嚴霄鳳

工業(yè)和信息化部計算機與微電子發(fā)展研究中心(中國軟件評測中心)北京 100048

0 引言

計算機基本輸入/輸出系統(tǒng)(Basic Input/Output System,BIOS)是固化在計算機主板上一個ROM芯片中，計算機通電后首先執(zhí)行的一組程序，是硬件與軟件程序之間的接口。其功能包括上電自檢及初始化、硬件中斷處理、程序服務處理等。為計算機提供最底層、最直接的硬件控制，在計算機系統(tǒng)中起著非常重要的作用。

由于BIOS在計算機架構(gòu)中獨特和優(yōu)越的位置，使其成為整個計算機系統(tǒng)的關鍵和靈魂。運行在BIOS級別上的代碼將對計算機系統(tǒng)具有很強的控制能力，BIOS一旦受到惡意破壞將可能直接導致整個硬件系統(tǒng)癱瘓。如果攻擊者作為針對企業(yè)的復雜、有針對性網(wǎng)絡攻擊的一部分，對BIOS進行惡意修改將可能造成永久的拒絕服務攻擊(如，損壞BIOS)或使惡意軟件長期存在(如，在BIOS中植入惡意軟件)。

1 BIOS

BIOS固件有幾種不同的類型。一些計算機使用16位的傳統(tǒng) BIOS，而許多新的系統(tǒng)使用基于統(tǒng)一可擴展固件接口(Unified Extensible Firmware Interface,UEFI)規(guī)范的引導固件。

系統(tǒng) BIOS通常由原始設備制造商(OEM)和獨立 BIOS供應商開發(fā)，并利用計算機硬件分發(fā)到最終用戶。制造商經(jīng)常通過更新系統(tǒng)固件來修復錯誤、為漏洞打補丁和支持新的硬件。系統(tǒng) BIOS通常存儲在電可擦除可編程只讀存儲器(Electrically Erasable Programmable Read-Only Memory，EEPROM)或其他形式的閃存上，并可由最終用戶修改。

對于一個給定的計算機系統(tǒng)，除了主板之外，BIOS還可能存在于硬盤驅(qū)動器控制器、顯卡、網(wǎng)卡上及其他附加卡上。這類固件通常采用擴展ROM的形式，在引導過程中由系統(tǒng)固件裝載和執(zhí)行。

1.1 BIOS的作用

系統(tǒng)BIOS的主要功能是初始化硬件組件和加載操作系統(tǒng)，其啟動過程通常包括以下幾個階段：

(1)執(zhí)行可信核心根：系統(tǒng)BIOS可能包括一個小的固件核心塊——通常稱為BIOS引導塊，BIOS引導塊被首先執(zhí)行并能夠驗證其他固件組件的完整性。對于可信計算應用，系統(tǒng)BIOS還可能包含度量可信核心根(CRTM)。

(2)初始化和測試底層硬件：在啟動過程中，系統(tǒng)BIOS初始化并測試計算機系統(tǒng)硬件的關鍵件，包括主板、芯片組、內(nèi)存和CPU等。

(3)加載并執(zhí)行附加固件模塊：系統(tǒng)BIOS執(zhí)行固件附加件，擴展系統(tǒng)BIOS的能力或初始化啟動系統(tǒng)所需的其它硬件組件。這些附加模塊可以存儲在與系統(tǒng) BIOS相同的 flash memory或初始化的硬件設備(如，視頻卡、局域網(wǎng)卡)中。

(4)選擇引導設備：配置系統(tǒng)硬件后，系統(tǒng)BIOS搜索引導設備(如，硬盤驅(qū)動器、光盤驅(qū)動器、USB驅(qū)動器)，并執(zhí)行存儲在設備上的引導加載程序。

(5)加載操作系統(tǒng)：在 BIOS仍然控制著計算機的情況下，引導加載程序開始加載和初始化操作系統(tǒng)內(nèi)核。當內(nèi)核可用時，將計算機系統(tǒng)的主控制權從系統(tǒng)BIOS傳給操作系統(tǒng)。

另外，系統(tǒng)BIOS加載系統(tǒng)管理中斷(SMI)處理程序并初始化高級配置和電源接口(ACPI)表及其代碼，為運行中的計算機系統(tǒng)提供重要的系統(tǒng)管理功能，如電源和散熱管理等。

1.2 BIOS更新

合理更新系統(tǒng)BIOS的幾種合法機制包括：

(1)用戶啟動更新：系統(tǒng)和主板制造商通常為用戶提供能夠更新系統(tǒng)BIOS的實用程序。今天大多數(shù)廠商提供的工具可以對用戶正常運行的系統(tǒng)更新系統(tǒng) BIOS。根據(jù)系統(tǒng)上實現(xiàn)的安全機制，這些工具可能直接更新系統(tǒng)BIOS或在下次系統(tǒng)重啟時進行更新。

(2)管理更新：計算機系統(tǒng)可能具有基于硬件和軟件的代理，允許系統(tǒng)管理員遠程更新系統(tǒng)BIOS。

(3)回滾：在應用BIOS前對更新進行認證的BIOS實現(xiàn)方法也可以在更新過程中檢查版本號。在這種情況下，系統(tǒng)BIOS可能進行一個特殊的更新過程，將安裝的固件回滾到一個以前安裝的版本，防止攻擊者用具有已知漏洞的固件刷新閃存。

(4)人工恢復：為了從被損壞或發(fā)生故障的系統(tǒng) BIOS中恢復，許多計算機系統(tǒng)允許用戶在啟動過程中，在用戶親自參與的情況下，用已知良好的版本和配置取代正在使用的系統(tǒng)BIOS。

(5)自動恢復：有些計算機系統(tǒng)能夠檢測系統(tǒng) BIOS的損壞，并從主系統(tǒng)BIOS的一個單獨存儲位置(如，第二個閃存芯片，或硬盤驅(qū)動器上的一個隱藏分區(qū))的備份固件鏡像中恢復。

為了保證只有真實、合法的BIOS映像可以存儲在閃存中，需要確保BIOS更新機制的安全?？蛻舳讼到y(tǒng)通常只有一條更新BIOS的路徑，而服務器系統(tǒng)可能實現(xiàn)多種更新機制，使管理員能夠從不同的環(huán)境更新 BIOS。對于服務器系統(tǒng)，經(jīng)認證的BIOS更新機制包括以下三種類型：

(1)更新機制1：隨時可進行BIOS更新?？梢圆豢紤]服務器的運行狀態(tài)安全進行BIOS更新。

(2)更新機制2：重啟時進行BIOS更新。在服務器運行時啟動BIOS閃存處理，但直到系統(tǒng)重啟時才對BIOS閃存進行實際更新。

(3)更新機制3：重啟時進行BIOS驗證。在每次引導程序執(zhí)行前驗證BIOS的真實性，只有通過認證的BIOS才被執(zhí)行。

此外，某些服務器可能不使用這三個經(jīng)認證的更新機制，而使用安全本地更新機制更新系統(tǒng)BIOS。

1.3 更新可信根

基本服務器的體系架構(gòu)類似于具有單一BIOS更新機制的客戶端PC系統(tǒng)。通常情況下，基本服務器上的更新可信根(RTU)是系統(tǒng)BIOS的一部分。硬件保護可以集成使用可信平臺模塊(TPM)和基于芯片組的鎖定機制。

RTU是硬件和固件的可信組合，執(zhí)行BIOS安全更新并保持BIOS的完整性。RTU可能具有驗證經(jīng)數(shù)字簽名的映像、啟動和停止寫保護機制、將BIOS更新寫入閃存、執(zhí)行BIOS恢復以及更新RTU本身等功能。RTU本質(zhì)上可信的基礎是通過一個獨立的運行環(huán)境將破壞RTU功能的風險降到最低，從而保持RTU固有的可信性。RTU的每個功能組件可以看作特定功能的一個可信根：

(1)驗證組件：驗證經(jīng)數(shù)字簽名的映像，決定是否應將控制傳給映像。因為該組件是從已知良好的機器狀態(tài)進入的，所以具有可信的執(zhí)行路徑。驗證組件可以用于將可信執(zhí)行擴展到缺乏完整性保護的代碼。

(2)恢復組件：負責將機器返回到一個已知的良好狀態(tài)。

(3)完整性組件：負責保持映像的完整性。

(4)更新組件：執(zhí)行RTU的安全更新，保持RTU的完整性。

2 BIOS面臨的安全風險

系統(tǒng)BIOS的安全性問題可以歸結(jié)為其完整性保護的問題，系統(tǒng)BIOS完整性可能面臨各種不同的攻擊威脅。系統(tǒng)BIOS完整性遇到的第一個威脅來自系統(tǒng)通過供應鏈從制造商到用戶的過程。在系統(tǒng)BIOS安全到達用戶的情況下，在系統(tǒng)的整個生命周期中系統(tǒng) BIOS完整性面臨的風險可能包括：

(1)用戶安裝惡意系統(tǒng)BIOS。通常用戶更新系統(tǒng)BIOS的主要方法是利用BIOS更新工具進行BIOS更新操作。在用戶親自訪問計算機系統(tǒng)的情況下，通常沒有什么辦法防止用戶安裝未經(jīng)批準的BIOS映像。

(2)惡意軟件修改系統(tǒng)BIOS。惡意軟件利用弱BIOS安全控制或系統(tǒng)BIOS本身的漏洞對系統(tǒng)BIOS進行刷新或修改。通常目的的惡意軟件一般不包含這樣的功能，但是一個針對企業(yè)的攻擊可能直接把目標指向企業(yè)的系統(tǒng) BIOS。惡意的系統(tǒng)BIOS可能通過網(wǎng)絡或利用介質(zhì)傳遞到系統(tǒng)。

(3)系統(tǒng)管理工具對系統(tǒng)BIOS進行攻擊?；诰W(wǎng)絡的系統(tǒng)管理工具可以被攻擊者用來進行企業(yè)范圍內(nèi)系統(tǒng)BIOS的攻擊。例如，假設一臺企業(yè)維護的，用于企業(yè)部署，執(zhí)行系統(tǒng)BIOS更新功能的服務器受到攻擊，被攻破的服務器可能將惡意的系統(tǒng)BIOS傳播到整個企業(yè)的計算機系統(tǒng)。

(4)將系統(tǒng)BIOS回滾到脆弱的版本。這是一種特別隱秘的攻擊，因為此時的系統(tǒng)BIOS雖然是真實的(即來自于制造商的)，但它存在漏洞，是很脆弱的，很容易受到攻擊。

對于服務器，同樣容易受到威脅客戶端系統(tǒng)相同形式的BIOS攻擊。另外，服務器還將面臨以下方面的風險：

(1)更新機制存在漏洞。服務器具有多個 BIOS更新機制，每個機制都可能存在漏洞，更新機制之間的交互還可能帶來額外的安全漏洞。

(2)管理網(wǎng)絡缺乏必要保護。服務器中的服務處理器(SP)擁有更高的權限來執(zhí)行系統(tǒng)管理，其中可能包括對BIOS的修改。雖然 SP可以通過一個獨立的通信通道控制，但對此通道未經(jīng)授權的訪問將對服務器造成很大的風險。通常對數(shù)據(jù)網(wǎng)絡有許多專門的安全保護，但對管理網(wǎng)絡可能缺乏必要的審查和保護。

(3)BIOS備份被惡意修改。如果安全保護不充分，攻擊者很容易對備份在服務器上的BIOS映像實施改寫攻擊。對BIOS備份修改后，攻擊者可以采用相應的方式使服務器重新啟動被感染的BIOS備份映像。

3 BIOS風險緩解

BIOS安全是安全系統(tǒng)的一個重要組成部分。作為引導過程中第一個執(zhí)行的代碼，系統(tǒng)BIOS被系統(tǒng)中的硬件和軟件組件隱含認為是可信的。系統(tǒng)BIOS風險緩解的主要工作是防止攻擊者對系統(tǒng)BIOS進行未經(jīng)授權的修改，保證其完整性?？蛻舳讼到y(tǒng)的安全風險緩解措施——BIOS更新認證、閃存區(qū)域完整性、安全本地更新和防止旁路，直接適用于服務器級，其目的是減輕針對系統(tǒng)BIOS的高級持續(xù)性攻擊的風險。另外，由于服務器體系結(jié)構(gòu)的復雜性和服務器具有的BIOS多更新路徑的特點，還應對BIOS映像進行授權和認證，確保BIOS映像的完整性和來源的正確性。

3.1 BIOS安全

通過保護BIOS更新機制的安全，確保在BIOS被配置后能夠保持其完整性。安全的BIOS更新機制應包括：

(1)一個驗證BIOS更新真實性和完整性的過程；

(2)一個確保不能從安全更新過程之外修改BIOS的機制。

通過認證來驗證BIOS更新映像是否由真實的來源產(chǎn)生且沒有被改變。

3.1.1 BIOS更新認證

經(jīng)認證的BIOS更新機制采用數(shù)字簽名確保BIOS更新映像的真實性。使用經(jīng)認證的BIOS更新機制更新BIOS，應有一個RTU，其中包含一個簽名驗證算法和密鑰存儲，密鑰存儲應包括驗證BIOS更新映像簽名所需的公鑰或合法的密鑰加密哈希值。密鑰存儲和簽名驗證算法應以保護方式存儲在計算機系統(tǒng)上，并保證只能通過經(jīng)認證的更新機制或安全本地更新機制進行修改。在RTU內(nèi)存儲空間有限的情況下，BIOS更新映像的驗證可以分兩個階段建立：(1)驗證所提供公鑰的加密哈希值，(2)利用所提供的公鑰驗證BIOS更新的簽名。

經(jīng)認證的更新機制應確保BIOS更新映像已經(jīng)過數(shù)字簽名，并且可以在更新BIOS前使用RTU中的密鑰驗證數(shù)字簽名。恢復機制也應使用經(jīng)認證的更新機制，或滿足安全本地更新的要求。RTU應能防止未授權將BIOS更新到一個較早的真實版本。例如，通過驗證確保更新BIOS映像的版本號高于當前使用BIOS映像的版本號。

3.1.2 安全本地更新

BIOS可以選擇使用安全本地更新機制代替經(jīng)認證的更新機制對系統(tǒng)BIOS進行更新。安全本地更新機制，應僅用于加載第一個BIOS映像或從不能使用經(jīng)認證的更新機制對損壞的系統(tǒng)BIOS進行修復的情況。安全本地更新機制應通過要求管理員本人親自參與服務器更新操作，確保BIOS更新映像的真實性和完整性，降低遠程攻擊者執(zhí)行惡意代碼將BIOS映像改寫為一個虛假系統(tǒng)BIOS映像的風險。進行安全本地更新，可以通過要求在允許更新系統(tǒng)BIOS前輸入管理員口令或解鎖物理鎖(如，主板上的跳線)實現(xiàn)進一步的安全保護。

3.1.3 固件完整性保護

為了防止執(zhí)行虛假或惡意的BIOS代碼，在啟動過程中，應保持系統(tǒng)BIOS驗證和系統(tǒng)BIOS執(zhí)行之間系統(tǒng)BIOS的完整性。

為了防止在經(jīng)認證的BIOS更新過程之外意外或惡意修改系統(tǒng)BIOS，應采用適當?shù)臋C制保護系統(tǒng)BIOS，確保不能從經(jīng)認證的BIOS更新過程之外修改BIOS。確保系統(tǒng)BIOS完整性的保護機制，應在 RTU外部的代碼執(zhí)行之前引用。BIOS完整性保護應通過硬件機制強制執(zhí)行，并只能通過合法的機制(如，系統(tǒng)復位)停止。

如果可以在經(jīng)認證的 BIOS更新機制之外修改系統(tǒng)BIOS(如，無法鎖定閃存)，則應在每個更新前使用RTU驗證組件認證BIOS映像的完整性。如果認證失敗，RTU應將其自動恢復到受保護的真實 BIOS。自動恢復機制可降低拒絕服務攻擊(如，攻擊者可能加載一個不真實的BIOS，將系統(tǒng)置于無法開機的狀態(tài))的風險。

應保護每個 RTU避免來自經(jīng)認證的更新機制外部的修改。確保RTU完整性的保護機制應在RTU外部的代碼執(zhí)行前引入。RTU完整性保護應通過硬件機制強制執(zhí)行，并只能通過合法的機制(如，系統(tǒng)復位)停止。

3.1.4 防止旁路

除了通過用戶親自參與的安全本地更新機制外，經(jīng)認證的BIOS更新機制應是對系統(tǒng)BIOS進行修改的唯一機制。系統(tǒng)及相應的系統(tǒng)組件和固件的設計應確保，除了用戶親自參與的安全本地更新機制外，不存在繞過經(jīng)認證的更新機制安裝和執(zhí)行未經(jīng)認證的BIOS代碼的方法。任何能夠繞過經(jīng)認證的更新機制的方法都可能形成漏洞，允許惡意軟件修改系統(tǒng)BIOS或用非法BIOS映像覆蓋系統(tǒng)閃存。

經(jīng)認證的更新機制應是對RTU進行修改的唯一機制。除了用戶親自參與的安全本地更新機制外，不應存在繞過經(jīng)認證的更新機制修改RTU的方法。

為了獲得對性能和管理的改進，計算機平臺實現(xiàn)的功能可以讓系統(tǒng)部件能夠直接訪問 RTU或系統(tǒng) BIOS，具有對BIOS閃存的讀訪問權限，但應防止系統(tǒng)組件直接修改系統(tǒng)BIOS。

3.2 更新機制安全

一個服務器可以實現(xiàn)三個典型安全BIOS更新機制中的一個或多個，實施的方法取決于平臺上的硬件支持。這些方法的區(qū)別在于，什么時候可以建立一個RTU，并且閃存安全鎖定機制可用，以防止意外或惡意修改BIOS閃存中存儲的代碼和數(shù)據(jù)。所有的機制都依賴于一個數(shù)字簽名的BIOS更新映像，以及使用公鑰驗證該映像簽名的RTU驗證組件的能力。

3.2.1 更新機制1：隨時可進行BIOS更新

更新機制 1可以在系統(tǒng)運行時使用 SMI處理程序、SP或其他安全方法更新BIOS閃存，而不要求重啟系統(tǒng)。新的BIOS在系統(tǒng)重啟時執(zhí)行。執(zhí)行此BIOS更新機制要求：

(1)按照BIOS更新認證要求對BIOS更新映像進行數(shù)字簽名。

(2)運行時可用一個RTU更新BIOS閃存。

(3)存在一個鎖定機制，使得只有RTU可以寫入BIOS閃存。

(4)將數(shù)字簽名的BIOS更新映像傳給一個RTU，RTU有能力將BIOS更新映像存儲在不允許對BIOS更新映像進行未授權寫訪問的位置。

實施此機制的一般步驟是：

(1)將數(shù)字簽名的BIOS更新映像傳送給RTU。

(2)RTU將BIOS更新映像存儲在只能被RTU寫入的位置。

(3)RTU驗證BIOS更新映像的真實性。

(4)RTU將通過認證的BIOS更新映像寫入BIOS閃存。

(5)RTU依據(jù)固件完整性保護要求，確保在將控制傳給RTU外部的代碼(如，擴展ROM)之前鎖定BIOS閃存。

此安全更新機制能夠防止將虛假的代碼寫入 BIOS閃存，所以在啟動過程中沒有必要驗證BIOS。

3.2.2 更新機制2：重啟時進行BIOS更新

更新機制2在服務器運行時啟動BIOS閃存處理，但是，直到服務器重新啟動時才進行實際的 BIOS閃存更新。此BIOS更新機制能夠防止將虛假的代碼被寫入BIOS閃存。執(zhí)行此BIOS更新機制要求：

(1)按照BIOS更新認證要求對BIOS更新映像進行數(shù)字簽名。

(2)存在一個鎖定機制，使得運行時只有RTU可以寫入BIOS閃存。

(3)RTU在系統(tǒng)啟動期間可用于更新BIOS閃存。系統(tǒng)重啟時在更新BIOS閃存之前執(zhí)行RTU，RTU在閃存發(fā)生任何變化前驗證BIOS更新映像的數(shù)字簽名。

(4)存在一個內(nèi)容受保護的存儲位置，運行時可以緩存簽名的BIOS更新映像，系統(tǒng)重啟時，在更新BIOS閃存前，RTU可以訪問它來驗證BIOS更新映像的數(shù)字簽名。

實施此機制的一般步驟是：

(1)將數(shù)字簽名的 BIOS更新映像緩存在服務器重啟時內(nèi)容受保護的存儲位置。

(2)服務器重啟時將執(zhí)行權傳給RTU。

(3)RTU驗證BIOS更新映像的真實性并將通過認證的更新寫入BIOS閃存。

(4)在執(zhí)行不可信代碼前，啟用BIOS閃存鎖定機制。

3.2.3 更新機制3：啟動時進行BIOS驗證

更新機制3不存在運行時保護BIOS閃存的鎖定機制或因其局限性，不能防止RTU以外的實體寫入BIOS閃存，可能發(fā)生對 BIOS閃存的惡意更新。在每次啟動時執(zhí)行 BIOS前應對BIOS閃存內(nèi)容進行認證，如果認證確定BIOS閃存是不真實的，啟動自動恢復過程，且不執(zhí)行不真實的 BIOS更新。執(zhí)行此BIOS更新機制要求：

(1)按照BIOS更新認證要求對BIOS更新映像進行數(shù)字簽名。

(2)在BIOS更新映像寫入閃存之前驗證其數(shù)字簽名。

(3)按固件完整性保護要求，RTU能夠在執(zhí)行之前對系統(tǒng)BIOS進行驗證。RTU驗證組件在啟動時執(zhí)行并在BIOS更新代碼執(zhí)行之前進行驗證。

(4)如果確定系統(tǒng)BIOS不真實，RTU啟動自動恢復過程將其恢復到受保護并且是真實的系統(tǒng)BIOS。

實施此機制的一般步驟是：

(1)驗證數(shù)字簽名的BIOS映像，并將其寫入BIOS閃存。

(2)開機時將執(zhí)行權傳給RTU，RTU驗證BIOS的真實性。

(3)如果BIOS閃存是真實的，將執(zhí)行權傳給BIOS。

(4)如果BIOS閃存是虛假的，RTU啟動一個恢復過程，將其恢復到受保護并且是真實的BIOS版本。

3.3 服務處理器安全

服務器與客戶機之間的主要區(qū)別是在服務器系統(tǒng)中包括一個服務處理器(SP)。SP在管理和監(jiān)視服務器的過程中起著關鍵的作用，并承擔者更新系統(tǒng)BIOS的角色。

SP作為可信根：服務器中的SP可能具有直接更新BIOS閃存以及本身的閃存或其它存儲介質(zhì)的能力，某些或全部SP環(huán)境可用作系統(tǒng)BIOS的RTU。為了保持服務器固件的完整性，必須保護SP的執(zhí)行環(huán)境，防止惡意代碼更新 BIOS或SP閃存。根據(jù)BIOS安全原則，SP器應滿足下列要求：

(1)通過經(jīng)認證的更新機制更新SP代碼、加密密鑰和存儲在SP閃存中的靜態(tài)數(shù)據(jù)。

(2)控制SP環(huán)境，保證只有經(jīng)過認證的代碼可以在SP上執(zhí)行。

(3)對與SP交互的用戶進行授權。

SP不作為可信根：一些具有 SP的服務器可能不把 SP用作RTU 進行BIOS更新。為了確保SP環(huán)境無法繞過BIOS保護，系統(tǒng)中的SP不應直接對BIOS閃存進行寫訪問。此外，SP不應在主機操作系統(tǒng)控制范圍之外直接并且無限制地訪問服務器上的系統(tǒng)內(nèi)存，防止SP干擾合法的更新過程。

[1]王斌等.BIOS級身份認證系統(tǒng)的設計及實現(xiàn)[J].北京:計算機工程與設計.2010.

[2]王越峰等.一種基于主板 BIOS的身份認證方案及實現(xiàn)[J].北京:中國教育信息化.2009.

[3]楊培等.BIOS安全防護技術研究[J].北京:計算機工程與設計.2008.

[4]李晨光.揭秘 TPM 安全芯片技術及加密應用[OL].IT168.2012.

[5]TCG Specification Architecture Overview Revision 1.4 2nd[S].August 2007.

[6]NIST SP 800-147,B IOS Protection Guidelines[S].April 2011.

[7]NIST SP 800-147B(Draft).BIOS Protection Guidelines for Servers(Draft)[S].July 2012.