操作系统安全是计算机系统安全的核心问题,若操作系统受到攻击,会对计算机系统安全造成重大威胁,而内核安全又是操作系统安全的核心,因此需要设计一套完整的方案来保证操作系统内核的安全性。传统的保护操作系统内核安全性的方案大都在应用层实现,缺乏相对更加底层的安全支持,其方案自身的安全性得不到保障,从而危及整个系统。为了解决上述问题,本文提出了一种基于UEFI的操作系统内核完整性保护的方案,该方案主要在UEFI BIOS启动过程中,利用加密,认证和Hash运算等技术,对操作系统内核进行完整性度量,能够有效保护内核以及操作系统的安全。本方案主要的特点有:(1)本方案是以硬件可信芯片TCM为基础,增加了方案本身的安全性。(2)度量在UEFI BIOS中执行,而BIOS和操作系统具有隔离性,从而隔绝了操作系统层恶意软件和病毒等产生的一些影响。本文的主要研究内容与成果包括以下几点:(1)研究操作系统内核度量机制,提出了一种在UEFI BIOS启动时对操作系统内核完整性度量的方案,该方案通过服务器在网络环境下对客户端操作系统内核度量初始值做集中管控,客户端在UEFI BIOS环境下对操作系统内核进行度量,从底层保障了计算机的安全。(2)分析UEFI BIOS的工作原理,研究客户端如何在UEFI BIOS启动时获取操作系统内核以及如何对操作系统内核度量,获取操作系统内核依赖于在DXE阶段所加载的文件系统驱动程序,对操作系统内核度量采用对比SM3算法产生的Hash值。(3)分析UEFI BIOS通讯原理,研究如何在固件层实现网络通讯以及服务器如何对客户端操作系统内核度量初始值做集中管控,最终,完成服务器集中管控的功能。针对网络传输过程中存在的安全性问题,采用数字信封技术保障传输数据的安全性以及SM2数字签名技术来保障身份的可靠性。通过对操作系统内核完整性度量方法的研究与实现,增加了开机启动时操作系统自主可控性以及内核的安全性,具有重要的实际应用价值。