孫 亮，陳小春，鄭樹劍，劉 贏

(中電科技(北京)有限公司，北京 100083)

(*通信作者電子郵箱lsun@zd-tech.com.cn)

基于固件的終端位置管理系統(tǒng)研究與應(yīng)用

孫 亮*，陳小春，鄭樹劍，劉 贏

(中電科技(北京)有限公司，北京 100083)

(*通信作者電子郵箱lsun@zd-tech.com.cn)

現(xiàn)有的終端位置管控方法大多是在計(jì)算機(jī)外殼粘貼射頻識(shí)別(RFID)標(biāo)簽進(jìn)行實(shí)時(shí)定位。但是，一旦計(jì)算機(jī)被帶離RFID信號(hào)覆蓋區(qū)域，外貼的RFID標(biāo)簽缺乏對(duì)計(jì)算機(jī)的直接管控能力。因此，基于固件技術(shù)和RFID技術(shù)，提出和設(shè)計(jì)了基于固件的終端位置管理系統(tǒng)。首先，該系統(tǒng)通過RFID信號(hào)劃定授權(quán)區(qū)域，在上電開機(jī)階段，通過固件層實(shí)現(xiàn)與RFID標(biāo)簽的交互，僅允許終端在接收到RFID授權(quán)信號(hào)后才能開機(jī)使用；其次，在操作系統(tǒng)運(yùn)行階段，計(jì)算機(jī)需要得到RFID授權(quán)信號(hào)才能正常使用；再次，通過固件對(duì)操作系統(tǒng)中的位置管控軟件進(jìn)行保護(hù)，防止管控軟件被篡改和刪除。在計(jì)算機(jī)脫離RFID信號(hào)覆蓋范圍，終端中的軟件代理將立即捕捉到這種情況，根據(jù)安全策略鎖定終端或?qū)?shù)據(jù)進(jìn)行銷毀。目前已經(jīng)研制原型系統(tǒng)，對(duì)辦公區(qū)域內(nèi)30臺(tái)計(jì)算機(jī)終端進(jìn)行位置管理，實(shí)現(xiàn)了終端僅在授權(quán)區(qū)域可正常開機(jī)使用，脫離授權(quán)區(qū)域?qū)⒘⒓存i定。

固件；可信計(jì)算；持久化守護(hù)；終端位置管理系統(tǒng)；射頻識(shí)別

0 引言

隨著信息化建設(shè)的快速發(fā)展和逐步完善，政府、軍隊(duì)、軍工、科研院所及關(guān)系國(guó)計(jì)民生的重要行業(yè)中，都不可避免地有著敏感數(shù)據(jù)和涉密信息環(huán)境，大量機(jī)要文件、圖紙、文檔都以電子文件形式存儲(chǔ)在企業(yè)內(nèi)部的涉密計(jì)算機(jī)終端中，一旦內(nèi)部員工隨意將計(jì)算機(jī)帶離辦公區(qū)域，則可能會(huì)引起終端丟失、數(shù)據(jù)泄露等安全問題。因此，如何在辦公區(qū)域內(nèi)實(shí)現(xiàn)對(duì)計(jì)算機(jī)終端進(jìn)行基于位置的管理，成為亟需解決的問題。

目前，對(duì)物體進(jìn)行實(shí)時(shí)定位的技術(shù)發(fā)展已經(jīng)比較成熟。如北斗系統(tǒng)[1]、全球定位系統(tǒng)(Global Positioning System，GPS)、無(wú)線傳感器網(wǎng)絡(luò)(Wireless Sensor Network，WSN)[2]、無(wú)線射頻識(shí)別(Radio Frequency Identification，RFID)[3]、Wi-Fi網(wǎng)絡(luò)、藍(lán)牙、基站定位等實(shí)時(shí)定位系統(tǒng)已經(jīng)在物流傳輸、交通調(diào)度、健康監(jiān)護(hù)、倉(cāng)儲(chǔ)保管等領(lǐng)域中廣泛應(yīng)用[4]。

但是，計(jì)算機(jī)終端與一般物品的位置管理系統(tǒng)的目的不同。一般物品位置管理系統(tǒng)的目的往往是為了防止物品丟失，而計(jì)算機(jī)終端管理系統(tǒng)的目的是防止終端丟失，特別是終端內(nèi)部的數(shù)據(jù)丟失。從本質(zhì)上來(lái)看，對(duì)計(jì)算機(jī)終端的位置管理系統(tǒng)，需要盡可能地保證計(jì)算機(jī)終端處于可控的范圍，即使計(jì)算機(jī)終端脫離辦公區(qū)域，也要具有防止數(shù)據(jù)泄露的安全機(jī)制。

目前，計(jì)算機(jī)終端位置安全管理已經(jīng)有一些方法，如：

1)計(jì)算機(jī)外殼粘貼RFID。將有源RFID標(biāo)簽貼在計(jì)算機(jī)外殼上，可以實(shí)現(xiàn)對(duì)終端的跟蹤。但是也存在以下兩個(gè)問題：a)RFID標(biāo)簽與計(jì)算機(jī)無(wú)交互，一旦終端脫離區(qū)域，將無(wú)法對(duì)其進(jìn)行管控;b)需要在電腦使用區(qū)域內(nèi)部署全覆蓋的RFID射頻網(wǎng)絡(luò)實(shí)現(xiàn)實(shí)時(shí)定位，工程實(shí)施難度大。

2)計(jì)算機(jī)保持內(nèi)網(wǎng)網(wǎng)線連接。通過在計(jì)算機(jī)中安裝特定軟件，使終端只能在內(nèi)網(wǎng)環(huán)境下正常工作，計(jì)算機(jī)將不能在辦公區(qū)域任意移動(dòng)位置。

3)藍(lán)牙或Wi-Fi定位。通過藍(lán)牙隨身報(bào)警機(jī)制或Wi-Fi定位機(jī)制雖然可以實(shí)現(xiàn)終端的定位和管理，但其無(wú)線網(wǎng)絡(luò)技術(shù)具有高速數(shù)據(jù)傳輸能力，會(huì)帶來(lái)數(shù)據(jù)泄露的隱患。

方法1)僅在外殼粘貼RFID標(biāo)簽，無(wú)法使標(biāo)簽與計(jì)算機(jī)內(nèi)的軟件交互，缺乏對(duì)計(jì)算機(jī)的管控能力；方法2)和3)本質(zhì)是通過操作系統(tǒng)中的特定軟件實(shí)現(xiàn)的，難以防止非法用戶的強(qiáng)制中斷和操作系統(tǒng)旁路攻擊。

固件是計(jì)算機(jī)系統(tǒng)中不可缺少的重要部件，往往以軟件形式固化存儲(chǔ)在硬件的芯片中。計(jì)算機(jī)的主板、顯卡、網(wǎng)卡、硬盤中都有固件，其中最重要、最核心的固件稱為基本輸入輸出系統(tǒng)(Basic Input/Output System，BIOS)。計(jì)算機(jī)上電開機(jī)后，固件會(huì)對(duì)CPU中的寄存器、計(jì)時(shí)芯片、可編程中斷器及直接內(nèi)存存取(Direct Memory Access， DMA)控制器的進(jìn)行狀態(tài)檢查，同時(shí)初始化設(shè)置主板芯片組、動(dòng)態(tài)內(nèi)存、顯卡及相關(guān)外圍的寄存器。在以上設(shè)備正常運(yùn)行的前提下，固件將負(fù)責(zé)引導(dǎo)操作系統(tǒng)。

固件在上電開機(jī)后即獲得最高權(quán)限，能夠與硬件進(jìn)行交互，能夠訪問硬盤和文件系統(tǒng)；固件能夠在系統(tǒng)管理模式(System Management Mode， SMM)下對(duì)操作系統(tǒng)運(yùn)行的軟件進(jìn)行查看，并執(zhí)行代碼。因此，在整個(gè)計(jì)算機(jī)運(yùn)行過程中，固件能夠與外接硬件設(shè)備和操作系統(tǒng)中的安全軟件進(jìn)行交互，發(fā)揮關(guān)鍵作用。

本文基于固件技術(shù)和RFID技術(shù)，依據(jù)可信計(jì)算整體思路[5]，設(shè)計(jì)并實(shí)現(xiàn)了基于固件的終端位置管理系統(tǒng)。在前期的工作中，筆者提出了固件持久化守護(hù)技術(shù)并開發(fā)了國(guó)產(chǎn)計(jì)算機(jī)平臺(tái)的原型系統(tǒng)進(jìn)行驗(yàn)證[6]。本文則主要針對(duì)地理圍欄特定場(chǎng)景，將持久化技術(shù)與RFID技術(shù)進(jìn)行更深度的結(jié)合，設(shè)計(jì)和實(shí)現(xiàn)了可在國(guó)產(chǎn)計(jì)算機(jī)平臺(tái)和X86通用計(jì)算機(jī)平臺(tái)使用的終端位置管理系統(tǒng)。通過RFID射頻系統(tǒng)，劃定終端授權(quán)辦公區(qū)域。在授權(quán)區(qū)域內(nèi)，終端能夠正常啟動(dòng)和運(yùn)行；一旦脫離授權(quán)區(qū)域，終端將根據(jù)策略自動(dòng)鎖定、關(guān)機(jī)甚至銷毀數(shù)據(jù)。通過持久化技術(shù)，能夠保證計(jì)算機(jī)終端中運(yùn)行的軟件代理不被破壞。目前，基于固件的終端管理系統(tǒng)已經(jīng)實(shí)現(xiàn)了系統(tǒng)原型，并在辦公區(qū)域內(nèi)部署和使用。

1 計(jì)算機(jī)終端位置管理系統(tǒng)分析

辦公區(qū)域內(nèi)的計(jì)算機(jī)終端管理與一般物品的管理不同，不僅需要知道計(jì)算機(jī)所在位置，更需要能夠根據(jù)位置對(duì)計(jì)算機(jī)進(jìn)行管控。首先，計(jì)算機(jī)終端管理系統(tǒng)主要是防止其在關(guān)機(jī)狀態(tài)被非授權(quán)替換硬盤；其次，防止其在開機(jī)狀態(tài)被非授權(quán)拷貝數(shù)據(jù)及非授權(quán)訪問網(wǎng)絡(luò)；再次，一旦計(jì)算機(jī)終端脫離了授權(quán)區(qū)域，還要能夠?qū)K端本身進(jìn)行控制，如執(zhí)行關(guān)機(jī)、鎖定、甚至銷毀數(shù)據(jù)等安全策略。

因此，可以看出終端位置管理的主要需求包括以下三點(diǎn)：

1)能夠保證計(jì)算機(jī)終端在授權(quán)辦公區(qū)域內(nèi)正常使用，在非授權(quán)區(qū)域內(nèi)無(wú)法使用，并防止終端非授權(quán)拷貝數(shù)據(jù)和非授權(quán)訪問網(wǎng)絡(luò)。

2)能夠保證計(jì)算機(jī)終端始終處于可控狀態(tài)。即能夠保證計(jì)算機(jī)終端內(nèi)的安全機(jī)制始終處于工作狀態(tài)，不會(huì)被中斷、關(guān)閉及卸載。

3)終端位置管理系統(tǒng)應(yīng)易于部署，不需要過多考慮辦公區(qū)域?qū)嶋H物理空間環(huán)境對(duì)定位信號(hào)造成的干擾。

因此，基于固件的終端位置管理系統(tǒng)需要一種強(qiáng)有力的軟件保護(hù)機(jī)制，保證運(yùn)行操作系統(tǒng)的軟件代理持續(xù)運(yùn)行；此外，還需要一種易部署的室內(nèi)定位技術(shù)手段。因此，本文采用了基于固件技術(shù)、RFID技術(shù)及可信計(jì)算的信任鏈傳遞思路，構(gòu)建了基于固件的終端管理系統(tǒng)。

1)FRID定位技術(shù)。

基于衛(wèi)星的定位技術(shù)往往適用于室外環(huán)境，而室內(nèi)定位效果不佳；基于Wi-Fi、藍(lán)牙的定位技術(shù)在一些涉密環(huán)境下不允許使用；基于WSN的定位技術(shù)工程量較大，可以進(jìn)行較為高速的數(shù)據(jù)傳輸，但需要在現(xiàn)場(chǎng)進(jìn)行信號(hào)測(cè)量才能確定功率；RFID的信號(hào)覆蓋范圍可靈活配置，并且讀寫速度較快。因此，選用RFID技術(shù)作為位置管理的定位技術(shù)，其效果如圖1所示，具體包括RFID發(fā)射器、RFID標(biāo)簽和相應(yīng)的客戶端軟件。

圖1 使用RFID技術(shù)的終端位置管理示意圖

2)持久化守護(hù)保護(hù)技術(shù)。

一般情況下，僅在操作系統(tǒng)中運(yùn)行的安全軟件是難以保證其持續(xù)運(yùn)行的，這主要是因?yàn)橐韵聨c(diǎn)：

a)非授權(quán)用戶可以通過文件粉碎等方式破壞安全軟件;

b)非授權(quán)用戶可以通過操作系統(tǒng)旁路的方法獲取數(shù)據(jù)，繞過安全軟件對(duì)系統(tǒng)的監(jiān)控;

c)重新安裝操作系統(tǒng)、格式化硬盤分區(qū)或更換硬盤后，安全軟件已被清除，需要重新安裝。

固件運(yùn)行階段能夠訪問內(nèi)存、硬盤等硬件設(shè)備，也能夠訪問操作系統(tǒng)中的軟件文件，擁有極高的權(quán)限[7]。因此，將使用固件技術(shù)對(duì)上層的軟件進(jìn)行保護(hù)。雖然固件是固化在芯片中的軟件，但也存在被改寫的風(fēng)險(xiǎn)。如果在計(jì)算機(jī)的固件中含有惡意代碼，將可以直接對(duì)筆記本電池等硬件平臺(tái)芯片進(jìn)行直接攻擊[8]；同時(shí)，如果在顯卡、硬盤等關(guān)鍵硬件的固件中含有惡意代碼，也會(huì)對(duì)系統(tǒng)造成極大的安全威脅[9]。為保證整個(gè)系統(tǒng)的安全性，將采用可信密碼模塊對(duì)固件、核心硬件和關(guān)鍵軟件進(jìn)行保護(hù)，防止其被攻擊和篡改。

圖2展示了在單臺(tái)計(jì)算機(jī)終端進(jìn)行持久化守護(hù)技術(shù)的整體框架，包括了持久化守護(hù)固件模塊、持久化守護(hù)主程序、位置管理客戶端三個(gè)部分。首先，基于可信密碼模塊，完成對(duì)固件的保護(hù)，防止固件被破壞、篡改；在此基礎(chǔ)上，固件層將預(yù)制持久化守護(hù)固件模塊，完成對(duì)操作系統(tǒng)中持久守護(hù)軟件代理的完整性度量，防止其被篡改和刪除；持久化守護(hù)主程序?qū)ξ恢霉芾砜蛻舳诉M(jìn)行保護(hù)，防止其被中斷、篡改和卸載；位置管理客戶端將持續(xù)執(zhí)行對(duì)RFID授權(quán)信號(hào)的獲取和計(jì)算機(jī)終端的管控。

圖2 持久化守護(hù)技術(shù)示意圖

2 基于固件的終端管理系統(tǒng)的設(shè)計(jì)

2.1 總體結(jié)構(gòu)設(shè)計(jì)

基于固件的終端位置管理系統(tǒng)涉及可信計(jì)算、固件、RFID等多種技術(shù)，可分為硬件層、固件層、操作系統(tǒng)層、網(wǎng)絡(luò)服務(wù)層四個(gè)層面進(jìn)行設(shè)計(jì)。圖3展示了依托可信計(jì)算體系設(shè)計(jì)的基于固件的終端位置管理系統(tǒng)。該系統(tǒng)通過可信密碼模塊保護(hù)固件，通過固件保護(hù)操作系統(tǒng)中的客戶端軟件，通過服務(wù)器實(shí)現(xiàn)終端的遠(yuǎn)程控制和遠(yuǎn)程恢復(fù)。

圖3 終端位置管理系統(tǒng)總體結(jié)構(gòu)圖

1)硬件層主要包括CPU、可信密碼模塊、RFID設(shè)備和其他硬件。

a)基于固件的終端位置管理系統(tǒng)需要支持X86平臺(tái)及國(guó)產(chǎn)處理器平臺(tái)。

b)可信密碼模塊用于提供基礎(chǔ)的密碼機(jī)制、可信度量等功能。采用插卡方式接入計(jì)算機(jī)可信密碼模塊也可以提供可信度量的功能[10]。

c)RFID設(shè)備包括實(shí)現(xiàn)授權(quán)信號(hào)覆蓋的RFID發(fā)射器，以及終端配插的RFID標(biāo)簽。

2)固件層包括固件核心鏡像、可信固件模塊、持久化守護(hù)固件模塊三部分。

a)固件核心鏡像。固件核心鏡像用于完成CPU、芯片組等其他硬件的初始化，以及操作系統(tǒng)引導(dǎo)。

b)可信固件模塊?？尚殴碳K用于在固件運(yùn)行階段對(duì)終端關(guān)鍵硬件設(shè)備進(jìn)行度量，特別是對(duì)硬盤進(jìn)行度量，防止硬盤被非授權(quán)替換；同時(shí)，可信固件模塊還將對(duì)操作系統(tǒng)核心鏡像進(jìn)行度量，防止操作系統(tǒng)被破壞；并且，可信固件模塊還將支持BIOS口令、USB Key等身份認(rèn)證功能。

c)持久化守護(hù)固件模塊。持久化守護(hù)固件模塊用于在固件運(yùn)行階段實(shí)現(xiàn)對(duì)硬盤的讀寫，完成對(duì)位置管理客戶端的文件保護(hù)，以及軟件自啟動(dòng)的設(shè)置。

持久化固件模塊包括環(huán)境檢測(cè)、度量恢復(fù)、持久化守護(hù)主程序三個(gè)子模塊，如圖4所示。

環(huán)境檢測(cè)模塊 用于對(duì)硬盤和操作系統(tǒng)等軟件運(yùn)行環(huán)境進(jìn)行檢測(cè)，確定持久化主程序需要自啟動(dòng)方式及寫入位置。環(huán)境監(jiān)測(cè)模塊通過在固件層實(shí)現(xiàn)對(duì)文件系統(tǒng)的識(shí)別和操作，可支持通用CPU平臺(tái)和操作系統(tǒng)。

度量恢復(fù)模塊 將對(duì)操作系統(tǒng)指定位置是否存在持久化主程序進(jìn)行檢測(cè)。如果持久化守護(hù)主程序被破壞或篡改，則將對(duì)主程序的文件進(jìn)行恢復(fù)。

持久化守護(hù)主程序 在操作系統(tǒng)啟動(dòng)過程中完成自啟動(dòng)，并監(jiān)測(cè)位置管理客戶端狀態(tài)是否正常。如果位置管理客戶端被破壞或篡改，持久化守護(hù)主程序可以在聯(lián)網(wǎng)環(huán)境中，通過位置管理服務(wù)器的軟件恢復(fù)服務(wù)進(jìn)行恢復(fù)；在非聯(lián)網(wǎng)環(huán)境下，可以通過部署在安全隱藏分區(qū)中的備份進(jìn)行恢復(fù)。

持久化守護(hù)固件模塊遵循UEFI(Unified Extensible Firmware Interface)標(biāo)準(zhǔn)，可以提供Option ROM接口，能夠在主板固件芯片部署，或以計(jì)算機(jī)外接板塊的形式進(jìn)行部署。

圖4 持久化守護(hù)機(jī)制示意圖

3)操作系統(tǒng)層主要包括持久化守護(hù)主程序和位置管理客戶端主程序兩部分。

a)持久化守護(hù)主程序。持久化守護(hù)主程序存儲(chǔ)于特定存儲(chǔ)空間，在固件運(yùn)行階段被釋放到操作系統(tǒng)中，完成位置管理客戶端的實(shí)時(shí)保護(hù)。

b)位置管理客戶端。位置管理客戶端主程序用于與RFID標(biāo)簽進(jìn)行通信，確定所在位置，并實(shí)時(shí)接收網(wǎng)絡(luò)服務(wù)層的指令。在未接收到RFID授權(quán)信號(hào)時(shí)，將執(zhí)行既定安全策略，如關(guān)機(jī)、鎖定、數(shù)據(jù)刪除等操作。

4)網(wǎng)絡(luò)服務(wù)層主要包括RFID通信、跟蹤定位、軟件恢復(fù)、安全策略四個(gè)主要模塊。

a)RFID通信模塊。位置管理服務(wù)器與所有RFID發(fā)射器相連，接收RFID標(biāo)簽的上傳信息；同時(shí)，位置管理服務(wù)器還將向RFID發(fā)射器推送安全策略及管理指令。

b)跟蹤定位模塊。位置管理服務(wù)器收到RFID標(biāo)簽信號(hào)后，將解析出相應(yīng)位置并進(jìn)行記錄和保存。

c)軟件恢復(fù)模塊。位置管理服務(wù)器能夠提供位置管理客戶端備份程序。在聯(lián)網(wǎng)環(huán)境中，將通過持久化守護(hù)模塊對(duì)軟件進(jìn)行恢復(fù)。

d)安全策略模塊。位置管理服務(wù)器能夠定制需要執(zhí)行的安全策略，并在聯(lián)網(wǎng)環(huán)境中下發(fā)給終端。

此外，終端位置管理服務(wù)器還包括終端信息展示、終端分組管理、日志等功能。

2.2 總體流程設(shè)計(jì)

基于固件的終端管理系統(tǒng)需要依托可信計(jì)算思想體系，采用逐級(jí)驗(yàn)證、逐級(jí)授權(quán)的思想，完成對(duì)計(jì)算機(jī)在特定區(qū)域正常使用、脫離區(qū)域禁止使用的管控。

終端位置管理系統(tǒng)的總體工作流程分為三個(gè)階段，如圖5所示。

圖5 終端位置管理系統(tǒng)總體流程

具體描述如下：

1)固件運(yùn)行階段。在開機(jī)啟動(dòng)后，固件將對(duì)運(yùn)行的軟、硬件環(huán)境進(jìn)行檢測(cè)，對(duì)關(guān)鍵硬件和核心軟件進(jìn)行可信度量。而后，固件將檢測(cè)持久化守護(hù)主程序是否存在，自啟動(dòng)是否正常。如果主程序被破壞或刪除將自動(dòng)進(jìn)行恢復(fù)。

2)操作系統(tǒng)啟動(dòng)階段。在操作系統(tǒng)運(yùn)行后，持久化守護(hù)主程序?qū)⒆詣?dòng)啟動(dòng)，并對(duì)位置管理客戶端進(jìn)行檢測(cè)。如果位置管理客戶端被破壞或中斷，持久化主程序?qū)?duì)客戶端進(jìn)行恢復(fù)。

3)操作系統(tǒng)運(yùn)行階段。位置管理客戶端正常工作后，將接收RFID射頻信號(hào)，判斷是否處于授權(quán)使用范圍。如果處于非授權(quán)范圍，將執(zhí)行既定安全策略，如關(guān)機(jī)、鎖定和數(shù)據(jù)刪除。

2.3 基于固件的終端位置管理系統(tǒng)的實(shí)現(xiàn)效果

目前，終端位置管理系統(tǒng)已經(jīng)完成原型實(shí)現(xiàn)，并已在筆者所在辦公區(qū)域內(nèi)進(jìn)行部署，對(duì)辦公區(qū)域內(nèi)30臺(tái)終端進(jìn)行位置管理。該原型系統(tǒng)可以在非聯(lián)網(wǎng)或聯(lián)網(wǎng)的環(huán)境中實(shí)現(xiàn)對(duì)終端的位置管理。該系統(tǒng)僅需在許可辦公范圍內(nèi)部署RFID發(fā)射器，就可以劃定終端使用授權(quán)區(qū)域；在授權(quán)區(qū)域內(nèi)，內(nèi)部人員必須在得到授權(quán)后，才可在特定區(qū)域?qū)τ?jì)算機(jī)終端進(jìn)行開機(jī)和持續(xù)運(yùn)行。位置管理客戶端軟件被持久化守護(hù)模塊保護(hù)，不會(huì)被中斷或關(guān)閉，即使在格式化硬盤或更換硬盤的情況下，該系統(tǒng)也能在非聯(lián)網(wǎng)環(huán)境或網(wǎng)絡(luò)環(huán)境中，自動(dòng)進(jìn)行恢復(fù)。

目前，該原型系統(tǒng)已支持龍芯、飛騰、兆芯及通用X86處理器平臺(tái)，其中，龍芯和飛騰處理器平臺(tái)安裝Linux操作系統(tǒng)，兆芯和通用X86平臺(tái)安裝Windows操作系統(tǒng)。龍芯、飛騰、兆芯平臺(tái)中使用了昆侖固件，并在其中安裝了持久化守護(hù)固件模塊；通用X86平臺(tái)未安裝固件模塊，僅實(shí)現(xiàn)了基于硬盤和操作系統(tǒng)的部署方式，缺乏固件層的保護(hù)。通用X86平臺(tái)選用了ThinkPad系列T450筆記本，操作系統(tǒng)選用了Windows 10。在WinTel平臺(tái)上部署的終端位置管理系統(tǒng)，雖然沒有固件層持久化守護(hù)的保護(hù)，安全程度有所降低，但是該方案能夠直接以安裝軟件及配插標(biāo)簽的方法，實(shí)現(xiàn)對(duì)通用X86計(jì)算機(jī)平臺(tái)的位置管理，將具有更廣闊的應(yīng)用市場(chǎng)。

原型系統(tǒng)的主要功能包括區(qū)域內(nèi)授權(quán)開機(jī)啟動(dòng)、可信度量、RFID授權(quán)、終端安全管控、出差申請(qǐng)、審計(jì)日志。其中，授權(quán)開機(jī)啟動(dòng)和可信度量?jī)H能在昆侖固件中實(shí)現(xiàn)。

1)計(jì)算機(jī)區(qū)域內(nèi)授權(quán)開機(jī)啟動(dòng)。計(jì)算機(jī)在上電開機(jī)時(shí)，需要首先配插RFID標(biāo)簽；而后，固件加載RFID標(biāo)簽驅(qū)動(dòng)，并與RFID射頻發(fā)射器進(jìn)行交互，完成多因子認(rèn)證。終端在開機(jī)時(shí)必須滿足以下條件：

a)輸入正確的BIOS口令；

b)接入正確的RFID標(biāo)簽；

c)處于授權(quán)RFID射頻信號(hào)覆蓋范圍內(nèi)。

2)可信度量。在固件運(yùn)行過程中，將對(duì)關(guān)鍵軟、硬件進(jìn)行檢測(cè)，完成以下功能：

a)防止硬件替換和破壞。在開機(jī)過程中，計(jì)算機(jī)終端一旦發(fā)現(xiàn)硬件被替換或破壞，將會(huì)進(jìn)行報(bào)警，并中止啟動(dòng)過程。

b)防止操作系統(tǒng)旁路。在開機(jī)過程中，計(jì)算機(jī)終端不會(huì)引導(dǎo)非授權(quán)操作系統(tǒng)的啟動(dòng)。

3)RFID授權(quán)。終端在操作系統(tǒng)運(yùn)行過程中，必須滿足以下條件：

a)接入正確的RFID標(biāo)簽；

b)處于授權(quán)RFID射頻信號(hào)覆蓋范圍內(nèi)。

圖6展示了在ThinkPad T450筆記本的Windows 10操作系統(tǒng)中的位置管控客戶端中的RFID信號(hào)強(qiáng)度，當(dāng)RFID標(biāo)簽未收到信號(hào)時(shí)，將進(jìn)行鎖屏處理。

4)終端安全管控。計(jì)算機(jī)在啟動(dòng)或運(yùn)行過程中，一旦未接入RFID標(biāo)簽或未收到RFID授權(quán)信號(hào)，則執(zhí)行關(guān)機(jī)、鎖屏等安全策略。鎖屏效果如圖7所示。

在研發(fā)過程中發(fā)現(xiàn)，由于外界的干擾，RFID射頻信號(hào)不是非常穩(wěn)定，特別是接近RFID射頻信號(hào)邊緣覆蓋區(qū)域，信號(hào)比較微弱，易造成誤報(bào)。為解決該問題，采用了以下兩種方法：1)利用冗余的辦法，增加報(bào)警次數(shù)，規(guī)避RFID信號(hào)不穩(wěn)定時(shí)造成的誤報(bào)和鎖屏；2)在原有辦公區(qū)域增加一臺(tái)RFID射頻發(fā)射器，并對(duì)這兩臺(tái)RFID射頻發(fā)射器進(jìn)行了不同級(jí)別的劃分，在一個(gè)時(shí)間周期內(nèi)，高優(yōu)先級(jí)的讀寫器優(yōu)先發(fā)送和接受RFID標(biāo)簽的信令。通過這兩種方法能大大減少RFID信號(hào)重疊覆蓋造成的干擾。

5)出差申請(qǐng)。當(dāng)用戶需要攜帶計(jì)算機(jī)終端外出時(shí)，必須進(jìn)行出差登記，將出差信息寫入RFID標(biāo)簽，才可以在特定時(shí)間段內(nèi)擁有終端使用授權(quán)。

6)審計(jì)日志。RFID標(biāo)簽通過射頻網(wǎng)絡(luò)和讀寫器交互時(shí)，讀寫器實(shí)時(shí)上傳審計(jì)信息到RFID數(shù)據(jù)服務(wù)器保存，并生成管理客戶端能夠查看的審計(jì)日志。

圖8展示了配插RFID標(biāo)簽的筆記本在不同區(qū)域內(nèi)移動(dòng)后，引起切換RFID射頻發(fā)射器后生成的審計(jì)日志。

圖6 RFID信號(hào)強(qiáng)度效果圖

圖7 鎖屏效果示意圖

圖8 終端位置移動(dòng)日志

3 結(jié)語(yǔ)

本文提出的終端位置管理系統(tǒng)是基于固件技術(shù)、RFID技術(shù)和可信計(jì)算技術(shù)的終端安全防護(hù)軟件，采用逐級(jí)驗(yàn)證、逐級(jí)授權(quán)的思想，完成對(duì)計(jì)算機(jī)在特定區(qū)域正常使用、脫離區(qū)域禁止使用的管控。該系統(tǒng)通過RFID射頻系統(tǒng)劃定終端授權(quán)辦公區(qū)域，能夠保證計(jì)算機(jī)終端在授權(quán)區(qū)域內(nèi)受控使用，在脫離授權(quán)區(qū)域時(shí)執(zhí)行關(guān)機(jī)、鎖屏、數(shù)據(jù)刪除等安全策略。通過固件持久化守護(hù)技術(shù)，對(duì)位置管理客戶端進(jìn)行保護(hù)，保證其持續(xù)運(yùn)行，即使計(jì)算機(jī)終端硬盤被替換或格式化，位置管理客戶端仍能進(jìn)行自動(dòng)恢復(fù)。下一步，我們將在此基礎(chǔ)上繼續(xù)研究RFID重疊情況下如何進(jìn)行準(zhǔn)確定位和信令傳遞，對(duì)終端位置管理進(jìn)行完善。

References)

[1] 楊元喜.北斗衛(wèi)星導(dǎo)航系統(tǒng)的進(jìn)展、貢獻(xiàn)與挑戰(zhàn)[J].測(cè)繪學(xué)報(bào),2010,39(1):1-6.(YANG Y X.Progress, contribution and challenges of COMPASS/BeiDou satellite navigation [J].System Acta Geodaetica et Cartographica Sinica, 2010,39(1):1-6.)

[2] 任豐原,黃海寧,林闖.無(wú)線傳感器網(wǎng)絡(luò)[J].軟件學(xué)報(bào),2003,14(7):1282-1291.(REN F Y, HUANG H N, LIN C.Wireless sensor netwoks [J].Journal of Software, 2003, 14(7): 1282-1291.)

[3] 劉強(qiáng),崔莉,陳海明.物聯(lián)網(wǎng)關(guān)鍵技術(shù)與應(yīng)用[J].計(jì)算機(jī)科學(xué),2010,37(6):1-4,10.(LIU Q, CUI L, CHEN H M.Key technologies and applications of Internet of things [J].Computer Science, 2010, 37(6):1-4, 10.)

[4] 于遠(yuǎn)誠(chéng).基于GIS/GPRS/GPS的物流車輛定位管理系統(tǒng)[D].舟山:浙江海洋學(xué)院,2014: 4-6.(YU Y C.Logistics vehicle positioning management system based on GIS/GPRS/GPS [D].Zhoushan: Zhejiang Ocean University,2014: 4-6.)

[5] 沈昌祥,張煥國(guó),王懷民,等.可信計(jì)算的研究與發(fā)展[J].中國(guó)科學(xué):信息科學(xué),2010,40(2):139-166.(SHEN C X, ZHANG H G, WANG H M, et al.Research and development of trust computing [J].Scientia Sinica (Informationis), 2010, 40(2):139-166.)

[6] 陳小春,孫亮,趙麗娜.基于固件的終端安全管理系統(tǒng)研究與應(yīng)用[J].信息網(wǎng)絡(luò)安全,2015(9):287-291.(CHEN X C, SUN L, ZHAO L N.Research and applicationon on terminals management security system based on firmware [J].Netinfo Security, 2015(9): 287-291.)

[7] 楊培,吳灝,金然.BIOS安全防護(hù)技術(shù)研究[J].計(jì)算機(jī)工程與設(shè)計(jì), 2008,29(15):3840-3842.(YANG P, WU H, JIN R.Study on protecting BIOS from malicious tampering [J].Computer Engineering and Design, 2008, 29(15): 3840-3842.)

[8] MILLER C.Battery firmware hacking, inside the innards of a smart battery [EB/OL].(2011- 07- 12) [2016- 04- 05].http://media.blackhat.com/bh-us-11/Miller/BH_US_11_Miller_Battery_Firmware_Public_WP.pdf

[9] VASILIADIS G, POLYCHRONAKIS M, IOANNIDIS S.GPU-assisted malware [J].International Journal of Information Security, 2015, 14(3): 289-297.

[10] YU W, ZHANG Y, XU H, et al.High performance PCIE interface for the TPCM based on Linux platform [C]// ISCID 2015: Proceedings of the 2015 8th International Symposium on Computational Intelligence and Design.Piscataway, NJ: IEEE, 2015: 422-425.

SUN Liang, born in 1980, Ph.D., engineer.His research interests include firmware trusted computing.

CHEN Xiaochun, born in 1980, M.S., senior engineer.His research interests include firmware trusted computing.

ZHENG Shujian, born in 1982, M.S., engineer.His research interests include operation system kernel, radio frequency identification.

LIU Ying, born in 1990, engineer.His research interests include operation system kernel, radio frequency identification.

Research and application for terminal location management system based on firmware

SUN Liang*, CHEN Xiaochun, ZHENG Shujian, LIU Ying

(ZDTechnologies(Beijing)CompanyLimited,Beijing100083,China)

Pasting the Radio Frequency Identification (RFID) tag on the shell of computer so that to trace the location of computer in real time has been the most frequently used method for terminal location management.However, RFID tag would lose the direct control of the computer when it is out of the authorized area.Therefore, the terminal location management system based on the firmware and RFID was proposed.First of all, the authorized area was allocated by RFID radio signal.The computer was allowed to boot only if the firmware received the authorized signal of RFID on the boot stage via the interaction between the firmware and RFID tag.Secondly, the computer could function normally only if it received the signal of RFID when operation system is running.At last, the software Agent of location management would be protected by the firmware to prevent it from being altered and deleted.The scenario of the computer out of the RFID signal coverage would be caught by the software Agent of the terminal; and the terminal would then be locked and data would be destroyed.The terminal location management system prototype was deployed in the office area to control almost thirty computers so that they were used normally in authorized areas and locked immediately once out of authorized areas.

firmware; trusted computing; persistent protection; terminal location management system; Radio Frequency IDentification (RFID)

2016- 08- 15;

2016- 09- 21。

孫亮(1980—),男,河北邯鄲人,工程師,博士,主要研究方向:固件可信計(jì)算; 陳小春(1980—),男,四川瀘州人,高級(jí)工程師,碩士, CCF會(huì)員,主要研究方向:固件可信計(jì)算; 鄭樹劍(1982—),天津人,工程師,碩士,主要研究方向:操作系統(tǒng)內(nèi)核、射頻識(shí)別;劉贏(1981—),北京人,工程師,主要研究方向:操作系統(tǒng)內(nèi)核、射頻識(shí)別。

1001- 9081(2017)02- 0417- 05

10.11772/j.issn.1001- 9081.2017.02.0417

TP309.5

A