RU2762519C1 - Device for monitoring and controlling accesses to bios from the cpu - Google Patents

Device for monitoring and controlling accesses to bios from the cpu Download PDF

Info

Publication number
RU2762519C1
RU2762519C1 RU2021105388A RU2021105388A RU2762519C1 RU 2762519 C1 RU2762519 C1 RU 2762519C1 RU 2021105388 A RU2021105388 A RU 2021105388A RU 2021105388 A RU2021105388 A RU 2021105388A RU 2762519 C1 RU2762519 C1 RU 2762519C1
Authority
RU
Russia
Prior art keywords
bios
independent
module
access control
control module
Prior art date
Application number
RU2021105388A
Other languages
Russian (ru)
Inventor
Алексей Юрьевич Кравцов
Original Assignee
Акционерное Общество "Крафтвэй Корпорэйшн Плс"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Акционерное Общество "Крафтвэй Корпорэйшн Плс" filed Critical Акционерное Общество "Крафтвэй Корпорэйшн Плс"
Priority to RU2021105388A priority Critical patent/RU2762519C1/en
Application granted granted Critical
Publication of RU2762519C1 publication Critical patent/RU2762519C1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/572Secure firmware programming, e.g. of basic input output system [BIOS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/575Secure boot

Abstract

FIELD: computer technology.
SUBSTANCE: invention relates to the field of computer technology. The device for monitoring and controlling accesses to the BIOS from the central processor (CPU) includes an independent access control module, an independent storage module of the boot BIOS, a security microprocessor, non-volatile flash memory, a power monitoring device, a device power supply, an alert module. In this case, the device is installed via the SPI interface between the central processor and the BIOS storage of the monitored device. The operation of the independent access control module is controlled by a security microprocessor, which sets the parameters of the operation of the independent access control module. The device stores information about each CPU access to the BIOS in a log in the non-volatile flash memory of the independent access control module. The security microprocessor determines the data in the BIOS storage that is critical for the safe operation of the system, which cannot be changed.
EFFECT: increase in system security, monitoring and control of BIOS modification.
1 cl, 1 dwg

Description

ОБЛАСТЬ ТЕХНИКИFIELD OF TECHNOLOGY

Изобретение относится к области вычислительной техники и предназначено для мониторинга загрузки и контроля модификации BIOS, защищаемого от несанкционированных изменений в результате неправомерных действий пользователя, работы вредоносного ПО на уровне операционной системы (ОС), либо недекларированными возможностями центрального процессора (ЦП) материнской платы (системы) или внутренним микрокодом ЦП.The invention relates to the field of computing and is intended to monitor the loading and control of BIOS modifications, protected from unauthorized changes as a result of illegal actions of the user, the operation of malware at the operating system (OS) level, or undeclared capabilities of the central processing unit (CPU) of the motherboard (system) or by the internal microcode of the CPU.

УРОВЕНЬ ТЕХНИКИLEVEL OF TECHNOLOGY

Из уровня техники (CN 106776399 А 31.05.2017) известна система чтения и записи данных флэш-памяти BIOS и способ, основанный на контроллере управления основной платой. Система содержит процессор ARM, устройство управления BIOS, процессор ARM соединен с модулем первого и первого стека, а модуль первого и первого стека подключен к устройству управления BIOS, а устройство управления BIOS подключено к флэш-памяти BIOS. В соответствии с технической схемой выполняется работа флэш-памяти BIOS (BIOS Flash), схема основана на чтении и записи данных устройства управления BIOS интерфейса ВМС SPI, устройства управления интерфейсом SPI используется в ВМС для взаимодействия с BIOS, и полная проверка далее проводится через ВМС, считывая BIOS, гарантируется полнота BIOS, а вредоносные, конечно же, не установлены, а надежность среды выполнения системной платформы таким образом гарантируется.From the prior art (CN 106776399 A 05/31/2017) there is known a system for reading and writing BIOS flash memory data and a method based on a main board control controller. The system contains an ARM processor, a BIOS manager, the ARM processor is connected to a first and first stack module, and a first and first stack module is connected to a BIOS manager, and a BIOS manager is connected to a BIOS flash memory. In accordance with the technical scheme, the BIOS flash memory (BIOS Flash) is performed, the scheme is based on reading and writing data from the BIOS control device of the BMC SPI interface, the SPI interface control device is used in the BMC to interact with the BIOS, and a full check is then carried out through the BMC. By reading the BIOS, the completeness of the BIOS is guaranteed, and the malicious ones, of course, are not installed, and the reliability of the system platform runtime is thus guaranteed.

Из уровня техники (US 8661237 В 25.02.2014) также известна компьютерная система и способ ее загрузки операционной системы. Компьютерная система включает в себя универсальное запоминающее устройство с последовательной шиной (USB), в котором хранятся загрузочный образ, серверы и разделитель изображений для загрузки, содержащий порты USB, память, первый USB-хост-контроллер и микропроцессор. Микропроцессор управляет первым USB-хост-контроллером для эмуляции каждого USB-порта на USB-накопителе и сохраняет загрузочный образ в память, так что загрузочный образ разделяется на порты USB. Серверы соответственно соединены с USB-портами, причем каждый сервер содержит второй контроллер хоста USB и базовую систему ввода-вывода (BIOS). Второй USB-хост-контроллер подключен к одному из USB-портов. BIOS считывает загрузочный образ с эмулируемого устройства хранения USB и загружает операционную систему в соответствии с загрузочным изображением.The prior art (US 8661237 In 25.02.2014) also known a computer system and a method for loading the operating system. The computer system includes a general purpose serial bus (USB) storage device that stores a boot image, servers, and a boot image separator containing USB ports, memory, a first USB host controller, and a microprocessor. The microprocessor drives the first USB host controller to emulate each USB port on the USB stick and stores the boot image in memory so that the boot image is split into USB ports. The servers are suitably connected to USB ports, with each server containing a second USB host controller and a basic input / output system (BIOS). A second USB host controller is connected to one of the USB ports. The BIOS reads a boot image from an emulated USB storage device and loads the operating system according to the boot image.

Наиболее близким аналогом заявленного изобретения является устройство создания доверенной среды и защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем (RU 2538329 С1 10.01.2015), в состав которого введены накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, который подключается к шине SPI чипсета материнской платы компьютера и содержит в своей защищенной от записи области BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с управляющим микроконтроллером и проверку целостности загружаемого программного обеспечения, и управляемый быстродействующий электронный ключ, установленный на шину SPI материнской платы между чипсетом компьютера и накопителем, при этом микроконтроллер снабжен каналом управления электронным ключом, соединяющим управляющий выход порта ввода-вывода микроконтроллера с управляющим входом электронного ключа, а также контроллером интерфейса SPI, обеспечивающим подключение микроконтроллера к шине SPI и работу его в режиме прямого доступа к памяти накопителя и в режиме контроля команд от чипсета к накопителю по шине SPI.The closest analogue of the claimed invention is a device for creating a trusted environment and protecting information from unauthorized access for computers of information and computing systems (RU 2538329 C1 10.01.2015), which includes a drive based on a flash memory chip with an SPI interface, which is connected to the bus SPI of the computer motherboard chipset and contains in its write-protected area of the computer BIOS with additional built-in commands that ensure interaction with the control microcontroller and check the integrity of the loaded software, and a controlled high-speed electronic key installed on the motherboard SPI bus between the computer chipset and the drive, at the same time, the microcontroller is equipped with an electronic key control channel connecting the control output of the microcontroller input-output port with the control input of the electronic key, as well as an SPI interface controller, which provides connection of the microcontroller troller to the SPI bus and its operation in the mode of direct access to the memory of the drive and in the mode of command control from the chipset to the drive via the SPI bus.

Недостатком известных устройств является недостаточная безопасность, а также недостаточный контроль доступа к системе.The disadvantages of the known devices are insufficient security, as well as insufficient control of access to the system.

СУЩНОСТЬ ИЗОБРЕТЕНИЯSUMMARY OF THE INVENTION

Технической задачей заявленного изобретения является мониторинг загрузки и контроля модификации BIOS, защищаемого от несанкционированных изменений в результате неправомерных действий пользователя, работы вредоносного ПО на уровне операционной системы (ОС), либо недекларированными возможностями центрального процессора (ЦП) материнской платы (системы) или внутренним микрокодом ЦП.The technical objective of the claimed invention is to monitor the loading and control of the BIOS modification, protected from unauthorized changes as a result of illegal actions of the user, the operation of malware at the operating system (OS) level, or undeclared capabilities of the central processing unit (CPU) of the motherboard (system) or the internal microcode of the CPU. ...

Технический результат заключается в повышении безопасности системы, мониторинг и контроль модификации BIOS.The technical result consists in increasing the security of the system, monitoring and control of BIOS modifications.

Результат достигается использованием промежуточного независимого модуля контроля обращений к хранилищу BIOS, который встраивается в линию загрузки (интерфейс SPI) между центральным процессором и хранилищем. Независимый модуль контроля обращений реализуется с помощью программируемой логической интегральной схемы (ПЛИС), к которой подключается микросхема памяти для хранения загрузочного BIOS. Управлением работой контроллера выполняет микропроцессор (микропроцессор безопасности), обеспечивающий безопасность работы системы. Микропроцессор безопасности с помощью управляющих регистров в ПЛИС задает параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП.The result is achieved by using an intermediate independent BIOS storage access control module, which is built into the boot line (SPI interface) between the central processor and storage. An independent access control module is implemented using a programmable logic integrated circuit (FPGA), to which a memory chip is connected to store the bootable BIOS. The operation of the controller is controlled by a microprocessor (safety microprocessor), which ensures the safety of the system. The security microprocessor, using control registers in the FPGA, sets the operating parameters of the independent access control module, namely: the size of the log for storing information about calls to the BIOS, the conditions for generating an interrupt request for the security microprocessor, as well as the conditions for blocking access to BIOS storage memory from the CPU ...

Информация о каждом обращении ЦП к BIOS сохраняется в виде записи в журнале в оперативной памяти независимого модуляконтроля обращений на ПЛИС. Каждая запись содержит свой порядковый номер, адрес данных в памяти хранения BIOS, количество данных в байтах и код операции, выполняемой с данными. По заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор забирает информацию из журнала контроллера и анализирует ее.Information about each CPU access to the BIOS is saved as a log entry in the RAM of an independent FPGA access control module. Each entry contains its own sequence number, the address of the data in the BIOS storage memory, the amount of data in bytes and the code of the operation performed with the data. When the log is full, an interrupt request is generated for the safety microprocessor, then the microprocessor takes information from the controller log and analyzes it.

Также микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определенным адресам, заданным в управляющих регистрах.Also, the security microprocessor detects data in the BIOS storage that are critical for the safe operation of the system, the change of which is unacceptable, and the independent access control module blocks requests to change this data located at certain addresses specified in the control registers.

Загрузка эталонной копии BIOS в хранилище и заполнение управляющих регистров (параметров работы независимого модуля контроля обращений) осуществляется микропроцессором безопасности перед стартом ЦП по выделенному интерфейсу.Loading the BIOS master copy into the storage and filling the control registers (parameters of the operation of the independent access control module) is carried out by the security microprocessor before starting the CPU via the dedicated interface.

Технический результат также достигается благодаря тому, что предложено 1. устройство мониторинга и контроля обращений к BIOS со стороны центрального процессора (ЦП), включающее:The technical result is also achieved due to the fact that the proposed 1. device for monitoring and controlling requests to the BIOS from the central processing unit (CPU), including:

независимый модуль контроля обращений,an independent module for controlling requests,

независимый модуль хранилища загрузочного BIOS,independent storage module for bootable BIOS,

микропроцессор безопасности,safety microprocessor,

энергонезависимую флэш-память,non-volatile flash memory,

устройство контроля питания устройства,device power control device,

источник питания устройства,device power supply,

модуль оповещения,notification module,

при этом устройство выполнено с возможностью установки посредством интерфейса SPI между центральным процессором и хранилищем BIOS контролируемого устройства,the device is configured to be installed via the SPI interface between the central processor and the BIOS storage of the controlled device,

при этом устройство выполнено с возможностью контролировать питание контролируемого устройства на основании ответа от независимого модуля контроля обращений,in this case, the device is configured to control the power supply of the controlled device based on the response from an independent access control module,

при этом устройство выполнено с возможностью, в случае отсутствия подключения интерфейса SPI, выдачи оповещения посредством модуля оповещения,in this case, the device is made with the possibility, in the absence of connection of the SPI interface, to issue an alert by means of the alert module,

при этом устройство контроля питания устройства выполнено с возможностью контролировать питание устройства независимо от наличия питания контролируемого устройства,in this case, the device for monitoring the power supply of the device is made with the ability to control the power supply of the device regardless of the presence of power supply of the monitored device,

при этом независимый модуль контроля обращений реализуется с помощью логической интегральной схемы, первый выход которой соединен с первым входом независимого модуля хранилища загрузочного BIOS, а второй выход независимого модуля контроля обращений соединен с первым входом микропроцессора безопасности,in this case, the independent access control module is implemented using a logic integrated circuit, the first output of which is connected to the first input of the independent storage module of the bootable BIOS, and the second output of the independent access control module is connected to the first input of the security microprocessor,

при этом управлением работой независимого модуля контроля обращений выполняет микропроцессор безопасности, обеспечивающий безопасность работы системы,at the same time, the operation of the independent access control module is controlled by the safety microprocessor, which ensures the safety of the system,

при этом микропроцессор безопасности с помощью управляющих регистров в независимом модуле контроля обращений задает параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП контролируемого устройства,at the same time, the security microprocessor, using control registers in the independent access control module, sets the operating parameters of the independent access control module, namely: the size of the log for storing information about BIOS calls, the conditions for generating an interrupt request for the security microprocessor, as well as the conditions for blocking access to memory storing BIOS from the CPU side of the controlled device,

при этом устройство выполнено с возможностью сохранения информации о каждом обращении ЦП к BIOS, хранящегося в независимом модуле хранилища загрузочного BIOS, которое сохраняется в виде записи в журнале в энергонезависимой флэш-памяти независимого модуля контроля обращений, при этом каждая запись содержит свой порядковый номер, адрес данных, количество данных в байтах и код операции, выполняемой с данными, при этом по заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор анализирует журнал, при этом микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определенным адресам, заданным в управляющих регистрах,in this case, the device is configured to save information about each CPU access to the BIOS stored in an independent storage module of the boot BIOS, which is saved as a log entry in the non-volatile flash memory of the independent access control module, with each entry containing its own sequence number, address data, the amount of data in bytes and the code of the operation performed with the data, while filling the log, an interrupt request is generated for the security microprocessor, then the microprocessor analyzes the log, while the security microprocessor determines the data in the BIOS storage that are critical for the safe operation of the system, change which is unacceptable, and the independent access control module blocks requests to change these data located at certain addresses specified in the control registers,

при этом загрузка эталонной копии BIOS в независимом модуле хранилища загрузочного BIOS и заполнение управляющих регистров осуществляется микропроцессором безопасности по выделенному интерфейсу перед стартом ЦП контролируемого устройства,in this case, loading the reference BIOS copy in an independent storage module of the bootable BIOS and filling the control registers is carried out by the security microprocessor via a dedicated interface before starting the CPU of the controlled device,

при этом устройство выполнено с возможностью, в случае обнаружения нарушения безопасности системы, выдачи оповещения посредством модуля оповещения. В частных случаях реализации изобретения устройство оповещения содержит одно или более из:in this case, the device is made with the possibility, in case of detection of a security violation in the system, to issue an alert by means of the notification module. In particular cases of implementation of the invention, the notification device contains one or more of:

звукового оповещения,sound notification,

светового оповещения,light warning,

вибрационного оповещения.vibration alert.

В частных случаях реализации изобретения устройство контроля питания устройства реализовано в виде механического переключателя включения или отключения питания устройства.In particular cases of implementation of the invention, the device power control device is implemented in the form of a mechanical switch for turning on or off the device power.

В частных случаях реализации изобретения устройство контроля питания представляет собой аккумулятор.In particular cases of the implementation of the invention, the power control device is a battery.

ОПИСАНИЕ ЧЕРТЕЖЕЙDESCRIPTION OF DRAWINGS

Реализация изобретения будет описана в дальнейшем в соответствии с прилагаемыми чертежами, которые представлены для пояснения сути изобретения и никоим образом не ограничивают область изобретения. К заявке прилагаются следующие чертежи:The implementation of the invention will be described in the following in accordance with the accompanying drawings, which are presented to explain the essence of the invention and in no way limit the scope of the invention. The following drawings are attached to the application:

Рис. 1 схематическое представление заявленного устройства.Rice. 1 is a schematic representation of the claimed device.

ДЕТАЛЬНОЕ ОПИСАНИЕ ИЗОБРЕТЕНИЯDETAILED DESCRIPTION OF THE INVENTION

В приведенном ниже подробном описании реализации изобретения приведены многочисленные детали реализации, призванные обеспечить отчетливое понимание настоящего изобретения. Однако, квалифицированному в предметной области специалисту, будет очевидно каким образом можно использовать настоящее изобретение, как с данными деталями реализации, так и без них. В других случаях хорошо известные методы, процедуры и компоненты не были описаны подробно, чтобы не затруднять излишне понимание особенностей настоящего изобретения.In the following detailed description of an implementation of the invention, numerous implementation details are set forth in order to provide a thorough understanding of the present invention. However, it will be obvious to those skilled in the art how the present invention can be used, with or without these implementation details. In other instances, well-known techniques, procedures, and components have not been described in detail so as not to obscure the details of the present invention.

Кроме того, из приведенного изложения будет ясно, что изобретение не ограничивается приведенной реализацией. Многочисленные возможные модификации, изменения, вариации и замены, сохраняющие суть и форму настоящего изобретения, будут очевидными для квалифицированных в предметной области специалистов.In addition, it will be clear from the above description that the invention is not limited to the above implementation. Numerous possible modifications, changes, variations and substitutions, while retaining the spirit and form of the present invention, will be apparent to those skilled in the art.

На рис. 1 представлено схематическое представление заявленного устройства, согласно которому устройство содержит независимый модуль контроля обращений, независимый модуль хранилища загрузочного BIOS (хранилище BIOS), микропроцессор безопасности, представляющие собой отдельные, независимые друг от друга логические интегральные схемы и/или микроконтроллеры. При этом первый выход независимого модуля контроля обращений соединен с первым входом независимого модуля хранилища загрузочного BIOS, а второй выход независимого модуля контроля обращений соединен с первым входом микропроцессора безопасности.In fig. 1 shows a schematic diagram of the claimed device, according to which the device contains an independent access control module, an independent boot BIOS storage module (BIOS storage), a security microprocessor, which are separate, independent logic integrated circuits and / or microcontrollers. In this case, the first output of the independent access control module is connected to the first input of the independent storage module of the bootable BIOS, and the second output of the independent access control module is connected to the first input of the security microprocessor.

При этом устройство также реализовано таким образом, что включает в себя:Moreover, the device is also implemented in such a way that it includes:

- энергонезависимую флэш-память, предназначенную для хранения информации о каждом обращении центральным процессором контролируемого устройства (ЦП) к BIOS. Информация сохраняется в виде записи в электронном журнале в энергонезависимой флэш-памяти независимого модуля контроля обращений таким образом, что каждая запись содержит свой порядковый номер, адрес данных, количество данных в байтах и код операции, выполняемой с данными.- nonvolatile flash memory designed to store information about each access by the central processing unit of the controlled device (CPU) to the BIOS. The information is stored in the form of a record in an electronic journal in the non-volatile flash memory of an independent access control module in such a way that each record contains its own sequence number, data address, amount of data in bytes and the code of the operation performed with the data.

- устройство контроля питания устройства, предназначенное для обеспечения безопасности устройства в случае атаки на контролируемое устройство посредством сбоя питания контролируемого устройства, т.е. устройство контроля питания обеспечивает контроль питания контролируемого устройства в ответ на независимый модуль контроля обращений и/или пользовательский ввод. Устройство контроля питания устройства служит также для обеспечения безопасности, например, посредством одного из вариантов устройства, в котором реализован механический переключатель, например кнопки или реле, который позволяет выключить устройство и/или питание контролируемой системы вручную в случае обнаружения подозрения на не санкционированный доступ.- device power control device designed to ensure the safety of the device in the event of an attack on the controlled device through a power failure of the controlled device, i.e. the power monitor provides power monitoring of the monitored device in response to an independent access control module and / or user input. The device for monitoring the power supply of the device also serves to ensure security, for example, by means of one of the variants of the device, which implements a mechanical switch, for example a button or relay, which allows turning off the device and / or the power supply of the monitored system manually in case of suspicion of unauthorized access.

- источник питания устройства, предназначенный для независимого питания устройства. Источник питания устройства служит для обеспечения питания устройства даже в случае, если произведена атака контролируемого устройства посредством перебоя питания контролируемого устройства. Источник питания устройства может быть реализован в виде аккумулятора, батареи или иного элемента сохранения энергии. Таким образом также повышается безопасность работы устройства, а также повышается безопасность системы, улучшается защита от не санкционированного доступа к системе контролируемого устройства.- device power supply intended for independent power supply of the device. The power supply of the device serves to provide power to the device even if the controlled device is attacked by interrupting the power supply of the controlled device. The power source of the device can be implemented in the form of a battery, battery, or other energy storage element. Thus, the safety of the device is also increased, as well as the security of the system, and the protection against unauthorized access to the system of the monitored device is improved.

- модуль оповещения, предназначен для оповещения пользователя или доверенного лица об отсутствии подключения по каналу SPI. Модуль оповещения может быть реализован в виде визуальных сигналов, например, светодиодов, или с помощью звуковых сигналов, например, с помощью динамика. Дополнительно модуль оповещения может быть реализован в виде вибрационного устройства. Таким образом также повышается безопасность работы устройства, а также повышается безопасность системы, улучшается защита от не санкционированного доступа к системе контролируемого устройства.- notification module, designed to notify the user or proxy about the lack of connection via the SPI channel. The notification module can be implemented as visual signals such as LEDs or audible signals such as a speaker. Additionally, the notification module can be implemented as a vibration device. Thus, the safety of the device is also increased, as well as the security of the system, and the protection against unauthorized access to the system of the monitored device is improved.

Принцип работы заявленного устройства заключается в следующем.The principle of operation of the claimed device is as follows.

Устройство встраивается в линию загрузки (интерфейс SPI) между центральным процессором контролируемого устройства и хранилищем BIOS контролируемого устройства. При этом устройство реализовано таким образом, что бы контролировать питание контролируемого устройства, т.е. устройство встраивается таким образом, что бы, при включении контролируемого устройства, заявленное устройство загружалось первым и осуществляло контроль. Таким образом заявляемое устройство будет осуществлять контроль целостности BIOS перед запуском ПК и, в случае нарушения целостности BIOS, производить ее восстановление из резервной копии. В процессе работы устройство контролирует обращения к BIOS и при прохождении некорректного или недопустимого обращения блокирует его поступление в SPI-Flash путем блокирования шины SPI.The device is embedded in the boot line (SPI interface) between the central processor of the controlled device and the BIOS storage of the controlled device. In this case, the device is implemented in such a way as to control the power supply of the monitored device, i.e. the device is built in in such a way that, when the controlled device is turned on, the declared device is loaded first and monitored. Thus, the claimed device will monitor the integrity of the BIOS before starting the PC and, in case of violation of the integrity of the BIOS, restore it from a backup copy. During operation, the device monitors BIOS calls and, when an incorrect or invalid access occurs, blocks its entry into the SPI-Flash by blocking the SPI bus.

Далее следует отметить, что независимый модуль контроля обращений реализуется с помощью логической интегральной схемы (ЛИС), к которой подключается микросхема памяти для хранения загрузочного BIOS. Таким образом, в случае обнаружения повреждения или в случае выхода из строя любой из микросхем возможна, например, модульная замена неисправной части, например, легкая и быстрая замена независимого модуля контроля обращений, модуля хранилища загрузочного BIOS и/или микропроцессора безопасности и/или других частей заявленного устройства. Таким образом повышается безопасность контролируемой системы.Further, it should be noted that an independent access control module is implemented using a logical integrated circuit (LIS), to which a memory chip is connected to store the bootable BIOS. Thus, in case of damage or failure of any of the microcircuits, it is possible, for example, a modular replacement of the defective part, for example, an easy and quick replacement of an independent access control module, a bootable BIOS storage module and / or a security microprocessor and / or other parts. the declared device. This increases the safety of the monitored system.

Далее управлением работой контроллера выполняет микропроцессор безопасности, обеспечивающий безопасность работы системы. Микропроцессор безопасности с помощью управляющих регистров в ЛИС задает параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП.Further, the operation of the controller is controlled by a safety microprocessor, which ensures the safety of the system. The security microprocessor, using control registers in the LIS, sets the operating parameters of the independent access control module, namely: the size of the log for storing information about calls to the BIOS, the conditions for generating an interrupt request for the security microprocessor, as well as the conditions for blocking access to BIOS storage memory from the CPU ...

Информация о каждом обращении ЦП к BIOS сохраняется в виде записи в журнале в оперативной памяти независимого модуля контроля обращений на ЛИС. Каждая запись содержит свой порядковый номер, адрес данных в памяти хранения BIOS, количество данных в байтах и код операции, выполняемой с данными. По заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор забирает информацию из журнала контроллера и анализирует ее.Information about each CPU access to the BIOS is saved as a log entry in the RAM of the independent access control module on the LIS. Each entry contains its own sequence number, the address of the data in the BIOS storage memory, the amount of data in bytes and the code of the operation performed with the data. When the log is full, an interrupt request is generated for the safety microprocessor, then the microprocessor takes information from the controller log and analyzes it.

Также микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определенным адресам, заданным в управляющих регистрах.Also, the security microprocessor detects data in the BIOS storage that are critical for the safe operation of the system, the change of which is unacceptable, and the independent access control module blocks requests to change this data located at certain addresses specified in the control registers.

Загрузка эталонной копии BIOS в хранилище и заполнение управляющих регистров (параметров работы независимого модуля контроля обращений) осуществляется микропроцессором безопасности перед стартом ЦП по выделенному интерфейсу.Loading the BIOS master copy into the storage and filling the control registers (parameters of the operation of the independent access control module) is carried out by the security microprocessor before starting the CPU via the dedicated interface.

Claims (18)

Устройство мониторинга и контроля обращений к BIOS со стороны центрального процессора (ЦП), включающее:A device for monitoring and controlling access to BIOS from the central processing unit (CPU), including: независимый модуль контроля обращений, an independent module for controlling requests, независимый модуль хранилища загрузочного BIOS, independent storage module for bootable BIOS, микропроцессор безопасности,safety microprocessor, энергонезависимую флэш-память, non-volatile flash memory, устройство контроля питания устройства, device power control device, источник питания устройства, device power supply, модуль оповещения,notification module, при этом устройство выполнено с возможностью установки посредством интерфейса SPI между центральным процессором и хранилищем BIOS контролируемого устройства,the device is configured to be installed via the SPI interface between the central processor and the BIOS storage of the controlled device, при этом устройство выполнено с возможностью контролировать питание контролируемого устройства на основании ответа от независимого модуля контроля обращений,in this case, the device is configured to control the power supply of the controlled device based on the response from an independent access control module, при этом устройство выполнено с возможностью, в случае отсутствия подключения интерфейса SPI, выдачи оповещения посредством модуля оповещения,in this case, the device is made with the possibility, in the absence of connection of the SPI interface, to issue an alert by means of the alert module, при этом устройство контроля питания устройства выполнено с возможностью контролировать питание устройства независимо от наличия питания контролируемого устройства,in this case, the device for monitoring the power supply of the device is made with the ability to control the power supply of the device regardless of the presence of power supply of the monitored device, при этом независимый модуль контроля обращений реализуется с помощью логической интегральной схемы, первый выход которой соединен с первым входом независимого модуля хранилища загрузочного BIOS, а второй выход независимого модуля контроля обращений соединен с первым входом микропроцессора безопасности,in this case, the independent access control module is implemented using a logic integrated circuit, the first output of which is connected to the first input of the independent storage module of the bootable BIOS, and the second output of the independent access control module is connected to the first input of the security microprocessor, при этом управление работой независимого модуля контроля обращений выполняет микропроцессор безопасности, обеспечивающий безопасность работы системы,at the same time, the operation of the independent access control module is controlled by the safety microprocessor, which ensures the safety of the system, при этом микропроцессор безопасности с помощью управляющих регистров в независимом модуле контроля обращений задаёт параметры работы независимого модуля контроля обращений, а именно: размер журнала для хранения информации об обращениях к BIOS, условия формирования запроса на прерывание для микропроцессора безопасности, а также условия блокировки обращений к памяти хранения BIOS со стороны ЦП контролируемого устройства,in this case, the security microprocessor, using control registers in the independent access control module, sets the operating parameters of the independent access control module, namely: the size of the log for storing information about BIOS calls, the conditions for generating an interrupt request for the security microprocessor, as well as the conditions for blocking access to memory storing BIOS from the CPU side of the controlled device, при этом устройство выполнено с возможностью сохранения информации о каждом обращении ЦП к BIOS, хранящемся в независимом модуле хранилища загрузочного BIOS, которое сохраняется в виде записи в журнале в энергонезависимой флэш-памяти независимого модуля контроля обращений, при этом каждая запись содержит свой порядковый номер, адрес данных, количество данных в байтах и код операции, выполняемой с данными, при этом по заполнению журнала формируется запрос на прерывание для микропроцессора безопасности, затем микропроцессор анализирует журнал, при этом микропроцессор безопасности определяет данные в хранилище BIOS, являющиеся критическими для безопасной работы системы, изменение которых недопустимо, а независимый модуль контроля обращений выполняет блокировку запросов на изменение этих данных, расположенных по определённым адресам, заданным в управляющих регистрах, in this case, the device is made with the ability to save information about each CPU access to the BIOS, stored in an independent storage module of the boot BIOS, which is saved as a log entry in the non-volatile flash memory of the independent access control module, while each entry contains its own sequence number, address data, the amount of data in bytes and the code of the operation performed with the data, while filling the log, an interrupt request is generated for the security microprocessor, then the microprocessor analyzes the log, while the security microprocessor determines the data in the BIOS storage that are critical for the safe operation of the system, change which is unacceptable, and the independent access control module blocks requests for changing these data located at certain addresses specified in the control registers, при этом загрузка эталонной копии BIOS в независимом модуле хранилища загрузочного BIOS и заполнение управляющих регистров осуществляется микропроцессором безопасности по выделенному интерфейсу перед стартом ЦП контролируемого устройства,in this case, loading the reference BIOS copy in an independent storage module of the bootable BIOS and filling the control registers is carried out by the security microprocessor via a dedicated interface before starting the CPU of the controlled device, при этом устройство выполнено с возможностью, в случае обнаружения нарушения безопасности системы, выдачи оповещения посредством модуля оповещения.in this case, the device is made with the possibility, in case of detection of a security violation in the system, to issue an alert by means of the notification module.
RU2021105388A 2021-03-02 2021-03-02 Device for monitoring and controlling accesses to bios from the cpu RU2762519C1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2021105388A RU2762519C1 (en) 2021-03-02 2021-03-02 Device for monitoring and controlling accesses to bios from the cpu

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2021105388A RU2762519C1 (en) 2021-03-02 2021-03-02 Device for monitoring and controlling accesses to bios from the cpu

Publications (1)

Publication Number Publication Date
RU2762519C1 true RU2762519C1 (en) 2021-12-21

Family

ID=80039202

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2021105388A RU2762519C1 (en) 2021-03-02 2021-03-02 Device for monitoring and controlling accesses to bios from the cpu

Country Status (1)

Country Link
RU (1) RU2762519C1 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070130452A1 (en) * 2003-09-18 2007-06-07 Muir Robert L Bios protection device
US20120208619A1 (en) * 2010-10-25 2012-08-16 Wms Gaming, Inc. Computer bios protection and authentication
RU2538329C1 (en) * 2013-07-11 2015-01-10 Общество с ограниченной ответственностью Фирма "Анкад" Apparatus for creating trusted environment for computers of information computer systems
RU151429U1 (en) * 2014-08-08 2015-04-10 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" COMPUTER WITH PROTECTED DATA STORAGE
US20150356299A1 (en) * 2014-06-04 2015-12-10 Dell Products L.P. Bios secure data management system
RU181870U1 (en) * 2017-07-21 2018-07-26 Общество с ограниченной ответственностью Фирма "Анкад" Device for monitoring the integrity of components of the software environment of computer technology

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070130452A1 (en) * 2003-09-18 2007-06-07 Muir Robert L Bios protection device
US20120208619A1 (en) * 2010-10-25 2012-08-16 Wms Gaming, Inc. Computer bios protection and authentication
RU2538329C1 (en) * 2013-07-11 2015-01-10 Общество с ограниченной ответственностью Фирма "Анкад" Apparatus for creating trusted environment for computers of information computer systems
US20150356299A1 (en) * 2014-06-04 2015-12-10 Dell Products L.P. Bios secure data management system
RU151429U1 (en) * 2014-08-08 2015-04-10 Закрытое акционерное общество "Крафтвэй корпорэйшн ПЛС" COMPUTER WITH PROTECTED DATA STORAGE
RU181870U1 (en) * 2017-07-21 2018-07-26 Общество с ограниченной ответственностью Фирма "Анкад" Device for monitoring the integrity of components of the software environment of computer technology

Similar Documents

Publication Publication Date Title
CN103718165B (en) BIOS flash memory attack protection and notice
US9158628B2 (en) Bios failover update with service processor having direct serial peripheral interface (SPI) access
EP2989579B1 (en) Redundant system boot code in a secondary non-volatile memory
JP5164285B2 (en) Computer system with anti-malware
US9734339B2 (en) Retrieving system boot code from a non-volatile memory
US10445255B2 (en) System and method for providing kernel intrusion prevention and notification
US7707454B2 (en) Method for protecting backup data of a computer system from damage
CN107665308B (en) TPCM system for building and maintaining trusted operating environment and corresponding method
US7769993B2 (en) Method for ensuring boot source integrity of a computing system
CN106662994B (en) Detecting changes to system management mode BIOS code
CN110069361B (en) Method and apparatus for TPM failover
US9245122B1 (en) Anti-malware support for firmware
KR20000071056A (en) Security coprocessor for enhancing computer system security
US20170262341A1 (en) Flash memory-hosted local and remote out-of-service platform manageability
CN113806745B (en) Verification checking method, computing system and machine-readable storage medium
RU2762519C1 (en) Device for monitoring and controlling accesses to bios from the cpu
Morgan et al. Design and implementation of a hardware assisted security architecture for software integrity monitoring
US20220374511A1 (en) Systems and methods for assuring integrity of operating system and software components at runtime
CN108629185B (en) Server trusted platform measurement control system and operation method thereof
Suzaki et al. Kernel memory protection by an insertable hypervisor which has VM introspection and stealth breakpoints
RU2755771C1 (en) Method for starting a hypervisor in a computer system at an early stage of loading the computer from an external hardware apparatus
US11847226B1 (en) Baseboard Management Controller (BMC)-based security processor
JP2022047564A (en) Information processing device
Chen et al. DScope: To Reliably and Securely Acquire Live Data from Kernel-Compromised ARM Devices
CN117193885A (en) Method, device, equipment and medium for safely starting computer equipment