随着计算机的发展,传统BIOS在计算机应用中逐渐老化,并伴随着可控性差等问题,严重影响了计算机的发展速度。为了改善计算机的性能,英特尔等公司提出了下一代BIOS即本文的UEFI BIOS。UEFI BIOS从根本上克服了传统BIOS的很多弊端。但是UEFI BIOS存在很多安全方面的威胁。因此IPSec在UEFIBIOS中的应用成为必然。本课题针对UEFI BIOS的Pre-boot环境设计并实现了IPSec安全架构,从而在网络层有效地保证了通信安全;另外,本文实现了椭圆曲线加密算法应用于IPSec架构中的思想;本文还对实现的UEFI BIOS网路安全系统进行了功能和性能方面的测试。本文的具体工作如下:首先,分析了UEFI BIOS环境下TCP/IP架构中存在的网络安全缺陷。本文基于UEFI BIOS中安全问题的考虑,分析了UEFI BIOS的主要功能模块和各个启动阶段的主要任务;总结了BIOS中TCP/IP协议的组成架构并从代码的角度对其进行安全性分析;针对TCP/IP在安全方面的缺陷阐明了将IPSec应用进来的必要性;用对比的方法给出了ECC算法与其它加密算法相比的优越性。其次,设计并实现了UEFI BIOS下的IPSec架构。因为TCP/IP协议族从最初的设计开始就没有考虑通信安全方面的因素,因此该架构在安全方面存在很多安全隐患。Pre-boot环境下引入TCP/IP是一个新的尝试。它能够带来很多传统BIOS下不能实现的性能。因此,通过综合考虑这些方面的因素,本文设计并实现了IPSec来保证Pre-boot环境下的网络安全。本文重点设计了IPSec在Pre-boot环境下的通信架构,对设计过程中的细节进行了阐释,论述了ECC加密算法的具体实现方法。第三,设计实现了IPSec密钥交换模块,并实现了ECC算法在密钥交换中的运用。本文设计了IKE的两个工作阶段:第一阶段每次传输往返数据报的封装格式,具体数据段的定义和IKE参与Pre-boot环境下网络通信的方式;第二阶段采用积极模式实现了Child SA的建立。另外,本文实现了ECC算法加入到Pre-boot环境中来的思想。最后,从功能和性能上对在Pre-boot环境下实现的IPSec安全方案进行测试。实验证明本文设计的安全框架符合Pre-boot环境下的各项协议标准,该架构能够很好的运行在TCP/IP协议中;在Pre-boot环境下的性能测试进一步验证了椭圆曲线加密算法在IPSec中能够正常运行,也证明了IPSec的引入在时间上对启动的影响在可接受范围之内。