今后需要對這些文 件進(jìn)一步分析,縮小度量范圍。 2.如果在平臺初始化階段加載的核心固件文件、驅動(dòng)文件以及關(guān)鍵數據受到 篡改,系統只能中止計算機的啟動(dòng),而沒(méi)有實(shí)現對這些文件數據的恢復措施。
致 謝
時(shí)光荏苒,歲月蹉跎。三年的研究生生活轉瞬即逝,回顧在北工大三年來(lái)的 學(xué)習和生活,一切都那么地歷歷在目,從剛入學(xué)時(shí)的滿(mǎn)懷期待到現在即將離開(kāi)的 戀戀不舍,在這里,遇到了認真負責的老師、追求進(jìn)步的伙伴,讓我的研究生生 活變得豐富多彩。畢業(yè)之際,我要向一直以來(lái)幫助我的導師、父母、同學(xué)致以最 誠摯的感謝!
首先要向我的研究生導師張建標老師表示真誠感謝,非常幸運能夠成為張老 師科研團隊的一員,通過(guò)張老師的引導,使我對可信計算這個(gè)研究方向有了深入 了解。日常的項目開(kāi)發(fā)中,免不了遇到各種各樣的問(wèn)題,每次都是張老師從各個(gè) 角度幫助分析,使我的工作事半功倍,在最后的撰寫(xiě)論文的過(guò)程中,張老師從章 節安排和框架設計等方面對論文提出了許多意見(jiàn),讓我明白如何將學(xué)術(shù)基礎理論 和課題實(shí)驗緊密結合。再次感謝張老師三年來(lái)的辛勤付出!
同時(shí),我要感謝徐萬(wàn)山、王超、楊帆、黃浩翔、李國棟等師兄在實(shí)驗室科研 工作中對我的幫助;感謝王曉師姐的悉心指導;感謝同門(mén)郭雪松、韓現群、馮星 偉、張兆乾,在我學(xué)習、生活遭遇困境的時(shí)候總是給予及時(shí)的幫助;感謝師弟唐 志中、梁紫建陪我攻克課題實(shí)驗中的每個(gè)難關(guān)。 感謝舍友魯寧、徐騁、孫曉威,是他們創(chuàng )造的良好宿舍環(huán)境使我能夠在科研 的道路上專(zhuān)心致志。
感謝父母在我學(xué)生生涯中的默默支持,長(cháng)期以來(lái)不計回報的付出讓我謹記于 心,是他們在我失敗時(shí)給我鼓勵,使我向未來(lái)繼續前行。感謝我的姐姐,她的肯 定和鼓勵是我前進(jìn)的動(dòng)力。
最后,由衷的感謝參與評閱論文的老師們!
(如您需要查看本篇畢業(yè)設計全文,請您聯(lián)系客服索取)