CN110494856A - 用于计算设备安全启动的方法和装置 - Google Patents

Abstract

本发明提供用于计算设备安全启动的方法和装置。该方法包括生成公钥/私钥对并且对软件映像进行签名并且获得第一时间戳和第二时间戳。该方法还包括将已签名的软件映像、第一时间戳和第二时间戳组合成包并部署该包。在安全启动期间，该方法包括认证已签名的软件映像、第一时间戳和第二时间戳，并在认证通过时启动计算设备。如果认证过程失败，则计算设备中止启动计算设备。

Description

用于计算设备安全启动的方法和装置

技术领域

本发明涉及计算设备安全性领域，尤其涉及用于计算设备安全启动的方法和装置。

背景技术

众所周知，安全启动(Secure Boot)是由PC行业成员开发的安全标准，用于帮助确保PC仅使用PC制造商信任的软件进行启动。安全启动旨在尝试防止root工具包在启动时在内存中使用可选只读存储器(ROM，read only memory)和主启动记录(MBRs，master bootrecords)等机制加载到操作***(OS)，劫持***控制并对于反恶意软件程序保持隐藏状态。随着时间的推移，这个问题在数据丢失/损坏和盗窃方面发挥了重要作用。

统一可扩展固件接口(UEFI，unified extensible firmware interface)是现代服务器平台的硬件/软件接口的标准，其具有模块化和标准接口，用于独立硬件供应商(IHV，independent hardware vendor)在UEFI中开发在预引导环境中无缝工作的设备驱动器。跨操作***和平台的UEFI采用率持续增长，许多主要的客户端和服务器OS版本都支持它。

UEFI标准机构确定了一种方法，禁止使用加载和执行未经修改且平台已知的二进制文件的机制来安装启动时恶意软件root工具包。这种机制称为安全启动。

安全的UEFI平台仅加载未经修改且受平台信任的软件二进制文件，例如可选ROM驱动程序、启动加载程序、OS加载程序。UEFI规范定义了安全启动所需的基础结构。安全启动不会在***运行时保护***或其数据。如果在启动过程中未对任何组件进行认证，则安全启动将停止启动OS，从而尝试阻止***运行隐藏的恶意软件。

UEFI平台固件将加载由认证机构(CA)签名的第三方驱动程序，可选ROM和OS加载程序。原始设备制造商(OEM，original equipment manufacturer)可以在平台数据库(DB，platform database)中安装密钥的公共部分，并且UEFI加载器协议服务在其被允许在平台上运行之前验证二进制文件对授权DB的签名。该认证链从UEFI继续到OS加载程序和OS。允许基于UEFI运行已签名且其密钥存在于DB中的OS加载程序。这种密钥机制确保只有在经过授权且未经任何一方修改的情况下才允许执行OS加载程序或可选ROM。

但是，在涉及几个方面的证书认证时，安全启动装置面临挑战。首先，安全启动过程的信任root被永久地包含在该装置中。其次，在启动过程中没有网络连接可用于实时检查证书撤销状态，第三，在启动过程中没有可靠的实时时钟源可用于检查证书有效期。

由于上述限制，如果恶意行为者能够获取与任何级别的安全启动公钥基础结构(PKI，public key infrastructure)相关联的私钥，那他们将能够签署安全启动装置永久性接受的恶意软件。因此，即使是被永久地合并到装置中的信任root，并且可以非常严密地保护该root的相应私钥，例如，被离线存储在被锁定和监督的保险库中，对保险库的访问具有非常严格的策略和程序，最低级别私钥的盗窃会导致整个PKI泄露，所述最低级别私钥必须经常使用而因此其本身更容易受到攻击。

目前，这个问题有一些潜在的解决方案。第一种潜在的解决方案包括使用证书撤销列表(CRL，certificate revocation list)。例如，如果检测到签名密钥的泄露，则可以撤销中间证书并将该中间证书添加到可以经由固件更新被推送给安全启动设备的CRL。这种解决方案被认为存在几个潜在问题。这种解决方案意味着必须检测到泄露，这并非总是准确。此外，将CRL更新推送到潜在的数十亿物联网(IoT，Internet of Things)设备可能需要相当长的时间，从而为恶意行为者利用被盗密钥留下了大量的机会窗口。

另一种潜在的解决方案是拥有多个信任root。一些处理器提供多个一次性可编程寄存器(OTPR，one-time-programmable register)，用于存储信任root和使过期/泄露root失效的机制。例如，飞思卡尔iMX-6提供4个这样的OTPR和保险丝，其可以断开以防止读取该4个中的3个(第4个不能以这种方式“撤销”，因为这会使装置无法启动)。这种解决方案被认为存在几个潜在问题。这种解决方案意味着必须检测到泄露，这并非总是准确。此外，将CRL更新推送到潜在的数十亿IoT设备可能需要相当长的时间，从而为恶意行为者利用被盗密钥留下了大量的机会窗口。此外，额外的OTPR可能使装置更加昂贵，正因如此，许多IoT装置由于成本过高而不会包括这种能力。此外，如果黑客能够泄露一个PKI，他们可能会泄露所有这些PKI，因此很有可能同时泄露所有N个root。

因此，需要用于计算设备安全启动的方法和装置，其不受现有技术的一种或多种限制。

提供这个背景信息是为了揭示申请人认为可能与本发明相关的信息。任何前述信息不旨在或不应被解释为构成对抗本发明的现有技术。

附图说明

结合附图，通过以下详细描述，本发明的其他特征和优点将变得显而易见，其中：

图1示出了一种根据本发明实施例的计算设备安全启动的方法；

图2示出了一种根据本发明实施例的用于对软件映像进行签名的方法；

图3示出了一种根据本发明实施例的启动计算设备的方法，其中软件映像已经如图1中所示进行了签名；

图4示出了一种根据本发明实施例的硬件装置的示意图。

应注意，在所有附图中，相同的特征由相同的附图标记来标识。

具体实施方式

本发明提供一种用于计算设备安全启动的方法。该方法包括生成公钥/私钥对并且对软件映像进行签名并且获得第一时间戳和第二时间戳。该方法还包括将已签名的软件映像、第一时间戳和第二时间戳组合成包并部署该包。在安全启动期间，该方法包括认证已签名的软件映像、第一时间戳和第二时间戳，并且在认证通过时启动计算设备。如果认证过程失败，则计算设备中止启动计算设备。

图1示出了一种根据本发明实施例的计算设备安全启动的方法。如图1中所示的，计算设备的整个安全启动包括对软件映像进行签名以在计算设备启动期间使用，并且基于所签名的软件映像安全启动设备。

根据实施例，提供了一种用于对软件映像进行签名以在计算设备启动期间使用的方法。该方法包括步骤110生成公钥/私钥对并对软件映像进行签名，和步骤120获得第一时间戳和第二时间戳。该方法还包括步骤130将已签名的软件映像、第一时间戳和第二时间戳组合成包并部署该包。

根据实施例，本发明提供一种用于计算设备安全启动的方法。该方法包括获得包，该包包括已签名的软件映像、第一时间戳和第二时间戳。在安全启动期间，该方法包括步骤140认证已签名的软件映像、第一时间戳和第二时间戳，和步骤150在认证通过时启动计算设备。如果认证过程失败，则计算设备进行步骤160中止启动计算设备。

根据实施例，提供了一种用于对软件映像进行签名以在计算设备启动期间使用的装置以及一种用于计算设备安全启动的装置。这些装置中的每个装置包括处理器和存储机器可执行指令的机器可读存储器，当该机器可执行指令由处理器执行时，将该装置配置为用于执行如上所定义的各方法。

根据本发明的实施例，该用于计算设备安全启动的方法旨在通过限制恶意行为者必须对恶意软件进行被安全启动装置接受的签名的机会窗口及限制签名的私钥和相关的证书被盗来提升安全启动过程的安全性。根据实施例，这个用于计算设备安全启动的方法可以适用于基本上所有性质的采用安全启动特征的设备。根据一些实施例，该用于计算设备安全启动的方法可以适用于蜂窝调制解调器或网关或其他通信网络设备。

图2示出了一种根据本发明实施例的用于对软件映像进行签名以在计算设备启动期间使用的方法。

根据实施例，该用于对软件映像进行签名以在计算设备启动期间使用的方法可以包括以下步骤。最初，在要对软件映像进行签名时使用临时私钥。该方法包括步骤210生成临时密钥，其包括生成公钥/私钥对。该方法还包括步骤220使用私钥来对软件映像进行签名。随后的步骤是步骤230格式化包括公钥的证书签名请求(CSR，certificate signingrequest)和步骤240使用私钥对CSR进行签名。随后，步骤250丢弃或销毁私钥。根据实施例，认为私钥未被提交到持久存储是至关重要的。

根据实施例，该对软件映像进行签名以在计算设备启动期间使用的方法还包括步骤260计算已签名的软件映像的安全哈希并将哈希提交给时间戳服务中心(TSA)以便获取第一时间戳(TS1)。随后，在步骤270中将CSR提交到中间证书颁发机构(CA)，并在步骤280中获取具有第二时间戳(TS2)的带时间戳的签名证书。随后，捆绑了软件映像、软件映像证书、TS1和证书认证链。根据实施例，证书认证链包括已签名的证书，其包括TS2、中间CA证书(例如，带时间戳签名证书)和root CA证书。随后，部署这个包用于在计算设备的启动或导入期间使用。

根据实施例，在计算设备启动的时候，即在启动时，且在用认证链认证软件映像签名之前，执行以下检查，其中这些检查的结果确定是否能够启动计算设备或者是否中止计算设备的启动。图3示出了一种根据本发明实施例的用于计算设备的安全启动的方法。

根据实施例，步骤310初始检查是确定TS1是否存在且可信。这个检查的先决条件可以是TSA信任root被安全地存储在计算设备上以用于验证TS1。如果TS1不存在或不可信，则中止计算设备的启动。如果TS1存在且可信，则计算设备进行后续检查。

根据实施例，第二项检查是步骤320确定TS2是否存在且可信。根据实施例，期望使用相同的TSA来生成TS1和TS2两者。根据实施例，如果提供TS1的TSA不同于提供TS2的TSA，则要求这两个TSA信任root被安全地存储在计算设备上。如果TS2不存在或不可信，则中止计算设备的启动。如果TS2存在且可信，则计算设备进行后续检查。

根据实施例，第三项检查是步骤330确定TS1是否小于TS2。如果TS1大于或等于TS2，则中止计算设备的启动。如上文中关于用于对软件映像进行签名以在计算设备启动期间使用的方法中所定义的，在TS2之前请求TS1。同样地，TS2必须始终比TS1更新。例如，如果TS1大于TS2，则表明TS1在其存在期间被捕获并且被用于对另一个软件映像进行签名。根据实施例，这个第三项检查可以确保将恶意行为者窃取签名密钥的利用窗口限制于提供TS1和TS2之间的间隔。

根据一些实施例，可以进行第四项检查以确定是否开始计算设备的启动。第四项检查包括TS1和TS2之间的比较。根据实施例，第四项检查包括步骤340评估TS2减去TS1是否大于预定值。如果TS2减去TS1大于预定值，则进行步骤350中止计算设备的启动，否则进行步骤360可以开始计算设备的启动。根据实施例，这个第四项检查可以确定恶意行为者是否能够拖延获得TS1和TS2的过程以扩展利用窗口(例如，生成TS1和TS2之间的时间)，并且该过程的这种拖延具有长于X的时间框架，则证书不被接受，并且中止计算设备的启动。根据实施例，X的值可以由与计算设备相关联的安全策略或用于计算设备安全启动的方法的相关安全策略来定义。

根据实施例，上面定义的方法可以扩展到各种基于证书的认证，以便在检查证书到期的可靠时钟源和/或检查证书撤销状态的网络连接可能不可用的情况下提供帮助。

图4是根据本发明的不同实施例的硬件装置的示意图，该硬件装置可以例如执行本文中所描述的上述方法和特征的任何或所有步骤。如图所示，装置400包括处理器410、存储器420、非暂态大容量存储器430、I/O接口440、网络接口450和收发器460，所有这些都经由双向总线470通信地耦接。根据某些实施例，可以使用任何或所有所描绘的元素，或者仅使用该元素的子集。此外，装置可以包含某些元素的多个实例，例如多个处理器、存储器或收发器。而且，硬件装置的元件可以在没有双向总线的情况下直接耦合到其他元件。

存储器可以包括任何类型的非暂态存储器，例如静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、同步DRAM(SDRAM)、只读存储器(ROM)及其任何组合等。大容量存储元件可以包括任何类型的非暂态存储设备，例如固态驱动器、硬盘驱动器、磁盘驱动器、光盘驱动器、USB驱动器或被配置为存储数据和机器可执行程序代码的任何计算机程序产品。根据某些实施例，存储器或大容量存储器可以在其上记录可由处理器执行的语句和指令，用于如上所述地执行任何上述方法步骤。

通过前述实施例的描述，本发明可以仅通过使用硬件实施，也可以使用软件和必要的通用硬件平台来实施。基于这样的理解，本发明的技术方案可以以软件产品的形式体现。该软件产品可以被存储在非易失性或非暂态存储介质中，该存储介质可以是光盘只读存储器(CD-ROM)、USB闪存盘或可移动硬盘。该软件产品包括使计算机设备(个人计算机、服务器或网络设备)能够执行本发明实施例中所提供的方法的许多指令。例如，这样的执行可以对应于如本文中所描述的逻辑操作的模拟。该软件产品可以额外地或可替换地包括使计算机设备能够执行根据本发明实施例的用于配置或编程数字逻辑装置的操作的多个指令。

尽管已经参考本发明的具体特征和实施例描述了本发明，但显然可以在不脱离本发明的情况下对其进行各种修改和组合。因此，说明书和附图应简单地视为由所附权利要求限定的对本发明的说明，并且预期涵盖落入本发明范围内的任何和所有修改、变化、组合或等同物。

Claims (23)

1.一种用于计算设备安全启动的方法，所述方法包括：

生成公钥/私钥对并对软件映像进行签名；

获得第一时间戳和第二时间戳；

将已签名的软件映像、所述第一时间戳和所述第二时间戳组合成包；

部署所述包；

在安全启动期间，认证所述已签名的软件映像、所述第一时间戳和所述第二时间戳；

若认证通过，则启动所述计算设备。

2.根据权利要求1所述的方法，其中使用所述公钥/私钥对的私钥对所述软件映像进行签名。

3.根据权利要求2所述的方法，还包括格式化包括所述公钥/私钥对的公钥的证书签名请求(CSR)，并且使用所述私钥对所述CSR进行签名。

4.根据权利要求3所述的方法，还包括丢弃或销毁所述私钥。

5.根据权利要求1所述的方法，其中所述第一时间戳从时间戳服务中心收到。

6.根据权利要求1所述的方法，其中所述第二时间戳从中间证书颁发机构收到。

7.根据权利要求1所述的方法，其中认证所述已签名的软件映像包括确定所述第一时间戳是否存在和可信。

8.根据权利要求7所述的方法，其中认证所述已签名的软件映像包括确定所述第二时间戳是否存在和可信。

9.根据权利要求8所述的方法，其中认证所述已签名的软件映像包括确定所述第一时间戳是否小于所述第二时间戳。

10.根据权利要求9所述的方法，其中认证所述已签名的软件映像包括确定所述第二时间戳减去所述第一时间戳是否小于或等于预定值。

11.一种用于对软件映像进行签名以在计算设备启动期间使用的方法，所述方法包括：

生成公钥/私钥对并且对软件映像进行签名；

获得第一时间戳和第二时间戳；

将所述已签名的软件映像、所述第一时间戳和所述第二时间戳组合成包；

部署所述包以在计算设备启动期间使用。

12.根据权利要求11所述的方法，其中所述软件映像使用所述公钥/私钥对的私钥进行签名。

13.根据权利要求12所述的方法，还包括格式化包括所述公钥/私钥对的公钥的证书签名请求(CSR)，并且使用所述私钥对所述CSR进行签名。

14.根据权利要求13所述的方法，还包括丢弃或销毁所述私钥。

15.根据权利要求11所述的方法，其中所述第一时间戳从时间戳服务中心收到。

16.根据权利要求11所述的方法，其中所述第二时间戳从中间证书颁发机构收到。

17.一种用于计算设备安全启动的方法，所述方法包括：

获得包，所述包包括已签名的软件映像、第一时间戳和第二时间戳；

在安全启动期间，认证所述已签名的软件映像、所述第一时间戳和所述第二时间戳；

若认证通过，则启动所述计算设备。

18.根据权利要求17所述的方法，其中认证所述已签名的软件映像包括确定所述第一时间戳是否存在和可信。

19.根据权利要求18所述的方法，其中认证所述已签名的软件映像包括确定所述第二时间戳是否存在和可信。

20.根据权利要求19所述的方法，其中认证所述已签名的软件映像包括确定所述第一时间戳是否小于所述第二时间戳。

21.根据权利要求20所述的方法，其中认证所述已签名的软件映像包括确定所述第二时间戳减去所述第一时间戳是否小于或等于预定值。

22.一种用于对软件映像进行签名以在计算设备启动期间使用的装置，所述装置包括：

处理器；和

机器可读存储器，存储机器可执行指令，当所述机器可执行指令由所述处理器执行时，将所述装置配置为用于：

生成公钥/私钥对并且对软件映像进行签名；

获得第一时间戳和第二时间戳；

将已签名的软件映像、所述第一时间戳和所述第二时间戳组合成包；

部署所述包以在计算设备启动期间使用。

23.一种用于计算设备安全启动的装置，所述装置包括：

处理器；和

机器可读存储器，存储机器可执行指令，当所述机器可执行指令由所述处理器执行时，将所述装置配置为用于：

获得包，所述包包括已签名的软件映像、第一时间戳和第二时间戳；

在安全启动期间，认证所述已签名的软件映像、所述第一时间戳和所述第二时间戳；

若认证通过，则启动所述计算设备。