Вычислительная установка с доверенной средой
Полезная модель относится к структуре, информационным связям и взаимному соединению основных логических узлов компьютера и может быть использована для создания установок, предназначенных для обработки данных, имеющих, в частности, конфиденциальный характер. Требуемый технический результат, заключающийся в повышение уровня предотвращения утечки конфиденциальных данных, достигается в установке, содержащей, по крайней мере, два автономных модуля, каждый из которых содержит процессор, кэш данных процессорного ядра, кэш команд процессорного ядра, шину данных, шину команд, шину прерываний, шину системного управления и шину доступа к оперативной памяти, а также оперативную память, контроллер системной шины, блок контроллера памяти и, по крайней мере, один модуль доверенной загрузки, содержащий блок сброса процессора и постоянное запоминающее устройство доверенной среды. 1 ил.
Полезная модель относится к структуре, информационным связям и взаимному соединению основных логических узлов компьютера и может быть использована для создания установок, предназначенных для обработки данных, имеющих, в частности, конфиденциальный характер.
Известен способ и реализующее его устройство, осуществляющее защиту данных при выполнении клиентской программы с использованием доверенной среды путем выполнения следующих шагов: передача данных клиентской программе, передача программного кода, содержащего алгоритм, с сервера защиты клиентской программе, причем, результат алгоритма является функцией состояния клиентской программы, выполнение указанного кода клиентской программой и возврат результата на сервер защиты или средства, связанные с сервером защиты, а также определение сервером защиты или средствами, связанными с сервером защиты, указывает ли полученный результат на отсутствие модификации клиентской программы [RU 2449494, С2, H04N 7/16, 27.04.2012].
Недостатком известного технического решения является относительно высокая сложность и относительно низкий уровень предотвращения утечки конфиденциальных данных.
Наиболее близким по технической сущности к предложенному является устройство, содержащее процессоры, память, включающую основную память, программы и данные, хранящиеся на накопителях, и периферийные устройства, причем, архитектура устройства представляет собой N автономных модулей, которые подключены с помощью одного или N переключателей через соответствующую каждому модулю шину к шине одного или N терминалов, каждый модуль включает в себя центральный процессор, основную память, накопители, устройства ввода-вывода, периферийные устройства, шину и программное обеспечение, каждый терминал включает устройства ввода-вывода и периферийные устройства, подключенные к шине терминала, причем, каждый модуль осуществляет обмен данными только с терминалом или N терминалами, взаимодействие с которыми обеспечено переключателем или N переключателями [RU 2413290, С2, G06F 15/76, 27.02.2011].
Недостатком устройства является относительно низкий уровень предотвращения утечки конфиденциальных данных.
Задачей, решаемой предложенным устройством, является повышение уровня предотвращения утечки конфиденциальных данных
Техническим результатом является создание архитектуры вычислительно установки, обеспечивающую высокий уровень предотвращения утечки конфиденциальных данных.
Требуемый технический результат достигается тем, что, в установку, содержащую, по крайней мере, два автономных модуля, каждый из которых содержит процессор, кэш данных процессорного ядра, кэш команд процессорного ядра, шину данных, соединяющую процессор и кэш данных процессорного ядра, шину команд, соединяющую процессор и кэш команд процессорного ядра, шину прерываний, соединенную входом-выходом к соответствующему входу-выходу процессора, шину системного управления, соединенную входом-выходом к соответствующему входу-выходу процессора, и шину доступа к оперативной памяти, соединенную входом-выходом к соответствующему входу-выходу процессора, а также оперативную память, контроллер системной шины и блок контроллера памяти, соответствующие входы-выходы которого соединены с входом-выходом оперативной памяти, с входом-выходом контроллера системной шины, а группы входов-выходов - соединены с группами входов-выходов соответствующих, по крайней мере, двух автономных модулей, введены, по крайней мере, один модуль доверенной загрузки, содержащий блок сброса процессора и постоянное запоминающее устройство доверенной среды, входы-выходы которых являются входами-выходами модуля доверенной загрузки и соединены с соответствующим входом-выходом группы входов-выходов контроллера системной шины, а в каждый, по крайней мере, один автономный модуль введены первый, второй, третий и четвертый устройства блокировки, первые входы-выходы которых совместно с шиной доступа к оперативной памяти образуют группу входов-выходов автономного модуля, причем, кэш данных процессорного ядра своим вторым входом-выходом соединен со вторым входом-выходом первого устройства блокировки, управляющий вход которого соединен с первым выходом управляющего сигнала процессора, кэш команд процессорного ядра своим вторым входом-выходом соединен со вторым входом-выходом второго устройства блокировки, управляющий вход которого соединен со вторым выходом управляющего сигнала процессора, шина прерываний соединена со вторым входом-выходом третьего устройства блокировки, управляющий вход которого соединен с третьим выходом управляющего сигнала процессора, а шина системного управления соединена со вторым входом-выходом четвертого устройства блокировки, управляющий вход которого соединен с четвертым выходом управляющего сигнала процессора.
На чертеже представлена функциональная схема вычислительной установки с доверенной средой.
Вычислительная установка с доверенной средой содержит, по крайней мере, два автономных модуля 1-1
1-n (процессорных ядра), каждый из которых содержит процессор 2, кэш 3 данных процессорного ядра, кэш 4 команд процессорного ядра.
Кроме того, вычислительная установка с доверенной средой содержит шину 5 данных, соединяющую процессор 2 и кэш 3 данных процессорного ядра, шину 6 команд, соединяющую процессор 2 и кэш 4 команд процессорного ядра, шину 7 прерываний, соединенную входом-выходом к соответствующему входу-выходу процессора 2, шину 8 системного управления, соединенную входом-выходом к соответствующему входу-выходу процессора 2, и шину 9 доступа к оперативной памяти, соединенную входом-выходом к соответствующему входу-выходу процессора 2.
Вычислительная установка с доверенной средой содержит также оперативную память 10, контроллер 11 системной шины и блок 12 контроллера памяти, соответствующие входы-выходы которого соединены с входом-выходом оперативной памяти 10, с входом-выходом контроллера 11 системной шины, а группы входов-выходов - соединены с группами входов-выходов соответствующих, по крайней мере, двух автономных модулей 11-n.
В вычислительной установке с доверенной средой имеется также, по крайней мере, один модуль 13 доверенной загрузки, содержащий блок 14 сброса процессора и постоянное запоминающее устройство 15 доверенной среды, входы-выходы которых являются входами-выходами модуля 13 доверенной загрузки и соединены с соответствующим входом-выходом группы входов-выходов контроллера 11 системной шины, а в каждом, по крайней мере, одном автономном модуле 1-11-n содержится первый 16, второй 17, третий 18 и четвертый 19 устройства блокировки, первые входы-выходы которых совместно с шиной 9 доступа к оперативной памяти образуют группу входов-выходов автономного модуля 1-11-n, причем, кэш 3 данных процессорного ядра своим вторым входом-выходом соединен со вторым входом-выходом первого устройства 16 блокировки, управляющий вход которого соединен с первым выходом управляющего сигнала процессора 2, кэш 4 команд процессорного ядра своим вторым входом-выходом соединен со вторым входом-выходом второго устройства 17 блокировки, управляющий вход которого соединен со вторым выходом управляющего сигнала процессора 2, шина 7 прерываний соединена со вторым входом-выходом третьего устройства 18 блокировки, управляющий вход которого соединен с третьим выходом управляющего сигнала процессора 2, а шина 8 системного управления соединена со вторым входом-выходом четвертого устройства 19 блокировки, управляющий вход которого соединен с четвертым выходом управляющего сигнала процессора 2.
Все элементы установки являются стандартными блоками современных компьютеров.
Работает вычислительная установка с доверенной средой следующим образом.
Для выполнения программ с гарантированным результатом и конфиденциальными данными необходимо создание доверенных сред выполнения. Для этой цели обычно используются вычислительные установки полностью отключенные от каналов связи и имеющая БИОС и программное обеспечение, проверенное на отсутствие недекларированных возможностей. Это избыточно, поскольку требует выделения для целей и задач доверенной среды целой вычислительной установки и, кроме того, требует проведения на этой установке комплекса мероприятий по выявлению не декларированных возможностей в оборудовании и программном обеспечении.
Для уменьшения избыточности в состав вычислительной установки включается модуль 13 доверенной загрузки (МДЗ), являющийся ядром доверенной программной среды и изолированной аппаратной среды.
В составе МДЗ 13 имеется блок 14 сброса процессора в начальное состояние (выдача селективного сигнала сигнал INIT на выбранное ядро процессора) и постоянное запоминающее устройство 15 доверенной среды, в котором размещены программы активации доверенной среды, монитора доверенной среды и прикладные программы доверенной среды.
Постоянное запоминающее устройство 15 доверенной среды доступно только для чтения (программируется при изготовлении МДЗ 13 либо на специальном технологическом стенде в процессе эксплуатации). При этом, доступ к постоянному запоминающему устройству 15 доверенной среды ограничивается интервалом времени с начала выдачи сигнала сброса процессора до начала загрузки операционной системы.
После аппаратного сброса через аппаратуру МДЗ 13 процессорное ядро сразу начинает выполнять программы, записанные в постоянном запоминающем устройстве 15 доверенной среды, чем гарантируется его начальное состояние и выполнение только доверенных программ. В запоминающем устройстве 15 доверенной среды записаны, как минимум, три вида программ:
- программы инициализации изолированной аппаратной среды;
- программы поддержания целостности изолированной аппаратной среды (монитор изолированной среды), выполняющая роль операционной системы для выделенного и изолированного ядра процессора;
- прикладные программы доверенной среды, состав которых определяется задачами, решаемыми в доверенной среде.
Инициализация доверенной среды производится из начального состояния процессора 2 с помощью не модифицируемых программ, размещенных в постоянном запоминающем устройстве 15 доверенной среды МДЗ 13, и потому не требует проверки остального оборудования вычислительной установки и ее программного обеспечения на наличие не декларированных возможностей.
Программа инициализации доверенной среды изолирует процессорное ядро от шины 7 прерываний, шины 5 данных, шины 6 команд и шины 8 системного управления. Блокировка этих шин осуществляется с помощью сигналов управления для первого 16, второго 17, третьего 18 и четвертого 19 устройств блокировки, которые вырабатываются внутренним оборудованием процессора 2 и не может быть снята посредством внешнего программного/аппаратного воздействия. Сама блокировка осуществляется отключением оборудования интерфейса соответствующих шин. Шину 9 доступа к оперативной памяти не блокируется, поскольку через эту шину происходит взаимодействие доверенной среды с остальной частью вычислительной установки. Эта шина не влияет на целостность доверенной среды, поскольку операции на ней инициируются исключительно программами и аппаратурой доверенной среды.
Кроме этого, из системных таблиц описания оборудования вычислительной установки удаляется описание ядра процессора 2, выделенного для работы доверенной среды.
Таким образом, ядро процессора, выделенное для работы доверенной среды исключается из состава вычислительной установки и становится невидимым для остального оборудования и программного обеспечения, функционирующего в нем.
Программа инициализации доверенной среды помещает системные области памяти (таблицы IDN, GDT, LDT, PG VMSC/VMCB) в Кеш данных выделенного процессорного ядра, а также данные необходимые для работы доверенной среды и размещенные в постоянном запоминающем устройстве 15 доверенной среды. Загрузка данных и системных таблиц в Кеш данных осуществляется через шину 9 доступа к оперативной памяти, после чего программы доверенной среды загружаются в Кеш программ выделенного процессорного ядра программы доверенной среды (через шину 9 доступа к оперативной памяти), куда загружается также программы монитора доверенной среды.
После полной изоляции процессорного ядра и загрузки программ монитора доверенной среды и программ доверенной среды в составе вычислительной установки начинает функционировать доверенная программно-аппаратная платформа, на которой выполняются прикладные задачи, требующие сохранения конфиденциальных данных и гарантий целостности выполняемых преобразований над конфиденциальными данными.
Таким образом, благодаря усовершенствованию известного устройства создана такая архитектура вычислительной установки, которая практически исключает утечку конфиденциальных данных, чем и достигается требуемый технический результат, заключающийся в повышение уровня предотвращения утечки конфиденциальных данных.
Вычислительная установка с доверенной средой, содержащая, по крайней мере, два автономных модуля, каждый из которых содержит процессор, кэш данных процессорного ядра, кэш команд процессорного ядра, шину данных, соединяющую процессор и кэш данных процессорного ядра, шину команд, соединяющую процессор и кэш команд процессорного ядра, шину прерываний, соединенную входом-выходом к соответствующему входу-выходу процессора, шину системного управления, соединенную входом-выходом к соответствующему входу-выходу процессора, и шину доступа к оперативной памяти, соединенную входом-выходом к соответствующему входу-выходу процессора, а также оперативную память, контроллер системной шины и блок контроллера памяти, соответствующие входы-выходы которого соединены с входом-выходом оперативной памяти, с входом-выходом контроллера системной шины, а группы входов-выходов соединены с группами входов-выходов соответствующих, по крайней мере, двух автономных модулей, отличающаяся тем, что введены, по крайней мере, один модуль доверенной загрузки, содержащий блок сброса процессора и постоянное запоминающее устройство доверенной среды, входы-выходы которых являются входами-выходами модуля доверенной загрузки и соединены с соответствующим входом-выходом группы входов-выходов контроллера системной шины, а в каждый, по крайней мере, один автономный модуль введены первый, второй, третий и четвертый устройства блокировки, первые входы-выходы которых совместно с шиной доступа к оперативной памяти образуют группу входов-выходов автономного модуля, причем кэш данных процессорного ядра своим вторым входом-выходом соединен со вторым входом-выходом первого устройства блокировки, управляющий вход которого соединен с первым выходом управляющего сигнала процессора, кэш команд процессорного ядра своим вторым входом-выходом соединен со вторым входом-выходом второго устройства блокировки, управляющий вход которого соединен со вторым выходом управляющего сигнала процессора, шина прерываний соединена со вторым входом-выходом третьего устройства блокировки, управляющий вход которого соединен с третьим выходом управляющего сигнала процессора, а шина системного управления соединена со вторым входом-выходом четвертого устройства блокировки, управляющий вход которого соединен с четвертым выходом управляющего сигнала процессора.
