RU151429U1 - COMPUTER WITH PROTECTED DATA STORAGE - Google Patents
COMPUTER WITH PROTECTED DATA STORAGE Download PDFInfo
- Publication number
- RU151429U1 RU151429U1 RU2014132743/08U RU2014132743U RU151429U1 RU 151429 U1 RU151429 U1 RU 151429U1 RU 2014132743/08 U RU2014132743/08 U RU 2014132743/08U RU 2014132743 U RU2014132743 U RU 2014132743U RU 151429 U1 RU151429 U1 RU 151429U1
- Authority
- RU
- Russia
- Prior art keywords
- computer
- secure data
- data storage
- spi flash
- flash chip
- Prior art date
Links
Landscapes
- Techniques For Improving Reliability Of Storages (AREA)
Abstract
1. Компьютер с защищенным хранилищем данных, содержащий материнскую плату и защищенное хранилище данных, подключенное к материнской плате через разъем с возможностью временного отсоединения, при этом защищенное хранилище данных имеет собственный микроконтроллер, микросхему SPI Flash, содержащую программу инициализации и организации ввода/вывода - BIOS или UEFI, и по меньшей мере один блок энергонезависимой памяти, используемый для загрузки и хранения доверенных приложений.2. Компьютер по п. 1, отличающийся тем, что источником питания защищенного хранилища данных является источник дежурного питания компьютера.3. Компьютер по п. 1, отличающийся тем, что микроконтроллер сконфигурирован таким образом, что он обеспечивает защиту микросхемы SPI Flash от модификации записанного на ней исходного кода, осуществляет контроль всех обращений к микросхеме SPI Flash и блоку энергонезависимой памяти и блокирует доступ к ним со стороны приложений компьютера, не обладающих соответствующими разрешениями.1. A computer with a secure data storage containing a motherboard and a secure data storage connected to the motherboard through a connector with the possibility of temporary disconnection, while the secure data storage has its own microcontroller, a SPI Flash chip containing an initialization and input / output program - BIOS or UEFI, and at least one non-volatile memory block used to load and store trusted applications. 2. A computer according to claim 1, characterized in that the power source of the secure data storage is the standby power source of the computer. A computer according to claim 1, characterized in that the microcontroller is configured in such a way that it protects the SPI Flash chip from modification of the source code written on it, monitors all calls to the SPI Flash chip and the non-volatile memory block and blocks access to them from the application side a computer that does not have the appropriate permissions.
Description
Предлагаемая полезная модель относится к области защищенной вычислительной техники, а именно предлагается создать компьютер с защищенным хранилищем данных.The proposed utility model relates to the field of secure computing, namely, it is proposed to create a computer with a secure data warehouse.
В настоящее время для современных материнских плат используется интерфейс Unified Extensible Firmware (UEFI). Данный интерфейс предназначен для замены BIOS компьютера и предназначен корректно инициализировать оборудование при включении системы и передать управление загрузчику операционной системы. UEFI имеет две фазы: предварительную EFI фазу на которой происходит инициализация элементов компьютера и фазу загрузки драйверов Driver Execution Environment (DXE), после чего уже загружается операционная система компьютера, см., например, US 2009319763 A1 от 24.12.2009. Благодаря применению UEFI ускоряется загрузка операционной системы компьютера. При этом BIOS или UEFI физически записываются на микросхеме SPI Flash, входящей в состав материнской платы компьютера.Currently, Unified Extensible Firmware (UEFI) is used for modern motherboards. This interface is designed to replace the computer BIOS and is intended to correctly initialize the equipment when the system is turned on and transfer control to the bootloader of the operating system. UEFI has two phases: the preliminary EFI phase at which the computer elements are initialized and the Driver Execution Environment (DXE) driver loading phase, after which the computer operating system is already loaded, see, for example, US 2009319763 A1 dated 12.24.2009. Thanks to the use of UEFI, the loading of the computer operating system is accelerated. In this case, the BIOS or UEFI are physically recorded on the SPI Flash chip, which is part of the computer's motherboard.
Наиболее близким техническим решением является компьютер для работы с защищенным хранилищем данных, раскрытый в заявке на изобретение РФ №2008132185 от 20.02.2010. Данное техническое решение содержит этапы запуска загрузчика операционной системы, считывания ключа шифрования, проверки целостности операционной системы и загрузки операционной системы. При этом загрузчик предварительно записывают на внешнем носителе, на начальном этапе загрузки зашифровывают все сектора жесткого диска компьютера, перед проверкой целостности операционной системы осуществляют считывание необходимого для этой проверки и последующей загрузки ключа шифрования, который предварительно сохраняют в защищенной памяти внешнего устройства, для доступа к которой требуют аутентификацию пользователя, и таким образом обеспечивают защиту от несанкционированного доступа к данным, размещенным на жестком диске.The closest technical solution is a computer for working with a secure data warehouse, disclosed in the application for the invention of the Russian Federation No. 20088132185 from 02.20.2010. This technical solution contains the steps of starting the bootloader of the operating system, reading the encryption key, checking the integrity of the operating system and loading the operating system. At the same time, the bootloader is pre-recorded on an external medium, at the initial stage of the boot, all sectors of the computer hard drive are encrypted, before checking the integrity of the operating system, the encryption key necessary for this check and subsequent download is stored, which is previously stored in the protected memory of the external device for access to which require user authentication, and thus provide protection against unauthorized access to data stored on the hard drive.
Недостатком существующих технических решений является наличие потенциальной возможности модификации данных BIOS или UEFI, хранящихся на микросхеме SPI Flash, до запуска доверенного приложения, размещенного на внешнем носителе.A drawback of existing technical solutions is the potential for modifying BIOS or UEFI data stored on the SPI Flash chip before launching a trusted application located on an external medium.
Предлагаемое техническое решение направлено на создание компьютера с защищенным хранилищем данных, в котором микросхема SPI Flash, содержащая базовую систему (BIOS или UEFI) размещается непосредственно на защищенном хранилище.The proposed technical solution is aimed at creating a computer with a secure data warehouse, in which the SPI Flash chip containing the base system (BIOS or UEFI) is located directly on the secure storage.
Технический результат предлагаемого решения - повышение защиты данных компьютера от неавторизованной модификации в любой момент времени, начиная с момента включения компьютера.The technical result of the proposed solution is to increase the protection of computer data from unauthorized modifications at any time, starting from the moment the computer is turned on.
Технический результат достигается тем, что компьютер с защищенным хранилищем данных содержит материнскую плату и защищенное хранилище данных, подключенное к материнской плате через разъем с возможностью временного отсоединения, при этом защищенное хранилище данных имеет собственный микроконтроллер, микросхему SPI Flash, содержащую программу инициализации и организации ввода/вывода - BIOS или UEFI, и по меньшей мере один блок энергонезависимой памяти, используемый для загрузки и хранения доверенных приложений. Целесообразно сконфигурировать разъем, которым обеспечивается подключение хранилища данных к материнской плате, таким образом, чтобы питание хранилища данных обеспечивалось от источника дежурного питания компьютера, что обеспечивает возможность работы микроконтроллера, входящего в состав защищенного хранилища данных, до момента физического включения компьютера. Микроконтроллер защищенного хранилища данных настраивается таким образом, что он обеспечивает защиту микросхемы SPI Flash от модификации записанного на ней исходного кода, осуществляет контроль всех обращений к микросхеме SPI Flash и блоку энергонезависимой памяти и блокирует доступ к ним со стороны приложений компьютера, не обладающих соответствующими разрешениями.The technical result is achieved by the fact that a computer with a secure data storage contains a motherboard and a secure data storage connected to the motherboard through a connector with the possibility of temporary disconnection, while the secure data storage has its own microcontroller, an SPI Flash chip containing an initialization and input / output - BIOS or UEFI, and at least one block of non-volatile memory used to load and store trusted applications. It is advisable to configure the connector that connects the data store to the motherboard so that the data store is supplied with power from the standby power supply of the computer, which allows the microcontroller, which is part of the protected data store, to work until the computer is physically turned on. The microcontroller of the secure data warehouse is configured in such a way that it protects the SPI Flash chip from modification of the source code written on it, monitors all calls to the SPI Flash chip and the non-volatile memory block and blocks access to them from computer applications that do not have the appropriate permissions.
Работа предлагаемого устройства содержит этапы:The operation of the proposed device contains the steps:
- включения компьютера,- turn on the computer,
- контроля целостности в BIOS или UEFI,- integrity monitoring in BIOS or UEFI,
- загрузки компьютером BIOS или UEFI, из микросхемы SPI Flash защищенного хранилища данных,- computer boot BIOS or UEFI, from the chip SPI Flash protected data storage,
- загрузки доверенных приложений из блока энергонезависимой памяти защищенного хранилища данных,- downloading trusted applications from the non-volatile memory block of the secure data warehouse,
- запуска основной операционной системы,- launch the main operating system,
- управления микроконтроллером всеми обращениями компьютера к защищенному хранилищу данных в течение всего сеанса работы компьютера,- controlling the microcontroller with all the access of the computer to the secure data warehouse during the entire session of the computer,
- при завершении работы компьютера закрытие доступа к хранилищу данных до следующей инициализации контроллера хранилища данных.- when the computer is shut down, access to the data warehouse is closed until the next data warehouse controller initialization.
Рассмотрим более конкретную реализацию предлагаемой полезной модели. Для реализации компьютера используется материнская плата, в которой предусмотрен специализированный разъем для подключения защищенного хранилища данных. При этом данный разъем обеспечивает питание хранилища от источника дежурного (резервного) питания компьютера, что обеспечивает подачу питания на защищенное хранилище данных до момента физического включения компьютера. Хранилище данных имеет собственный микроконтроллер, микросхему SPI Flash, содержащую программу инициализации и организации ввода/вывода - BIOS или UEFI, и по меньшей мере один блок энергонезависимой памяти значительного объема, используемый для загрузки и хранения доверенных приложений. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), монитор, корпус с блоком питания, клавиатура и мышь, иные устройства ввода-вывода.Consider a more specific implementation of the proposed utility model. To implement the computer, a motherboard is used, which provides a specialized connector for connecting a secure data warehouse. At the same time, this connector provides power to the storage from the standby (backup) power supply of the computer, which provides power to the secure data storage until the computer is physically turned on. The data warehouse has its own microcontroller, the SPI Flash chip, containing the initialization and organization of input / output - BIOS or UEFI, and at least one block of non-volatile memory of a significant amount used to download and store trusted applications. The remaining elements of the computer represent standard computer elements: a processor with a cooling system, RAM, a video card, hard disks (SSD or HDD), a monitor, a case with a power supply, a keyboard and mouse, and other input-output devices.
Компьютер с защищенным хранилищем данных работает следующим образом:A computer with a secure data warehouse works as follows:
пользователь включает компьютер, после чего уже работающий к этому моменту контроллер защищенного хранилища данных обеспечивает загрузку BIOS или UEFI из микросхемы SPI Flash, входящей в состав защищенного хранилища данных, при этом на мониторе может формироваться различное графическое или текстовое оформление загрузки BIOS или UEFI;the user turns on the computer, after which the controller of the protected data warehouse already working at that moment ensures loading the BIOS or UEFI from the SPI Flash microcircuit, which is part of the protected data storage, and various graphic or textual design of the BIOS or UEFI boot can be formed on the monitor;
контроллер осуществляет запуск доверенных приложений из блока энергонезависимой памяти защищенного хранилища данных, например, гипервизора, доверенной операционной системы, приложений, обеспечивающих контроль доступа пользователей, антивирусную защиту и т.д., в том числе, обрабатываемых основным процессором компьютера;the controller launches trusted applications from the non-volatile memory block of a secure data warehouse, for example, a hypervisor, a trusted operating system, applications that provide user access control, antivirus protection, etc., including those processed by the main computer processor;
в процессе работы компьютера контроллер осуществляет мониторинг всех обращений к микросхеме SPI Flash и блоку энергонезависимой памяти и блокирует доступ к ним со стороны приложений компьютера, не обладающих соответствующими разрешениями;during computer operation, the controller monitors all calls to the SPI Flash chip and the non-volatile memory block and blocks access to them from computer applications that do not have the appropriate permissions;
при выключении работы компьютера контроллер защищенного хранилища данных также осуществляет блокировку внутренней памяти хранилища данных.when the computer is turned off, the controller of the secure data warehouse also locks the internal memory of the data warehouse.
Таким образом, контроллер защищенного хранилища данных «привязан» к материнской плате таким образом, что возможна только их совместная работа. Попытка отсоединения защищенного хранилища данных приводит к неработоспособности компьютера.Thus, the controller of the secure data warehouse is “tied” to the motherboard in such a way that only their joint work is possible. Attempting to disconnect a secure data warehouse causes the computer to become inoperative.
Выше был раскрыт конкретный вариант осуществления предлагаемого технического решения, но специалисту в данной области техники очевидно, что на основе раскрытых данных можно создать вариации компьютера с защищенным хранилищем данных, например, используя различные схемы управления компьютером со стороны микроконтроллера хранилища данных. Таким образом, объем полезной модели не должен быть ограничен конкретным вариантом его осуществления, раскрытым в предлагаемой формуле полезной модели.A specific embodiment of the proposed technical solution was disclosed above, but it is obvious to a person skilled in the art that based on the disclosed data, it is possible to create variations of a computer with a secure data storage, for example, using various computer control circuits from the data storage microcontroller. Thus, the scope of the utility model should not be limited to the specific embodiment described in the proposed utility model formula.
Claims (3)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2014132743/08U RU151429U1 (en) | 2014-08-08 | 2014-08-08 | COMPUTER WITH PROTECTED DATA STORAGE |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2014132743/08U RU151429U1 (en) | 2014-08-08 | 2014-08-08 | COMPUTER WITH PROTECTED DATA STORAGE |
Publications (1)
Publication Number | Publication Date |
---|---|
RU151429U1 true RU151429U1 (en) | 2015-04-10 |
Family
ID=53296841
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2014132743/08U RU151429U1 (en) | 2014-08-08 | 2014-08-08 | COMPUTER WITH PROTECTED DATA STORAGE |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU151429U1 (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2630890C1 (en) * | 2016-12-29 | 2017-09-13 | Владимир Дмитриевич Новиков | Method of providing protected work of computing means and device for its implementation |
RU200051U1 (en) * | 2020-07-07 | 2020-10-06 | Общество с ограниченной ответственностью Фирма "Анкад" | Rugged, modular, versatile hardware platform |
RU2762519C1 (en) * | 2021-03-02 | 2021-12-21 | Акционерное Общество "Крафтвэй Корпорэйшн Плс" | Device for monitoring and controlling accesses to bios from the cpu |
-
2014
- 2014-08-08 RU RU2014132743/08U patent/RU151429U1/en not_active IP Right Cessation
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2630890C1 (en) * | 2016-12-29 | 2017-09-13 | Владимир Дмитриевич Новиков | Method of providing protected work of computing means and device for its implementation |
RU200051U1 (en) * | 2020-07-07 | 2020-10-06 | Общество с ограниченной ответственностью Фирма "Анкад" | Rugged, modular, versatile hardware platform |
RU2762519C1 (en) * | 2021-03-02 | 2021-12-21 | Акционерное Общество "Крафтвэй Корпорэйшн Плс" | Device for monitoring and controlling accesses to bios from the cpu |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9658969B2 (en) | System and method for general purpose encryption of data | |
TWI550436B (en) | Using a trusted platform module for boot policy and secure firmware | |
US9658858B2 (en) | Multi-threaded low-level startup for system boot efficiency | |
US10311236B2 (en) | Secure system memory training | |
US20140229942A1 (en) | Isolated guest creation in a virtualized computing system | |
US8312296B2 (en) | System and method for recovering from an interrupted encryption and decryption operation performed on a volume | |
US10445255B2 (en) | System and method for providing kernel intrusion prevention and notification | |
US20140229717A1 (en) | Binary translator driven program state relocation | |
CN107665308B (en) | TPCM system for building and maintaining trusted operating environment and corresponding method | |
US20140006805A1 (en) | Protecting Secret State from Memory Attacks | |
CN105122259A (en) | Retrieving system boot code from a non-volatile memory | |
TW200713053A (en) | Method and computer system for securing backup data from damage by virus and hacker program | |
RU151429U1 (en) | COMPUTER WITH PROTECTED DATA STORAGE | |
US8510501B2 (en) | Write-protection system and method thereof | |
US10591980B2 (en) | Power management with hardware virtualization | |
RU129674U1 (en) | COMPUTER PROTECTED FROM UNAUTHORIZED ACCESS | |
RU129675U1 (en) | COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER | |
RU154304U1 (en) | COMPUTER WITH PROTECTED DATA STORAGE | |
RU2538288C2 (en) | Method of loading secure data storage with computer | |
RU2755771C1 (en) | Method for starting a hypervisor in a computer system at an early stage of loading the computer from an external hardware apparatus | |
RU129278U1 (en) | COMPUTER WITH ANTI-VIRUS PROTECTION AT UEFI AT EARLY DOWNLOAD STAGE | |
Witherden | Memory forensics over the ieee 1394 interface | |
RU128742U1 (en) | COMPUTER TO START A THIN HYPERVISOR IN UEFI AT AN EARLY STAGE OF LOADING A COMPUTER | |
US9202058B1 (en) | Root volume encryption mechanism in para-virtualized virtual machine | |
TWI478003B (en) | Computer system data protection device and method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM9K | Utility model has become invalid (non-payment of fees) |
Effective date: 20170809 |