Intel Boot Guard
基于官方文档:Understanding UEFI Secure Boot Chain - Intel Boot Guard
目录
- 一、引言
- 二、Boot Guard概述
- 三、Boot Guard的组件与角色
- 四、Boot Guard工作原理
- 五、Boot Guard启动链条详细流程
- 六、Intel Boot Guard流程mermaid示意
- 七、Boot Guard与UEFI Secure Boot链关系
- 八、Boot Guard配置与策略详解
- 九、Boot Guard与TPM的协同
- 十、Boot Guard安全威胁与防护
- 十一、Boot Guard的应用场景
- 十二、Boot Guard与平台生命周期管理
- 十三、Boot Guard与固件更新
- 十四、Boot Guard与现代服务器安全
- 十五、参考文献
一、引言
随着计算机安全威胁的不断演化,主板固件和启动链的安全性成为防护根基。传统BIOS缺乏可信根机制,导致恶意固件可能完全控制系统启动流程。为此,Intel推出Boot Guard技术,从硬件层起步,协助建立平台的硬件级信任根,防止未经授权的固件加载,保障平台启动安全。
UEFI Secure Boot虽可防止未签名操作系统加载,但无法防御固件级攻击。Intel Boot Guard则填补了这一空白,为UEFI Secure Boot链条提供更底层的保障。
二、Boot Guard概述
Intel Boot Guard是一套嵌入在Intel处理器芯片组中的启动完整性验证机制。其核心目标是:
- 确保主板固件(BIOS/UEFI)未被篡改
- 启动链条的每一环都在可信状态下执行
- 提供硬件级别的信任根(Root of Trust)
Boot Guard通过在主板制造阶段植入公钥,启动时对固件关键部分进行哈希校验与签名验证,任何未授权修改都将导致设备拒绝启动或报警。
三、Boot Guard的组件与角色
Boot Guard体系包括如下核心组件:
Boot Policy Manifest(BPM)
描述固件验证策略的配置文件,规定哪些固件区段需要签名校验,采用何种验证模式。签名密钥
- 主板制造商在生产时嵌入的OEM公钥,用于签发BPM和固件签名
- 只有拥有私钥的实体(通常是OEM厂商)才能生成受信任固件
Boot Guard ACM(Authenticated Code Module)
Intel CPUS内置的固件校验模块,负责固件校验逻辑的实际执行TPM(Trusted Platform Module)
负责存储启动测量值(如PCR寄存器),为远程认证与平台完整性报告提供支持
四、Boot Guard工作原理
Boot Guard的核心机制是在主板通电或重启时,立即对主板固件(BIOS/UEFI)进行完整性校验。其主要流程包括:
密钥烧录
在主板生产阶段,OEM在PCH(Platform Controller Hub,平台控制器集线器)永久烧录公钥。策略定义
制造时配置BPM,指定固件哪些区域需要签名、采用何种校验方式(如哈希校验/数字签名)。固件校验
通电后,CPU内部Boot Guard ACM读取固件BPM与固件本身,对照烧录公钥进行签名校验。启动/阻断
- 校验通过:释放CPU复位,启动固件
- 校验失败:阻止固件启动,平台进入锁定状态
测量与报告
Boot Guard可将固件测量值(Hash)写入TPM,为后续远程认证或完整性监测提供依据。
五、Boot Guard启动链条详细流程
Boot Guard的启动链条可细分为以下步骤:
- 上电/重启
- 处理器进入Boot Guard模式
- 加载并执行Boot Guard ACM
- 读取并解析BPM
- 校验BIOS/UEFI固件签名
- (可选)将测量值写入TPM PCR
- 校验通过则继续启动流程,失败则平台锁定或报警
- 转交控制权给BIOS/UEFI固件
- 后续进入UEFI Secure Boot链条
六、Intel Boot Guard流程
七、Boot Guard与UEFI Secure Boot链关系
Intel Boot Guard主要负责防护UEFI Secure Boot链条的“起点”——BIOS/UEFI固件本身。
- Boot Guard:保障固件未被恶意篡改
- UEFI Secure Boot:保障操作系统启动文件未被恶意篡改
两者可级联形成完整的启动信任链:
八、Boot Guard配置与策略详解
1. 启动策略类型
Verified Boot
强制固件校验,只允许签名固件启动。若校验失败,平台锁定,不允许启动。Measured Boot
不阻断启动,但将固件测量值写入TPM PCR,可用于远程认证与完整性监测。Combined Boot
同时启用校验和测量。
2. 策略配置流程
- 制造商在主板PCH中烧录公钥
- 生成BPM文件,指定需要校验的固件区域及校验方式
- 固件发布时用私钥签名指定区段
- Boot Guard ACM按策略执行校验与测量
3. 策略生效条件
- 策略一旦烧录,不可更改
- 固件升级需用同一私钥签名,否则平台将拒绝启动
九、Boot Guard与TPM的协同
Boot Guard可将固件测量值写入TPM的PCR寄存器,结合TPM远程认证机制,实现:
- 平台完整性远程度量(Remote Attestation)
- 支持BitLocker、LUKS等磁盘加密自动解锁
- 可信密钥管理
十、Boot Guard安全威胁与防护
1. 威胁模型
- 恶意篡改固件镜像
- 替换Bootloader或UEFI驱动
- 篡改BPM或策略配置
2. 防护措施
- 密钥物理烧录,不可更改
- 策略一经锁定不可变更
- 签名校验失败即阻断启动
- TPM测量值不可伪造
十一、Boot Guard的应用场景
企业级服务器防护
防止数据中心服务器被固件级攻击控制金融、政务等高安全场景
满足合规性和可追溯性要求IoT与工业控制
防止设备被刷写恶意固件云服务商可信计算
为客户提供可信平台度量报告
十二、Boot Guard与平台生命周期管理
制造阶段
烧录公钥和策略,保障初始可信使用阶段
固件升级需签名,平台始终受控退役阶段
可注销密钥,防止平台被恶意利用
十三、Boot Guard与固件更新
- 固件更新包必须用原私钥签名
- 策略区域变更需重新签名
- 非法固件无法加载,平台自保护
十四、Boot Guard与现代服务器安全
Boot Guard是构建现代服务器和云平台安全的基石。在与TPM、UEFI Secure Boot等机制协同下,可实现:
- 全链路可信启动
- 远程度量与认证
- 防止固件级攻击
- 支持零信任架构
十五、参考文献
- Understanding UEFI Secure Boot Chain - Tianocore Docs
- 英特尔Boot Guard技术白皮书
- UEFI Secure Boot官方介绍
- TPM 2.0 Library Specification
- Microsoft Secure Boot Documentation
附录一:平台固件信任链全景
附录二:Boot Guard与Secure Boot链分工对比
| 机制 | 防护起点 | 防护内容 | 信任根存放位置 | 主要用途 |
|---|---|---|---|---|
| Intel Boot Guard | 主板固件 | 校验BIOS/UEFI完整性 | PCH烧录的OEM公钥 | 平台硬件信任 |
| UEFI Secure Boot | UEFI固件 | 校验操作系统启动文件 | UEFI变量/PK数据库 | OS级别完整性防护 |
| TPM | 平台硬件模块 | 存储测量与密钥 | 独立芯片/CPU内置 | 度量与远程认证 |