BIOS模塊中計(jì)算機(jī)安全系統(tǒng)的應(yīng)用

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了BIOS模塊中計(jì)算機(jī)安全系統(tǒng)的應(yīng)用范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)化已經(jīng)在各行各業(yè)中得到迅猛發(fā)展，網(wǎng)絡(luò)信息安全越來越受到廣大用戶的關(guān)注，從整體網(wǎng)絡(luò)化的信息保密到單臺(tái)計(jì)算機(jī)的安全與通訊保密已然成為了研究重點(diǎn)。目前，計(jì)算機(jī)的單機(jī)信息保密方面的研究已經(jīng)初見成效，大致可分為三方面的重點(diǎn)研究:數(shù)據(jù)完整與保密研究、系統(tǒng)完整性與可信度研究、服務(wù)拒絕研究。提出一種基于bios模塊的計(jì)算機(jī)底層輸入輸出安全子系統(tǒng)的設(shè)計(jì)方案，利用密碼學(xué)提供的信息摘要、身份識(shí)別和數(shù)據(jù)加密等手段，提供計(jì)算機(jī)系統(tǒng)的完整性合法性檢測，用戶身份識(shí)別和硬盤數(shù)據(jù)保護(hù)，實(shí)現(xiàn)對(duì)計(jì)算機(jī)單機(jī)的安全服務(wù)。

關(guān)鍵詞:BIOS安全系統(tǒng);完整性與合法性檢測;用戶身份識(shí)別;硬盤數(shù)據(jù)保護(hù)

0引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)化已經(jīng)在各行各業(yè)中得到迅猛發(fā)展，網(wǎng)絡(luò)信息安全越來越受到廣大用戶的關(guān)注，從整體網(wǎng)絡(luò)化的信息保密到單臺(tái)計(jì)算機(jī)的安全與通訊保密已然成為了研究重點(diǎn)，計(jì)算機(jī)的安全因素包含完整性、數(shù)據(jù)保密及備份和服務(wù)拒絕。數(shù)據(jù)安全性研究數(shù)據(jù)的非授權(quán)存取(泄露)問題以及期望保護(hù)數(shù)據(jù)不被篡改或破壞;系統(tǒng)完整性及可信賴程度研究整個(gè)系統(tǒng)硬件及固件的非法攻擊或更換問題;服務(wù)拒絕研究如何避免系統(tǒng)被非法使用的問題。當(dāng)前的計(jì)算機(jī)安全保密技術(shù)已經(jīng)實(shí)現(xiàn)了機(jī)箱鎖加用戶密碼、處理器級(jí)加密、軟件加密、硬件加密等保密技術(shù)。但是，這些技術(shù)均存在弊端，針對(duì)計(jì)算機(jī)單機(jī)系統(tǒng)的安全保密措施多數(shù)需要附加硬件或軟件完成。增加硬件設(shè)備會(huì)增加系統(tǒng)的成本，同時(shí)增加了硬件風(fēng)險(xiǎn)，尤其對(duì)于便攜式系統(tǒng)，會(huì)帶來系統(tǒng)機(jī)構(gòu)、耗電等諸多問題。通過軟件實(shí)現(xiàn)的安全功能依賴于操作系統(tǒng)，相對(duì)于硬件加密不夠安全，軟件本身也需要投入較多的管理和維護(hù)。為解決上述問題，本文對(duì)計(jì)算機(jī)單機(jī)系統(tǒng)的安全性及可信賴程度進(jìn)行了研究，提出一種基于BIOS模塊的計(jì)算機(jī)底層輸入輸出安全子系統(tǒng)的設(shè)計(jì)方案，利用密碼學(xué)提供的信息摘要、身份識(shí)別和數(shù)據(jù)加密等手段，提供計(jì)算機(jī)系統(tǒng)的完整性合法性檢測，用戶身份識(shí)別和硬盤數(shù)據(jù)保護(hù)，實(shí)現(xiàn)對(duì)計(jì)算機(jī)單機(jī)的安全服務(wù)。

1系統(tǒng)總體方案設(shè)計(jì)

這里選用Inter915G/ICH6芯片與3.4GPentumn4PrescottCPU，同時(shí)配合高級(jí)擴(kuò)展I/O芯片、時(shí)鐘控制芯片、PCI顯卡、網(wǎng)卡、聲卡等硬件設(shè)備。由于采用了Inter芯片，從而使得該系統(tǒng)硬件結(jié)構(gòu)上能得到大大簡化，并能夠迅速推廣并應(yīng)用。該系統(tǒng)考慮到多類安全因素，將BIOS分為四個(gè)功能模塊:核心安全模塊、系統(tǒng)完整性與合法性檢測模塊、用戶身份認(rèn)證模塊和硬盤數(shù)據(jù)加密模塊。其中，核心安全模塊利用密碼學(xué)原理來向其他3個(gè)應(yīng)用模塊提供加密、散列和身份認(rèn)證等核心算法，主要負(fù)責(zé)子系統(tǒng)的數(shù)據(jù)存儲(chǔ)與安全密鑰管理任務(wù)。

2系統(tǒng)關(guān)鍵技術(shù)

2.1核心安全模塊(CSM)核心安全模塊CSM集成在BIOS芯片內(nèi)部，并作為獨(dú)立代碼單獨(dú)運(yùn)行。CSM的結(jié)構(gòu)可分為模塊自檢測及密鑰管理、隨機(jī)數(shù)產(chǎn)生PRNG、加密計(jì)算引擎RD5和IDEA、散列計(jì)算引擎MD5和摘要計(jì)算引擎SHA－1六部分。其中，對(duì)于模塊自檢及密鑰保存部分獨(dú)立存儲(chǔ)在BIOS芯片最高端的Bootblock中，該部分相對(duì)非常穩(wěn)定且不容易丟失;另外，用于系統(tǒng)安全檢測和數(shù)據(jù)加密所進(jìn)行的安全、加密算法等程序通過壓縮后寫入BIOS芯片進(jìn)行運(yùn)算，通過解壓縮進(jìn)入內(nèi)存后再執(zhí)行。2.2系統(tǒng)完整性與安全性檢測模塊經(jīng)研究發(fā)現(xiàn)，影響系統(tǒng)安全性與完整性的因素主要由硬件與軟件兩部分組成，硬件部分主要由組成系統(tǒng)所有設(shè)備的參數(shù)配置，而軟件部分則包括構(gòu)成系統(tǒng)子系統(tǒng)的基礎(chǔ)模塊代碼、網(wǎng)卡ROM以及CPU微碼等則為關(guān)鍵因素。采用BIOS系統(tǒng)可根據(jù)上述因素來判斷系統(tǒng)完整程度和安全可靠度。通俗的講:當(dāng)系統(tǒng)首次運(yùn)行時(shí)，BIOS子系統(tǒng)將首先檢測整體系統(tǒng)的軟、硬件的物理配置摘要和代碼模塊摘要見表1，并將檢測信息記錄于BIOS芯片中，視為后續(xù)系統(tǒng)啟動(dòng)的標(biāo)識(shí)。定義ConfigDigest為物理配置摘要;CodeDigest為代碼模塊摘要;HardwareSHARegister和CodeSHARegister分別為物理摘要保存結(jié)果與代碼摘要保存結(jié)果。采用的摘要算法為:輸入功能號(hào):AH=01;ES=摘要源碼的起始段址;DI=摘要源碼的起始偏移地址ECX=摘要源碼的長度;輸出DS=摘要結(jié)果起始段址;SI=摘要結(jié)果起始偏移地址;則:C=0表示成功;C=1表示失敗。2.3用戶身份認(rèn)證模塊身份認(rèn)證模塊可分為2部分，分別為BIOS內(nèi)部數(shù)據(jù)和外置USBKey。前者為用戶需要手動(dòng)輸入的PIN碼，該認(rèn)證代碼為系統(tǒng)初始化時(shí)已有用戶自定義后生成，并長期保存在BIOS的芯片內(nèi)存中，以供隨時(shí)調(diào)用;后者為用戶外持的USB設(shè)備，里面加密存儲(chǔ)了自身設(shè)定的認(rèn)證密鑰以及加密算法程序，稱為USBKey。當(dāng)用戶需要進(jìn)行身份認(rèn)證時(shí)，需要同時(shí)具有正確的PIN碼和USBKey2.4硬盤數(shù)據(jù)加密模塊為了保證系統(tǒng)用戶的數(shù)據(jù)安全與信息私密性，在正常使用時(shí)就必須對(duì)用戶文件進(jìn)行加密處理。這里采用IDEA算法與BIOS子系統(tǒng)配合工作，來進(jìn)行文件加密。文件的根密鑰存儲(chǔ)在核心安全模塊中，并且與PIN碼結(jié)合后可產(chǎn)生多個(gè)子密鑰以用于不同用戶進(jìn)行加密。當(dāng)用戶需要加密某文件時(shí)，需要輸入PIN碼，在通過BIOSSMI計(jì)算后得到散列加密密鑰，進(jìn)而對(duì)實(shí)現(xiàn)文件加密。解密過程與之相反，用戶同樣需要輸入解密PIN碼，驅(qū)動(dòng)程序調(diào)用BIOSSMI中斷，然后解密。

3模塊功能測試

(1)本文通過改變硬件設(shè)備(包括:CPU、PCI、硬盤和網(wǎng)卡等)或者軟件代碼(CPU微碼、BIOSBootBlock代碼、網(wǎng)卡RMO、BIOSRun－time代碼等)，來測試該模塊的物理地址是否有變更提示，經(jīng)過測試可以發(fā)現(xiàn):任何改變均可導(dǎo)致物理配置摘要或代碼摘要發(fā)生變動(dòng)，導(dǎo)致系統(tǒng)不能正常啟動(dòng)，只有恢復(fù)默認(rèn)設(shè)置后即可正常啟動(dòng);(2)選用10臺(tái)計(jì)算機(jī)來進(jìn)行用戶身份檢測，結(jié)果發(fā)現(xiàn):當(dāng)全部輸入確認(rèn)PIN碼并插入相應(yīng)的USBKey均可認(rèn)證通過，輸入錯(cuò)誤PIN或者插入不匹配的USBKey均不能打開計(jì)算機(jī);(3)選取200個(gè)不同類型的文件，分別進(jìn)行不同字符的PIN碼對(duì)文件進(jìn)行加密，在對(duì)文件進(jìn)行解密，得到的結(jié)果與原文件進(jìn)行比較。結(jié)果發(fā)現(xiàn):該模塊經(jīng)過調(diào)試最終達(dá)到要求，可以正確加密/解密文件。

4結(jié)論

本文所研究的基于BIOS的安全子系統(tǒng)將應(yīng)用于普通商業(yè)用和家庭用個(gè)人計(jì)算機(jī)(包括桌面電腦和便攜式電腦)的安全管理。已經(jīng)提出的一種基于BIOS模塊的計(jì)算機(jī)底層輸入輸出安全子系統(tǒng)，利用密碼學(xué)提供的信息摘要、身份識(shí)別和數(shù)據(jù)加密等手段，通過實(shí)驗(yàn)均可檢驗(yàn)系統(tǒng)的可行性，提供計(jì)算機(jī)系統(tǒng)的完整性合法性檢測，用戶身份識(shí)別和硬盤數(shù)據(jù)保護(hù)，實(shí)現(xiàn)對(duì)計(jì)算機(jī)單機(jī)的安全服務(wù)。對(duì)于未來的改進(jìn):安全子系統(tǒng)中獲取CPU內(nèi)部時(shí)鐘的時(shí)間點(diǎn)依賴BIOS的POST過程，如果POST過程被簡化，則時(shí)間間隔將縮短。在需要生成大量隨機(jī)數(shù)的情況下，有可能出現(xiàn)隨機(jī)數(shù)分布不均勻的現(xiàn)象。我們選擇最為活躍的時(shí)鐘計(jì)數(shù)器底16位就是為了避免這一現(xiàn)象，但由于測試方法較為簡單，測試數(shù)據(jù)也不太充分，對(duì)隨機(jī)數(shù)的考察與改進(jìn)有待更深一步。

參考文獻(xiàn)

［1］WilliamStallings，斯托林斯，Stallings，等．密碼編碼學(xué)與網(wǎng)絡(luò)安全:原理與實(shí)踐［M］．電子工業(yè)出版社，2015．

［2］PollutroDV，TranKT，KumarS．Computersecuritysystem［J］，2014．

［3］LiuH．SecurityandstabilityanalysisbasedoncomputerBIOSsystem［J］．InformationTechnology，2014．

［4］KargmanJB，ScottP，BrombergerJ．Computersecuritysystemandmethod［J］，2016．

［5］劉峰．密碼學(xué)在計(jì)算機(jī)系統(tǒng)安全中的運(yùn)用［J］．計(jì)算機(jī)光盤軟件與應(yīng)用，2014，(4):184－185．

［6］錢紅雷．計(jì)算機(jī)信息系統(tǒng)安全現(xiàn)狀及分析［J］．電子技術(shù)與軟件工程，2015，(17):216－216．

［7］劉意先，劉宏偉．計(jì)算機(jī)安全檢測與評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)［J］．電腦知識(shí)與技術(shù)，2014，(17):4034－4037．

［8］段晨輝．UEFIBIOS安全增強(qiáng)機(jī)制及完整性度量的研究［D］．北京工業(yè)大學(xué)，2014．

［9］潘曉嵐．計(jì)算機(jī)BIOS的安全風(fēng)險(xiǎn)及檢測系統(tǒng)分析［J］．電子技術(shù)與軟件工程，2016，(17):211－211．

［10］劉含．計(jì)算機(jī)BIOS安全穩(wěn)定性分析［J］．信息技術(shù)，2014，(1):174－176．

［11］丁睿．基于便攜密碼模塊的安全平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)［D］．中國航天第二研究院，航天科工集團(tuán)第二研究院，2015．

［12］田苗苗，崔杰．現(xiàn)代密碼學(xué)課程教學(xué)改革若干問題研究［J］．物聯(lián)網(wǎng)技術(shù)，2016，6(10):117－117．

［13］趙麗娜，陳小春，張超，等．BIOS安全更新及保護(hù)系統(tǒng)設(shè)計(jì)［J］．微型機(jī)與應(yīng)用，2015，34(8):2－4．

［14］陶航．一種基于BIOS鑒權(quán)的安全硬盤及數(shù)據(jù)鑒權(quán)方法:CN104866437A［P］，2015．

［15］王斌，謝小權(quán)．可信計(jì)算機(jī)BIOS系統(tǒng)安全模塊的設(shè)計(jì)［J］．計(jì)算機(jī)安全，2006，(9):35－37．

［16］劉煒．BIOS校驗(yàn)的可信操作系統(tǒng)啟動(dòng)方法［J］．電子科技，2016，29(7):88－90．

作者:劉中艷 張麗哲 單位:南陽理工學(xué)院信息化建設(shè)與管理中心 南陽理工學(xué)院后勤管理與服務(wù)中心