Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства

Авторы патента:

G06F9/4401 - Устройства для программного управления, например блоки управления (программное управление для периферийных устройств G06F 13/10)

Владельцы патента RU 2755771:

ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ "КИРОВСКИЙ РЕГИОНАЛЬНЫЙ ЦЕНТР ДЕЛОВОЙ ИНФОРМАЦИИ" (RU)

Изобретение относится к области компьютерной безопасности, в частности к способу запуска гипервизора в компьютерной системе, защищаемой от несанкционированного доступа к информации, на ранней стадии загрузки компьютера. Технический результат заключается в повышении безопасности компьютера. Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства включает подключение внешнего аппаратного устройства с хранящимися на нем и защищенными от несанкционированного доступа тонким гипервизором и параметрами UEFI, включение компьютера, запуск UEFI с микросхемы флеш-памяти компьютера, полностью защищенной от записи, запуск тонкого гипервизора с внешнего аппаратного устройства до завершения работы UEFI и запуска любых программ, которые могли бы повлиять или предотвратить старт тонкого гипервизора, при этом отсутствие тонкого гипервизора и параметров UEFI на внешнем аппаратном устройстве приводит к невозможности запуска компьютерной системы. 1 ил.

Данное изобретение относится к области компьютерной безопасности, в частности к способу запуска гипервизора в компьютерной системе, защищаемой от несанкционированного доступа к информации, на ранней стадии загрузки компьютера.

В качестве базовой системы ввода-вывода (BIOS) используется Unified Extensible Firmware Interface (UEFI), которая корректно инициализирует оборудование при включении системы и передает управление загрузчику операционной системы. UEFI имеет две фазы: предварительную фазу, на которой происходит инициализация элементов компьютера и фазу загрузки драйверов, после чего уже загружается операционная система компьютера.

Из уровня техники известны наиболее близкие технические решения RU 2538286 C2 [Заявка №2013104953 от 06.02.2013, МПК G06F 12/14, опубл. 20.08.2014 в Бюл. №23] и RU 2537814 C2 [Заявка №2013104952 от 06.02.2013, МПК G06F 12/14, опубл. 20.08.2014 в Бюл. №23], в которых описан способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. Данный способ заключается в загрузке компьютером UEFI, из своего модуля памяти. UEFI настроена так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, являющегося или частью UEFI, или хранящийся в отдельном разделе модуля памяти компьютера (микросхеме SPI FLASH), при этом тонкий гипервизор выбирает, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы. Код гипервизора располагается внутри микросхемы модуля памяти и не подвержен возможности изменения или дискредитации кода за счет установленной защиты микросхемы от записи.

Недостатками данного способа являются:

- сложность реализации размещения гипервизора в составе UEFI;

- UEFI и тонкий гипервизор размещены в микросхеме, защищенной от записи, и, соответственно, неизменность параметров UEFI и тонкого гипервизора, приводит к неработоспособности компьютерной системы при отказе (поломке) любого аппаратного устройства в составе защищенной компьютерной системы;

- осуществление загрузки защищенной компьютерной системы любым пользователем (в том числе злоумышленником).

Технический результат предлагаемого технического решения заключается в повышении безопасности компьютера.

Технический результат достигается тем, что способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства, включает подключение внешнего аппаратного устройства с хранящимися на нем и защищенными от несанкционированного доступа тонким гипервизором и параметрами UEFI, включение компьютера, запуск UEFI с микросхемы флеш-памяти компьютера, полностью защищенной от записи, запуск тонкого гипервизора с внешнего аппаратного устройства на уровне UEFI до запуска любых программ, которые могли бы повлиять или предотвратить старт тонкого гипервизора.

Примерами внешнего аппаратного устройства, в котором расположен гипервизор, могут быть, например, USB-накопитель, PCI-E(M2)-плата.

Рассмотрим работу предлагаемого способа. В работе используется материнская плата компьютера, в которой имеется микросхема флеш-памяти, где записана UEFI. Тонкий гипервизор и параметры UEFI размещены на внешнем аппаратном устройстве. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), на которых установлена загружаемая операционная система, монитор, корпус с блоком питания, клавиатура и мышь.

На Фигуре изображена последовательность запуска гипервизора, который происходит следующим образом:

Подключение внешнего аппаратного устройства 1. Тонкий гипервизор и параметры UEFI хранятся на внешнем аппаратном устройстве и защищены от несанкционированного доступа (хранение тонкого гипервизора и параметров UEFI на внешнем аппаратном устройстве обеспечивает невозможность запуска компьютерной системы при их отсутствии).

Включение компьютера 2.

Старт UEFI 3 с микросхемы флеш-памяти компьютера 4 полностью защищенной от записи (тем самым, обеспечивается неизменность содержимого всей микросхемы флеш-памяти компьютера 4, что предотвращает компрометацию её содержимого). Корректное функционирование UEFI 3 обеспечено хранением параметров UEFI во внешнем аппаратном устройстве 1.

Старт тонкого гипервизора 5 с внешнего аппаратного устройства 1 осуществляется на уровне UEFI до запуска любых программ, которые могли бы повлиять или предотвратить старт тонкого гипервизора. Тонкий гипервизор 5 обеспечивает создание виртуальной среды.

Загрузка операционной системы (ОС) 6 в виртуальной среде.

Таким образом, выполнение тонкого гипервизора обеспечивает:

Невидимость внешнего аппаратного устройства 1 операционной системой, загруженной в виртуальной среде.

Защиту ОС и данных пользователя от аппаратных атак и аппаратных закладок (от несанкционированного доступа к информации со стороны аппаратных устройств компьютерной системы), которая реализуется перехватом тонким гипервизором всех обращений от аппаратных устройств к ОС.

Защиту аппаратных устройств компьютерной системы от несанкционированного доступа (атак) с уровня ОС, которая реализуется программной эмуляцией аппаратных устройств, предоставляемых ОС. ОС не знает, что она работает с виртуальными устройствами под управлением тонкого гипервизора.

Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства, заключающийся в загрузке компьютером UEFI из микросхемы флеш-памяти компьютера, полностью защищенной от записи, причем UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, при этом тонкий гипервизор выбирает по меньшей мере одно запоминающее устройство для загрузки операционной системы, отличающийся тем, что в первую очередь, перед включением компьютера, выполняется подключение внешнего аппаратного устройства с хранящимися на нем и защищенными от несанкционированного доступа тонким гипервизором и параметрами UEFI, затем после включения компьютера и запуска UEFI осуществляется запуск тонкого гипервизора с внешнего аппаратного устройства до завершения работы UEFI и запуска любых программ, которые могут повлиять или предотвратить старт тонкого гипервизора, при этом отсутствие тонкого гипервизора и параметров UEFI на внешнем аппаратном устройстве приводит к невозможности запуска компьютерной системы.

Изобретение относится к средствам управления базами данных, реализованными в облачном вычислительном окружении. Техническим результатом является обеспечение возможности надежно обнаруживать неактивность в пользовательских рабочих нагрузках.

Способ формирования вычислительного комплекса // 2751441

Предложенное изобретение относится к области компьютерных технологий. Технический результат, достигаемый при использовании предложенного изобретения, заключается в обеспечении оптимального покрытия типов решаемых задач с помощью минимального количества вычислителей за счет, в том числе, устранения дублирования вычислителей в составе вычислительного комплекса, что обеспечивает формирование вычислительного комплекса оптимальной полноты.

Защищенное управление ключами // 2750095

Изобретение относится к вычислительной технике. Технический результат заключается в предоставлении возможности администрирования данных без возможности их просмотра.

Устройство и способ для упрощения повторного выполнения ранее выполненной задачи на основе контекста мобильного устройства // 2749794

Изобретение относится к средствам для обеспечения повторного выполнения ранее выполненной задачи в приложении. Технический результат заключается в обеспечении определения релевантности между идентифицированным контентом и текущим контентом, чтобы рекомендовать пользователю приложение для выполнения задачи.

Способ и система для планирования обработки операций ввода/вывода // 2749649

Изобретение относится к области распределенной обработки данных и, в частности, к способу и серверу для планирования операций ввода/вывода (I/O) с целью их обработки. Техническим результатом является повышение точности планирования операций ввода/вывода, которые должны обрабатываться накопителем, входящим в состав распределенной компьютерной системы.

Конфигурирование максимальной мощности передачи в режиме двойного подключения // 2749316

Изобретение относится к технике связи и может использоваться в системах беспроводной связи. Технический результат состоит в повышении объема передаваемой информации.

Централизованное управление программно-определяемой автоматизированной системой // 2747966

Группа изобретений относится к промышленной автоматизированной системе. Техническим результатом является обеспечение централизованного управления программно-определяемой автоматизированной системой.

Способ управления службой доступа и отображения конфиденциальной информации и данных с помощью виртуального рабочего стола // 2746570

Изобретение относится к области вычислительной техники. Техническим результатом является обеспечение управления службой доступа и отображения конфиденциальной информации и данных (DAT) с помощью компьютерной системы.

Уничтожение объекта на основе последовательности выполняемых действий // 2746155

Изобретение относится к области информационных технологий. Техническим результатом является повышение эффективности уничтожения объекта потоками, чтобы возвращать вычислительные ресурсы, используемые объектом, на основе последовательности действий, которая предоставляет возможность потокам координироваться и взаимодействовать, чтобы выполнять полное уничтожение объекта.

Автономный подвижный корпус, программа управления автономным подвижным корпусом, способ управления автономным подвижным корпусом и системный сервер для управления автономным подвижным корпусом из дистанционной области // 2745543

Группа изобретений относится к области робототехники, а именно к области автономных транспортных роботов для использования в зданиях. Техническим результатом является обеспечение возможности плавного выхода из кабины лифта в течение короткого периода времени.

Способ и устройство обеспечения доступа к управлению транспортным средством // 2755837

Изобретение относится к способу и устройству доступа к управлению транспортным средством. Технический результат заключается в автоматизации управления доступом к транспортному средству. В способе регистрируют пользователя на сервере компании, предоставляющей доступ к управлению транспортным средством, посредством ввода регистрационной информации пользователя; выбирают и резервируют транспортное средство, а также выполняют предварительную оплату банковской картой пользователя на сервере компании, предоставляющей доступ к управлению транспортным средством, получают на устройстве пользователя характеристики транспортного средства, времени инициации пользователя авто и его GPS-координат, передают посредством сервера компании, предоставляющей доступ к управлению транспортным средством, на устройство доступа к управлению транспортным средством, установленное на транспортном средстве, вышеупомянутую регистрационную информацию пользователя, разрешающую пользователю использовать данное транспортное средство, и сохраняют данную информацию в памяти данного устройства, при этом устройство доступа к управлению транспортным средством переходит из спящего режима в режим считывания NFC-карт или NFC-устройств, идентифицируют пользователя устройством доступа к управлению транспортным средством, при приложении банковской карты или мобильного устройства пользователя с технологией беспроводной передачи данных малого радиуса действия - NFC к соответствующему NFC-считывателю устройства доступа к управлению транспортным средством, при этом в случае совпадения считанных данных и полученных регистрационных данных пользователя устройство доступа к управлению транспортным средством переходит в режим работы в качестве банковского POS-терминала и устанавливает связь с процессинговым центром, обрабатывающим финансовые транзакции, осуществляют посредством устройства доступа к управлению транспортным средством возврат денежных средств на банковскую карту пользователя и разрешение пользования данным транспортным средством, путем разблокировки замков и снятия сигнализации с транспортного средства. 2 н. и 5 з.п. ф-лы, 1 ил.