Устройство создания доверенной среды для компьютеров специального назначения

Изобретение относится к области вычислительной техники и предназначено для доверенной загрузки компьютера, а также создания доверенной среды выполнения программ на всех этапах работы компьютера. Его использование позволит получить технический результат в виде повышения эффективности защиты компьютера от несанкционированных действий на всех этапах его работы и обеспечения защиты от несанкционированного доступа (НСД) к информации, обрабатываемой и хранимой в персональных компьютерах (ПК) и в компьютерных информационно-вычислительных системах (ИВС).

Одним из наиболее широко используемых компонентов, решающих задачи защиты компьютера от несанкционированных действий, является аппаратно-программный модуль доверенной загрузки (АПМДЗ), который предназначен для защиты ресурсов персонального компьютера от НСД, начиная с этапа доверенной загрузки. Наиболее полнофункциональным представителем данного класса устройств является АПМДЗ, описанный в патенте RU №2321055, кл. 7 G06F 12/14, 12.05.2006 г., опубл. 27.03.2008 г., представляющий собой АПМДЗ, который помимо выполнения набора стандартных функций, характерных для устройств данного класса, реализует функции системообразующего модуля, обеспечивающего взаимосвязь и взаимодействие между компонентами системы комплексной защиты по различным интерфейсам, например, с такими как шифраторы, системы разграничения доступа (СРД), устройствами блокировки и т.п. Кроме того, критичные операции, связанные с контролем и обработкой информации при взаимодействии средств защиты, выполняются в защищенной среде на общей плате устройства в собственном оперативном запоминающем устройстве (ОЗУ), а не в ОЗУ компьютера, и при использовании собственной доверенной операционной системы (ОС). В состав АПМДЗ входит также устройство контроля питания с возможностью блокировки общей шины компьютера, что обеспечивает возможность отражения атак со сбоями питания.

В известном устройстве имеется аппаратный датчик случайных чисел (ДСЧ), обеспечивающий надежное преобразование криптографической информации и генерацию ключей шифрования и аутентифицирующей информации пользователя, что обеспечивает режим многопользовательской работы с возможностью удаленного управления, необходимый для АПМДЗ, предназначенных для защиты информации с высоким уровнем конфиденциальности, реализуется проверка аппаратных компонентов устройства защиты.

Кроме того, контролю подвергаются все интервалы времени, критичные при процедуре запуска АПМДЗ и загрузки компьютера после его включения (когда возможно несанкционированное вмешательство в процедуру запуска), а именно, интервал от момента включения ПК до передачи управления программе расширения базовой системы ввода/вывода компьютера (BIOS), время на вход пользователя в систему (в это время происходит ожидание и ввод пароля пользователя), время на загрузку ключей шифрования, время до запуска процедуры аутентификации, время до запуска оболочки АПМДЗ (от момента завершения программы аутентификации до запуска программы контроля целостности системы), время на работу оболочки АПМДЗ, время до полной готовности АПМДЗ и др.

Известное АПМДЗ учитывает и новые тенденции в развитии информационно-вычислительных систем, в частности, реализует надежные механизмы защиты от несанкционированного доступа в сеть при удаленном управлении и удаленном доступе, а также при использовании технологии «тонкого клиента» (ТК). Эти направления предъявляют более жесткие требования к средствам информационной защиты, в первую очередь, к средствам аутентификации и ограничения прав пользователей. Например, при создании ИВС на основе технологии ТК важнейшим является вопрос безопасности, поскольку необходимо защищать как рабочее место (терминал), так и серверную часть и канал связи.

Таким образом, в известное устройство доверенной загрузки компьютера и защиты от НСД информации, хранимой и обрабатываемой на нем, введены аппаратные и программные модули, повышающие уровень его функциональности по защите от НСД и эффективность самой защиты за счет обеспечения его взаимодействия с другими средствами защиты, возможности ограничения и разграничения доступа к аппаратным и программным компонентам ПК и устройств защиты, эффективной и надежной блокировки ПК при различных попытках несанкционированных действий, а также выполнения наиболее критичных операций непосредственно в самом устройстве защиты.

Данное устройство реализовано и серийно производится ООО Фирма «АНКАД» в виде продукта АПМДЗ «КРИПТОН-ЗАМОК», представляющего аппаратно-программный модуль, предназначенный для обеспечения следующих функций:

1) На защищаемом компьютере:

- идентификацию и аутентификацию пользователя при запуске ПК;

- регистрацию событий доступа к ПК в электронном журнале;

- блокировку запуска ПК при НСД;

- управление загрузкой ОС, аппаратную защиту от несанкционированной загрузки ОС с внешних носителей;

- контроль целостности загружаемой ОС и установленной на ПК программной среды;

- звуковую сигнализацию состояний АПМДЗ и событий доступа;

- управление блокировкой открытия корпуса ПК.

2) При взаимодействии с сервером удаленного управления:

- реализация удаленного управления по сети со специально выделенной рабочей станции или сервера, экспорт и импорт профилей доступа пользователей;

- разграничение и контроль доступа пользователей к техническим средствам вычислительной сети и их аппаратным ресурсам, разблокирование и блокирование пользователя на конкретном техническом средстве.

3) При взаимодействии с другими средствами защиты: загрузка алгоритмов шифрования и ключевой информации в устройства криптографической защиты информации.

Однако данный и другие известные АПМДЗ не обеспечивают в ПК в полной мере доверенную среду для обработки информации, поскольку устанавливаются на общую шину управления и обмена данными ПК, предназначенную для подключения периферийных устройств к материнской плате ПК (в частности, шину взаимодействия периферийных компонентов PCI - Peripheral Component Interconnect). Поэтому функционирование АПМДЗ начинается не с включения ПК, а после того, как произошла инициализация и загрузилась BIOS. Следовательно, в случае загрузки недоверенной BIOS несанкционированные действия могут произойти до инициализации АПМДЗ. Таким образом, необходимым условием создания доверенной среды ПК является решение задачи защиты кода BIOS от модификации и несанкционированного воздействия как при загрузке ПК, так и в процессе работы.

При этом недостаточно иметь доверенную BIOS на этапе загрузки, поскольку несанкционированные изменения ее кода могут быть внесены и в процессе работы ПК. Например, в материнских платах, выполненных на современных чипсетах фирмы Intel (CHIPSET - связующие микросхемы, обеспечивающие взаимосвязь и управление работой устройств компьютера), защита кода BIOS реализована путем программирования регистров чипсета, при этом поступающие от чипсета команды к BIOS передаются по шине SPI, а сама BIOS хранится в накопителе (микросхеме флэш-памяти с интерфейсом SPI - SPI-Flash). При этом гарантией целостности данной BIOS является только заявление производителя чипсета фирмы Intel о наличии блокирования записи в SPI-Flash, являющейся физическим хранилищем данной BIOS.

Однако полная блокировка записи в микросхему SPI-Flash недопустима, поскольку отдельные области в данной микросхеме используются для записей в процессе работы компьютера. Кроме того, сам чипсет может выполнять незадекларированные функции, т.е. иметь «закладки». Следовательно, возможна запись в SPI-Flash компрометирующего кода, т.е. проведение несанкционированной модификации кода BIOS.

Следует также отметить, что для спецприменений защита, основанная только на декларации производителя чипсета о наличии такой защиты (без раскрытия особенностей ее реализации и доказательства надежности), недопустима и не может гарантировать доверенной среды функционирования компьютера.

Наиболее близким к предлагаемому техническому решению (прототипом) является устройство создания доверенной среды для компьютеров информационно-вычислительных систем, описанное в заявке №2013131871/08(047653), МПК 7 G06F 12/14, поданной 11.07.2013 г.

Заявленное устройство доверенной загрузки ПК представляет собой АПМДЗ, дополненное аппаратными и программными модулями, обеспечивающими доверенную среду для работы ПК посредством контроля и гарантии достоверности BIOS, а также контроля и блокировки поступающих от чипсета по шине SPI некорректных или неразрешенных команд в SPI-Flash, в частности, команд записи в BIOS. Для решения поставленной задачи АПМДЗ реализуется не на общей шине компьютера (шине PCI), а на шине SPI для обеспечения блокировки поступающих от чипсета некорректных или неразрешенных команд записи в SPI-Flash с размещенной на ней достоверной BIOS. Устройство интегрируется непосредственно на материнскую плату компьютера на этапе ее производства (по согласованию с производителем) или путем ее доработки с установкой специального слота.

Техническим результатом изобретения является создание доверенной среды при работе ПК, а следовательно, повышение эффективности защиты от НСД к аппаратным и программным компонентам и к информации, хранимой и обрабатываемой в ПК, путем введения в состав устройства аппаратных и программных блоков, обеспечивающих контроль целостности BIOS (запуск проверенного загрузчика), контроль команд чипсета, поступающих по интерфейсу SPI в микросхему SPI-Flash с записанной в ней BIOS, и блокировку шины SPI и компьютера в случае нарушения целостности BIOS или поступления от чипсета недопустимых команд в SPI-Flash (в частности, некорректных команд записи). При этом сохраняются функциональные компоненты по взаимодействию с другими средствами защиты (через блок интерфейсов внешних устройств), обеспечивающие эффективную и надежную блокировку ПК при различных попытках несанкционированных действий.

Важной особенностью заявленного АПМДЗ является его подключение к источнику дежурного питания (stand-by) блока питания ПК, в связи с чем он начинает функционировать сразу после подключения ПК к сети питания (вилка сетевого кабеля вставлена в розетку) до включения кнопки «POWER» ПК. Поэтому, в отличие от известных АПМДЗ, заявленное устройство осуществляет контроль целостности BIOS перед запуском ПК и, в случае нарушения целостности BIOS, производит ее восстановление из резервной копии. В процессе загрузки и работы ПК АПМДЗ контролирует команды чипсета к BIOS и при прохождении некорректной или недопустимой команды блокирует ее поступление в SPI-Flash путем блокирования шины SPI.

Для реализации описанных задач в устройство введены установленные на шину SPI материнской платы компьютера быстродействующий электронный ключ и накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, содержащей в себе BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с микроконтроллером (МК) устройства, при этом МК снабжен каналом управления электронным ключом и интерфейсом связи с шиной SPI, образуя аппаратный узел, осуществляющий контроль целостности BIOS в накопителе перед его запуском и контроль команд на шине SPI от связующей микросхемы компьютера (чипсета) в накопитель с возможностью блокировки записи в накопитель с помощью электронного ключа, при этом для реализации каналов связи МК с аппаратными компонентами и чипсетом он дополнительно снабжен интерфейсами USB и SMBus, а для блокировки запуска компьютера в случае нарушения целостности BIOS или других несанкционированных действий в состав МК включен блок управления основным питанием компьютера, встроенный в соответствующий канал управления чипсета, причем питание самого устройства осуществляется от дежурного источника питания компьютера, а в энергонезависимой флэш-памяти создан служебный раздел, в котором дополнительно размещаются резервная копия BIOS, долговременный электронный журнал для регистрации всех событий, произошедших при функционировании устройства, и блок дополнительных настроек устройства, предназначенный для размещения параметров настроек устройства при подключении к нему дополнительных функций или устройств.

Поскольку в энергонезависимой флэш-памяти содержится ПО, выполняемое на центральном процессоре компьютера, доступ к этой памяти может производиться как МК устройства, так и центральным процессором компьютера (но с разрешения МК устройства защиты). Поэтому в предложенном устройстве в энергонезависимой флэш-памяти в отличие от существующих АПМДЗ предлагается дополнительно хранить копию BIOS и долговременный журнал несанкционированных действий, фиксируемых устройством и другими интегрированными с ним средствами защиты в процессе работы компьютера, а для обеспечения надежности хранения BIOS и долговременного журнала НСД на флэш-памяти выделяется служебный раздел, недоступный для внешних устройств.

Однако существующие АПМДЗ при создании доверенной среды в компьютере обладают рядом существенных недостатков, снижающих защитные функции организуемой комплексной системы защиты. В частности, удаление АПМДЗ с шины ПК не нарушает работоспособности самого компьютера, в результате чего может быть нарушена защита от НСД к компьютеру и его компонентам. Что касается прототипа, то данный АПМДЗ непосредственно интегрирован в печатную плату, что не обеспечивает удобства обслуживания, настройки, ремонта и сертификации как АПМДЗ, так и самого защищаемого компьютера. Особенно это актуально для специальных компьютеров, предназначенных для обработки информации с высокими уровнями секретности.

В связи с этим система защиты должна быть построена таким образом, чтобы отсутствовала возможность несанкционированного извлечения или отключения АПМДЗ, которое приводило бы, например, к потере работоспособности самого компьютера.

Важным моментом в существующих системах и средствах защиты является размещение компонентов, влияющих на эффективность защиты, как в устройствах защиты, так и в компонентах самого компьютера, в частности, на материнской плате. При этом существует вероятность воздействия на эти компоненты со стороны недоверенных компонентов ПК, например, чипсета. Для повышения надежности защиты целесообразно все критические компоненты, оказывающие влияние на реализацию защитных функций, включая BIOS компьютера, по возможности перенести в единый доверенный блок (модуль) безопасности, в котором их состояние будет под постоянным контролем системы защиты. Иначе говоря, все защитные функции и компоненты, участвующие в их реализации, следует перенести на независимый от ПК доверенный модуль - АПМДЗ и реализовывать эти функции без участия недоверенных компонентов ПК.

Поскольку компьютеры для специальных применений требуют особого обслуживания, специального тестирования, настроек и т.п., целесообразно так строить архитектуру компьютера, чтобы обеспечивалась возможность независимого тестирования работоспособности компьютера и системы защиты, при этом при обнаружении неисправностей в работе ПК не приходилось бы осуществлять повторные трудоемкие настройки в системе защиты.

Эта задача может быть решена при разработке специальной материнской платы на основе новых современных стандартов, интегрированной через унифицированный разъем с АПМДЗ, выполненным, как отмечено выше, в виде единого доверенного блока (модуля), включающего компоненты, критичные с точки зрения информационной безопасности. Помимо независимой настройки и тестирования ПК и АПМДЗ, такая компоновка с разделением функций позволяет в случае, например, неисправности материнской платы переставить ее АПМДЗ на другую аналогичную плату, при этом настройки системы защиты для данного ПК не потребуется, все прежние настройки будут сохраняться. Кроме того, использование конструктива, общего для различных вычислительных устройств (ПК, ноутбук, планшет и т.п.), обеспечивает повышение степени универсальности предлагаемого устройства защиты.

Таким перспективным современным стандартом является PCI Express Μ.2 Specification (или просто М.2), отражающий тенденцию минимизации габаритов компонентов вычислительных систем, который в настоящее время применяется в планшетных компьютерах. Использование в предлагаемом АПМДЗ форм-фактора и разъема стандарта М.2 при организации интерфейса взаимодействия с материнской платой обеспечит его универсальность, удобство разводки и размещения компонентов, минимизацию массогабаритных показателей и возможность применения в вычислительных средствах с материнскими платами, использующими разъемы данного стандарта. То есть в перспективе модуль предполагается единым под все типы устройств, которые будет разрабатывать фирма-производитель системных плат для компьютеров, предназначенных для обработки секретной информации.

Кроме того, для миниатюризации устройства можно не использовать собственное звуковое устройство для дополнительного информирования о выявленных несанкционированных действиях, а вывести звуковой канал на стандартный звуковой канал материнской платы компьютера. Без ущерба для эффективной реализации защитных функций можно также вынести разъемы для подключения внешних устройств на материнскую плату, а интерфейсы связи с данными устройствами вывести через универсальный разъем М.2, что также будет способствовать удобству разводки и размещения компонентов.

При разработке специального компьютера и средств его защиты важным моментом является их сертификация. При описанном подходе сертификация ПК может проводиться по более простой, менее трудоемкой методике, поскольку все критические моменты безопасности будут связаны с АПМДЗ, и только этот модуль будет сертифицироваться по более жестким требованиям. При этом вносимые впоследствии изменения в систему защиты (например, введение новых функций или компонентов) потребуют повторной сертификации только АПМДЗ, а не всего спецкомпьютера.

Разделение функций между ПК и АПМДЗ позволяет решить проблему неизвлекаемости АПМДЗ в процессе работы на ПК. Для этого достаточно перенести с системной платы ПК в АПМДЗ критичный компонент, без которого ПК не может функционировать, например, как в заявляемом устройстве и прототипе, BIOS и/или управление питанием компьютера. Тогда несанкционированное извлечение АПМДЗ из ПК автоматически приведет к неработоспособности компьютера.

Одним из предлагаемых решений является формирование специального устройства управления основным питанием компьютера, независимого от чипсета компьютера, и состоящего из двух компонентов: блока управления основным питанием компьютера, реализованного в управляющем микроконтроллере АПМДЗ, и модуля блокировки основного питания компьютера, размещенного на системной плате. В прототипе устройство управления основным питанием компьютера входит в состав чипсета, что не исключает его несанкционированные действия на работу компьютера.

Упомянутая ранее возможность независимой наладки, настройки и тестирования ПК и АПМДЗ осуществляется с помощью специальных стендов, позволяющих проконтролировать правильность функционирования каждого из устройств. Поскольку на миниатюрной плате модуля для отладочных разъемов не будет места, контролируемые сигналы можно будет вывести на свободные контакты универсального разъема М.2. При этом упрощается наладка системы, снижается себестоимость конечной продукции - защищенного специального компьютера. Использование новой материнской платы, интегрированной с АПМДЗ, позволяет создавать различные защищенные информационно-вычислительные устройства для ИВС, при этом обеспечивается раздельное производство интегрируемых друг с другом материнских плат и АПМДЗ.

Важным моментом при создании средств криптографической защиты является доставка и загрузка секретных ключей в устройство защиты. В предлагаемом техническом решении, поскольку возможно раздельное производство и настройка ПК и АПМДЗ, данную операцию можно осуществлять на стадии производства АПМДЗ на отдельном специальном стенде в отсутствии компьютера, на который будет установлен данный АПМДЗ. Кстати, это соответствует требованиям сертифицирующих органов.

Предлагаемое техническое решение также способствует снижению зависимости от недоверенной импортной компонентной базы. Например, как отмечалось выше, в материнских платах используются современные чипсеты фирмы Intel, доверенность которых не может быть гарантирована. АПМДЗ, обеспечивающий создание доверенной аппаратно-программной среды, позволяет блокировать возможные некорректные действия со стороны недоверенных компонентов компьютера, включая чипсет.

Таким образом, предлагаемое техническое решение позволяет создать специальный защищенный компьютер для обработки информации с высоким грифом секретности, обеспечивая создание доверенной среды с высокой эффективностью защиты от несанкционированных действий, при этом повышается степень универсальности устройства, снижаются массогабаритные показатели, позволяющие встраивать его в современные информационно-вычислительные устройства, повышается удобство эксплуатации, обслуживания, наладки, тестирования и ремонта, а также упрощаются процессы производства и сертификации.

Технический результат достигается тем, что в известное устройство создания доверенной среды для компьютеров информационно-вычислительных систем, содержащее управляющий микроконтроллер, работающий независимо от центрального процессора компьютера и содержащий программные модули, обеспечивающие реализацию защитных функций устройства (модуль идентификации и аутентификации пользователя, модули проверки целостности и состояния аппаратных и программных компонентов устройства защиты, модуль управления загрузкой ключей аппаратного шифратора, модуль взаимодействия с системой разграничения доступа, модуль взаимодействия с серверами информационно-вычислительной системы, датчик случайных чисел, модуль контроля и блокировки основного питания компьютера, модуль настройки устройства); энергонезависимую флэш-память с блоками хранения доверенной операционной системы, программного обеспечения контроля целостности компонентов устройства, удаленного администрирования и управления устройством, контроля всех критичных интервалов времени процедуры запуска и загрузки компьютера, клиентской части ПО «тонкого клиента», резервной копией BIOS, долговременным электронным журналом для регистрации всех событий, произошедших при функционировании устройства, блоком дополнительных настроек устройства; блок переключателей для выбора режимов работы устройства; быстродействующий электронный ключ, блокирующий шину SPI материнской платы компьютера по команде с управляющего микроконтроллера; накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, содержащий в себе BIOS компьютера с дополнительно встроенными командами, обеспечивающими реализацию функций доверенной загрузки; интерфейсы USB и SMBus для связи управляющего контроллера с аппаратными компонентами и чипсетом; блок интерфейсов внешних устройств и канал подключения к дежурному источнику питания компьютера

введены

универсальный разъем стандарта PCI Express М.2 Specification, преобразователь уровня сигнала чипсета, включенный в состав быстродействующего электронного ключа, независимое от чипсета устройство управления и блокировки основного питания компьютера, а также канал идентификации материнской платы для автоматической настройки параметров взаимодействия с ней устройства, причем устройство выполнено в виде отдельного автономного блока, интегрирующего в себе все критичные компоненты, обеспечивающие реализацию защитных функций, и подключаемого к материнской плате через универсальный разъем.

Включение преобразователя уровня сигнала чипсета в состав быстродействующего электронного ключа позволяет сократить задержки сигналов, передаваемых по шине SPI и контролируемых управляющим микроконтроллером АПМДЗ.

Введение независимого от чипсета устройства управления основным питанием компьютера, состоящего из устройства управления, входящего в состав управляющего микроконтроллера АПМДЗ, и модуля блокировки, размещенного на специализированной материнской плате компьютера, снижает вероятность несанкционированных действий со стороны недоверенного чипсета.

Введение в состав устройства канала идентификации материнской платы для автоматической настройки параметров взаимодействия с ней устройства позволяет определить модель материнской платы и автоматически выбрать тот программный продукт, с помощью которого будет проведена автоматическая настройка параметров взаимодействия с ней устройства.

В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения. Определение из перечня выявленных аналогов прототипа, как наиболее близкого по совокупности признаков аналога, позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленного устройства создания доверенной среды для компьютеров специального назначения и защиты от НСД к информации, хранимой и обрабатываемой на нем, изложенных в формуле изобретения. Следовательно, заявленное техническое решение соответствует критерию «новизна».

Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленного устройства защиты от НСД к информации хранимой, и обрабатываемой на ЭВМ. Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».

Графические изображения:

На фиг. 1 показана блок-схема реализации предлагаемого устройства, где:

1 - управляющий микроконтроллер;

2 - накопитель SPI-Flash с записанной доверенной BIOS компьютера;

3 - быстродействующий электронный ключ;

4 - флэш-память большой емкости с реализованным на ней флэш-диском;

5 - связующая микросхема компьютера (CHIPSET);

6 - блок питания компьютера;

7 - дежурный источник питания (Stand-by);

8 - универсальный разъем стандарта PCI Express Μ.2 Specification;

9 - модуль блокировки основного питания компьютера;

10 - блок идентификации модели материнской платы компьютера.

Пунктиром обведены компоненты платы АПМДЗ и материнской платы компьютера, соответственно.

Обозначение каналов универсального разъема М.2:

U_I/O - сигналы с чипсета на преобразователь уровня сигналов, встроенный в электронный ключ;

SPI - шина SPI чипсета;

USB и SMBus - интерфейсы связи МК с чипсетом;

ЗК - звуковой канал для дополнительного информирования о выявленных несанкционированных действиях, выведенный на стандартный звуковой канал материнской платы;

УОП - канал управления основным питанием компьютера;

U_ПИТ - канал питания АПМДЗ от источника дежурного питания (stand-by) блока питания компьютера;

ИИП - интерфейс идентификации платы (модели материнской платы компьютера).

На фиг. 2 представлена структурная схема предлагаемого устройства создания доверенной среды для компьютеров специального назначения, где:

1 - общая плата АПМДЗ;

2 - управляющий микроконтроллер;

3 - быстродействующий электронный ключ с встроенным преобразователем уровня сигналов чипсета;

4 - накопитель SPI-Flash с записанной доверенной BIOS компьютера;

5 - энергонезависимая флэш-память большой емкости с реализованным на ней флэш-диском для служебного раздела;

6 - энергонезависимая быстродействующая FRAM-память;

7 - блок переключателей для выбора режима работы устройства;

8 - блок интерфейсов внешних устройств;

9 - универсальный разъем стандарта PCI Express М.2 Specification;

10 - специализированная материнская плата;

11 - основной блок питания компьютера;

12 - источник дежурного питания (stand-by) блока питания компьютера;

13 - кнопка включения основного питания компьютера «Power». компоненты управляющего микроконтроллера 2:

14 - модуль идентификации и аутентификации пользователей;

15 - модуль проверки целостности ПО управляющего микроконтроллера и кода BIOS в SPI-Flash;

16 - модуль диагностики состояния аппаратных компонентов устройства;

17 - модуль контроля критичных интервалов времени процедуры запуска и загрузки компьютера;

18 - модуль управления загрузкой ключевой информации;

19 - модуль поддержки взаимодействия с системой разграничения доступа компьютера;

20 - модуль поддержки взаимодействия с серверами информационно-вычислительной системы;

21 - модуль настройки устройства;

22 - модуль управления основным питанием компьютера;

23 - датчик случайных чисел;

компоненты накопителя SPI-Flash 4:

24 - закрытая для записи область SPI-Flash с доверенной BIOS;

25 - открытая область SPI-Flash для записи рабочей информации при работе компьютера;

компоненты энергонезависимой флэш-памяти 5:

26 - блок с программным обеспечением (ПО) проверки целостности программно контролируемых объектов и диалога с оператором;

27 - блок со списком контролируемых аппаратных и программных объектов;

28 - блок с ПО удаленного управления устройством;

29 - блок с доверенной ОС;

30 - блок с клиентской частью ПО «тонкого клиента»;

31 - резервная копия достоверного BIOS компьютера в служебном разделе энергонезависимой флэш-памяти;

32 - долговременный журнал событий в служебном разделе энергонезависимой флэш-памяти;

33 - блок дополнительных настроек;

компоненты быстродействующей FRAM-памяти 6:

34 - оперативный электронный журнал;

35 - блок с учетными данными пользователей;

36 - блок с настройками и с ключами удаленного управления;

компоненты блока интерфейсов внешних устройств 8:

37 - межмодульный интерфейс (ММИ);

38 - USB Host интерфейс;

39 - интерфейс iButton идентификатора типа Touch Memory;

компоненты специализированной материнской платы 10 компьютера:

40 - модуль блокировки основного питания компьютера;

41 - блок идентификации модели материнской платы компьютера;

42 - связующая микросхема компьютера (CHIPSET);

8 - вариант размещения разъемов блока интерфейсов внешних устройств на специализированной материнской плате компьютера.

Обозначения каналов универсального разъема 9 соответствуют обозначениям, показанным на фиг. 1. К ним добавлены каналы интерфейсов внешних устройств блока 8 для варианта выноса его разъемов на специализированную материнскую плату компьютера.

В соответствии с фиг. 1 предлагаемое устройство АПМДЗ, выполненное в виде автономного модуля на плате (условно показано пунктиром справа на фиг. 1), снабженной универсальным разъемом 8 стандарта PCI Express М.2 Specification, устанавливается на специализированную материнскую плату компьютера. В свой состав АПМДЗ включает следующие компоненты: управляющий микроконтроллер (МК) 1, накопитель SPI-Flash 2 с записанной BIOS компьютера и дополнительно встроенными командами, обеспечивающими ее взаимодействие с МК 1, быстродействующий электронный ключ 3 с встроенным преобразователем уровня сигналов с чипсета 5 компьютера (канал U_I/O), размещенный на шине SPI и позволяющий по команде МК 1 блокировать поступление команд по шине SPI от чипсета 5 к SPI-Flash 2, а также флэш-память большой емкости 4 с реализованным на ней флэш-диском, подключенная по выделенной шине к МК, на котором размещено программное обеспечение (ПО), реализующее все необходимые функции АПМДЗ. В устройстве реализованы каналы связи (по SMBus и по USB) между управляющим МК 1, чипсетом 5 материнской платы и другими устройствами, с которыми возможна интеграция предлагаемого устройства.

Кроме того, на самой системной плате (условно показана пунктиром слева на фиг. 1) установлены модуль 9 блокировки основного источника питания компьютера 6, взаимодействующий с блоком управления основным питанием компьютера, размещенным в МК 1 и независимым от чипсета 5 компьютера, а также блок идентификации модели материнской платы компьютера 10. При этом АПМДЗ, аналогично прототипу, получает питание не от основного источника питания 6, а от дежурного источника питания 7 (Stand-by).

Компьютер, оснащенный описанным АПМДЗ и специализированной материнской платой, работает следующим образом. Перед началом работы до включения основного источника питания 6 копкой «POWER» компьютера запускается АПМДЗ, подключенное к дежурному источнику питания 7, и осуществляется проверка целостности BIOS компьютера, находящейся в микросхеме флэш-памяти с интерфейсом SPI (SPI-Flash) 2, до ее загрузки, после чего связующей микросхеме (чипсету) 5, обеспечивающей взаимосвязь и управление работой устройств компьютера, и центральному процессору компьютера дается разрешение на загрузку BIOS из микросхемы 2 в оперативное запоминающее устройство (ОЗУ) компьютера. Если целостность BIOS не обеспечена, МК 1 со своего блока управления основным питанием компьютера посылает команды на модуль блокировки основного питания компьютера, и запуска компьютера не произойдет, а значит, не загрузится BIOS.

Кроме того, после включения компьютера в процессе его функционирования АПМДЗ осуществляет постоянный контроль прохождения команд по шине SPI от чипсета 5 к SPI-Flash 2 и предотвращает любые попытки передачи недопустимых команд записи, которые могут осуществить несанкционированную модификацию BIOS, путем блокировки шины SPI с помощью быстродействующего электронного ключа. АПМДЗ выполняет также все заложенные функции защиты, в том числе взаимодействуя с внешними устройствами защиты, и при выявлении каких-либо несанкционированных действий осуществляет их блокировку, вплоть до отключения питания компьютера по каналу управления основным питанием (УОП), образованным блоком управления и модулем блокировки основного питания.

Подробная структурная схема заявляемого устройства создания доверенной среды для компьютеров специального назначения, обеспечивающего доверенную загрузку ПК, защиту кода BIOS от НСД и защиту от НСД к информации, хранимой и обрабатываемой на ПК, представлена на фиг. 2.

Устройство содержит общую плату 1 стандарта М.2 с размещенными на ней управляющим микроконтроллером 2, подключенным с помощью контроллера к шине SPI, быстродействующим электронным ключом 3, установленным на шине SPI, накопителем SPI-Flash 4, подключенным к шине SPI и содержащим в себе записанную BIOS компьютера и дополнительно встроенные команды взаимодействия с МК 2, энергонезависимой флэш-памятью 5 с реализованным на ней флэш-диском большой емкости и быстродействующей FRAM-памятью 6, доступ к которой производится только МК 2, блоком переключателей 7 для выбора режима работы устройства, блоком 8 интерфейсов внешних устройств. При этом быстродействующий электронный ключ 3 осуществляет преобразование уровней сигналов с чипсета 42 (по каналу U_I/O) и позволяет отключать накопитель 4 от шины SPI по команде управления от МК 2 по каналу связи с порта его ввода-вывода, а сам АПМДЗ подключается к дежурному блоку питания компьютера 12 (Stand-by) в составе основного блока питания 11, а также к чипсету 42 по шине SPI, интерфейсам SMBus и USB. Плата 1 АПМДЗ, выполненная в соответствии со стандартом PCI Express М.2 Specification, и специальная материнская плата компьютера 10 имеют общий универсальный разъем стандарта М.2, через который выводятся все интерфейсы связи, в частности, канал управления основным питанием (УОП), выходящий на модуль блокировки 40, установленный на плате 10, канал интерфейса идентификации модели платы 10 (ИИП), соединяющий МК 2 с блоком идентификации 41, размещенным на плате 10, а также выход предупреждающих об НСД звуковых сигналов АПМДЗ на стандартный звуковой канал платы 10 и звуковое устройство компьютера.

Микроконтроллер 2 содержит ряд программных модулей, обеспечивающих реализацию защитных функций устройства: модуль 14 идентификации и аутентификации пользователей; модуль 15 проверки целостности ПО самого МК и кода BIOS в SPI Flash; модуль 16 диагностики состояния компонентов устройства; модуль 17 контроля всех критичных интервалов времени процедуры запуска и загрузки компьютера; модуль 18 управления загрузкой ключевой информации; модуль 19 поддержки взаимодействия с системой разграничения доступа, установленной на компьютер; модуль 20 поддержки взаимодействия с серверами; модуль 21 настройки устройства; модуль 22 управления основным питанием компьютера; датчик случайных чисел 23.

Накопитель SPI-Flash 4 содержит две области: закрытую для записи область 24 с доверенной BIOS, и открытую 25, в которую в процессе работы компьютера записывается и перезаписывается рабочая информация. В закрытой области 24 в BIOS дополнительно встроены команды, обеспечивающие взаимодействие микроконтроллера 2 с BIOS.

В энергонезависимой флэш-памяти 5 большой емкости, подключенной на выделенную шину МК и разбитой на несколько частей, содержатся следующие блоки памяти: блок 26 с ПО проверки целостности программно контролируемых объектов и диалога с оператором, блок 27 со списком контролируемых аппаратных и программных объектов, блок 28 с ПО удаленного управления устройством, блок 29 с доверенной ОС, блок 30 с клиентской частью ПО «тонкого клиента». В служебном разделе, доступном только МК 2, размещены резервная копия достоверного BIOS 31 компьютера, долговременный журнал событий 32, в который периодически перезаписываются события, зарегистрированные в оперативном журнале 34 быстродействующей памяти 6, и блок дополнительных настроек 33, предназначенный для размещения параметров настроек устройства при подключении к нему дополнительных функций или устройств.

Часть блоков может поставляться опционно. В частности, необходимость в блоке 29 с доверенной ОС может возникнуть в случае использования технологии «тонкого клиента» (блок 30).

Поскольку в энергонезависимой флэш-памяти 5 содержится ПО, выполняемое на центральном процессоре компьютера, доступ к этой памяти может производиться как МК 2, так и центральным процессором компьютера (но с разрешения микроконтроллера 2). Доступ осуществляется через интерфейс USB device как к USB-накопителю. К служебной же области доступ производится только микроконтроллером 2.

В энергонезависимой быстродействующей FRAM-памяти 6 размещены: оперативный электронный журнал 34 для регистрации событий при функционировании ПК, блок 35 с учетными данными пользователей и блок 36 с настройками и с ключами удаленного управления. Доступ к данной памяти производится только МК 2. Данный тип памяти отличается высокой скоростью работы и практически неограниченным числом перезаписей. Используется для энергонезависимого хранения часто изменяющихся данных (настроек АПМДЗ, профилей пользователей, последних записей журнала НСД и др.). Память подключена на выделенную шину МК.

По мере заполнения оперативного журнала 34 его данные периодически перезаписываются в долговременный журнал 32, размещенный в служебной области флэш-памяти 5. Наличие оперативного журнала позволяет повысить долговечность флэш-памяти 5 за счет уменьшения циклов записи в журнал 32 в процессе работы компьютера.

Блок 8 интерфейсов внешних устройств содержит межмодульный интерфейс (ММИ) 37 для подключения к другим аппаратным средствам защиты, USB Host интерфейс 38 для подключения внешних устройств, а также интерфейс 39 iButton идентификатора типа Touch Memory (электронная таблетка).

Разъемы данных интерфейсов могут быть вынесены на материнскую плату 10 и выведены (как показано на фиг. 2) через универсальный разъем 9, коммутирующий АПМДЗ с платой 10.

Интерфейсы подключения:

1. SPI. АПМДЗ подключен к шине SPI. На эту шину установлен управляемый ключ 3 устройства, после которого по интерфейсу SPI подключен накопитель 4. Управляющий МК 2 подключен к шине с помощью контроллера интерфейса SPI, а к ключу 3 - каналом связи с порта ввода-вывода GPIOD МК. МК 2 может работать в двух режимах: Master и Slave. В режиме Master МК 2 имеет прямой доступ к памяти накопителя 4, что позволяет проверить ее целостность (целостность содержания области 24 с BIOS) и (при необходимости) восстановить BIOS из резервной копии перед запуском компьютера. Резервная копия хранится в служебной области флэш-памяти 5 (блок 31), подключенной к МК 2. В режиме Slave МК 2 осуществляет контроль команд чипсета 42, проходящих по шине SPI в накопитель 4 (ведет «прослушивание»). При обнаружении недопустимой команды он закрывает ключ 3, блокируя доступ к накопителю 4 и запрещая тем самым прохождение в него недопустимой команды.

Таким образом, узел на шине SPI, образованный МК 2, ключом 3 и накопителем 4, позволяет, во-первых, до включения основного питания ПК с помощью ключа 3 отключить накопитель 4 от шины SPI и подключить его к МК 2 для контроля целостности BIOS, а во-вторых, при работе отслеживать при помощи МК 2 поступающие от чипсета 42 по шине SPI к накопителю 4 команды и при необходимости прерывать их выполнение путем отключения накопителя 4 от шины SPI с помощью ключа 3, блокируя таким образом выполнение команды чипсета.

2. SMBus. Эта шина, применяемая для связи между узлами на материнской плате, используется для управления работой устройства и для контроля передачи управления BIOS. По этой шине BIOS или другая программа, работающая на компьютере, может общаться с устройством.

3. USB device. Устройство представляется на шине USB как high-speed USB Mass Storage Device (т.е. USB флэш-диском). В сочетании с флэш-памятью большой емкости, установленной на устройстве, это позволяет использовать устройство для загрузки дополнительного программного обеспечения, например для ПО АПМДЗ или других целей.

4. Межмодульный интерфейс. В блоке 8, поз.37 служит для подключения к другим аппаратным средствам защиты, например, для загрузки ключей шифрования в устройства серии «КРИПТОН» фирмы «АНКАД».

5. USB host. В блоке 8 устройства реализован USB full-speed host (поз. 38), к которому можно подключать внешние USB устройства. Данный интерфейс может быть реализован непосредственно на МК 2 с выходом на разъем, размещенный в блоке 8. Он может быть использован для подключения внешних ключевых носителей, считывателей smart-card или eToken, ruToken. Возможно подключение и других устройств с интерфейсом USB, вплоть до отдельной клавиатуры для ввода паролей пользователей. Считыватели смарт-карт могут быть теоретически использованы для работы с электронными банковскими картами в приложениях электронной коммерции. Но разъемы данных интерфейсов, как отмечено выше, могут быть выведены на плату 10 через универсальный разъем М.2 поз. 9, тем самым обеспечивая миниатюризацию самого устройства защиты.

6. Интерфейс iButton (1 Wire, Touch Memory). В блоке 8, поз.39 служит для подключения ключевых и аутентифицирующих носителей с этим интерфейсом.

7. Питание. Устройство питается от дежурного источника (Stand-by) 12 напряжения+3.3Vaux, доступного и при выключенном основном питании компьютера. Это позволяет провести самоконтроль устройства и проверку BIOS еще до включения основного питания компьютера (блока питания 11).

8. Управление питанием. В отличие от прототипа, в котором блок управления питанием сформирован на основе чипсета 42, а модуль блокировки находится в составе МК 2 и включен в разрыв цепи управления чипсета 42, в предлагаемом АПМДЗ встроен модуль управления основным питанием компьютера, независимый от чипсета 42, а на плате 10 установлен модуль блокировки основного питания 11 компьютера, также не связанный с чипсетом 42. Таким образом исключается несанкционированное воздействие недоверенного чипсета 42 на канал управления питанием компьютера, что повышает эффективность защиты АПМДЗ в целом.

Сигнал на включение питания при нажатии кнопки 13 «POWER» поступает от чипсета 42 на блок 22 управления основным питанием компьютера, который затем посылает команду на модуль блокировки 40. Это позволяет эффективно блокировать включение основного питания 11 компьютера в случае неисправности компонентов самого устройства или нарушении целостности BIOS, а также позволяет в любой момент отключить компьютер в процессе работы при обнаружении НСД путем снятия с блока питания сигнала PS_ON, что приводит к обесточиванию компьютера.

Устройство создания доверенной среды для компьютеров специального назначения по схеме фиг. 2 работает следующим образом.

Перед началом эксплуатации компьютера с установленным устройством защиты (устройство устанавливается на материнскую плату компьютера через стандартный разъем М.2) и предустановленным заранее на специальном стенде ПО взаимодействия АПМДЗ с другими средствами защиты (часть ПО может устанавливаться опционно по желанию заказчика) производится идентификация модели материнской платы микроконтроллером 2 с помощью блока идентификации модели материнской платы 41, после чего микроконтроллер осуществляет подборку ПО для данной модели платы и предварительную настройку.

Затем проводят настройку остальных параметров устройства и осуществляют регистрацию пользователей, для чего с помощью ПО системы защиты от НСД в регистрационные файлы записывают переменные параметры - контрольную информацию, которая определяет права доступа каждого пользователя к ресурсам компьютера:

- в блок 27 флэш-памяти 5 - список контролируемых объектов (список защищаемых от изменений программ, включая ОС, и файлов, а также полный путь к каждому контролируемому файлу и/или координаты каждого загрузочного сектора - имя стартовой программы для данного пользователя) и таблицу контрольных векторов контролируемых объектов (значения контрольных сумм или вычисленное значение хэш-функции защищаемых от изменений файлов и/или загрузочных секторов жесткого диска);

- в блок 35 FRAM-памяти 6 - учетные данные обо всех пользователях данного компьютера (имя (регистрационный номер) пользователя, его полномочия (права доступа пользователя - каждый пользователь может обладать своим собственным набором прав), серийный номер ключевого персонального носителя (ПН) пользователя, эталон для аутентификации пользователя, контрольный вектор (образ) пароля, срок действия пароля пользователя, число допустимых неудавшихся попыток входа и др.);

- в блок 36 FRAM-памяти 6 - данные настроек и ключи удаленного управления;

- в блок 17 микроконтроллера 2 - контролируемые интервалы времени процедуры запуска, включая два основных (время на вход пользователя в систему (на ожидание и ввод пароля) и время на загрузку ключей шифрования);

- в блок 21 микроконтроллера 2 - настройки устройства (список пользователей (имена - регистрационные номера), количество разрешенных попыток доступа к компьютеру, способы блокировки и др.).

Решения по всем вопросам, связанным с обеспечением безопасности, принимаются микроконтроллером 2, который работает независимо от основного процессора компьютера по заложенному в его память программному обеспечению. В частности, он осуществляет управление доступом к блокам 32, 34 и 35 энергонезависимой памяти 5 и 6, соответственно, при этом для блока 35 энергонезависимой памяти 6 разрешены чтение/запись для обмена служебной информацией с прикладным ПО защиты от НСД (модуль 14), осуществляющим аутентификацию пользователя.

ПО устройства защиты состоит из трех взаимодействующих частей: ПО микроконтроллера 2 (firmware); программных модулей, встроенных в BIOS; ПО, выполняемого на основном процессоре компьютера (software), которое загружается в компьютер из энергонезависимой памяти 5 устройства защиты. ПО МК не может быть несанкционированно изменено, поскольку недоступно со стороны компьютера. Модули, встроенные в BIOS, защищены МК, а целостность ПО, выполняемого на центральном процессоре ПК, контролируется программным обеспечением доверенного BIOS.

При эксплуатации компьютера на начальном этапе загрузки после подключения блока питания к электросети на устройство подается питание от дежурного блока (Stand-by) 12, входящего в состав блока питания компьютера 11, после чего происходит старт микроконтроллера 2.

Сначала проводится диагностика и контроль целостности компонентов самого микроконтроллера (тестирование модулем 16 МК состояния компонентов устройства), затем МК подает команду на ключ 3, который отключает накопитель 4 от шины SPI чипсета, после чего МК (модуль 15) по SPI-интерфейсу в режиме Master осуществляет контроль целостности кода BIOS 24 в накопителе 4, а затем проводит проверку целостности быстродействующей FRAM-памяти 6. В случае успешного завершения проверки устройство ожидает включения питания (нажатия кнопки 13 «POWER»).

После нажатия кнопки 13 «POWER» управляющий питанием сигнал проходит через чипсет 42, поступает на модуль управления питанием 22 МК, предназначенный для контроля и блокировки основного питания ПК, после чего МК 2 подает команду на ключ 4 для подключения шины SPI к накопителю 4, а блок 22 МК выдает команду через модуль блокировки основного питания 40 на блок питания 11 ПК для включения его основного питания. При этом МК 2 переходит в режим работы Slave (внешнее тактирование) и receive-only (только прием - прослушивание данных на шине SPI).

После включения основного питания проводится штатная загрузка компьютера: считывается BIOS 24 и в соответствии с программой загрузки производится инициализация всех необходимых для работы компьютера компонентов. При этом BIOS 24, содержащая дополнительно встроенные команды взаимодействия с МК 2 и модуль проверки целостности ПО, обращается к МК для подключения шины USB device, затем осуществляет загрузку и проверку ПО флэш-памяти 5 (блока 26), после чего блок 26 запускается на выполнение.

Загруженное ПО реализует функции электронного «замка», и модуль 14 МК проводит идентификацию и аутентификацию пользователя, осуществляющего вход в систему. После успешного входа в систему МК 2 отключает шину USB device, и производится загрузка ОС компьютера.

В процессе загрузки ПК осуществляется контроль интервалов времени процедур запуска и входа в систему, и в случае их отклонений от номинальных значений осуществляется блокировка доступа. Информация о контролируемых интервалах времени, по которым осуществляется блокировка доступа, поступает из модуля 17 МК 2.

Связь устройства с другими узлами на материнской плате, управление работой устройства, контроль передачи управления BIOS осуществляется по шине SMBus. По этой шине BIOS или другая программа, работающая на ПК, может общаться с устройством.

При обнаружении нарушений на любом из перечисленных этапов загрузки ПК или попыток НСД питание компьютера не будет включено, а при уже включенном - будет отключено, и последующие действия по загрузке компьютера будут блокированы. Кроме того, если в результате диагностики выявлены ошибки в работе компонентов устройства, нарушения целостности содержимого флэш-памяти 5 или попытки НСД в систему, на дисплей ПК выдается предупреждение о выявленном нарушении, вход в систему пользователю запрещается, ПК блокируется, а в журнале регистрации событий (блок 34 энергонезависимой памяти 6) регистрируется соответствующая запись. Фиксация нарушений или НСД дополнительно может сопровождаться звуковым сигналом определенного типа, связанным с видом нарушения, который реализуется по звуковому каналу через плату 10 звуковым устройством компьютера.

В случае успешной загрузки ПК устройство работает как обычный АПМДЗ, аналогично прототипу, выполняя характерные для него защитные функции, в том числе и при взаимодействии с другими интегрированными с ним средствами защиты.

Процесс проведения идентификации и аутентификации пользователя проводится следующим образом. На дисплей ПК выдается приглашение пользователю ввести информацию в, компьютер с его ПН. Операции идентификации и аутентификации реализуются в ОЗУ МК 2. Пользователь устанавливает свой ПН в соответствующий считыватель. В качестве ПН может использоваться идентификатор типа Touch Memory (ТМ), пластиковая карта, USB-идентификатор, биометрический идентификатор и др. Для считывания информации к блоку интерфейсов внешних устройств 8, разъемы которого размещаются на самом АПМДЗ или на материнской плате 10, подключается контактирующее или считывающее устройство для конкретного носителя, в частности, контактирующее устройство ТМ подключается к интерфейсу 39, а USB-идентификатор -к интерфейсу 38.

В случае, когда предъявленный ПН не зарегистрирован в регистрационном файле в модуле 21 МК 2, на дисплей ПК выдается предупреждение и повторное приглашение к проведению идентификации пользователя. После предопределенного в блоке 21 МК числа неудачных попыток идентификации вход в систему пользователю запрещается, а в журнале регистрации событий (в блоке 34 энергонезависимой памяти 6) регистрируется попытка НСД к компьютеру.

В случае, когда предъявленный ПН зарегистрирован в регистрационном файле в блоке 21 МК, модуль 14 МК осуществляет аутентификацию пользователя, для чего выдает на дисплей ПК приглашение пользователю ввести свой пароль с клавиатуры ПК, после чего определяет образ введенного пароля и сравнивает его с контрольным образом пароля, зарегистрированным в блоке 35 энергонезависимой памяти 6. В случае несовпадения контрольного образа предъявленного пароля с зарегистрированным в блоке 35 энергонезависимой памяти 6 или просроченного времени, отведенного на ввод пароля в модуле 17 МК, на дисплей ПК выдается предупреждение и повторное приглашение к проведению аутентификации пользователя. После предопределенного в блоке 21 МК числа неудачных попыток аутентификации вход в систему пользователю запрещается, а в журнале регистрации событий (в блоке 34 энергонезависимой памяти 6) регистрируется попытка НСД к ПК.

В случае, когда контрольный образ предъявленного пароля совпадает с зарегистрированным в блоке 35 энергонезависимой памяти 6, осуществляется проверка целостности контролируемых объектов для данного пользователя с помощью ПО, которое хранится в блоке 26 флэш-памяти 5. Для этого указанное ПО вычисляет значения контрольных векторов объектов (значения контрольных сумм или значения хэш-функций файлов и/или загрузочных секторов жесткого диска компьютера), занесенных в список контролируемых объектов, размещенный в блоке 27 флэш-памяти 5, а затем сравнивает полученные значения с соответствующими значениями контрольных векторов, занесенных ранее в таблицу контрольных векторов контролируемых объектов, хранящуюся в блоке 27 энергонезависимой памяти 5. При проверке целостности контролируемых объектов используется доверенная среда выполнения. При несовпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов, хранимых в блоке 27 энергонезависимой памяти 5, пользователю запрещается доступ к ПК, при этом запуск ОС ПК также блокируется.

При совпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов, хранимых в блоке 27 энергонезависимой памяти 5, пользователю разрешается доступ к ПК, разрешается также запуск ОС компьютера. При этом запрещается возможность несанкционированной загрузки ОС со съемных носителей путем блокировки доступа к устройствам чтения соответствующих носителей при запуске ПК.

После этого управление передается штатным аппаратно-программным средствам компьютера для завершения работы BIOS и загрузки ОС с жесткого диска ПК. После успешного завершения загрузки ОС восстанавливается доступ к устройствам чтения съемных носителей специальной программой-драйвером, входящей в состав ПО системы защиты от НСД.

Таким образом, основные особенности защитных функций предлагаемого устройства следующие:

1. Устройство обеспечивает защиту кода BIOS от несанкционированных изменений путем:

- проверки целостности BIOS на основе расчета контрольных сумм (имитовставки) и/или путем сравнения с эталоном, хранящимся на флэш-диске, до включения основного питания компьютера;

- проверки команд, поступающих на микросхему BIOS от чипсета, на допустимость и, в случае поступления недопустимой команды (или адреса для команды записи в закрытую область SPI-Flash с кодом BIOS), блокирования прохождения оставшейся части команды или адреса с помощью ключа на шине SPI.

2. В случае неисправности устройства, нарушений целостности BIOS или ПО, а также попыток несанкционированных действий, устройство осуществляет аппаратную блокировку компьютера путем:

- блокирования сигнала включения основного питания ПК;

- отключения питания ПК;

- отключения доступа к накопителю с кодом BIOS, в результате чего модификация кода BIOS и загрузка ПК становится невозможной.

В результате реализации предлагаемым устройством перечисленных функций, а также известных функций прототипа, гарантируется полностью доверенная среда, обеспечивающая повышение эффективности защиты ПК от несанкционированных действий на всех этапах его работы, в том числе защиты от НСД к информации, обрабатываемой и хранимой в ПК и в компьютерных ИВС.

После входа пользователя в систему и загрузки ОС в ходе дальнейшей работы пользователя устройство позволяет аналогично прототипу реализовать ряд дополнительных функций, что повышает уровень его функциональности и эффективность защиты от НСД информации, хранимой и обрабатываемой на ПК и в ИВС, обеспечивая при этом его использование в качестве системообразующего модуля.

Во-первых, модуль 14 МК реализует дополнительную функцию, осуществляя не только разовую аутентификацию пользователя при входе в систему, но и дальнейшую (постоянную) аутентификацию, контролируя тем самым нахождение допущенного пользователя за ПК. В простейшем случае не разрешается извлечение идентификатора из устройства считывания, иначе ПК блокируется. Дополнительно возможен периодический (через определенные промежутки времени) опрос идентификатора с проверкой информации, аутентифицирующей пользователя и сам носитель. В случае несоответствия считанной информации контрольным значениям компьютер также блокируется. Наконец, через соответствующие интерфейсы блока 8 для постоянной аутентификации могут использоваться данные внешних устройств идентификации и аутентификации, например, биометрических устройств, отсутствие или несоответствие сигнала с которых также блокирует компьютер. Наличие канала постоянной аутентификации необходимо для исключения подмены зарегистрированного пользователя на этапе работы системы.

Наличие межмодульного интерфейса 37 позволяет обеспечить связь устройства с другим аппаратно-программным средством защиты, например, устройством криптографической защиты данных (УКЗД) или криптографическим сетевым интерфейсным адаптером (КСИА), обеспечивающим защиту информации в компьютерных сетях. При этом устройство защиты с помощью блока 18 МК обеспечивает управление загрузкой ключей шифрования в УКЗД или КСИА, исключая попадание ключей шифрования в ОЗУ компьютера. Все необходимые вычисления при этом проводятся в оперативной памяти устройства, что полностью исключает возможность перехвата ключей шифрования или вмешательства в процесс загрузки ключевой информации.

Наличие в МК блока 19 поддержки системы разграничения доступа (СРД) обеспечивает взаимодействие устройства с СРД компьютера, при этом устройство передает в СРД результаты идентификации и аутентификации пользователя и его идентификатор, исключая необходимость повторения данной процедуры при работе СРД. Кроме того, в случае фиксации СРД попыток несанкционированного доступа СРД может передать устройству защиты команду на аппаратную блокировку компьютера. При этом в журнале регистрации событий (в блоке 34 энергонезависимой памяти 6) регистрируется зафиксированная СРД попытка НСД к ПК.

С помощью блока 20 МК осуществляется поддержка взаимодействия с серверами при работе в режиме удаленного управления, а также при функционировании в системе, построенной по архитектуре «тонкого клиента» (ТК). Наличие во flash-памяти 5 блока 30 с клиентской частью ПО ТК позволяет использовать устройство для работы терминалов ТК в защищенном режиме. Для работы в режиме ТК вместе с ПО ТК загружается доверенная ОС из блока 29 flash-памяти 5 устройства.

Предлагаемое устройство защиты от НСД к информации, хранимой и обрабатываемой на ЭВМ, может быть реализовано с помощью известных покупных комплектующих изделий.

Например, в реализованном заявителем опытном экземпляре устройства микроконтроллер 2 реализован на микросхеме STM32F405VGT6, ключ 3 - на микросхеме ТХВ0104, накопитель SPI-Flash 4 - на микросхеме W25Q128BVEIG, Flash-память 5 большой емкости - на микросхеме KLMAG2GE4A-A00x “Samsung” (MTFC16GJVEC-4М IT “Micron”), а модуль 6 - на FRAM-памяти FM25V02-G, отличающейся высокой скоростью работы и практически неограниченным числом перезаписей.

Блок 7, задающий режимы работы устройства, представляет собой переключатель NHDS-04. Блок 9 содержит интерфейсы внешних устройств. При использовании в качестве персонального носителя электронного ключа типа ТМ его подключение осуществляется через блок 39 через разъем PLS-3. USB-интерфейс 38 представляет собой USB Host Controller и реализован в самом МК 2.

Межмодульный интерфейс 37 представляет собой последовательный интерфейс, выполненный на микросхеме SN74AHC1G125DCKR и подключаемый через разъем WK-R-2. Операции по загрузке ключей проводятся аналогично взаимодействию устройства защиты с УКЗД.

На базе перечисленных компонентов заявителем реализован опытный экземпляр устройства АПМД3-М.2 для создания доверенной среды выполнения программ на всех этапах работы компьютера. Проведенные заявителем испытания опытного экземпляра подтвердили возможность его реализации с достижением указанного положительного технического результата.

Изложенные выше сведения свидетельствуют о выполнении при использовании заявленного технического решения следующей совокупности условий:

- средства, воплощающие заявленное устройство при его осуществлении, предназначены для использования в промышленности, а именно, в автоматизированных системах обработки информации на базе ЭВМ для защиты обрабатываемой и хранимой информации от НСД;

- для заявленного устройства в том виде, как оно охарактеризовано в независимом пункте изложенной формулы изобретения, подтверждена возможность его осуществления с помощью описанных в заявке средств.

Следовательно, заявленное техническое решение соответствует критерию «промышленная применимость».

При использовании предлагаемого устройства создания доверенной среды на компьютере обеспечивается защита кода BIOS от модификации как на этапе загрузки, так и в процессе работы компьютера, предотвращается доступ к ПК и информационным ресурсам незарегистрированных пользователей за счет создания для каждого пользователя замкнутой программно-логической среды.

При этом расположенным на общей плате 1 устройства микроконтроллером 2 во взаимодействии с размещенной в закрытой для записи области 24 накопителя 4 BIOS, в которую дополнительно встроены команды, обеспечивающие взаимодействие с МК 2, выполняются не только программы идентификации и аутентификации пользователей, но и все критичные операции по доверенной загрузке компьютера, включая проверку целостности BIOS до включения компьютера и защиту BIOS от модификации при загрузке и работе компьютера, при обеспечении контроля всех критичных интервалов времени, когда возможно несанкционированное вмешательство в процедуру запуска. Кроме того, все операции, связанные с преобразованием критичной информации, в частности, проведение криптографических операций и генерация ключей шифрования, проводятся микроконтроллером в собственном ОЗУ, а не центральным процессором в ОЗУ компьютера, при использовании ДСЧ 23 и собственной доверенной ОС, чем и достигается положительный результат - надежное выполнение наиболее важных операций по защите в доверенной среде, что обеспечивает безопасность их выполнения и повышение эффективности защиты от НСД.

Повышает надежность и эффективность защиты также наличие дополнительных блокировок, реализуемых при различных попытках несанкционированных действий. В устройстве реализовано тестирование его аппаратных компонентов, обеспечивается режим многопользовательской работы с возможностью удаленного управления, необходимый для ЭЗ, предназначенного для защиты информации с высоким уровнем конфиденциальности, реализована возможность ограничения и разграничения доступа к аппаратным и программным компонентам компьютера.

Кроме того, высокий уровень функциональности и высокая эффективность защиты предлагаемого устройства обеспечиваются наличием интерфейсов связи с другими средствами защиты (средствами шифрования, системой разграничения доступа и др.), что позволяет использовать заявленное устройство в качестве системообразующего модуля и строить на его основе аппаратно-программные комплексы защиты информации от НСД на базе существующих средств защиты. Устройство учитывает и новые тенденции в развитии информационно-вычислительных систем, в частности, обеспечивает надежную защиту при удаленном управлении и удаленном доступе, а также в информационно-вычислительных системах, использующих технологию «тонкого клиента».

Таким образом, благодаря широкой функциональности, а также выполнению наиболее критичных операций непосредственно в устройстве защиты, предлагаемое устройство доверенной загрузки компьютера и защиты от НСД хранимой и обрабатываемой на нем информации сохранило достоинства прототипа, а именно, способность выполнять системообразующие функции и возможность построения комплексной системы для эффективной защиты ПК (автоматизированного рабочего места - АРМ) и информационно-вычислительной системы. В то же время предлагаемое устройство, установленное на шину SPI, защищает код BIOS от несанкционированных изменений, что обеспечивает создание доверенной среды с начального этапа загрузки сразу после подключения блока питания компьютера к электросети, что не обеспечивается прототипом.

На базе предлагаемого устройства целесообразно производить защищенные компьютеры специального назначения, построенные на специализированных доверенных материнских платах и автономном универсальном АПМДЗ, интегрирующем в себе все критичные компоненты, обеспечивающие реализацию защитных функций, и подключаемом к материнской плате через универсальный разъем современного стандарта М.2.

Источники информации

1. Патент RU №2212705, кл. G06F 12/14, 24.01.2002 г., опубл. 20.09.2003 г.

2. Патент RU №2263950, кл. G06F 12/14, 28.11.2003 г., опубл. 27.05.2005 г.

3. Патент RU №2321055, кл. 7 G06F 12/14, 12.05.2006 г., опубл. 27.03.2008 г.

4. Заявка №2013131871/08(047653), МПК 7 G06F 12/14, подана 11.07.2013 г. - прототип.

1. Устройство создания доверенной среды и защиты информации от несанкционированного доступа для компьютеров специального назначения, содержащее управляющий микроконтроллер, энергонезависимую флэш-память большой емкости с блоками хранения программного обеспечения устройства, энергонезависимую быстродействующую память с электронным журналом для регистрации событий при функционировании устройства, блоком с учетными данными пользователей и блоком с настройками и с ключами удаленного управления, быстродействующий электронный ключ, блокирующий шину SPI материнской платы компьютера по команде с управляющего микроконтроллера; накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, содержащий в себе BIOS компьютера с дополнительно встроенными командами, обеспечивающими реализацию функций доверенной загрузки; блок переключателей для выбора режима работы устройства,
при этом управляющий микроконтроллер включает в свой состав модуль идентификации и аутентификации пользователя, модули проверки целостности и состояния аппаратных и программных компонентов устройства защиты, модуль контроля всех критичных интервалов времени процедуры запуска и загрузки компьютера, модуль управления загрузкой ключей аппаратного шифратора, модуль взаимодействия с системой разграничения доступа, модуль взаимодействия с серверами информационно-вычислительной системы, модуль настройки устройства, датчик случайных чисел, модуль блокировки питания компьютера,
а в энергонезависимой флэш-памяти большой емкости размещаются доверенная операционная система, модули программного обеспечения контроля целостности компонентов устройства, удаленного администрирования и управления устройством, клиентская часть программного обеспечения «тонкого клиента», а также в специально созданном служебном разделе, доступном только для управляющего контроллера устройства, размещаются резервная копия BIOS, долговременный электронный журнал для регистрации всех событий, произошедших при функционировании устройства, блок дополнительных настроек устройства;
причем питание самого устройства осуществляется от дежурного источника питания компьютера, внутренние магистральные вход/выход микроконтроллера через магистраль локальной шины устройства подключены к магистральным входам/выходам энергонезависимых флэш-памяти и быстродействующей памяти, а внешние магистральные вход/выход микроконтроллера подключены к входам блока интерфейсов внешних устройств, включающего USB Host интерфейс, интерфейс iButton идентификатора типа Touch Memory и межмодульный интерфейс аппаратного шифратора, а также интерфейсы USB и SMBus для связи МК (микроконтроллера) с аппаратными компонентами и чипсетом компьютера,
отличающееся тем, что
устройство выполнено в виде отдельного автономного блока, интегрирующего в себе все критичные компоненты, обеспечивающие реализацию защитных функций, и дополнительно включает в себя универсальный разъем стандарта PCI Express М.2 Specification, через который реализованы интерфейсы взаимодействия устройства с материнской платой компьютера, преобразователь уровня сигнала чипсета, включенный в состав быстродействующего электронного ключа, независимое от чипсета устройство блокировки и управления основным питанием компьютера и интерфейс идентификации модели материнской платы для автоматической настройки параметров взаимодействия с ней устройства.

2. Устройство по п. 1, отличающееся тем, что с целью миниатюризации устройства разъемы связи с внешними устройствами вынесены на материнскую плату компьютера, а звуковой канал для дополнительного информирования о выявленных несанкционированных действиях выведен на стандартный звуковой канал материнской платы, причем интерфейсы связи с данными устройствами выведены через универсальный разъем М.2.