Компьютер с защищенным хранилищем данных

Авторы патента:

G06F12/14 - защита от обращений к памяти посторонних пользователей

Компьютер с защищенным хранилищем данных содержит материнскую плату и защищенное хранилище данных, подключенное к материнской плате через разъем с возможностью временного отсоединения, при этом защищенное хранилище данных имеет собственный микроконтроллер, микросхему SPI Flash, содержащую программу инициализации и организации ввода/вывода - BIOS или UEFI, и по меньшей мере один блок энергонезависимой памяти, используемый для загрузки и хранения доверенных приложений. Разъем может быть сконфигурирован так, что источником питания защищенного хранилища данных является источник дежурного питания компьютера. Микроконтроллер может быть сконфигурирован таким образом, что он обеспечивает защиту микросхемы SPI Flash от модификации записанного на ней исходного кода, осуществляет контроль всех обращений к микросхеме SPI Flash и блоку энергонезависимой памяти и блокирует доступ к ним со стороны приложений компьютера, не обладающих соответствующими разрешениями. Техническим результатом является повышение защиты данных компьютера от неавторизованной модификации в любой момент времени начиная с момента включения компьютера. 2 з.п. ф-лы.

Предлагаемая полезная модель относится к области защищенной вычислительной техники, а именно предлагается создать компьютер с защищенным хранилищем данных.

В настоящее время для современных материнских плат используется интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу на которой происходит инициализация элементов компьютера и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера. При этом BIOS или UEFI физически записываются на микросхеме SPI Flash, входящей в состав материнской платы компьютера.

Наиболее близким техническим решением является компьютер для работы с защищенным хранилищем данных, раскрытый в заявке на изобретение РФ 2008132185 от 20.02.2010. Данное техническое решение содержит этапы запуска загрузчика операционной системы, считывания ключа шифрования, проверки целостности операционной системы и загрузки операционной системы. При этом загрузчик предварительно записывают на внешнем носителе, на начальном этапе загрузки зашифровывают все сектора жесткого диска компьютера, перед проверкой целостности операционной системы осуществляют считывание необходимого для этой проверки и последующей загрузки ключа шифрования, который предварительно сохраняют в защищенной памяти внешнего устройства, для доступа к которой требуют аутентификацию пользователя, и таким образом обеспечивают защиту от несанкционированного доступа к данным, размещенным на жестком диске.

Недостатком существующих технических решений является наличие потенциальной возможности модификации данных BIOS или UEFI, хранящихся на микросхеме SPI Flash, до запуска доверенного приложения, размещенного на внешнем носителе.

Предлагаемое техническое решение направлено на создание компьютера с защищенным хранилищем данных, в котором микросхема SPI Flash, содержащая базовую систему (BIOS или UEFI) размещается непосредственно на защищенном хранилище.

Технический результат предлагаемого решения - повышение защиты данных компьютера от неавторизованной модификации в любой момент времени, начиная с момента включения компьютера.

Технический результат достигается тем, что компьютер с защищенным хранилищем данных содержит материнскую плату и защищенное хранилище данных, подключенное к материнской плате через разъем с возможностью временного отсоединения, при этом защищенное хранилище данных имеет собственный микроконтроллер, микросхему SPI Flash, содержащую программу инициализации и организации ввода/вывода - BIOS или UEFI, и по меньшей мере один блок энергонезависимой памяти, используемый для загрузки и хранения доверенных приложений. Целесообразно сконфигурировать разъем, которым обеспечивается подключение хранилища данных к материнской плате, таким образом, чтобы питание хранилища данных обеспечивалось от источника дежурного питания компьютера, что обеспечивает возможность работы микроконтроллера, входящего в состав защищенного хранилища данных, до момента физического включения компьютера. Микроконтроллер защищенного хранилища данных настраивается таким образом, что он обеспечивает защиту микросхемы SPI Flash от модификации записанного на ней исходного кода, осуществляет контроль всех обращений к микросхеме SPI Flash и блоку энергонезависимой памяти и блокирует доступ к ним со стороны приложений компьютера, не обладающих соответствующими разрешениями.

Работа предлагаемого устройства содержит этапы:

- включения компьютера,

- контроля целостности в BIOS или UEFI,

- загрузки компьютером BIOS или UEFI, из микросхемы SPI Flash защищенного хранилища данных,

- загрузки доверенных приложений из блока энергонезависимой памяти защищенного хранилища данных,

- запуска основной операционной системы,

- управления микроконтроллером всеми обращениями компьютера к защищенному хранилищу данных в течение всего сеанса работы компьютера,

- при завершении работы компьютера закрытие доступа к хранилищу данных до следующей инициализации контроллера хранилища данных.

Рассмотрим более конкретную реализацию предлагаемой полезной модели. Для реализации компьютера используется материнская плата, в которой предусмотрен специализированный разъем для подключения защищенного хранилища данных. При этом данный разъем обеспечивает питание хранилища от источника дежурного (резервного) питания компьютера, что обеспечивает подачу питания на защищенное хранилище данных до момента физического включения компьютера. Хранилище данных имеет собственный микроконтроллер, микросхему SPI Flash, содержащую программу инициализации и организации ввода/вывода - BIOS или UEFI, и по меньшей мере один блок энергонезависимой памяти значительного объема, используемый для загрузки и хранения доверенных приложений. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь, иные устройства ввода-вывода.

Компьютер с защищенным хранилищем данных работает следующим образом:

пользователь включает компьютер, после чего уже работающий к этому моменту контроллер защищенного хранилища данных обеспечивает загрузку BIOS или UEFI из микросхемы SPI Flash, входящей в состав защищенного хранилища данных, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки BIOS или UEFI;

контроллер осуществляет запуск доверенных приложений из блока энергонезависимой памяти защищенного хранилища данных, например, гипервизора, доверенной операционной системы, приложений, обеспечивающих контроль доступа пользователей, антивирусную защиту и т.д., в том числе, обрабатываемых основным процессором компьютера;

в процессе работы компьютера контроллер осуществляет мониторинг всех обращений к микросхеме SPI Flash и блоку энергонезависимой памяти и блокирует доступ к ним со стороны приложений компьютера, не обладающих соответствующими разрешениями;

при выключении работы компьютера контроллер защищенного хранилища данных также осуществляет блокировку внутренней памяти хранилища данных.

Таким образом, контроллер защищенного хранилища данных «привязан» к материнской плате таким образом, что возможна только их совместная работа. Попытка отсоединения защищенного хранилища данных приводит к неработоспособности компьютера.

Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но специалисту в данной области техники очевидно, что на основе раскрытых данных можно создать вариации компьютера с защищенным хранилищем данных, например, используя различные схемы управления компьютером со стороны микроконтроллера хранилища данных. Таким образом, объем полезной модели не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле полезной модели.

1. Компьютер с защищенным хранилищем данных, содержащий материнскую плату и защищенное хранилище данных, подключенное к материнской плате через разъем с возможностью временного отсоединения, при этом защищенное хранилище данных имеет собственный микроконтроллер, микросхему SPI Flash, содержащую программу инициализации и организации ввода/вывода - BIOS или UEFI, и по меньшей мере один блок энергонезависимой памяти, используемый для загрузки и хранения доверенных приложений.

2. Компьютер по п. 1, отличающийся тем, что источником питания защищенного хранилища данных является источник дежурного питания компьютера.

3. Компьютер по п. 1, отличающийся тем, что микроконтроллер сконфигурирован таким образом, что он обеспечивает защиту микросхемы SPI Flash от модификации записанного на ней исходного кода, осуществляет контроль всех обращений к микросхеме SPI Flash и блоку энергонезависимой памяти и блокирует доступ к ним со стороны приложений компьютера, не обладающих соответствующими разрешениями.