Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления

Изобретение относится к области вычислительной техники и предназначено для создания защищенных компьютерных сетей с удаленным управлением и администрированием автоматизированных рабочих мест (АРМ), серверов и другого компьютерного оборудования. Его использование позволит получить технический результат в виде повышения эффективности защиты АРМ и серверов от несанкционированных действий на всех этапах их работы и обеспечения защиты от несанкционированного доступа (НСД) к информации, обрабатываемой и хранимой в компьютерных информационно-вычислительных системах (ИВС), а также упрощение работы IT-персонала за счет централизации управления при обеспечении возможности удаленного управления и удаленного доступа к ресурсам ИВС с распределенной структурой.

В настоящее время разработан ряд технологий, являющихся стандартами в области встроенных систем управления и обслуживания серверов, которые базируются на использовании интеллектуального интерфейса управления платформой (IPMI - Intelligent Platform Management Interface), предназначенного для мониторинга и управления сервером. Спецификация IPMI была разработана в 1998 году фирмой Intel и используется многими ведущими производителями компьютеров [1]. IPMI предназначен для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечения серверных платформ, и позволяет осуществлять мониторинг, восстановление функций управления, журналирование, управление питанием, защиту паролем и другие функции управления платформой.

Аппаратной составляющей IPMI является встроенный в платформу автономный микроконтроллер, который носит название ВМС (Baseboard management controller) и работает независимо от центрального процессора, базовой системы для запуска персонального компьютера (BIOS) и операционной системы (ОС) компьютера, обеспечивая управление серверной платформой даже в тех случаях, когда сервер выключен (достаточно лишь подключения к источнику питания). Микроконтроллер ВМС имеет собственный процессор, память и сетевой интерфейс. Для удаленного управления сервером используется технология KVM-over-IP, обеспечивающая передачу видеоизображений и команд (событий) с клавиатуры и/или мыши через Интернет. Подробное описание структуры и принципа функционирования IPMI, а также функций микроконтроллера ВМС на сервере, обеспечивающих контроль его состояния и управление, приведены в работе [2].

Практика показывает, что использование для критичных информационных технологий зарубежной компьютерной техники, комплектующих и программного обеспечения (ПО), производители которых не дают полной информации о своей продукции, не гарантирует отсутствие в ней недекларируемых возможностей, следовательно, не гарантирует требуемой степени защиты от НСД к критичным компонентам ИВС и ее информационным ресурсам. В частности, в IPMI-системах удаленного доступа проводится однофакторная аутентификация по паролю, в то время как при использовании отечественных устройств создания доверенной среды - аппаратно-программных модулей доверенной загрузки (АПМДЗ) при доступе к ИВС и ее компонентам применяется многофакторная аутентификация, при которой помимо пароля требуется предъявить специальный аутентифицирующий носитель пользователя (АНП). Кроме того, в информационных системах на базе АПМДЗ создается доверенная среда за счет интеграции модулем различных средств защиты информации, включая криптографические средства, в комплексную систему защиты ИВС.

Поэтому по требованиям отечественного регулятора серверы и АРМ ИВС, на которых обрабатывается информация с высоким уровнем конфиденциальности, должны быть защищены устройствами создания доверенной среды - АПМДЗ.

За последние годы IPMI достаточно широко внедрился в современные компьютерные системы ведущих производителей и претерпел ряд ревизий и различных реализаций, так что набор поддерживаемых функций на конкретном сервере зависит от производителя материнской платы и версии прошивки. И если ОС компьютера поддерживает IPMI, то с помощью специального серверного ПО (например, программ OpenIPMI и FreeIPMI) можно подключиться к нему и получить необходимую информацию. В связи с этим интерфейс IPMI представляет потенциальную опасность атак на сервер (в т.ч. выключенный) через Интернет, увеличивая вероятность несанкционированного доступа к его ресурсам. Кроме того, некоторые из экспертов по информационной безопасности обращают внимание на тот факт, что с помощью контроллера ВМС через интерфейс IPMI можно удаленно полностью контролировать аппаратное и программное обеспечение серверов, что дает злоумышленнику практически неограниченные возможности по несанкционированному воздействию на них в случае получения контроля над IPMI [3, 4]. Этот факт подтверждает обоснованность требований отечественного регулятора в дополнительной защите серверов и АРМ ИВС с помощью АПМДЗ.

Однако применение АПМДЗ в серверных платформах IPMI с ВМС невозможно при удаленном доступе и управлении, поскольку для доступа к защищенному объекту (серверу) необходимо защищающему его АПМДЗ предъявить АНП. Сделать это непосредственно на сервере невозможно, так как для этого в серверном помещении должно постоянно находиться физическое лицо, которое при каждом обращении к серверу должно предъявлять защищающему его АПМДЗ через соответствующий считыватель АНП (например, смарт-карту, USB-носитель или идентификатор типа Touch Memory), что нереально в условиях автоматизации процесса и удаленности доступа, поскольку обращение к серверу может быть с АРМ, размещенного даже в другом географическом регионе.

Из этого следует, что АНП модулю доверенной загрузки сервера должен быть предъявлен удаленно, для чего он должен быть зарегистрирован на сервере при инициализации защищающего его АПМДЗ. При этом для регистрации и последующего проведения многофакторной взаимной аутентификации между АРМ и сервером должен быть установлен защищенный канал, причем защита канала должна быть «прозрачной» для соответствующего управляющего программного обеспечения (ПО) и протоколов IPMI, то есть должна быть обеспечена совместимость с различными платформами и устройствами, используемыми в существующих ИВС, и независимость от типа сетевого трафика.

Для безопасной регистрации целесообразно задействовать криптографические функции АНП непосредственно при инициализации АПМДЗ на сервере с формированием не извлекаемого из АНП ключа аутентификации. После регистрации и создания ключа аутентификации появляется возможность удаленно формировать защищенный канал между АНП и АПМДЗ сервера с использованием протоколов взаимной аутентификации и выработки сеансовых ключей (например, на основе Диффи-Хеллмана) с обеспечением прозрачности канала для управляющего ПО и прозрачного шифрования трафика стандартных протоколов IPMI.

Для реализации удаленного управления необходимо передавать с АРМ по сети события от устройств связи человека с компьютером (клавиатуры, «мыши» и др.), а также видеоизображения. Эту задачу можно решить как аппаратным, так и программным способом.

Аппаратное решение - это эмуляция видеоплаты на шине PCIe или событий клавиатуры/мыши на шине USB. Главный плюс данного решения в том, что не требуется исполнение своего кода в компьютере, и поэтому оно будет работать вне зависимости от программного окружения и при любой базовой системе для запуска персонального компьютера (старой Basic Input/Output System (BIOS) - базовая система ввода-вывода или новой Unified Extensible Firmware Interface (UEFI) - расширяемый интерфейс встроенного программного обеспечения). Однако аппаратное решение имеет немало минусов, в частности, оно не будет работать при настройке UEFI/BIOS на использование встроенного видеоадаптера и при отключении в них поддержки USB HID (спецификация устройств взаимодействия с человеком), а также зависит от конкретной аппаратной реализации устройств.

Программное решение проще в реализации и позволяет обеспечить универсальность. В частности, можно использовать программный захват изображения и внедрение событий от клавиатуры и мыши, например, с помощью технологии аппаратной виртуализации - замены реальных ресурсов с теми же функциями и внешними интерфейсами, что и у физических прототипов, с помощью диспетчера виртуальных машин (Virtual Machine Manager - VMM или гипервизора) - программного обеспечения, позволяющего виртуализировать системные ресурсы и отобразить все адресное пространство в виртуальную машину, в которой продолжат исполняться работающие на компьютере системы запуска (BIOS или UEFI).

Виртуализация - это общий термин, описывающий процесс создания абстракции ресурсов. Делится на несколько типов, таких как эмуляция, программная и аппаратная виртуализация, паравиртуализация. Одним из преимуществ некоторых типов виртуализации, в частности аппаратной виртуализации и эмуляции, является возможность создания изолированной гостевой системы, управляемой гипервизором (небольшим программным кодом) напрямую. Аппаратная виртуализация практически не снижает производительность системы, что дает ей возможности широкого практического применения. Каждая из виртуальных машин может работать независимо, в своем пространстве аппаратных ресурсов, полностью изолированно друг от друга. Это позволяет увеличить защищенность.

Необходимо также отметить, что протокол IPMI и его реализации используют криптографию, не соответствующую российским стандартам. Следовательно, необходима дополнительная защита IPMI-трафика. А чтобы при этом обеспечить совместимость создаваемой дополнительной защиты с используемыми готовыми реализациями без необходимости их модификации, требуется обеспечить для них прозрачность защищенного канала связи. Для этого предлагается технология VPN, позволяющая инкапсулировать в защищенный канал связи любые протоколы.

Таким образом, для создания защищенной и универсальной системы удаленного управления серверами на основе АПМДЗ необходимо разработать АПМДЗ с набором дополнительных блоков, обеспечивающих удаленную взаимную многофакторную аутентификацию и надежную защищенную передачу данных по сети (команд управления, состояния клавиатуры/мыши, видеоизображений и другой информации), с формированием доверенного канала связи и полностью совместимую с системами, базирующимися на использовании интеллектуального интерфейса управления платформой IPMI.

В настоящее время на рынке существует большое количество различных устройств, обеспечивающих доверенную загрузку компьютера и позволяющих создать доверенную среду для выполнения программ на всех этапах работы компьютера.

Одним из первых наиболее полнофункциональных представителей устройств данного класса является устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем, описанное в патенте RU №2321055, кл. G06F 12/14 от 12.05.2006 г., опубликованное 27.03.2008 г. [5], представляющее собой АПМДЗ, который помимо выполнения набора стандартных функций, характерных для устройств данного класса, реализует функции системообразующего модуля, обеспечивающего взаимосвязь и взаимодействие между компонентами системы комплексной защиты, например с такими как шифраторы, системы разграничения доступа (СРД), устройствами блокировки и т.п. С этой целью в АПМДЗ введены аппаратные и программные модули, повышающие уровень его функциональности по защите от НСД и эффективность самой защиты, возможности ограничения и разграничения доступа к аппаратным и программным компонентам компьютера и самим устройствам защиты, эффективной и надежной блокировки компьютера при различных попытках несанкционированных действий, а также выполнения наиболее критичных операций непосредственно в самом АПМДЗ и загрузку алгоритмов шифрования и ключевой информации в устройства криптографической защиты информации.

АПМДЗ учитывает и новые тенденции в развитии ИВС, в частности реализует надежные механизмы защиты от несанкционированного доступа в сеть при использовании технологии «тонкого клиента» (ТК). Это направление предъявляет более жесткие требования к средствам информационной защиты, в первую очередь, к средствам аутентификации и ограничения прав пользователей, а также к защите не только рабочего места (терминала), но и серверной части и канала связи. Данные задачи решает модуль поддержки взаимодействия с серверами ИВС, блок ПО удаленного доступа и блок ПО удаленного управления устройством.

ПО удаленного доступа позволяет пользователю входить в сеть организации с компьютера, находящегося вне ее, обеспечивая надежные механизмы аутентификации и идентификации, а ПО удаленного управления позволяет решать проблемы, возникающие на удаленном компьютере, проводить его администрирование.

Однако реализуемый устройством способ удаленного управления обеспечивает в ИВС удаленное администрирование АРМ с помощью установленных на них АПМДЗ и поддержку взаимодействия с серверами, в частности, при функционировании в системе, построенной по архитектуре «тонкого клиента», но не позволяет управлять серверами.

Описанное устройство реализовано и серийно производится ООО Фирма «АНКАД» в виде продукта АПМДЗ «КРИПТОН-ЗАМОК».

Однако данный и другие известные АПМДЗ не обеспечивают в полной мере доверенную среду для обработки информации, поскольку устанавливаются на общую шину управления и обмена данными, предназначенную для подключения периферийных устройств к материнской плате компьютера (в частности, шину взаимодействия периферийных компонентов PCI - Peripheral Component Interconnect). Поэтому функционирование АПМДЗ начинается не с включения компьютера, а после того как произошла инициализация и загрузилась BIOS. Следовательно, в случае загрузки недоверенной BIOS несанкционированные действия могут произойти до инициализации АПМДЗ. Таким образом, необходимым условием создания доверенной среды является решение задачи защиты кода BIOS от модификации и несанкционированного воздействия как при загрузке компьютера, так и в процессе работы.

При этом недостаточно иметь доверенную BIOS на этапе загрузки, поскольку несанкционированные изменения ее кода могут быть внесены и в процессе работы компьютера. Например, в материнских платах, выполненных на современных чипсетах фирмы Intel (CHIPSET - связующие микросхемы, обеспечивающие взаимосвязь и управление работой устройств компьютера), защита кода BIOS реализована путем программирования регистров чипсета, при этом поступающие от чипсета команды к BIOS передаются по шине SPI, а сама BIOS хранится в накопителе (микросхеме флэш-памяти с интерфейсом SPI - SPI-Flash). При этом гарантией целостности данной BIOS является только заявление производителя чипсета фирмы Intel о наличии блокирования записи в SPI-Flash, являющейся физическим хранилищем данной BIOS. Кроме того, сам чипсет может выполнять незадекларированные функции, т.е. иметь «закладки». Следовательно, возможна запись в SPI-Flash компрометирующего кода, т.е. проведение несанкционированной модификации кода BIOS.

Данная проблема решена в устройстве создания доверенной среды для компьютеров информационно-вычислительных систем, описанном в патенте RU №2538329, МПК G06F 21/57, поданном 11.07.2013 г., опубликованном 10.01.2015 г. [6]. Заявленное устройство, в отличие от предыдущего, дополнено аппаратными и программными модулями, обеспечивающими доверенную среду для работы компьютера посредством контроля и гарантии достоверности BIOS. Для решения поставленной задачи АПМДЗ реализуется на шине SPI для обеспечения блокировки поступающих от чипсета некорректных или неразрешенных команд записи в SPI-Flash с размещенной на ней достоверной BIOS. Устройство может быть интегрировано непосредственно на материнскую плату компьютера путем доработки платы с установкой специального слота для размещения АПМДЗ.

Для реализации описанных задач в устройство введены установленные на шину SPI материнской платы компьютера быстродействующий электронный ключ и накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, содержащей в себе BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с микроконтроллером (МК) устройства, при этом МК снабжен каналом управления электронным ключом и интерфейсом связи с шиной SPI, образуя аппаратный узел, осуществляющий контроль целостности BIOS в накопителе перед его запуском и контроль команд на шине SPI от связующей микросхемы компьютера (чипсета) в накопитель с возможностью блокировки записи в накопитель с помощью электронного ключа. Для блокировки запуска компьютера в случае нарушения целостности BIOS или других несанкционированных действий в состав МК включен блок управления основным питанием компьютера, встроенный в соответствующий канал управления чипсета. Причем питание самого устройства осуществляется от дежурного источника питания компьютера (stand-by), в связи с чем устройство начинает функционировать сразу после подключения ПК к сети питания (вилка сетевого кабеля вставлена в розетку) до включения кнопки «POWER» ПК и обеспечивает контроль целостности BIOS перед запуском ПК, а в случае нарушения целостности BIOS производит ее восстановление из резервной копии.

Наиболее близким техническим решением устройства создания доверенной среды для реализации предлагаемой защищенной системы удаленного доступа и управления серверами (прототипом) является устройство создания доверенной среды для компьютеров специального назначения, описанное в патенте RU №2569577, МПК G06F 21/30, поданном 06.08.2014 г., опубликованном 06.08.2015 г. [7].

Заявленный АПМДЗ базируется на техническом решении по предыдущему патенту RU №2538329, но система защиты в нем построена таким образом, что несанкционированное извлечение или отключение АПМДЗ приводит к потере работоспособности самого компьютера. Кроме того, для повышения надежности защиты все критические компоненты, оказывающие влияние на реализацию защитных функций, включая BIOS компьютера, перенесены в единый доверенный блок (модуль) безопасности, в котором их состояние находится под постоянным контролем системы защиты. То есть все защитные функции и компоненты, участвующие в их реализации, перенесены на независимый от компьютера доверенный модуль (АПМДЗ) и реализуются без участия недоверенных компонентов компьютера. Причем сам модуль интегрируется с материнской платой компьютера через унифицированный разъем перспективного современного стандарта PCI Express М.2 Specification, отражающий тенденцию минимизации габаритов компонентов вычислительных систем. Через него реализуются и интерфейсы связи АПМДЗ с внешними устройствами. Использование в АПМДЗ форм-фактора и разъема стандарта М.2 при организации интерфейса взаимодействия с материнской платой и внешними устройствами обеспечивает его универсальность и возможность применения в вычислительных средствах с материнскими платами, использующими разъемы данного стандарта.

Предложенное техническое решение также способствует снижению зависимости от недоверенной импортной компонентной базы. Например, как отмечалось выше, в материнских платах используются современные чипсеты фирмы Intel, доверенность которых не может быть гарантирована. АПМДЗ позволяет блокировать возможные некорректные действия со стороны чипсета.

Описанное устройство реализовано и серийно производится ООО Фирма «АНКАД» в виде изделия АПМДЗ-И/М2. На его базе совместно с ЗАО «Крафтвэй корпорейшн ПЛС» разработаны и серийно выпускаются отечественные материнские платы для компьютеров специального назначения и компьютеры с доверенной средой, обеспечивающие защищенную обработку информации с высоким грифом секретности.

На базе данного устройства предлагается новая конструкция АПМДЗ, реализующая защищенную систему удаленного управления серверами.

Технический результат достигается тем, что в известную компьютерную систему с удаленным управлением сервером, включающую сервер с интеллектуальным интерфейсом управления платформой на базе автономного микроконтроллера и автоматизированное рабочее место администратора, связанные защищенным каналом передачи данных, введены следующие компоненты: на сервер установлены устройство создания доверенной среды с модулем удаленного управления и модулем удаленной многофакторной взаимной аутентификации, а на рабочее место администратора - устройство создания доверенной среды с модулем удаленной многофакторной взаимной аутентификации и модулем удаленного администрирования, причем сервер и рабочее место администратора снабжены модулями доверенного соединения, формирующими между компьютером и сервером канал связи с прозрачным шифрованием сетевого трафика и включающими VPN-сервер и VPN-клиент соответственно.

В устройство создания доверенной среды, содержащее управляющий микроконтроллер, работающий независимо от центрального процессора компьютера и включающий в свой состав программные функциональные модули, обеспечивающие идентификацию и аутентификацию пользователей, реализацию защитных функций устройства, управление питанием компьютера и взаимодействие с внешними средствами защиты; энергонезависимую память большой емкости с блоками хранения ПО доверенной среды, учетными данными пользователей, электронным журналом и блоком настроек; блок защиты BIOS с интерфейсом SPI, а также интерфейсы для связи управляющего контроллера с компьютером, блоком питания, внешними носителями и средствами защиты, введены модуль удаленной многофакторной взаимной аутентификации и модуль удаленного управления, осуществляющий аппаратную виртуализацию системных ресурсов (отображение всего адресного пространства в виртуальную машину) и включающий блок фильтрации сетевого трафика, блок передачи видеоизображений, блок эмуляции USB-устройств и блок передачи показаний датчиков состояния сервера.

Предлагается также способ удаленного управления сервером с помощью устройства создания доверенной среды и защиты информации от несанкционированного доступа, включающий регистрацию пользователя на управляемом сервере с помощью носителя аутентифицирующей информации, формирование ключей аутентификации, проведение удаленной аутентификации пользователя на сервере по локальной компьютерной сети с помощью аутентифицирующего носителя и передачу команд управления на сервер по защищенному каналу, отличающийся тем, что регистрация пользователя осуществляется с помощью криптографических функций аутентифицирующего носителя пользователя с формированием разделяемого секрета, размещаемого в базе учетных данных пользователей устройства создания доверенной среды сервера и на аутентифицирующем носителе, формирование защищенного канала, прозрачно шифрующего сетевой трафик между сервером и рабочим местом администратора, осуществляется с помощью VPN-технологии, а передача информации для управления сервером реализуется путем виртуализации системных ресурсов (отображения всего адресного пространства в виртуальную машину), при этом проводится эмуляция применяемых физических устройств.

В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения, изложенным в формуле изобретения.

Определение из перечня выявленных аналогов прототипа как наиболее близкого по совокупности признаков аналога позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной компьютерной системы с удаленным управлением сервером и устройством создания доверенной среды. Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы. Следовательно, заявленное техническое решение соответствует критерию «новизна».

Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».

Графические изображения

На фиг. 1 приведена схема компьютерной системы удаленного управления сервером с устройством создания доверенной среды, где:

1 - сервер;

2 - автоматизированное рабочее место (АРМ) администратора;

3 - канал связи;

4 - устройство создания доверенной среды с удаленным управлением;

5 - АПМДЗ АРМ администратора;

6, 7 - модули удаленной многофакторной взаимной аутентификации (МУМВА);

8 - модуль удаленного управления (МУУ);

9, 10 - модули доверенного соединения (МДС);

11 - программное обеспечение администрирования (ПОА);

12 - программное обеспечение АПМДЗ АРМ администратора;

13 - аутентифицирующий носитель администратора (AHA).

На фиг. 2 представлена структурная схема предлагаемого устройства создания доверенной среды с удаленным управлением 4, где:

6 - модуль удаленной многофакторной взаимной аутентификации (МУМВА);

14 - общая плата устройства;

15 - управляющий микроконтроллер;

16 - энергонезависимая память большой емкости с реализованным на ней служебным разделом;

17 - блок защиты BIOS по интерфейсу SPI.

Компоненты управляющего микроконтроллера 15:

18 - модуль локальной идентификации и аутентификации;

19 - блок функциональных модулей АПМДЗ;

20 - модуль управления питанием;

21 - модули взаимодействия с внешними средствами защиты.

Компоненты энергонезависимой памяти 16:

8 - модуль удаленного управления (МУУ);

9 - модуль доверенного соединения (МДС);

22 - ПО доверенной среды;

23 - блок настроек;

24 - электронный журнал;

25 - блок с учетными данными пользователей.

Интерфейсы устройства:

26 - интерфейс связи с компьютером;

27 - интерфейс управления питанием компьютера и его блокировки;

28 - интерфейс связи с аутентифицирующим носителем (АН);

29 - интерфейс взаимодействия с внешними средствами защиты;

30 - интерфейс SPI.

На фиг. 3 показан состав модуля удаленного управления 8 и схема его функционирования на сервере 1, где:

8 - модуль удаленного управления;

15 - управляющий микроконтроллер устройства создания доверенной среды 4;

31 - блок фильтрации сетевого трафика;

32 - блок передачи видеоизображений;

33 - блок эмуляции USB-устройств;

34 - блок передачи показаний датчиков.

В соответствии с фиг. 1 предлагаемая компьютерная система с удаленным управлением сервером и устройством создания доверенной среды работает следующим образом.

На подготовительном этапе на сервер 1 и АРМ администратора 2 через интерфейсы взаимодействия с компьютером устанавливаются устройства создания доверенной среды, причем на сервер устанавливается заявляемое устройство 4 с удаленным управлением и модулем МУМВА 6, а на АРМ - один из известных аналогов АПМДЗ 5 с ПО 12, включающим функциональные модули с модулем локальной идентификации и аутентификации, осуществляющим доступ и доверенную загрузку на АРМ 2. При режиме удаленного управления АПМДЗ 5 используется для контроля целостности аппаратных и программных компонентов АРМ, в частности загружаемых на АРМ модулей МУМВА 7, МДС 10 и ПОА 11, а также в качестве считывателя AHA 13.

Модуль АПМДЗ 5 может устанавливаться опционно (в случае отсутствия необходимости защиты АРМ модулем доверенной загрузки), но в этом случае на АРМ должен быть установлен считыватель AHA, а загрузка модулей 7, 10 и 11 на АРМ осуществляется со специального дистрибутива или через Интернет с сайта разработчика (фирмы АНКАД) заявляемого устройства создания доверенной среды с удаленным управлением с контролем целостности загружаемых модулей.

Для проведения удаленного управления администратор должен быть заранее зарегистрирован на устройстве 4. Регистрация администратора проводится на этапе инициализации устройства 4 на сервере 1 и подразумевает использование криптографических функций AHA 13 с формированием разделяемого секрета, который размещается в базе учетных данных пользователей устройства 4 и на AHA 13 (не извлекаемый из AHA ключ удаленной аутентификации).

Для реализации удаленного управления на сервер 1 с устройства 4 загружаются модуль МУУ 8 и модуль МДС 9, а на АРМ 2 должны быть установлены модули МУМВА 7, МДС 10 и ПО администрирования 11. Данные модули могут быть загружены на АРМ 2 с АПМДЗ 5, а при его отсутствии - как указано выше, с дистрибутива или через Интернет с сайта разработчика устройства создания доверенной среды с удаленным управлением.

Для реализации функций удаленного управления сначала необходимо провести удаленную многофакторную взаимную аутентификацию, для чего следует установить защищенный канал связи между AHA 13, предъявляемым через АПМДЗ 5 АРМ 2 модулю МУМВА 7 (или через считыватель AHA, установленный непосредственно на АРМ 2 при отсутствии АПМДЗ 5), и устройством 4 сервера 1 с модулем МУМВА 6. Формирование защищенного канала становится возможным после регистрации администратора на сервере и создания разделяемого секрета (ключей удаленной аутентификации на AHA 13 и на устройстве 4 сервера 1). При предъявлении AHA 13 модулю МУМВА 7 АРМ администратора 2 модулями МДС 9 и 10 формируется защищенный канал 3 между модулями удаленной аутентификации МУМВА 6 и 7, по которому с использованием специально разработанных алгоритмов и протоколов обмена данными реализуется многофакторная взаимная аутентификация на основе передаваемых с АНП 13 и сохраненных в АПМДЗ 4 сервера 1 аутентифицирующих данных.

Для обеспечения прозрачности канала для управляющего ПО и прозрачного шифрования трафика стандартных протоколов IPMI (независимого от типа сетевого трафика) модулями МДС реализуется технология VPN, позволяющая инкапсулировать в защищенный канал связи любые протоколы. МДС 10 на АРМ представляет собой VPN-клиент, прозрачно шифрующий трафик до стандартных протоколов IPMI утилит, а МДС 9 на сервере 1 - VPN-сервер соответственно. Используемая технология организации доверенного канала обеспечивает совместимость с различными платформами и устройствами, используемыми в существующих ИВС.

После успешной взаимной аутентификации по организованному модулями МДС 9 и 10 доверенному каналу связи 3 модулем МУУ 8, загруженному на сервер устройством 4 и управляемому его контроллером, на основе аппаратной виртуализации организуется передача управляющей информации между АРМ 2 (в виде различных команд и текстовых сообщений) и сервером 1 (видеоизображений). Состав модуля МУУ 8 приведен на фиг. 3. Процесс администрирования осуществляется с помощью специального ПО администрирования 11, установленного на АРМ 2.

В соответствии с фиг. 2 устройство создания доверенной среды 4 с удаленным управлением и модулем МУМВА 6 выполнено в виде автономного устройства на плате 14 с размещенными на ней управляющим микроконтроллером (МК) 15, работающим независимо от центрального процессора компьютера, энергонезависимой памятью 16, доступ к которой производится только МК 15, блоком защиты BIOS 17 и набором интерфейсов для взаимодействия устройства с другими средствами защиты.

Управляющий микроконтроллер 15 содержит ряд программных модулей, обеспечивающих реализацию защитных функций устройства:

- модуль МУМВА 6, предназначенный для удаленной аутентификации пользователя (администратора) на сервере;

- модуль локальной идентификации и аутентификации пользователей 18, осуществляющий доверенную загрузку компьютера и допуск к нему пользователей;

- блок функциональных модулей 19, обеспечивающий реализацию защитных функций АПМДЗ;

- модуль управления питанием 20, независимый от чипсета, реализующий управление основным питанием компьютера и блокировку компьютера в случае обнаружения нарушений системой защиты; само устройство подключается к дежурному блоку питания компьютера (Stand-by) в составе основного блока питания и начинает функционировать до включения компьютера;

- блок модулей взаимодействия с внешними средствами защиты 21: шифраторами, модулями энергонезависимых хранилищ данных (МЭХД) и др.

В состав блока функциональных модулей 19 входят модуль контроля целостности ПО управляющего МК 15 и кода BIOS; модуль диагностики состояния компонентов устройства; модуль контроля критичных интервалов времени процедуры запуска и загрузки компьютера; модуль настройки устройства, модуль идентификации модели материнской платы компьютера, датчик случайных чисел.

В состав блока 21 входят модуль управления загрузкой ключевой информации в шифраторы; модуль поддержки взаимодействия с системой разграничения доступа, установленной на компьютер; модуль поддержки взаимодействия с серверами для проведения централизованного администрирования; модуль настройки устройства (для обеспечения возможности подключения к нему дополнительных устройств).

В энергонезависимой памяти 16 большой емкости, подключенной на выделенную шину МК 15 и разбитой на несколько частей, содержатся следующие блоки памяти:

- модуль МУУ 8;

- модуль МДС 9 (VPN-сервер);

- ПО доверенной среды 22, в состав которого входят ПО проверки целостности программно-контролируемых объектов и диалога с оператором, ПО удаленного управления устройством, доверенная ОС, блок с клиентской частью ПО «тонкого клиента» и др.;

- блок настроек АПМДЗ 23, содержащий список контролируемых аппаратных и программных объектов, резервную копию достоверного BIOS компьютера, настройки и ключи централизованного администрирования, а также дополнительные настройки, предназначенные для размещения параметров настроек подключаемых к устройству дополнительных функций или устройств;

- электронный журнал событий 24, в который записываются критичные события и попытки несанкционированного доступа (НСД), зарегистрированные в системе;

- блок 25 с учетными данными пользователей.

Блоки 23, 24 и 25 размещаются в служебном разделе памяти, доступном только управляющему контроллеру 15 (на фиг. 2 служебный раздел выделен штриховкой).

Часть перечисленных блоков может поставляться опционно в зависимости от используемых технологий, реализуемых функций защиты и используемых устройств конкретной ИВС.

Поскольку в энергонезависимой памяти 16 содержится ПО, выполняемое на центральном процессоре компьютера, доступ к этой памяти может производиться как управляющим МК 15, так и центральным процессором компьютера (но с разрешения МК 15). К служебной же области памяти, как отмечалось, доступ разрешен только управляющему МК 15.

Для энергонезависимого хранения часто изменяющихся данных (настроек АПМДЗ, профилей пользователей, последних записей журнала НСД и др.) на выделенную шину МК может быть подключена энергонезависимая быстродействующая FRAM-память, отличающаяся высокой скоростью работы и практически неограниченным числом перезаписей.

Блок защиты BIOS 17 предназначен для блокировки попыток внесения изменений в BIOS компьютера со стороны чипсета материнской платы по шине SPI. Он осуществляет контроль сигналов чипсета и позволяет отключать модуль памяти с BIOS от шины SPI по команде управления от МК 15 при обнаружении недопустимой команды от чипсета.

Интерфейсы подключения устройства:

1. Интерфейс 26 взаимодействия с компьютером. В качестве данного интерфейса может быть использован интерфейс взаимодействия периферийных компонентов PCI (Peripheral Component Interconnect), PCI Express (PCIe) или USB (Universal Serial Bus).

2. Интерфейс 27 управления питанием и блокировки. В качестве данного интерфейса может быть использован любой проводной интерфейс.

3. Интерфейс 28 для считывания аутентифицирующего носителя. Определяется типом носителя: iButton (для носителей типа Touch Memory), USB (флэш-носители типа ruToken и eToken), интерфейс считывателя смарт-карт (контактный или бесконтактный), бесконтактный интерфейс ближнего поля NFC (для мобильных устройств) и др.

4. Интерфейс 29 для взаимодействия с внешними средствами защиты. В качестве данного интерфейса могут быть использованы различные интерфейсы: межмодульный интерфейс (для загрузки ключей шифрования в устройства серии «КРИПТОН» фирмы «АНКАД»); USB host (может быть реализован непосредственно на МК 2 и использоваться для подключения внешних устройств, в частности считывателей смарт-карт или носителей eToken, ruToken и др.); асинхронный последовательный интерфейс UART (Universal asynchronous receiver/transmitter), например RS-232 (или СОМ-порт) и RS-485, и др.

5. Интерфейс 30. Предназначен для подключения к шине SPI, на которую устанавливается блок защиты BIOS.

Разъемы данных интерфейсов могут быть выполнены как на плате самого устройства, так и вынесены на материнскую плату компьютера с целью минимизации габаритов устройства. Коммутация устройства с материнской платой может быть осуществлена и по аналогии с прототипом через универсальный разъем современного стандарта PCI Express М.2 Specification.

АПМДЗ с удаленным управлением серверами по схеме фиг. 2 работает следующим образом.

Перед началом эксплуатации компьютера с установленным на материнскую плату устройством (через интерфейс 26) и предустановленным заранее на специальном стенде ПО взаимодействия устройства с другими средствами защиты (блок 21, часть ПО может устанавливаться опционно по желанию заказчика) производится идентификация модели материнской платы микроконтроллером 15 с помощью модуля идентификации модели материнской платы (размещен в блоке функциональных модулей 19), после чего МК 15 осуществляет подборку ПО для данной модели платы и предварительную настройку.

Затем проводится настройка остальных параметров устройства и осуществляется регистрация пользователей, для чего с помощью ПО системы защиты от НСД в регистрационные файлы записывают переменные параметры - контрольную информацию, которая определяет права доступа каждого пользователя к ресурсам компьютера:

- в блок 23 памяти 16: список контролируемых объектов (список защищаемых от изменений программ, включая ОС, и файлов, а также полный путь к каждому контролируемому файлу и/или координаты каждого загрузочного сектора - имя стартовой программы для данного пользователя) и таблицу контрольных векторов контролируемых объектов (значения контрольных сумм или вычисленное значение хэш-функции защищаемых от изменений файлов и/или загрузочных секторов жесткого диска); данные настроек и ключи централизованного администрирования;

- в блок 25: учетные данные обо всех пользователях данного компьютера (имя (регистрационный номер) пользователя, его полномочия (права доступа пользователя - каждый пользователь может обладать своим собственным набором прав), серийный номер ключевого аутентифицирующего носителя пользователя (АНП), эталон для аутентификации пользователя, контрольный вектор (образ) пароля, срок действия пароля пользователя, число допустимых неудавшихся попыток входа и др.);

- в блок 19 МК 15: контролируемые интервалы времени процедуры запуска, включая два основных (время на вход пользователя в систему (на ожидание и ввод пароля) и время на загрузку ключей шифрования); настройки устройства (список пользователей (имена - регистрационные номера), количество разрешенных попыток доступа к компьютеру, способы блокировки и др.).

Решения по всем вопросам, связанным с обеспечением безопасности, принимаются МК 15, который работает независимо от основного процессора компьютера по заложенному в его память программному обеспечению. В частности, он осуществляет управление доступом к блокам энергонезависимой памяти 16 с электронным журналом 24 и учетными данными пользователей 25, при этом для блока 25 разрешены чтение/запись для обмена служебной информацией с прикладным ПО защиты от НСД (модуль 18 локальной идентификации и аутентификации пользователей в МК 2).

ПО устройства состоит из трех взаимодействующих частей: ПО управляющего микроконтроллера 15 (firmware); программных модулей, встроенных в BIOS; ПО, выполняемого на основном процессоре компьютера (software), которое загружается в компьютер из энергонезависимой памяти 16. ПО МК не может быть несанкционированно изменено, поскольку недоступно со стороны компьютера. Модули, встроенные в BIOS, защищены МК 15 через модуль 17, а целостность ПО, выполняемого на центральном процессоре ПК, контролируется ПО доверенного BIOS.

При эксплуатации компьютера на начальном этапе загрузки после подключения блока питания к электросети на устройство подается питание от дежурного блока (Standby), входящего в состав блока питания компьютера, после чего происходит старт МК 15.

Сначала проводится диагностика и контроль целостности компонентов самого МК 15 (тестирование модулем диагностики состояния компонентов устройства в блоке 19 МК 15), затем МК подает команду на блок 17, который отключает блок памяти BIOS от шины SPI чипсета, после чего модуль контроля целостности ПО и кода BIOS МК 15 по SPI-интерфейсу в режиме Master осуществляет контроль целостности кода BIOS, а затем проводит проверку целостности блоков 23, 24 и 25, размещенных в служебном разделе памяти 16. В случае успешного завершения проверки устройство ожидает включения питания компьютера.

После нажатия кнопки «POWER» компьютера управляющий питанием сигнал проходит через чипсет, поступает на модуль управления питанием 20 МК, предназначенный для контроля и блокировки основного питания ПК, после чего МК 15 подает команду на блок 17 для подключения шины SPI к блоку памяти BIOS, а модуль 20 выдает команду на блок питания ПК для включения основного питания. При этом МК 2 переходит в режим работы Slave (внешнее тактирование) и receive-only (только прием - «подслушивание» данных на шине SPI).

После включения основного питания проводится штатная загрузка компьютера: считывается BIOS и в соответствии с программой загрузки производится инициализация всех необходимых для работы компьютера компонентов. Модуль проверки целостности ПО блока 19 МК 15 осуществляет загрузку и проверку целостности программно-контролируемых объектов, размещенных в блоке 22 памяти 16, после чего ПО запускается на выполнение.

Загруженное ПО реализует функции электронного «замка», и модуль 18 МК проводит идентификацию и аутентификацию пользователя, осуществляющего вход в систему. После успешного входа в систему производится загрузка ОС компьютера.

В процессе загрузки ПК осуществляется контроль интервалов времени процедур запуска и входа в систему, и в случае их отклонений от номинальных значений осуществляется блокировка доступа. Информация о контролируемых интервалах времени, по которым осуществляется блокировка доступа, поступает от соответствующего функционального модуля блока 19 МК 15.

При обнаружении нарушений на любом из перечисленных этапов загрузки ПК или попыток НСД питание компьютера не будет включено, а при уже включенном - будет отключено, и последующие действия по загрузке компьютера будут блокированы. Кроме того, если в результате диагностики выявлены ошибки в работе компонентов устройства, нарушения целостности содержимого памяти 3 или попытки НСД в систему, на дисплей ПК выдается предупреждение о выявленном нарушении, вход в систему пользователю запрещается, ПК блокируется, а в журнале регистрации событий (блок 24 энергонезависимой памяти 16) регистрируется соответствующая запись.

Процесс проведения локальной идентификации и аутентификации пользователя проводится аналогично прототипу. На дисплей ПК выдается приглашение пользователю ввести информацию в компьютер с его АНП. Операции идентификации и аутентификации реализуются в собственном ОЗУ МК 15. Пользователь устанавливает свой АНП в соответствующий считыватель. В качестве АНП может использоваться идентификатор типа Touch Memory (ТМ), пластиковая карта, USB-идентификатор, биометрический идентификатор и др. Для считывания информации к интерфейсу 28 подключается контактирующее или считывающее устройство для конкретного носителя.

В случае, когда предъявленный АНП не зарегистрирован в регистрационном файле модуля настройки устройства блока 19 МК 15, на дисплей ПК выдается предупреждение и повторное приглашение к проведению идентификации пользователя. После предопределенного в модуле настроек числа неудачных попыток идентификации вход в систему пользователю запрещается, а в журнале регистрации событий (блок 24 памяти 16) регистрируется попытка НСД к компьютеру.

В случае, когда предъявленный АНП зарегистрирован в регистрационном файле, модуль 18 МК осуществляет аутентификацию пользователя, для чего выдает на дисплей ПК приглашение пользователю ввести свой пароль с клавиатуры ПК, после чего определяет образ введенного пароля и сравнивает его с контрольным образом пароля, зарегистрированным в блоке 25 энергонезависимой памяти 16. В случае несовпадения контрольного образа предъявленного пароля с зарегистрированным в блоке 25 или просроченного времени, отведенного на ввод пароля в модуле контроля критичных интервалов времени блока 19 МК, на дисплей ПК выдается предупреждение и повторное приглашение к проведению аутентификации пользователя. После предопределенного в модуле настроек блока 19 МК числа неудачных попыток аутентификации вход в систему пользователю запрещается, а в журнале регистрации событий (блок 24 памяти 16) регистрируется попытка НСД к ПК.

В случае, когда контрольный образ предъявленного пароля совпадает с зарегистрированным в блоке 25 энергонезависимой памяти 16, осуществляется проверка целостности контролируемых объектов для данного пользователя с помощью ПО, которое хранится в блоке 22 памяти 16. Для этого указанное ПО вычисляет значения контрольных векторов объектов (значения контрольных сумм или значения хэш-функций файлов и/или загрузочных секторов жесткого диска компьютера), занесенных в список контролируемых объектов, размещенный в блоке 23 памяти 16, а затем сравнивает полученные значения с соответствующими значениями контрольных векторов, занесенных ранее в таблицу контрольных векторов контролируемых объектов. При проверке целостности контролируемых объектов используется доверенная среда выполнения. При несовпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов пользователю запрещается доступ к ПК, при этом запуск ОС ПК также блокируется.

При совпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов пользователю разрешается доступ к ПК, разрешается также запуск ОС компьютера. При этом запрещается возможность несанкционированной загрузки ОС со съемных носителей путем блокировки доступа к устройствам чтения соответствующих носителей при запуске ПК. Затем управление передается штатным аппаратно-программным средствам компьютера для завершения работы BIOS и загрузки ОС с жесткого диска ПК. После успешного завершения загрузки ОС восстанавливается доступ к устройствам чтения съемных носителей специальной программой-драйвером, входящей в состав ПО системы защиты от НСД.

Для работы в режиме удаленного управления на этапе регистрации в режиме инициализации устройства администратор через интерфейс 28 предъявляет устройству свой аутентифицирующий носитель AHA, и при использовании криптографических функций AHA формируется разделяемый секрет, который размещается в базе учетных данных пользователей 25 памяти 16 устройства и на AHA. После этого становится возможной с данного AHA удаленная аутентификация.

Для реализации удаленного управления в состав МК 15 включен модуль МУМВА 6, а в энергонезависимой памяти 16 размещены модули МУУ 8 и МДС 9, которые загружаются устройством на сервер. Модуль МУМВА 6 при удаленном управлении сервером осуществляет удаленную многофакторную взаимную аутентификацию с аутентифицирующим носителем администратора, предъявленным на АРМ в соответствии с описанной схемой компьютерной системы фиг. 1; модуль МДС 9 представляет собой VPN-сервер, участвующий в формировании защищенного канала; модуль МУУ 8 под управлением МК 15 реализует обмен данными между АРМ и сервером в процессе удаленного управления.

В соответствии с фиг. 3 МУУ 8 устройства представляет собой программный модуль (гипервизор или диспетчер виртуальных машин), реализующий под управлением МК 15 устройства удаленное управление, с помощью технологии аппаратной виртуализации отображающий все адресное пространство в виртуальную машину. Для исключения зависимости от используемых при удаленном управлении различных типов физических устройств (видеокарт, USB-устройств (клавиатура, «мышь»), сетевых карт и т.п.) модулем МУУ 8 осуществляется эмуляция применяемых физических устройств.

В состав МУУ 8 входят блок фильтрации сетевого трафика 31, блок передачи видеоизображений 32, блок эмуляции USB-устройств 33 и блок 34 передачи сигналов с различных датчиков сервера. При виртуализации системных ресурсов и отображении всего адресного пространства в виртуальную машину продолжат исполняться работающие на компьютере системы запуска (BIOS или UEFI).

Таким образом, основные особенности функционирования предлагаемой компьютерной системы с удаленным управлением сервером и устройством создания доверенной среды следующие:

1. Обеспечение надежной защиты ИВС и ее компонентов (серверов, АРМ) на основе отечественных доверенных криптографических средств.

2. Проведение удаленной многофакторной взаимной аутентификации.

3. Реализация удаленного управления серверами по защищенному прозрачно шифруемому каналу, обеспечивающему прохождение трафика с любыми стандартными протоколами и при использовании различных платформ и физических средств передачи и обработки информации.

В результате реализации предлагаемым устройством создания доверенной среды и удаленного управления перечисленных функций, а также известных функций прототипа гарантируется доверенная среда, обеспечивающая повышение эффективности защиты компьютера от несанкционированных действий на всех этапах его работы, а также возможность удаленного администрирования и удаленной аутентификации в компьютерных сетях с различными протоколами передачи данных и используемыми платформами.

Предлагаемое устройство может быть реализовано с помощью известных покупных комплектующих изделий. На базе отечественных и зарубежных компонентов заявителем реализован опытный образец устройства АПМДЗ, реализующий описанные функции. Проведенные заявителем испытания опытного образца подтвердили возможность его реализации с достижением указанного положительного технического результата.

Изложенные выше сведения свидетельствуют о выполнении при использовании заявленного технического решения следующей совокупности условий:

- средства, воплощающие заявленную компьютерную систему с удаленным управлением сервером и устройство для создания доверенной среды и осуществления удаленного управления, предназначены для использования в промышленности, а именно в автоматизированных системах обработки информации на базе ЭВМ;

- для заявленной компьютерной системы и устройства создания доверенной среды и осуществления удаленного управления в том виде, как они охарактеризованы в независимом пункте изложенной формулы изобретения, подтверждена возможность его осуществления с помощью описанных в заявке средств.

Следовательно, заявленное техническое решение соответствует критерию «промышленная применимость».

Благодаря широкой функциональности, а также выполнению наиболее критичных операций непосредственно в устройстве создания доверенной среды и осуществлению удаленного управления предлагаемое устройство сохранило достоинства прототипа, а именно способность выполнять системообразующие функции и возможность построения комплексной системы для эффективной защиты компьютера (АРМ, сервера) и ИВС в целом. В то же время предлагаемое устройство обеспечивает возможность удаленного администрирования и управления серверами при реализации надежной многофакторной взаимной аутентификации, что повышает эффективность защиты и управления функционированием компьютерной сети.

На базе предлагаемого устройства целесообразно производить компьютеры для защищенных рабочих мест и серверов, построенные на специализированных доверенных материнских платах и автономном универсальном АПМДЗ, интегрирующем в себе все критичные компоненты, обеспечивающие реализацию защитных функций и администрирование.

Источники информации

1. IPMI - Intelligent Platform Management Interface Specification Second Generation v2.0. - Document Revision 1.1, October 1, 2013. Intel, Hewlett-Packard, NEC, Dell.

2. Corey Minyard. «IPMI - A Gentle Introduction with OpenIPMI». Montavista Software, 2006. - http://openipmi.sourceforge.net/IPMI.pdf.

3. Bruce Schneier. The Eavesdropping System in Your Computer, https://www.schneier.com/ blog/ archives/2013/01/the_eavesdroppi.html.

4. Dan Farmer. IPMI: Freight train to hell, http://fish2.com/ipmi/itrain.pdf.

5. Патент RU №2321055, кл. G06F 12/14, 12.05.2006 г., опубл. 27.03.2008 г.

6. Патент RU №2538329, кл. G 06F 21/57, 11.07.2013 г., опубл. 10.01.2015 г.

7. Патент RU №2569577, МПК G06F 21/30, подан 06.08.2014 г., опубл. 06.08.2015 г. - прототип устройства.

1. Компьютерная система с удаленным управлением сервером, включающая сервер с интеллектуальным интерфейсом управления платформой на базе автономного микроконтроллера и автоматизированное рабочее место администратора, связанные защищенным каналом передачи данных, отличающаяся тем, что на сервер установлены устройство создания доверенной среды с модулем удаленного управления и модулем удаленной многофакторной взаимной аутентификации, а на рабочее место администратора - устройство создания доверенной среды с модулем удаленной многофакторной взаимной аутентификации и модулем удаленного администрирования, причем сервер и рабочее место администратора снабжены модулями доверенного соединения, формирующими между компьютером и сервером канал связи с прозрачным шифрованием сетевого трафика и включающими VPN-сервер и VPN-клиент соответственно.

2. Устройство создания доверенной среды для сервера с интеллектуальным интерфейсом управления платформой, содержащее управляющий микроконтроллер, работающий независимо от центрального процессора компьютера и включающий в свой состав программные функциональные модули, обеспечивающие идентификацию и аутентификацию пользователей, реализацию защитных функций устройства, управление питанием компьютера и взаимодействие с внешними средствами защиты; энергонезависимую память большой емкости с блоками хранения ПО доверенной среды, учетными данными пользователей, электронным журналом и блоком настроек; блок защиты BIOS с интерфейсом SPI, а также интерфейсы для связи управляющего контроллера с компьютером, блоком питания, внешними носителями и средствами защиты, отличающееся тем, что в состав устройства введены модуль удаленной многофакторной взаимной аутентификации и модуль удаленного управления, осуществляющий аппаратную виртуализацию и включающий блок фильтрации сетевого трафика, блок передачи видеоизображений, блок эмуляции USB-устройств и блок передачи показаний датчиков состояния сервера.

3. Способ удаленного управления сервером с помощью устройства создания доверенной среды и защиты информации от несанкционированного доступа, включающий регистрацию пользователя на управляемом сервере с помощью носителя аутентифицирующей информации, формирование ключей аутентификации, проведение удаленной аутентификации пользователя на сервере по локальной компьютерной сети с помощью аутентифицирующего носителя и передачу команд управления на сервер по защищенному каналу, отличающийся тем, что регистрация пользователя осуществляется с помощью криптографических функций аутентифицирующего носителя пользователя с формированием разделяемого секрета, размещаемого в базе учетных данных пользователей устройства создания доверенной среды сервера и на аутентифицирующем носителе, формирование защищенного канала, прозрачно шифрующего сетевой трафик, осуществляется с помощью VPN-технологии, а передача информации для управления сервером реализуется путем виртуализации системных ресурсов, отображения всего адресного пространства в виртуальную машину, при этом проводится эмуляция применяемых физических устройств.