论文部分内容阅读
可信计算是一种信息安全的新技术,它主要从硬件、固件、操作系统和应用等方面综合采取措施,将大多数不安全因素控制在终端源头。可信计算已经成为信息安全领域的热点研究问题,因为终端安全是信息系统安全的根源,加强对终端安全的保护有助于进一步确保网络的安全。 可信度量是可信计算中信任传递及构建信任链的关键技术之一。在终端PC上的可信度量主要包括两个过程:即系统引导阶段的度量和操作系统到应用的度量。在此背景下,本文提出一种基于UEFI BIOS的可信度量架构。分别研究基于UEFI BIOS的系统引导阶段完整性度量和针对应用的基于行为的软件可信动态度量。 首先,本文对基于UEFI BIOS的可信度量的总体架构和各个模块组成进行了说明,提出了结合UEFI BIOS自身特点设计度量架构的基本策略,同时根据度量的不同阶段分别选择完整性度量方法和可信动态度量方法。 接着,对可信度量架构中的可信度量方法分别进行研究。一方面,针对基于UEFI平台的系统启动阶段的可信度量,提出一种UEFI BIOS完整性度量方案。该方案结合UEFI的实现机制,分析完整性度量的度量对象、度量时间点以及度量结果的存储方式。它能够完成UEFI BIOS启动时各个阶段完整性度量、报告。另一方面,针对操作系统到应用阶段的可信度量,提出一种基于Pi演算的可信动态度量机制。以Pi演算为理论基础,以系统调用为研究对象,分析和描述软件行为。通过Pi演算对软件行为进行建模,并在此基础上提出一种软件可信性度量方法。通过等价性判断真实软件行为和可信软件行为的相似度,从而确定应用的可信性。 最后,本文对可信度量架构中所描述的UEFI BIOS启动时完整性度量方案进行了实验验证。实验证明完整性度量方案能够完成UEFI BIOS启动阶段的完整性度量、存储和报告,度量确保了信任的传递。 本文的研究为推动及实现基于UEFI的终端平台的可信度量提供了良好的理论和实践基础。