Результат интеллектуальной деятельности: СПОСОБ ЗАГРУЗКИ КОМПЬЮТЕРОМ ЗАЩИЩЕННОГО ХРАНИЛИЩА ДАННЫХ

Изобретение относится к способу защиты хранилища данных компьютера, а именно предлагается разрешить осуществлять доступ к хранилищу данных только на определенных компьютерах.

В настоящее время для современных материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера, и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.

Наиболее близким техническим решением является способ защищенной загрузки операционной системы компьютера, раскрытый в заявке на изобретение РФ №2008132185 от 20.02.2010. Данный способ содержит этапы запуска загрузчика операционной системы, считывания ключа шифрования, проверки целостности операционной системы и загрузки операционной системы. При этом загрузчик предварительно записывают на внешнем носителе, на начальном этапе загрузки зашифровывают все сектора жесткого диска компьютера, перед проверкой целостности операционной системы осуществляют считывание необходимого для этой проверки и последующей загрузки ключа шифрования, который предварительно сохраняют в защищенной памяти внешнего устройства, для доступа к которой требуют аутентификацию пользователя, и таким образом обеспечивают защиту от несанкционированного доступа к данным, размещенным на жестком диске. Недостатком такого технического решения является недостаточная защищенность данных, ограниченная методом шифрования жесткого диска, а также сложность.

Предлагаемое техническое решение направлено на создание способа загрузки компьютером защищенного хранилища данных, при котором данные с хранилища данных будут недоступны без компьютера предварительно инициализированным данным хранилищем.

Технический результат предлагаемого технического решения - повышение защиты данных защищенного хранилища данных.

Технический результат достигается тем, что способ загрузки компьютером защищенного хранилища данных, содержит этапы:

- включения компьютера,

- загрузки компьютером Unified Extensible Firmware (UEFI), из своего модуля памяти материнской платы (микросхема FLASH),

- на этапе UEFI-выполнения перехода в окружение исполнения драйверов (DXE) осуществления подачи питания на защищенное хранилище данных и инициализации контроллера доступа данного хранилища данных,

- передачи UEFI пароля контроллеру доступа данного хранилища данных,

- передачи UEFI удостоверяющего сертификата контроллеру доступа данного хранилища данных и проверку корректности ответа,

- при положительном выполнении всех условий открытия доступа контроллером доступа данного хранилища к своим данным,

- при завершении работы компьютера закрытия доступа к хранилищу данных до следующей инициализации контроллера доступа данного хранилища данных.

При этом предпочтительно выполнять защищенное хранилище данных в виде Flash-памяти, выбранной одного из следующих форматов Compact Flash, Multi Media Card, Secure Digital, mini SD, Memory Stick, Memory Stick Duo Pro. Либо использовать иную известную Flash-память.

На фиг.1 показана схема способа загрузки компьютером защищенного хранилища данных.

Рассмотрим более конкретную реализацию предлагаемого способа загрузки компьютером защищенного хранилища данных. Для реализации способа используется материнская плата компьютера, у которой в микросхеме FLASH вместо БИОС (BIOS) записана UEFI. При этом в UEFI сохранена информация пароля и/или сертификата, который передается контроллеру подключаемого защищенного хранилища данных. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь. Кроме того, в материнской плате компьютера должны быть предусмотрены интерфейсы (разъемы) для подключения к ее системной шине по меньшей мере одного внешнего защищенного хранилища данных.

Способ загрузки компьютером защищенного хранилища данных осуществляется следующим образом:

пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI,

после выполнение UEFI перехода в окружение исполнения драйверов - DXE подается питание на предварительно подключенное защищенное хранилище данных и происходит, соответственно, инициализация UEFI данного защищенного хранилища данных,

после чего UEFI передает пароль контроллеру защищенного хранилища данных,

затем UEFI передает удостоверяющий сертификат контроллеру защищенного хранилища данных и проверяет корректность ответа,

при положительном результате сравнения контроллером переданных ему пароля и сертификата со своим паролем и сертификатом он открывает доступ к своей внутренней памяти хранилища данных,

при несовпадении результата сравнения пароля или сертификата, контроллер осуществляет блокировку внутренней памяти хранилища данных,

при выключении работы компьютера контроллер защищенного хранилища данных также осуществляет блокировку внутренней памяти хранилища данных.

Таким образом, контроллер защищенного хранилища данных «привязан» к материнской плате таким образом, что возможна только их совместная работа. При попытке подключения другой аналогичной материнской платы к хранилищу или другого хранилища к материнской плате устройства не функционируют. Контроллер предоставляет доступ к FLASH памяти хранилища, только в процессе осуществления заранее прописанной процедуры обработки данных (в частности, при проверке пароля и сертификата, удостоверяющего материнскую плату), в иное время питание на FLASH память хранилища не подается.

Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники очевидно, что на основе раскрытых данных можно создать вариации способов загрузки компьютером защищенного хранилища данных, например, применяя отличные процедуры проверки подлинности контроллера хранилища данных и материнской платы компьютера. Таким образом, объем изобретения не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле изобретения.