Устройство мониторинга и контроля обращений к bios со стороны цп

Авторы патента:

G06F21/57 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)

Владельцы патента RU 2762519:

АКЦИОНЕРНОЕ ОБЩЕСТВО "КРАФТВЭЙ КОРПОРЭЙШН ПЛС" (RU)

Изобретение относится к области вычислительной техники. Техническим результатом является повышение безопасности системы, мониторинг и контроль модификации BIOS. Устройство мониторинга и контроля обращений к BIOS со стороны центрального процессора (ЦП) включает независимый модуль контроля обращений, независимый модуль хранилища загрузочного BIOS, микропроцессор безопасности, энергонезависимую флэш-память, устройство контроля питания устройства, источник питания устройства, модуль оповещения. При этом устройство устанавливается посредством интерфейса SPI между центральным процессором и хранилищем BIOS контролируемого устройства. Управление работой независимого модуля контроля обращений выполняет микропроцессор безопасности, который задаёт параметры работы независимого модуля контроля обращений. Устройство сохраняет информацию о каждом обращении ЦП к BIOS в журнале в энергонезависимой флэш-памяти независимого модуля контроля обращений. Микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо. 1 ил.

ОБЛАСТЬ ТЕХНИКИ

Изобретение относится к области вычислительной техники и предназначено для мониторинга загрузки и контроля модификации BIOS, защищаемого от несанкционированных изменений в результате неправомерных действий пользователя, работы вредоносного ПО на уровне операционной системы (ОС), либо недекларированными возможностями центрального процессора (ЦП) материнской платы (системы) или внутренним микрокодом ЦП.

УРОВЕНЬ ТЕХНИКИ

Из уровня техники (CN 106776399 А 31.05.2017) известна система чтения и записи данных флэш-памяти BIOS и способ, основанный на контроллере управления основной платой. Система содержит процессор ARM, устройство управления BIOS, процессор ARM соединен с модулем первого и первого стека, а модуль первого и первого стека подключен к устройству управления BIOS, а устройство управления BIOS подключено к флэш-памяти BIOS. В соответствии с технической схемой выполняется работа флэш-памяти BIOS (BIOS Flash), схема основана на чтении и записи данных устройства управления BIOS интерфейса ВМС SPI, устройства управления интерфейсом SPI используется в ВМС для взаимодействия с BIOS, и полная проверка далее проводится через ВМС, считывая BIOS, гарантируется полнота BIOS, а вредоносные, конечно же, не установлены, а надежность среды выполнения системной платформы таким образом гарантируется.

Из уровня техники (US 8661237 В 25.02.2014) также известна компьютерная система и способ ее загрузки операционной системы. Компьютерная система включает в себя универсальное запоминающее устройство с последовательной шиной (USB), в котором хранятся загрузочный образ, серверы и разделитель изображений для загрузки, содержащий порты USB, память, первый USB-хост-контроллер и микропроцессор. Микропроцессор управляет первым USB-хост-контроллером для эмуляции каждого USB-порта на USB-накопителе и сохраняет загрузочный образ в память, так что загрузочный образ разделяется на порты USB. Серверы соответственно соединены с USB-портами, причем каждый сервер содержит второй контроллер хоста USB и базовую систему ввода-вывода (BIOS). Второй USB-хост-контроллер подключен к одному из USB-портов. BIOS считывает загрузочный образ с эмулируемого устройства хранения USB и загружает операционную систему в соответствии с загрузочным изображением.

Наиболее близким аналогом заявленного изобретения является устройство создания доверенной среды и защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем (RU 2538329 С1 10.01.2015), в состав которого введены накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, который подключается к шине SPI чипсета материнской платы компьютера и содержит в своей защищенной от записи области BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с управляющим микроконтроллером и проверку целостности загружаемого программного обеспечения, и управляемый быстродействующий электронный ключ, установленный на шину SPI материнской платы между чипсетом компьютера и накопителем, при этом микроконтроллер снабжен каналом управления электронным ключом, соединяющим управляющий выход порта ввода-вывода микроконтроллера с управляющим входом электронного ключа, а также контроллером интерфейса SPI, обеспечивающим подключение микроконтроллера к шине SPI и работу его в режиме прямого доступа к памяти накопителя и в режиме контроля команд от чипсета к накопителю по шине SPI.

Недостатком известных устройств является недостаточная безопасность, а также недостаточный контроль доступа к системе.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Технической задачей заявленного изобретения является мониторинг загрузки и контроля модификации BIOS, защищаемого от несанкционированных изменений в результате неправомерных действий пользователя, работы вредоносного ПО на уровне операционной системы (ОС), либо недекларированными возможностями центрального процессора (ЦП) материнской платы (системы) или внутренним микрокодом ЦП.

Технический результат заключается в повышении безопасности системы, мониторинг и контроль модификации BIOS.

Результат достигается использованием промежуточного независимого модуля контроля обращений к хранилищу BIOS, который встраивается в линию загрузки (интерфейс SPI) между центральным процессором и хранилищем. Независимый модуль контроля обращений реализуется с помощью программируемой логической интегральной схемы (ПЛИС), к которой подключается микросхема памяти для хранения загрузочного BIOS. Управлением работой контроллера выполняет микропроцессор (микропроцессор безопасности), обеспечивающий безопасность работы системы. Микропроцессор безопасности с помощью управляющих регистров в ПЛИС задает параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП.

Информация о каждом обращении ЦП к BIOS сохраняется в виде записи в журнале в оперативной памяти независимого модуляконтроля обращений на ПЛИС. Каждая запись содержит свой порядковый номер, адрес данных в памяти хранения BIOS, количество данных в байтах и код операции, выполняемой с данными. По заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор забирает информацию из журнала контроллера и анализирует ее.

Также микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определенным адресам, заданным в управляющих регистрах.

Загрузка эталонной копии BIOS в хранилище и заполнение управляющих регистров (параметров работы независимого модуля контроля обращений) осуществляется микропроцессором безопасности перед стартом ЦП по выделенному интерфейсу.

Технический результат также достигается благодаря тому, что предложено 1. устройство мониторинга и контроля обращений к BIOS со стороны центрального процессора (ЦП), включающее:

независимый модуль контроля обращений,

независимый модуль хранилища загрузочного BIOS,

микропроцессор безопасности,

энергонезависимую флэш-память,

устройство контроля питания устройства,

источник питания устройства,

модуль оповещения,

при этом устройство выполнено с возможностью установки посредством интерфейса SPI между центральным процессором и хранилищем BIOS контролируемого устройства,

при этом устройство выполнено с возможностью контролировать питание контролируемого устройства на основании ответа от независимого модуля контроля обращений,

при этом устройство выполнено с возможностью, в случае отсутствия подключения интерфейса SPI, выдачи оповещения посредством модуля оповещения,

при этом устройство контроля питания устройства выполнено с возможностью контролировать питание устройства независимо от наличия питания контролируемого устройства,

при этом независимый модуль контроля обращений реализуется с помощью логической интегральной схемы, первый выход которой соединен с первым входом независимого модуля хранилища загрузочного BIOS, а второй выход независимого модуля контроля обращений соединен с первым входом микропроцессора безопасности,

при этом управлением работой независимого модуля контроля обращений выполняет микропроцессор безопасности, обеспечивающий безопасность работы системы,

при этом микропроцессор безопасности с помощью управляющих регистров в независимом модуле контроля обращений задает параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП контролируемого устройства,

при этом устройство выполнено с возможностью сохранения информации о каждом обращении ЦП к BIOS, хранящегося в независимом модуле хранилища загрузочного BIOS, которое сохраняется в виде записи в журнале в энергонезависимой флэш-памяти независимого модуля контроля обращений, при этом каждая запись содержит свой порядковый номер, адрес данных, количество данных в байтах и код операции, выполняемой с данными, при этом по заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор анализирует журнал, при этом микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определенным адресам, заданным в управляющих регистрах,

при этом загрузка эталонной копии BIOS в независимом модуле хранилища загрузочного BIOS и заполнение управляющих регистров осуществляется микропроцессором безопасности по выделенному интерфейсу перед стартом ЦП контролируемого устройства,

при этом устройство выполнено с возможностью, в случае обнаружения нарушения безопасности системы, выдачи оповещения посредством модуля оповещения. В частных случаях реализации изобретения устройство оповещения содержит одно или более из:

звукового оповещения,

светового оповещения,

вибрационного оповещения.

В частных случаях реализации изобретения устройство контроля питания устройства реализовано в виде механического переключателя включения или отключения питания устройства.

В частных случаях реализации изобретения устройство контроля питания представляет собой аккумулятор.

ОПИСАНИЕ ЧЕРТЕЖЕЙ

Реализация изобретения будет описана в дальнейшем в соответствии с прилагаемыми чертежами, которые представлены для пояснения сути изобретения и никоим образом не ограничивают область изобретения. К заявке прилагаются следующие чертежи:

Рис. 1 схематическое представление заявленного устройства.

ДЕТАЛЬНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, будет очевидно каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не были описаны подробно, чтобы не затруднять излишне понимание особенностей настоящего изобретения.

Кроме того, из приведенного изложения будет ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, будут очевидными для квалифицированных в предметной области специалистов.

На рис. 1 представлено схематическое представление заявленного устройства, согласно которому устройство содержит независимый модуль контроля обращений, независимый модуль хранилища загрузочного BIOS (хранилище BIOS), микропроцессор безопасности, представляющие собой отдельные, независимые друг от друга логические интегральные схемы и/или микроконтроллеры. При этом первый выход независимого модуля контроля обращений соединен с первым входом независимого модуля хранилища загрузочного BIOS, а второй выход независимого модуля контроля обращений соединен с первым входом микропроцессора безопасности.

При этом устройство также реализовано таким образом, что включает в себя:

- энергонезависимую флэш-память, предназначенную для хранения информации о каждом обращении центральным процессором контролируемого устройства (ЦП) к BIOS. Информация сохраняется в виде записи в электронном журнале в энергонезависимой флэш-памяти независимого модуля контроля обращений таким образом, что каждая запись содержит свой порядковый номер, адрес данных, количество данных в байтах и код операции, выполняемой с данными.

- устройство контроля питания устройства, предназначенное для обеспечения безопасности устройства в случае атаки на контролируемое устройство посредством сбоя питания контролируемого устройства, т.е. устройство контроля питания обеспечивает контроль питания контролируемого устройства в ответ на независимый модуль контроля обращений и/или пользовательский ввод. Устройство контроля питания устройства служит также для обеспечения безопасности, например, посредством одного из вариантов устройства, в котором реализован механический переключатель, например кнопки или реле, который позволяет выключить устройство и/или питание контролируемой системы вручную в случае обнаружения подозрения на не санкционированный доступ.

- источник питания устройства, предназначенный для независимого питания устройства. Источник питания устройства служит для обеспечения питания устройства даже в случае, если произведена атака контролируемого устройства посредством перебоя питания контролируемого устройства. Источник питания устройства может быть реализован в виде аккумулятора, батареи или иного элемента сохранения энергии. Таким образом также повышается безопасность работы устройства, а также повышается безопасность системы, улучшается защита от не санкционированного доступа к системе контролируемого устройства.

- модуль оповещения, предназначен для оповещения пользователя или доверенного лица об отсутствии подключения по каналу SPI. Модуль оповещения может быть реализован в виде визуальных сигналов, например, светодиодов, или с помощью звуковых сигналов, например, с помощью динамика. Дополнительно модуль оповещения может быть реализован в виде вибрационного устройства. Таким образом также повышается безопасность работы устройства, а также повышается безопасность системы, улучшается защита от не санкционированного доступа к системе контролируемого устройства.

Принцип работы заявленного устройства заключается в следующем.

Устройство встраивается в линию загрузки (интерфейс SPI) между центральным процессором контролируемого устройства и хранилищем BIOS контролируемого устройства. При этом устройство реализовано таким образом, что бы контролировать питание контролируемого устройства, т.е. устройство встраивается таким образом, что бы, при включении контролируемого устройства, заявленное устройство загружалось первым и осуществляло контроль. Таким образом заявляемое устройство будет осуществлять контроль целостности BIOS перед запуском ПК и, в случае нарушения целостности BIOS, производить ее восстановление из резервной копии. В процессе работы устройство контролирует обращения к BIOS и при прохождении некорректного или недопустимого обращения блокирует его поступление в SPI-Flash путем блокирования шины SPI.

Далее следует отметить, что независимый модуль контроля обращений реализуется с помощью логической интегральной схемы (ЛИС), к которой подключается микросхема памяти для хранения загрузочного BIOS. Таким образом, в случае обнаружения повреждения или в случае выхода из строя любой из микросхем возможна, например, модульная замена неисправной части, например, легкая и быстрая замена независимого модуля контроля обращений, модуля хранилища загрузочного BIOS и/или микропроцессора безопасности и/или других частей заявленного устройства. Таким образом повышается безопасность контролируемой системы.

Далее управлением работой контроллера выполняет микропроцессор безопасности, обеспечивающий безопасность работы системы. Микропроцессор безопасности с помощью управляющих регистров в ЛИС задает параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП.

Информация о каждом обращении ЦП к BIOS сохраняется в виде записи в журнале в оперативной памяти независимого модуля контроля обращений на ЛИС. Каждая запись содержит свой порядковый номер, адрес данных в памяти хранения BIOS, количество данных в байтах и код операции, выполняемой с данными. По заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор забирает информацию из журнала контроллера и анализирует ее.

Устройство мониторинга и контроля обращений к BIOS со стороны центрального процессора (ЦП), включающее:

независимый модуль контроля обращений,

независимый модуль хранилища загрузочного BIOS,

микропроцессор безопасности,

энергонезависимую флэш-память,

устройство контроля питания устройства,

источник питания устройства,

модуль оповещения,

при этом управление работой независимого модуля контроля обращений выполняет микропроцессор безопасности, обеспечивающий безопасность работы системы,

при этом микропроцессор безопасности с помощью управляющих регистров в независимом модуле контроля обращений задаёт параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП контролируемого устройства,

при этом устройство выполнено с возможностью сохранения информации о каждом обращении ЦП к BIOS, хранящемся в независимом модуле хранилища загрузочного BIOS, которое сохраняется в виде записи в журнале в энергонезависимой флэш-памяти независимого модуля контроля обращений, при этом каждая запись содержит свой порядковый номер, адрес данных, количество данных в байтах и код операции, выполняемой с данными, при этом по заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор анализирует журнал, при этом микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определённым адресам, заданным в управляющих регистрах,

при этом устройство выполнено с возможностью, в случае обнаружения нарушения безопасности системы, выдачи оповещения посредством модуля оповещения.

Изобретение относится к решениям для безопасного взаимодействия пользователя с удаленными сервисами. Технический результат заключается в обеспечении заявленного назначения.

Способ изоляции пакетов данных, передаваемых по сетям общего пользования в формате протоколов семейства tcp/ip, с помощью комбинации способов маскирования, шифрования и контроля получаемых данных // 2762157

Изобретение относится к области передачи цифровой информации. Технический результат - повышение безопасности обмена данными в сети передачи данных.

Абстрактная идентификация анклава // 2762141

Группа изобретений относится к защищенным вычислительным системам. Техническим результатом является повышение безопасности и конфиденциальности данных.

Способ обнаружения вредоносных программ и элементов // 2762079

Изобретение относится к области вычислительной техники для анализа злонамеренного программного обеспечения. Технический результат заключается в повышении вероятности обнаружения вредоносных программ и элементов без применения режима динамического детектирования при одновременном упрощении способа.

Способ активного противодействия несанкционированному доступу к информации абонента сотового телефона // 2761956

Изобретение относится к области защиты информации и, в частности, может быть использовано для предотвращения несанкционированного доступа к информации абонентов сотовых телефонов, поддерживающих стандарты GSM, DCS, UMTS, LTE. Техническим результатом изобретения является обеспечение гарантированного предотвращения несанкционированного доступа к информации абонента сотового телефона.

Мобильная система обслуживания оборудования, использующая разгрузку зашифрованного кода // 2761779

Настоящее техническое решение относится к области вычислительной техники. Технический результат заключается в сокращении аппаратного обеспечения для доступа к контроллерам лифтов при условии сохранения требований безопасности.

Способ диагностики психических процессов с использованием виртуальной реальности // 2761724

Изобретение относится к медицине, а именно к психиатрии и функциональной диагностике, и может быть использовано для диагностики нарушений психофизиологии, выявления степени риска формирования психических отклонений и отслеживания динамики изменений состояния человека. Предложен способ, включающий теппинг-тест и стресс-тестирование, реализуемые с использованием аппаратно-программного комплекса, включающего в себя программное обеспечение для запуска и проведения процедуры тестирования при помощи технологий виртуальной реальности, системы предъявления аудиальных и ольфакторных стимулов и системы автоматической обработки данных, причем теппинг-тест и стресс-тестирование реализуются с применением технологии виртуальной реальности, акустической системы с четырьмя динамиками, устанавливаемыми на расстоянии не менее 1 м от пациента под углами 45°, 135°, 225°, 315° относительно его головы, и устройства для подачи запахов, расположенного на расстоянии не менее 1 м от испытуемого, результаты диагностики формируются автоматически на основе алгоритмов обработки данных, заложенных в программной части, и включают в себя двухфакторный анализ, в котором линейно и поочередно сравниваются показатели испытуемого и результаты выполненных тестовых заданий, при этом оценка динамики изменений состояния человека осуществляется по критериям.

Система и способ формирования системы ресурсов-ловушек // 2761542

Настоящее техническое решение относится к области вычислительной техники. Технический результат заключается в решении задач формирования ловушек для вредоносных программ и прочих вредоносных объектов без значительных ограничений в работе вычислительных систем.

Способ стеганографирования цифрового изображения с помощью графической цифровой метки и способ дешифрования стеганографированного изображения // 2761417

Изобретение относится к способам и системам стеганографирования цифрового изображения с помощью графической цифровой метки и дешифрования стеганографированных цифровых изображений. Технический результат заключается в обеспечении защиты изображений за счет внедрения цифровых меток.

Защита сообщения, передаваемого между доменами базовой сети // 2760728

Изобретение относится к вычислительной технике. Технический результат заключается в обеспечении безопасности между доменами для сообщения, передаваемого между разными доменами базовой сети в системе беспроводной связи.

Система и способ контроля операций при взаимодействии пользователя с удаленными сервисами // 2762527

Изобретение относится к способу контроля операции при взаимодействии пользователя с удаленным сервером. Технический результат заключается в повышении надежности верификации пользователя. Способ содержит этапы, на которых: а) с помощью средства сбора выявляют по меньшей мере одно действие пользователя при взаимодействии пользователя с удаленным сервером, требующее контроля операции; б) с помощью средства формирования задач используют обученную модель, которая на основании данных о действии пользователя и об устройстве пользователя формирует вектор задач для выполнения, и передают сформированный вектор задач средству контроля операции; в) с помощью средства контроля операции вычисляют значение уровня информационной безопасности упомянутого действия пользователя, требующего контроля операции, формируют для упомянутого действия пользователя на основании упомянутого сформированного вектора задач список задач для выполнения в зависимости от вычисленного значения уровня информационной безопасности и предоставляют сформированный список задач для выполнения пользователю; г) с помощью удаленного сервера в случае успешного выполнения пользователем задач из сформированного списка выполняют упомянутое действие пользователя. 12 з.п. ф-лы, 5 ил.