姓名：劉哲寧

學號16020520053

摘要:隨著計算機網(wǎng)絡(luò)化已經(jīng)在各行各業(yè)中得到迅猛發(fā)展，網(wǎng)絡(luò)信息安全越來越受到廣大用戶的關(guān)注，從整體網(wǎng)絡(luò)化的信息保密到單臺計算機的安全與通訊保密已然成為了研究重點。目前，計算機的單機信息保密方面的研究已經(jīng)初見成效，大致可分為三方面的重點研究:數(shù)據(jù)完整與保密研究、系統(tǒng)完整性與可信度研究、服務(wù)拒絕研究。提出一種基于BIOS模塊的計算機底層輸入輸出安全子系統(tǒng)的設(shè)計方案，利用密碼學提供的信息摘要、身份識別和數(shù)據(jù)加密等手段，提供計算機系統(tǒng)的完整性合法性檢測，用戶身份識別和硬盤數(shù)據(jù)保護，實現(xiàn)對計算機單機的安全服務(wù)。

關(guān)鍵詞:BIOS安全系統(tǒng);完整性與合法性檢測;用戶身份識別;硬盤數(shù)據(jù)保護

0引言

隨著計算機網(wǎng)絡(luò)化已經(jīng)在各行各業(yè)中得到迅猛發(fā)展，網(wǎng)絡(luò)信息安全越來越受到廣大用戶的關(guān)注，從整體網(wǎng)絡(luò)化的信息保密到單臺計算機的安全與通訊保密已然成為了研究重點，計算機的安全因素包含完整性、數(shù)據(jù)保密及備份和服務(wù)拒絕。數(shù)據(jù)安全性研究數(shù)據(jù)的非授權(quán)存取(泄露)問題以及期望保護數(shù)據(jù)不被篡改或破壞;系統(tǒng)完整性及可信賴程度研究整個系統(tǒng)硬件及固件的非法攻擊或更換問題;服務(wù)拒絕研究如何避免系統(tǒng)被非法使用的問題。當前的計算機安全保密技術(shù)已經(jīng)實現(xiàn)了機箱鎖加用戶密碼、處理器級加密、軟件加密、硬件加密等保密技術(shù)。但是，這些技術(shù)均存在弊端，針對計算機單機系統(tǒng)的安全保密措施多數(shù)需要附加硬件或軟件完成。增加硬件設(shè)備會增加系統(tǒng)的成本，同時增加了硬件風險，尤其對于便攜式系統(tǒng)，會帶來系統(tǒng)機構(gòu)、耗電等諸多問題。通過軟件實現(xiàn)的安全功能依賴于操作系統(tǒng)，相對于硬件加密不夠安全，軟件本身也需要投入較多的管理和維護。為解決上述問題，本文對計算機單機系統(tǒng)的安全性及可信賴程度進行了研究，提出一種基于BIOS模塊的計算機底層輸入輸出安全子系統(tǒng)的設(shè)計方案，利用密碼學提供的信息摘要、身份識別和數(shù)據(jù)加密等手段，提供計算機系統(tǒng)的完整性合法性檢測，用戶身份識別和硬盤數(shù)據(jù)保護，實現(xiàn)對計算機單機的安全服務(wù)。

1系統(tǒng)總體方案設(shè)計

這里選用Inter915G/ICH6芯片與3.4GPentumn4PrescottCPU，同時配合高級擴展I/O芯片、時鐘控制芯片、PCI顯卡、網(wǎng)卡、聲卡等硬件設(shè)備。由于采用了Inter芯片，從而使得該系統(tǒng)硬件結(jié)構(gòu)上能得到大大簡化，并能夠迅速推廣并應(yīng)用。該系統(tǒng)考慮到多類安全因素，將BIOS分為四個功能模塊:核心安全模塊、系統(tǒng)完整性與合法性檢測模塊、用戶身份認證模塊和硬盤數(shù)據(jù)加密模塊。其中，核心安全模塊利用密碼學原理來向其他3個應(yīng)用模塊提供加密、散列和身份認證等核心算法，主要負責子系統(tǒng)的數(shù)據(jù)存儲與安全密鑰管理任務(wù)。

2系統(tǒng)關(guān)鍵技術(shù)

2.1核心安全模塊(CSM)核心安全模塊CSM集成在BIOS芯片內(nèi)部，并作為獨立代碼單獨運行。CSM的結(jié)構(gòu)可分為模塊自檢測及密鑰管理、隨機數(shù)產(chǎn)生PＲNG、加密計算引擎ＲD5和IDEA、散列計算引擎MD5和摘要計算引擎SHA－1六部分。其中，對于模塊自檢及密鑰保存部分獨立存儲在BIOS芯片最高端的Bootblock中，該部分相對非常穩(wěn)定且不容易丟失;另外，用于系統(tǒng)安全檢測和數(shù)據(jù)加密所進行的安全、加密算法等程序通過壓縮后寫入BIOS芯片進行運算，通過解壓縮進入內(nèi)存后再執(zhí)行。2.2系統(tǒng)完整性與安全性檢測模塊經(jīng)研究發(fā)現(xiàn)，影響系統(tǒng)安全性與完整性的因素主要由硬件與軟件兩部分組成，硬件部分主要由組成系統(tǒng)所有設(shè)備的參數(shù)配置，而軟件部分則包括構(gòu)成系統(tǒng)子系統(tǒng)的基礎(chǔ)模塊代碼、網(wǎng)卡ＲOM以及CPU微碼等則為關(guān)鍵因素。采用BIOS系統(tǒng)可根據(jù)上述因素來判斷系統(tǒng)完整程度和安全可靠度。通俗的講:當系統(tǒng)首次運行時，BIOS子系統(tǒng)將首先檢測整體系統(tǒng)的軟、硬件的物理配置摘要和代碼模塊摘要見表1，并將檢測信息記錄于BIOS芯片中，視為后續(xù)系統(tǒng)啟動的標識。定義ConfigDigest為物理配置摘要;CodeDigest為代碼模塊摘要;HardwareSHAＲegister和CodeSHAＲegister分別為物理摘要保存結(jié)果與代碼摘要保存結(jié)果。采用的摘要算法為:輸入功能號:AH=01;ES=摘要源碼的起始段址;DI=摘要源碼的起始偏移地址ECX=摘要源碼的長度;輸出DS=摘要結(jié)果起始段址;SI=摘要結(jié)果起始偏移地址;則:C=0表示成功;C=1表示失敗。2.3用戶身份認證模塊身份認證模塊可分為2部分，分別為BIOS內(nèi)部數(shù)據(jù)和外置USBKey。前者為用戶需要手動輸入的PIN碼，該認證代碼為系統(tǒng)初始化時已有用戶自定義后生成，并長期保存在BIOS的芯片內(nèi)存中，以供隨時調(diào)用;后者為用戶外持的USB設(shè)備，里面加密存儲了自身設(shè)定的認證密鑰以及加密算法程序，稱為USBKey。當用戶需要進行身份認證時，需要同時具有正確的PIN碼和USBKey2.4硬盤數(shù)據(jù)加密模塊為了保證系統(tǒng)用戶的數(shù)據(jù)安全與信息私密性，在正常使用時就必須對用戶文件進行加密處理。這里采用IDEA算法與BIOS子系統(tǒng)配合工作，來進行文件加密。文件的根密鑰存儲在核心安全模塊中，并且與PIN碼結(jié)合后可產(chǎn)生多個子密鑰以用于不同用戶進行加密。當用戶需要加密某文件時，需要輸入PIN碼，在通過BIOSSMI計算后得到散列加密密鑰，進而對實現(xiàn)文件加密。解密過程與之相反，用戶同樣需要輸入解密PIN碼，驅(qū)動程序調(diào)用BIOSSMI中斷，然后解密。

3模塊功能測試

(1)本文通過改變硬件設(shè)備(包括:CPU、PCI、硬盤和網(wǎng)卡等)或者軟件代碼(CPU微碼、BIOSBootBlock代碼、網(wǎng)卡ＲMO、BIOSＲun－time代碼等)，來測試該模塊的物理地址是否有變更提示，經(jīng)過測試可以發(fā)現(xiàn):任何改變均可導致物理配置摘要或代碼摘要發(fā)生變動，導致系統(tǒng)不能正常啟動，只有恢復默認設(shè)置后即可正常啟動;(2)選用10臺計算機來進行用戶身份檢測，結(jié)果發(fā)現(xiàn):當全部輸入確認PIN碼并插入相應(yīng)的USBKey均可認證通過，輸入錯誤PIN或者插入不匹配的USBKey均不能打開計算機;(3)選取200個不同類型的文件，分別進行不同字符的PIN碼對文件進行加密，在對文件進行解密，得到的結(jié)果與原文件進行比較。結(jié)果發(fā)現(xiàn):該模塊經(jīng)過調(diào)試最終達到要求，可以正確加密/解密文件。

4結(jié)論

本文所研究的基于BIOS的安全子系統(tǒng)將應(yīng)用于普通商業(yè)用和家庭用個人計算機(包括桌面電腦和便攜式電腦)的安全管理。已經(jīng)提出的一種基于BIOS模塊的計算機底層輸入輸出安全子系統(tǒng)，利用密碼學提供的信息摘要、身份識別和數(shù)據(jù)加密等手段，通過實驗均可檢驗系統(tǒng)的可行性，提供計算機系統(tǒng)的完整性合法性檢測，用戶身份識別和硬盤數(shù)據(jù)保護，實現(xiàn)對計算機單機的安全服務(wù)。對于未來的改進:安全子系統(tǒng)中獲取CPU內(nèi)部時鐘的時間點依賴BIOS的POST過程，如果POST過程被簡化，則時間間隔將縮短。在需要生成大量隨機數(shù)的情況下，有可能出現(xiàn)隨機數(shù)分布不均勻的現(xiàn)象。我們選擇最為活躍的時鐘計數(shù)器底16位就是為了避免這一現(xiàn)象，但由于測試方法較為簡單，測試數(shù)據(jù)也不太充分，對隨機數(shù)的考察與改進有待更深一步。

參考文獻

［1］WilliamStallings，斯托林斯，Stallings，等．密碼編碼學與網(wǎng)絡(luò)安全:原理與實踐［M］．電子工業(yè)出版社，2015．

［2］PollutroDV，TranKT，KumarS．Computersecuritysystem［J］，2014．

［3］LiuH．SecurityandstabilityanalysisbasedoncomputerBIOSsystem［J］．InformationTechnology，2014．

［4］KargmanJB，ScottP，BrombergerJ．Computersecuritysystemandmethod［J］，2016．

［5］劉峰．密碼學在計算機系統(tǒng)安全中的運用［J］．計算機光盤軟件與應(yīng)用，2014，(4):184－185．

［6］錢紅雷．計算機信息系統(tǒng)安全現(xiàn)狀及分析［J］．電子技術(shù)與軟件工程，2015，(17):216－216．

［7］劉意先，劉宏偉．計算機安全檢測與評估系統(tǒng)的設(shè)計與實現(xiàn)［J］．電腦知識與技術(shù)，2014，(17):4034－4037．

［8］段晨輝．UEFIBIOS安全增強機制及完整性度量的研究［D］．北京工業(yè)大學，2014．

［9］潘曉嵐．計算機BIOS的安全風險及檢測系統(tǒng)分析［J］．電子技術(shù)與軟件工程，2016，(17):211－211．

［10］劉含．計算機BIOS安全穩(wěn)定性分析［J］．信息技術(shù)，2014，(1):174－176．

［11］丁睿．基于便攜密碼模塊的安全平臺設(shè)計與實現(xiàn)［D］．中國航天第二研究院，航天科工集團第二研究院，2015．

［12］田苗苗，崔杰．現(xiàn)代密碼學課程教學改革若干問題研究［J］．物聯(lián)網(wǎng)技術(shù)，2016，6(10):117－117．

［13］趙麗娜，陳小春，張超，等．BIOS安全更新及保護系統(tǒng)設(shè)計［J］．微型機與應(yīng)用，2015，34(8):2－4．

［14］陶航．一種基于BIOS鑒權(quán)的安全硬盤及數(shù)據(jù)鑒權(quán)方法:CN104866437A［P］，2015．

［15］王斌，謝小權(quán)．可信計算機BIOS系統(tǒng)安全模塊的設(shè)計［J］．計算機安全，2006，(9):35－37．

［16］劉煒．BIOS校驗的可信操作系統(tǒng)啟動方法［J］．電子科技，2016，29(7):88－90