太行安全BIOS可信体系结构与实现研究

分析了可信BIOS的安全需求,提出一种可信BIOS体系结构。使用消息摘要和数字签名技术验证系统引导阶段实体的完整性和真实性,构建了操作系统运行前的信任链。介绍了太行安全BIOS的可信部件、执行流程及其实现方法,讨论了可信测量对BIOS引导过程的性能影响。     

基于UEFI规范的BIOS多线程运行机制研究与设计

对基于UEFI规范的 BIOS（简称UEFI BIOS）的运行环境,执行流程及其框架结构进行了详细分析;基于OS下的多线程思想,提出了基于UEFI BIOS环境下的多线程设计理念和方案;严格遵循UEFI标准,实现并验证了基于UEFI的多线程方案,完成了启动过程中多线程库的研究。经实际应用验证,方法简便,具有较强的实用性。     

基于UEFI的BIOS信任链的研究

计算机单机的安全问题已经非常重要,而BIOS的安全直接影响着计算机的安全。本文首先分析了PC机中BIOS的安全问题,对EFI/UEFI做了简述,分析了国内外研究现状,阐述了可信UEFIBIOS的定义,针对BIOS的安全问题提出一种利用可信平台控制模块(TPCM)在统一可扩展固件接口(UEFI)中建立信任链的方案,并对可信UEFIBIOS执行流程及信任链传递流程进行了分析,解决了BIOS信任链传递过程中遇到的各类安全问题。     

基于UEFI的嵌入式驱动程序的开发研究

为了解决传统基本输入输出系统(basic input output system,BIOS)的种种弊端,提出了统一的可扩展固件接口(unified extensible firmware interface,UEFI)标准,UEFI广泛应用在BIOS和嵌入设备等装置中.基于UEFI 2.3的规范说明文档,分析了UEFI驱动程序构成,重点介绍了驱动程序模型,并给出EFI开发工具包(E-FI development kit,EDK)下开发简单的驱动程序基本组成,从而归纳出在UEFI下开发驱动程序的通用方法.     

利用VMware从U盘启动安装操作系统

本文阐述了计算机的Legacy BIOS和UEFI BIOS两种引导模式以及与其对应磁盘分区表类型,比较全面地描述了利用VMware学习从U盘启动安装UEFI BIOS引导模式的64位Windows 10操作系统。该方法具有很好的实际操作性,能应用到实际计算机操作系统的安装中。     

传统BIOS终结者——UEFI

由于BIOS的功能限制和操作不便,UEFI已经逐渐成为其取代者。那么UEFI凭什么替代BIOS?它究竟是如何运作的呢?就让我们揭开它神秘的面纱。对于传统PC,BIOS是电脑的必备组件。我们经常要进入BIOS对电脑硬件进行各项设置,如更改设备引导顺序、屏蔽不需要的硬件端口等。不过传统BIOS     

方便与神速共存 打造BIOS、UEFI双启动系统

正目前,许多主板都支持UEFI引导模式,和传统的BIOS相比,该模式的最大优点是系统启动速度快,稳定性高,安全性强。不过,该模式只支持64位Win Vista及以上的Win7、Win8系统,而不支持许多朋友仍在使用的Windows XP系统。那么,如果我们想在同一硬盘中用最快速的方式分别以BIOS和UEFI两种模式来引导XP和Win7等系统,能否做到呢?答案是肯定的。     

基于UEFI的Application和Driver的分析与开发

UEFI(Unified Extensible Firmware Interface,统一的可扩展固件接口)是由Intel提出的下一代BIOS构架.基于UEFI2.0规范,借助UEFI开发环境:Intel的EDK(EFI Develop Kit),对UEFI Application和UEFI Driver作了一定的分析,并通过两个例子分别予以实现.     

基于UEFI的Flash更新的开发研究

为了解决当前BIOS(basic input output system,基本输入输出系统)Flash更新存在的种种弊端,提出了一种在UEFI(uni-fied extensible firmware interface,统一的可扩展固件接口)中实现Flash更新的方法。根据BIOS FLASH更新的特点,对其当前存在的问题进行分析,并基于UEFI2.3的规范说明文档,介绍了UEFI提供的技术支持手段。在此基础上,给出了在UEFI下Flash更新的具体方法,从而为提高Flash更新的统一性、有效性等问题提供了可行的解决途径。     

基于TPM的一种扩展结构

TCG规范了TPM结构,并据此提出了可信链的传递过程,但在实际应用中,存在着两个问题:一是BIOS先于TPM启动,TPM验证BIOS可信困难;二是可信状态二元化,只是简单地把可信状态分为可信与不可信.通过分析TCG规范中的TPM及可信链传递过程,针对可信链传递过程中的TPM难以校验BIOS和可信二元性的不足,扩展TPM形成E-TPM.通过E-TPM与BIOS的相互验证及提出可信分级来解决TPM与BIOS的相互验证和可信评估问题.     

一种面向集中管控系统的计算机可信启动架构

结合可信计算理论,针对统一的可扩展固件接口（Unified Extensible Firmware Interface,UEFI）因诸多原因无法达到可信启动的缺陷,将星形信任结构和信任链技术相结合并引入能够参与生成度量策略的管控代理,提出一种面向集中管控系统的计算机安全启动架构。用向量空间的形式描述了架构的启动流程,说明了管控代理的工作原理。将传统的可信启动流程与本架构的安全启动流程进行了对比。对此架构进行信任链测试,说明提出的可信启动架构符合可信计算标准。     

基于TPCM的服务器可信PXE启动方法

PXE 启动机制通过网络下载操作系统文件并启动操作系统,广泛应用于服务器网络启动。通过可信计算技术保障PXE启动过程的安全可信,防止PXE启动文件被恶意篡改,确保服务器的安全可信运行。网络安全等级保护标准要求基于可信根对服务器设备的系统引导程序、系统程序等进行可信验证。根据等级保护标准要求,提出一种基于TPCM的服务器可信PXE启动方法,保障服务器的BIOS固件、PXE启动文件、Linux系统文件的安全可信。在服务器进行PXE启动时,由TPCM度量BIOS固件,由BIOS启动环境度量PXE启动文件,由PXE启动环境度量Linux系统文件。以TPCM为信任根逐级度量、逐级信任,建立信任链,建立可信的服务器运行环境。所提方法在国产自主可控申威服务器上进行了实验,实验结果表明所提方法是可行的。     

面向异构BIOS环境的Rootkit通用性检测方法

在传统木马模型框架的基础上,对Rootkit协同隐藏形式化模型进行分析和改进,实现了一个面向异构BIOS环境的Rootkit形式化检测模型。该模型根据协同隐藏思想,将整个检测流程分为三个模块。对多种异构BIOS环境下的Rootkit样本进行研究,并结合可信计算思想,提出基于可信计算的检测方法。该方法和Rootkit形式化检测模型相结合,根据多个异构BIOS环境的Rootkit样本分析结果建立三条可信链,对不同模块提出不同检测思想,如：基于可信计算的完整性检测方法、检测中断向量表入口地址等。实验结果表明,该检测方法对异构BIOS环境下不同系统环境的Rootkit可进行有效检测。     

基于可信计算的结构性安全模型设计与实现

鉴于可信计算可以弥补传统安全防护技术在构架设计和防护强度上存在的安全风险,提出一种可信计算安全模型,从信任链着手,将嵌入式可信安全模块、智能卡等模块引入可信计算平台,对关键技术的实现进行介绍,包括以J3210为核心的可信硬件平台、嵌入式操作系统JetOS、BIOS安全增强、操作系统的安全增强以及基于智能卡的用户身份认证.     

基于扩展ROM的信任根设备设计与实现

针对目前仍在大量使用的PC机上没有可信模块芯片,无法部署可信安全机制的现状,提出了基于扩展ROM的信任根设备.该设备将国产可信模块芯片TCM与PCI扩展ROM部署在同一块PCI板卡上,以BIOS插件的形式,在扩展ROM中完成对BIOS和OS Loader的完整性认证.在分析了PCI/PNP扩展ROM机制、BIOS的引导流程、哈希值软硬件相结合的二级计算方式等的基础上,设计和实现了信任根设备,为可信计算技术在传统计算机上的部署提供了一种新的技术途径.