一种UEFI BIOS安全升级机制的设计方法技术

本发明专利技术公开了一种UEFI BIOS安全升级机制的设计方法，用于对服务器UEFI BIOS的安全升级，其设计过程为：首先将待升级的BIOS镜像进行数字签名；然后配置一个信任根模块，在对BIOS flash芯片刷新之前通过该信任根模块对待升级的BIOS镜像文件进行验证，只有验证通过的BIOS镜像文件才可以被写入BIOS flash芯片内。本发明专利技术的一种UEFI BIOS安全升级机制的设计方法与现有技术相比，防止在BIOS闪存中存储不可信的代码，增加了产品的可信功能，有助于提高服务器BIOS芯片的核心竞争力，实用性强，适用范围广泛，具有很好的推广应用价值。

A design method of security upgrade mechanism for UEFI BIOS

The invention discloses a UEFI BIOS security upgrade mechanism design method for security upgrades to the UEFI server BIOS, the design process is as follows: firstly, BIOS image will be upgraded to digital signature; then configure a trusted root module, before the BIOS flash chip through the module to refresh the root of trust BIOS image file upgrade to verify the BIOS image file only can be verified by writing the BIOS flash chip. Compared with the prior art, a design method of UEFI BIOS security upgrade mechanism of the present invention, prevent in BIOS flash memory storage untrusted code, add trusted function products, help to improve the core competitiveness of BIOS server chip, strong practicability, wide application scope, has the very good application value.

【技术实现步骤摘要】
一种UEFIBIOS安全升级机制的设计方法
本专利技术涉及计算机
，具体地说是一种UEFIBIOS安全升级机制的设计方法。
技术介绍
UEFI是统一可扩展固件接口规范，连接着操作系统和平台固件，为操作系统启动前的运行状态提供了标准的环境。与传统BIOS相比，UEFI采用了全新的启动流程，虽然解决了传统BIOS的很多问题，具有启动更快、扩展性更好的优点，但UEFI也存在一些安全缺陷。UEFIBIOS通常是由原始的制造商OEM和独立BIOS供应商合作开发的，以售卖商品的形式分发出去。由于各种原因修补BUG是必需的，兼容新硬件、打补丁等各种目的来更新BIOS。因BIOS的独特性，以及它在计算机系统中特殊的作用使得由恶意的程序对BIOS进行的未经授权的更改很可能对计算机系统造成巨大的威胁。恶意的病毒是为了引起持续地拒绝服务威胁，亦或者永久恶意软件攻击。现有技术中在对系统BIOS进行升级时，直接使用BIOS供应商提供的升级BIOS工具对系统BIOS进行升级，而在升级之前没有验证待升级的BIOS镜像文件的可信性。现有技术无法保证所升级的BIOS镜像文件是没有经过篡改的安全可信的BIOS镜像本文档来自技高网...

【技术保护点】
一种UEFI BIOS安全升级机制的设计方法，其特征在于，用于对服务器UEFI BIOS的安全升级，其设计过程为：首先将待升级的BIOS镜像进行数字签名；然后配置一个信任根模块，在对BIOS flash芯片刷新之前通过该信任根模块对待升级的BIOS镜像文件进行验证，只有验证通过的BIOS镜像文件才可以被写入BIOS flash芯片内。

【技术特征摘要】
1.一种UEFIBIOS安全升级机制的设计方法，其特征在于，用于对服务器UEFIBIOS的安全升级，其设计过程为：首先将待升级的BIOS镜像进行数字签名；然后配置一个信任根模块，在对BIOSflash芯片刷新之前通过该信任根模块对待升级的BIOS镜像文件进行验证，只有验证通过的BIOS镜像文件才可以被写入BIOSflash芯片内。2.根据权利要求1所述的一种UEFIBIOS安全升级机制的设计方法，其特征在于，对BIOS升级镜像进行数字签名的具体过程为：在编译生成BIOS镜像文件后，运用数字签名技术，对BIOS镜像文件进行签名，数字签名的内容分为两个部分：第一部分为BIOS本身的信息；第二部分为对BIOS镜像文件运行密码算法后得出的签名值。3.根据权利要求2所述的一种UEFIBIOS安全升级机制的设计方法，其特征在于，所述BIOS本身的信息包括发行时间、镜像文件的大小、BIOS标识号。4.根据权利要求1所述的一种UEFIBIOS安全升级机制的设计方法，其特征在于，进行数字签名后的待升级BIOS镜像文件缓存到服务器的一个存储位置，当服务器重启时该存储位置的内容被保留并执行转移到信任根模块中，该信任根模块在服务器系统重启时开始被执行。5.根据权利要求4所述的一种UEFIBIOS安全升级机制的设计方法，其特征在于，所述存储位置配置在独立于操作系统的管理模块SP环境中，该SP环境为服务器的硬件管理模块环境，且与主机上操作系统中的管理软件通信，相对应的，通过管理软件和管理模块通信来检查BIOS镜像文件，如果BIOS升级镜像存在，它将被从存储位置中读取到主机内存，并由信任根模块对它执行验证。6.根据权利要求4或5所述的一种UEFIBIOS安全升级机制的设计方法，其特征在于，信任根模块校验待升级的BIOS镜像文件的过程为：首先将待升级的BIOS镜像被读取到内存中，信任根模块...

【专利技术属性】
技术研发人员：刘平，
申请(专利权)人：郑州云海信息技术有限公司，
类型：发明
国别省市：河南,41