[发明专利]用于计算设备安全启动的方法和装置

说明书

本发明提供用于计算设备安全启动的方法和装置。该方法包括生成公钥/私钥对并且对软件映像进行签名并且获得第一时间戳和第二时间戳。该方法还包括将已签名的软件映像、第一时间戳和第二时间戳组合成包并部署该包。在安全启动期间，该方法包括认证已签名的软件映像、第一时间戳和第二时间戳，并在认证通过时启动计算设备。如果认证过程失败，则计算设备中止启动计算设备。

技术领域

本发明涉及计算设备安全性领域，尤其涉及用于计算设备安全启动的方法和装置。

背景技术

众所周知，安全启动(Secure Boot)是由PC行业成员开发的安全标准，用于帮助确保PC仅使用PC制造商信任的软件进行启动。安全启动旨在尝试防止root工具包在启动时在内存中使用可选只读存储器(ROM，read only memory)和主启动记录(MBRs，master bootrecords)等机制加载到操作系统(OS)，劫持系统控制并对于反恶意软件程序保持隐藏状态。随着时间的推移，这个问题在数据丢失/损坏和盗窃方面发挥了重要作用。

统一可扩展固件接口(UEFI，unified extensible firmware interface)是现代服务器平台的硬件/软件接口的标准，其具有模块化和标准接口，用于独立硬件供应商(IHV，independent hardware vendor)在UEFI中开发在预引导环境中无缝工作的设备驱动器。跨操作系统和平台的UEFI采用率持续增长，许多主要的客户端和服务器OS版本都支持它。

UEFI标准机构确定了一种方法，禁止使用加载和执行未经修改且平台已知的二进制文件的机制来安装启动时恶意软件root工具包。这种机制称为安全启动。

安全的UEFI平台仅加载未经修改且受平台信任的软件二进制文件，例如可选ROM驱动程序、启动加载程序、OS加载程序。UEFI规范定义了安全启动所需的基础结构。安全启动不会在系统运行时保护系统或其数据。如果在启动过程中未对任何组件进行认证，则安全启动将停止启动OS，从而尝试阻止系统运行隐藏的恶意软件。

UEFI平台固件将加载由认证机构(CA)签名的第三方驱动程序，可选ROM和OS加载程序。原始设备制造商(OEM，original equipment manufacturer)可以在平台数据库(DB，platform database)中安装密钥的公共部分，并且UEFI加载器协议服务在其被允许在平台上运行之前验证二进制文件对授权DB的签名。该认证链从UEFI继续到OS加载程序和OS。允许基于UEFI运行已签名且其密钥存在于DB中的OS加载程序。这种密钥机制确保只有在经过授权且未经任何一方修改的情况下才允许执行OS加载程序或可选ROM。

但是，在涉及几个方面的证书认证时，安全启动装置面临挑战。首先，安全启动过程的信任root被永久地包含在该装置中。其次，在启动过程中没有网络连接可用于实时检查证书撤销状态，第三，在启动过程中没有可靠的实时时钟源可用于检查证书有效期。

由于上述限制，如果恶意行为者能够获取与任何级别的安全启动公钥基础结构(PKI，public key infrastructure)相关联的私钥，那他们将能够签署安全启动装置永久性接受的恶意软件。因此，即使是被永久地合并到装置中的信任root，并且可以非常严密地保护该root的相应私钥，例如，被离线存储在被锁定和监督的保险库中，对保险库的访问具有非常严格的策略和程序，最低级别私钥的盗窃会导致整个PKI泄露，所述最低级别私钥必须经常使用而因此其本身更容易受到攻击。