Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

安全引导概览

Summary: 安全引导概览和解释的术语。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms

本文解释安全引导,并说明如何将其扩展到 Linux(特别是 RHEL7)。此外,它还提供对 Linux“可信内核引导”的一些见解,并为用户空间应用提供一些启示。  

安全引导旨在使用选项 ROM 和 MBR 等机制防止以下情况:引导时安装在内存中的根工具包加载到操作系统,将系统控制劫持并保持隐藏状态,让反恶意软件程序无法发现它们。  随着时间的推移,这个问题变得益发严重,在数据丢失/损坏和盗窃中起着重要作用。恶意软件可出现在 BIOS 和操作系统加载程序的中间。此外,它还可出现在操作系统加载程序和操作系统之间。

UEFI 是适用于现代服务器平台的硬件/软件接口的新标准,具有一系列丰富的 UI、模块性和标准接口,供 IHV 开发 UEFI 中的设备驱动程序,这些驱动程序能够在比传统 BIOS 环境更灵活的预引导环境中无缝地工作。操作系统和平台对 UEFI 的采用率继续增长,许多主要的客户端和服务器操作系统版本都支持 UEFI。 

在 Microsoft 的领导下,UEFI 标准机构确定了一种禁止安装启动时恶意软件根工具包的方法,该方法使用加载和执行未经修改且平台已知的二进制文件的机制。此机制称为安全引导 - 请参阅 Microsoft way of Secure boot(Microsoft 的安全引导方式),以了解 Microsoft 信息,不同操作系统供应商采用不同方法以相似的方式来实现安全引导。 

安全的 UEFI 平台只加载未经修改且受平台信任的软件二进制文件,例如选项 ROM 驱动程序、引导加载程序、操作系统加载程序。  UEFI 规格在这里详细描述了安全引导机制。  

UEFI 安全引导:

UEFI 规格定义了安全引导所需的基础架构。我们将简要介绍安全引导中使用的术语,以帮助那些希望更详细了解安全引导的人。

安全引导在运行时不保护系统及其数据。如果引导过程中没有对任何组件进行身份验证,则安全引导将停止引导到操作系统(这将阻止系统运行隐藏的恶意软件)。

这些关键字是安全引导的基础。UEFI Specification(UEFI 规格)讲述有关这些关键字的更多信息。这些规格详细介绍如何对二进制文件进行签名;具体请参阅第 28 节

经过身份验证的变量:UEFI 提供一项名为“经过身份验证的变量”的服务,这意味着只有经认证的模块或可信代码模块才能写入,即只有具备密钥证书的代码模块才能写入。但任何一方都可以解读这些变量。

平台密钥 (PK):平台密钥在平台所有者和平台制造商安装在 NVM 中的固件之间建立信任关系。

KEK:密钥交换密钥在操作系统和平台固件之间建立信任。KEK 由操作系统和/或希望与平台固件通信的第三方组件安装在平台中。

数据库:经授权的数据库,其中包含被授权与平台固件交互的代码模块的公钥和证书。

DBX:黑名单中的数据库。与这些证书匹配的任何代码模块都不允许开始加载。

签名:签名由将要签名的二进制文件的私钥和哈希生成。

证书:包含与用于为图像签名的私钥相对应的公钥的可信代码证书    

UEFI 平台固件将加载由证书颁发机构 (CA)(在此示例中是 Microsoft)签名的第三方驱动程序、选项 ROM 和操作系统加载程序。任何硬件供应商都可以在 UEFI BIOS 中编写驱动程序,并由 Microsoft 对其进行签名,以便在 UEFI 平台上运行。  OEM 在平台数据库中安装密钥的公共部分,并且 UEFI 加载程序协议服务会根据经授权的数据库验证二进制文件的签名,然后才允许它在平台上运行。这一系列的身份验证从 UEFI 持续到操作系统加载程序和操作系统。

总之,UEFI 允许运行已签名且其密钥存在于数据库中的操作系统加载程序。此密钥机制确保操作系统加载程序或选项 ROM 只有在得到任何一方的授权且未经修改时才能执行。

SLN311108_zh_CN__1i_OS&Application_Secure_Boot_overview_vb_v1
图1:UEFI 平台固件

Article Properties
Article Number: 000145423
Article Type: Solution
Last Modified: 21 Feb 2021
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.