一種基于USB的PC啟動(dòng)加密方法的設(shè)計(jì)與實(shí)現(xiàn)畢業(yè)論文

1、華中師范大學(xué)畢 業(yè) 論 文論文題目：一種基于usb的pc啟動(dòng)加密方法的設(shè)計(jì)與實(shí)現(xiàn)姓 名：_ _ _ 學(xué) 號(hào)：_1411811004_函授站： _江西函授站_ _專 業(yè)：_計(jì)算機(jī)科學(xué)與技術(shù)_指導(dǎo)教師：_ _ _ 二一三年 三月畢業(yè)論文承諾書本人承諾：本人已經(jīng)了解華中師范大學(xué)的畢業(yè)論文寫作的有關(guān)規(guī)定；本人的論文是在指導(dǎo)教師指導(dǎo)下獨(dú)立完成的研究成果。整篇論文除了文中已注明出處或引用的內(nèi)容外，絕沒有侵犯他人知識(shí)產(chǎn)權(quán)。對(duì)本論文所涉及的研究工作做出貢獻(xiàn)的個(gè)人和集體，均已在文中以明確方式注明。簽 名：_ _ 日 期：_2013年3月10日_目 錄一.緒論5二.pc固件cmos加密方式存在隱患及不足5三相關(guān)知

2、識(shí)、軟件和技術(shù)簡(jiǎn)介63.1mbr的主要功能和工作流程63.2 grub的工作原理63.3 kexec的原理7四基于usb的pc啟動(dòng)加密方法的設(shè)計(jì)與實(shí)現(xiàn)84.1設(shè)計(jì)方案概述84.2設(shè)計(jì)方案原理及詳解8五. 結(jié)論9參考文獻(xiàn)11一種基于usb的pc啟動(dòng)加密方法的設(shè)計(jì)與實(shí)現(xiàn)【摘要】隨著信息技術(shù)的發(fā)展與廣泛應(yīng)用，無論在商業(yè)領(lǐng)域，還是在金融等領(lǐng)域，信息安全都顯得非常重要。本文在常用的加密技術(shù)的基礎(chǔ)上進(jìn)行了一系列改進(jìn)和創(chuàng)新，以實(shí)現(xiàn)對(duì)計(jì)算機(jī)啟動(dòng)更可靠的加密，提高數(shù)據(jù)的安全性。在研究對(duì)比了現(xiàn)行的多種加密技術(shù)之后，本文的基本思路是：通過加密硬盤的主引導(dǎo)記錄防止非法開機(jī)，而加密mbr會(huì)導(dǎo)致計(jì)算機(jī)無法引導(dǎo)，這就必須借

3、助另一個(gè)操作系統(tǒng)來完成mbr的解密工作，本文借助kexec工具在先啟動(dòng)的操作系統(tǒng)運(yùn)行時(shí)替換成另一個(gè)操作系統(tǒng)，相比2個(gè)操作系統(tǒng)分開啟動(dòng)減少了一次bios自檢，節(jié)約啟動(dòng)時(shí)間。通過內(nèi)核替換方式啟動(dòng)另一個(gè)操作系統(tǒng)可以將解密過程置于2個(gè)操作系統(tǒng)切換之間，執(zhí)行時(shí)間非常短，解密的中間結(jié)果僅僅短時(shí)間存在于內(nèi)存中，提高關(guān)鍵數(shù)據(jù)（mbr）的安全性。【關(guān)鍵詞】 加密 kexec grub 主引導(dǎo)記錄一.緒論隨著信息技術(shù)的發(fā)展，信息安全面臨著越來越嚴(yán)峻的挑戰(zhàn)。危害信息安全的事件層出不窮，數(shù)據(jù)竊取事件每天都在發(fā)生，傳統(tǒng)安全設(shè)備的加密性能偏弱，cmos密碼等古老的防護(hù)措施易于繞行，而伴隨著人們對(duì)計(jì)算機(jī)加密的訴求越來越高，

4、各種安全防護(hù)措施應(yīng)運(yùn)而生沈昌祥,張煥國(guó),馮登國(guó)等. 信息安全綜述. 中國(guó)科學(xué)e輯:信息科學(xué)j.2007, 37(2): 129-150。本文借助幾項(xiàng)常用技術(shù)的結(jié)合，旨在設(shè)計(jì)一種簡(jiǎn)單易行的pc啟動(dòng)加密技術(shù)。相對(duì)于傳統(tǒng)安全保護(hù)方式更加安全有效。它克服了cmos因放電完畢而產(chǎn)生的口令繞行現(xiàn)象，提高數(shù)據(jù)安全性。采用常見工具u盤作為基礎(chǔ)實(shí)驗(yàn)設(shè)備，而u盤在我們生活隨處可見，攜帶方便，成本低廉，因而很容易找到大量資源，而且很方便實(shí)現(xiàn)量產(chǎn)。二.pc固件cmos加密方式存在隱患及不足cmos加密，實(shí)際上就是在計(jì)算機(jī)對(duì)硬件完成自檢后，強(qiáng)制中斷對(duì)其他硬件設(shè)備的檢測(cè)，加入一個(gè)口令確認(rèn)窗口，如果口令輸入錯(cuò)誤，那么硬件的

5、檢測(cè)將被停止。若是連續(xù)3次都沒有輸入正確的口令，則系統(tǒng)將被徹底鎖死，唯一的解決辦法就是重新啟動(dòng)計(jì)算機(jī)并再次輸入正確的口令。可見，對(duì)于一般用戶而言，采用cmos加密能夠在啟動(dòng)計(jì)算機(jī)的時(shí)候就增加了一道防護(hù)措施。cmos密碼的設(shè)置根據(jù)用戶設(shè)置的不同，一般分為兩種不同類型的密碼：一種就是supervisor密碼（超級(jí)用戶密碼）；另一種是user密碼（普通用戶密碼），超級(jí)密碼相比用戶密碼可以進(jìn)入bios設(shè)置菜單對(duì)所有項(xiàng)目進(jìn)行修改，但是這兩類密碼都可以破解，權(quán)限的高低在破解方法面前全然沒有了意義?；谟布mos的安全加密方式可利用“硬”、“軟”兩方面來破解，具體方法如下：1.“硬”解除方法：將主板上的c

6、mosram進(jìn)行放電處理，使存儲(chǔ)在cmosram中的參數(shù)得不到正常的供電導(dǎo)致內(nèi)容丟失，從而起到解除cmos密碼的目的。操作也很簡(jiǎn)單：打開機(jī)箱，短接電池兩個(gè)引腳約兩秒鐘后，將硬盤或光驅(qū)、軟驅(qū)的數(shù)據(jù)線從主板上拔掉，然后再啟動(dòng)計(jì)算機(jī)，bios會(huì)在自檢時(shí)報(bào)告錯(cuò)誤并自動(dòng)進(jìn)入cmos，此時(shí)就可以重新設(shè)置bios內(nèi)容了。2.“軟”解除方法：cmos密碼根據(jù)需要，可設(shè)為普通級(jí)用戶密碼和超級(jí)用戶級(jí)密碼兩種。前者只是限制對(duì)bios的修改，可以正常啟動(dòng)電腦和運(yùn)行各類軟件，而后者則對(duì)進(jìn)入電腦和bios完全禁止。一種方法是用dos啟動(dòng)盤啟動(dòng)電腦，進(jìn)入dos狀態(tài)，在dos命令行輸入debug回車，而后輸入：-o 70 0

7、0-o 71 00-q解除cmos密碼，重新啟動(dòng)電腦，系統(tǒng)會(huì)告訴你cmos參數(shù)丟失，要求你重新設(shè)定cmos參數(shù)。經(jīng)過驗(yàn)證，該方法簡(jiǎn)單有效。另一種方法是使用免費(fèi)軟件biospwds可以直接讀取cmos密碼。三相關(guān)知識(shí)、軟件和技術(shù)簡(jiǎn)介3.1mbr的主要功能和工作流程主引導(dǎo)扇區(qū)（master boot record）位于硬盤的0柱面0磁頭1扇區(qū)，該記錄占用一個(gè)扇區(qū)即512個(gè)字節(jié)，它先于操作系統(tǒng)啟動(dòng)，硬件自檢完成后運(yùn)行，并將系統(tǒng)控制權(quán)交給指定的操作系統(tǒng)區(qū)。一個(gè)扇區(qū)的硬盤主引導(dǎo)記錄mbr由如表1所示的4個(gè)部分組成。1.主引導(dǎo)程序（偏移地址0000h-0088h），它負(fù)責(zé)從活動(dòng)分區(qū)中裝載，并運(yùn)行系統(tǒng)引導(dǎo)程

8、序。2.出錯(cuò)信息數(shù)據(jù)區(qū)，偏移地址0089h-00e1h為出錯(cuò)信息，00e2h-01bdh全為0字節(jié)。3.分區(qū)表（dpt，disk partition table）含4個(gè)分區(qū)項(xiàng)，偏移地址01beh-01fdh,每個(gè)分區(qū)表項(xiàng)長(zhǎng)16個(gè)字節(jié)，共64字節(jié)為分區(qū)項(xiàng)1、分區(qū)項(xiàng)2、分區(qū)項(xiàng)3、分區(qū)項(xiàng)4。4.結(jié)束標(biāo)志字，偏移地址01fe-01ff的2個(gè)字節(jié)值為結(jié)束標(biāo)志55aa,如果該標(biāo)志錯(cuò)誤系統(tǒng)就不能啟動(dòng)。 表1 mbr的組成結(jié)構(gòu)0000-0088主引導(dǎo)程序主引導(dǎo)程序0089-01bd數(shù)據(jù)區(qū)數(shù)據(jù)區(qū)01be-01fd分區(qū)項(xiàng)1-4（164字節(jié)）分區(qū)表01fe-01ff55 aa結(jié)束標(biāo)志3.2 grub的工作原理gru

9、b是一種開源操作系統(tǒng)裝載程序，用于加載操作系統(tǒng)的內(nèi)核，為很多開源操作系統(tǒng)采用，國(guó)內(nèi)某開源社區(qū)在grub的基礎(chǔ)上發(fā)展了grub4dos grub4dos and wingrub eb/ol.(2011-04-21) 2012-03-20. 。能正常工作的grub應(yīng)該包括一下文件：stage1、stage2、*stage1_5、以及相應(yīng)的配置文件。stage1被安裝硬盤的主引導(dǎo)記錄，或者某個(gè)活動(dòng)分區(qū)啟動(dòng)扇區(qū)，也可是光盤、半導(dǎo)體存儲(chǔ)設(shè)備等，主要的作用是定位stage2文件完成后續(xù)的工作。stage2文件存在特定文件系統(tǒng)中。stage1容量有限，無法識(shí)別文件系統(tǒng)，stage1_5的文件負(fù)責(zé)解釋文件系統(tǒng)

10、。grub簡(jiǎn)單開機(jī)過程如下：按下電源后，計(jì)算機(jī)自檢（post），如果硬件設(shè)備（cpu、內(nèi)存、硬盤、光驅(qū)、各種卡）都沒有問題，bios會(huì)檢查各個(gè)硬盤的mbr，看有沒有可以執(zhí)行的代碼，如果你把grub安裝到第一個(gè)硬盤的mbr上，那bios就會(huì)找到它，然后把控制權(quán)交個(gè)這段代碼（其實(shí)就是512字節(jié)大小的 stage1）。 stage1根據(jù)安裝時(shí)提供的信息，如stage2在什么地方，需不需要加載文件系統(tǒng)的對(duì)應(yīng)的stage1_5文件等，找到stage2文件，并把控制權(quán)交給stage2。 stage2會(huì)需要特定位置的grub配置文件menu.lst文件(此文件是/boot/gurb/gurb.conf的鏈接

11、文件)，如果找到，就分析其中的內(nèi)容，形成操作系統(tǒng)選擇菜單（grub管它叫menu interface），如果沒有找到menu.lst或者這個(gè)文件的格式、內(nèi)容有錯(cuò)誤，那就顯示grub的命令行提示符。 當(dāng)你選擇了菜單中相應(yīng)的條目，或者輸入了相關(guān)的命令，就可以看是引導(dǎo)系統(tǒng)了。比如引導(dǎo)linux的話，stage2會(huì)負(fù)責(zé)將vmlinuz 和initrd（如果有的話）裝載到內(nèi)存，并把控制權(quán)交給vmlinuz。 linux的內(nèi)容完成對(duì)硬件的初始化，并把控制權(quán)交給init程序，完成后續(xù)的工作了。3.3 kexec的原理kexec是一種成熟的fastboot技術(shù)，由ibm公司的eric biederman于20

12、01年設(shè)計(jì)，是一種快速切換系統(tǒng)內(nèi)核的linux系統(tǒng)內(nèi)核機(jī)制，最初作為一個(gè)系統(tǒng)補(bǔ)丁發(fā)布，自2.6.13內(nèi)核版本之后，正式被linux內(nèi)核接收。目前由simon hormansimon horman. kexec. eb/ol.(2010) 2012-03-20. 維護(hù)。kexec可以從當(dāng)前運(yùn)行的內(nèi)核不需硬件系統(tǒng)停機(jī)而直接引導(dǎo)到一個(gè)新的內(nèi)核。kexec越過硬件重啟、bios自檢以及bootloader加載階段，直接跳轉(zhuǎn)到新內(nèi)核，可以避開操作系統(tǒng)引導(dǎo)序列中固件和bootloader環(huán)節(jié)，加速操作系統(tǒng)的重新啟動(dòng)，減少系統(tǒng)啟動(dòng)的時(shí)間耗費(fèi)。kexec存在的缺陷在于可能導(dǎo)致設(shè)備的穩(wěn)定性差，沒有固件的初始化，

13、內(nèi)核可能無法取得設(shè)備初始化時(shí)反饋的穩(wěn)健狀態(tài)，可能導(dǎo)致設(shè)備不可靠。kexec分為兩部分，分別工作在用戶態(tài)和內(nèi)核態(tài)，一個(gè)是用戶態(tài)的工具，即“kexec-tools”，一個(gè)是內(nèi)核態(tài)部分已經(jīng)包含在內(nèi)核中。用戶態(tài)的主要功能是執(zhí)行kexec的裝載，分析裝入內(nèi)核文件格式等。內(nèi)核態(tài)負(fù)責(zé)處理kexec裝載和執(zhí)行過程中系統(tǒng)調(diào)用以及新內(nèi)核的啟動(dòng)。kexec分三個(gè)階段執(zhí)行新內(nèi)核的啟動(dòng)：將新內(nèi)核拷貝到內(nèi)存中；將這個(gè)新內(nèi)核放置在動(dòng)態(tài)內(nèi)核的內(nèi)存的位置；將新內(nèi)核放置在目標(biāo)地址并覆蓋原內(nèi)核，然后啟動(dòng)新內(nèi)核。其中前兩步完成于內(nèi)核裝載期間，分析內(nèi)核文件，理論上可以引導(dǎo)任何文件，kexec對(duì)支持的內(nèi)核文件做了嚴(yán)格的限制，僅僅支持可執(zhí)

14、行鏈接格式(executable and linking format，elf)的內(nèi)核。elf文件格式由unix 系統(tǒng)實(shí)驗(yàn)室開發(fā)，作為應(yīng)用程序二進(jìn)制接口的一部分，是一種可移植的目標(biāo)文件格式，適用于多種操作系統(tǒng)。其目的是為開發(fā)人員提供一組二進(jìn)制接口定義，減少重復(fù)編譯和編程，加強(qiáng)代碼復(fù)用。elf文件格式包含目標(biāo)模塊格式、可執(zhí)行文件格式以及調(diào)試記錄信息與格式。圖1 kexec運(yùn)行過程中的內(nèi)存分布kexec 還分配了一個(gè)用來存儲(chǔ)匯編代碼的小存根（small stub）的內(nèi)核頁，稱為 reboot_code_buffer 。這個(gè)存根完成用將要重新啟動(dòng)到的內(nèi)核來覆蓋當(dāng)前內(nèi)核并跳轉(zhuǎn)到它的實(shí)際工作。一旦內(nèi)核映

15、像被裝載，系統(tǒng)就可以重新啟動(dòng)到它。使用 kexec -e 命令來開始真正重新啟動(dòng)到新內(nèi)核hariprasad nellitheertha. reboot linux faster using kexec. eb/ol.(2004-05-04) 2012-03-20. cristina b, sebastian g. freeboo: an open architecture for network dual boot. linux journalj. 2009,(180).nichamon n, narate t, chokchai l et al. benefits of software

16、rejuvenation on hpc systems. international symposium on parallel and distributed processing with applicationc. 2010:499-506.。四基于usb的pc啟動(dòng)加密方法的設(shè)計(jì)與實(shí)現(xiàn)4.1設(shè)計(jì)方案概述由于常用加密保護(hù)方式存在諸多隱患和不足，為此，本文采取一種新的安全保護(hù)方式，來提高計(jì)算機(jī)特別是涉密計(jì)算機(jī)的安全性，從而作為一種加密技術(shù)的補(bǔ)充，防止計(jì)算機(jī)內(nèi)信息被非法竊取。本文從其他加密防護(hù)措施存在不足入手，利用常見工具u盤，以及簡(jiǎn)單而有效的措施實(shí)現(xiàn)計(jì)算機(jī)啟動(dòng)防護(hù)，防止非授權(quán)用戶啟動(dòng)操作系統(tǒng)

17、。具體實(shí)現(xiàn)步驟如下：step1：設(shè)置從usb設(shè)備優(yōu)先啟動(dòng)。step2：首先在u盤中安裝微型linux操作系統(tǒng)。step3：在該操作系統(tǒng)中安裝kexec和grub4dos兩個(gè)工具。step4：在進(jìn)入linux系統(tǒng)后，加密mbr，此時(shí)的加密為了驗(yàn)證程序的便利僅僅加密了mbr的前10個(gè)字節(jié)，加密非法是與0xff異或計(jì)算得到的按位取反的值。step5：利用kexec替換內(nèi)核，啟動(dòng)grub4dos管理引導(dǎo)程序。step6：grub4dos從電腦硬盤讀入進(jìn)行過加密處理的mbr，然后對(duì)其進(jìn)行解密得到初始mbr。step7：執(zhí)行解密后的mbr，啟動(dòng)硬盤中的windows系統(tǒng)。4.2設(shè)計(jì)方案原理及詳解目前通用程

18、度較高的x86系列計(jì)算機(jī)的啟動(dòng)流程如下：圖2 x86系列計(jì)算機(jī)正常啟動(dòng)流程圖本文的方法是通過加密mbr，使得硬盤中系統(tǒng)無法正常啟動(dòng)，在u盤中l(wèi)inux下將其讀入內(nèi)存中解密，從而實(shí)現(xiàn)正常引導(dǎo)硬盤中windows系統(tǒng)。圖3 基于usb的pc啟動(dòng)加密方案原理圖引導(dǎo)部分，是指從u盤中l(wèi)inux操作系統(tǒng)引導(dǎo)至硬盤中windows操作系統(tǒng)的過程。進(jìn)入linux系統(tǒng)后，加載相關(guān)應(yīng)用。可以使用加密功能對(duì)硬盤中mbr進(jìn)行加密得mbr，使得硬盤中windows系統(tǒng)無法正常啟動(dòng)；如果mbr已經(jīng)加密，就可以使用啟動(dòng)另一個(gè)操作系統(tǒng)的功能，利用kexec切換內(nèi)核，啟動(dòng)grub4dos管理引導(dǎo)程序，此處grub4dos經(jīng)過修改源碼，加入了解密功能，然后重新編譯，grub4dos啟動(dòng)后自動(dòng)執(zhí)行預(yù)先設(shè)定的啟動(dòng)腳本，讀取硬盤中加密后的mbr，對(duì)其進(jìn)行解密處理后，解密后校驗(yàn)并執(zhí)行，即可引導(dǎo)進(jìn)入硬盤中的windows系統(tǒng)。利用kexec切換內(nèi)核命令為：kexec l grub.exekexec e加密部分和解密部分，是指對(duì)于硬盤中mbr進(jìn)行加解密的過程。由于在引導(dǎo)程序中，內(nèi)存首先讀取mbr內(nèi)容，若mbr內(nèi)容正確，則該硬盤中系統(tǒng)可被正常引導(dǎo)，否則系統(tǒng)無法正常啟動(dòng)。啟動(dòng)linux系統(tǒng)，對(duì)硬