RU2755771C1 - Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства - Google Patents

Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства Download PDF

Info

Publication number
RU2755771C1
RU2755771C1 RU2020125706A RU2020125706A RU2755771C1 RU 2755771 C1 RU2755771 C1 RU 2755771C1 RU 2020125706 A RU2020125706 A RU 2020125706A RU 2020125706 A RU2020125706 A RU 2020125706A RU 2755771 C1 RU2755771 C1 RU 2755771C1
Authority
RU
Russia
Prior art keywords
computer
hypervisor
uefi
external hardware
starting
Prior art date
Application number
RU2020125706A
Other languages
English (en)
Inventor
Алексей Евгеньевич Фетищев
Original Assignee
Общество С Ограниченной Ответственностью "Кировский Региональный Центр Деловой Информации"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество С Ограниченной Ответственностью "Кировский Региональный Центр Деловой Информации" filed Critical Общество С Ограниченной Ответственностью "Кировский Региональный Центр Деловой Информации"
Priority to RU2020125706A priority Critical patent/RU2755771C1/ru
Application granted granted Critical
Publication of RU2755771C1 publication Critical patent/RU2755771C1/ru

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/4401Bootstrapping
    • G06F9/4406Loading of operating system
    • G06F9/441Multiboot arrangements, i.e. selecting an operating system to be loaded

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Stored Programmes (AREA)

Abstract

Изобретение относится к области компьютерной безопасности, в частности к способу запуска гипервизора в компьютерной системе, защищаемой от несанкционированного доступа к информации, на ранней стадии загрузки компьютера. Технический результат заключается в повышении безопасности компьютера. Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства включает подключение внешнего аппаратного устройства с хранящимися на нем и защищенными от несанкционированного доступа тонким гипервизором и параметрами UEFI, включение компьютера, запуск UEFI с микросхемы флеш-памяти компьютера, полностью защищенной от записи, запуск тонкого гипервизора с внешнего аппаратного устройства до завершения работы UEFI и запуска любых программ, которые могли бы повлиять или предотвратить старт тонкого гипервизора, при этом отсутствие тонкого гипервизора и параметров UEFI на внешнем аппаратном устройстве приводит к невозможности запуска компьютерной системы. 1 ил.

Description

Данное изобретение относится к области компьютерной безопасности, в частности к способу запуска гипервизора в компьютерной системе, защищаемой от несанкционированного доступа к информации, на ранней стадии загрузки компьютера.
В качестве базовой системы ввода-вывода (BIOS) используется Unified Extensible Firmware Interface (UEFI), которая корректно инициализирует оборудование при включении системы и передает управление загрузчику операционной системы. UEFI имеет две фазы: предварительную фазу, на которой происходит инициализация элементов компьютера и фазу загрузки драйверов, после чего уже загружается операционная система компьютера.
Из уровня техники известны наиболее близкие технические решения RU 2538286 C2 [Заявка №2013104953 от 06.02.2013, МПК G06F 12/14, опубл. 20.08.2014 в Бюл. №23] и RU 2537814 C2 [Заявка №2013104952 от 06.02.2013, МПК G06F 12/14, опубл. 20.08.2014 в Бюл. №23], в которых описан способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера. Данный способ заключается в загрузке компьютером UEFI, из своего модуля памяти. UEFI настроена так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, являющегося или частью UEFI, или хранящийся в отдельном разделе модуля памяти компьютера (микросхеме SPI FLASH), при этом тонкий гипервизор выбирает, по меньшей мере, одно запоминающее устройство для загрузки основной операционной системы. Код гипервизора располагается внутри микросхемы модуля памяти и не подвержен возможности изменения или дискредитации кода за счет установленной защиты микросхемы от записи.
Недостатками данного способа являются:
- сложность реализации размещения гипервизора в составе UEFI;
- UEFI и тонкий гипервизор размещены в микросхеме, защищенной от записи, и, соответственно, неизменность параметров UEFI и тонкого гипервизора, приводит к неработоспособности компьютерной системы при отказе (поломке) любого аппаратного устройства в составе защищенной компьютерной системы;
- осуществление загрузки защищенной компьютерной системы любым пользователем (в том числе злоумышленником).
Технический результат предлагаемого технического решения заключается в повышении безопасности компьютера.
Технический результат достигается тем, что способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства, включает подключение внешнего аппаратного устройства с хранящимися на нем и защищенными от несанкционированного доступа тонким гипервизором и параметрами UEFI, включение компьютера, запуск UEFI с микросхемы флеш-памяти компьютера, полностью защищенной от записи, запуск тонкого гипервизора с внешнего аппаратного устройства на уровне UEFI до запуска любых программ, которые могли бы повлиять или предотвратить старт тонкого гипервизора.
Примерами внешнего аппаратного устройства, в котором расположен гипервизор, могут быть, например, USB-накопитель, PCI-E(M2)-плата.
Рассмотрим работу предлагаемого способа. В работе используется материнская плата компьютера, в которой имеется микросхема флеш-памяти, где записана UEFI. Тонкий гипервизор и параметры UEFI размещены на внешнем аппаратном устройстве. Остальные элементы компьютера представляют стандартные элементы компьютера: процессор с системой охлаждения, оперативная память, видеокарта, жесткие диски (SSD или HDD), на которых установлена загружаемая операционная система, монитор, корпус с блоком питания, клавиатура и мышь.
На Фигуре изображена последовательность запуска гипервизора, который происходит следующим образом:
Подключение внешнего аппаратного устройства 1. Тонкий гипервизор и параметры UEFI хранятся на внешнем аппаратном устройстве и защищены от несанкционированного доступа (хранение тонкого гипервизора и параметров UEFI на внешнем аппаратном устройстве обеспечивает невозможность запуска компьютерной системы при их отсутствии).
Включение компьютера 2.
Старт UEFI 3 с микросхемы флеш-памяти компьютера 4 полностью защищенной от записи (тем самым, обеспечивается неизменность содержимого всей микросхемы флеш-памяти компьютера 4, что предотвращает компрометацию её содержимого). Корректное функционирование UEFI 3 обеспечено хранением параметров UEFI во внешнем аппаратном устройстве 1.
Старт тонкого гипервизора 5 с внешнего аппаратного устройства 1 осуществляется на уровне UEFI до запуска любых программ, которые могли бы повлиять или предотвратить старт тонкого гипервизора. Тонкий гипервизор 5 обеспечивает создание виртуальной среды.
Загрузка операционной системы (ОС) 6 в виртуальной среде.
Таким образом, выполнение тонкого гипервизора обеспечивает:
Невидимость внешнего аппаратного устройства 1 операционной системой, загруженной в виртуальной среде.
Защиту ОС и данных пользователя от аппаратных атак и аппаратных закладок (от несанкционированного доступа к информации со стороны аппаратных устройств компьютерной системы), которая реализуется перехватом тонким гипервизором всех обращений от аппаратных устройств к ОС.
Защиту аппаратных устройств компьютерной системы от несанкционированного доступа (атак) с уровня ОС, которая реализуется программной эмуляцией аппаратных устройств, предоставляемых ОС. ОС не знает, что она работает с виртуальными устройствами под управлением тонкого гипервизора.

Claims (1)

  1. Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства, заключающийся в загрузке компьютером UEFI из микросхемы флеш-памяти компьютера, полностью защищенной от записи, причем UEFI настроен так, что сразу после выполнения перехода в окружение исполнения драйверов осуществляется запуск тонкого гипервизора, при этом тонкий гипервизор выбирает по меньшей мере одно запоминающее устройство для загрузки операционной системы, отличающийся тем, что в первую очередь, перед включением компьютера, выполняется подключение внешнего аппаратного устройства с хранящимися на нем и защищенными от несанкционированного доступа тонким гипервизором и параметрами UEFI, затем после включения компьютера и запуска UEFI осуществляется запуск тонкого гипервизора с внешнего аппаратного устройства до завершения работы UEFI и запуска любых программ, которые могут повлиять или предотвратить старт тонкого гипервизора, при этом отсутствие тонкого гипервизора и параметров UEFI на внешнем аппаратном устройстве приводит к невозможности запуска компьютерной системы.
RU2020125706A 2020-08-03 2020-08-03 Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства RU2755771C1 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2020125706A RU2755771C1 (ru) 2020-08-03 2020-08-03 Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2020125706A RU2755771C1 (ru) 2020-08-03 2020-08-03 Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства

Publications (1)

Publication Number Publication Date
RU2755771C1 true RU2755771C1 (ru) 2021-09-21

Family

ID=77851992

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2020125706A RU2755771C1 (ru) 2020-08-03 2020-08-03 Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства

Country Status (1)

Country Link
RU (1) RU2755771C1 (ru)

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009151445A1 (en) * 2008-06-10 2009-12-17 Hewlett-Packard Development Company, L.P. Method and apparatus for configuring a hypervisor during a downtime state
RU129675U1 (ru) * 2013-02-06 2013-06-27 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Компьютер для запуска тонкого гипервизора в uefi на ранней стадии загрузки компьютера
US9372699B2 (en) * 2011-04-08 2016-06-21 Insyde Software Corp. System and method for processing requests to alter system security databases and firmware stores in a unified extensible firmware interface-compliant computing device
US20160188345A1 (en) * 2014-12-26 2016-06-30 American Megatrends Inc. Method of a UEFI firmware and Computer System thereof
RU2538286C9 (ru) * 2013-02-06 2018-07-12 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера
RU2537814C9 (ru) * 2013-02-06 2018-07-13 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера
US10261800B2 (en) * 2010-03-25 2019-04-16 Microsoft Technology Licensing, Llc Intelligent boot device selection and recovery
WO2019180675A1 (en) * 2018-03-22 2019-09-26 Trulyprotect Oy Systems and methods for hypervisor-based protection of code

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2009151445A1 (en) * 2008-06-10 2009-12-17 Hewlett-Packard Development Company, L.P. Method and apparatus for configuring a hypervisor during a downtime state
US10261800B2 (en) * 2010-03-25 2019-04-16 Microsoft Technology Licensing, Llc Intelligent boot device selection and recovery
US9372699B2 (en) * 2011-04-08 2016-06-21 Insyde Software Corp. System and method for processing requests to alter system security databases and firmware stores in a unified extensible firmware interface-compliant computing device
RU129675U1 (ru) * 2013-02-06 2013-06-27 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Компьютер для запуска тонкого гипервизора в uefi на ранней стадии загрузки компьютера
RU2538286C9 (ru) * 2013-02-06 2018-07-12 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера
RU2537814C9 (ru) * 2013-02-06 2018-07-13 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера
US20160188345A1 (en) * 2014-12-26 2016-06-30 American Megatrends Inc. Method of a UEFI firmware and Computer System thereof
WO2019180675A1 (en) * 2018-03-22 2019-09-26 Trulyprotect Oy Systems and methods for hypervisor-based protection of code

Similar Documents

Publication Publication Date Title
US9367671B1 (en) Virtualization system with trusted root mode hypervisor and root mode VMM
US7827371B2 (en) Method for isolating third party pre-boot firmware from trusted pre-boot firmware
US9372754B2 (en) Restoring from a legacy OS environment to a UEFI pre-boot environment
US8726364B2 (en) Authentication and access protection of computer boot modules in run-time environments
US6711675B1 (en) Protected boot flow
US10055357B2 (en) Systems and methods for secure multi-access of system firmware during pre-boot
KR100938305B1 (ko) 고 신뢰성 펌웨어
US8086839B2 (en) Authentication for resume boot path
US9288222B2 (en) Bootstrap OS protection and recovery
US20140156982A1 (en) Bootability with multiple logical unit numbers
US20090249053A1 (en) Method and apparatus for sequential hypervisor invocation
WO2018022268A1 (en) Optimized uefi reboot process
US8533445B2 (en) Disabling a feature that prevents access to persistent secondary storage
US8843742B2 (en) Hypervisor security using SMM
US20130227262A1 (en) Authentication device and authentication method
US20120042156A1 (en) Method of multiple boot manager
US9195832B1 (en) System and method for providing access to original routines of boot drivers
US11861011B2 (en) Secure boot process
RU2755771C1 (ru) Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера с внешнего аппаратного устройства
CN111295644A (zh) 保障硬件初始化
RU151429U1 (ru) Компьютер с защищенным хранилищем данных
RU129675U1 (ru) Компьютер для запуска тонкого гипервизора в uefi на ранней стадии загрузки компьютера
RU2538286C2 (ru) Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера
RU2537814C9 (ru) Способ запуска гипервизора в компьютерной системе на ранней стадии загрузки компьютера
Ogolyuk et al. Uefi bios and intel management engine attack vectors and vulnerabilities