面向多处理器的内网计算机 BIOS 口令集中管理机制研究

1等级保护2.0背景下的计算机BIOS口令安全需求分析1.1固件安全的概念和内涵固件是计算机系统中不可缺少的重要部件，往往以软件形式固化存储在硬件的芯片中。计算机的主板、显卡、网卡、硬盘中都有固件，其中最重要、最核心的固件称为BIOS（BasicInput/OutputSystem，基本输入输出系统）。计算机上电开机后，BIOS会对CPU中的寄存器、计时芯片、可编程中断器及DMA控制器的状态检查，同时初始化设置主板芯片组、动态内存、显卡及相关外围的寄存器。在以上设备正常运行的前提下，BIOS将负责引导操作系统。可以看出，BIOS是计算机开启时运行的第一个程序，主要功能是为计算机提供最底层、最直接的硬件设置和控制，完成初始化硬件和引导操作系统。固件是整机中最“活”的部分，最具有“特殊性”的部分，可以通过软件编写的方式，实现整机厂商核心功能的特点和卖点。并且，固件处于计算机产业链中的核心位置，与芯片厂商、板卡厂商、操作系统厂商、整机厂商都需要紧密联系在一起。固件在计算机功能、性能以及安全性方面，与CPU、操作系统等计算机核心组成部件一样发挥着重要作用。固件是运行在计算机底层的软件，是先于操作系统启动之前运行的，如果固件口令丢失，则会导致操作系统旁路攻击，攻击者可以绕过操作系统口令，直接从光盘或U盘引导非授权操作系统内核，直接访问存储设备，导致数据泄露。并且，在固件中加装后门程序能够逃过操作系统及任何应用软件的检测和控制，执行获取信息、破坏系统等任务。更进一步地，固件的运行过程是具有最高权限的，能够对硬件、文件系统、操作系统和特定软件进行篡改和破坏，具有极强的威胁性。因此，固件安全是计算机安全的基础，一旦固件安全“失守”，计算机的安全基础就会松动和消失。1.2网络安全等级保护2.0中的固件安全需求网络安全等级保护2.0主要是从整体系统的角度提出了相应的安全指标。但是，通过对照等保2.0的基本要求、技术要求、评测要求可以看出，等保2.0的指标不是孤立的，而是关联的。其中，等保2.0中的某些安全指标在整机这一层面有着直接要求。比如可信验证、身份鉴别等功能，都对固件提出了直接要求，具体包括以下7种要求：（1）可信验证该功能与固件紧密耦合。目前国际主流TPM、国内TCM、TPCM三套可信方案中，固件都发挥基础核心的关键作用。在计算机启动后，固件用于对关键硬件和核心软件进行可信度量。如果度量失败，则中止启动过程，仅能由管理员进行预期值更新。但是，若攻击者获得BIOS管理员口令，也可以恶意跳过可信度量的裁决步骤，造成安全风险。（2）身份鉴别该功能可以在应用层、系统层中进行实现。但是，在非授权用户，通过接触式的攻击方法，如插入U盘、光盘对操作系统进行旁路攻击时，应用层和系统层是无法防范的。只能通过固件（BIOS）中的管理员口令，进行相应的安全防范，防止其出现旁路攻击。（3）访问控制固件的使用可以包括四类角色，包括安全管理员、系统管理员、审计员和普通用户，每个角色能够进行的固件操作不同。如安全管理员可以进行可信计算、启动顺序、口令设置等安全配置，系统管理员可以进行操作系统重装等操作，审计员可以查看相关固件日志，因此，固件中也需要根据用户角色进行访问控制的安全保护。（4）恶意代码防范固件的本质也是软件，具有软件天然具有的脆弱性。因此，固件也是可以被植入恶意代码进行攻击的。攻击者在获取BIOS操作权限后，可以通过专用软件工具，对固件芯片进行擦除和刷写。对于具备联网能力的计算机系统，甚至可以通过专用软件远程对固件代码进行修改。（5）数据备份恢复在固件层面，当获得BIOS管理员权限后，可以对整个系统进行备份和恢复，并且各个处理器平台可以保持一致，提升了可维护性。（6）安全审计目前，主流的安全审计无法对重装操作系统、更新固件的事件进行记录。但是，在固件S中，可以保留重装操作系统或其他固件级操作事件的记录，实现固件级的安全审计功能。并且，仅能通过管理员查看。（7）集中管控可以看出，BIOS口令与以上6种安全功能都有深刻的关联，BIOS的口令是计算机的第一道“门户”。面对计算机终端多、分散广的内网环境，如果用户自己同时掌握普通开机口令和管理员口令，难以保证BIOS口令按照一定的复杂度进行周期性设置，并且记忆得极其准确。因此，BIOS口令在某些使用场景中，会被设置得简单且固定，引发口令扩散的威胁。一旦被攻击者得到管理员BIOS口令，将获取到管理员权限，导致严重的数据泄露风险。因此，需要通过集中管控的方法，对管理员BIOS口令进行集中安全管控，对每台计算机的管理员BIOS口令进行生成、绑定、下发、销毁等管理，防止管理员BIOS口令在其生命周期中的泄露。1.3BIOS口令管控是内网计算机管理的首要安全需求BIOS可以配置计算机启动顺序，并且能够配置计算机从光盘、U盘启动操作系统。因此，攻击者对BIOS进行非授权修改，则可以通过改变BIOS的启动顺序，通过光盘、U盘等外设，引导PE（Pre-installationEnvironment，预安装环境）操作系统启动，实现对硬盘数据的访问、修改和拷贝[8]。目前，尽管已经出现了在BIOS身份认证阶段，通过指纹仪、指静脉仪等多种设备进行多因子身份认证机制，但在内网计算机终端中最常用的仍然是BIOS口令。图1展示了通过攻破BIOS口令窃取数据的攻击路径。若内网计算机仅仅设置操作系统口令时，攻击者可以通过修改BIOS引导顺序，从U盘或光盘中启动一个非宿主机的操作系统内核，从而完成操作系统旁路攻击。即使设置了计算系统的BIOS口令，一旦被泄露，也将导致操作系统旁路攻击的数据泄露风险。更进一步地，即使该内网计算机终端已经加入了可信计算机制，一旦丢失BIOS口令，攻击者通过伪造管理员身份，能够对可信度量的预期值进行清除更改或禁用可信计算功能，从而绕过可信验证环节。可以看出，BIOS口令失控将导致构建在固件层、操作系统层之上的安全机制出现严重漏洞和安全风险。图1攻破BIOS口令的数据窃取BIOS口令失控的主要原因包括以下几种情况：（1）管理员或用户未设置BIOS安全口令。这种情况主要是对BIOS口令重要性的认识不足或安全监管落实不到位。（2）BIOS口令未能及时更新。在管理员配置BIOS口令后，有可能较长时间内不再对BIOS口令进行更新。但是在日常使用中，由于管理员维护的需要，以及防范意识不严等情况，造成BIOS口令大范围知悉，导致安全风险的出现。（3）BIOS口令复用。由于BIOS口令的输入界面较为简单，缺乏“口令输入提醒”功能，导致用户长时间不使用该计算机终端时，容易出现遗忘BIOS口令的问题。因此，存在着多台计算机终端使用相同的BIOS口令，或使用少量的固定BIOS口令进行多台计算机终端的交替设置。（4）BIOS口令遗忘。由于口令的长度和复杂度要求，使得BIOS口令比较难记。在长时间不使用后，用户可能遗忘BIOS口令，导致计算机需要返厂维修。1.4BIOS口令集中管控需求分析为防止BIOS口令失控，需要在日常管理中满足以下的BIOS安全业务需求：（1）BIOS口令满足长度和复杂度要求。一般地，BIOS口令需要在8位以上，并且包括数字、字母和特殊符号。（2）BIOS口令需要进行定期更新。（3）需要根据每台计算机设置不同的BIOS口令。（4）需要分别设置管理员BIOS口令和普通用户BIOS口令。一般地，BIOS口令包括管理员BIOS口令和普通用户BIOS口令两类，其中，管理员BIOS口令具有BIOS最高权限，能够对BIOS的启动顺序等关键参数进行设置。普通用户BIOS口令将仅用于完成BIOS开机授权，没有BIOS参数修改权限。因此，为了通过技术手段，在部署大量内网计算机终端的环境中，对管理员BIOS进行安全管理，本文提出了基于固件的内网计算机终端管理员BIOS口令集中管理机制，用于对内网互联的计算机进行自动化的远程管理员BIOS口令集中管控，具体系统需求包括以下几点：（1）管理员BIOS口令自动生成。通过BIOS口令集中管理服务器，为每台计算机按照长度和复杂度要求自动生成管理员BIOS口令。（2）BIOS口令自动更新。按照BIOS安全强度要求，在指定周期内，对管理员BIOS口令进行自动更新。（3）“一次一密”的管理员BIOS口令加密传输。管理员BIOS口令的安全性极为重要，因此采用全程加密的方式进行管理员BIOS口令的传输。（4）“多处理器平台统一适配”的BIOS口令配置机制。由于大型企事业单位内部计算机类型众多（如不同的处理器平台、不同操作系统、不同整机厂商），很难通过一种管理员BIOS口令配置方法实现全部计算机的管理员BIOS口令设置。（5）“背对背”的管理员BIOS口令申请使用机制。当计算机需要维护时（如更改引导顺序以重新安装操作系统），系统管理员需要单独向系统申请获取管理员BIOS口令；当计算机完成维护工作后，该计算机本次使用的BIOS口令将自动销毁并重新更新。该需求可规避BIOS口令非法传递和扩散风险。2BIOS口令集中管理机制的关键技术在分析了网络等级保护2.0对固件的安全需求可以看出，BIOS口令是固件安全或计算机整机安全的基础。一旦BIOS失控，将面临严重数据泄露威胁。为了满足在内网中对大量计算机终端的BIOS口令统一管理，将使用BIOS口令集中管理机制实现对每台计算机自动化的BIOS口令生成、下发、销毁和更新。BIOS口令集中管理机制中的关键技术主要包括内网计算机终端的自动发现技术和面向多处理器平台的BIOS口令自适应统一更新技术。2.1内网计算机终端的自动发现技术该技术主要用于内网中的BIOS口令集中管理服务器能够自动发现内网计算机，并对其进行自动注册和配发相应的BIOS口令。该技术主要包括以下几个步骤，如图2所示。图2计算机自动发现技术时序（1）客户端安装。企事业单位的普通用户在配发计算机后，需要下载BIOS口令集中管理客户端，并进行安装。在安全过程中，需要按要求设置默认管理员BIOS口令，并自行设置普通用户BIOS口令，完成终端BIOS口令的初始化。若计算机终端没有设置管理员BIOS口令或普通用户BIOS口令，将不能远程设置BIOS口令。该步骤是为了防止新出现恶意远程设置BIOS口令的问题。（2）生成终端标识。BIOS口令集中管理客户端获取计算机终端的关键硬件信息，并按照指定的规则生成终端标识。每个终端标识需要与受控计算机一一对应。（3）获取计算机关键信息。BIOS口令集中管理客户端获取当前计算机终端的名称、IP地址、MAC地址等重要信息，用于随后的计算机身份确认和绑定。（4）加密传输到服务器。BIOS口令集中管理客户端使用服务器端的公钥，对终端标识、默认BIOS管理员口令、当前计算机终端名称、IP地址等信息进行加密；而后，BIOS口令集中管理客户端根据内置的服务器域名或IP地址，将信息发送到服务器端。（5）新增计算机入池。服务器端使用自己的私钥进行解密，当发现该终端标识不在数据库中，并且BIOS管理员口令为默认口令，将判定该计算机为新增受控计算机。服务器端将该计算机放入临时终端管理池。（6）责任人与计算机绑定。服务器安全管理员根据计算机名、IP地址等信息确认该计算机的责任人，建立该计算机终端标识和责任人的映射关系，并远程更新BIOS口令。至此完成内网计算机终端的自动发现。2.2面向多处理器平台的BIOS口令自适应统一更新技术该技术主要用于根据不同处理器平台的特性和不同整机厂商的规范，进行相应的固件更新方法判断，完成BIOS口令更新。该技术主要包括以下几个步骤，如图3所示。图3BIOS口令更新示意（1）处理器及机型识别。通过BIOS口令集中管理客户端获取处理器平台信息和当前的整机厂商信息。（2）若检测出是通用的商用X86计算机平台，则根据内置的BIOS口令更新策略进行更新。如果BIOS更新策略中没有该品牌厂商，则不支持BIOS口令更新。虽然，目前的UEFI规范中已经规定了通过RuntimeService提供BIOS变量的更新接口（如SetVariable），但并不足以支撑BIOS口令安全更新。一般地，联想、戴尔等整机厂商的X86计算机都有自研定制化的BIOS安全口令更新接口，并大多采用了WMI（WindowsManagementInterface，Windows管理接口）机制，采用函数名如SetBIOSxxx之类的接口，并配套更新参数类型、原口令、新口令等相关参数。（3）若检测出为国产处理器平台（如龙芯、申威、飞腾等），则进一步判断是否为昆仑BIOS；而后，如果是昆仑BIOS则根据相应的BIOS口令更新接口进行更新。国产处理器平台从最初的受制于人，到现在的自主可控经历了一个艰辛的历程。由于历史原因所限，各种国产处理器平台的发展思路和技术路线有所不同，对固件特性的支持也各有偏重。针对BIOS口令更新，国产处理器平台存在两种情况，一是支持高级配置与电源接口（AdvancedConfigurationandPowerInterface，ACPI）的“在线”BIOS口令更新方法；

二是不支持ACPI的BIOS口令“自更新”方法。（4）ACPI的BIOS口令更新方法。该方法提供了一种从底层固件到操作系统的实时交互方法。因此，针对支持ACPI的昆仑BIOS，其扩展了用于BIOS口令安全更新的数据项，采用与商用X86类似的数据结构，至少包括三个参数，分别是更新参数类型、原口令的哈希值、新口令的哈希值。此处采用哈希值的目的是为了进一步增强其安全性。通过ACPI的更新机制是指，在操作系统中的BIOS口令集中管理客户端通过在ACPI中设置BIOS口令更新信息，并通过BIOS的ACPI模块获取、解析，如果BIOS参数更新类型正确、原口令哈希值正确，则将BIOS新口令的哈希值写入指定的口令存储区，用于BIOS口令比对，完成BIOS口令更新。BIOS口令“自更新”方法。针对不支持ACPI的国产处理器，则需要采用BIOS“自更新”的方法，对BIOS口令进行变量配置。“自更新”的方法是指在BIOSFlash的指定区域中存储BIOS口令更新的数据包，具体包括三个参数，分别是更新参数类型、原口令的哈希值、新口令的哈希值。在BIOS启动过程中，通过比对BIOS哈希值类型、原口令哈希值是否正确，可以将新口令的哈希值覆盖到指定的存储区域，完成BIOS口令更新过程。BIOS口令管理是计算机安全的基础和门户，与国外同类技术相比，本文提出的BIOS口令集中管理系统需要同时适配X86、MIPS等多种处理器架构和不同的配套固件厂商，因此，虽然在服务器端的软件结构上采用较为成熟的技术，但是在客户端，面向多处理器平台的BIOS口令自适应统一更新技术，突破了单一平台、单一接口的限制，可支持X86商用计算机和国产计算机的内网混合使用的场景。3BIOS口令集中管理系统的设计与实现3.1BIOS口令集中管理系统总体架构设计BIOS口令集中管理系统总体架构如图4所示，包括部署在内网的BIOS口令集中管理服务端和部署在终端内的BIOS口令集中管理客户端。图4BIOS口令集中管理系统总体架构（1）管理服务端。部署在受控内网计算机中，接收所有内网BIOS口令集中管理客户端发送的消息，并下发相应的BIOS集中管理指令，对结果进行保存，并根据管理员的指令进行策略下发、展示内网计算机状态等。管理服务端具体包括系统配置模块、命令解析模块、秘钥管理模块和网络通信接口。管理服务端主要包括以下几个模块：①BIOS口令管理模块。该模块用于计算机的BIOS口令和硬盘口令进行管理，检测其口令是否正确，是否过期需要更新。②状态监控模块。该模块用于监控计算机终端的软硬件状态是否正常。如果不正常将及时进行报警。③内网终端视图模块。该模块用于展示计算机所处内网的拓扑位置，并只展示当前计算机状态是否正常。④软硬件信息监控模块。该模块用于检测内网计算机的关键软硬件信息。其中，硬件信息包括磁盘、内存、网卡等部件的主要信息。⑤审计日志模块。该模块用于记录相应的审计日志，并进行查询。⑥数据存储模块。该模块用于存储终端标识、BIOS口令、关键软硬件信息等数据。（2）客户端。客户端包括两个部分，一是部署在操作系统中的BIOS口令集中管理客户端，二是部署在BIOS中的安全管理固件模块。①BIOS口令集中管理客户端。用于向服务器提供终端注册、终端BIOS口令更新、在线状态监控等功能。②BIOS口令更新模块。用于在国产处理器平台中，通过面向多处理器平台的BIOS口令自适应统一更新技术对BIOS口令进行设置。3.2BIOS口令集中管理系统总体流程设计3.2.1系统运行过程总体时序设计BIOS口令集中管理系统的运行过程主要包括计算机注册、BIOS口令状态监控、BIOS口令更新、异常处理四个阶段，如图5所示。图5

BIOS口令集中管理系统总体时序（1）计算机注册阶段计算机进行上电后，按照内网计算机终端的自动发现技术，首先检测是否已经进行了终端注册。（2）BIOS口令状态监控阶段计算机进行工作状态后，将按照配置周期，向BIOS口令集中管理服务端上报当前状态，如BIOS口令是否到期需要更新。（3）BIOS口令更新阶段BIOS口令集中管理服务端在收到计算机终端发送的BIOS口令到期的状态信息后，将自动生成新的BIOS口令，并进行加密传输下发，由BIOS口令集中管理客户端进行更新。（4）维护处理阶段当系统管理员需要BIOS口令维护计算机时，将通过访问BIOS口令集中管理服务端的页面，向安全管理员提出BIOS口令申请；审批通过后，将向系统管理员发送该申请维护计算的管理员BIOS口令，并在完成计算机维护后销毁原口令，生成并更新新的BIOS口令。3.2.2内网计算机管理平台客户端的工作流程设计在内网的计算机进行客户端安装后，该客户端可以随计算机启动而运行，按照既定策略进行计算机管理的过程如图6所示，具体流程包括：图6客户端工作流程（1）客户端正常启动完成初始化配置后，将执行BIOS口令信息上报任务（步骤2）和监听服务器（步骤5）两个任务。（2）客户端按照定制策略检测当前的软硬件和BIOS口令信息是否正确配置及相应的软硬件信息。（3）检测是否出现异常。如果未出现异常，在联网时将普通信息发送到服务器，不联网时在本地进行日志存储。（4）若出现异常，则检测是否联网，若联网则向服务器发送报警和告警信息，而后执行安全策略。若未联网，则检测本地是否有安全策略（如BIOS口令更新指令）。如果有安全策略则进行执行，如果没有本地安全策略则执行关机等安全保护方法。（5）客户端处于监听服务器状态。若收到服务器指令，将立即进行执行；否则，将一直处于监听服务器状态。（6）如果客户端执行服务器指令出现异常，则立刻执行安全处理策略，并向服务器发送报警和告警信息。3.2.3BIOS口令集中管理系统客户端的工作流程设计在内网的服务器启动后，可以获取到计算机发送的信息，并对计算机进行实时监控，如图7所示，具体流程包括：图7服务器端工作流程（1）服务器启动后，将进入工作状态。至少同时执行监听客户端（步骤2）和监听界面（步骤4）两个任务。（2）服务器监听客户端。如果客户端有上传信息，服务器将保存客户端上传的信息。（3）服务器检测异常信息。服务器检测客户端上传信息是否包括异常信息（报警和告警信息）或者服务器在检测客户端的信息时，发现了新的异常，将进行发送报警和告警信息。（4）服务器异常处理。服务器检测到有报警信息时，将立即根据既定安全策略，发送相应的安全指令到客户端，由客户端进行执行。在执行异常处理后，服务器可以回到监听状态。（5）服务器监听界面请求。服务器检测到有界面请求时，将进行执行，并将相应的执行结果返回给界面，用于提示用户。完成界面响应后，服务器可以回到监听状态。3.3BIOS口令集中管理系统的实现BIOS口令集中管理系统采用B/S架构，服务端使用ThinkPHP