Результат интеллектуальной деятельности: Устройство мониторинга и контроля обращений к BIOS со стороны ЦП

ОБЛАСТЬ ТЕХНИКИ

Изобретение относится к области вычислительной техники и предназначено для мониторинга загрузки и контроля модификации BIOS, защищаемого от несанкционированных изменений в результате неправомерных действий пользователя, работы вредоносного ПО на уровне операционной системы (ОС), либо недекларированными возможностями центрального процессора (ЦП) материнской платы (системы) или внутренним микрокодом ЦП.

УРОВЕНЬ ТЕХНИКИ

Из уровня техники (CN 106776399 А 31.05.2017) известна система чтения и записи данных флэш-памяти BIOS и способ, основанный на контроллере управления основной платой. Система содержит процессор ARM, устройство управления BIOS, процессор ARM соединен с модулем первого и первого стека, а модуль первого и первого стека подключен к устройству управления BIOS, а устройство управления BIOS подключено к флэш-памяти BIOS. В соответствии с технической схемой выполняется работа флэш-памяти BIOS (BIOS Flash), схема основана на чтении и записи данных устройства управления BIOS интерфейса ВМС SPI, устройства управления интерфейсом SPI используется в ВМС для взаимодействия с BIOS, и полная проверка далее проводится через ВМС, считывая BIOS, гарантируется полнота BIOS, а вредоносные, конечно же, не установлены, а надежность среды выполнения системной платформы таким образом гарантируется.

Из уровня техники (US 8661237 В 25.02.2014) также известна компьютерная система и способ ее загрузки операционной системы. Компьютерная система включает в себя универсальное запоминающее устройство с последовательной шиной (USB), в котором хранятся загрузочный образ, серверы и разделитель изображений для загрузки, содержащий порты USB, память, первый USB-хост-контроллер и микропроцессор. Микропроцессор управляет первым USB-хост-контроллером для эмуляции каждого USB-порта на USB-накопителе и сохраняет загрузочный образ в память, так что загрузочный образ разделяется на порты USB. Серверы соответственно соединены с USB-портами, причем каждый сервер содержит второй контроллер хоста USB и базовую систему ввода-вывода (BIOS). Второй USB-хост-контроллер подключен к одному из USB-портов. BIOS считывает загрузочный образ с эмулируемого устройства хранения USB и загружает операционную систему в соответствии с загрузочным изображением.

Наиболее близким аналогом заявленного изобретения является устройство создания доверенной среды и защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем (RU 2538329 С1 10.01.2015), в состав которого введены накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, который подключается к шине SPI чипсета материнской платы компьютера и содержит в своей защищенной от записи области BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с управляющим микроконтроллером и проверку целостности загружаемого программного обеспечения, и управляемый быстродействующий электронный ключ, установленный на шину SPI материнской платы между чипсетом компьютера и накопителем, при этом микроконтроллер снабжен каналом управления электронным ключом, соединяющим управляющий выход порта ввода-вывода микроконтроллера с управляющим входом электронного ключа, а также контроллером интерфейса SPI, обеспечивающим подключение микроконтроллера к шине SPI и работу его в режиме прямого доступа к памяти накопителя и в режиме контроля команд от чипсета к накопителю по шине SPI.

Недостатком известных устройств является недостаточная безопасность, а также недостаточный контроль доступа к системе.

СУЩНОСТЬ ИЗОБРЕТЕНИЯ

Технической задачей заявленного изобретения является мониторинг загрузки и контроля модификации BIOS, защищаемого от несанкционированных изменений в результате неправомерных действий пользователя, работы вредоносного ПО на уровне операционной системы (ОС), либо недекларированными возможностями центрального процессора (ЦП) материнской платы (системы) или внутренним микрокодом ЦП.

Технический результат заключается в повышении безопасности системы, мониторинг и контроль модификации BIOS.

Результат достигается использованием промежуточного независимого модуля контроля обращений к хранилищу BIOS, который встраивается в линию загрузки (интерфейс SPI) между центральным процессором и хранилищем. Независимый модуль контроля обращений реализуется с помощью программируемой логической интегральной схемы (ПЛИС), к которой подключается микросхема памяти для хранения загрузочного BIOS. Управлением работой контроллера выполняет микропроцессор (микропроцессор безопасности), обеспечивающий безопасность работы системы. Микропроцессор безопасности с помощью управляющих регистров в ПЛИС задает параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП.

Информация о каждом обращении ЦП к BIOS сохраняется в виде записи в журнале в оперативной памяти независимого модуляконтроля обращений на ПЛИС. Каждая запись содержит свой порядковый номер, адрес данных в памяти хранения BIOS, количество данных в байтах и код операции, выполняемой с данными. По заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор забирает информацию из журнала контроллера и анализирует ее.

Также микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определенным адресам, заданным в управляющих регистрах.

Загрузка эталонной копии BIOS в хранилище и заполнение управляющих регистров (параметров работы независимого модуля контроля обращений) осуществляется микропроцессором безопасности перед стартом ЦП по выделенному интерфейсу.

Технический результат также достигается благодаря тому, что предложено 1. устройство мониторинга и контроля обращений к BIOS со стороны центрального процессора (ЦП), включающее:

независимый модуль контроля обращений,

независимый модуль хранилища загрузочного BIOS,

микропроцессор безопасности,

энергонезависимую флэш-память,

устройство контроля питания устройства,

источник питания устройства,

модуль оповещения,

при этом устройство выполнено с возможностью установки посредством интерфейса SPI между центральным процессором и хранилищем BIOS контролируемого устройства,

при этом устройство выполнено с возможностью контролировать питание контролируемого устройства на основании ответа от независимого модуля контроля обращений,

при этом устройство выполнено с возможностью, в случае отсутствия подключения интерфейса SPI, выдачи оповещения посредством модуля оповещения,

при этом устройство контроля питания устройства выполнено с возможностью контролировать питание устройства независимо от наличия питания контролируемого устройства,

при этом независимый модуль контроля обращений реализуется с помощью логической интегральной схемы, первый выход которой соединен с первым входом независимого модуля хранилища загрузочного BIOS, а второй выход независимого модуля контроля обращений соединен с первым входом микропроцессора безопасности,

при этом управлением работой независимого модуля контроля обращений выполняет микропроцессор безопасности, обеспечивающий безопасность работы системы,

при этом микропроцессор безопасности с помощью управляющих регистров в независимом модуле контроля обращений задает параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП контролируемого устройства,

при этом устройство выполнено с возможностью сохранения информации о каждом обращении ЦП к BIOS, хранящегося в независимом модуле хранилища загрузочного BIOS, которое сохраняется в виде записи в журнале в энергонезависимой флэш-памяти независимого модуля контроля обращений, при этом каждая запись содержит свой порядковый номер, адрес данных, количество данных в байтах и код операции, выполняемой с данными, при этом по заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор анализирует журнал, при этом микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определенным адресам, заданным в управляющих регистрах,

при этом загрузка эталонной копии BIOS в независимом модуле хранилища загрузочного BIOS и заполнение управляющих регистров осуществляется микропроцессором безопасности по выделенному интерфейсу перед стартом ЦП контролируемого устройства,

при этом устройство выполнено с возможностью, в случае обнаружения нарушения безопасности системы, выдачи оповещения посредством модуля оповещения. В частных случаях реализации изобретения устройство оповещения содержит одно или более из:

звукового оповещения,

светового оповещения,

вибрационного оповещения.

В частных случаях реализации изобретения устройство контроля питания устройства реализовано в виде механического переключателя включения или отключения питания устройства.

В частных случаях реализации изобретения устройство контроля питания представляет собой аккумулятор.

ОПИСАНИЕ ЧЕРТЕЖЕЙ

Реализация изобретения будет описана в дальнейшем в соответствии с прилагаемыми чертежами, которые представлены для пояснения сути изобретения и никоим образом не ограничивают область изобретения. К заявке прилагаются следующие чертежи:

Рис. 1 схематическое представление заявленного устройства.

ДЕТАЛЬНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯ

В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, будет очевидно каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не были описаны подробно, чтобы не затруднять излишне понимание особенностей настоящего изобретения.

Кроме того, из приведенного изложения будет ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, будут очевидными для квалифицированных в предметной области специалистов.

На рис. 1 представлено схематическое представление заявленного устройства, согласно которому устройство содержит независимый модуль контроля обращений, независимый модуль хранилища загрузочного BIOS (хранилище BIOS), микропроцессор безопасности, представляющие собой отдельные, независимые друг от друга логические интегральные схемы и/или микроконтроллеры. При этом первый выход независимого модуля контроля обращений соединен с первым входом независимого модуля хранилища загрузочного BIOS, а второй выход независимого модуля контроля обращений соединен с первым входом микропроцессора безопасности.

При этом устройство также реализовано таким образом, что включает в себя:

- энергонезависимую флэш-память, предназначенную для хранения информации о каждом обращении центральным процессором контролируемого устройства (ЦП) к BIOS. Информация сохраняется в виде записи в электронном журнале в энергонезависимой флэш-памяти независимого модуля контроля обращений таким образом, что каждая запись содержит свой порядковый номер, адрес данных, количество данных в байтах и код операции, выполняемой с данными.

- устройство контроля питания устройства, предназначенное для обеспечения безопасности устройства в случае атаки на контролируемое устройство посредством сбоя питания контролируемого устройства, т.е. устройство контроля питания обеспечивает контроль питания контролируемого устройства в ответ на независимый модуль контроля обращений и/или пользовательский ввод. Устройство контроля питания устройства служит также для обеспечения безопасности, например, посредством одного из вариантов устройства, в котором реализован механический переключатель, например кнопки или реле, который позволяет выключить устройство и/или питание контролируемой системы вручную в случае обнаружения подозрения на не санкционированный доступ.

- источник питания устройства, предназначенный для независимого питания устройства. Источник питания устройства служит для обеспечения питания устройства даже в случае, если произведена атака контролируемого устройства посредством перебоя питания контролируемого устройства. Источник питания устройства может быть реализован в виде аккумулятора, батареи или иного элемента сохранения энергии. Таким образом также повышается безопасность работы устройства, а также повышается безопасность системы, улучшается защита от не санкционированного доступа к системе контролируемого устройства.

- модуль оповещения, предназначен для оповещения пользователя или доверенного лица об отсутствии подключения по каналу SPI. Модуль оповещения может быть реализован в виде визуальных сигналов, например, светодиодов, или с помощью звуковых сигналов, например, с помощью динамика. Дополнительно модуль оповещения может быть реализован в виде вибрационного устройства. Таким образом также повышается безопасность работы устройства, а также повышается безопасность системы, улучшается защита от не санкционированного доступа к системе контролируемого устройства.

Принцип работы заявленного устройства заключается в следующем.

Устройство встраивается в линию загрузки (интерфейс SPI) между центральным процессором контролируемого устройства и хранилищем BIOS контролируемого устройства. При этом устройство реализовано таким образом, что бы контролировать питание контролируемого устройства, т.е. устройство встраивается таким образом, что бы, при включении контролируемого устройства, заявленное устройство загружалось первым и осуществляло контроль. Таким образом заявляемое устройство будет осуществлять контроль целостности BIOS перед запуском ПК и, в случае нарушения целостности BIOS, производить ее восстановление из резервной копии. В процессе работы устройство контролирует обращения к BIOS и при прохождении некорректного или недопустимого обращения блокирует его поступление в SPI-Flash путем блокирования шины SPI.

Далее следует отметить, что независимый модуль контроля обращений реализуется с помощью логической интегральной схемы (ЛИС), к которой подключается микросхема памяти для хранения загрузочного BIOS. Таким образом, в случае обнаружения повреждения или в случае выхода из строя любой из микросхем возможна, например, модульная замена неисправной части, например, легкая и быстрая замена независимого модуля контроля обращений, модуля хранилища загрузочного BIOS и/или микропроцессора безопасности и/или других частей заявленного устройства. Таким образом повышается безопасность контролируемой системы.

Далее управлением работой контроллера выполняет микропроцессор безопасности, обеспечивающий безопасность работы системы. Микропроцессор безопасности с помощью управляющих регистров в ЛИС задает параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП.

Информация о каждом обращении ЦП к BIOS сохраняется в виде записи в журнале в оперативной памяти независимого модуля контроля обращений на ЛИС. Каждая запись содержит свой порядковый номер, адрес данных в памяти хранения BIOS, количество данных в байтах и код операции, выполняемой с данными. По заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор забирает информацию из журнала контроллера и анализирует ее.

Также микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определенным адресам, заданным в управляющих регистрах.

Загрузка эталонной копии BIOS в хранилище и заполнение управляющих регистров (параметров работы независимого модуля контроля обращений) осуществляется микропроцессором безопасности перед стартом ЦП по выделенному интерфейсу.