RU2633098C1 - Computer system with remote control by server and device for creating trusted environment and method for implementation of remote control - Google Patents

Abstract

FIELD: information technology.

SUBSTANCE: system includes a trusted environment creation device, installed on the server with a remote control module, and a remote multifactor mutual authentication module, trusted environment creation device with a remote multifactor mutual authentication module and a remote administration module, installed on the administrator workstation, wherein the server and the administrator workstation are provided with trusted connection modules, which form a communication channel between the computer and the server with transparent encryption of network traffic and including a VPN server and a VPN client, respectively.

EFFECT: increasing the effectiveness of protecting computers from unauthorized actions and providing protection against unauthorized access to information processed and stored in computer information systems, simplifying operations by centralizing control while enabling remote control and remote access to distributed network resources.

3 cl, 3 dwg

Description

Изобретение относится к области вычислительной техники и предназначено для создания защищенных компьютерных сетей с удаленным управлением и администрированием автоматизированных рабочих мест (АРМ), серверов и другого компьютерного оборудования. Его использование позволит получить технический результат в виде повышения эффективности защиты АРМ и серверов от несанкционированных действий на всех этапах их работы и обеспечения защиты от несанкционированного доступа (НСД) к информации, обрабатываемой и хранимой в компьютерных информационно-вычислительных системах (ИВС), а также упрощение работы IT-персонала за счет централизации управления при обеспечении возможности удаленного управления и удаленного доступа к ресурсам ИВС с распределенной структурой.The invention relates to the field of computer technology and is intended to create secure computer networks with remote management and administration of automated workstations (AWS), servers and other computer equipment. Its use will allow to obtain a technical result in the form of increasing the efficiency of protecting AWPs and servers from unauthorized actions at all stages of their work and ensuring protection against unauthorized access (NSD) to information processed and stored in computer information and computing systems (IVS), as well as simplification the work of IT personnel due to centralization of management while providing the possibility of remote management and remote access to ICS resources with a distributed structure.

В настоящее время разработан ряд технологий, являющихся стандартами в области встроенных систем управления и обслуживания серверов, которые базируются на использовании интеллектуального интерфейса управления платформой (IPMI - Intelligent Platform Management Interface), предназначенного для мониторинга и управления сервером. Спецификация IPMI была разработана в 1998 году фирмой Intel и используется многими ведущими производителями компьютеров [1]. IPMI предназначен для автономного мониторинга и управления функциями, встроенными непосредственно в аппаратное и микропрограммное обеспечения серверных платформ, и позволяет осуществлять мониторинг, восстановление функций управления, журналирование, управление питанием, защиту паролем и другие функции управления платформой.Currently, a number of technologies have been developed that are standards in the field of embedded server management and maintenance systems, which are based on the use of the Intelligent Platform Management Interface (IPMI) for monitoring and server management. The IPMI specification was developed in 1998 by Intel and is used by many leading computer manufacturers [1]. IPMI is designed for autonomous monitoring and management of functions built directly into the hardware and firmware of server platforms, and allows monitoring, restoring management functions, journaling, power management, password protection and other platform management functions.

Аппаратной составляющей IPMI является встроенный в платформу автономный микроконтроллер, который носит название ВМС (Baseboard management controller) и работает независимо от центрального процессора, базовой системы для запуска персонального компьютера (BIOS) и операционной системы (ОС) компьютера, обеспечивая управление серверной платформой даже в тех случаях, когда сервер выключен (достаточно лишь подключения к источнику питания). Микроконтроллер ВМС имеет собственный процессор, память и сетевой интерфейс. Для удаленного управления сервером используется технология KVM-over-IP, обеспечивающая передачу видеоизображений и команд (событий) с клавиатуры и/или мыши через Интернет. Подробное описание структуры и принципа функционирования IPMI, а также функций микроконтроллера ВМС на сервере, обеспечивающих контроль его состояния и управление, приведены в работе [2].The hardware component of IPMI is an autonomous microcontroller built into the platform, which is called the Baseboard management controller and operates independently of the central processor, the base system for starting a personal computer (BIOS), and the computer operating system (OS), providing control of the server platform even in those cases when the server is turned off (just connecting to a power source). The Navy microcontroller has its own processor, memory and network interface. For remote server management, KVM-over-IP technology is used, which provides the transmission of video images and commands (events) from the keyboard and / or mouse via the Internet. A detailed description of the structure and principle of operation of IPMI, as well as the functions of the Navy microcontroller on the server, providing control of its status and management, is given in [2].

Практика показывает, что использование для критичных информационных технологий зарубежной компьютерной техники, комплектующих и программного обеспечения (ПО), производители которых не дают полной информации о своей продукции, не гарантирует отсутствие в ней недекларируемых возможностей, следовательно, не гарантирует требуемой степени защиты от НСД к критичным компонентам ИВС и ее информационным ресурсам. В частности, в IPMI-системах удаленного доступа проводится однофакторная аутентификация по паролю, в то время как при использовании отечественных устройств создания доверенной среды - аппаратно-программных модулей доверенной загрузки (АПМДЗ) при доступе к ИВС и ее компонентам применяется многофакторная аутентификация, при которой помимо пароля требуется предъявить специальный аутентифицирующий носитель пользователя (АНП). Кроме того, в информационных системах на базе АПМДЗ создается доверенная среда за счет интеграции модулем различных средств защиты информации, включая криптографические средства, в комплексную систему защиты ИВС.Practice shows that the use of foreign computer equipment, components and software (software) for critical information technologies, whose manufacturers do not provide complete information about their products, does not guarantee the absence of undeclared capabilities in it, therefore, it does not guarantee the required degree of protection against unauthorized access to critical IVS components and its information resources. In particular, remote access IPMI systems provide one-factor authentication with a password, while using domestic devices for creating a trusted environment - hardware-software modules for trusted loading (APMDZ), when accessing an IVS and its components, multifactor authentication is used, in addition to the password must be provided with a special authentication user medium (ANP). In addition, a trusted environment is created in information systems based on APMDZ by integrating various information protection tools, including cryptographic tools, into a comprehensive security system of an IVS module.

Поэтому по требованиям отечественного регулятора серверы и АРМ ИВС, на которых обрабатывается информация с высоким уровнем конфиденциальности, должны быть защищены устройствами создания доверенной среды - АПМДЗ.Therefore, according to the requirements of the domestic regulator, servers and automated workstations of the IVS, on which information with a high level of confidentiality is processed, must be protected by devices for creating a trusted environment - APMDZ.

За последние годы IPMI достаточно широко внедрился в современные компьютерные системы ведущих производителей и претерпел ряд ревизий и различных реализаций, так что набор поддерживаемых функций на конкретном сервере зависит от производителя материнской платы и версии прошивки. И если ОС компьютера поддерживает IPMI, то с помощью специального серверного ПО (например, программ OpenIPMI и FreeIPMI) можно подключиться к нему и получить необходимую информацию. В связи с этим интерфейс IPMI представляет потенциальную опасность атак на сервер (в т.ч. выключенный) через Интернет, увеличивая вероятность несанкционированного доступа к его ресурсам. Кроме того, некоторые из экспертов по информационной безопасности обращают внимание на тот факт, что с помощью контроллера ВМС через интерфейс IPMI можно удаленно полностью контролировать аппаратное и программное обеспечение серверов, что дает злоумышленнику практически неограниченные возможности по несанкционированному воздействию на них в случае получения контроля над IPMI [3, 4]. Этот факт подтверждает обоснованность требований отечественного регулятора в дополнительной защите серверов и АРМ ИВС с помощью АПМДЗ.In recent years, IPMI has been widely introduced into modern computer systems of leading manufacturers and has undergone a number of revisions and various implementations, so the set of supported functions on a specific server depends on the motherboard manufacturer and firmware version. And if the computer OS supports IPMI, then using special server software (for example, OpenIPMI and FreeIPMI programs), you can connect to it and get the necessary information. In this regard, the IPMI interface represents a potential danger of attacks on the server (including off) via the Internet, increasing the likelihood of unauthorized access to its resources. In addition, some of the information security experts draw attention to the fact that using the Navy controller through the IPMI interface you can remotely fully control the hardware and software of the servers, which gives an attacker almost unlimited possibilities for unauthorized exposure to them if they gain control over IPMI [3, 4]. This fact confirms the validity of the requirements of the domestic regulator in the additional protection of servers and automated workplaces of the IVS using APMDZ.

Однако применение АПМДЗ в серверных платформах IPMI с ВМС невозможно при удаленном доступе и управлении, поскольку для доступа к защищенному объекту (серверу) необходимо защищающему его АПМДЗ предъявить АНП. Сделать это непосредственно на сервере невозможно, так как для этого в серверном помещении должно постоянно находиться физическое лицо, которое при каждом обращении к серверу должно предъявлять защищающему его АПМДЗ через соответствующий считыватель АНП (например, смарт-карту, USB-носитель или идентификатор типа Touch Memory), что нереально в условиях автоматизации процесса и удаленности доступа, поскольку обращение к серверу может быть с АРМ, размещенного даже в другом географическом регионе.However, the use of APMDZ in IPMI server platforms with a Navy is not possible with remote access and control, because in order to access a protected object (server), it is necessary to present the APMD protecting it. It is impossible to do this directly on the server, because for this a physical person must always be in the server room, who must present the APMDZ to the server protecting it through an appropriate ANP reader (for example, a smart card, USB-drive or Touch Memory type identifier) ), which is unrealistic in conditions of automation of the process and remoteness of access, since access to the server can be from an automated workplace located even in another geographical region.

Из этого следует, что АНП модулю доверенной загрузки сервера должен быть предъявлен удаленно, для чего он должен быть зарегистрирован на сервере при инициализации защищающего его АПМДЗ. При этом для регистрации и последующего проведения многофакторной взаимной аутентификации между АРМ и сервером должен быть установлен защищенный канал, причем защита канала должна быть «прозрачной» для соответствующего управляющего программного обеспечения (ПО) и протоколов IPMI, то есть должна быть обеспечена совместимость с различными платформами и устройствами, используемыми в существующих ИВС, и независимость от типа сетевого трафика.It follows that the ANP must be presented to the server trusted boot module remotely, for which it must be registered on the server during initialization of the APMDZ protecting it. At the same time, a secure channel must be installed between the AWS and the server for registration and subsequent multifactor mutual authentication, and the channel protection must be “transparent” for the corresponding control software (software) and IPMI protocols, that is, compatibility with various platforms and devices used in existing IVS, and independence from the type of network traffic.

Для безопасной регистрации целесообразно задействовать криптографические функции АНП непосредственно при инициализации АПМДЗ на сервере с формированием не извлекаемого из АНП ключа аутентификации. После регистрации и создания ключа аутентификации появляется возможность удаленно формировать защищенный канал между АНП и АПМДЗ сервера с использованием протоколов взаимной аутентификации и выработки сеансовых ключей (например, на основе Диффи-Хеллмана) с обеспечением прозрачности канала для управляющего ПО и прозрачного шифрования трафика стандартных протоколов IPMI.For secure registration, it is advisable to use the cryptographic functions of the ANP directly during the initialization of the APMDZ on the server with the formation of an authentication key that cannot be extracted from the ANP. After registering and creating an authentication key, it becomes possible to remotely form a secure channel between the ANP and the APMDZ server using mutual authentication protocols and generating session keys (for example, based on Diffie-Hellman) with channel transparency for control software and transparent traffic encryption of standard IPMI protocols.

Для реализации удаленного управления необходимо передавать с АРМ по сети события от устройств связи человека с компьютером (клавиатуры, «мыши» и др.), а также видеоизображения. Эту задачу можно решить как аппаратным, так и программным способом.To implement remote control, it is necessary to transmit events from the human-computer communication devices (keyboards, “mice”, etc.), as well as video images, from the AWP over the network. This problem can be solved both in hardware and in software.

Аппаратное решение - это эмуляция видеоплаты на шине PCIe или событий клавиатуры/мыши на шине USB. Главный плюс данного решения в том, что не требуется исполнение своего кода в компьютере, и поэтому оно будет работать вне зависимости от программного окружения и при любой базовой системе для запуска персонального компьютера (старой Basic Input/Output System (BIOS) - базовая система ввода-вывода или новой Unified Extensible Firmware Interface (UEFI) - расширяемый интерфейс встроенного программного обеспечения). Однако аппаратное решение имеет немало минусов, в частности, оно не будет работать при настройке UEFI/BIOS на использование встроенного видеоадаптера и при отключении в них поддержки USB HID (спецификация устройств взаимодействия с человеком), а также зависит от конкретной аппаратной реализации устройств.A hardware solution is emulating a video card on a PCIe bus or keyboard / mouse events on a USB bus. The main advantage of this solution is that it does not require the execution of its code on a computer, and therefore it will work regardless of the software environment and with any basic system to start a personal computer (the old Basic Input / Output System (BIOS) - the basic input system output or the new Unified Extensible Firmware Interface (UEFI) - an extensible firmware interface). However, the hardware solution has many disadvantages, in particular, it will not work when configuring the UEFI / BIOS to use the integrated video adapter and disabling USB HID support in them (specification of human interaction devices), and also depends on the specific hardware implementation of the devices.

Программное решение проще в реализации и позволяет обеспечить универсальность. В частности, можно использовать программный захват изображения и внедрение событий от клавиатуры и мыши, например, с помощью технологии аппаратной виртуализации - замены реальных ресурсов с теми же функциями и внешними интерфейсами, что и у физических прототипов, с помощью диспетчера виртуальных машин (Virtual Machine Manager - VMM или гипервизора) - программного обеспечения, позволяющего виртуализировать системные ресурсы и отобразить все адресное пространство в виртуальную машину, в которой продолжат исполняться работающие на компьютере системы запуска (BIOS или UEFI).The software solution is easier to implement and allows for versatility. In particular, it is possible to use software image capture and implementation of events from the keyboard and mouse, for example, using hardware virtualization technology - replacing real resources with the same functions and external interfaces as physical prototypes using the Virtual Machine Manager - VMM or hypervisor) - software that allows you to virtualize system resources and map all address space to a virtual machine, in which systems running on the computer continue to run Starting PC (BIOS or UEFI).

Виртуализация - это общий термин, описывающий процесс создания абстракции ресурсов. Делится на несколько типов, таких как эмуляция, программная и аппаратная виртуализация, паравиртуализация. Одним из преимуществ некоторых типов виртуализации, в частности аппаратной виртуализации и эмуляции, является возможность создания изолированной гостевой системы, управляемой гипервизором (небольшим программным кодом) напрямую. Аппаратная виртуализация практически не снижает производительность системы, что дает ей возможности широкого практического применения. Каждая из виртуальных машин может работать независимо, в своем пространстве аппаратных ресурсов, полностью изолированно друг от друга. Это позволяет увеличить защищенность.Virtualization is a general term that describes the process of creating a resource abstraction. It is divided into several types, such as emulation, software and hardware virtualization, paravirtualization. One of the advantages of some types of virtualization, in particular hardware virtualization and emulation, is the ability to create an isolated guest system controlled directly by a hypervisor (small program code). Hardware virtualization practically does not reduce system performance, which gives it the possibility of wide practical application. Each of the virtual machines can work independently, in its space of hardware resources, completely isolated from each other. This allows you to increase security.

Необходимо также отметить, что протокол IPMI и его реализации используют криптографию, не соответствующую российским стандартам. Следовательно, необходима дополнительная защита IPMI-трафика. А чтобы при этом обеспечить совместимость создаваемой дополнительной защиты с используемыми готовыми реализациями без необходимости их модификации, требуется обеспечить для них прозрачность защищенного канала связи. Для этого предлагается технология VPN, позволяющая инкапсулировать в защищенный канал связи любые протоколы.It should also be noted that the IPMI protocol and its implementations use cryptography that does not comply with Russian standards. Therefore, additional protection for IPMI traffic is required. And in order to ensure the compatibility of the created additional protection with the used ready-made implementations without the need for modification, it is necessary to ensure the transparency of the secure communication channel for them. For this, VPN technology is proposed that allows encapsulating any protocols in a secure communication channel.

Таким образом, для создания защищенной и универсальной системы удаленного управления серверами на основе АПМДЗ необходимо разработать АПМДЗ с набором дополнительных блоков, обеспечивающих удаленную взаимную многофакторную аутентификацию и надежную защищенную передачу данных по сети (команд управления, состояния клавиатуры/мыши, видеоизображений и другой информации), с формированием доверенного канала связи и полностью совместимую с системами, базирующимися на использовании интеллектуального интерфейса управления платформой IPMI.Thus, to create a secure and universal system of remote server management based on APMDZ, it is necessary to develop an APMDZ with a set of additional units that provide remote mutual multifactor authentication and reliable secure transmission of data over the network (control commands, keyboard / mouse status, video images and other information), with the formation of a trusted communication channel and is fully compatible with systems based on the use of the intelligent IPMI platform management interface.

В настоящее время на рынке существует большое количество различных устройств, обеспечивающих доверенную загрузку компьютера и позволяющих создать доверенную среду для выполнения программ на всех этапах работы компьютера.Currently, there are a large number of various devices on the market that provide trusted computer boot and allow you to create a trusted environment for running programs at all stages of the computer.

Одним из первых наиболее полнофункциональных представителей устройств данного класса является устройство защиты информации от несанкционированного доступа для компьютеров информационно-вычислительных систем, описанное в патенте RU №2321055, кл. G06F 12/14 от 12.05.2006 г., опубликованное 27.03.2008 г. [5], представляющее собой АПМДЗ, который помимо выполнения набора стандартных функций, характерных для устройств данного класса, реализует функции системообразующего модуля, обеспечивающего взаимосвязь и взаимодействие между компонентами системы комплексной защиты, например с такими как шифраторы, системы разграничения доступа (СРД), устройствами блокировки и т.п. С этой целью в АПМДЗ введены аппаратные и программные модули, повышающие уровень его функциональности по защите от НСД и эффективность самой защиты, возможности ограничения и разграничения доступа к аппаратным и программным компонентам компьютера и самим устройствам защиты, эффективной и надежной блокировки компьютера при различных попытках несанкционированных действий, а также выполнения наиболее критичных операций непосредственно в самом АПМДЗ и загрузку алгоритмов шифрования и ключевой информации в устройства криптографической защиты информации.One of the first most fully-functional representatives of devices of this class is a device for protecting information from unauthorized access for computers of information and computing systems, described in patent RU No. 2323255, cl. G06F 12/14 dated 05/12/2006, published on 03/27/2008 [5], which is an APMDZ that, in addition to performing a set of standard functions specific to devices of this class, implements the functions of a backbone module that provides interconnection and interaction between system components comprehensive protection, for example, with encryptors, access control systems (RDS), blocking devices, etc. For this purpose, APMDZ introduced hardware and software modules that increase the level of its functionality for protection against unauthorized access and the effectiveness of the protection itself, the possibility of restricting and restricting access to the hardware and software components of the computer and the protection devices themselves, effective and reliable locking of the computer during various attempts of unauthorized actions , as well as performing the most critical operations directly in the APMDZ itself and loading encryption algorithms and key information into cryptographic devices protect information.

АПМДЗ учитывает и новые тенденции в развитии ИВС, в частности реализует надежные механизмы защиты от несанкционированного доступа в сеть при использовании технологии «тонкого клиента» (ТК). Это направление предъявляет более жесткие требования к средствам информационной защиты, в первую очередь, к средствам аутентификации и ограничения прав пользователей, а также к защите не только рабочего места (терминала), но и серверной части и канала связи. Данные задачи решает модуль поддержки взаимодействия с серверами ИВС, блок ПО удаленного доступа и блок ПО удаленного управления устройством.APMDZ also takes into account new trends in the development of ITTs, in particular, it implements reliable mechanisms for protection against unauthorized access to the network using the “thin client” (TC) technology. This direction makes more stringent requirements for information security tools, first of all, for authentication and restriction of user rights, as well as for protecting not only the workplace (terminal), but also the server part and the communication channel. These tasks are solved by the module supporting interaction with IVS servers, the remote access software unit and the device remote control software unit.

ПО удаленного доступа позволяет пользователю входить в сеть организации с компьютера, находящегося вне ее, обеспечивая надежные механизмы аутентификации и идентификации, а ПО удаленного управления позволяет решать проблемы, возникающие на удаленном компьютере, проводить его администрирование.Remote access software allows the user to enter the organization’s network from a computer located outside it, providing reliable authentication and identification mechanisms, and remote management software allows solving problems arising on the remote computer and administer it.

Однако реализуемый устройством способ удаленного управления обеспечивает в ИВС удаленное администрирование АРМ с помощью установленных на них АПМДЗ и поддержку взаимодействия с серверами, в частности, при функционировании в системе, построенной по архитектуре «тонкого клиента», но не позволяет управлять серверами.However, the remote control method implemented by the device provides for remote administration of the automated workstation in the IVS using the APMDZ installed on them and supports interaction with the servers, in particular, when operating in a system built on the basis of the “thin client” architecture, but does not allow managing the servers.

Описанное устройство реализовано и серийно производится ООО Фирма «АНКАД» в виде продукта АПМДЗ «КРИПТОН-ЗАМОК».The described device is implemented and mass-produced by LLC ANKAD Firm in the form of the APMDZ KRIPTON-ZAMOK product.

Однако данный и другие известные АПМДЗ не обеспечивают в полной мере доверенную среду для обработки информации, поскольку устанавливаются на общую шину управления и обмена данными, предназначенную для подключения периферийных устройств к материнской плате компьютера (в частности, шину взаимодействия периферийных компонентов PCI - Peripheral Component Interconnect). Поэтому функционирование АПМДЗ начинается не с включения компьютера, а после того как произошла инициализация и загрузилась BIOS. Следовательно, в случае загрузки недоверенной BIOS несанкционированные действия могут произойти до инициализации АПМДЗ. Таким образом, необходимым условием создания доверенной среды является решение задачи защиты кода BIOS от модификации и несанкционированного воздействия как при загрузке компьютера, так и в процессе работы.However, this and other well-known APMDZs do not provide a fully trusted environment for processing information, because they are installed on a common control and data exchange bus designed to connect peripheral devices to the computer motherboard (in particular, the bus for the interaction of peripheral components PCI - Peripheral Component Interconnect) . Therefore, the operation of APMDZ does not begin with turning on the computer, but after the initialization has taken place and the BIOS has loaded. Therefore, in the case of loading an untrusted BIOS, unauthorized actions may occur before initialization of the APMDZ. Thus, a prerequisite for creating a trusted environment is to solve the problem of protecting the BIOS code from modification and unauthorized interference both when the computer boots up and during operation.

При этом недостаточно иметь доверенную BIOS на этапе загрузки, поскольку несанкционированные изменения ее кода могут быть внесены и в процессе работы компьютера. Например, в материнских платах, выполненных на современных чипсетах фирмы Intel (CHIPSET - связующие микросхемы, обеспечивающие взаимосвязь и управление работой устройств компьютера), защита кода BIOS реализована путем программирования регистров чипсета, при этом поступающие от чипсета команды к BIOS передаются по шине SPI, а сама BIOS хранится в накопителе (микросхеме флэш-памяти с интерфейсом SPI - SPI-Flash). При этом гарантией целостности данной BIOS является только заявление производителя чипсета фирмы Intel о наличии блокирования записи в SPI-Flash, являющейся физическим хранилищем данной BIOS. Кроме того, сам чипсет может выполнять незадекларированные функции, т.е. иметь «закладки». Следовательно, возможна запись в SPI-Flash компрометирующего кода, т.е. проведение несанкционированной модификации кода BIOS.At the same time, it is not enough to have a trusted BIOS at the boot stage, since unauthorized changes to its code can be made during the operation of the computer. For example, in motherboards made on modern Intel chipsets (CHIPSET - interconnecting microcircuits that provide interconnection and control of computer devices), BIOS code protection is implemented by programming the chipset registers, while the commands coming from the chipset to the BIOS are transmitted via the SPI bus, and the BIOS itself is stored in the drive (a flash memory chip with an SPI interface - SPI-Flash). At the same time, the integrity of this BIOS is guaranteed only by the statement of the Intel chipset manufacturer that there is a write lock in SPI-Flash, which is the physical storage of this BIOS. In addition, the chipset itself can perform undeclared functions, i.e. have bookmarks. Therefore, it is possible to write compromising code in SPI-Flash, i.e. Unauthorized BIOS code modification.

Данная проблема решена в устройстве создания доверенной среды для компьютеров информационно-вычислительных систем, описанном в патенте RU №2538329, МПК G06F 21/57, поданном 11.07.2013 г., опубликованном 10.01.2015 г. [6]. Заявленное устройство, в отличие от предыдущего, дополнено аппаратными и программными модулями, обеспечивающими доверенную среду для работы компьютера посредством контроля и гарантии достоверности BIOS. Для решения поставленной задачи АПМДЗ реализуется на шине SPI для обеспечения блокировки поступающих от чипсета некорректных или неразрешенных команд записи в SPI-Flash с размещенной на ней достоверной BIOS. Устройство может быть интегрировано непосредственно на материнскую плату компьютера путем доработки платы с установкой специального слота для размещения АПМДЗ.This problem is solved in the device for creating a trusted environment for computers of information and computing systems, described in patent RU No. 2538329, IPC G06F 21/57, filed July 11, 2013, published January 10, 2015 [6]. The claimed device, unlike the previous one, is supplemented with hardware and software modules that provide a trusted environment for the computer to work through monitoring and guaranteeing the reliability of the BIOS. To solve this problem, the APMDZ is implemented on the SPI bus to block incorrect or unresolved write commands from the chipset to write to SPI-Flash with a valid BIOS installed on it. The device can be integrated directly on the computer motherboard by finalizing the board with the installation of a special slot to accommodate APMDZ.

Для реализации описанных задач в устройство введены установленные на шину SPI материнской платы компьютера быстродействующий электронный ключ и накопитель на основе микросхемы флэш-памяти с интерфейсом SPI, содержащей в себе BIOS компьютера с дополнительно встроенными командами, обеспечивающими взаимодействие с микроконтроллером (МК) устройства, при этом МК снабжен каналом управления электронным ключом и интерфейсом связи с шиной SPI, образуя аппаратный узел, осуществляющий контроль целостности BIOS в накопителе перед его запуском и контроль команд на шине SPI от связующей микросхемы компьютера (чипсета) в накопитель с возможностью блокировки записи в накопитель с помощью электронного ключа. Для блокировки запуска компьютера в случае нарушения целостности BIOS или других несанкционированных действий в состав МК включен блок управления основным питанием компьютера, встроенный в соответствующий канал управления чипсета. Причем питание самого устройства осуществляется от дежурного источника питания компьютера (stand-by), в связи с чем устройство начинает функционировать сразу после подключения ПК к сети питания (вилка сетевого кабеля вставлена в розетку) до включения кнопки «POWER» ПК и обеспечивает контроль целостности BIOS перед запуском ПК, а в случае нарушения целостности BIOS производит ее восстановление из резервной копии.To accomplish the described tasks, a high-speed electronic key and a drive based on a flash memory chip with an SPI interface are installed on the SPI bus of the computer motherboard, which contains the computer BIOS with additional built-in commands that provide interaction with the device’s microcontroller (MK), while The MK is equipped with an electronic key control channel and a communication interface with the SPI bus, forming a hardware node that monitors the BIOS integrity in the drive before it is launched and monitored SPI commands to the bus of the computer chip bonding (chip set) to the accumulator, with write lock in the drive via the dongle. To block the start of the computer in case of violation of the BIOS integrity or other unauthorized actions, the MK includes the main power supply control unit of the computer built into the corresponding control channel of the chipset. Moreover, the power of the device itself is provided from the computer’s stand-by power supply, which is why the device starts functioning immediately after connecting the PC to the power supply (the plug of the network cable is plugged into the outlet) until the PC’s POWER button is turned on and provides BIOS integrity control before starting the PC, and in case of integrity violation, the BIOS restores it from the backup.

Наиболее близким техническим решением устройства создания доверенной среды для реализации предлагаемой защищенной системы удаленного доступа и управления серверами (прототипом) является устройство создания доверенной среды для компьютеров специального назначения, описанное в патенте RU №2569577, МПК G06F 21/30, поданном 06.08.2014 г., опубликованном 06.08.2015 г. [7].The closest technical solution to the device for creating a trusted environment for the implementation of the proposed secure system for remote access and server management (prototype) is a device for creating a trusted environment for special purpose computers, described in patent RU No. 2569577, IPC G06F 21/30, filed August 6, 2014. published on August 6, 2015 [7].

Заявленный АПМДЗ базируется на техническом решении по предыдущему патенту RU №2538329, но система защиты в нем построена таким образом, что несанкционированное извлечение или отключение АПМДЗ приводит к потере работоспособности самого компьютера. Кроме того, для повышения надежности защиты все критические компоненты, оказывающие влияние на реализацию защитных функций, включая BIOS компьютера, перенесены в единый доверенный блок (модуль) безопасности, в котором их состояние находится под постоянным контролем системы защиты. То есть все защитные функции и компоненты, участвующие в их реализации, перенесены на независимый от компьютера доверенный модуль (АПМДЗ) и реализуются без участия недоверенных компонентов компьютера. Причем сам модуль интегрируется с материнской платой компьютера через унифицированный разъем перспективного современного стандарта PCI Express М.2 Specification, отражающий тенденцию минимизации габаритов компонентов вычислительных систем. Через него реализуются и интерфейсы связи АПМДЗ с внешними устройствами. Использование в АПМДЗ форм-фактора и разъема стандарта М.2 при организации интерфейса взаимодействия с материнской платой и внешними устройствами обеспечивает его универсальность и возможность применения в вычислительных средствах с материнскими платами, использующими разъемы данного стандарта.The claimed APMDZ is based on the technical solution according to the previous patent RU No. 2538329, but the protection system in it is built in such a way that unauthorized removal or shutdown of the APMDZ leads to the loss of the computer itself. In addition, to increase the reliability of protection, all critical components that affect the implementation of protective functions, including the computer BIOS, are transferred to a single trusted security unit (module), in which their state is constantly monitored by the protection system. That is, all the protective functions and components involved in their implementation are transferred to a computer-independent trusted module (APMDZ) and are implemented without the participation of untrusted computer components. Moreover, the module itself is integrated with the computer motherboard through the unified connector of the promising modern PCI Express M.2 Specification standard, which reflects the tendency to minimize the dimensions of the components of computer systems. Through it, the APMDZ communication interfaces with external devices are also implemented. The use of the M.2 standard form factor and connector in the APMDZ when organizing the interaction interface with the motherboard and external devices ensures its versatility and the ability to be used in computing tools with motherboards using the connectors of this standard.

Предложенное техническое решение также способствует снижению зависимости от недоверенной импортной компонентной базы. Например, как отмечалось выше, в материнских платах используются современные чипсеты фирмы Intel, доверенность которых не может быть гарантирована. АПМДЗ позволяет блокировать возможные некорректные действия со стороны чипсета.The proposed technical solution also helps to reduce dependence on an untrusted import component base. For example, as noted above, the motherboards use modern Intel chipsets, the power of attorney of which cannot be guaranteed. APMDZ allows you to block possible incorrect actions on the part of the chipset.

Описанное устройство реализовано и серийно производится ООО Фирма «АНКАД» в виде изделия АПМДЗ-И/М2. На его базе совместно с ЗАО «Крафтвэй корпорейшн ПЛС» разработаны и серийно выпускаются отечественные материнские платы для компьютеров специального назначения и компьютеры с доверенной средой, обеспечивающие защищенную обработку информации с высоким грифом секретности.The described device is implemented and mass-produced by LLC ANKAD Firm in the form of an APMDZ-I / M2 product. Based on it, together with Craftway Corporation PLC CJSC, domestic motherboards for special-purpose computers and computers with a trusted environment that provide secure information processing with a high security stamp are developed and mass-produced.

На базе данного устройства предлагается новая конструкция АПМДЗ, реализующая защищенную систему удаленного управления серверами.Based on this device, a new APMDZ design is proposed that implements a secure remote server management system.

Технический результат достигается тем, что в известную компьютерную систему с удаленным управлением сервером, включающую сервер с интеллектуальным интерфейсом управления платформой на базе автономного микроконтроллера и автоматизированное рабочее место администратора, связанные защищенным каналом передачи данных, введены следующие компоненты: на сервер установлены устройство создания доверенной среды с модулем удаленного управления и модулем удаленной многофакторной взаимной аутентификации, а на рабочее место администратора - устройство создания доверенной среды с модулем удаленной многофакторной взаимной аутентификации и модулем удаленного администрирования, причем сервер и рабочее место администратора снабжены модулями доверенного соединения, формирующими между компьютером и сервером канал связи с прозрачным шифрованием сетевого трафика и включающими VPN-сервер и VPN-клиент соответственно.The technical result is achieved by the fact that the following components are introduced into the well-known computer system with remote server management, including a server with an intelligent platform control interface based on an autonomous microcontroller and an administrator's automated workstation connected by a secure data transmission channel: a device for creating a trusted environment with remote control module and remote multi-factor mutual authentication module, and at the administrator’s workstation - troystvo create a trusted environment with a remote module multifactorial mutual authentication and remote administration module, wherein the server and the administrator's workstation trusted connection modules are provided, forming between the server computer and the communication channel with a transparent encrypted network traffic and including VPN-VPN-server and client, respectively.

В устройство создания доверенной среды, содержащее управляющий микроконтроллер, работающий независимо от центрального процессора компьютера и включающий в свой состав программные функциональные модули, обеспечивающие идентификацию и аутентификацию пользователей, реализацию защитных функций устройства, управление питанием компьютера и взаимодействие с внешними средствами защиты; энергонезависимую память большой емкости с блоками хранения ПО доверенной среды, учетными данными пользователей, электронным журналом и блоком настроек; блок защиты BIOS с интерфейсом SPI, а также интерфейсы для связи управляющего контроллера с компьютером, блоком питания, внешними носителями и средствами защиты, введены модуль удаленной многофакторной взаимной аутентификации и модуль удаленного управления, осуществляющий аппаратную виртуализацию системных ресурсов (отображение всего адресного пространства в виртуальную машину) и включающий блок фильтрации сетевого трафика, блок передачи видеоизображений, блок эмуляции USB-устройств и блок передачи показаний датчиков состояния сервера.A device for creating a trusted environment, containing a control microcontroller that operates independently of the central processor of the computer and includes software functional modules that provide identification and authentication of users, implementation of the device’s protective functions, computer power management, and interaction with external protection means; non-volatile memory of large capacity with blocks of software storage of a trusted environment, user credentials, an electronic journal and a settings block; BIOS protection unit with SPI interface, as well as interfaces for communication between the control controller and a computer, power supply unit, external media and security features, a remote multifactor mutual authentication module and a remote control module that performs hardware virtualization of system resources (mapping the entire address space to a virtual machine ) and including a block for filtering network traffic, a block for transmitting video images, a block for emulating USB devices and a block for transmitting readings of server status sensors.

Предлагается также способ удаленного управления сервером с помощью устройства создания доверенной среды и защиты информации от несанкционированного доступа, включающий регистрацию пользователя на управляемом сервере с помощью носителя аутентифицирующей информации, формирование ключей аутентификации, проведение удаленной аутентификации пользователя на сервере по локальной компьютерной сети с помощью аутентифицирующего носителя и передачу команд управления на сервер по защищенному каналу, отличающийся тем, что регистрация пользователя осуществляется с помощью криптографических функций аутентифицирующего носителя пользователя с формированием разделяемого секрета, размещаемого в базе учетных данных пользователей устройства создания доверенной среды сервера и на аутентифицирующем носителе, формирование защищенного канала, прозрачно шифрующего сетевой трафик между сервером и рабочим местом администратора, осуществляется с помощью VPN-технологии, а передача информации для управления сервером реализуется путем виртуализации системных ресурсов (отображения всего адресного пространства в виртуальную машину), при этом проводится эмуляция применяемых физических устройств.A method is also proposed for remote server management using a device for creating a trusted environment and protecting information from unauthorized access, including registering a user on a managed server using a medium of authentication information, generating authentication keys, conducting remote user authentication on a server over a local computer network using an authentication medium, and transmitting control commands to the server over a secure channel, characterized in that the registration of user The user is implemented using the cryptographic functions of the authentication medium of the user with the formation of a shared secret, placed in the user credentials database of the device for creating the trusted server environment and on the authentication medium, the formation of a secure channel transparently encrypting network traffic between the server and the administrator’s workstation is carried out using VPN technology, and information transfer for server management is implemented by virtualizing system resources (mapping to its address space in a virtual machine), wherein the emulation is performed applied physical devices.

В результате проведенного заявителем анализа уровня техники, включая поиск по патентным и научно-техническим источникам информации и выявление источников, содержащих сведения об аналогах заявленного технического решения, не было обнаружено источника, характеризующегося признаками, тождественными всем существенным признакам заявленного технического решения, изложенным в формуле изобретения.As a result of the analysis of the prior art by the applicant, including a search by patent and scientific and technical sources of information and identification of sources containing information about analogues of the claimed technical solution, no source was found characterized by features identical to all the essential features of the claimed technical solution set forth in the claims .

Определение из перечня выявленных аналогов прототипа как наиболее близкого по совокупности признаков аналога позволило установить совокупность существенных по отношению к усматриваемому заявителем техническому результату отличительных признаков заявленной компьютерной системы с удаленным управлением сервером и устройством создания доверенной среды. Проведенный заявителем дополнительный поиск не выявил известные решения, содержащие признаки, совпадающие с отличительными от прототипа признаками заявленной системы. Следовательно, заявленное техническое решение соответствует критерию «новизна».The determination from the list of identified analogs of the prototype as the closest analogue in terms of the totality of features made it possible to establish a set of significant distinguishing features of the claimed computer system with remote server management and a device for creating a trusted environment with respect to the technical result perceived by the applicant. An additional search carried out by the applicant did not reveal known solutions containing features that match the distinctive features of the claimed system. Therefore, the claimed technical solution meets the criterion of "novelty."

Заявленное техническое решение не вытекает для специалиста явным образом из известного уровня техники и не основано на изменении количественных признаков. Следовательно, заявленное техническое решение соответствует критерию «изобретательский уровень».The claimed technical solution does not follow for the specialist explicitly from the prior art and is not based on a change in quantitative characteristics. Therefore, the claimed technical solution meets the criterion of "inventive step".

Графические изображенияGraphic Images

На фиг. 1 приведена схема компьютерной системы удаленного управления сервером с устройством создания доверенной среды, где:In FIG. 1 is a diagram of a computer system for remote server management with a device for creating a trusted environment, where:

1 - сервер;1 - server;

2 - автоматизированное рабочее место (АРМ) администратора;2 - automated workstation (AWP) of the administrator;

3 - канал связи;3 - communication channel;

4 - устройство создания доверенной среды с удаленным управлением;4 - device for creating a trusted environment with remote control;

5 - АПМДЗ АРМ администратора;5 - APMDZ workstation administrator;

6, 7 - модули удаленной многофакторной взаимной аутентификации (МУМВА);6, 7 - modules of remote multifactor mutual authentication (MUMVA);

8 - модуль удаленного управления (МУУ);8 - remote control module (MUU);

9, 10 - модули доверенного соединения (МДС);9, 10 - modules of the trusted connection (MDS);

11 - программное обеспечение администрирования (ПОА);11 - administration software (POA);

12 - программное обеспечение АПМДЗ АРМ администратора;12 - software APMDZ workstation administrator;

13 - аутентифицирующий носитель администратора (AHA).13 is an administrator authentication medium (AHA).

На фиг. 2 представлена структурная схема предлагаемого устройства создания доверенной среды с удаленным управлением 4, где:In FIG. 2 is a structural diagram of the proposed device for creating a trusted environment with remote control 4, where:

6 - модуль удаленной многофакторной взаимной аутентификации (МУМВА);6 - module remote multifactorial mutual authentication (MUMVA);

14 - общая плата устройства;14 - the total board of the device;

15 - управляющий микроконтроллер;15 - control microcontroller;

16 - энергонезависимая память большой емкости с реализованным на ней служебным разделом;16 - non-volatile memory of large capacity with a service partition implemented on it;

17 - блок защиты BIOS по интерфейсу SPI.17 - BIOS protection unit via SPI.

Компоненты управляющего микроконтроллера 15:Components of the control microcontroller 15:

18 - модуль локальной идентификации и аутентификации;18 - module local identification and authentication;

19 - блок функциональных модулей АПМДЗ;19 - block functional modules APMDZ;

20 - модуль управления питанием;20 - power management module;

21 - модули взаимодействия с внешними средствами защиты.21 - modules for interacting with external means of protection.

Компоненты энергонезависимой памяти 16:Non-volatile memory components 16:

8 - модуль удаленного управления (МУУ);8 - remote control module (MUU);

9 - модуль доверенного соединения (МДС);9 - module trusted connection (MDS);

22 - ПО доверенной среды;22 - trusted environment software;

23 - блок настроек;23 - settings block;

24 - электронный журнал;24 - electronic journal;

25 - блок с учетными данными пользователей.25 is a block with user credentials.

Интерфейсы устройства:Device Interfaces:

26 - интерфейс связи с компьютером;26 - communication interface with a computer;

27 - интерфейс управления питанием компьютера и его блокировки;27 - computer power management and lock interface;

28 - интерфейс связи с аутентифицирующим носителем (АН);28 - communication interface with an authentication medium (AN);

29 - интерфейс взаимодействия с внешними средствами защиты;29 - interface for interacting with external security features;

30 - интерфейс SPI.30 - SPI interface.

На фиг. 3 показан состав модуля удаленного управления 8 и схема его функционирования на сервере 1, где:In FIG. 3 shows the composition of the remote control module 8 and the scheme of its operation on server 1, where:

8 - модуль удаленного управления;8 - remote control module;

15 - управляющий микроконтроллер устройства создания доверенной среды 4;15 is a control microcontroller device for creating a trusted environment 4;

31 - блок фильтрации сетевого трафика;31 - block filtering network traffic;

32 - блок передачи видеоизображений;32 is a block for transmitting video images;

33 - блок эмуляции USB-устройств;33 - block emulation of USB devices;

34 - блок передачи показаний датчиков.34 - block transmitting readings of sensors.

В соответствии с фиг. 1 предлагаемая компьютерная система с удаленным управлением сервером и устройством создания доверенной среды работает следующим образом.In accordance with FIG. 1, the proposed computer system with remote server management and a device for creating a trusted environment works as follows.

На подготовительном этапе на сервер 1 и АРМ администратора 2 через интерфейсы взаимодействия с компьютером устанавливаются устройства создания доверенной среды, причем на сервер устанавливается заявляемое устройство 4 с удаленным управлением и модулем МУМВА 6, а на АРМ - один из известных аналогов АПМДЗ 5 с ПО 12, включающим функциональные модули с модулем локальной идентификации и аутентификации, осуществляющим доступ и доверенную загрузку на АРМ 2. При режиме удаленного управления АПМДЗ 5 используется для контроля целостности аппаратных и программных компонентов АРМ, в частности загружаемых на АРМ модулей МУМВА 7, МДС 10 и ПОА 11, а также в качестве считывателя AHA 13.At the preparatory stage, devices for creating a trusted environment are installed on the server 1 and administrator's AWP 2 through the interfaces with the computer, and the claimed device 4 with remote control and the MUMVA 6 module is installed on the server, and on the AWP - one of the well-known analogs of APMDZ 5 with software 12, including functional modules with a local identification and authentication module, accessing and trusted loading on AWP 2. In remote control mode APMDZ 5 is used to control the integrity of hardware and AWP software components, in particular MUMVA 7, MDS 10 and POA 11 modules loaded onto the AWP, as well as an AHA 13 reader.

Модуль АПМДЗ 5 может устанавливаться опционно (в случае отсутствия необходимости защиты АРМ модулем доверенной загрузки), но в этом случае на АРМ должен быть установлен считыватель AHA, а загрузка модулей 7, 10 и 11 на АРМ осуществляется со специального дистрибутива или через Интернет с сайта разработчика (фирмы АНКАД) заявляемого устройства создания доверенной среды с удаленным управлением с контролем целостности загружаемых модулей.The APMDZ 5 module can be installed optionally (if there is no need to protect the AWP with the trusted boot module), but in this case the AHA reader must be installed on the AWP, and the modules 7, 10 and 11 can be downloaded to the AWP from a special distribution kit or via the Internet from the developer's site (firm ANKAD) of the claimed device for creating a trusted environment with remote control with integrity control of downloadable modules.

Для проведения удаленного управления администратор должен быть заранее зарегистрирован на устройстве 4. Регистрация администратора проводится на этапе инициализации устройства 4 на сервере 1 и подразумевает использование криптографических функций AHA 13 с формированием разделяемого секрета, который размещается в базе учетных данных пользователей устройства 4 и на AHA 13 (не извлекаемый из AHA ключ удаленной аутентификации).For remote control, the administrator must be registered in advance on device 4. Registration of the administrator is carried out at the initialization stage of device 4 on server 1 and involves the use of cryptographic functions of AHA 13 with the formation of a shared secret, which is placed in the user credentials database of device 4 and on AHA 13 ( remote authentication key not retrieved from AHA).

Для реализации удаленного управления на сервер 1 с устройства 4 загружаются модуль МУУ 8 и модуль МДС 9, а на АРМ 2 должны быть установлены модули МУМВА 7, МДС 10 и ПО администрирования 11. Данные модули могут быть загружены на АРМ 2 с АПМДЗ 5, а при его отсутствии - как указано выше, с дистрибутива или через Интернет с сайта разработчика устройства создания доверенной среды с удаленным управлением.To implement remote control, the MUU 8 module and the MDS 9 module are downloaded to server 1 from device 4, and the MUMVA 7, MDS 10, and administration software 11 modules must be installed on AWP 2. These modules can be downloaded to AWP 2 from APMDZ 5, and in its absence - as indicated above, from the distribution kit or via the Internet from the developer's site of the device for creating a trusted environment with remote control.

Для реализации функций удаленного управления сначала необходимо провести удаленную многофакторную взаимную аутентификацию, для чего следует установить защищенный канал связи между AHA 13, предъявляемым через АПМДЗ 5 АРМ 2 модулю МУМВА 7 (или через считыватель AHA, установленный непосредственно на АРМ 2 при отсутствии АПМДЗ 5), и устройством 4 сервера 1 с модулем МУМВА 6. Формирование защищенного канала становится возможным после регистрации администратора на сервере и создания разделяемого секрета (ключей удаленной аутентификации на AHA 13 и на устройстве 4 сервера 1). При предъявлении AHA 13 модулю МУМВА 7 АРМ администратора 2 модулями МДС 9 и 10 формируется защищенный канал 3 между модулями удаленной аутентификации МУМВА 6 и 7, по которому с использованием специально разработанных алгоритмов и протоколов обмена данными реализуется многофакторная взаимная аутентификация на основе передаваемых с АНП 13 и сохраненных в АПМДЗ 4 сервера 1 аутентифицирующих данных.To implement the remote control functions, it is first necessary to conduct remote multifactor mutual authentication, for which a secure communication channel should be established between AHA 13 presented through APMDZ 5 AWP 2 to MUMVA 7 module (or through an AHA reader installed directly on AWP 2 in the absence of APMDZ 5), and device 4 of server 1 with the MUMVA module 6. Formation of a secure channel becomes possible after administrator registration on the server and creation of a shared secret (remote authentication keys on AHA 13 and on building 4 servers 1). Upon presentation of AHA 13 to the MUMVA 7 AWP module by administrator 2, the MDS 9 and 10 modules form a secure channel 3 between the remote authentication modules MUMVA 6 and 7, through which, using specially developed algorithms and data exchange protocols, multi-factor mutual authentication is implemented based on the data transmitted from the ANP 13 and the authentication data stored in APMDZ 4 server 1.

Для обеспечения прозрачности канала для управляющего ПО и прозрачного шифрования трафика стандартных протоколов IPMI (независимого от типа сетевого трафика) модулями МДС реализуется технология VPN, позволяющая инкапсулировать в защищенный канал связи любые протоколы. МДС 10 на АРМ представляет собой VPN-клиент, прозрачно шифрующий трафик до стандартных протоколов IPMI утилит, а МДС 9 на сервере 1 - VPN-сервер соответственно. Используемая технология организации доверенного канала обеспечивает совместимость с различными платформами и устройствами, используемыми в существующих ИВС.To ensure channel transparency for control software and transparent encryption of traffic of standard IPMI protocols (independent of the type of network traffic), the MDS modules implement VPN technology, which allows encapsulating any protocols in a secure communication channel. MDS 10 on AWP is a VPN client transparently encrypting traffic to standard IPMI utilities protocols, while MDS 9 on server 1 is a VPN server, respectively. The technology used for organizing a trusted channel ensures compatibility with various platforms and devices used in existing IVS.

После успешной взаимной аутентификации по организованному модулями МДС 9 и 10 доверенному каналу связи 3 модулем МУУ 8, загруженному на сервер устройством 4 и управляемому его контроллером, на основе аппаратной виртуализации организуется передача управляющей информации между АРМ 2 (в виде различных команд и текстовых сообщений) и сервером 1 (видеоизображений). Состав модуля МУУ 8 приведен на фиг. 3. Процесс администрирования осуществляется с помощью специального ПО администрирования 11, установленного на АРМ 2.After successful mutual authentication via the trusted communication channel 3 organized by the MDS 9 and 10 modules, the MUU 8 module, uploaded to the server by device 4 and controlled by its controller, based on hardware virtualization, control information is transferred between the AWP 2 (in the form of various commands and text messages) and server 1 (video images). The composition of the module MUU 8 is shown in FIG. 3. The administration process is carried out using special administration software 11 installed on AWP 2.

В соответствии с фиг. 2 устройство создания доверенной среды 4 с удаленным управлением и модулем МУМВА 6 выполнено в виде автономного устройства на плате 14 с размещенными на ней управляющим микроконтроллером (МК) 15, работающим независимо от центрального процессора компьютера, энергонезависимой памятью 16, доступ к которой производится только МК 15, блоком защиты BIOS 17 и набором интерфейсов для взаимодействия устройства с другими средствами защиты.In accordance with FIG. 2, a device for creating a trusted environment 4 with remote control and the MUMVA 6 module is made in the form of a stand-alone device on a board 14 with a control microcontroller (MK) 15 located on it, operating independently of the computer’s central processor, non-volatile memory 16, which can only be accessed by MK 15 , BIOS protection unit 17 and a set of interfaces for device interaction with other security features.

Управляющий микроконтроллер 15 содержит ряд программных модулей, обеспечивающих реализацию защитных функций устройства:The control microcontroller 15 contains a number of software modules that implement the protective functions of the device:

- модуль МУМВА 6, предназначенный для удаленной аутентификации пользователя (администратора) на сервере;- MUMVA 6 module, designed for remote authentication of a user (administrator) on a server;

- модуль локальной идентификации и аутентификации пользователей 18, осуществляющий доверенную загрузку компьютера и допуск к нему пользователей;- module local identification and authentication of users 18, performing trusted boot of the computer and access to it users;

- блок функциональных модулей 19, обеспечивающий реализацию защитных функций АПМДЗ;- block functional modules 19, providing the implementation of the protective functions APMDZ;

- модуль управления питанием 20, независимый от чипсета, реализующий управление основным питанием компьютера и блокировку компьютера в случае обнаружения нарушений системой защиты; само устройство подключается к дежурному блоку питания компьютера (Stand-by) в составе основного блока питания и начинает функционировать до включения компьютера;- power management module 20, independent of the chipset, implementing control of the main power of the computer and locking the computer in case of detection of violations by the security system; the device itself is connected to the standby power supply unit of the computer (Stand-by) as part of the main power supply unit and starts functioning until the computer is turned on;

- блок модулей взаимодействия с внешними средствами защиты 21: шифраторами, модулями энергонезависимых хранилищ данных (МЭХД) и др.- a block of modules for interacting with external means of protection 21: encoders, modules of non-volatile data warehouses (MEHD), etc.

В состав блока функциональных модулей 19 входят модуль контроля целостности ПО управляющего МК 15 и кода BIOS; модуль диагностики состояния компонентов устройства; модуль контроля критичных интервалов времени процедуры запуска и загрузки компьютера; модуль настройки устройства, модуль идентификации модели материнской платы компьютера, датчик случайных чисел.The composition of the block of functional modules 19 includes a software integrity control module for the control MK 15 and BIOS code; module for diagnosing the state of device components; module for monitoring critical time intervals for starting and loading a computer; device settings module, computer motherboard model identification module, random number sensor.

В состав блока 21 входят модуль управления загрузкой ключевой информации в шифраторы; модуль поддержки взаимодействия с системой разграничения доступа, установленной на компьютер; модуль поддержки взаимодействия с серверами для проведения централизованного администрирования; модуль настройки устройства (для обеспечения возможности подключения к нему дополнительных устройств).Block 21 includes a control module for loading key information into encryptors; a module for supporting interaction with an access control system installed on a computer; module for supporting interaction with servers for centralized administration; device settings module (to enable additional devices to be connected to it).

В энергонезависимой памяти 16 большой емкости, подключенной на выделенную шину МК 15 и разбитой на несколько частей, содержатся следующие блоки памяти:The non-volatile memory 16 of large capacity, connected to a dedicated bus MK 15 and divided into several parts, contains the following memory blocks:

- модуль МУУ 8;- module МУУ 8;

- модуль МДС 9 (VPN-сервер);- MDS 9 module (VPN server);

- ПО доверенной среды 22, в состав которого входят ПО проверки целостности программно-контролируемых объектов и диалога с оператором, ПО удаленного управления устройством, доверенная ОС, блок с клиентской частью ПО «тонкого клиента» и др.;- software of the trusted environment 22, which includes software for checking the integrity of program-controlled objects and dialogue with the operator, software for remote device management, trusted OS, a block with the client part of the thin client software, etc .;

- блок настроек АПМДЗ 23, содержащий список контролируемых аппаратных и программных объектов, резервную копию достоверного BIOS компьютера, настройки и ключи централизованного администрирования, а также дополнительные настройки, предназначенные для размещения параметров настроек подключаемых к устройству дополнительных функций или устройств;- APMDZ 23 settings block containing a list of controlled hardware and software objects, a backup copy of a reliable computer BIOS, centralized administration settings and keys, as well as additional settings designed to place settings for additional functions or devices connected to the device;

- электронный журнал событий 24, в который записываются критичные события и попытки несанкционированного доступа (НСД), зарегистрированные в системе;- an electronic event log 24, in which critical events and unauthorized access attempts (unauthorized access) recorded in the system are recorded;

- блок 25 с учетными данными пользователей.- block 25 with user credentials.

Блоки 23, 24 и 25 размещаются в служебном разделе памяти, доступном только управляющему контроллеру 15 (на фиг. 2 служебный раздел выделен штриховкой).Blocks 23, 24 and 25 are located in the service section of the memory, accessible only to the control controller 15 (in Fig. 2, the service section is highlighted by hatching).

Часть перечисленных блоков может поставляться опционно в зависимости от используемых технологий, реализуемых функций защиты и используемых устройств конкретной ИВС.Some of the listed blocks can be delivered optionally depending on the technologies used, the implemented protection functions and the devices used for a particular IVS.

Поскольку в энергонезависимой памяти 16 содержится ПО, выполняемое на центральном процессоре компьютера, доступ к этой памяти может производиться как управляющим МК 15, так и центральным процессором компьютера (но с разрешения МК 15). К служебной же области памяти, как отмечалось, доступ разрешен только управляющему МК 15.Since non-volatile memory 16 contains software running on the central processor of the computer, access to this memory can be made by both the control MK 15 and the central processor of the computer (but with permission of MK 15). As noted, access to the service area of memory is allowed only to the manager of MK 15.

Для энергонезависимого хранения часто изменяющихся данных (настроек АПМДЗ, профилей пользователей, последних записей журнала НСД и др.) на выделенную шину МК может быть подключена энергонезависимая быстродействующая FRAM-память, отличающаяся высокой скоростью работы и практически неограниченным числом перезаписей.For non-volatile storage of frequently changing data (APMDZ settings, user profiles, recent entries of the NSD log, etc.), a non-volatile high-speed FRAM-memory can be connected to a dedicated MK bus, which is characterized by high speed and an almost unlimited number of overwrites.

Блок защиты BIOS 17 предназначен для блокировки попыток внесения изменений в BIOS компьютера со стороны чипсета материнской платы по шине SPI. Он осуществляет контроль сигналов чипсета и позволяет отключать модуль памяти с BIOS от шины SPI по команде управления от МК 15 при обнаружении недопустимой команды от чипсета.BIOS Protection Block 17 is designed to block attempts to make changes to the computer BIOS from the side of the motherboard chipset via the SPI bus. It monitors the signals of the chipset and allows you to disconnect the memory module with the BIOS from the SPI bus by command from the MK 15 when an invalid command from the chipset is detected.

Интерфейсы подключения устройства:Device Connection Interfaces:

1. Интерфейс 26 взаимодействия с компьютером. В качестве данного интерфейса может быть использован интерфейс взаимодействия периферийных компонентов PCI (Peripheral Component Interconnect), PCI Express (PCIe) или USB (Universal Serial Bus).1. Interface 26 interaction with a computer. As this interface, the interface of the interaction of peripheral components PCI (Peripheral Component Interconnect), PCI Express (PCIe) or USB (Universal Serial Bus) can be used.

2. Интерфейс 27 управления питанием и блокировки. В качестве данного интерфейса может быть использован любой проводной интерфейс.2. Interface 27 power management and lock. Any wired interface can be used as this interface.

3. Интерфейс 28 для считывания аутентифицирующего носителя. Определяется типом носителя: iButton (для носителей типа Touch Memory), USB (флэш-носители типа ruToken и eToken), интерфейс считывателя смарт-карт (контактный или бесконтактный), бесконтактный интерфейс ближнего поля NFC (для мобильных устройств) и др.3. Interface 28 for reading the authentication medium. It is determined by the type of media: iButton (for media such as Touch Memory), USB (flash media such as ruToken and eToken), smart card reader interface (contact or non-contact), NFC near-field interface (for mobile devices), etc.

4. Интерфейс 29 для взаимодействия с внешними средствами защиты. В качестве данного интерфейса могут быть использованы различные интерфейсы: межмодульный интерфейс (для загрузки ключей шифрования в устройства серии «КРИПТОН» фирмы «АНКАД»); USB host (может быть реализован непосредственно на МК 2 и использоваться для подключения внешних устройств, в частности считывателей смарт-карт или носителей eToken, ruToken и др.); асинхронный последовательный интерфейс UART (Universal asynchronous receiver/transmitter), например RS-232 (или СОМ-порт) и RS-485, и др.4. Interface 29 for interacting with external security features. Various interfaces can be used as this interface: intermodule interface (for loading encryption keys into devices of the “CRIPTON” series of the company “ANKAD”); USB host (can be implemented directly on MK 2 and used to connect external devices, in particular smart card readers or eToken, ruToken, etc. media); asynchronous serial interface UART (Universal asynchronous receiver / transmitter), for example RS-232 (or COM port) and RS-485, etc.

5. Интерфейс 30. Предназначен для подключения к шине SPI, на которую устанавливается блок защиты BIOS.5. Interface 30. Designed to connect to the SPI bus on which the BIOS protection unit is installed.

Разъемы данных интерфейсов могут быть выполнены как на плате самого устройства, так и вынесены на материнскую плату компьютера с целью минимизации габаритов устройства. Коммутация устройства с материнской платой может быть осуществлена и по аналогии с прототипом через универсальный разъем современного стандарта PCI Express М.2 Specification.The connectors for these interfaces can be made either on the board of the device itself or on the computer motherboard in order to minimize the dimensions of the device. Switching the device with the motherboard can be carried out by analogy with the prototype through the universal connector of the modern PCI Express M.2 Specification standard.

АПМДЗ с удаленным управлением серверами по схеме фиг. 2 работает следующим образом.APMDZ with remote server management according to the scheme of FIG. 2 works as follows.

Перед началом эксплуатации компьютера с установленным на материнскую плату устройством (через интерфейс 26) и предустановленным заранее на специальном стенде ПО взаимодействия устройства с другими средствами защиты (блок 21, часть ПО может устанавливаться опционно по желанию заказчика) производится идентификация модели материнской платы микроконтроллером 15 с помощью модуля идентификации модели материнской платы (размещен в блоке функциональных модулей 19), после чего МК 15 осуществляет подборку ПО для данной модели платы и предварительную настройку.Before starting operation of a computer with a device installed on the motherboard (via interface 26) and preinstalled in advance on a special software stand for device interaction with other protection devices (block 21, part of the software can be installed optionally at the request of the customer), the model of the motherboard is identified by the microcontroller 15 using the identification module of the motherboard model (located in the block of functional modules 19), after which MK 15 selects software for this model of the motherboard and preliminary my setup.

Затем проводится настройка остальных параметров устройства и осуществляется регистрация пользователей, для чего с помощью ПО системы защиты от НСД в регистрационные файлы записывают переменные параметры - контрольную информацию, которая определяет права доступа каждого пользователя к ресурсам компьютера:Then, the remaining parameters of the device are configured and users are registered, for which, using the anti-tamper protection system software, variable parameters are recorded in the registration files — control information that determines the access rights of each user to computer resources:

- в блок 23 памяти 16: список контролируемых объектов (список защищаемых от изменений программ, включая ОС, и файлов, а также полный путь к каждому контролируемому файлу и/или координаты каждого загрузочного сектора - имя стартовой программы для данного пользователя) и таблицу контрольных векторов контролируемых объектов (значения контрольных сумм или вычисленное значение хэш-функции защищаемых от изменений файлов и/или загрузочных секторов жесткого диска); данные настроек и ключи централизованного администрирования;- to memory block 23: a list of monitored objects (a list of programs protected from changes, including the OS, and files, as well as the full path to each monitored file and / or coordinates of each boot sector — the name of the startup program for this user) and a table of control vectors monitored objects (checksum values or the calculated value of the hash function of files and / or boot sectors of the hard disk protected from changes); settings data and central administration keys;

- в блок 25: учетные данные обо всех пользователях данного компьютера (имя (регистрационный номер) пользователя, его полномочия (права доступа пользователя - каждый пользователь может обладать своим собственным набором прав), серийный номер ключевого аутентифицирующего носителя пользователя (АНП), эталон для аутентификации пользователя, контрольный вектор (образ) пароля, срок действия пароля пользователя, число допустимых неудавшихся попыток входа и др.);- to block 25: credentials for all users of this computer (name (registration number) of the user, his credentials (user access rights - each user can have his own set of rights), serial number of the key user authentication medium (ANP), authentication standard user, password control vector (image), user password expiration date, number of valid failed login attempts, etc.);

- в блок 19 МК 15: контролируемые интервалы времени процедуры запуска, включая два основных (время на вход пользователя в систему (на ожидание и ввод пароля) и время на загрузку ключей шифрования); настройки устройства (список пользователей (имена - регистрационные номера), количество разрешенных попыток доступа к компьютеру, способы блокировки и др.).- in block 19 of MK 15: controlled intervals of the start-up procedure, including two main ones (time for the user to enter the system (for waiting and entering the password) and time for downloading the encryption keys); device settings (list of users (names - registration numbers), number of allowed attempts to access the computer, blocking methods, etc.).

Решения по всем вопросам, связанным с обеспечением безопасности, принимаются МК 15, который работает независимо от основного процессора компьютера по заложенному в его память программному обеспечению. В частности, он осуществляет управление доступом к блокам энергонезависимой памяти 16 с электронным журналом 24 и учетными данными пользователей 25, при этом для блока 25 разрешены чтение/запись для обмена служебной информацией с прикладным ПО защиты от НСД (модуль 18 локальной идентификации и аутентификации пользователей в МК 2).Decisions on all issues related to security are made by MK 15, which works independently of the main processor of the computer using the software stored in its memory. In particular, it manages access to the non-volatile memory blocks 16 with the electronic journal 24 and user credentials 25, while block 25 is allowed to read / write to exchange service information with application software for protection against unauthorized access (module 18 of local identification and authentication of users in MK 2).

ПО устройства состоит из трех взаимодействующих частей: ПО управляющего микроконтроллера 15 (firmware); программных модулей, встроенных в BIOS; ПО, выполняемого на основном процессоре компьютера (software), которое загружается в компьютер из энергонезависимой памяти 16. ПО МК не может быть несанкционированно изменено, поскольку недоступно со стороны компьютера. Модули, встроенные в BIOS, защищены МК 15 через модуль 17, а целостность ПО, выполняемого на центральном процессоре ПК, контролируется ПО доверенного BIOS.The device software consists of three interacting parts: the control microcontroller 15 software (firmware); software modules built into the BIOS; Software running on the main processor of the computer (software), which is downloaded to the computer from non-volatile memory 16. Software MK cannot be unauthorized to change, because it is not accessible from the computer. The modules built into the BIOS are protected by MK 15 through module 17, and the integrity of the software running on the PC central processor is controlled by the trusted BIOS software.

При эксплуатации компьютера на начальном этапе загрузки после подключения блока питания к электросети на устройство подается питание от дежурного блока (Standby), входящего в состав блока питания компьютера, после чего происходит старт МК 15.When operating a computer at the initial stage of loading, after connecting the power supply to the mains, power is supplied to the device from the standby unit, which is part of the computer's power supply, after which the MK 15 starts.

Сначала проводится диагностика и контроль целостности компонентов самого МК 15 (тестирование модулем диагностики состояния компонентов устройства в блоке 19 МК 15), затем МК подает команду на блок 17, который отключает блок памяти BIOS от шины SPI чипсета, после чего модуль контроля целостности ПО и кода BIOS МК 15 по SPI-интерфейсу в режиме Master осуществляет контроль целостности кода BIOS, а затем проводит проверку целостности блоков 23, 24 и 25, размещенных в служебном разделе памяти 16. В случае успешного завершения проверки устройство ожидает включения питания компьютера.First, diagnostics and integrity monitoring of the components of MK 15 itself are carried out (testing by the diagnostics module for the state of the device components in block 19 of MK 15), then MK sends a command to block 17, which disconnects the BIOS memory block from the chipset SPI bus, after which the software and code integrity control module BIOS MK 15 on the SPI interface in Master mode monitors the integrity of the BIOS code, and then checks the integrity of blocks 23, 24 and 25 located in the service section of memory 16. If the test is successful, the device expects to turn on computer tany.

После нажатия кнопки «POWER» компьютера управляющий питанием сигнал проходит через чипсет, поступает на модуль управления питанием 20 МК, предназначенный для контроля и блокировки основного питания ПК, после чего МК 15 подает команду на блок 17 для подключения шины SPI к блоку памяти BIOS, а модуль 20 выдает команду на блок питания ПК для включения основного питания. При этом МК 2 переходит в режим работы Slave (внешнее тактирование) и receive-only (только прием - «подслушивание» данных на шине SPI).After pressing the “POWER” button of the computer, the power control signal passes through the chipset, enters the 20 MK power management module, designed to control and block the main power of the PC, after which the MK 15 sends a command to block 17 to connect the SPI bus to the BIOS memory block, and module 20 issues a command to the PC power supply to turn on the main power. In this case, MK 2 switches to the Slave operating mode (external clocking) and receive-only (reception only - “eavesdropping” of data on the SPI bus).

После включения основного питания проводится штатная загрузка компьютера: считывается BIOS и в соответствии с программой загрузки производится инициализация всех необходимых для работы компьютера компонентов. Модуль проверки целостности ПО блока 19 МК 15 осуществляет загрузку и проверку целостности программно-контролируемых объектов, размещенных в блоке 22 памяти 16, после чего ПО запускается на выполнение.After turning on the main power, a regular computer boot is performed: the BIOS is read and, in accordance with the boot program, all the components necessary for the computer to work are initialized. The software integrity check module of block 19 of MK 15 downloads and checks the integrity of program-controlled objects located in block 22 of memory 16, after which the software is launched.

Загруженное ПО реализует функции электронного «замка», и модуль 18 МК проводит идентификацию и аутентификацию пользователя, осуществляющего вход в систему. После успешного входа в систему производится загрузка ОС компьютера.Downloaded software implements the functions of an electronic “lock”, and module 18 MK performs identification and authentication of the user logging into the system. After a successful login, the computer OS is loaded.

В процессе загрузки ПК осуществляется контроль интервалов времени процедур запуска и входа в систему, и в случае их отклонений от номинальных значений осуществляется блокировка доступа. Информация о контролируемых интервалах времени, по которым осуществляется блокировка доступа, поступает от соответствующего функционального модуля блока 19 МК 15.During the PC boot process, the time intervals of the startup and login procedures are monitored, and if they deviate from the nominal values, access is blocked. Information about the controlled time intervals for which access is blocked is received from the corresponding functional module of block 19 of MK 15.

При обнаружении нарушений на любом из перечисленных этапов загрузки ПК или попыток НСД питание компьютера не будет включено, а при уже включенном - будет отключено, и последующие действия по загрузке компьютера будут блокированы. Кроме того, если в результате диагностики выявлены ошибки в работе компонентов устройства, нарушения целостности содержимого памяти 3 или попытки НСД в систему, на дисплей ПК выдается предупреждение о выявленном нарушении, вход в систему пользователю запрещается, ПК блокируется, а в журнале регистрации событий (блок 24 энергонезависимой памяти 16) регистрируется соответствующая запись.If a violation is detected at any of the above stages of PC boot or NSD attempts, the computer’s power will not be turned on, and if it is already turned on, it will be turned off, and subsequent steps to boot the computer will be blocked. In addition, if as a result of the diagnostics errors were detected in the operation of the device components, violation of the integrity of the contents of memory 3, or an attempt by the unauthorized access to the system, a warning about the detected violation is displayed on the PC display, the user is not allowed to enter the system, the PC is blocked, and in the event log (block 24 non-volatile memory 16) the corresponding record is recorded.

Процесс проведения локальной идентификации и аутентификации пользователя проводится аналогично прототипу. На дисплей ПК выдается приглашение пользователю ввести информацию в компьютер с его АНП. Операции идентификации и аутентификации реализуются в собственном ОЗУ МК 15. Пользователь устанавливает свой АНП в соответствующий считыватель. В качестве АНП может использоваться идентификатор типа Touch Memory (ТМ), пластиковая карта, USB-идентификатор, биометрический идентификатор и др. Для считывания информации к интерфейсу 28 подключается контактирующее или считывающее устройство для конкретного носителя.The process of local identification and user authentication is carried out similarly to the prototype. The PC display prompts the user to enter information into the computer from his ANP. Identification and authentication operations are implemented in MK 15 own RAM. The user installs his ANP in the appropriate reader. As ANPs, an identifier of the type Touch Memory (ТМ), a plastic card, a USB identifier, a biometric identifier, etc. can be used. To read the information, a contact or reader for a particular medium is connected to the interface 28.

В случае, когда предъявленный АНП не зарегистрирован в регистрационном файле модуля настройки устройства блока 19 МК 15, на дисплей ПК выдается предупреждение и повторное приглашение к проведению идентификации пользователя. После предопределенного в модуле настроек числа неудачных попыток идентификации вход в систему пользователю запрещается, а в журнале регистрации событий (блок 24 памяти 16) регистрируется попытка НСД к компьютеру.In the case when the presented ANP is not registered in the registration file of the device settings module of MK 19 block 19, a warning and a repeated invitation to carry out user identification are issued on the PC display. After the number of unsuccessful identification attempts, predetermined in the settings module, the user is prohibited from logging on to the system, and an attempt to tamper with the computer is recorded in the event log (block 24 of memory 16).

В случае, когда предъявленный АНП зарегистрирован в регистрационном файле, модуль 18 МК осуществляет аутентификацию пользователя, для чего выдает на дисплей ПК приглашение пользователю ввести свой пароль с клавиатуры ПК, после чего определяет образ введенного пароля и сравнивает его с контрольным образом пароля, зарегистрированным в блоке 25 энергонезависимой памяти 16. В случае несовпадения контрольного образа предъявленного пароля с зарегистрированным в блоке 25 или просроченного времени, отведенного на ввод пароля в модуле контроля критичных интервалов времени блока 19 МК, на дисплей ПК выдается предупреждение и повторное приглашение к проведению аутентификации пользователя. После предопределенного в модуле настроек блока 19 МК числа неудачных попыток аутентификации вход в систему пользователю запрещается, а в журнале регистрации событий (блок 24 памяти 16) регистрируется попытка НСД к ПК.In the case when the submitted ANP is registered in the registration file, MK module 18 authenticates the user, for which he prompts the user to enter his password on the PC display from the PC keyboard, then determines the image of the entered password and compares it with the password control image registered in the block 25 non-volatile memory 16. In case of a mismatch between the control image of the presented password and the one registered in block 25 or the expired time allotted for entering the password in the control module typical time intervals of block 19 MK, a warning message and a second invitation to authenticate the user are displayed on the PC display. After the number of unsuccessful authentication attempts predefined in the settings module of block 19 of the MK, the user is denied access to the system, and an attempt to access the PC to the PC is recorded in the event log (block 24 of memory 16).

В случае, когда контрольный образ предъявленного пароля совпадает с зарегистрированным в блоке 25 энергонезависимой памяти 16, осуществляется проверка целостности контролируемых объектов для данного пользователя с помощью ПО, которое хранится в блоке 22 памяти 16. Для этого указанное ПО вычисляет значения контрольных векторов объектов (значения контрольных сумм или значения хэш-функций файлов и/или загрузочных секторов жесткого диска компьютера), занесенных в список контролируемых объектов, размещенный в блоке 23 памяти 16, а затем сравнивает полученные значения с соответствующими значениями контрольных векторов, занесенных ранее в таблицу контрольных векторов контролируемых объектов. При проверке целостности контролируемых объектов используется доверенная среда выполнения. При несовпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов пользователю запрещается доступ к ПК, при этом запуск ОС ПК также блокируется.In the case when the control image of the presented password matches the one registered in the block 25 of non-volatile memory 16, the integrity of the monitored objects for this user is checked using the software stored in memory block 16. For this, the specified software calculates the values of the control vectors of objects (control values sums or values of the hash functions of files and / or boot sectors of the computer’s hard drive) listed in the list of monitored objects located in block 23 of memory 16, and then comparing This gives the obtained values with the corresponding values of the control vectors, previously entered in the table of control vectors of the controlled objects. When checking the integrity of controlled objects, a trusted runtime is used. If the calculated values of the control vectors of the objects for a given user do not match the corresponding values of the control vectors, the user is denied access to the PC, while starting the PC OS is also blocked.

При совпадении вычисленных значений контрольных векторов объектов для данного пользователя с соответствующими значениями контрольных векторов пользователю разрешается доступ к ПК, разрешается также запуск ОС компьютера. При этом запрещается возможность несанкционированной загрузки ОС со съемных носителей путем блокировки доступа к устройствам чтения соответствующих носителей при запуске ПК. Затем управление передается штатным аппаратно-программным средствам компьютера для завершения работы BIOS и загрузки ОС с жесткого диска ПК. После успешного завершения загрузки ОС восстанавливается доступ к устройствам чтения съемных носителей специальной программой-драйвером, входящей в состав ПО системы защиты от НСД.If the calculated values of the control vectors of the objects for a given user coincide with the corresponding values of the control vectors, the user is allowed access to the PC, and the computer OS can also be started. At the same time, the possibility of unauthorized loading of the OS from removable media by blocking access to the reading devices of the corresponding media when starting the PC is prohibited. Then control is transferred to the standard hardware and software of the computer to complete the BIOS and boot the OS from the PC hard drive. After successful completion of the OS boot, access to removable media readers is restored with a special driver program included in the software for the anti-tamper system.

Для работы в режиме удаленного управления на этапе регистрации в режиме инициализации устройства администратор через интерфейс 28 предъявляет устройству свой аутентифицирующий носитель AHA, и при использовании криптографических функций AHA формируется разделяемый секрет, который размещается в базе учетных данных пользователей 25 памяти 16 устройства и на AHA. После этого становится возможной с данного AHA удаленная аутентификация.To work in the remote control mode at the registration stage in the device initialization mode, the administrator through the interface 28 shows the device AHA authentication medium, and when using the AHA cryptographic functions, a shared secret is formed, which is stored in the user credentials database 25 of the device memory 16 and on AHA. After that, remote authentication becomes possible with this AHA.

Для реализации удаленного управления в состав МК 15 включен модуль МУМВА 6, а в энергонезависимой памяти 16 размещены модули МУУ 8 и МДС 9, которые загружаются устройством на сервер. Модуль МУМВА 6 при удаленном управлении сервером осуществляет удаленную многофакторную взаимную аутентификацию с аутентифицирующим носителем администратора, предъявленным на АРМ в соответствии с описанной схемой компьютерной системы фиг. 1; модуль МДС 9 представляет собой VPN-сервер, участвующий в формировании защищенного канала; модуль МУУ 8 под управлением МК 15 реализует обмен данными между АРМ и сервером в процессе удаленного управления.For the implementation of remote control, MK 15 is included in the MK 15 module, and in the non-volatile memory 16 there are the modules MUU 8 and MDS 9, which are downloaded by the device to the server. The MUMVA 6 module, when remotely controlling the server, performs remote multifactor mutual authentication with the administrator authentication medium presented on the AWP in accordance with the described scheme of the computer system of FIG. one; MDS module 9 is a VPN server involved in the formation of a secure channel; MUU 8 module under the control of MK 15 implements data exchange between the workstation and the server during remote control.

В соответствии с фиг. 3 МУУ 8 устройства представляет собой программный модуль (гипервизор или диспетчер виртуальных машин), реализующий под управлением МК 15 устройства удаленное управление, с помощью технологии аппаратной виртуализации отображающий все адресное пространство в виртуальную машину. Для исключения зависимости от используемых при удаленном управлении различных типов физических устройств (видеокарт, USB-устройств (клавиатура, «мышь»), сетевых карт и т.п.) модулем МУУ 8 осуществляется эмуляция применяемых физических устройств.In accordance with FIG. 3 МУУ 8 of the device is a software module (hypervisor or virtual machine manager) that implements remote control under the control of MK 15 device, using hardware virtualization technology that displays the entire address space in the virtual machine. To exclude dependence on various types of physical devices (video cards, USB devices (keyboard, mouse), network cards, etc.) used during remote control, the MUU 8 module emulates the physical devices used.

В состав МУУ 8 входят блок фильтрации сетевого трафика 31, блок передачи видеоизображений 32, блок эмуляции USB-устройств 33 и блок 34 передачи сигналов с различных датчиков сервера. При виртуализации системных ресурсов и отображении всего адресного пространства в виртуальную машину продолжат исполняться работающие на компьютере системы запуска (BIOS или UEFI).The structure of the MUU 8 includes a network traffic filtering unit 31, a video transmission unit 32, a USB device emulation unit 33, and a signal transmission unit 34 from various server sensors. When system resources are virtualized and the entire address space is mapped to a virtual machine, the startup systems (BIOS or UEFI) running on the computer will continue to run.

Таким образом, основные особенности функционирования предлагаемой компьютерной системы с удаленным управлением сервером и устройством создания доверенной среды следующие:Thus, the main features of the functioning of the proposed computer system with remote control of the server and the device for creating a trusted environment are as follows:

1. Обеспечение надежной защиты ИВС и ее компонентов (серверов, АРМ) на основе отечественных доверенных криптографических средств.1. Ensuring reliable protection of the IVS and its components (servers, workstations) based on domestic trusted cryptographic tools.

2. Проведение удаленной многофакторной взаимной аутентификации.2. Conducting remote multi-factor mutual authentication.

3. Реализация удаленного управления серверами по защищенному прозрачно шифруемому каналу, обеспечивающему прохождение трафика с любыми стандартными протоколами и при использовании различных платформ и физических средств передачи и обработки информации.3. Implementation of remote server management via a secure, transparently encrypted channel, providing traffic through any standard protocols and using various platforms and physical means of transmitting and processing information.

В результате реализации предлагаемым устройством создания доверенной среды и удаленного управления перечисленных функций, а также известных функций прототипа гарантируется доверенная среда, обеспечивающая повышение эффективности защиты компьютера от несанкционированных действий на всех этапах его работы, а также возможность удаленного администрирования и удаленной аутентификации в компьютерных сетях с различными протоколами передачи данных и используемыми платформами.As a result of the implementation of the proposed device for creating a trusted environment and remote control of the listed functions, as well as the well-known functions of the prototype, a trusted environment is guaranteed, which increases the efficiency of protecting the computer from unauthorized actions at all stages of its operation, as well as the possibility of remote administration and remote authentication in computer networks with various data transfer protocols and platforms used.

Предлагаемое устройство может быть реализовано с помощью известных покупных комплектующих изделий. На базе отечественных и зарубежных компонентов заявителем реализован опытный образец устройства АПМДЗ, реализующий описанные функции. Проведенные заявителем испытания опытного образца подтвердили возможность его реализации с достижением указанного положительного технического результата.The proposed device can be implemented using well-known purchased components. On the basis of domestic and foreign components, the applicant has implemented a prototype APMDZ device that implements the described functions. The tests of the prototype carried out by the applicant confirmed the possibility of its implementation with the achievement of the specified positive technical result.

Изложенные выше сведения свидетельствуют о выполнении при использовании заявленного технического решения следующей совокупности условий:The above information indicates the fulfillment of the following set of conditions when using the claimed technical solution:

- средства, воплощающие заявленную компьютерную систему с удаленным управлением сервером и устройство для создания доверенной среды и осуществления удаленного управления, предназначены для использования в промышленности, а именно в автоматизированных системах обработки информации на базе ЭВМ;- tools that embody the claimed computer system with remote server management and a device for creating a trusted environment and remote control are intended for use in industry, namely in computer-based automated information processing systems;

- для заявленной компьютерной системы и устройства создания доверенной среды и осуществления удаленного управления в том виде, как они охарактеризованы в независимом пункте изложенной формулы изобретения, подтверждена возможность его осуществления с помощью описанных в заявке средств.- for the claimed computer system and device for creating a trusted environment and remote control in the form described in the independent paragraph of the claims, the possibility of its implementation using the means described in the application is confirmed.

Следовательно, заявленное техническое решение соответствует критерию «промышленная применимость».Therefore, the claimed technical solution meets the criterion of "industrial applicability".

Благодаря широкой функциональности, а также выполнению наиболее критичных операций непосредственно в устройстве создания доверенной среды и осуществлению удаленного управления предлагаемое устройство сохранило достоинства прототипа, а именно способность выполнять системообразующие функции и возможность построения комплексной системы для эффективной защиты компьютера (АРМ, сервера) и ИВС в целом. В то же время предлагаемое устройство обеспечивает возможность удаленного администрирования и управления серверами при реализации надежной многофакторной взаимной аутентификации, что повышает эффективность защиты и управления функционированием компьютерной сети.Due to its wide functionality, as well as performing the most critical operations directly in the device for creating a trusted environment and implementing remote control, the proposed device retained the advantages of the prototype, namely the ability to perform system-forming functions and the ability to build a comprehensive system for the effective protection of the computer (AWP, server) and the IVS as a whole . At the same time, the proposed device provides the ability to remotely administer and manage servers while implementing reliable multi-factor mutual authentication, which increases the efficiency of protection and management of the functioning of a computer network.

На базе предлагаемого устройства целесообразно производить компьютеры для защищенных рабочих мест и серверов, построенные на специализированных доверенных материнских платах и автономном универсальном АПМДЗ, интегрирующем в себе все критичные компоненты, обеспечивающие реализацию защитных функций и администрирование.On the basis of the proposed device, it is advisable to produce computers for secure workstations and servers built on specialized trusted motherboards and an autonomous universal APMDZ that integrates all the critical components that provide the implementation of protective functions and administration.

Источники информацииInformation sources

1. IPMI - Intelligent Platform Management Interface Specification Second Generation v2.0. - Document Revision 1.1, October 1, 2013. Intel, Hewlett-Packard, NEC, Dell.1. IPMI - Intelligent Platform Management Interface Specification Second Generation v2.0. - Document Revision 1.1, October 1, 2013. Intel, Hewlett-Packard, NEC, Dell.

2. Corey Minyard. «IPMI - A Gentle Introduction with OpenIPMI». Montavista Software, 2006. - http://openipmi.sourceforge.net/IPMI.pdf.2. Corey Minyard. "IPMI - A Gentle Introduction with OpenIPMI." Montavista Software, 2006. - http://openipmi.sourceforge.net/IPMI.pdf.

3. Bruce Schneier. The Eavesdropping System in Your Computer, https://www.schneier.com/ blog/ archives/2013/01/the_eavesdroppi.html.3. Bruce Schneier. The Eavesdropping System in Your Computer, https://www.schneier.com/ blog / archives / 2013/01 / the_eavesdroppi.html.

4. Dan Farmer. IPMI: Freight train to hell, http://fish2.com/ipmi/itrain.pdf.4. Dan Farmer. IPMI: Freight train to hell, http://fish2.com/ipmi/itrain.pdf.

5. Патент RU №2321055, кл. G06F 12/14, 12.05.2006 г., опубл. 27.03.2008 г.5. Patent RU No. 2321055, cl. G06F 12/14, 05/12/2006, publ. 03/27/2008

6. Патент RU №2538329, кл. G 06F 21/57, 11.07.2013 г., опубл. 10.01.2015 г.6. Patent RU No. 2538329, cl. G 06F 21/57, 07/11/2013, publ. 01/10/2015

7. Патент RU №2569577, МПК G06F 21/30, подан 06.08.2014 г., опубл. 06.08.2015 г. - прототип устройства.7. Patent RU No. 2569577, IPC G06F 21/30, filed August 6, 2014, publ. 08/06/2015, the prototype device.

Claims (3)

1. Компьютерная система с удаленным управлением сервером, включающая сервер с интеллектуальным интерфейсом управления платформой на базе автономного микроконтроллера и автоматизированное рабочее место администратора, связанные защищенным каналом передачи данных, отличающаяся тем, что на сервер установлены устройство создания доверенной среды с модулем удаленного управления и модулем удаленной многофакторной взаимной аутентификации, а на рабочее место администратора - устройство создания доверенной среды с модулем удаленной многофакторной взаимной аутентификации и модулем удаленного администрирования, причем сервер и рабочее место администратора снабжены модулями доверенного соединения, формирующими между компьютером и сервером канал связи с прозрачным шифрованием сетевого трафика и включающими VPN-сервер и VPN-клиент соответственно.1. A computer system with remote server management, including a server with an intelligent platform control interface based on an autonomous microcontroller and an administrator's automated workstation connected by a secure data transmission channel, characterized in that a device for creating a trusted environment with a remote control module and a remote module is installed on the server multifactor mutual authentication, and at the administrator’s workplace there is a device for creating a trusted environment with a remote module Actor mutual authentication and remote administration module, wherein the server and the administrator's workstation trusted connection modules are provided, forming between the server computer and the communication channel with a transparent encrypted network traffic and including VPN-VPN-server and client, respectively. 2. Устройство создания доверенной среды для сервера с интеллектуальным интерфейсом управления платформой, содержащее управляющий микроконтроллер, работающий независимо от центрального процессора компьютера и включающий в свой состав программные функциональные модули, обеспечивающие идентификацию и аутентификацию пользователей, реализацию защитных функций устройства, управление питанием компьютера и взаимодействие с внешними средствами защиты; энергонезависимую память большой емкости с блоками хранения ПО доверенной среды, учетными данными пользователей, электронным журналом и блоком настроек; блок защиты BIOS с интерфейсом SPI, а также интерфейсы для связи управляющего контроллера с компьютером, блоком питания, внешними носителями и средствами защиты, отличающееся тем, что в состав устройства введены модуль удаленной многофакторной взаимной аутентификации и модуль удаленного управления, осуществляющий аппаратную виртуализацию и включающий блок фильтрации сетевого трафика, блок передачи видеоизображений, блок эмуляции USB-устройств и блок передачи показаний датчиков состояния сервера.2. A device for creating a trusted environment for a server with an intelligent platform management interface, containing a control microcontroller that works independently of the computer’s central processor and includes software functional modules that provide identification and authentication of users, implementation of the device’s protective functions, computer power management and interaction with external means of protection; non-volatile memory of large capacity with blocks of software storage of a trusted environment, user credentials, an electronic journal and a settings block; BIOS protection unit with SPI interface, as well as interfaces for communicating the control controller with a computer, power supply, external media and security equipment, characterized in that the device includes a remote multifactor mutual authentication module and a remote control module that performs hardware virtualization and includes a block filtering network traffic, a video transmission unit, a USB device emulation unit, and a server status sensor transmission unit. 3. Способ удаленного управления сервером с помощью устройства создания доверенной среды и защиты информации от несанкционированного доступа, включающий регистрацию пользователя на управляемом сервере с помощью носителя аутентифицирующей информации, формирование ключей аутентификации, проведение удаленной аутентификации пользователя на сервере по локальной компьютерной сети с помощью аутентифицирующего носителя и передачу команд управления на сервер по защищенному каналу, отличающийся тем, что регистрация пользователя осуществляется с помощью криптографических функций аутентифицирующего носителя пользователя с формированием разделяемого секрета, размещаемого в базе учетных данных пользователей устройства создания доверенной среды сервера и на аутентифицирующем носителе, формирование защищенного канала, прозрачно шифрующего сетевой трафик, осуществляется с помощью VPN-технологии, а передача информации для управления сервером реализуется путем виртуализации системных ресурсов, отображения всего адресного пространства в виртуальную машину, при этом проводится эмуляция применяемых физических устройств.3. A method for remote server management using a device for creating a trusted environment and protecting information from unauthorized access, including registering a user on a managed server using an authentication information medium, generating authentication keys, conducting remote user authentication on a server over a local computer network using an authentication medium, and sending control commands to the server over a secure channel, characterized in that the user is registered Using cryptographic functions of the user’s authentication medium with the formation of a shared secret, placed in the user credentials database of the device for creating a trusted server environment and authentication medium, the formation of a secure channel transparently encrypting network traffic is carried out using VPN technology, and information is transmitted for management the server is implemented by virtualizing system resources, mapping the entire address space to a virtual machine, while the wire tsya emulation used physical devices.

Images