陈玉凡 林悦
辽宁对外经贸学院 辽宁省大连市
摘要:在整个计算机系统当中,BIOS作为被固化其中的一组程序,扮演着重要角色,发挥着关键性作用,即为计算机提供了良好的硬件控制。本文围绕密码学原理及集成电路技术,设计了一款TPM芯片,其能够抵御计算机安全启动系统被攻击,现对具体的设计思路作一探讨。
关键词:安全启动系统;计算机;TPM芯片
当前,计算机系统已融入到人们的日常生活、工作当中。针对计算机的启动而言,基本流程为:先使BIOS处于运行状态,以此来检测、配置计算机系统;然后进行操作系统及部分底层固件的装载。对于BIOS来讲,其一般情况下会被储存于闪存中,而BIOS经常是被攻击的主要对象,常见攻击方式为执行代码而对BIOS进行修改,致使操作系统遭受破坏。因BIOS在操作系统、病毒检测软件运行前便已处于运行状态,所以,借助软件来实施检查、清除病毒,难度较大。本文借助TPM芯片,改进计算机主板,且进行了安全启动系统的设计,现剖析如下。
1.设计TPM芯片
在整个安全PC中,安全芯片为其根基所在。由IBM、Intel、HP等公司组建的TCG联盟对PC的安全特性尤为重视,率先提出了将硬件安全当作保障计算机安全的重要方面,而TPM芯片便是以此思想的安全PC为基础的。为了能够对计算机系统当中的操作系统、BIOS等提供更好的保护,需要在BIOS启动前,对其实施炎症,明确BIOS有无被修改,确认没有后,才能启动BIOS。而当将BIOS启动后,可对操作系统及其它底层固件进行操作。如果全部验证均通过后,便能正常启动计算机系统。因BIOS率先运行,所以,难以借助软件来对其进行炎症。为了能够将此问题有效解决掉,本文设计了一种TPM芯片,以此对计算机系统的BIOS进行保护。在设计TPM芯片时,在其结构当中:(1)主处理器模块。能够控制安全芯片及芯片上的其它模块;(2)加密模块。完成各种密码算法,如杂凑算法、对称密码算法等;(3)接口模块。所提供的借口能够连接于桥系统(计算机系统主板上);(4)Fiash。用作芯片上操作系统COS的储存;(5)RAM。用作中间结果的储存。
2.TPM芯片的基本工作原理分析
借助TPM芯片来保护计算机系统的基本方法:(1)将TPM芯片设于主板上;(2)在对息处理设备进行启动时,采用TPM芯片来对现阶段的底层固件是否完整进行验证,若正确,那么当正常的系统初始化完成后,便可执行步骤;(3)如果不正常,那么需将此信息处理设备停止使用;(4)借助底层固件对操作系统完整性进行验证,如果证明正确,那么便可正常运行操作系统,如果不正确,需要将操作系统的装入工作停止。上述便为在启动信息处理设备时,验证BIOS、操作系统、底层固件的方法,此操作能够为信息处理设备的安全启动提供切实保障;当启动设备后,借助TPM芯片当中的加密模块,生成各种密钥,且进行管理,以此是计算机当中的各应用模块均处于安全状态。
需要指出的是,信息处理设备当中的CPU连接于主板上的北桥,而北桥直接连于南桥及静态存储器,另外,南桥则分别连接于BIOS模块、超级输入/出接口等,与此同时,计算机主板所对应的CPU,经读写控制线,直接连接于安全芯片当中的BIOS模块,而安全芯片经完整性校验,来对主板上的BIOS模块有无被修改进行验证。需要指出的是,安全芯片无法预防BIOS被篡改,仅能在发现后,即刻停止计算机的启动,所以,仅能做到被动防护。
3.改进安全措施
3.1对TPM芯片设计进行改进
即在原先的芯片上,集成BIOS。在经过改进之后的TPM芯片当中,其主处理器模块在完成初始化之后,将芯片当中的BIOS程序启动,且对BIOS的操作到底是读或写操作进行判断,在对BIOS代码进行读之前,需先完成完整性验证且,在验证通过之后,可对操作系统及其它底层固件的完整性进行验证,对于那些身份得到验证的用户,准许其对BIOS代码进行修改;如此一来,在启动计算机系统时,可以较好的对BIOS、操作系统等展开完整性验证,防止外界攻击应用模块及操作系统。
3.2应用结构
针对安装有TPM芯片的计算机,对其进行上电操作,此时,TPM芯片当中的主处理器模块,会启动储存模块当中的芯片操作系统COS,以此种方式完成芯片内部的初始化,而在此之后,验证BIOS模块的读写过程;需要说明的是,BIOS模块当中的读写控制接口,连接于TPM芯片所在设备的CPU,并且对其所发出的读写信号进行接收;另外,BIOS模块当中的内部总线接口,连接于TPM芯片当中的主处理器模块,针对此时的主处理器模块而言,便会围绕读写BIOS模块的相关操作,对其实施严格化验证;还需说明的是,芯片所对应的接口模块,通常情况下,会连接于TPM安全芯片所处设备,在主处理器模块的辅助下,便能够实现外部设备与TPM芯片之间的信息交互。
3.3工作流程
基本流程为:(1)在计算机终端安全得以保障的前提下,比如用户首次使用时,能够生成BIOS的验证码,此外,还会生成底层固件的验证码,并且将其在TPM芯片中予以储存;而针对操作系统当中的验证码,需要在TPM芯片中储存。(2)当计算机终端处于加电状态时,计算机终端当中的TPM芯片开展初始化;(3)针对主板系统而言,其促使TPM芯片当中的BIOS的运行,TPM芯片依据信息处理设备所对应的CPU所传送的物理驱动信号,对BIOS到底是读或写进行判断;(4)TPM芯片将系统内部的BIOS代码读出,且对BIOS代码的完整性进行验证后,便可执行其它步骤;(5)准许完成身份认证的用户,更新TPM芯片当中的BIOS代码。
4.结语
综上,通过对TPM芯片的应用,能够在对BIOS启动前,对BIOS的完整性进行验证,以此达到对BIOS进行读写管理的目的;此外,还能够验证操作个及其它底层固件,进行读写控制,最终便能够达到安全启动计算机系统的目的。
参考文献:
[1]路士兵, 朱麟, 夏鑫. 一种基于TPM的数据链系统密钥管理方案[J]. 计算机技术与发展, 2019, 29(4):93-96.
[2]董攀, 丁滟, 江哲,等. 基于TEE的主动可信TPM/TCM设计与实现[J]. 软件学报, 2020, 31(5):156-169.
[3]陈良英. 基于智能安全技术的计算机虚拟信息过滤系统设计[J]. 计算机应用与软件, 2019, 36(12):322-326.
作者简介:
陈玉凡(1999-08-08),男,汉族,籍贯:海南省海口市,当前职务:学生,当前职称:学生,学历:本科,研究方向:信息管理与信息系统
林悦(1999-06-19),女,汉族,籍贯:海口,学历:本科,研究方向:信息管理与信息系统