基于固件的終端位置管理系統研究與應用

孫 亮，陳小春，鄭樹劍，劉 贏

(中電科技(北京)有限公司，北京 100083)

(*通信作者電子郵箱lsun@zd-tech.com.cn)

基于固件的終端位置管理系統研究與應用

孫 亮*，陳小春，鄭樹劍，劉 贏

(中電科技(北京)有限公司，北京 100083)

(*通信作者電子郵箱lsun@zd-tech.com.cn)

現有的終端位置管控方法大多是在計算機外殼粘貼射頻識別(RFID)標簽進行實時定位。但是，一旦計算機被帶離RFID信號覆蓋區域，外貼的RFID標簽缺乏對計算機的直接管控能力。因此，基于固件技術和RFID技術，提出和設計了基于固件的終端位置管理系統。首先，該系統通過RFID信號劃定授權區域，在上電開機階段，通過固件層實現與RFID標簽的交互，僅允許終端在接收到RFID授權信號后才能開機使用；其次，在操作系統運行階段，計算機需要得到RFID授權信號才能正常使用；再次，通過固件對操作系統中的位置管控軟件進行保護，防止管控軟件被篡改和刪除。在計算機脫離RFID信號覆蓋范圍，終端中的軟件代理將立即捕捉到這種情況，根據安全策略鎖定終端或對數據進行銷毀。目前已經研制原型系統，對辦公區域內30臺計算機終端進行位置管理，實現了終端僅在授權區域可正常開機使用，脫離授權區域將立即鎖定。

固件；可信計算；持久化守護；終端位置管理系統；射頻識別

0 引言

隨著信息化建設的快速發展和逐步完善，政府、軍隊、軍工、科研院所及關系國計民生的重要行業中，都不可避免地有著敏感數據和涉密信息環境，大量機要文件、圖紙、文檔都以電子文件形式存儲在企業內部的涉密計算機終端中，一旦內部員工隨意將計算機帶離辦公區域，則可能會引起終端丟失、數據泄露等安全問題。因此，如何在辦公區域內實現對計算機終端進行基于位置的管理，成為亟需解決的問題。

目前，對物體進行實時定位的技術發展已經比較成熟。如北斗系統[1]、全球定位系統(Global Positioning System，GPS)、無線傳感器網絡(Wireless Sensor Network，WSN)[2]、無線射頻識別(Radio Frequency Identification，RFID)[3]、Wi-Fi網絡、藍牙、基站定位等實時定位系統已經在物流傳輸、交通調度、健康監護、倉儲保管等領域中廣泛應用[4]。

但是，計算機終端與一般物品的位置管理系統的目的不同。一般物品位置管理系統的目的往往是為了防止物品丟失，而計算機終端管理系統的目的是防止終端丟失，特別是終端內部的數據丟失。從本質上來看，對計算機終端的位置管理系統，需要盡可能地保證計算機終端處于可控的范圍，即使計算機終端脫離辦公區域，也要具有防止數據泄露的安全機制。

目前，計算機終端位置安全管理已經有一些方法，如：

1)計算機外殼粘貼RFID。將有源RFID標簽貼在計算機外殼上，可以實現對終端的跟蹤。但是也存在以下兩個問題：a)RFID標簽與計算機無交互，一旦終端脫離區域，將無法對其進行管控;b)需要在電腦使用區域內部署全覆蓋的RFID射頻網絡實現實時定位，工程實施難度大。

2)計算機保持內網網線連接。通過在計算機中安裝特定軟件，使終端只能在內網環境下正常工作，計算機將不能在辦公區域任意移動位置。

3)藍牙或Wi-Fi定位。通過藍牙隨身報警機制或Wi-Fi定位機制雖然可以實現終端的定位和管理，但其無線網絡技術具有高速數據傳輸能力，會帶來數據泄露的隱患。

方法1)僅在外殼粘貼RFID標簽，無法使標簽與計算機內的軟件交互，缺乏對計算機的管控能力；方法2)和3)本質是通過操作系統中的特定軟件實現的，難以防止非法用戶的強制中斷和操作系統旁路攻擊。

固件是計算機系統中不可缺少的重要部件，往往以軟件形式固化存儲在硬件的芯片中。計算機的主板、顯卡、網卡、硬盤中都有固件，其中最重要、最核心的固件稱為基本輸入輸出系統(Basic Input/Output System，BIOS)。計算機上電開機后，固件會對CPU中的寄存器、計時芯片、可編程中斷器及直接內存存取(Direct Memory Access， DMA)控制器的進行狀態檢查，同時初始化設置主板芯片組、動態內存、顯卡及相關外圍的寄存器。在以上設備正常運行的前提下，固件將負責引導操作系統。

固件在上電開機后即獲得最高權限，能夠與硬件進行交互，能夠訪問硬盤和文件系統；固件能夠在系統管理模式(System Management Mode， SMM)下對操作系統運行的軟件進行查看，并執行代碼。因此，在整個計算機運行過程中，固件能夠與外接硬件設備和操作系統中的安全軟件進行交互，發揮關鍵作用。

本文基于固件技術和RFID技術，依據可信計算整體思路[5]，設計并實現了基于固件的終端位置管理系統。在前期的工作中，筆者提出了固件持久化守護技術并開發了國產計算機平臺的原型系統進行驗證[6]。本文則主要針對地理圍欄特定場景，將持久化技術與RFID技術進行更深度的結合，設計和實現了可在國產計算機平臺和X86通用計算機平臺使用的終端位置管理系統。通過RFID射頻系統，劃定終端授權辦公區域。在授權區域內，終端能夠正常啟動和運行；一旦脫離授權區域，終端將根據策略自動鎖定、關機甚至銷毀數據。通過持久化技術，能夠保證計算機終端中運行的軟件代理不被破壞。目前，基于固件的終端管理系統已經實現了系統原型，并在辦公區域內部署和使用。

1 計算機終端位置管理系統分析

辦公區域內的計算機終端管理與一般物品的管理不同，不僅需要知道計算機所在位置，更需要能夠根據位置對計算機進行管控。首先，計算機終端管理系統主要是防止其在關機狀態被非授權替換硬盤；其次，防止其在開機狀態被非授權拷貝數據及非授權訪問網絡；再次，一旦計算機終端脫離了授權區域，還要能夠對終端本身進行控制，如執行關機、鎖定、甚至銷毀數據等安全策略。

因此，可以看出終端位置管理的主要需求包括以下三點：

1)能夠保證計算機終端在授權辦公區域內正常使用，在非授權區域內無法使用，并防止終端非授權拷貝數據和非授權訪問網絡。

2)能夠保證計算機終端始終處于可控狀態。即能夠保證計算機終端內的安全機制始終處于工作狀態，不會被中斷、關閉及卸載。

3)終端位置管理系統應易于部署，不需要過多考慮辦公區域實際物理空間環境對定位信號造成的干擾。

因此，基于固件的終端位置管理系統需要一種強有力的軟件保護機制，保證運行操作系統的軟件代理持續運行；此外，還需要一種易部署的室內定位技術手段。因此，本文采用了基于固件技術、RFID技術及可信計算的信任鏈傳遞思路，構建了基于固件的終端管理系統。

1)FRID定位技術。

基于衛星的定位技術往往適用于室外環境，而室內定位效果不佳；基于Wi-Fi、藍牙的定位技術在一些涉密環境下不允許使用；基于WSN的定位技術工程量較大，可以進行較為高速的數據傳輸，但需要在現場進行信號測量才能確定功率；RFID的信號覆蓋范圍可靈活配置，并且讀寫速度較快。因此，選用RFID技術作為位置管理的定位技術，其效果如圖1所示，具體包括RFID發射器、RFID標簽和相應的客戶端軟件。

圖1 使用RFID技術的終端位置管理示意圖

2)持久化守護保護技術。

一般情況下，僅在操作系統中運行的安全軟件是難以保證其持續運行的，這主要是因為以下幾點：

a)非授權用戶可以通過文件粉碎等方式破壞安全軟件;

b)非授權用戶可以通過操作系統旁路的方法獲取數據，繞過安全軟件對系統的監控;

c)重新安裝操作系統、格式化硬盤分區或更換硬盤后，安全軟件已被清除，需要重新安裝。

固件運行階段能夠訪問內存、硬盤等硬件設備，也能夠訪問操作系統中的軟件文件，擁有極高的權限[7]。因此，將使用固件技術對上層的軟件進行保護。雖然固件是固化在芯片中的軟件，但也存在被改寫的風險。如果在計算機的固件中含有惡意代碼，將可以直接對筆記本電池等硬件平臺芯片進行直接攻擊[8]；同時，如果在顯卡、硬盤等關鍵硬件的固件中含有惡意代碼，也會對系統造成極大的安全威脅[9]。為保證整個系統的安全性，將采用可信密碼模塊對固件、核心硬件和關鍵軟件進行保護，防止其被攻擊和篡改。

圖2展示了在單臺計算機終端進行持久化守護技術的整體框架，包括了持久化守護固件模塊、持久化守護主程序、位置管理客戶端三個部分。首先，基于可信密碼模塊，完成對固件的保護，防止固件被破壞、篡改；在此基礎上，固件層將預制持久化守護固件模塊，完成對操作系統中持久守護軟件代理的完整性度量，防止其被篡改和刪除；持久化守護主程序對位置管理客戶端進行保護，防止其被中斷、篡改和卸載；位置管理客戶端將持續執行對RFID授權信號的獲取和計算機終端的管控。

圖2 持久化守護技術示意圖

2 基于固件的終端管理系統的設計

2.1 總體結構設計

基于固件的終端位置管理系統涉及可信計算、固件、RFID等多種技術，可分為硬件層、固件層、操作系統層、網絡服務層四個層面進行設計。圖3展示了依托可信計算體系設計的基于固件的終端位置管理系統。該系統通過可信密碼模塊保護固件，通過固件保護操作系統中的客戶端軟件，通過服務器實現終端的遠程控制和遠程恢復。

圖3 終端位置管理系統總體結構圖

1)硬件層主要包括CPU、可信密碼模塊、RFID設備和其他硬件。

a)基于固件的終端位置管理系統需要支持X86平臺及國產處理器平臺。

b)可信密碼模塊用于提供基礎的密碼機制、可信度量等功能。采用插卡方式接入計算機可信密碼模塊也可以提供可信度量的功能[10]。

c)RFID設備包括實現授權信號覆蓋的RFID發射器，以及終端配插的RFID標簽。

2)固件層包括固件核心鏡像、可信固件模塊、持久化守護固件模塊三部分。

a)固件核心鏡像。固件核心鏡像用于完成CPU、芯片組等其他硬件的初始化，以及操作系統引導。

b)可信固件模塊。可信固件模塊用于在固件運行階段對終端關鍵硬件設備進行度量，特別是對硬盤進行度量，防止硬盤被非授權替換；同時，可信固件模塊還將對操作系統核心鏡像進行度量，防止操作系統被破壞；并且，可信固件模塊還將支持BIOS口令、USB Key等身份認證功能。

c)持久化守護固件模塊。持久化守護固件模塊用于在固件運行階段實現對硬盤的讀寫，完成對位置管理客戶端的文件保護，以及軟件自啟動的設置。

持久化固件模塊包括環境檢測、度量恢復、持久化守護主程序三個子模塊，如圖4所示。

環境檢測模塊 用于對硬盤和操作系統等軟件運行環境進行檢測，確定持久化主程序需要自啟動方式及寫入位置。環境監測模塊通過在固件層實現對文件系統的識別和操作，可支持通用CPU平臺和操作系統。

度量恢復模塊 將對操作系統指定位置是否存在持久化主程序進行檢測。如果持久化守護主程序被破壞或篡改，則將對主程序的文件進行恢復。

持久化守護主程序 在操作系統啟動過程中完成自啟動，并監測位置管理客戶端狀態是否正常。如果位置管理客戶端被破壞或篡改，持久化守護主程序可以在聯網環境中，通過位置管理服務器的軟件恢復服務進行恢復；在非聯網環境下，可以通過部署在安全隱藏分區中的備份進行恢復。

持久化守護固件模塊遵循UEFI(Unified Extensible Firmware Interface)標準，可以提供Option ROM接口，能夠在主板固件芯片部署，或以計算機外接板塊的形式進行部署。

圖4 持久化守護機制示意圖

3)操作系統層主要包括持久化守護主程序和位置管理客戶端主程序兩部分。

a)持久化守護主程序。持久化守護主程序存儲于特定存儲空間，在固件運行階段被釋放到操作系統中，完成位置管理客戶端的實時保護。

b)位置管理客戶端。位置管理客戶端主程序用于與RFID標簽進行通信，確定所在位置，并實時接收網絡服務層的指令。在未接收到RFID授權信號時，將執行既定安全策略，如關機、鎖定、數據刪除等操作。

4)網絡服務層主要包括RFID通信、跟蹤定位、軟件恢復、安全策略四個主要模塊。

a)RFID通信模塊。位置管理服務器與所有RFID發射器相連，接收RFID標簽的上傳信息；同時，位置管理服務器還將向RFID發射器推送安全策略及管理指令。

b)跟蹤定位模塊。位置管理服務器收到RFID標簽信號后，將解析出相應位置并進行記錄和保存。

c)軟件恢復模塊。位置管理服務器能夠提供位置管理客戶端備份程序。在聯網環境中，將通過持久化守護模塊對軟件進行恢復。

d)安全策略模塊。位置管理服務器能夠定制需要執行的安全策略，并在聯網環境中下發給終端。

此外，終端位置管理服務器還包括終端信息展示、終端分組管理、日志等功能。

2.2 總體流程設計

基于固件的終端管理系統需要依托可信計算思想體系，采用逐級驗證、逐級授權的思想，完成對計算機在特定區域正常使用、脫離區域禁止使用的管控。

終端位置管理系統的總體工作流程分為三個階段，如圖5所示。

圖5 終端位置管理系統總體流程

具體描述如下：

1)固件運行階段。在開機啟動后，固件將對運行的軟、硬件環境進行檢測，對關鍵硬件和核心軟件進行可信度量。而后，固件將檢測持久化守護主程序是否存在，自啟動是否正常。如果主程序被破壞或刪除將自動進行恢復。

2)操作系統啟動階段。在操作系統運行后，持久化守護主程序將自動啟動，并對位置管理客戶端進行檢測。如果位置管理客戶端被破壞或中斷，持久化主程序將對客戶端進行恢復。

3)操作系統運行階段。位置管理客戶端正常工作后，將接收RFID射頻信號，判斷是否處于授權使用范圍。如果處于非授權范圍，將執行既定安全策略，如關機、鎖定和數據刪除。

2.3 基于固件的終端位置管理系統的實現效果

目前，終端位置管理系統已經完成原型實現，并已在筆者所在辦公區域內進行部署，對辦公區域內30臺終端進行位置管理。該原型系統可以在非聯網或聯網的環境中實現對終端的位置管理。該系統僅需在許可辦公范圍內部署RFID發射器，就可以劃定終端使用授權區域；在授權區域內，內部人員必須在得到授權后，才可在特定區域對計算機終端進行開機和持續運行。位置管理客戶端軟件被持久化守護模塊保護，不會被中斷或關閉，即使在格式化硬盤或更換硬盤的情況下，該系統也能在非聯網環境或網絡環境中，自動進行恢復。

目前，該原型系統已支持龍芯、飛騰、兆芯及通用X86處理器平臺，其中，龍芯和飛騰處理器平臺安裝Linux操作系統，兆芯和通用X86平臺安裝Windows操作系統。龍芯、飛騰、兆芯平臺中使用了昆侖固件，并在其中安裝了持久化守護固件模塊；通用X86平臺未安裝固件模塊，僅實現了基于硬盤和操作系統的部署方式，缺乏固件層的保護。通用X86平臺選用了ThinkPad系列T450筆記本，操作系統選用了Windows 10。在WinTel平臺上部署的終端位置管理系統，雖然沒有固件層持久化守護的保護，安全程度有所降低，但是該方案能夠直接以安裝軟件及配插標簽的方法，實現對通用X86計算機平臺的位置管理，將具有更廣闊的應用市場。

原型系統的主要功能包括區域內授權開機啟動、可信度量、RFID授權、終端安全管控、出差申請、審計日志。其中，授權開機啟動和可信度量僅能在昆侖固件中實現。

1)計算機區域內授權開機啟動。計算機在上電開機時，需要首先配插RFID標簽；而后，固件加載RFID標簽驅動，并與RFID射頻發射器進行交互，完成多因子認證。終端在開機時必須滿足以下條件：

a)輸入正確的BIOS口令；

b)接入正確的RFID標簽；

c)處于授權RFID射頻信號覆蓋范圍內。

2)可信度量。在固件運行過程中，將對關鍵軟、硬件進行檢測，完成以下功能：

a)防止硬件替換和破壞。在開機過程中，計算機終端一旦發現硬件被替換或破壞，將會進行報警，并中止啟動過程。

b)防止操作系統旁路。在開機過程中，計算機終端不會引導非授權操作系統的啟動。

3)RFID授權。終端在操作系統運行過程中，必須滿足以下條件：

a)接入正確的RFID標簽；

b)處于授權RFID射頻信號覆蓋范圍內。

圖6展示了在ThinkPad T450筆記本的Windows 10操作系統中的位置管控客戶端中的RFID信號強度，當RFID標簽未收到信號時，將進行鎖屏處理。

4)終端安全管控。計算機在啟動或運行過程中，一旦未接入RFID標簽或未收到RFID授權信號，則執行關機、鎖屏等安全策略。鎖屏效果如圖7所示。

在研發過程中發現，由于外界的干擾，RFID射頻信號不是非常穩定，特別是接近RFID射頻信號邊緣覆蓋區域，信號比較微弱，易造成誤報。為解決該問題，采用了以下兩種方法：1)利用冗余的辦法，增加報警次數，規避RFID信號不穩定時造成的誤報和鎖屏；2)在原有辦公區域增加一臺RFID射頻發射器，并對這兩臺RFID射頻發射器進行了不同級別的劃分，在一個時間周期內，高優先級的讀寫器優先發送和接受RFID標簽的信令。通過這兩種方法能大大減少RFID信號重疊覆蓋造成的干擾。

5)出差申請。當用戶需要攜帶計算機終端外出時，必須進行出差登記，將出差信息寫入RFID標簽，才可以在特定時間段內擁有終端使用授權。

6)審計日志。RFID標簽通過射頻網絡和讀寫器交互時，讀寫器實時上傳審計信息到RFID數據服務器保存，并生成管理客戶端能夠查看的審計日志。

圖8展示了配插RFID標簽的筆記本在不同區域內移動后，引起切換RFID射頻發射器后生成的審計日志。

圖6 RFID信號強度效果圖

圖7 鎖屏效果示意圖

圖8 終端位置移動日志

3 結語

本文提出的終端位置管理系統是基于固件技術、RFID技術和可信計算技術的終端安全防護軟件，采用逐級驗證、逐級授權的思想，完成對計算機在特定區域正常使用、脫離區域禁止使用的管控。該系統通過RFID射頻系統劃定終端授權辦公區域，能夠保證計算機終端在授權區域內受控使用，在脫離授權區域時執行關機、鎖屏、數據刪除等安全策略。通過固件持久化守護技術，對位置管理客戶端進行保護，保證其持續運行，即使計算機終端硬盤被替換或格式化，位置管理客戶端仍能進行自動恢復。下一步，我們將在此基礎上繼續研究RFID重疊情況下如何進行準確定位和信令傳遞，對終端位置管理進行完善。

References)

[1] 楊元喜.北斗衛星導航系統的進展、貢獻與挑戰[J].測繪學報,2010,39(1):1-6.(YANG Y X.Progress, contribution and challenges of COMPASS/BeiDou satellite navigation [J].System Acta Geodaetica et Cartographica Sinica, 2010,39(1):1-6.)

[2] 任豐原,黃海寧,林闖.無線傳感器網絡[J].軟件學報,2003,14(7):1282-1291.(REN F Y, HUANG H N, LIN C.Wireless sensor netwoks [J].Journal of Software, 2003, 14(7): 1282-1291.)

[3] 劉強,崔莉,陳海明.物聯網關鍵技術與應用[J].計算機科學,2010,37(6):1-4,10.(LIU Q, CUI L, CHEN H M.Key technologies and applications of Internet of things [J].Computer Science, 2010, 37(6):1-4, 10.)

[4] 于遠誠.基于GIS/GPRS/GPS的物流車輛定位管理系統[D].舟山:浙江海洋學院,2014: 4-6.(YU Y C.Logistics vehicle positioning management system based on GIS/GPRS/GPS [D].Zhoushan: Zhejiang Ocean University,2014: 4-6.)

[5] 沈昌祥,張煥國,王懷民,等.可信計算的研究與發展[J].中國科學:信息科學,2010,40(2):139-166.(SHEN C X, ZHANG H G, WANG H M, et al.Research and development of trust computing [J].Scientia Sinica (Informationis), 2010, 40(2):139-166.)

[6] 陳小春,孫亮,趙麗娜.基于固件的終端安全管理系統研究與應用[J].信息網絡安全,2015(9):287-291.(CHEN X C, SUN L, ZHAO L N.Research and applicationon on terminals management security system based on firmware [J].Netinfo Security, 2015(9): 287-291.)

[7] 楊培,吳灝,金然.BIOS安全防護技術研究[J].計算機工程與設計, 2008,29(15):3840-3842.(YANG P, WU H, JIN R.Study on protecting BIOS from malicious tampering [J].Computer Engineering and Design, 2008, 29(15): 3840-3842.)

[8] MILLER C.Battery firmware hacking, inside the innards of a smart battery [EB/OL].(2011- 07- 12) [2016- 04- 05].http://media.blackhat.com/bh-us-11/Miller/BH_US_11_Miller_Battery_Firmware_Public_WP.pdf

[9] VASILIADIS G, POLYCHRONAKIS M, IOANNIDIS S.GPU-assisted malware [J].International Journal of Information Security, 2015, 14(3): 289-297.

[10] YU W, ZHANG Y, XU H, et al.High performance PCIE interface for the TPCM based on Linux platform [C]// ISCID 2015: Proceedings of the 2015 8th International Symposium on Computational Intelligence and Design.Piscataway, NJ: IEEE, 2015: 422-425.

SUN Liang, born in 1980, Ph.D., engineer.His research interests include firmware trusted computing.

CHEN Xiaochun, born in 1980, M.S., senior engineer.His research interests include firmware trusted computing.

ZHENG Shujian, born in 1982, M.S., engineer.His research interests include operation system kernel, radio frequency identification.

LIU Ying, born in 1990, engineer.His research interests include operation system kernel, radio frequency identification.

Research and application for terminal location management system based on firmware

SUN Liang*, CHEN Xiaochun, ZHENG Shujian, LIU Ying

(ZDTechnologies(Beijing)CompanyLimited,Beijing100083,China)

Pasting the Radio Frequency Identification (RFID) tag on the shell of computer so that to trace the location of computer in real time has been the most frequently used method for terminal location management.However, RFID tag would lose the direct control of the computer when it is out of the authorized area.Therefore, the terminal location management system based on the firmware and RFID was proposed.First of all, the authorized area was allocated by RFID radio signal.The computer was allowed to boot only if the firmware received the authorized signal of RFID on the boot stage via the interaction between the firmware and RFID tag.Secondly, the computer could function normally only if it received the signal of RFID when operation system is running.At last, the software Agent of location management would be protected by the firmware to prevent it from being altered and deleted.The scenario of the computer out of the RFID signal coverage would be caught by the software Agent of the terminal; and the terminal would then be locked and data would be destroyed.The terminal location management system prototype was deployed in the office area to control almost thirty computers so that they were used normally in authorized areas and locked immediately once out of authorized areas.

firmware; trusted computing; persistent protection; terminal location management system; Radio Frequency IDentification (RFID)

2016- 08- 15;

2016- 09- 21。

孫亮(1980—),男,河北邯鄲人,工程師,博士,主要研究方向:固件可信計算; 陳小春(1980—),男,四川瀘州人,高級工程師,碩士, CCF會員,主要研究方向:固件可信計算; 鄭樹劍(1982—),天津人,工程師,碩士,主要研究方向:操作系統內核、射頻識別;劉贏(1981—),北京人,工程師,主要研究方向:操作系統內核、射頻識別。

1001- 9081(2017)02- 0417- 05

10.11772/j.issn.1001- 9081.2017.02.0417

TP309.5

A