Изобретение относится к способу защиты хранилища данных компьютера, а именно предлагается разрешить осуществлять доступ к хранилищу данных только на определенных компьютерах.
В настоящее время для современных материнских плат разрабатывается интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу, на которой происходит инициализация элементов компьютера, и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера.
Наиболее близким техническим решением является способ защищенной загрузки операционной системы компьютера, раскрытый в заявке на изобретение РФ №2008132185 от 20.02.2010. Данный способ содержит этапы запуска загрузчика операционной системы, считывания ключа шифрования, проверки целостности операционной системы и загрузки операционной системы. При этом загрузчик предварительно записывают на внешнем носителе, на начальном этапе загрузки зашифровывают все сектора жесткого диска компьютера, перед проверкой целостности операционной системы осуществляют считывание необходимого для этой проверки и последующей загрузки ключа шифрования, который предварительно сохраняют в защищенной памяти внешнего устройства, для доступа к которой требуют аутентификацию пользователя, и таким образом обеспечивают защиту от несанкционированного доступа к данным, размещенным на жестком диске. Недостатком такого технического решения является недостаточная защищенность данных, ограниченная методом шифрования жесткого диска, а также сложность.
Предлагаемое техническое решение направлено на создание способа загрузки компьютером защищенного хранилища данных, при котором данные с хранилища данных будут недоступны без компьютера предварительно инициализированным данным хранилищем.
Технический результат предлагаемого технического решения - повышение защиты данных защищенного хранилища данных.
Технический результат достигается тем, что способ загрузки компьютером защищенного хранилища данных, содержит этапы:
- включения компьютера,
- загрузки компьютером Unified Extensible Firmware (UEFI), из своего модуля памяти материнской платы (микросхема FLASH),
- на этапе UEFI-выполнения перехода в окружение исполнения драйверов (DXE) осуществления подачи питания на защищенное хранилище данных и инициализации контроллера доступа данного хранилища данных,
- передачи UEFI пароля контроллеру доступа данного хранилища данных,
- передачи UEFI удостоверяющего сертификата контроллеру доступа данного хранилища данных и проверку корректности ответа,
- при положительном выполнении всех условий открытия доступа контроллером доступа данного хранилища к своим данным,
- при завершении работы компьютера закрытия доступа к хранилищу данных до следующей инициализации контроллера доступа данного хранилища данных.
При этом предпочтительно выполнять защищенное хранилище данных в виде Flash-памяти, выбранной одного из следующих форматов Compact Flash, Multi Media Card, Secure Digital, mini SD, Memory Stick, Memory Stick Duo Pro. Либо использовать иную известную Flash-память.
На фиг.1 показана схема способа загрузки компьютером защищенного хранилища данных.
Рассмотрим более конкретную реализацию предлагаемого способа загрузки компьютером защищенного хранилища данных. Для реализации способа используется материнская плата компьютера, у которой в микросхеме FLASH вместо БИОС (BIOS) записана UEFI. При этом в UEFI сохранена информация пароля и/или сертификата, который передается контроллеру подключаемого защищенного хранилища данных. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь. Кроме того, в материнской плате компьютера должны быть предусмотрены интерфейсы (разъемы) для подключения к ее системной шине по меньшей мере одного внешнего защищенного хранилища данных.
Способ загрузки компьютером защищенного хранилища данных осуществляется следующим образом:
пользователь включает компьютер, после чего начинается загрузка UEFI, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки UEFI,
после выполнение UEFI перехода в окружение исполнения драйверов - DXE подается питание на предварительно подключенное защищенное хранилище данных и происходит, соответственно, инициализация UEFI данного защищенного хранилища данных,
после чего UEFI передает пароль контроллеру защищенного хранилища данных,
затем UEFI передает удостоверяющий сертификат контроллеру защищенного хранилища данных и проверяет корректность ответа,
при положительном результате сравнения контроллером переданных ему пароля и сертификата со своим паролем и сертификатом он открывает доступ к своей внутренней памяти хранилища данных,
при несовпадении результата сравнения пароля или сертификата, контроллер осуществляет блокировку внутренней памяти хранилища данных,
при выключении работы компьютера контроллер защищенного хранилища данных также осуществляет блокировку внутренней памяти хранилища данных.
Таким образом, контроллер защищенного хранилища данных «привязан» к материнской плате таким образом, что возможна только их совместная работа. При попытке подключения другой аналогичной материнской платы к хранилищу или другого хранилища к материнской плате устройства не функционируют. Контроллер предоставляет доступ к FLASH памяти хранилища, только в процессе осуществления заранее прописанной процедуры обработки данных (в частности, при проверке пароля и сертификата, удостоверяющего материнскую плату), в иное время питание на FLASH память хранилища не подается.
Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но любому специалисту в данной области техники очевидно, что на основе раскрытых данных можно создать вариации способов загрузки компьютером защищенного хранилища данных, например, применяя отличные процедуры проверки подлинности контроллера хранилища данных и материнской платы компьютера. Таким образом, объем изобретения не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле изобретения.
| название | год | авторы | номер документа |
|---|---|---|---|
| СПОСОБ ПРОВЕРКИ АНТИВИРУСОМ КОМПЬЮТЕРА В UEFI НА РАННЕЙ СТАДИИ ЗАГРУЗКИ КОМПЬЮТЕРА | 2013 |
|
RU2538287C2 |
| Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера | 2013 |
|
RU2538286C9 |
| Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера | 2013 |
|
RU2537814C9 |
| Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства | 2020 |
|
RU2755771C1 |
| Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды и способ реализации удаленного управления | 2016 |
|
RU2633098C1 |
| Способ и устройство доверенной загрузки компьютера с контролем периферийных интерфейсов | 2020 |
|
RU2748575C1 |
| АГЕНТ БЕЗОПАСНОСТИ, ФУНКЦИОНИРУЮЩИЙ НА УРОВНЕ ВСТРОЕННОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, С ПОДДЕРЖКОЙ БЕЗОПАСНОСТИ УРОВНЯ ОПЕРАЦИОННОЙ СИСТЕМЫ | 2013 |
|
RU2583714C2 |
| ЗАЩИЩЕННЫЙ КОМПЬЮТЕР, СОХРАНЯЮЩИЙ РАБОТОСПОСОБНОСТЬ ПРИ ПОВРЕЖДЕНИИ | 2015 |
|
RU2591180C1 |
| Компьютерная система с удаленным управлением сервером и устройством создания доверенной среды | 2017 |
|
RU2690782C2 |
| УСТРОЙСТВО СОЗДАНИЯ ДОВЕРЕННОЙ СРЕДЫ ДЛЯ КОМПЬЮТЕРОВ ИНФОРМАЦИОННО-ВЫЧИСЛИТЕЛЬНЫХ СИСТЕМ | 2013 |
|
RU2538329C1 |
Изобретение относится к области защиты хранилища данных компьютера. Техническим результатом является повышение эффективности защиты хранилища данных. Способ загрузки компьютером защищенного хранилища данных содержит этапы включения компьютера, загрузки компьютером Unified Extensible Firmware (UEFI) из модуля памяти материнской платы компьютера, на этапе UEFI-выполнения перехода в окружение исполнения драйверов осуществления подачи питания на защищенное хранилище данных и инициализации контроллера доступа данного хранилища данных, передачи UEFI пароля контроллеру доступа данного хранилища данных, передачи UEFI удостоверяющего сертификата контроллеру доступа данного хранилища данных и проверки корректности ответа, при положительном выполнении всех условий открытия доступа контроллером доступа данного хранилища к своим данным, при завершении работы компьютера закрытия доступа к хранилищу данных до следующей инициализации контроллера доступа данного хранилища данных. 3 з.п. ф-лы, 1 ил.
1. Способ загрузки компьютером защищенного хранилища данных, содержащий этапы:
- включения компьютера,
- загрузки компьютером Unified Extensible Firmware (UEFI) из модуля памяти материнской платы компьютера,
- на этапе UEFI-выполнения перехода в окружение исполнения драйверов осуществления подачи питания на защищенное хранилище данных и инициализации контроллера доступа данного хранилища данных,
- передачи UEFI пароля контроллеру доступа данного хранилища данных,
- передачи UEFI удостоверяющего сертификата контроллеру доступа данного хранилища данных и проверки корректности ответа,
- при положительном выполнении всех условий открытия доступа контроллером доступа данного хранилища к своим данным,
- при завершении работы компьютера закрытия доступа к хранилищу данных до следующей инициализации контроллера доступа данного хранилища данных.
2. Способ загрузки компьютером защищенного хранилища данных по п.1, отличающийся тем, что защищенное хранилище данных выполнено в виде Flash-памяти.
3. Способ загрузки компьютером защищенного хранилища данных по п.2, отличающийся тем, что Flash-память выбирают из одного из следующих форматов Compact Flash, Multi Media Card, Secure Digital, mini SD, Memory Stick, Memory Stick Duo Pro.
4. Способ загрузки компьютером защищенного хранилища данных по п.1, отличающийся тем, что модуль памяти материнской платы компьютера, где сохранена UEFI, представляет собой микросхему FLASH.
| RU 2008132185 A, 20.02.2010 | |||
| СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ГОСУДАРСТВЕННУЮ ТАЙНУ | 2010 |
|
RU2443017C1 |
| УСТРОЙСТВО ЗАЩИТЫ ИНФОРМАЦИИ, ХРАНЯЮЩЕЙСЯ В ПЕРСОНАЛЬНОЙ ЭВМ | 1995 |
|
RU2099779C1 |
| Колосоуборка | 1923 |
|
SU2009A1 |
| Колосоуборка | 1923 |
|
SU2009A1 |
