Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера

Авторы патента:

 


Владельцы патента RU 2537814:

Закрытое акционерное общество "Крафтвэй корпорейшн ПЛС" (RU)

Изобретение относится к области запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. Техническим результатом является повышение безопасности компьютера. Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера заключается в загрузке компьютером UEFI из своего модуля памяти, при этом UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, являющегося частью UEFI, при этом тонкий гипервизор выбирает, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы, кроме того, тонкий гипервизор имеет встроенный модуль антивируса, который при обнаружении потенциально опасных файлов блокирует их и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы. 1 з.п. ф-лы, 1 ил.

 

Предлагаемое изобретение относится к способу запуска гипервизора в компьютерной системе, защищаемой от несанкционированного доступа к информации.

В настоящее время для современных компьютеров, а точнее их материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.

Наиболее близким техническим решением является RU 2446447 C2, от 27.03.2012, в котором описан способ для управления доступом операционных систем с помощью гипервизора. Данный способ заключается в загрузке компьютером BIOS. В BIOS имеется набор инструкций, исполняемых на этапе загрузки, осуществляющих запуск гипервизора. Недостатком данного способа является недостаточная защита компьютера, т.к. гипервизор хранится в разделе на запоминающем устройстве, которое может быть подвержено изменению.

Предлагаемое техническое решение предлагает способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. В предлагаемом решении гипервизор является частью UEFI, находящейся в модуле памяти, и не подвержен изменению при загруженной операционной системе, поэтому компьютер, загружаемый по предлагаемому способу, будет обладать повышенной защищенностью операционной системы.

Задача, которую позволяет решить предлагаемое изобретение, - возможность гарантированного запуска гипервизора до старта любого кода расположенного на доступных носителях/запоминающих устройствах, подверженных вирусным атакам, с целью предотвращения несанкционированного доступа к информации и проверки всего графика информации антивирусом, внутри самого модуля гипервизора.

Технический результат предлагаемого технического решения - повышение безопасности компьютера.

Технический результат достигается тем, что способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера включает загрузку компьютером UEFI из своего модуля памяти, UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, являющегося частью UEFI, при этом тонкий гипервизор выбирает, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы, кроме того, тонкий гипервизор имеет встроенный модуль антивируса, который при обнаружении потенциально опасных файлов блокирует их и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы.

Модуль памяти компьютера, в котором хранится UEFI, по существу представляет собой микросхему FLASH.

На фиг.1 показана схема способа запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера.

Рассмотрим работу предлагаемого способа на примере устройства компьютера для запуска тонкого гипервизора в UEFI на ранней стадии загрузки компьютера. Для работы предлагаемого компьютера используется материнская плата компьютера, у которого имеется модуль памяти в виде микросхемы FLASH, где вместо БИОС (BIOS) записана UEFI. Кроме того, одной из частей UEFI является модуль тонкого гипервизора. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), на которых установлена загружаемая операционная система, монитор, корпус с блоком питания, клавиатура и мышь.

Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера осуществляется следующим образом. Пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI. После выполнения UEFI перехода в окружение исполнения драйверов - DXE запускается модуль гипервизора. Модуль тонкого гипервизора является прослойкой между ОС и интерфейсами, виртуализирует все интерфейсы устройства. Т.е., допустим, у устройства есть интерфейс беспроводного доступа к сети, интерфейсы монитора, принтера и CD дисковода. В обычном случае операционная система видит эти устройства и обращается к ним напрямую. И вредоносная программа или неавторизованный пользователь могут при определенных условиях получить доступ к этим интерфейсам. При включенном модуле тонкого гипервизора ОС видит только сам гипервизор, не видя интерфейсы устройств напрямую, а только те и в таком виде, как это отображает для нее гипервизор. Таким образом, определенные пользователи или программы (зависит от настройки гипервизора) просто не увидят, например, принтер или беспроводной доступ к сети, поскольку для них гипервизор не будет отображать эти интерфейсы, и система будет считать, что такого устройства на компьютере нет. Напротив, тонкий гипервизор может показывать системе какие-либо устройства, не существующие в действительности, например виртуальный принтер или виртуальный жесткий диск. Кроме того, весь трафик, которым обменивается ОС с любыми интерфейсами, обрабатывается гипервизором и может независимо от ОС быть передан гипервизором для обработки антивирусным модулем, при этом сама операционная система, даже в случае, если она будет взята под контроль вредоносной программой, не будет иметь информации о том, что такая проверка проводится, что исключает воздействие вирусов на процесс проверки (и лечения). В нашем случае особенностью является то, что запуск этого тонкого гипервизора осуществляется на описанной выше предзагрузочной стадии, до запуска любых программ (и до появления у пользователя возможности осуществления действий), которые потенциально могли бы повлиять на запуск тонкого гипервизора или предотвратить его.

Код гипервизора располагается внутри микросхемы модуля памяти и не подвержен возможности изменения или дискредитации кода.

При этом в модуль тонкого гипервизора встроен модуль антивируса. В связи с чем гипервизор виртуализирует интерфейсы взаимодействия с сетевой и дисковой подсистемой компьютера с целью добавления дополнительных процедур антивирусной проверки передаваемого графика. Модуль антивируса при обнаружении потенциальных опасностей блокирует данный трафик и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы. Помимо контроля графика гипервизор предназначен для контроля памяти процессов с целью выявления несанкционированных изменений. При обнаружении изменений процесс блокируется, и передается информация основному модулю антивируса. Смысл тонкого гипервизора в том, что он является прослойкой между операционной системой (ОС) и интерфейсами устройства, при включенном гипервизоре все обращения ОС к сети, дискам, устройствам ввода и вывода идут не напрямую, как в обычном случае, а обрабатываются гипервизором, который может эмулировать какие-либо интерфейсы, не существующие в реальности, или запрещать системе видеть реально существующие, или подменять их, что позволяет гарантированно контролировать трафик с целью выявления вирусной активности и угроз безопасности, а также определять политики доступа для различных пользователей.

Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники очевидно, что на основе раскрытых данных можно создать вариации компьютера для запуска тонкого гипервизора в UEFI, например, сохраняя код модуля антивируса на отдельной микросхеме FLASH. Таким образом, объем изобретения не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле изобретения.

1. Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера, заключающийся в загрузке компьютером UEFI из своего модуля памяти, UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, являющегося частью UEFI, при этом тонкий гипервизор выбирает, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы, кроме того, тонкий гипервизор имеет встроенный модуль антивируса, который при обнаружении потенциально опасных файлов блокирует их и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы.

2. Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера по п.1, отличающийся тем, что модуль памяти компьютера, в котором хранится UEFI, представляет собой микросхему FLASH.



 

Похожие патенты:

Изобретение относится к системе защиты от несанкционированного доступа к информации. Технический результат заключается в расширении функциональных возможностей контроля доступа к ресурсам.

Изобретение относится к вычислительной технике. Технический результат заключается в расширение функциональных возможностей контроля доступа к ресурсам, за счет использования субъекта доступа «Исходный пользователь, Эффективный пользователь, Процесс».

Изобретение относится к области защиты от несанкционированного доступа к информации. Технический результат заключается в упрощении задачи администрирования системы контроля доступа.

Изобретение относится к средствам хранения конфиденциальных данных, записанных в области энергонезависимой памяти. Технический результат заключается в повышении защищенности данных.

Способ разрушения интегральных схем памяти носителей информации, предназначенный для предотвращения утечки информации, составляющей коммерческую тайну, при попытках несанкционированного изъятия носителей с записанной на них информацией.

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа к информации, создаваемой и хранимой в компьютерных системах.

Группа изобретений относится к области внедрения водяного знака в информационные сигналы. Технический результат заключается в упрощении внедрения водяного знака в информационный сигнал и его обнаружении.
Изобретение относится к вычислительной технике и к обеспечению информационной безопасности автоматизированных и информационно-вычислительных систем, в частности к средствам обнаружения вредоносного программного обеспечения (ПО).

Изобретение относится к вычислительной технике. Технический результат заключается в обнаружении программного кода, использующего уязвимости в программном обеспечении.

Изобретение относится к вычислительной технике, в частности к средствам защиты от несанкционированного доступа к информации. Технический результат заключается в повышении надежности устройства хранения данных и обеспечении более высокой степени безопасности хранения информации.

Изобретение относится к области запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. Техническим результатом является повышение безопасности компьютера. Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера заключается в загрузке компьютером UEFI из своего модуля памяти, при этом UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, который хранится в отдельном разделе модуля памяти, при этом тонкий гипервизор выбирает, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы, кроме того, тонкий гипервизор имеет встроенный модуль антивируса, который при обнаружении потенциально опасных файлов блокирует их и передает информацию в основной модуль антивируса, выполняемый внутри операционной системы. 1 з.п. ф-лы, 1 ил.

Изобретение относится к области защиты компьютера от вредоносных программ. Техническим результатом является повышение безопасности компьютера. Способ проверки антивирусом компьютера в UEFI на ранней стадии загрузки компьютера содержит этапы: включения компьютера, загрузки компьютером Unified Extensible Firmware (UEFI) из модуля памяти материнской платы компьютера, на этапе UEFI-выполнения перехода в окружение исполнения драйверов запуска модуля антивируса из отдельного раздела модуля памяти материнской платы компьютера, при этом модуль антивируса проверяет жесткие диски компьютера на наличие признаков вирусной активности и при наличии вирусов выполняет действия по их устранению, и после окончания работы модуля антивируса установления защиты модуля памяти от чтения и записи с целью невозможности изменения или блокирования модуля памяти, а затем передачи управления UEFI для дальнейшей загрузки компьютера. 2 з.п. ф-лы, 1 ил.

Изобретение относится к области защиты хранилища данных компьютера. Техническим результатом является повышение эффективности защиты хранилища данных. Способ загрузки компьютером защищенного хранилища данных содержит этапы включения компьютера, загрузки компьютером Unified Extensible Firmware (UEFI) из модуля памяти материнской платы компьютера, на этапе UEFI-выполнения перехода в окружение исполнения драйверов осуществления подачи питания на защищенное хранилище данных и инициализации контроллера доступа данного хранилища данных, передачи UEFI пароля контроллеру доступа данного хранилища данных, передачи UEFI удостоверяющего сертификата контроллеру доступа данного хранилища данных и проверки корректности ответа, при положительном выполнении всех условий открытия доступа контроллером доступа данного хранилища к своим данным, при завершении работы компьютера закрытия доступа к хранилищу данных до следующей инициализации контроллера доступа данного хранилища данных. 3 з.п. ф-лы, 1 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в повышении эффективности защиты компьютера от несанкционированных действий на всех этапах его работы. Устройство создания доверенной среды и защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем, в состав которого введены накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, который подключается к шине SPI чипсета материнской платы компьютера и содержит в своей защищенной от записи области BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с управляющим микроконтроллером и проверку целостности загружаемого программного обеспечения, и управляемый быстродействующий электронный ключ, установленный на шину SPI материнской платы между чипсетом компьютера и накопителем, при этом микроконтроллер снабжен каналом управления электронным ключом, соединяющим управляющий выход порта ввода-вывода микроконтроллера с управляющим входом электронного ключа, а также контроллером интерфейса SPI, обеспечивающим подключение микроконтроллера к шине SPI и работу его в режиме прямого доступа к памяти накопителя и в режиме контроля команд от чипсета к накопителю по шине SPI. 1 з.п. ф-лы, 3 ил.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении возможности переформирования системой объекта доступа в запросе доступа при одновременной работе на компьютере нескольких пользователей. Система переформирования объекта в запросе доступа содержит блок формирования объекта доступа, блок формирования запроса доступа, причем в систему дополнительно введены блок хранения правил переформирования объекта в запросе доступа, блок выбора правила переформирования объекта в запросе доступа и блок замены объекта доступа и их связи. 2 ил., 2 табл.

Изобретение относится к области аутентификации пользователей. Техническим результатом является повышение эффективности аутентификации пользователей. Способ аутентификации пользователей с защитой от подсматривания заключается в предварительном формировании набора из N графических символов, где N - натуральное число, значение которого ограничено возможным количеством графических символов, которые могут быть размещены на экране с качеством, позволяющим распознать эти графические символы, предоставлении пользователю выбора из этого набора для запоминания группы S секретных графических символов sk, где k=1…К, где К - количество графических символов в группе S, выбираемое с учетом удобства запоминания пользователем, проведении i-го этапа ввода аутентификационной информации, при этом i=1…I, где I - общее число этапов, путем выведения на экран выбранных из набора произвольным образом Ni графических символов, среди которых в произвольном месте располагается si-й секретный символ, выбранный из группы S секретных символов, формировании невидимой секретной области Аi, фиксировании точки hi воздействия пользователя на экран, формировании положительного результата проведения i-го этапа ввода аутентификационной информации при выполнении условия принадлежности зафиксированной точки воздействия невидимой секретной области hi∈Ai и отрицательного - в противном случае, формировании положительного решения об аутентификации после получения положительных результатов проведения всех I этапов ввода пользователем аутентификационной информации и отрицательного - в противном случае, при этом графические символы из набора N располагают на экране в виде таблицы, в которой символы имеют случайные координаты (Xsi,Ysi), где Xsi=1…а и Ysi=1…b (а - количество строк в таблице, b - количество столбцов в таблице), пользователю предоставляют дополнительно для запоминания жест из базы секретных жестов, каждый из которых сформирован парой чисел (d1,d2), где d1 и d2 - натуральные числа, причем d1 и d2 меньше или равно большему значению из а и b (d1,d2≤max{a,b}), при проведении i-го этапа аутентификации, невидимую секретную область Аi формируют в виде совокупности графических символов таблицы, имеющих координаты (ХSi±md1, YSi±md2), где m -натуральное число, при этом md1 и md2 меньше или равны большему значению из а и b (md1,md2≤max{a,b}), а фиксацию точек воздействия пользователя на экран осуществляют путем выбора любого символа из невидимой секретной области. 4 ил.

Изобретение относится к области защиты от несанкционированного доступа к информации, создаваемой и хранимой в компьютерных системах. Техническим результатом является повышение эффективности контроля доступа к файлам. Система контроля доступа к файлам на основе их ручной и автоматической разметки содержит решающий блок, блок автоматической разметки файлов, блок хранения правил доступа к файлам, блок ручной разметки файлов, блок управления разметкой файлов, блок хранения атрибутов файлов, причем первый вход решающего блока соединен с первым входом системы, с первым входом блока автоматической разметки файлов, второй выход - с выходом системы, второй вход блока автоматической разметки файлов соединен с третьим входом системы, первый выход - с первым входом блока управления разметкой файлов, второй вход которого - с первым выходом блока ручной разметки файлов, второй выход блока автоматической разметки файлов соединен с третьим входом блока управления разметкой файлов, четвертый вход которого - со вторым выходом блока ручной разметки файлов, пятый вход - с выходом блока хранения атрибутов файлов, первый вход которого - с третьим выходом, а второй вход - с четвертым выходом блока автоматической разметки файлов, первый выход блока управления разметкой файлов соединен с третьим входом блока автоматической разметки файлов, второй выход - с третьим входом блока ручной разметки файлов, первый вход которого - с четвертым, а второй - с пятым входом системы, третий выход блока автоматической разметки файлов соединен с первым входом блока хранения правил доступа к файлам, второй вход которого - со вторым входом системы, третий вход - со вторым выходом решающего блока, второй вход которого - с выходом блока хранения правил доступа к файлам. 2 ил., 5 табл.

Изобретение относится к области вычислительной техники, а именно к области защиты от несанкционированного доступа (НСД) к информации, создаваемой и хранимой в компьютерных системах (КС). Технический результат - расширение функциональных возможностей системы контроля доступа к ресурсам, за счет реализации сессионного контроля доступа к ресурсам, в которой субъект доступа задается тремя сущностями "сессия, пользователь, процесс". Система сессионного контроля доступа к ресурсам, содержащая блок идентификации пользователя из запроса, блок идентификации объекта доступа и действия из запроса, блок идентификации процесса из запроса, блок идентификации и аутентификации пользователя, блок выбора сессии пользователем, блок решающего элемента, блок хранения правил доступа, причем вход блока идентификации пользователя из запроса соединен со входом блока идентификации объекта доступа и действия из запроса, со входом блока идентификации процесса из запроса, с первым входом системы, выход блока идентификации пользователя из запроса соединен с первым входом блока решающего элемента, второй вход которого - с выходом блока идентификации объекта доступа и действия из запроса, третий вход - с выходом блока хранения правил доступа, первый выход - с первым выходом системы, второй выход - с первым входом блока хранения правил доступа, второй вход которого - со вторым входом системы, четвертый вход блока решающего элемента 6 соединен с выходом блока идентификации процесса из запроса, пятый вход - с первым выходом блока выбора сессии пользователем, второй выход которого - со вторым выходом системы, вход/выход блока идентификации и аутентификации пользователя соединен с первым входом/выходом системы, вход/выход блока выбора сессии пользователем - со вторым входом/выходом системы, третий вход блока выбора сессии пользователем соединен со вторым входом блока идентификации и аутентификации пользователя, со вторым входом системы, выход блока идентификации и аутентификации пользователя соединен с шестым входом блока решающего элемента, со вторым входом блока выбора сессии пользователем. 1 табл., 2 ил.

Изобретение относится к области защиты от несанкционированного доступа к информации. Технический результат заключается в расширении функциональных возможностей системы контроля доступа к ресурсам за счет реализации функций обнаружения и предотвращения вторжений. Система содержит: блок анализа запроса доступа, блок определения процесса, запрашивающего доступ, решающий блок, блок аудита несанкционированных событий, блок завершения процесса, блок хранения прав доступа к ресурсам. 2 ил.1 с.п. ф-лы, 2 илл.

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении защиты карты. Карта с интегральной микросхемой содержит блок обработки, связанный с оперативным запоминающим устройством и со средствами обмена данными с внешним устройством, причем оперативное запоминающее устройство содержит единственную зону памяти, выделенную для данных обмена, при этом блок обработки выполнен с возможностью записывать данные, которые предназначены для обмена между указанной картой с интегральной микросхемой и указанным внешним устройством, в указанную единственную выделенную зону памяти и с возможностью ограничивать риск попадания в эту единственную выделенную зону памяти данных, которые способны нарушить защиту карты, при этом блок обработки программирован таким образом, чтобы скремблировать данные, содержащиеся в указанной единственной выделенной зоне памяти, перед передачей данных из внешней среды, с тем чтобы данные, последовательно принимаемые картой, не могли быть рекомбинированы или использованы для создания несанкционированной команды. 2 н. и 6 з.п. ф-лы, 1 ил.
Наверх