Способ загрузки компьютером защищенного хранилища данных

Авторы патента:

G06F12/14 - защита от обращений к памяти посторонних пользователей

Владельцы патента RU 2538288:

Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" (RU)

Изобретение относится к области защиты хранилища данных компьютера. Техническим результатом является повышение эффективности защиты хранилища данных. Способ загрузки компьютером защищенного хранилища данных содержит этапы включения компьютера, загрузки компьютером Unified Extensible Firmware (UEFI) из модуля памяти материнской платы компьютера, на этапе UEFI-выполнения перехода в окружение исполнения драйверов осуществления подачи питания на защищенное хранилище данных и инициализации контроллера доступа данного хранилища данных, передачи UEFI пароля контроллеру доступа данного хранилища данных, передачи UEFI удостоверяющего сертификата контроллеру доступа данного хранилища данных и проверки корректности ответа, при положительном выполнении всех условий открытия доступа контроллером доступа данного хранилища к своим данным, при завершении работы компьютера закрытия доступа к хранилищу данных до следующей инициализации контроллера доступа данного хранилища данных. 3 з.п. ф-лы, 1 ил.

Изобретение относится к способу защиты хранилища данных компьютера, а именно предлагается разрешить осуществлять доступ к хранилищу данных только на определенных компьютерах.

В настоящее время для современных материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера, и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.

Наиболее близким техническим решением является способ защищенной загрузки операционной системы компьютера, раскрытый в заявке на изобретение РФ №2008132185 от 20.02.2010. Данный способ содержит этапы запуска загрузчика операционной системы, считывания ключа шифрования, проверки целостности операционной системы и загрузки операционной системы. При этом загрузчик предварительно записывают на внешнем носителе, на начальном этапе загрузки зашифровывают все сектора жесткого диска компьютера, перед проверкой целостности операционной системы осуществляют считывание необходимого для этой проверки и последующей загрузки ключа шифрования, который предварительно сохраняют в защищенной памяти внешнего устройства, для доступа к которой требуют аутентификацию пользователя, и таким образом обеспечивают защиту от несанкционированного доступа к данным, размещенным на жестком диске. Недостатком такого технического решения является недостаточная защищенность данных, ограниченная методом шифрования жесткого диска, а также сложность.

Предлагаемое техническое решение направлено на создание способа загрузки компьютером защищенного хранилища данных, при котором данные с хранилища данных будут недоступны без компьютера предварительно инициализированным данным хранилищем.

Технический результат предлагаемого технического решения - повышение защиты данных защищенного хранилища данных.

Технический результат достигается тем, что способ загрузки компьютером защищенного хранилища данных, содержит этапы:

- включения компьютера,

- загрузки компьютером Unified Extensible Firmware (UEFI), из своего модуля памяти материнской платы (микросхема FLASH),

- на этапе UEFI-выполнения перехода в окружение исполнения драйверов (DXE) осуществления подачи питания на защищенное хранилище данных и инициализации контроллера доступа данного хранилища данных,

- передачи UEFI пароля контроллеру доступа данного хранилища данных,

- передачи UEFI удостоверяющего сертификата контроллеру доступа данного хранилища данных и проверку корректности ответа,

- при положительном выполнении всех условий открытия доступа контроллером доступа данного хранилища к своим данным,

- при завершении работы компьютера закрытия доступа к хранилищу данных до следующей инициализации контроллера доступа данного хранилища данных.

При этом предпочтительно выполнять защищенное хранилище данных в виде Flash-памяти, выбранной одного из следующих форматов Compact Flash, Multi Media Card, Secure Digital, mini SD, Memory Stick, Memory Stick Duo Pro. Либо использовать иную известную Flash-память.

На фиг.1 показана схема способа загрузки компьютером защищенного хранилища данных.

Рассмотрим более конкретную реализацию предлагаемого способа загрузки компьютером защищенного хранилища данных. Для реализации способа используется материнская плата компьютера, у которой в микросхеме FLASH вместо БИОС (BIOS) записана UEFI. При этом в UEFI сохранена информация пароля и/или сертификата, который передается контроллеру подключаемого защищенного хранилища данных. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь. Кроме того, в материнской плате компьютера должны быть предусмотрены интерфейсы (разъемы) для подключения к ее системной шине по меньшей мере одного внешнего защищенного хранилища данных.

Способ загрузки компьютером защищенного хранилища данных осуществляется следующим образом:

пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI,

после выполнение UEFI перехода в окружение исполнения драйверов - DXE подается питание на предварительно подключенное защищенное хранилище данных и происходит, соответственно, инициализация UEFI данного защищенного хранилища данных,

после чего UEFI передает пароль контроллеру защищенного хранилища данных,

затем UEFI передает удостоверяющий сертификат контроллеру защищенного хранилища данных и проверяет корректность ответа,

при положительном результате сравнения контроллером переданных ему пароля и сертификата со своим паролем и сертификатом он открывает доступ к своей внутренней памяти хранилища данных,

при несовпадении результата сравнения пароля или сертификата, контроллер осуществляет блокировку внутренней памяти хранилища данных,

при выключении работы компьютера контроллер защищенного хранилища данных также осуществляет блокировку внутренней памяти хранилища данных.

Таким образом, контроллер защищенного хранилища данных «привязан» к материнской плате таким образом, что возможна только их совместная работа. При попытке подключения другой аналогичной материнской платы к хранилищу или другого хранилища к материнской плате устройства не функционируют. Контроллер предоставляет доступ к FLASH памяти хранилища, только в процессе осуществления заранее прописанной процедуры обработки данных (в частности, при проверке пароля и сертификата, удостоверяющего материнскую плату), в иное время питание на FLASH память хранилища не подается.

Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники очевидно, что на основе раскрытых данных можно создать вариации способов загрузки компьютером защищенного хранилища данных, например, применяя отличные процедуры проверки подлинности контроллера хранилища данных и материнской платы компьютера. Таким образом, объем изобретения не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле изобретения.

1. Способ загрузки компьютером защищенного хранилища данных, содержащий этапы:
- включения компьютера,
- загрузки компьютером Unified Extensible Firmware (UEFI) из модуля памяти материнской платы компьютера,
- на этапе UEFI-выполнения перехода в окружение исполнения драйверов осуществления подачи питания на защищенное хранилище данных и инициализации контроллера доступа данного хранилища данных,
- передачи UEFI пароля контроллеру доступа данного хранилища данных,
- передачи UEFI удостоверяющего сертификата контроллеру доступа данного хранилища данных и проверки корректности ответа,
- при положительном выполнении всех условий открытия доступа контроллером доступа данного хранилища к своим данным,
- при завершении работы компьютера закрытия доступа к хранилищу данных до следующей инициализации контроллера доступа данного хранилища данных.

2. Способ загрузки компьютером защищенного хранилища данных по п.1, отличающийся тем, что защищенное хранилище данных выполнено в виде Flash-памяти.

3. Способ загрузки компьютером защищенного хранилища данных по п.2, отличающийся тем, что Flash-память выбирают из одного из следующих форматов Compact Flash, Multi Media Card, Secure Digital, mini SD, Memory Stick, Memory Stick Duo Pro.

4. Способ загрузки компьютером защищенного хранилища данных по п.1, отличающийся тем, что модуль памяти материнской платы компьютера, где сохранена UEFI, представляет собой микросхему FLASH.

Изобретение относится к области защиты компьютера от вредоносных программ. Техническим результатом является повышение безопасности компьютера.

Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера // 2538286

Изобретение относится к области запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. Техническим результатом является повышение безопасности компьютера.

Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера // 2537814

Система контроля доступа к ресурсам компьютерной системы с субъектом доступа "пользователь, процесс" // 2534599

Изобретение относится к системе защиты от несанкционированного доступа к информации. Технический результат заключается в расширении функциональных возможностей контроля доступа к ресурсам.

Система контроля доступа к ресурсам компьютерной системы с субъектом "исходный пользователь, эффективный пользователь, процесс" // 2534488

Изобретение относится к вычислительной технике. Технический результат заключается в расширение функциональных возможностей контроля доступа к ресурсам, за счет использования субъекта доступа «Исходный пользователь, Эффективный пользователь, Процесс».

Система контроля доступа к шифруемым создаваемым файлам // 2533061

Изобретение относится к области защиты от несанкционированного доступа к информации. Технический результат заключается в упрощении задачи администрирования системы контроля доступа.

Способ скрытного хранения конфиденциальных данных в защищенной энергонезависимой памяти и устройство для его реализации // 2527758

Изобретение относится к средствам хранения конфиденциальных данных, записанных в области энергонезависимой памяти. Технический результат заключается в повышении защищенности данных.

Способ разрушения интегральных схем памяти носителей информации // 2527241

Способ разрушения интегральных схем памяти носителей информации, предназначенный для предотвращения утечки информации, составляющей коммерческую тайну, при попытках несанкционированного изъятия носителей с записанной на них информацией.

Система контроля доступа к файлам на основе их автоматической разметки // 2524566

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа к информации, создаваемой и хранимой в компьютерных системах.

Устройство для внедрения водяного знака в информационное представление, детектор для обнаружения водяного знака в информационном представлении, способ и компьютерная программа и информационный сигнал // 2510937

Группа изобретений относится к области внедрения водяного знака в информационные сигналы. Технический результат заключается в упрощении внедрения водяного знака в информационный сигнал и его обнаружении.

Устройство создания доверенной среды для компьютеров информационно-вычислительных систем // 2538329

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы. Устройство создания доверенной среды и защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем, в состав которого введены накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, который подключается к шине SPI чипсета материнской платы компьютера и содержит в своей защищенной от записи области BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с управляющим микроконтроллером и проверку целостности загружаемого программного обеспечения, и управляемый быстродействующий электронный ключ, установленный на шину SPI материнской платы между чипсетом компьютера и накопителем, при этом микроконтроллер снабжен каналом управления электронным ключом, соединяющим управляющий выход порта ввода-вывода микроконтроллера с управляющим входом электронного ключа, а также контроллером интерфейса SPI, обеспечивающим подключение микроконтроллера к шине SPI и работу его в режиме прямого доступа к памяти накопителя и в режиме контроля команд от чипсета к накопителю по шине SPI. 1 з.п. ф-лы, 3 ил.

Система переформирования объекта в запросе доступа // 2538918

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности переформирования системой объекта доступа в запросе доступа при одновременной работе на компьютере нескольких пользователей. Система переформирования объекта в запросе доступа содержит блок формирования объекта доступа, блок формирования запроса доступа, причем в систему дополнительно введены блок хранения правил переформирования объекта в запросе доступа, блок выбора правила переформирования объекта в запросе доступа и блок замены объекта доступа и их связи. 2 ил., 2 табл.

Способ аутентификации пользователей с защитой от подсматривания // 2541868

Изобретение относится к области аутентификации пользователей. Техническим результатом является повышение эффективности аутентификации пользователей. Способ аутентификации пользователей с защитой от подсматривания заключается в предварительном формировании набора из N графических символов, где N - натуральное число, значение которого ограничено возможным количеством графических символов, которые могут быть размещены на экране с качеством, позволяющим распознать эти графические символы, предоставлении пользователю выбора из этого набора для запоминания группы S секретных графических символов sk, где k=1…К, где К - количество графических символов в группе S, выбираемое с учетом удобства запоминания пользователем, проведении i-го этапа ввода аутентификационной информации, при этом i=1…I, где I - общее число этапов, путем выведения на экран выбранных из набора произвольным образом Ni графических символов, среди которых в произвольном месте располагается si-й секретный символ, выбранный из группы S секретных символов, формировании невидимой секретной области Аi, фиксировании точки hi воздействия пользователя на экран, формировании положительного результата проведения i-го этапа ввода аутентификационной информации при выполнении условия принадлежности зафиксированной точки воздействия невидимой секретной области hi∈Ai и отрицательного - в противном случае, формировании положительного решения об аутентификации после получения положительных результатов проведения всех I этапов ввода пользователем аутентификационной информации и отрицательного - в противном случае, при этом графические символы из набора N располагают на экране в виде таблицы, в которой символы имеют случайные координаты (Xsi,Ysi), где Xsi=1…а и Ysi=1…b (а - количество строк в таблице, b - количество столбцов в таблице), пользователю предоставляют дополнительно для запоминания жест из базы секретных жестов, каждый из которых сформирован парой чисел (d1,d2), где d1 и d2 - натуральные числа, причем d1 и d2 меньше или равно большему значению из а и b (d1,d2≤max{a,b}), при проведении i-го этапа аутентификации, невидимую секретную область Аi формируют в виде совокупности графических символов таблицы, имеющих координаты (ХSi±md1, YSi±md2), где m -натуральное число, при этом md1 и md2 меньше или равны большему значению из а и b (md1,md2≤max{a,b}), а фиксацию точек воздействия пользователя на экран осуществляют путем выбора любого символа из невидимой секретной области. 4 ил.

Система контроля доступа к файлам на основе их ручной и автоматической разметки // 2543556

Изобретение относится к области защиты от несанкционированного доступа к информации, создаваемой и хранимой в компьютерных системах. Техническим результатом является повышение эффективности контроля доступа к файлам. Система контроля доступа к файлам на основе их ручной и автоматической разметки содержит решающий блок, блок автоматической разметки файлов, блок хранения правил доступа к файлам, блок ручной разметки файлов, блок управления разметкой файлов, блок хранения атрибутов файлов, причем первый вход решающего блока соединен с первым входом системы, с первым входом блока автоматической разметки файлов, второй выход - с выходом системы, второй вход блока автоматической разметки файлов соединен с третьим входом системы, первый выход - с первым входом блока управления разметкой файлов, второй вход которого - с первым выходом блока ручной разметки файлов, второй выход блока автоматической разметки файлов соединен с третьим входом блока управления разметкой файлов, четвертый вход которого - со вторым выходом блока ручной разметки файлов, пятый вход - с выходом блока хранения атрибутов файлов, первый вход которого - с третьим выходом, а второй вход - с четвертым выходом блока автоматической разметки файлов, первый выход блока управления разметкой файлов соединен с третьим входом блока автоматической разметки файлов, второй выход - с третьим входом блока ручной разметки файлов, первый вход которого - с четвертым, а второй - с пятым входом системы, третий выход блока автоматической разметки файлов соединен с первым входом блока хранения правил доступа к файлам, второй вход которого - со вторым входом системы, третий вход - со вторым выходом решающего блока, второй вход которого - с выходом блока хранения правил доступа к файлам. 2 ил., 5 табл.

Система сессионного контроля доступа к ресурсам // 2543561

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой и хранимой в компьютерных системах (КС). Технический результат - расширение функциональных возможностей системы контроля доступа к ресурсам, за счет реализации сессионного контроля доступа к ресурсам, в которой субъект доступа задается тремя сущностями "сессия, пользователь, процесс". Система сессионного контроля доступа к ресурсам, содержащая блок идентификации пользователя из запроса, блок идентификации объекта доступа и действия из запроса, блок идентификации процесса из запроса, блок идентификации и аутентификации пользователя, блок выбора сессии пользователем, блок решающего элемента, блок хранения правил доступа, причем вход блока идентификации пользователя из запроса соединен со входом блока идентификации объекта доступа и действия из запроса, со входом блока идентификации процесса из запроса, с первым входом системы, выход блока идентификации пользователя из запроса соединен с первым входом блока решающего элемента, второй вход которого - с выходом блока идентификации объекта доступа и действия из запроса, третий вход - с выходом блока хранения правил доступа, первый выход - с первым выходом системы, второй выход - с первым входом блока хранения правил доступа, второй вход которого - со вторым входом системы, четвертый вход блока решающего элемента 6 соединен с выходом блока идентификации процесса из запроса, пятый вход - с первым выходом блока выбора сессии пользователем, второй выход которого - со вторым выходом системы, вход/выход блока идентификации и аутентификации пользователя соединен с первым входом/выходом системы, вход/выход блока выбора сессии пользователем - со вторым входом/выходом системы, третий вход блока выбора сессии пользователем соединен со вторым входом блока идентификации и аутентификации пользователя, со вторым входом системы, выход блока идентификации и аутентификации пользователя соединен с шестым входом блока решающего элемента, со вторым входом блока выбора сессии пользователем. 1 табл., 2 ил.

Система обнаружения и предотвращения вторжений на основе контроля доступа к ресурсам // 2543564

Изобретение относится к области защиты от несанкционированного доступа к информации. Технический результат заключается в расширении функциональных возможностей системы контроля доступа к ресурсам за счет реализации функций обнаружения и предотвращения вторжений. Система содержит: блок анализа запроса доступа, блок определения процесса, запрашивающего доступ, решающий блок, блок аудита несанкционированных событий, блок завершения процесса, блок хранения прав доступа к ресурсам. 2 ил.1 с.п. ф-лы, 2 илл.

Карта с интегральной микросхемой с защищенным входным/выходным буфером // 2549517

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении защиты карты. Карта с интегральной микросхемой содержит блок обработки, связанный с оперативным запоминающим устройством и со средствами обмена данными с внешним устройством, причем оперативное запоминающее устройство содержит единственную зону памяти, выделенную для данных обмена, при этом блок обработки выполнен с возможностью записывать данные, которые предназначены для обмена между указанной картой с интегральной микросхемой и указанным внешним устройством, в указанную единственную выделенную зону памяти и с возможностью ограничивать риск попадания в эту единственную выделенную зону памяти данных, которые способны нарушить защиту карты, при этом блок обработки программирован таким образом, чтобы скремблировать данные, содержащиеся в указанной единственной выделенной зоне памяти, перед передачей данных из внешней среды, с тем чтобы данные, последовательно принимаемые картой, не могли быть рекомбинированы или использованы для создания несанкционированной команды. 2 н. и 6 з.п. ф-лы, 1 ил.

Способ загрузки кода по меньшей мере одного программного модуля // 2557459

Изобретение относится к вычислительной технике. Технический результат заключается в устранении нарушений в работе операционной системы за счет загрузки кода по меньшей мере одного программного модуля в главную память посредством процессора системы безопасности. Способ загрузки кода программного модуля в главную память посредством процессора системы безопасности, в котором главный загрузчик осуществляет загрузку в главную память кода указанного программного модуля до запуска исполнения операционной системы в диапазон адресов главной памяти, находящийся вне диапазона адресов, используемого операционной системой, и после запуска операционная система переадресует обращение к указанному программному модулю от пользовательской программы по адресу в главной памяти, по которому был загружен код программного модуля до запуска исполнения операционной системы, с использованием файловой системы операционной системы, которая автоматически ассоциирует адрес программного модуля в пространстве виртуальной памяти пользовательской программы с физическим адресом программного модуля в главной памяти. 4 н. и 11 з.п. ф-лы, 5 ил.

Способ защиты информации и портативное многофункциональное устройство для защиты информации // 2560827

Изобретение относится к вычислительной технике. Технический результат заключается в повышении степени защищенности информации, хранящейся на внешнем носителе. Способ защиты информации, в котором осуществляют шифрование данных, записанных в виде файла, путем шифрования отдельным ключом каждой структурной единицы памяти (сектора/группы секторов), содержащей данные файла. Размер структурной единицы памяти, подлежащей шифрованию самостоятельным ключом, задается заранее. Шифрование каждой структурной единицы памяти осуществляется ключом, случайно выбранным из массива ключей, заранее сформированных и хранящихся в блоке хранения персональных данных. Также в заявляемом способе осуществляют контроль управляющих команд и типа внешнего накопителя, позволяющих исключить возможность записи на внешний накопитель несанкционированных данных, или же исключить использование модифицированных накопителей. 2 н. и 2 з.п. ф-лы, 2 ил.

Устройство обнаружения компьютерных атак в маршрутах // 2566331

Изобретение относится к области электросвязи и предназначено для использования в технических средствах защиты с целью оперативного выявления компьютерных атак в доверенных маршрутах информационно-телекоммуникационной сети (ИТКС). Техническим результатом является повышение достоверности обнаружения компьютерных атак в маршрутах ИТКС. Устройство обнаружения компьютерных атак в маршрутах содержит счетчики (2, 5, 7, 9, 10, 14, 16, 18), блоки дешифрации (3, 4, 8, 11, 12, 15, 17, 19), блоки сравнения (13, 28), центральный блок управления (30), блок управления (24), блок индикации (25) и блоки памяти (1, 6, 26, 29, 31). Первый блок памяти (1) снабжен входной шиной сообщений, а его информационный выход подключен к первым информационным входам первого (3), третьего (8), четвертого (11), пятого (12), шестого (15), седьмого (17) и восьмого (19) блоков дешифрации, управляющие выходы которых подключены к соответствующим управляющим входам блока управления, управляющие выходы которого подключены к блоку индикации и первому блоку памяти. Управляющие выходы счетчиков подключены к управляющим входам соответствующих блоков дешифрации. Информационные выходы четвертого (11) и пятого (12) блоков дешифрации подключены к первому блоку сравнения (13), информационный выход которого подключен к третьему блоку памяти (26). Информационный вход пятого блока памяти (31) подключен к информационному выходу второго блока сравнения (28). Управляющий вход блока центрального управления передающим устройством (30) подключен к информационному выходу пятого блока памяти (31). Причем управляющие входы третьего блока памяти (26), четвертого блока памяти (29) и пятого блока памяти (31) объединены и являются управляющим входом устройства. 6 ил.