RU168273U1 - Компьютер с аппаратной защитой данных, хранимых во встроенной флэш-памяти, от несанкционированных изменений - Google Patents
Компьютер с аппаратной защитой данных, хранимых во встроенной флэш-памяти, от несанкционированных изменений Download PDFInfo
- Publication number
- RU168273U1 RU168273U1 RU2016137756U RU2016137756U RU168273U1 RU 168273 U1 RU168273 U1 RU 168273U1 RU 2016137756 U RU2016137756 U RU 2016137756U RU 2016137756 U RU2016137756 U RU 2016137756U RU 168273 U1 RU168273 U1 RU 168273U1
- Authority
- RU
- Russia
- Prior art keywords
- flash memory
- computer
- built
- data
- microprocessor
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Landscapes
- Storage Device Security (AREA)
Abstract
Компьютер с аппаратной защитой данных, хранимых во встроенной флэш-памяти, от несанкционированных изменений содержит механически управляемый коммутатор, управляющий доступом в режиме записи к флэш-памяти, хранящей защищаемые данные. Задача полезной модели - решение проблемы аппаратной (посредством механических коммутаций) защиты данных от несанкционированных изменений для компьютеров, встроенная флэш-память которых построена на основе современного поколения микросхем с отсутствующим выводом WP, в частности модулях eMMC - решена тем, что он содержит дополнительный микропроцессор, подключенный, по меньшей мере, к шинам интерфейса встроенной флэш-памяти и запрограммированный на совершение заданного защитного действия при выявлении им команды записи данных во флэш-память, причем механически управляемый коммутатор подключен к управляющей шине микропроцессора, разрешающей/запрещающей выполнение указанной процедуры. 2 з.п. ф-лы.
Description
Полезная модель относится к области компьютерной техники и информационных технологий.
В последние годы, в связи с выходом на рынок новых поколений мобильных компьютерных устройств, включая ноутбуки, планшетные компьютеры и смартфоны, обострилась проблема надежной аппаратной защиты содержащейся в них информации, в частности доверенных операционных систем, от несанкционированных изменений. Однако аппаратные методы защиты, хорошо проработанные и широко применяющиеся для обычных персональных компьютеров, в частности, установка аппаратных модулей доверенной загрузки (АМДЗ) [1] - для большинства моделей мобильной компьютерной техники не пригодны. Для применения в этой области известен ряд более простых, но вместе с тем эффективных решений, в основу которых положено использование физических (в частности, механических), а не программных коммутаций, в частности, для установки режима запрета записи на встроенные перепрограммируемые запоминающие устройства (ППЗУ), хранящие защищаемые данные, которые выполнены, как правило, на основе микросхем флэш-памяти [2-7].
Базовым объектом этих образцов компьютерной техники (где техническое решение из указанного ряда было реализовано впервые) является компьютер типа «тонкий клиент» с аппаратной защитой данных [2], который является наиболее близким аналогом и заявляемой полезной модели. Компьютер содержит механически управляемый коммутатор, управляющий доступом в режиме записи к ППЗУ, хранящему защищаемые данные. В этом компьютере ППЗУ построено на основе электронного аналога жесткого диска - Disk-On-Module (DOM), состоящего из микросхем флэш-памяти типа NAND. Поскольку большинство микросхем типа NAND имеют вывод запрета записи WP (Write Protect), управлять доступом к ним посредством механических коммутаций несложно: для этого достаточно подключить указанный коммутатор (замыкающего типа) к их выводам WP.
Однако современные микросхемы встроенной флэш-памяти (в частности, типа eMMC), все компоненты которых - чипы NAND (до 16 шт.) и управляющего контроллера (решающего, в частности, задачу «выравнивания износа» ячеек путем устранения постоянной записи в начальные блоки памяти и распределения операций по всему ее объему) - находятся в компактных плоских корпусах типа BGA [8], так поступить не позволяют в связи с отсутствием у них выводов WP (возможность блокировки записи в модулях eMMC, в принципе, предусмотрена - но только программная).
Задачей полезной модели является решение проблемы аппаратной (посредством механических коммутаций) защиты данных от несанкционированных изменений для компьютеров, встроенная флэш-память которых построена на основе современного поколения микросхем с отсутствующим выводом WP - в частности, на модулях eMMC.
Технический результат, связанный с решением этой задачи, состоит в повышении уровня защищенности (устойчивости к хакерским атакам) таких компьютеров по сравнению с известными компьютерами, блокировка записи во встроенную флэш-память которых осуществляется программными методами, следовательно, является потенциально уязвимой.
Указанный результат достигнут тем, что компьютер с аппаратной защитой данных, хранимых во встроенной флэш-памяти, от несанкционированных изменений, содержащий механически управляемый коммутатор, управляющий доступом в режиме записи к флэш-памяти, хранящей защищаемые данные, содержит дополнительный микропроцессор. Последний подключен, по меньшей мере, к шинам интерфейса встроенной флэш-памяти, и запрограммирован на совершение заданного защитного действия при выявлении им команды записи данных во флэш-память. Механически управляемый коммутатор подключен к управляющей шине микропроцессора, разрешающей/запрещающей выполнение им указанной процедуры.
Данная совокупность признаков обеспечивает достижение указанного результата, поскольку функция аппаратной защиты поддерживается теперь отдельным микропроцессором, контролирующим данные, следующие по шинам интерфейса встроенной флэш-памяти. Следовательно, микросхемы (модули) таковой собственных выводов WP могут не иметь, механически управляемый коммутатор, реализующий вышеизложенный принцип аппаратной защиты с наивысшим уровнем защищенности, подключен теперь не к ним, а к шине управления дополнительного микропроцессора.
В отдельных вариантах реализации описанного компьютера способы подключения дополнительного микропроцессора и, соответственно, совершаемые им защитные действия могут быть различны.
В компьютерах, предназначенных для работы в программных средах недоверенных, но потенциально не агрессивных, целесообразно дополнительный микропроцессор подключать к шинам интерфейса встроенной флэш-памяти последовательно - в разрывы между флэш-памятью и центральным процессором компьютера, и программировать его на блокировку данных, следующих по ним, при выявлении команды записи. В этом случае микропроцессор, по сути, является фильтром, врезанным в интерфейс и отсекающим записываемые данные, когда запись не санкционирована (функциональный аналог включения блокировки записи через вывод WP).
В компьютерах же, предназначенных для работы в программных средах не только недоверенных, но и потенциально агрессивных (с высокими вероятностями хакерских атак), целесообразно дополнительный микропроцессор подключать к шинам интерфейса встроенной флэш-памяти параллельно - к отводам между флэш-памятью и центральным процессором компьютера, и, кроме того, подключать его к последнему. Это дает возможность совершения микропроцессором защитных действий, влияющих, через центральный процессор, на работу компьютера в целом, и, соответственно, не проходящих незамеченными пользователем. Микропроцессор, в частности, может быть запрограммирован на подачу центральному процессору компьютера команды его остановки и/или извещения пользователя о попытке хакерской атаки при выявлении им команды записи. Следовательно, такой компьютер обладает более широкими функциональными возможностями защиты по сравнению с известной защитой, основанной на блокировке записи через вывод WP, что, очевидно, полнее отвечает требованиям безопасной работы в программных средах, характеризующихся повышенными уровнями угроз.
ИСТОЧНИКИ ИНФОРМАЦИИ
1. Конявский В.А. Управление защитой информации на базе СЗИ НСД «Аккорд». - М.: Радио и связь, 1999.
2. Патент России на полезную модель RU 118773.
3. Патент России на полезную модель RU 137626.
4. Патент России на полезную модель RU 138562.
5. Патент России на полезную модель RU 139532.
6. Патент России на полезную модель RU 147527.
7. Патент России на полезную модель RU 151264.
8. Встраиваемые модули флэш-памяти eMMC фирмы Toshiba. http://www.ixbt.com/news/hard/index.shtml?13/42/62
Claims (3)
1. Компьютер с аппаратной защитой данных, хранимых во встроенной флэш-памяти, от несанкционированных изменений, содержащий механически управляемый коммутатор, управляющий доступом в режиме записи к флэш-памяти, хранящей защищаемые данные, отличающийся тем, что он содержит дополнительный микропроцессор, подключенный, по меньшей мере, к шинам интерфейса встроенной флэш-памяти, и запрограммированный на совершение заданного защитного действия при выявлении им команды записи данных во флэш-память, причем механически управляемый коммутатор подключен к управляющей шине микропроцессора, разрешающей/запрещающей выполнение указанной процедуры.
2. Компьютер по п. 1, отличающийся тем, что дополнительный микропроцессор подключен к шинам интерфейса встроенной флэш-памяти последовательно - в разрывы между флэш-памятью и центральным процессором компьютера, и запрограммирован на блокировку данных, следующих по ним, при выявлении команды записи.
3. Компьютер по п. 1, отличающийся тем, что дополнительный микропроцессор подключен к шинам интерфейса встроенной флэш-памяти параллельно - к отводам между флэш-памятью и центральным процессором компьютера, подключен к последнему, и запрограммирован на подачу ему команды остановки компьютера и/или извещения пользователя о попытке хакерской атаки при выявлении команды записи.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016137756U RU168273U1 (ru) | 2016-09-22 | 2016-09-22 | Компьютер с аппаратной защитой данных, хранимых во встроенной флэш-памяти, от несанкционированных изменений |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2016137756U RU168273U1 (ru) | 2016-09-22 | 2016-09-22 | Компьютер с аппаратной защитой данных, хранимых во встроенной флэш-памяти, от несанкционированных изменений |
Publications (1)
Publication Number | Publication Date |
---|---|
RU168273U1 true RU168273U1 (ru) | 2017-01-25 |
Family
ID=58451243
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2016137756U RU168273U1 (ru) | 2016-09-22 | 2016-09-22 | Компьютер с аппаратной защитой данных, хранимых во встроенной флэш-памяти, от несанкционированных изменений |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU168273U1 (ru) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999045455A1 (en) * | 1998-03-06 | 1999-09-10 | Tv Objects Limited, L.L.C. | Data and access protection system for computers |
RU118773U1 (ru) * | 2012-04-18 | 2012-07-27 | Закрытое акционерное общество "Особое Конструкторское Бюро Систем Автоматизированного Проектирования" | Компьютер типа "тонкий клиент" с аппаратной защитой данных |
RU137626U1 (ru) * | 2013-05-16 | 2014-02-20 | Валерий Аркадьевич Конявский | Компьютер с аппаратной защитой данных от несанкционированного изменения |
US20140101426A1 (en) * | 2012-10-04 | 2014-04-10 | Msi Security, Ltd. | Portable, secure enterprise platforms |
RU153044U1 (ru) * | 2014-10-09 | 2015-06-27 | Валерий Аркадьевич Конявский | Рабочая станция с аппаратной защитой данных для компьютерных сетей с клиент-серверной или терминальной архитектурой |
-
2016
- 2016-09-22 RU RU2016137756U patent/RU168273U1/ru active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999045455A1 (en) * | 1998-03-06 | 1999-09-10 | Tv Objects Limited, L.L.C. | Data and access protection system for computers |
RU118773U1 (ru) * | 2012-04-18 | 2012-07-27 | Закрытое акционерное общество "Особое Конструкторское Бюро Систем Автоматизированного Проектирования" | Компьютер типа "тонкий клиент" с аппаратной защитой данных |
US20140101426A1 (en) * | 2012-10-04 | 2014-04-10 | Msi Security, Ltd. | Portable, secure enterprise platforms |
RU137626U1 (ru) * | 2013-05-16 | 2014-02-20 | Валерий Аркадьевич Конявский | Компьютер с аппаратной защитой данных от несанкционированного изменения |
RU153044U1 (ru) * | 2014-10-09 | 2015-06-27 | Валерий Аркадьевич Конявский | Рабочая станция с аппаратной защитой данных для компьютерных сетей с клиент-серверной или терминальной архитектурой |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9483422B2 (en) | Access to memory region including confidential information | |
Mutlu et al. | Rowhammer: A retrospective | |
US9772953B2 (en) | Methods and apparatus for protecting operating system data | |
Henson et al. | Memory encryption: A survey of existing techniques | |
EP2998869B1 (en) | Dynamic memory address remapping in computing systems | |
US20140108823A1 (en) | Security protection for memory content of processor main memory | |
US9135435B2 (en) | Binary translator driven program state relocation | |
US20180285562A1 (en) | Computing system with protection against memory wear out attacks | |
CN108154032B (zh) | 具有内存完整性保障功能的计算机系统信任根构建方法 | |
US11474955B2 (en) | Memory disablement for data security | |
KR20180026719A (ko) | 제어된 암호화 키 관리에 의한 소프트웨어 모듈들의 분리 | |
CN107004099B (zh) | 存储器中攻击预防 | |
Buhren et al. | Fault attacks on encrypted general purpose compute platforms | |
Chen et al. | {PEARL}: Plausibly Deniable Flash Translation Layer using {WOM} coding | |
US20090158011A1 (en) | Data processing system | |
RU168273U1 (ru) | Компьютер с аппаратной защитой данных, хранимых во встроенной флэш-памяти, от несанкционированных изменений | |
CN111373405B (zh) | 用于防止计算设备中比特翻转攻击的计算机实现方法 | |
WO2017049539A1 (en) | Techniques for coordinating device boot security | |
RU137626U1 (ru) | Компьютер с аппаратной защитой данных от несанкционированного изменения | |
US11366895B2 (en) | Mitigating side-channel attacks using executable only memory (XOM) | |
RU151264U1 (ru) | Мобильный компьютер с аппаратной защитой доверенной операционной системы от несанкционированных изменений | |
US7472244B2 (en) | Scheme for securing a memory subsystem or stack | |
RU83862U1 (ru) | Мобильное устройство защиты информации | |
CN113614703A (zh) | 用于核特定内存映射的装置 | |
RU170409U1 (ru) | Мобильный компьютер с аппаратной защитой данных |