BIOS模塊中計(jì)算機(jī)安全系統(tǒng)的應(yīng)用論文
摘要:隨著計(jì)算機(jī)網(wǎng)絡(luò)化已經(jīng)在各行各業(yè)中得到迅猛發(fā)展,網(wǎng)絡(luò)信息安全越來(lái)越受到廣大用戶的關(guān)注,從整體網(wǎng)絡(luò)化的信息保密到單臺(tái)計(jì)算機(jī)的安全與通訊保密已然成為了研究重點(diǎn)。目前,計(jì)算機(jī)的單機(jī)信息保密方面的研究已經(jīng)初見(jiàn)成效,大致可分為三方面的重點(diǎn)研究:數(shù)據(jù)完整與保密研究、系統(tǒng)完整性與可信度研究、服務(wù)拒絕研究。提出一種基于BIOS模塊的計(jì)算機(jī)底層輸入輸出安全子系統(tǒng)的設(shè)計(jì)方案,利用密碼學(xué)提供的信息摘要、身份識(shí)別和數(shù)據(jù)加密等手段,提供計(jì)算機(jī)系統(tǒng)的完整性合法性檢測(cè),用戶身份識(shí)別和硬盤數(shù)據(jù)保護(hù),實(shí)現(xiàn)對(duì)計(jì)算機(jī)單機(jī)的安全服務(wù)。
關(guān)鍵詞:BIOS安全系統(tǒng);完整性與合法性檢測(cè);用戶身份識(shí)別;硬盤數(shù)據(jù)保護(hù)
0引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)化已經(jīng)在各行各業(yè)中得到迅猛發(fā)展,網(wǎng)絡(luò)信息安全越來(lái)越受到廣大用戶的關(guān)注,從整體網(wǎng)絡(luò)化的信息保密到單臺(tái)計(jì)算機(jī)的安全與通訊保密已然成為了研究重點(diǎn),計(jì)算機(jī)的安全因素包含完整性、數(shù)據(jù)保密及備份和服務(wù)拒絕。數(shù)據(jù)安全性研究數(shù)據(jù)的非授權(quán)存取(泄露)問(wèn)題以及期望保護(hù)數(shù)據(jù)不被篡改或破壞;系統(tǒng)完整性及可信賴程度研究整個(gè)系統(tǒng)硬件及固件的非法攻擊或更換問(wèn)題;服務(wù)拒絕研究如何避免系統(tǒng)被非法使用的問(wèn)題。當(dāng)前的'計(jì)算機(jī)安全保密技術(shù)已經(jīng)實(shí)現(xiàn)了機(jī)箱鎖加用戶密碼、處理器級(jí)加密、軟件加密、硬件加密等保密技術(shù)。但是,這些技術(shù)均存在弊端,針對(duì)計(jì)算機(jī)單機(jī)系統(tǒng)的安全保密措施多數(shù)需要附加硬件或軟件完成。增加硬件設(shè)備會(huì)增加系統(tǒng)的成本,同時(shí)增加了硬件風(fēng)險(xiǎn),尤其對(duì)于便攜式系統(tǒng),會(huì)帶來(lái)系統(tǒng)機(jī)構(gòu)、耗電等諸多問(wèn)題。通過(guò)軟件實(shí)現(xiàn)的安全功能依賴于操作系統(tǒng),相對(duì)于硬件加密不夠安全,軟件本身也需要投入較多的管理和維護(hù)。為解決上述問(wèn)題,本文對(duì)計(jì)算機(jī)單機(jī)系統(tǒng)的安全性及可信賴程度進(jìn)行了研究,提出一種基于BIOS模塊的計(jì)算機(jī)底層輸入輸出安全子系統(tǒng)的設(shè)計(jì)方案,利用密碼學(xué)提供的信息摘要、身份識(shí)別和數(shù)據(jù)加密等手段,提供計(jì)算機(jī)系統(tǒng)的完整性合法性檢測(cè),用戶身份識(shí)別和硬盤數(shù)據(jù)保護(hù),實(shí)現(xiàn)對(duì)計(jì)算機(jī)單機(jī)的安全服務(wù)。
1系統(tǒng)總體方案設(shè)計(jì)
這里選用Inter915G/ICH6芯片與3.4GPentumn4PrescottCPU,同時(shí)配合高級(jí)擴(kuò)展I/O芯片、時(shí)鐘控制芯片、PCI顯卡、網(wǎng)卡、聲卡等硬件設(shè)備。由于采用了Inter芯片,從而使得該系統(tǒng)硬件結(jié)構(gòu)上能得到大大簡(jiǎn)化,并能夠迅速推廣并應(yīng)用。該系統(tǒng)考慮到多類安全因素,將BIOS分為四個(gè)功能模塊:核心安全模塊、系統(tǒng)完整性與合法性檢測(cè)模塊、用戶身份認(rèn)證模塊和硬盤數(shù)據(jù)加密模塊。其中,核心安全模塊利用密碼學(xué)原理來(lái)向其他3個(gè)應(yīng)用模塊提供加密、散列和身份認(rèn)證等核心算法,主要負(fù)責(zé)子系統(tǒng)的數(shù)據(jù)存儲(chǔ)與安全密鑰管理任務(wù)。
2系統(tǒng)關(guān)鍵技術(shù)
2.1核心安全模塊(CSM)核心安全模塊CSM集成在BIOS芯片內(nèi)部,并作為獨(dú)立代碼單獨(dú)運(yùn)行。CSM的結(jié)構(gòu)可分為模塊自檢測(cè)及密鑰管理、隨機(jī)數(shù)產(chǎn)生PRNG、加密計(jì)算引擎RD5和IDEA、散列計(jì)算引擎MD5和摘要計(jì)算引擎SHA-1六部分。其中,對(duì)于模塊自檢及密鑰保存部分獨(dú)立存儲(chǔ)在BIOS芯片最高端的Bootblock中,該部分相對(duì)非常穩(wěn)定且不容易丟失;另外,用于系統(tǒng)安全檢測(cè)和數(shù)據(jù)加密所進(jìn)行的安全、加密算法等程序通過(guò)壓縮后寫(xiě)入BIOS芯片進(jìn)行運(yùn)算,通過(guò)解壓縮進(jìn)入內(nèi)存后再執(zhí)行。2.2系統(tǒng)完整性與安全性檢測(cè)模塊經(jīng)研究發(fā)現(xiàn),影響系統(tǒng)安全性與完整性的因素主要由硬件與軟件兩部分組成,硬件部分主要由組成系統(tǒng)所有設(shè)備的參數(shù)配置,而軟件部分則包括構(gòu)成系統(tǒng)子系統(tǒng)的基礎(chǔ)模塊代碼、網(wǎng)卡ROM以及CPU微碼等則為關(guān)鍵因素。采用BIOS系統(tǒng)可根據(jù)上述因素來(lái)判斷系統(tǒng)完整程度和安全可靠度。通俗的講:當(dāng)系統(tǒng)首次運(yùn)行時(shí),BIOS子系統(tǒng)將首先檢測(cè)整體系統(tǒng)的軟、硬件的物理配置摘要和代碼模塊摘要見(jiàn)表1,并將檢測(cè)信息記錄于BIOS芯片中,視為后續(xù)系統(tǒng)啟動(dòng)的標(biāo)識(shí)。定義ConfigDigest為物理配置摘要;CodeDigest為代碼模塊摘要;HardwareSHARegister和CodeSHARegister分別為物理摘要保存結(jié)果與代碼摘要保存結(jié)果。采用的摘要算法為:輸入功能號(hào):AH=01;ES=摘要源碼的起始段址;DI=摘要源碼的起始偏移地址ECX=摘要源碼的長(zhǎng)度;輸出DS=摘要結(jié)果起始段址;SI=摘要結(jié)果起始偏移地址;則:C=0表示成功;C=1表示失敗。2.3用戶身份認(rèn)證模塊身份認(rèn)證模塊可分為2部分,分別為BIOS內(nèi)部數(shù)據(jù)和外置USBKey。前者為用戶需要手動(dòng)輸入的PIN碼,該認(rèn)證代碼為系統(tǒng)初始化時(shí)已有用戶自定義后生成,并長(zhǎng)期保存在BIOS的芯片內(nèi)存中,以供隨時(shí)調(diào)用;后者為用戶外持的USB設(shè)備,里面加密存儲(chǔ)了自身設(shè)定的認(rèn)證密鑰以及加密算法程序,稱為USBKey。當(dāng)用戶需要進(jìn)行身份認(rèn)證時(shí),需要同時(shí)具有正確的PIN碼和USBKey2.4硬盤數(shù)據(jù)加密模塊為了保證系統(tǒng)用戶的數(shù)據(jù)安全與信息私密性,在正常使用時(shí)就必須對(duì)用戶文件進(jìn)行加密處理。這里采用IDEA算法與BIOS子系統(tǒng)配合工作,來(lái)進(jìn)行文件加密。文件的根密鑰存儲(chǔ)在核心安全模塊中,并且與PIN碼結(jié)合后可產(chǎn)生多個(gè)子密鑰以用于不同用戶進(jìn)行加密。當(dāng)用戶需要加密某文件時(shí),需要輸入PIN碼,在通過(guò)BIOSSMI計(jì)算后得到散列加密密鑰,進(jìn)而對(duì)實(shí)現(xiàn)文件加密。解密過(guò)程與之相反,用戶同樣需要輸入解密PIN碼,驅(qū)動(dòng)程序調(diào)用BIOSSMI中斷,然后解密。
3模塊功能測(cè)試
(1)本文通過(guò)改變硬件設(shè)備(包括:CPU、PCI、硬盤和網(wǎng)卡等)或者軟件代碼(CPU微碼、BIOSBootBlock代碼、網(wǎng)卡RMO、BIOSRun-time代碼等),來(lái)測(cè)試該模塊的物理地址是否有變更提示,經(jīng)過(guò)測(cè)試可以發(fā)現(xiàn):任何改變均可導(dǎo)致物理配置摘要或代碼摘要發(fā)生變動(dòng),導(dǎo)致系統(tǒng)不能正常啟動(dòng),只有恢復(fù)默認(rèn)設(shè)置后即可正常啟動(dòng);(2)選用10臺(tái)計(jì)算機(jī)來(lái)進(jìn)行用戶身份檢測(cè),結(jié)果發(fā)現(xiàn):當(dāng)全部輸入確認(rèn)PIN碼并插入相應(yīng)的USBKey均可認(rèn)證通過(guò),輸入錯(cuò)誤PIN或者插入不匹配的USBKey均不能打開(kāi)計(jì)算機(jī);(3)選取200個(gè)不同類型的文件,分別進(jìn)行不同字符的PIN碼對(duì)文件進(jìn)行加密,在對(duì)文件進(jìn)行解密,得到的結(jié)果與原文件進(jìn)行比較。結(jié)果發(fā)現(xiàn):該模塊經(jīng)過(guò)調(diào)試最終達(dá)到要求,可以正確加密/解密文件。
4結(jié)論
本文所研究的基于BIOS的安全子系統(tǒng)將應(yīng)用于普通商業(yè)用和家庭用個(gè)人計(jì)算機(jī)(包括桌面電腦和便攜式電腦)的安全管理。已經(jīng)提出的一種基于BIOS模塊的計(jì)算機(jī)底層輸入輸出安全子系統(tǒng),利用密碼學(xué)提供的信息摘要、身份識(shí)別和數(shù)據(jù)加密等手段,通過(guò)實(shí)驗(yàn)均可檢驗(yàn)系統(tǒng)的可行性,提供計(jì)算機(jī)系統(tǒng)的完整性合法性檢測(cè),用戶身份識(shí)別和硬盤數(shù)據(jù)保護(hù),實(shí)現(xiàn)對(duì)計(jì)算機(jī)單機(jī)的安全服務(wù)。對(duì)于未來(lái)的改進(jìn):安全子系統(tǒng)中獲取CPU內(nèi)部時(shí)鐘的時(shí)間點(diǎn)依賴BIOS的POST過(guò)程,如果POST過(guò)程被簡(jiǎn)化,則時(shí)間間隔將縮短。在需要生成大量隨機(jī)數(shù)的情況下,有可能出現(xiàn)隨機(jī)數(shù)分布不均勻的現(xiàn)象。我們選擇最為活躍的時(shí)鐘計(jì)數(shù)器底16位就是為了避免這一現(xiàn)象,但由于測(cè)試方法較為簡(jiǎn)單,測(cè)試數(shù)據(jù)也不太充分,對(duì)隨機(jī)數(shù)的考察與改進(jìn)有待更深一步。
參考文獻(xiàn)
。1]WilliamStallings,斯托林斯,Stallings,等.密碼編碼學(xué)與網(wǎng)絡(luò)安全:原理與實(shí)踐[M].電子工業(yè)出版社,2015.
。2]PollutroDV,TranKT,KumarS.Computersecuritysystem[J],2014.
。3]LiuH.SecurityandstabilityanalysisbasedoncomputerBIOSsystem[J].InformationTechnology,2014.
[4]KargmanJB,ScottP,BrombergerJ.Computersecuritysystemandmethod[J],2016.
。5]劉峰.密碼學(xué)在計(jì)算機(jī)系統(tǒng)安全中的運(yùn)用[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014,(4):184-185.
。6]錢紅雷.計(jì)算機(jī)信息系統(tǒng)安全現(xiàn)狀及分析[J].電子技術(shù)與軟件工程,2015,(17):216-216.
。7]劉意先,劉宏偉.計(jì)算機(jī)安全檢測(cè)與評(píng)估系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].電腦知識(shí)與技術(shù),2014,(17):4034-4037.
。8]段晨輝.UEFIBIOS安全增強(qiáng)機(jī)制及完整性度量的研究[D].北京工業(yè)大學(xué),2014.
。9]潘曉嵐.計(jì)算機(jī)BIOS的安全風(fēng)險(xiǎn)及檢測(cè)系統(tǒng)分析[J].電子技術(shù)與軟件工程,2016,(17):211-211.
[10]劉含.計(jì)算機(jī)BIOS安全穩(wěn)定性分析[J].信息技術(shù),2014,(1):174-176.
。11]丁睿.基于便攜密碼模塊的安全平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)[D].中國(guó)航天第二研究院,航天科工集團(tuán)第二研究院,2015.
[12]田苗苗,崔杰.現(xiàn)代密碼學(xué)課程教學(xué)改革若干問(wèn)題研究[J].物聯(lián)網(wǎng)技術(shù),2016,6(10):117-117.
[13]趙麗娜,陳小春,張超,等.BIOS安全更新及保護(hù)系統(tǒng)設(shè)計(jì)[J].微型機(jī)與應(yīng)用,2015,34(8):2-4.
。14]陶航.一種基于BIOS鑒權(quán)的安全硬盤及數(shù)據(jù)鑒權(quán)方法:CN104866437A[P],2015.
。15]王斌,謝小權(quán).可信計(jì)算機(jī)BIOS系統(tǒng)安全模塊的設(shè)計(jì)[J].計(jì)算機(jī)安全,2006,(9):35-37.
。16]劉煒.BIOS校驗(yàn)的可信操作系統(tǒng)啟動(dòng)方法[J].電子科技,2016,29(7):88-90.
【BIOS模塊中計(jì)算機(jī)安全系統(tǒng)的應(yīng)用論文】相關(guān)文章:
1.生產(chǎn)系統(tǒng)中計(jì)算機(jī)仿真技術(shù)的應(yīng)用論文
2.數(shù)據(jù)加密技術(shù)中計(jì)算機(jī)安全的應(yīng)用論文
3.信息管理中計(jì)算機(jī)數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)用論文
4.計(jì)算機(jī)教育中計(jì)算機(jī)科學(xué)技術(shù)的應(yīng)用論文
5.物資管理技術(shù)中計(jì)算機(jī)的應(yīng)用實(shí)踐論文
6.高職計(jì)算機(jī)基礎(chǔ)模塊化教學(xué)的應(yīng)用論文