基于EDK2的UEFI变量检查的研究和实现

摘要

UEFI（统一可扩展固件接口）规范定义了操作系统与系统硬件平台固件之间的开放接口，PI（平台初始化）规范建立了固件内部接口架构以及固件和平台硬件间的接口。基于UEFI和PI规范实现的UEFI BIOS一般会存储在一个NOR非易失性块存储设备（如SPI FLASH）中。EDK2（EFI开发者套件2）作为一个现代、功能丰富且跨平台的UEFI BIOS固件开发环境已经被业界广泛使用。
　　NV Variable区域会占用NOR FLASH的几个区块，其存储容量有限，但其存储的数据却非常重要，这些数据包括平台配置信息、启动选项设定、用于安全启动的认证变量等等。UEFI Variable运行时服务定义了各部件访问Variable的接口。NV Variable的非易失性和UEFI Variable服务的运行时特性使得存储重要信息的NV Variable及NV Variable区域易受恶意程序的攻击，因此对NV Variable的保护就显得尤为重要。
　　本文分析了现有的保护和恢复机制-Variable Lock和平台配置Variable默认值恢复，以及Variable接口的安全性。针对各种可能的恶意攻击，很多情况下现有的保护和恢复机制并不能被使用，因此我们提出了新的保护和恢复机制-基于EDK2的变量检查来对NV Variable及NV Variable区域进行更好地保护。
　　本文研究和实现了新的保护和恢复机制-基于EDK2的UEFI变量检查，它利用UEFI和PI规范定义的访问Variable的各种服务及接口和Variable区域及Variable本身的特性，借鉴现代操作系统的磁盘空间配额管理方法，实现变量检查库和变量检查协议，通过属性检查、数据大小检查、语法检查、语义检查、配额管理、错误记录和恢复，来保证从UEFI Variable运行时服务的SetVariable接口传入的Variable属性、数据和数据大小的合法性，从而更好地对NV Variable及NV Variable区域进行保护。利用NT32模拟开发平台的验证测试结果反映出新的保护和恢复机制-基于EDK2的UEFI变量检查能很好地抵御恶意程序的攻击。

目录

声明

答辩决议书

术语表

第一章 绪论

1.1 论文背景

1.2 研究内容和目标

1.3 创新点和难点

1.4 论文结构

第二章 相关规范及开发环境

2.1 UEFI及PI规范

2.1.1 UEFI规范

2.1.2 PI规范

2.2 UEFI BIOS的启动流程

2.2.1 安全检测(SEC)阶段

2.2.2 EFI初始化准备(PEI)阶段

2.2.3 驱动程序执行环境(DXE)阶段

2.2.4 启动设备选择(BDS)阶段

2.2.5 瞬时系统加载(TSL)阶段

2.2.6 运行时(RT)阶段

2.2.7 生命周期后(AL)阶段

2.3 EDK2

2.3.1 包(Package)

2.3.2 库类/库实例(Library Class/Library Instance)

2.3.3 平台配置数据库(PCD)

2.4 本章小结

第三章 Variable接口及实现的分析

3.1 Variable接口

3.1.1 DXE阶段

3.1.2 PEI阶段

3.2 Variable存储区格式

3.3 Variable模块

3.3.1 DXE阶段

3.3.2 PEI阶段

3.4 本章小结

第四章 保护和恢复机制-UEFI变量检查的提出

4.1 Variable Lock

4.2 平台配置Variable默认值恢复

4.3 Variable接口安全性分析

4.4 UEFI变量检查的提出

4.4.1 属性和数据大小检查的提出

4.4.2 数据检查的提出

4.4.3 配额管理的提出

4.5 本章小结

第五章 保护和恢复机制-UEFI变量检查

5.1 变量检查模型的建立

5.1.1 针对Variable的属性和数据大小的篡改

5.1.2 针对Variable的数据的篡改

5.1.3 针对DoS攻击

5.2 基于UEFI的变量检查

5.3 基于HII的变量检查

5.4 基于PCD的变量检查

5.5 配额管理

5.6 验证测试

5.7 平台应用

5.8 本章小结

第六章 总结与展望

6.1 全文总结

6.2 展望

参考文献

致谢

攻读学位期间发表的学术论文