BIOS模塊中計算機安全系統的應用論文

　　摘要:隨著(zhù)計算機網(wǎng)絡(luò )化已經(jīng)在各行各業(yè)中得到迅猛發(fā)展，網(wǎng)絡(luò )信息安全越來(lái)越受到廣大用戶(hù)的關(guān)注，從整體網(wǎng)絡(luò )化的信息保密到單臺計算機的安全與通訊保密已然成為了研究重點(diǎn)。目前，計算機的單機信息保密方面的研究已經(jīng)初見(jiàn)成效，大致可分為三方面的重點(diǎn)研究:數據完整與保密研究、系統完整性與可信度研究、服務(wù)拒絕研究。提出一種基于BIOS模塊的計算機底層輸入輸出安全子系統的設計方案，利用密碼學(xué)提供的信息摘要、身份識別和數據加密等手段，提供計算機系統的完整性合法性檢測，用戶(hù)身份識別和硬盤(pán)數據保護，實(shí)現對計算機單機的安全服務(wù)。

　　關(guān)鍵詞:BIOS安全系統;完整性與合法性檢測;用戶(hù)身份識別;硬盤(pán)數據保護

　　0引言

　　隨著(zhù)計算機網(wǎng)絡(luò )化已經(jīng)在各行各業(yè)中得到迅猛發(fā)展，網(wǎng)絡(luò )信息安全越來(lái)越受到廣大用戶(hù)的關(guān)注，從整體網(wǎng)絡(luò )化的信息保密到單臺計算機的安全與通訊保密已然成為了研究重點(diǎn)，計算機的安全因素包含完整性、數據保密及備份和服務(wù)拒絕。數據安全性研究數據的非授權存取(泄露)問(wèn)題以及期望保護數據不被篡改或破壞;系統完整性及可信賴(lài)程度研究整個(gè)系統硬件及固件的非法攻擊或更換問(wèn)題;服務(wù)拒絕研究如何避免系統被非法使用的問(wèn)題。當前的計算機安全保密技術(shù)已經(jīng)實(shí)現了機箱鎖加用戶(hù)密碼、處理器級加密、軟件加密、硬件加密等保密技術(shù)。但是，這些技術(shù)均存在弊端，針對計算機單機系統的安全保密措施多數需要附加硬件或軟件完成。增加硬件設備會(huì )增加系統的成本，同時(shí)增加了硬件風(fēng)險，尤其對于便攜式系統，會(huì )帶來(lái)系統機構、耗電等諸多問(wèn)題。通過(guò)軟件實(shí)現的安全功能依賴(lài)于操作系統，相對于硬件加密不夠安全，軟件本身也需要投入較多的管理和維護。為解決上述問(wèn)題，本文對計算機單機系統的安全性及可信賴(lài)程度進(jìn)行了研究，提出一種基于BIOS模塊的計算機底層輸入輸出安全子系統的設計方案，利用密碼學(xué)提供的信息摘要、身份識別和數據加密等手段，提供計算機系統的完整性合法性檢測，用戶(hù)身份識別和硬盤(pán)數據保護，實(shí)現對計算機單機的安全服務(wù)。

　　1系統總體方案設計

　　這里選用Inter915G/ICH6芯片與3.4GPentumn4PrescottCPU，同時(shí)配合高級擴展I/O芯片、時(shí)鐘控制芯片、PCI顯卡、網(wǎng)卡、聲卡等硬件設備。由于采用了Inter芯片，從而使得該系統硬件結構上能得到大大簡(jiǎn)化，并能夠迅速推廣并應用。該系統考慮到多類(lèi)安全因素，將BIOS分為四個(gè)功能模塊:核心安全模塊、系統完整性與合法性檢測模塊、用戶(hù)身份認證模塊和硬盤(pán)數據加密模塊。其中，核心安全模塊利用密碼學(xué)原理來(lái)向其他3個(gè)應用模塊提供加密、散列和身份認證等核心算法，主要負責子系統的數據存儲與安全密鑰管理任務(wù)。

　　2系統關(guān)鍵技術(shù)

　　2.1核心安全模塊(CSM)核心安全模塊CSM集成在BIOS芯片內部，并作為獨立代碼單獨運行。CSM的結構可分為模塊自檢測及密鑰管理、隨機數產(chǎn)生PＲNG、加密計算引擎ＲD5和IDEA、散列計算引擎MD5和摘要計算引擎SHA－1六部分。其中，對于模塊自檢及密鑰保存部分獨立存儲在BIOS芯片最高端的Bootblock中，該部分相對非常穩定且不容易丟失;另外，用于系統安全檢測和數據加密所進(jìn)行的安全、加密算法等程序通過(guò)壓縮后寫(xiě)入BIOS芯片進(jìn)行運算，通過(guò)解壓縮進(jìn)入內存后再執行。2.2系統完整性與安全性檢測模塊經(jīng)研究發(fā)現，影響系統安全性與完整性的因素主要由硬件與軟件兩部分組成，硬件部分主要由組成系統所有設備的參數配置，而軟件部分則包括構成系統子系統的基礎模塊代碼、網(wǎng)卡ＲOM以及CPU微碼等則為關(guān)鍵因素。采用BIOS系統可根據上述因素來(lái)判斷系統完整程度和安全可靠度。通俗的講:當系統首次運行時(shí)，BIOS子系統將首先檢測整體系統的軟、硬件的物理配置摘要和代碼模塊摘要見(jiàn)表1，并將檢測信息記錄于BIOS芯片中，視為后續系統啟動(dòng)的標識。定義ConfigDigest為物理配置摘要;CodeDigest為代碼模塊摘要;HardwareSHAＲegister和CodeSHAＲegister分別為物理摘要保存結果與代碼摘要保存結果。采用的摘要算法為:輸入功能號:AH=01;ES=摘要源碼的起始段址;DI=摘要源碼的起始偏移地址ECX=摘要源碼的長(cháng)度;輸出DS=摘要結果起始段址;SI=摘要結果起始偏移地址;則:C=0表示成功;C=1表示失敗。2.3用戶(hù)身份認證模塊身份認證模塊可分為2部分，分別為BIOS內部數據和外置USBKey。前者為用戶(hù)需要手動(dòng)輸入的PIN碼，該認證代碼為系統初始化時(shí)已有用戶(hù)自定義后生成，并長(cháng)期保存在BIOS的芯片內存中，以供隨時(shí)調用;后者為用戶(hù)外持的USB設備，里面加密存儲了自身設定的認證密鑰以及加密算法程序，稱(chēng)為USBKey。當用戶(hù)需要進(jìn)行身份認證時(shí)，需要同時(shí)具有正確的PIN碼和USBKey2.4硬盤(pán)數據加密模塊為了保證系統用戶(hù)的數據安全與信息私密性，在正常使用時(shí)就必須對用戶(hù)文件進(jìn)行加密處理。這里采用IDEA算法與BIOS子系統配合工作，來(lái)進(jìn)行文件加密。文件的根密鑰存儲在核心安全模塊中，并且與PIN碼結合后可產(chǎn)生多個(gè)子密鑰以用于不同用戶(hù)進(jìn)行加密。當用戶(hù)需要加密某文件時(shí)，需要輸入PIN碼，在通過(guò)BIOSSMI計算后得到散列加密密鑰，進(jìn)而對實(shí)現文件加密。解密過(guò)程與之相反，用戶(hù)同樣需要輸入解密PIN碼，驅動(dòng)程序調用BIOSSMI中斷，然后解密。

　　3模塊功能測試

　　(1)本文通過(guò)改變硬件設備(包括:CPU、PCI、硬盤(pán)和網(wǎng)卡等)或者軟件代碼(CPU微碼、BIOSBootBlock代碼、網(wǎng)卡ＲMO、BIOSＲun－time代碼等)，來(lái)測試該模塊的物理地址是否有變更提示，經(jīng)過(guò)測試可以發(fā)現:任何改變均可導致物理配置摘要或代碼摘要發(fā)生變動(dòng)，導致系統不能正常啟動(dòng)，只有恢復默認設置后即可正常啟動(dòng);(2)選用10臺計算機來(lái)進(jìn)行用戶(hù)身份檢測，結果發(fā)現:當全部輸入確認PIN碼并插入相應的USBKey均可認證通過(guò)，輸入錯誤PIN或者插入不匹配的USBKey均不能打開(kāi)計算機;(3)選取200個(gè)不同類(lèi)型的文件，分別進(jìn)行不同字符的PIN碼對文件進(jìn)行加密，在對文件進(jìn)行解密，得到的結果與原文件進(jìn)行比較。結果發(fā)現:該模塊經(jīng)過(guò)調試最終達到要求，可以正確加密/解密文件。

　　4結論

　　本文所研究的基于BIOS的安全子系統將應用于普通商業(yè)用和家庭用個(gè)人計算機(包括桌面電腦和便攜式電腦)的安全管理。已經(jīng)提出的一種基于BIOS模塊的計算機底層輸入輸出安全子系統，利用密碼學(xué)提供的信息摘要、身份識別和數據加密等手段，通過(guò)實(shí)驗均可檢驗系統的可行性，提供計算機系統的完整性合法性檢測，用戶(hù)身份識別和硬盤(pán)數據保護，實(shí)現對計算機單機的安全服務(wù)。對于未來(lái)的改進(jìn):安全子系統中獲取CPU內部時(shí)鐘的時(shí)間點(diǎn)依賴(lài)BIOS的POST過(guò)程，如果POST過(guò)程被簡(jiǎn)化，則時(shí)間間隔將縮短。在需要生成大量隨機數的情況下，有可能出現隨機數分布不均勻的現象。我們選擇最為活躍的時(shí)鐘計數器底16位就是為了避免這一現象，但由于測試方法較為簡(jiǎn)單，測試數據也不太充分，對隨機數的考察與改進(jìn)有待更深一步。

　　參考文獻

　�。�1］WilliamStallings，斯托林斯，Stallings，等．密碼編碼學(xué)與網(wǎng)絡(luò )安全:原理與實(shí)踐［M］．電子工業(yè)出版社，2015．

　�。�2］PollutroDV，TranKT，KumarS．Computersecuritysystem［J］，2014．

　�。�3］LiuH．SecurityandstabilityanalysisbasedoncomputerBIOSsystem［J］．InformationTechnology，2014．

　�。�4］KargmanJB，ScottP，BrombergerJ．Computersecuritysystemandmethod［J］，2016．

　�。�5］劉峰．密碼學(xué)在計算機系統安全中的運用［J］．計算機光盤(pán)軟件與應用，2014，(4):184－185．

　�。�6］錢(qián)紅雷．計算機信息系統安全現狀及分析［J］．電子技術(shù)與軟件工程，2015，(17):216－216．

　�。�7］劉意先，劉宏偉．計算機安全檢測與評估系統的設計與實(shí)現［J］．電腦知識與技術(shù)，2014，(17):4034－4037．

　�。�8］段晨輝．UEFIBIOS安全增強機制及完整性度量的研究［D］．北京工業(yè)大學(xué)，2014．

　�。�9］潘曉嵐．計算機BIOS的安全風(fēng)險及檢測系統分析［J］．電子技術(shù)與軟件工程，2016，(17):211－211．

　�。�10］劉含．計算機BIOS安全穩定性分析［J］．信息技術(shù)，2014，(1):174－176．

　�。�11］丁睿．基于便攜密碼模塊的安全平臺設計與實(shí)現［D］．中國航天第二研究院，航天科工集團第二研究院，2015．

　�。�12］田苗苗，崔杰．現代密碼學(xué)課程教學(xué)改革若干問(wèn)題研究［J］．物聯(lián)網(wǎng)技術(shù)，2016，6(10):117－117．

　�。�13］趙麗娜，陳小春，張超，等．BIOS安全更新及保護系統設計［J］．微型機與應用，2015，34(8):2－4．

　�。�14］陶航．一種基于BIOS鑒權的安全硬盤(pán)及數據鑒權方法:CN104866437A［P］，2015．

　�。�15］王斌，謝小權．可信計算機BIOS系統安全模塊的設計［J］．計算機安全，2006，(9):35－37．

　�。�16］劉煒．BIOS校驗的可信操作系統啟動(dòng)方法［J］．電子科技，2016，29(7):88－90．

【BIOS模塊中計算機安全系統的應用論文】相關(guān)文章：

信息管理中計算機數據庫系統應用論文11-11

計算機教育中計算機科學(xué)技術(shù)的應用論文11-07

計算機安全監控系統技術(shù)論文11-08

計量檢測工作中計算機信息技術(shù)的應用論文11-07

高職院校教學(xué)管理中計算機技術(shù)的應用論文02-23

信息系統應用論文03-21

圖書(shū)館工作中計算機管理系統的有效運用論文12-17

計算機審計系統應用探析03-30

汽車(chē)催化器設計中計算機仿真技術(shù)的應用論文02-16

計算機操作系統的基本功能及應用論文02-19