Компьютер для запуска тонкого гипервизора в uefi на ранней стадии загрузки компьютера

Авторы патента:


 

Компьютер для запуска тонкого гипервизора в uefi на ранней стадии загрузки компьютера включает материнскую плату с системной шиной, модуль памяти, содержащий UEFI, и, по меньшей мере, одно запоминающее устройство с операционной системой. При этом UEFI содержит модуль тонкого гипервизора, запускающийся сразу после выполнения перехода в окружение исполнения драйверов и выбирающий, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы. Технический результат предлагаемого технического решения - повышение безопасности компьютера. 2 з.п. ф-лы, 1 ил.

Предлагаемая полезная модель относится к компьютеру, содержащему операционную систему, которая защищена от несанкционированного доступа к информации.

В настоящее время для современных компьютеров, а точнее их материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.

Наиболее близким техническим решением является RU 2446447 C2, от 27.03.2012 в котором описан компьютер для управления доступом операционных систем с помощью гипервизора. Данный компьютер содержит материнскую плату с системной шиной, модуль памяти, содержащий BIOS и запоминающее устройство с операционной системой, и модулем гипервизора. В BIOS имеется набор инструкций исполняемых на этапе загрузки, осуществляющих запуск гипервизора. Недостатком данной системы является не достаточная защита компьютера, т.к. гипервизор хранится в разделе на запоминающем устройстве, которое может быть подвержено изменению.

Предлагаемое техническое решение направлено на создание компьютера для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера. В предлагаемом решении гипервизор является частью UEFI, находящейся в модуле памяти и не подвержен изменению при загруженной операционной системе, поэтому такой компьютер обладает повышенной защищенностью операционной системы.

Задача, которую позволяет решить предлагаемая полезная модель - возможность гарантированного запуска гипервизора до старта любого кода расположенного на доступных носителях/запоминающих устройств, подверженных вирусным атакам с целью предотвращения несанкционированного доступа к информации и проверку всего графика информации антивирусом, внутри самого модуля гипервизора.

Технический результат предлагаемого технического решения - повышение безопасности компьютера.

Технический результат достигается тем, что компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера включает материнскую плату с системной шиной, модуль памяти, содержащий UEFI, и, по меньшей мере, одно запоминающее устройство с операционной системой. При этом UEFI содержит модуль тонкого гипервизора, запускающийся сразу после выполнения перехода в окружение исполнения драйверов и выбирающий, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы.

Модуль памяти компьютера, в котором хранится UEFI по существу представляет собой микросхему FLASH.

Кроме того, предпочтительно чтобы тонкий гипервизор имел встроенный модуль антивируса, который при обнаружении потенциально опасных файлов будет блокировать их и передавать информацию в основной модуль антивируса, выполняемый внутри операционной системы.

На фиг.1 показана схема компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера.

Рассмотрим работу предлагаемого устройства компьютера для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера. Для работы предлагаемого компьютера используется материнская плата компьютера, у которого имеется модуль памяти в виде микросхемы FLASH, где вместо БИОС (BIOS) записана UEFI. Кроме того одной из частей UEFI является модуль тонкого гипервизора. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), на которых установлена загружаемая операционная система, монитор, корпус с блоком питания, клавиатура и мышь.

Работа предлагаемого устройства компьютера для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера осуществляется следующим образом. Пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI. После выполнения UEFI перехода в окружение исполнения драйверов - DXE, запускается модуль гипервизора. Модуль тонкого гипервизора является прослойкой между ОС и интерфейсами, виртуализирует все интерфейсы устройства. Т.е., допустим, у устройства есть интерфейс беспроводного доступа к сети, интерфейсы монитора, принтера и CD дисковода. В обычном случае операционная система видит эти устройства и обращается к ним напрямую. И вредоносная программа или неавторизованный пользователь могут при определенных условиях получить доступ к этим интерфейсам. При включенном модуле тонкого гипервизора ОС видит только сам гипервизор, не видя интерфейсы устройств напрямую, а только те и в таком виде, как это отображает для нее гипервизор. Таким образом, определенные пользователи или программы (зависит от настройки гипервизора) просто не увидят, например, принтер, или беспроводной доступ к сети, поскольку для них гипервизор не будет отображать эти интерфейсы, и система будет считать, что такого устройства на компьютере нет. Напротив, тонкий гипервизор может показывать системе какие-либо устройства, не существующие в действительности, например, виртуальный принтер или виртуальный жесткий диск. Кроме того, весь трафик, которым обменивается ОС с любыми интерфейсами, обрабатывается гипервизором, и может независимо от ОС быть передан гипервизором для обработки антивирусным модулем, при этом сама операционная система, даже в случае, если она будет взята под контроль вредоносной программой, не будет иметь информации о том, что такая проверка проводится, что исключает воздействие вирусов на процесс проверки (и лечения). В нашем случае особенностью является то, что запуск этого тонкого гипервизора осуществляется на описанной выше предзагрузочной стадии, до запуска любых программ (и до появления у пользователя возможности осуществления действий), которые потенциально могли бы повлиять на запуск тонкого гипервизора или предотвратить его.

Код гипервизора располагается внутри микросхемы модуля памяти и не подвержен возможности изменения или дискредитации кода.

При этом в модуль тонкого гипервизора, может быть встроен модуль антивируса. В этом случае гипервизор виртуализирует интерфейсы взаимодействия с сетевой и дисковой подсистемой компьютера с целью добавления дополнительных процедур антивирусной проверки передаваемого графика. Модуль антивируса при обнаружении потенциальных опасностей блокирует данный график и передает информацию в основной модуль антивируса выполняемый внутри операционной системы. Помимо контроля графика гипервизор предназначен для контроля памяти процессов с целью выявления несанкционированных изменений. При обнаружении изменений процесс блокируется и передается информация основному модулю антивируса. Смысл тонкого гипервизора в том, что он является прослойкой между операционной системой (ОС) и интерфейсами устройства, при включенном гипервизоре все обращения ОС к сети, дискам, устройствам ввода и вывода идут не напрямую, как в обычном случае, а обрабатываются гипервизором, который может эмулировать какие-либо интерфейсы, не существующие в реальности, или запрещать системе видеть реально существующие, или подменять их, что позволяет гарантированно контролировать трафик с целью выявления вирусной активности и угроз безопасности, а также определять политики доступа для различных пользователей.

Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники, очевидно, что на основе раскрытых данных можно создать вариации компьютера для запуска тонкого гипервизора в UEFI, например, сохраняя код модуля антивируса на отдельной микросхеме FLASH. Таким образом, объем полезной модели не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле полезной модели.

1. Компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера, включающий материнскую плату с системной шиной, модуль памяти, содержащий UEFI, и, по меньшей мере, одно запоминающее устройство с операционной системой, при этом UEFI содержит модуль тонкого гипервизора, запускающийся сразу после выполнения перехода в окружение исполнения драйверов и выбирающий, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы.

2. Компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера по п.1, отличающийся тем, что модуль памяти компьютера, в котором хранится UEFI, представляет собой микросхему FLASH.

3. Компьютер для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера по п.1, отличающийся тем, что тонкий гипервизор имеет встроенный модуль антивируса, который при обнаружении потенциально опасных файлов блокирует их и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы.



 

Похожие патенты:
Наверх