[发明专利]一种通过BIOS和内核实现安全可信认证的方法

权利要求书

1.一种通过BIOS和内核实现安全可信认证的方法, 其特征在于步骤如下：

在BIOS的NVSTORAGE区域中添加对Linux内核签名进行解密的私钥，通过在UEFI BIOS中添加虚拟设备驱动程序，在DXE阶段的初期将虚拟设备驱动程序加载到UEFI运行环境中，在随后过程中，DXE驱动程序通过对BIOS的签名进行非对称加密，将加密后的结果保存于一块预先定义的保留内存区域，在BIOS自检结束后将Linux内核文件加载到内存中，通过搜索标志性字符，获得内核代码的加密签名，UEFI BIOS通过对NVSTORAGE的访问读取存储在其中的私钥，利用私钥对Linux内核签名进行解密，如果解密后的签名是可信任的，那么BIOS将跳转到内核代码进而将控制权移交给Linux操作系统，否则将提示用户Linux操作系统未通过认证，并提示用户是否继续运行,在Linux内核中添加代码，对BIOS的签名进行解密和认证，内核代码必须预先存储对BIOS签名进行解密用的私钥，Linux内核在获得可信认证并运行后，内核代码通过对内存的访问，获得BIOS启动过程中存储在保留内存区域中的BIOS加密签名，利用内核预先保留的私钥对BIOS签名进行解密，如果解密后的签名是可信任的，那么内核将继续运行并加载Linux操作系统至登陆界面，如果解密后的签名是不可信任的或者没有找到签名，那么内核代码将提示用户该Linux操作系统所运行的平台是未获得认证的，并提示用户是否继续运行。

2.根据权利要求1所述的安全可信认证的方法, 其特征在于移除对Linux内核的签名认证部分，只对BIOS签名进行认证，同时将BIOS中存储的私钥改变为对BIOS签名进行解密的私钥，Linux内核只对BIOS进行签名认证，BIOS不对Linux操作系统进行认证，那么使用未获得认证的Linux操作系统也可以启动，但是只有获得认证的内核是可信任的，虽然移除对Linux内核的签名认证部分，只对BIOS签名进行认证，相比对Linux操作系统的签名认证，安全性较低，但是能够判断出用户是否使用了认证的Linux操作系统，内核中无需存放私钥，公钥和私钥都由BIOS产生，BIOS可以对公钥和私钥进行动态更新，Linux内核通过对BIOS的访问获得私钥，并对内存中的BIOS签名进行解密。