UEFI(Unified Extensible Firmware Interface)中文译为统一的可扩展固件接口，是Intel提出的用于取代传统BIOS的新一代固件系统。它是一套介于平台固件与操作系统之间的接口与数据结构的定义集合。UEFI的具体内容取决于接口的实现者，并且不同开发者对于同一套接口的不同实现，只要遵循UEFI规范，就都可以互相兼容。UEFI BIOS具有很多上代BIOS所没有的优势，包括强大的跨平台兼容性、支持鼠标的图形操作界面、基于模块化的可扩展性以及开发难度的降低等。UEFI具有的这些优势使得UEFI BIOS得到快速发展，已经被越来越多的厂商作为下一代BIOS，预装入出厂设备中。UEFI BIOS的快速发展，也带来了一些迫切需要解决的问题，特别是安全方面的问题。UEFI的文件系统需要更大的存储空间，所以并不是存储于主板的ROM中，而是在硬盘中隔离出一个小分区作为存储空间。UEFI BIOS这种将文件系统保存在硬盘中的方式，虽然提高了性能，但也面临风险。保存在硬盘上的数据，极易受到攻击和篡改，尤其是UEFI更新时，由于可以直接从移动存储设备中获取更新文件，对更新文件缺少完整性和可信性的检测机制，更无法保证更新时的安全性。对于UEFI系统更新时面临的安全性问题，可以通过更新安全机制来解决。UEFI更新安全机制由分发、验证及执行三个模块组成，用以确保加载至系统的更新文件不受篡改、不受非法访问，并且与硬件兼容。本文的研究，主要集中于安全机制中的分发模块。分发模块主要供UEFI开发厂商，对其发布的UEFI BIOS更新文件进行处理，为其在文件原文之外，封装上一层可验证其安全性的外层数据，这样在更新安全机制的验证模块中，可以利用这一外层数据，检测更新文件是否受到篡改，是否为非法使用以及是否与硬件兼容。分发模块对更新文件的处理方法为，用数字签名技术确保更新文件不受篡改，用加密技术确保更新文件不受非法使用，通过向更新文件中写入描述信息来确保更新文件与主板的兼容性。总之，本文的内容，主要围绕UEFI BIOS更新安全机制中的分发模块展开，研究了分发模块保证更新文件不受篡改、盗用以及与硬件兼容的方法和技术，并对分发模块进行了设计与实现