Показать метаданные Скрыть метаданные

(19)

(11)

2 777 704

(13)

(51)

МПК

G06F21/57(2013-01-01)

G06F21/64(2013-01-01)

(21) (22)

Заявка

2021132512, 2021-11-09

(24)

Дата начала отсчета патента

2021-11-09

(22)

дата подачи заявки

2021-11-09

(45)

опубликовано

2022-08-08

(72)

авторы

Швецов Алексей Валерьевич

(73)

патентообладатели

Федеральное Государственное Автономное Образовательное Учреждение Высшего Образования Исследовательский Университет Итмо» Итмо)

(56)

Документы, цитированные в отчете о поиске

RU 2007148810 A, 10.07.2009

Способ защищенной загрузки операционной системы компьютеров Российский патент 2022 года по МПК G06F21/57 G06F21/64

Описание патента на изобретение RU2777704C1

Изобретение относится к вычислительной технике, а именно к способам защиты компьютерной сети от несанкционированного доступа к данным.

Известен способ защищенной загрузки операционной системы компьютера с проверкой целостности, содержащий этапы запуска загрузчика операционной системы, считывания ключа шифрования, проверки целостности операционной системы и загрузки операционной системы (см. заявку РФ 2005115918, кл. G06F 21/00, опубл. 20.11.2006).

Недостатком этого способа является то, что, поскольку проверка целостности системы проводится без использования ключа шифрования, при загрузке с альтернативного носителя можно внести изменения как в операционную систему, так и в контрольные суммы. Такие изменения недетектируемы и не могут обеспечить доверенную загрузку. Таким образом, известный способ не обеспечивает достаточную защиту системы от несанкционированного вмешательства.

Известен также наиболее близкий к предлагаемому и принятый за прототип способ защищенной загрузки операционной системы компьютера с проверкой целостности, содержащий этапы подготовки компьютера, шифрования операционной системы, запуска отдельно размещенного загрузчика операционной системы и загрузки операционной системы (Патент РФ № 2396594 C2, кл. G06F 21/22, опубл. 10.08.2010).

Недостатком данного способа является то, что загрузку операционной системы производят с устройства, подсоединяемого непосредственно к аппаратным средствам компьютера. При этом обеспечивается защита информации, вводимой в единственный компьютер, что усложняет масштабирование загрузки защищенной информации на множество компьютеров.

Задачей, на решение которой направлено настоящее изобретение, является повышение степени защиты от несанкционированного доступа компьютерной сети.

Поставленная задача решается при реализации предлагаемого способа за счет достижения технического результата, заключающегося в обеспечении параллельной загрузки на рабочие станции компьютерной сети защищенной информации.

Данный технический результат достигается тем, что способ защищенной загрузки операционной системы компьютеров, содержащий этапы подготовки компьютера, шифрования файлов операционной системы, запуска отдельно размещенного загрузчика операционной системы, расшифровки файлов и загрузки операционной системы, отличается тем, что запуск загрузчика операционной системы производят с места его размещения в сетевом ресурсе, перед его запуском производят шифрование размещенной в сетевом ресурсе корневой файловой системы операционной системы, подписывают цифровой подписью размещенные в сетевом ресурсе файлы загрузчика операционной системы, её ядра и образ начальной файловой системы в оперативной памяти. При подготовке компьютера включают режим безопасной загрузки унифицированного расширяемого интерфейса встроенных микропрограмм, добавляют ключ проверки цифровой подписи и сертификат безопасного протокола передачи гипертекста, регистрируют адрес сетевого ресурса. Затем производят обращение к сетевому ресурсу для получения подписанных файлов загрузчика, проверяют действительность цифровой подписи загрузчика, в случае ее корректности загрузчик запускается и считывает по безопасному протоколу передачи гипертекста ядро операционной системы и образ начальной файловой системы в оперативной памяти, проверяют действительность цифровой подписи ядра и образа начальной файловой системы в оперативной памяти, в случае корректности цифровой подписи ядро и образ начальной файловой системы в оперативной памяти загружаются в оперативную память компьютера, после чего начальная файловая система считывает с сетевого ресурса зашифрованный образ корневой файловой системы операционной системы, расшифровку которой перед загрузкой операционной системы производят ключом, сформированным в соответствии с параметрами аппаратного обеспечения компьютера.

Согласно изобретению загрузка операционной системы компьютера осуществляется из защищенного от изменений состояния, которое обеспечивается шифрованием и применением цифровой подписи к загружаемой информации. Программный загрузчик также подписывается цифровой подписью и находится в защищённом от изменений состоянии, и располагается совместно с операционной системой в сетевом ресурсе. Доступ к сетевому ресурсу осуществляется по безопасному протоколу передачи гипертекста (HTTPS) с симметричной схемой шифрования. Унифицированный расширяемый интерфейс встроенных микропрограмм (UEFI) компьютера настроен на загрузку операционной системы с сетевого ресурса.

Предварительно, для обеспечения загрузки операционной системы осуществляют следующие операции. В унифицированном расширяемом интерфейсе встроенных микропрограмм (UEFI) включается безопасный режим (Secure Boot), добавляется ключ проверки цифровой подписи, добавляется сертификат протокола HTTPS. Регистрируется адрес сетевого ресурса, в котором размещают подписанные цифровой подписью файлы загрузчика, ядра и образа начальной файловой системы в оперативной памяти (initramfs). Также в сетевом ресурсе помещают образ корневой файловой системы операционной системы, зашифрованный ключом, сформированным исходя из параметров аппаратного обеспечения компьютера, на который осуществляется загрузка операционной системы.

По включении компьютера выполняются команды унифицированного расширяемого интерфейса встроенных микропрограмм (UEFI). С сетевого ресурса считывается загрузчик, проверяется его цифровая подпись, и если подпись корректна, то происходит его запуск. Загрузчик, в свою очередь, запрашивает требуемую конфигурацию операционной системы с сетевого ресурса и получает набор файлов ядра и начальной файловой системы в оперативной памяти (initramfs), необходимых для старта операционной системы. Проверяются цифровые подписи для ядра и initramfs, и если подпись корректна, происходит загрузка ядра и initramfs. Затем, начальная файловая система считывает с сетевого ресурса зашифрованный образ корневой файловой системы и производит её расшифровку. Ключ для расшифровки формируется в оперативной памяти на основании параметров аппаратного обеспечения компьютера, на котором происходит загрузка. Если расшифровка происходит успешно, то операционная система загружается в штатном режиме.

Данный способ загрузки позволяет производить загрузку множества компьютеров с обозначенного доверенного сетевого ресурса. Таким образом обеспечивается целостность загружаемой операционной системы и программной среды в однозначно исходном состоянии для каждого компьютера, осуществляющего загрузку.

Предлагаемый способ загрузки операционной системы компьютера обеспечивает высокую степень защиты загружаемых данных, поскольку информация, необходимая для загрузки, размещается в защищенном от изменения состоянии, а обмен с сетевым ресурсом происходит по безопасному протоколу передачи гипертекста с применением симметричного шифрования. Помимо того, ключ, необходимый для расшифровки, не имеет отдельной локации на носителях информации, что является дополнительным фактором, повышающим защищенность системы.

Реферат патента 2022 года Способ защищенной загрузки операционной системы компьютеров

Изобретение относится к области информационных технологий. Техническим результатом является повышение степени защиты от несанкционированного доступа при загрузке операционной системы компьютера и обеспечение возможности параллельной загрузки на рабочие станции компьютерной сети операционных систем компьютеров. Способ защищенной загрузки операционной системы компьютеров включает этапы подготовки компьютера, шифрования файлов операционной системы, запуска отдельно размещенного загрузчика операционной системы, расшифровки файлов и загрузки операционной системы. Запуск загрузчика операционной системы производят с с сетевого ресурса. Перед запуском загрузчика производят шифрование корневой файловой системы операционной системы. Ключ шифрования формируют в соответствии с параметрами аппаратного обеспечения компьютера. Подписывают цифровой подписью размещенные в сетевом ресурсе файлы загрузчика операционной системы, её ядра и образ начальной файловой системы. Обмен с сетевым ресурсом происходит по безопасному протоколу передачи гипертекста с применением симметричного шифрования.

Формула изобретения RU 2 777 704 C1

Способ защищенной загрузки операционной системы компьютеров, содержащий этапы подготовки компьютера, шифрования файлов операционной системы, запуска отдельно размещенного загрузчика операционной системы, расшифровки файлов и загрузки операционной системы, отличающийся тем, что запуск загрузчика операционной системы производят с места его размещения в сетевом ресурсе, перед его запуском производят шифрование размещенной в сетевом ресурсе корневой файловой системы операционной системы, подписывают цифровой подписью размещенные в сетевом ресурсе файлы загрузчика операционной системы, её ядра и образ начальной файловой системы в оперативной памяти, при подготовке компьютера включают режим безопасной загрузки унифицированного расширяемого интерфейса встроенных микропрограмм, добавляют ключ проверки цифровой подписи и сертификат безопасного протокола передачи гипертекста, регистрируют адрес сетевого ресурса, затем производят обращение к сетевому ресурсу для получения подписанных файлов загрузчика, проверяют действительность цифровой подписи загрузчика, в случае ее корректности загрузчик запускается и считывает по безопасному протоколу передачи гипертекста ядро операционной системы и образ начальной файловой системы в оперативной памяти, проверяют действительность цифровой подписи ядра и образа начальной файловой системы в оперативной памяти, в случае корректности цифровой подписи ядро и образ начальной файловой системы в оперативной памяти загружаются в оперативную память компьютера, после чего начальная файловая система считывает с сетевого ресурса зашифрованный образ корневой файловой системы операционной системы, расшифровку которой перед загрузкой операционной системы производят ключом, сформированным в соответствии с параметрами аппаратного обеспечения компьютера.

Документы, цитированные в отчете о поиске Патент 2022 года RU2777704C1

СПОСОБ ЗАЩИЩЕННОЙ ЗАГРУЗКИ ОПЕРАЦИОННОЙ СИСТЕМЫ КОМПЬЮТЕРА С ПРОВЕРКОЙ ЦЕЛОСТНОСТИ	2008	Груздев Сергей Львович	RU2396594C2
СИСТЕМА И СПОСОБ ДЛЯ ЗАЩИЩЕННОЙ НАЧАЛЬНОЙ ЗАГРУЗКИ ОПЕРАЦИОННОЙ СИСТЕМЫ С ИСПОЛЬЗОВАНИЕМ ПРОВЕРКИ СОСТОЯНИЯ	2005	Уиллмэн Брайан Марк Инглэнд Пол Рэй Кеннет Д. Хантер Джеми Макмайкл Лонни Дин Ласалл Дерек Норман Жакомет Пьер Пэли Марк Элиот Куриен Теккталакал Варугис Кросс Дэвид Б.	RU2413295C2
НАЧАЛЬНАЯ ЗАГРУЗКА ОПЕРАЦИОННОЙ СИСТЕМЫ РАЗДЕЛЬНЫМИ СТАДИЯМИ	2007	Аззарелло Патрик Б. Ингл Анил А. Плетчер Ричард А. Сайед Саад	RU2439678C2
RU 2007148810 A, 10.07.2009
Способ получения цианистых соединений	1924	Климов Б.К.	SU2018A1
Способ восстановления спиралей из вольфрамовой проволоки для электрических ламп накаливания, наполненных газом	1924	Вейнрейх А.С. Гладков К.К.	SU2020A1
Способ обработки целлюлозных материалов, с целью тонкого измельчения или переведения в коллоидальный раствор	1923	Петров Г.С.	SU2005A1

RU 2 777 704 C1

Авторы

Швецов Алексей Валерьевич

Даты

2022-08-08—Публикация

2021-11-09—Подача

название	год	авторы	номер документа
УСТРОЙСТВО МОБИЛЬНОЙ СВЯЗИ И СПОСОБ РАБОТЫ С НИМ	2014	Стерн Аллон Дж. Хейли Джон	RU2673969C2
СИСТЕМА И СПОСОБ ДЛЯ ЗАЩИЩЕННОЙ НАЧАЛЬНОЙ ЗАГРУЗКИ ОПЕРАЦИОННОЙ СИСТЕМЫ С ИСПОЛЬЗОВАНИЕМ ПРОВЕРКИ СОСТОЯНИЯ	2005	Уиллмэн Брайан Марк Инглэнд Пол Рэй Кеннет Д. Хантер Джеми Макмайкл Лонни Дин Ласалл Дерек Норман Жакомет Пьер Пэли Марк Элиот Куриен Теккталакал Варугис Кросс Дэвид Б.	RU2413295C2
УСТРОЙСТВО МОБИЛЬНОЙ СВЯЗИ И СПОСОБ РАБОТЫ С НИМ	2014	Стерн Аллон Дж.	RU2672712C2
СПОСОБ АВТОРИЗАЦИИ ОПЕРАЦИИ, ПРЕДНАЗНАЧЕННОЙ ДЛЯ ВЫПОЛНЕНИЯ НА ЗАДАННОМ ВЫЧИСЛИТЕЛЬНОМ УСТРОЙСТВЕ	2014	Стерн Аллон Дж.	RU2675902C2
СПОСОБ ЗАГРУЗКИ КОДА ПО МЕНЬШЕЙ МЕРЕ ОДНОГО ПРОГРАММНОГО МОДУЛЯ	2011	Амон Венсан	RU2557459C2
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ, СОДЕРЖАЩЕЙ СВЕДЕНИЯ, СОСТАВЛЯЮЩИЕ ГОСУДАРСТВЕННУЮ ТАЙНУ	2010	Бородакий Юрий Владимирович Бельтов Андрей Георгиевич Добродеев Александр Юрьевич Коротков Сергей Викторович Нащекин Павел Александрович Непомнящих Алексей Викторович Соколов Игорь Анатольевич	RU2443017C1
СПОСОБ И СИСТЕМА ЗАЩИЩЕННОГО ХРАНЕНИЯ ИНФОРМАЦИИ В ФАЙЛОВЫХ ХРАНИЛИЩАХ ДАННЫХ	2018	Карлов Андрей Владимирович Фролов Михаил Леонидович	RU2707398C1
СПОСОБ ДОВЕРЕННОЙ ЗАГРУЗКИ В ВИРТУАЛИЗИРОВАННЫХ СРЕДАХ	2014	Веряев Александр Сергеевич Вылегжанин Василий Васильевич Марков Алексей Сергеевич Рязанцев Андрей Анатольевич Фадин Андрей Анатольевич Цирлов Валентин Леонидович	RU2581552C2
Способ доверенной загрузки устройства с возможностью заверения разных этапов загрузки несколькими независимыми владельцами ключей	2023	Аляутдин Роман Тимурович Караваев Алексей Владимирович Карасев Константин Александрович Рыбаков Антон Викторович Сыренков Андрей Владимирович Тодорук Евгений Анатольевич	RU2808198C1
СИСТЕМА ЗАЩИТЫ ВИРТУАЛЬНОГО КАНАЛА КОРПОРАТИВНОЙ СЕТИ С МАНДАТНЫМ ПРИНЦИПОМ УПРАВЛЕНИЯ ДОСТУПОМ К РЕСУРСАМ, ПОСТРОЕННОЙ НА КАНАЛАХ СВЯЗИ И СРЕДСТВАХ КОММУТАЦИИ СЕТИ СВЯЗИ ОБЩЕГО ПОЛЬЗОВАНИЯ	1998	Щеглов А.Ю. Чистяков А.Б. Клипач В.С. Джабаров А.А. Бутенко В.В.	RU2163727C2