【技术实现步骤摘要】
一种UEFIBIOS的分级保护系统和相应的实现方法
本专利技术属于计算机系统领域,具体是指一种UEFIBIOS的分级保护系统和相应的实现方法。
技术介绍
在大多数计算机平台上面,BIOSFLASH通过引脚WP#(writeprotect)挂载于SPI总线上面:当WP#被拉低时,BIOSFLASH被设置为只读;当WP#被拉高时,BIOSFLASH被设置为可写。因此挂载于SPI总线的BIOSFLASH,其读写方法是公开的,这就导致了BIOS具有以下几方面被攻击的风险问题:1、通过修改BIOSFLASH里面的内容来攻击整个系统:无论是直接破坏BIOS内容使系统无法正常启动,还是植入BIOS后门都会造成很大的破坏;2、对于实现了可信BIOS的平台,任何对于BIOSFLASH的非授权修改都会造成可信链的破坏,导致系统失去安全保护;3、可以随意读取BIOS的内容,分析BIOS里面的漏洞和秘密信息:因为业界大部分的BIOS的源码都由知名的几家BIOS提供商提供,同时UEFI规范也是公开的,所以这种威胁对于UEFI标...
【技术保护点】
1.一种UEFI BIOS的分级保护系统,其特征在于,包括BIOS Flash芯片、CPU、TCM安全模块;/n所述BIOS Flash芯片,用于存放UEFI BIOS代码;/n所述CPU通过SPI总线与BIOS Flash芯片通信连接,用于执行UEFI BIOS代码的基本功能;/n所述TCM安全模块,一方面与CPU通信连接,另一方面与BIOS Flash芯片的写保护引脚和BIOS Flash芯片的电源控制引脚连接,用于在CPU执行操作系统调用UEFI BIOS内部API以对BIOS FLASH芯片进行访问控制时,对UEFI BIOS所发送的访问权限命令进行安全验证,并在验...
【技术特征摘要】
1.一种UEFIBIOS的分级保护系统,其特征在于,包括BIOSFlash芯片、CPU、TCM安全模块;
所述BIOSFlash芯片,用于存放UEFIBIOS代码;
所述CPU通过SPI总线与BIOSFlash芯片通信连接,用于执行UEFIBIOS代码的基本功能;
所述TCM安全模块,一方面与CPU通信连接,另一方面与BIOSFlash芯片的写保护引脚和BIOSFlash芯片的电源控制引脚连接,用于在CPU执行操作系统调用UEFIBIOS内部API以对BIOSFLASH芯片进行访问控制时,对UEFIBIOS所发送的访问权限命令进行安全验证,并在验证通过后,根据该访问权限命令对BIOSFLASH芯片的写保护引脚电平进行修改;还用于在接收到UEFIBIOS发送的读写禁用命令时,将BIOSFlash芯片的写保护引脚和电源控制引脚的电平均拉低,使BIOSFlash芯片处于不可访问状态;
其中,所述访问权限命令,是UEFIBIOS根据UEFIBIOS内部API对BIOSFLASH芯片进行访问控制的类型进行设置。
2.一种带分级保护机制的UEFIBIOS的实现方法,其特征在于,包括以下步骤:
UEFIBIOS和TCM安全模块,通过随机生成的传输密钥和公私钥对建立两者间的安全通道;
在CPU将UEFIBIOS启动到操作系统之前:UEFIBIOS发送读写禁用命令给TCM安全模块,TCM安全模块将BIOSFlash芯片的写保护引脚和电源控制引脚的电平均拉低,使BIOSFlash芯片处于不可访问状态;
在CPU将UEFIBIOS启动到操作系统之后,当操作系统调用UEFIBIOS内部API需要对BIOSFLASH芯片进行读写的访问控制时,包括以下步骤:
a1)UEFIBIOS根据UEFIBIOS内部的该API对BIOSFLASH芯片进行访问控制的类型设置访问权限命令;
a2)UEFIBIOS将访问权限命令通过所述安全通道发送给TCM安全模块;
a3)TCM安全模块对访问权限命令进行验证,并在验证通过后,根据访问权限命令对BIOSFlash芯片的写保护引脚和电源控制引脚的电平状态进行修改;
a4)当UEFIBIOS完成读写的访问控制任务后,UEFIBIOS发送读写禁用命令给TCM安全模块,TCM安全模块将BIOSFlash芯片的写保护引脚和电源控制引脚的电平均拉低,使BIOSFlash芯片处于不可访问状态。
<...
【专利技术属性】
技术研发人员:李攀峰,黄辉伟,欧阳泳,
申请(专利权)人:中电长城长沙信息技术有限公司,
类型:发明
国别省市:湖南;43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。