關鍵詞：UEFI；可信計算；身份認證；接(jie)入控制(zhi)

0?引(yin)?言

1?傳統身份認證技術(shu)的缺陷

2?UEFI與可(ke)信技術的(de)結合應用分析

3?系統組成

4?遠程身份認證流程

5?安全性分析

身(shen)份認(ren)證技術(shu)(shu)作為(wei)信息安全防護的(de)常用技術(shu)(shu)手段，已廣泛(fan)應用于各類信息系(xi)統，確(que)保接入用戶的(de)數字與物理(li)身(shen)份相符合，防止非法(fa)接入。隨(sui)著新(xin)技術(shu)(shu)的(de)發展，各種攻擊手段呈(cheng)現(xian)多元(yuan)化，對于身(shen)份認(ren)證技術(shu)(shu)也(ye)帶(dai)來新(xin)的(de)挑(tiao)戰。

傳(chuan)統(tong)身(shen)份(fen)認(ren)證(zheng)(zheng)(zheng)技術大多基(ji)于操作系統(tong)在軟(ruan)件層(ceng)面實(shi)現，通過(guo)身(shen)份(fen)認(ren)證(zheng)(zheng)(zheng)軟(ruan)件和數字證(zheng)(zheng)(zheng)書，實(shi)現用(yong)戶的身(shen)份(fen)認(ren)證(zheng)(zheng)(zheng)。由(you)于其(qi)依賴操作系統(tong)的特點，傳(chuan)統(tong)身(shen)份(fen)認(ren)證(zheng)(zheng)(zheng)技術存在以下局限(xian)和缺點：

（1）傳統的(de)身(shen)份認(ren)證技術缺乏在用(yong)戶客戶端(duan)平(ping)臺(tai)硬件啟動(dong)階段對客戶端(duan)進行(xing)身(shen)份認(ren)證，存在非(fei)授權(quan)客戶端(duan)平(ping)臺(tai)接入網絡的(de)現象(xiang)，為用(yong)戶網絡帶來(lai)潛在威脅(xie)。

（2）傳統(tong)的身份認(ren)證技術依賴于操(cao)作(zuo)系統(tong)，采(cai)用數字證書的軟件認(ren)證方(fang)式，容易受到病(bing)毒、木馬、身份仿冒等惡意攻擊，且存在被旁(pang)路繞過的風險。

針對上(shang)(shang)述(shu)問(wen)題，將客戶(hu)端(duan)(duan)平臺身(shen)份(fen)認證(zheng)進(jin)一步前置，在客戶(hu)端(duan)(duan)硬件平臺上(shang)(shang)電啟動伊始，通(tong)過網(wang)(wang)(wang)絡(luo)對其進(jin)行可信身(shen)份(fen)認證(zheng)，只有身(shen)份(fen)合(he)法的(de)用戶(hu)平臺可以接入網(wang)(wang)(wang)絡(luo)，實現(xian)客戶(hu)端(duan)(duan)的(de)安全準入控(kong)制，從而提(ti)高網(wang)(wang)(wang)絡(luo)的(de)安全性。

UEFI技術是一種基(ji)于標準接口的(de)計(ji)算(suan)機(ji)固件(jian)技術，具有跨平臺(tai)、功(gong)能(neng)擴(kuo)展方便的(de)特點。同時，UEFI BIOS內置了完善的(de)網(wang)絡(luo)協(xie)議棧，支(zhi)持UDP、TCP、FTP等網(wang)絡(luo)協(xie)議，可以在(zai)(zai)啟動(dong)階段(duan)提供完善的(de)網(wang)絡(luo)應用。除此之外，UEFI BIOS還支(zhi)持啟動(dong)階段(duan)從硬盤等存儲器件(jian)中獲取相關文件(jian)資源，這就為身份認(ren)證(zheng)在(zai)(zai)底層實現(xian)和(he)在(zai)(zai)啟動(dong)階段(duan)實現(xian)提供了基(ji)礎。同時，利(li)用可信計(ji)算(suan)的(de)可信密碼模塊（Trusted Cryptography Module，TCM），能(neng)夠為平臺(tai)提供加(jia)密和(he)認(ren)證(zheng)功(gong)能(neng)。

綜上所(suo)述，結合運用UEFI技(ji)(ji)術和可(ke)信(xin)技(ji)(ji)術，能(neng)夠在啟動階段，利用UEFI BIOS和操作系統之間的(de)(de)(de)隔離性，在系統啟動操作系統前(qian)，與認證(zheng)服(fu)務器相(xiang)互配合，實(shi)現設備的(de)(de)(de)遠程入網(wang)身份(fen)認證(zheng)，同時利用TCM的(de)(de)(de)加密功(gong)能(neng)，確(que)保認證(zheng)數據的(de)(de)(de)傳輸(shu)安全。因此，研究基于UEFI的(de)(de)(de)網(wang)絡可(ke)信(xin)身份(fen)認證(zheng)，能(neng)有效確(que)保客戶端(duan)平(ping)臺(tai)的(de)(de)(de)入網(wang)可(ke)控，同時擺脫認證(zheng)過程對操作系統的(de)(de)(de)依賴，避免木馬、病(bing)毒等惡意(yi)軟件的(de)(de)(de)攻擊。

基于UEFI的遠程可(ke)信身份(fen)認(ren)證方案(an)系統(tong)架構如圖(tu)1所(suo)示(shi)。

圖1   基于UEFI的遠程可信身份認證方案系統架構

系(xi)統由(you)用戶客(ke)戶端(duan)(duan)平(ping)臺和服務(wu)器(qi)端(duan)(duan)平(ping)臺構成。客(ke)戶端(duan)(duan)平(ping)臺在(zai)啟(qi)動(dong)過程中，由(you)UEFI固件收集(ji)平(ping)臺信(xin)息(xi)，通過TCM模塊，結合(he)加(jia)密、認證(zheng)(zheng)功能，請求進(jin)行身份(fen)認證(zheng)(zheng)。服務(wu)器(qi)端(duan)(duan)平(ping)臺對認證(zheng)(zheng)數據進(jin)行合(he)法性判別(bie)，并(bing)將身份(fen)認證(zheng)(zheng)結果反饋給客(ke)戶端(duan)(duan)，在(zai)啟(qi)動(dong)階段完成遠程身份(fen)認證(zheng)(zheng)、入網控制。

客戶端平臺UEFI可信增強(qiang)設計(ji)包(bao)括(kuo)四個部分。

（1）認證發(fa)起。

當(dang)客戶端平臺開機啟動時(shi)，UEFI主動向認證(zheng)服務(wu)器發出請求，包(bao)含證(zheng)書和認證(zheng)兩(liang)部分，將用戶身份(fen)、設備身份(fen)等認證(zheng)信(xin)息發送給認證(zheng)服務(wu)器進(jin)行認證(zheng)。

（2）TCM調(diao)用。

調用TCM密碼模塊，進行(xing)對(dui)稱(cheng)密碼運算(suan)和非對(dui)稱(cheng)密碼運算(suan)，實現(xian)簽名、驗(yan)簽、數(shu)據加密等密碼功能。

（3）信息幀(zhen)處理。

實現數字信(xin)(xin)封的封裝(zhuang)和解封裝(zhuang)。數字信(xin)(xin)封使用的數字簽(qian)名(ming)驗簽(qian)算(suan)法由(you)TCM模塊提供。

（4）證書管理。

對認證服(fu)務器(qi)頒發的(de)身份(fen)安全(quan)證書(shu)進行加密存儲(chu)和(he)本地管理，其中TCM模塊(kuai)完成(cheng)加密存儲(chu)。

服務(wu)器端(duan)(duan)平(ping)臺(tai)(tai)對(dui)(dui)(dui)客(ke)(ke)戶端(duan)(duan)平(ping)臺(tai)(tai)進行遠程注冊、認(ren)證(zheng)，為各客(ke)(ke)戶端(duan)(duan)平(ping)臺(tai)(tai)生成對(dui)(dui)(dui)應的身(shen)份(fen)安(an)全(quan)證(zheng)書(shu)并(bing)頒發給對(dui)(dui)(dui)應客(ke)(ke)戶端(duan)(duan)。服務(wu)器端(duan)(duan)平(ping)臺(tai)(tai)將針(zhen)對(dui)(dui)(dui)身(shen)份(fen)認(ren)證(zheng)數據開展合法性比對(dui)(dui)(dui)，并(bing)對(dui)(dui)(dui)客(ke)(ke)戶端(duan)(duan)平(ping)臺(tai)(tai)進行遠程身(shen)份(fen)認(ren)證(zheng)。服務(wu)器端(duan)(duan)平(ping)臺(tai)(tai)包(bao)括五(wu)個部分。

（1）網絡通信協議(yi)棧。

通過網絡接(jie)收認證請求，與客戶端平臺通信(xin)。

（2）信息(xi)幀處理(li)。

實(shi)現數(shu)字(zi)信(xin)封的封裝(zhuang)(zhuang)和解封裝(zhuang)(zhuang)。數(shu)字(zi)信(xin)封使用的數(shu)字(zi)簽名驗簽算法可(ke)以由軟件算法實(shi)現也(ye)可(ke)以由專門的密碼卡(ka)實(shi)現。

（3）身份安全(quan)證(zheng)書生成。

對客(ke)戶(hu)端平(ping)臺進行注冊(ce)審核，為通過審核的客(ke)戶(hu)端平(ping)臺生成安(an)全的身份(fen)證書(shu)，并對身份(fen)證書(shu)中(zhong)的隨(sui)機數進行更新(xin)，確保安(an)全、可靠。同時(shi)實現身份(fen)證書(shu)的存(cun)儲與銷毀操作。

（4）身份認(ren)證模塊。

對客戶(hu)端進行身份認證(zheng)，將接收數(shu)(shu)字信封形式的(de)身份認證(zheng)信息(xi)通過解封裝(zhuang)解密恢復出的(de)原(yuan)始數(shu)(shu)據，并(bing)與存儲的(de)客戶(hu)端身份認證(zheng)數(shu)(shu)據進行比對，完(wan)成用戶(hu)身份合(he)法(fa)性校驗(yan)，將認證(zheng)結(jie)果回復給用戶(hu)。

（5）用(yong)戶(hu)數據(ju)管理。

對客戶端的信息進行(xing)存儲和(he)管理，支(zhi)持增(zeng)減、修改、查詢(xun)身份(fen)信息。

身份(fen)(fen)認證(zheng)(zheng)流程包括了身份(fen)(fen)信息注冊和身份(fen)(fen)認證(zheng)(zheng)兩(liang)個(ge)步驟。

在身份(fen)(fen)(fen)注(zhu)冊步(bu)驟(zou)，客戶(hu)(hu)端(duan)平(ping)臺利用數字(zi)簽(qian)名(ming)(ming)保護身份(fen)(fen)(fen)信息(xi)(xi)，確(que)保信息(xi)(xi)正確(que)及完整。客戶(hu)(hu)端(duan)的(de)平(ping)臺身份(fen)(fen)(fen)密鑰(yao)（Platform identity key，PIK）由TCM模塊生成(cheng)，其本質(zhi)是一個(ge)公(gong)(gong)鑰(yao)密鑰(yao)算法密鑰(yao)組(zu)合，客戶(hu)(hu)端(duan)的(de)身份(fen)(fen)(fen)信息(xi)(xi)可通過(guo)PIK私鑰(yao)完成(cheng)數字(zi)簽(qian)名(ming)(ming)，將簽(qian)名(ming)(ming)、身份(fen)(fen)(fen)信息(xi)(xi)發(fa)送(song)給認證服務(wu)器。認證服務(wu)器存儲有(you)客戶(hu)(hu)端(duan)平(ping)臺相應的(de)PIK證書（及用戶(hu)(hu)PIK公(gong)(gong)鑰(yao)），服務(wu)器端(duan)利用PIK公(gong)(gong)鑰(yao)驗證客戶(hu)(hu)端(duan)發(fa)送(song)的(de)數字(zi)簽(qian)名(ming)(ming)信息(xi)(xi)，核(he)準平(ping)臺身份(fen)(fen)(fen)并頒發(fa)身份(fen)(fen)(fen)安全證書（安全證書中(zhong)包(bao)含服務(wu)器公(gong)(gong)鑰(yao)信息(xi)(xi)）。

身份(fen)信息注冊階(jie)段(duan)流程如下(xia)：

（1）客戶端平臺(tai)發送(song)設備注冊信息，客戶端平臺(tai)對(dui)設備信息使用(yong)自身(shen)的PIK私(si)鑰進(jin)行數字簽(qian)(qian)名(ming)，通過網絡將數字簽(qian)(qian)名(ming)、設備信息的組合數據發送(song)給認證(zheng)服(fu)務器(qi)。

（2）認證服務器接收(shou)注冊(ce)信(xin)息后，將客戶(hu)端(duan)設備(bei)信(xin)息、數(shu)(shu)(shu)字(zi)簽(qian)名解析出來后，使用數(shu)(shu)(shu)據(ju)庫中(zhong)匹配的(de)客戶(hu)端(duan)設備(bei)PIK公鑰，完(wan)成數(shu)(shu)(shu)字(zi)簽(qian)名驗(yan)(yan)簽(qian)，通過校驗(yan)(yan)設備(bei)信(xin)息完(wan)成驗(yan)(yan)證。若客戶(hu)端(duan)平臺合法，則通過驗(yan)(yan)證，給出合法客戶(hu)的(de)身份安全證書(shu)，并將其數(shu)(shu)(shu)據(ju)信(xin)息存儲(chu)在數(shu)(shu)(shu)據(ju)庫中(zhong)。

（3）認證服務器頒(ban)發證書，將(jiang)身份安全證書通過客戶端平(ping)臺PIK公鑰進行加(jia)密(mi)，發送給客戶端。

（4）客戶端平臺(tai)通過(guo)PIK私(si)鑰對收(shou)到的身(shen)份安全證(zheng)(zheng)書(shu)(shu)進行(xing)解(jie)密。通過(guo)身(shen)份安全證(zheng)(zheng)書(shu)(shu)中攜帶的認證(zheng)(zheng)服務(wu)器公鑰，驗證(zheng)(zheng)證(zheng)(zheng)書(shu)(shu)簽名合法(fa)性(xing)，并獲(huo)取證(zheng)(zheng)書(shu)(shu)中的隨機數(shu)。

身(shen)份信息注冊(ce)階(jie)段流程如圖2所(suo)示。

圖2   身份信息注冊階段流程

在身份(fen)(fen)認(ren)(ren)證(zheng)階段，由(you)于客(ke)(ke)戶(hu)(hu)端平臺和(he)認(ren)(ren)證(zheng)服務器相互獲取了對方的(de)(de)公鑰，在客(ke)(ke)戶(hu)(hu)端和(he)服務器端利(li)用數字(zi)信(xin)封的(de)(de)方式對傳(chuan)輸(shu)的(de)(de)信(xin)息(xi)進行(xing)加密，提(ti)高認(ren)(ren)證(zheng)的(de)(de)安全性。身份(fen)(fen)認(ren)(ren)證(zheng)的(de)(de)流程(cheng)如下(xia)：

（1）客戶端平(ping)臺(tai)上(shang)電(dian)開機，可信UEFI固(gu)(gu)件(jian)程(cheng)序啟動，在進入操作系(xi)統之前(qian)，UEFI固(gu)(gu)件(jian)通過證(zheng)(zheng)(zheng)(zheng)書管理模(mo)塊對身(shen)份(fen)安全證(zheng)(zheng)(zheng)(zheng)書中的認證(zheng)(zheng)(zheng)(zheng)隨(sui)機數和身(shen)份(fen)安全證(zheng)(zheng)(zheng)(zheng)書公鑰(yao)信息(xi)進行(xing)查詢。

（2）客(ke)戶(hu)端(duan)平臺發送身份認證請求給認證服(fu)(fu)務器，通過身份安(an)全證書(shu)公鑰以(yi)及隨(sui)機數(shu)加密(mi)得到(dao)密(mi)文信(xin)(xin)息，生成數(shu)字信(xin)(xin)封并發送至認證服(fu)(fu)務器。

（3）認(ren)證(zheng)服務(wu)器(qi)端(duan)開展身(shen)(shen)(shen)(shen)份認(ren)證(zheng)，并對(dui)身(shen)(shen)(shen)(shen)份安(an)全(quan)證(zheng)書進(jin)行(xing)(xing)更(geng)新。首(shou)先，認(ren)證(zheng)服務(wu)器(qi)對(dui)客戶端(duan)平臺數(shu)字信(xin)封進(jin)行(xing)(xing)解封裝，使用(yong)相應客戶端(duan)的(de)PIK公(gong)鑰來(lai)進(jin)行(xing)(xing)簽名驗證(zheng)，然(ran)后使用(yong)身(shen)(shen)(shen)(shen)份安(an)全(quan)證(zheng)書私鑰進(jin)行(xing)(xing)解密運算，恢復數(shu)字信(xin)封中(zhong)的(de)認(ren)證(zheng)隨(sui)機數(shu)。比對(dui)解密得到的(de)認(ren)證(zheng)隨(sui)機數(shu)和數(shu)據庫中(zhong)存(cun)儲的(de)隨(sui)機數(shu)，判斷身(shen)(shen)(shen)(shen)份是否合(he)法。如身(shen)(shen)(shen)(shen)份合(he)法，認(ren)證(zheng)服務(wu)器(qi)對(dui)身(shen)(shen)(shen)(shen)份安(an)全(quan)證(zheng)書中(zhong)的(de)隨(sui)機數(shu)進(jin)行(xing)(xing)更(geng)新，并記錄至數(shu)據庫中(zhong)，供下一次(ci)身(shen)(shen)(shen)(shen)份驗證(zheng)使用(yong)；如果身(shen)(shen)(shen)(shen)份非法，則禁止客戶端(duan)平臺入(ru)網，從而保護網絡安(an)全(quan)。

（4）認(ren)證(zheng)服務器端對新證(zheng)書中的(de)(de)認(ren)證(zheng)隨機進行封裝，通過身份安全證(zheng)書的(de)(de)私鑰進行數(shu)字簽名(ming)，發(fa)送(song)給客戶(hu)端平臺。

（5）客戶(hu)端平臺(tai)收到數字信封(feng)數據，進行(xing)解密，得(de)到數字信封(feng)中更新的認證(zheng)隨機數，供下一次(ci)認證(zheng)使用(yong)。

身(shen)份信息認證流程(cheng)如圖3所示。

圖3   身份信息認證流程

基(ji)于UEFI的遠程可信身份認證能夠有效防護(hu)常見的惡意攻擊(ji)。

（1）針對(dui)重放(fang)攻擊，采用身份安全(quan)證(zheng)書更(geng)(geng)新(xin)機(ji)制，每次認證(zheng)均(jun)會進(jin)行更(geng)(geng)新(xin)，攻擊者無法利(li)用以(yi)往的數據對(dui)認證(zheng)服務器進(jin)行欺騙，可有效提高安全(quan)性。

（2）針對中(zhong)間人攻(gong)擊(ji)，采用了TCM對認證(zheng)數(shu)據進行加(jia)密，身份(fen)安(an)全證(zheng)書數(shu)據被(bei)中(zhong)間人獲取，但(dan)證(zheng)書數(shu)據無法被(bei)攻(gong)擊(ji)者破(po)譯，認證(zheng)服(fu)務器不(bu)會被(bei)欺騙，可(ke)有(you)效(xiao)避免中(zhong)間人攻(gong)擊(ji)。

（3）針對旁路攻(gong)擊，TCM對密(mi)碼(ma)運算和身(shen)份認證數據進(jin)行加(jia)密(mi)存儲，可有效抵御旁路攻(gong)擊。

基于UEFI固件(jian)的(de)可信(xin)身(shen)(shen)份認證(zheng)(zheng)，能在固件(jian)層實(shi)現載入操作系(xi)統前對接入終(zhong)端平臺進行(xing)身(shen)(shen)份認證(zheng)(zheng)，通過UEFI BIOS與操作系(xi)統具有隔離(li)性(xing)，確保身(shen)(shen)份認證(zheng)(zheng)過程安(an)全性(xing)，抵抗操作系(xi)統中(zhong)的(de)惡(e)意(yi)代碼(ma)攻擊(ji)。同(tong)時，利(li)用TCM等技術提(ti)高安(an)全性(xing)，保證(zheng)(zheng)認證(zheng)(zheng)數據的(de)安(an)全性(xing)。