[go: up one dir, main page]

RU2007148810A - METHOD FOR TRUSTED DOWNLOAD OF OPERATING SYSTEM OF SOFTWARE AND HARDWARE COMPLEX - Google Patents

METHOD FOR TRUSTED DOWNLOAD OF OPERATING SYSTEM OF SOFTWARE AND HARDWARE COMPLEX Download PDF

Info

Publication number
RU2007148810A
RU2007148810A RU2007148810/09A RU2007148810A RU2007148810A RU 2007148810 A RU2007148810 A RU 2007148810A RU 2007148810/09 A RU2007148810/09 A RU 2007148810/09A RU 2007148810 A RU2007148810 A RU 2007148810A RU 2007148810 A RU2007148810 A RU 2007148810A
Authority
RU
Russia
Prior art keywords
module
software
operating system
hardware
trusted platform
Prior art date
Application number
RU2007148810/09A
Other languages
Russian (ru)
Inventor
Александр Васильевич Соколов (RU)
Александр Васильевич Соколов
Олег Витальевич Вернер (RU)
Олег Витальевич Вернер
Original Assignee
Александр Васильевич Соколов (RU)
Александр Васильевич Соколов
Олег Витальевич Вернер (RU)
Олег Витальевич Вернер
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Александр Васильевич Соколов (RU), Александр Васильевич Соколов, Олег Витальевич Вернер (RU), Олег Витальевич Вернер filed Critical Александр Васильевич Соколов (RU)
Priority to RU2007148810/09A priority Critical patent/RU2007148810A/en
Publication of RU2007148810A publication Critical patent/RU2007148810A/en

Links

Landscapes

  • Storage Device Security (AREA)

Abstract

1. Способ доверенной загрузки операционной системы программно-аппаратного комплекса, содержащего по меньшей мере один компьютер, в каждом из которых установлено программное обеспечение, включающее в себя по меньшей мере одну операционную систему, и имеется встроенный модуль доверенной платформы, выполненный с возможностью осуществления по меньшей мере следующих некриптографических функций: ! начальный контроль целостности аппаратного обеспечения компьютера и программы аппаратного загрузчика, ! контроль целостности основной загрузочной записи ПО и ! сокрытие заранее заданной критичной информации в защищенной области памяти модуля доверенной платформы в случае, если в процессе начального контроля выявлено нарушение целостности аппаратного обеспечения и (или) основной загрузочной записи, при этом упомянутый способ заключается в том, что: ! заранее рассчитывают эталонные значения хэш-функций для каждого аппаратного компонента, установленного в упомянутом компьютере, для базовой системы ввода-вывода и для основной загрузочной записи и записывают эти эталонные значения хэш-функций в упомянутой защищенной области памяти модуля доверенной платформы; ! устанавливают на каждом из упомянутых компьютеров модуль безопасности, выполненный с возможностью осуществления в процессе загрузки упомянутой операционной системы следующих функций: ! контроль целостности по меньшей мере заданной части упомянутого программного обеспечения, ! доверенную загрузку всего упомянутого программного обеспечения, ! управление обменом данными между упомянутым модулем безопасности и упомянутым модулем доверенной платфо�1. The method of trusted loading the operating system of a software and hardware complex containing at least one computer, each of which has installed software that includes at least one operating system, and there is an integrated module of a trusted platform configured to implement at least least of the following non-cryptographic functions:! initial control of the integrity of the computer hardware and the bootloader program,! integrity control of the master boot record software and! concealment of predetermined critical information in the protected area of the memory of the trusted platform module in the event that during the initial control a violation of the integrity of the hardware and (or) the main boot record is detected, while the above-mentioned method is that:! the hash functions reference values for each hardware component installed in said computer are calculated in advance for the basic input / output system and for the main boot record, and these hash functions are recorded in the said protected memory area of the trusted platform module; ! install a security module on each of the mentioned computers, configured to carry out the following functions during the loading of the mentioned operating system:! integrity control of at least a given part of said software,! trusted download of all the software mentioned! management of data exchange between said security module and said trusted platform module�

Claims (9)

1. Способ доверенной загрузки операционной системы программно-аппаратного комплекса, содержащего по меньшей мере один компьютер, в каждом из которых установлено программное обеспечение, включающее в себя по меньшей мере одну операционную систему, и имеется встроенный модуль доверенной платформы, выполненный с возможностью осуществления по меньшей мере следующих некриптографических функций:1. The method of trusted loading the operating system of a software and hardware complex containing at least one computer, each of which has installed software that includes at least one operating system, and there is an integrated module of a trusted platform configured to implement at least least of the following non-cryptographic functions: начальный контроль целостности аппаратного обеспечения компьютера и программы аппаратного загрузчика, initial control of the integrity of the computer hardware and the bootloader program, контроль целостности основной загрузочной записи ПО и integrity control of the master boot record of software and сокрытие заранее заданной критичной информации в защищенной области памяти модуля доверенной платформы в случае, если в процессе начального контроля выявлено нарушение целостности аппаратного обеспечения и (или) основной загрузочной записи, при этом упомянутый способ заключается в том, что: concealment of predetermined critical information in the protected area of the memory of the trusted platform module in the event that during the initial control a violation of the integrity of the hardware and (or) the main boot record is detected, while the said method consists in the following: заранее рассчитывают эталонные значения хэш-функций для каждого аппаратного компонента, установленного в упомянутом компьютере, для базовой системы ввода-вывода и для основной загрузочной записи и записывают эти эталонные значения хэш-функций в упомянутой защищенной области памяти модуля доверенной платформы; the hash functions reference values for each hardware component installed in said computer are calculated in advance for the basic input / output system and for the main boot record, and these hash functions are recorded in the said protected memory area of the trusted platform module; устанавливают на каждом из упомянутых компьютеров модуль безопасности, выполненный с возможностью осуществления в процессе загрузки упомянутой операционной системы следующих функций: install a security module on each of these computers, configured to perform the following functions during the boot of the mentioned operating system: контроль целостности по меньшей мере заданной части упомянутого программного обеспечения, monitoring the integrity of at least a given part of said software, доверенную загрузку всего упомянутого программного обеспечения, Trusted download of all the software mentioned. управление обменом данными между упомянутым модулем безопасности и упомянутым модулем доверенной платформы, managing data exchange between said security module and said trusted platform module, извлечение из упомянутого модуля доверенной платформы заранее заданной критичной информации в случае, если вычисленные при упомянутом начальном контроле целостности значения хэш-функций для каждого аппаратного компонента и для основной загрузочной записи совпадают с соответствующими из упомянутых эталонных значений хэш-функций. extracting from the said module of the trusted platform predetermined critical information if the hash values for each hardware component and for the main boot record calculated with the initial integrity check coincide with the corresponding ones of the reference hash functions. 2. Способ по п.1, в котором упомянутый модуль безопасности выполнен аппаратным.2. The method according to claim 1, wherein said security module is hardware. 3. Способ по п.1, в котором упомянутый модуль безопасности выполнен программным.3. The method according to claim 1, in which said security module is made software. 4. Способ по п.1, в котором упомянутый модуль безопасности выполнен аппаратно-программным.4. The method according to claim 1, in which the aforementioned security module is made hardware-software. 5. Способ по п.1, в котором упомянутый модуль доверенной платформы выполнен с возможностью осуществления по меньшей мере следующих криптографических функций:5. The method according to claim 1, wherein said trusted platform module is configured to implement at least the following cryptographic functions: алгоритмы электронной подписи и electronic signature algorithms and алгоритмы шифрования, encryption algorithms а упомянутый модуль безопасности выполнен с возможностью осуществления криптографических функций, отличных от упомянутых криптографических функций модуля доверенной платформы.and said security module is configured to perform cryptographic functions other than said cryptographic functions of a trusted platform module. 6. Способ по п.1, в котором в случае защиты от неавторизованного доступа к операционной системе с помощью шифрования того раздела соответствующего носителя данных, в котором хранится операционная система, генерируют в качестве упомянутой критичной информации ключи шифрования операционной системы и записывают эти ключи шифрования операционной системы в упомянутую защищенную область памяти упомянутого модуля доверенной платформы вместе с соответствующими эталонными значениями хэш-функций.6. The method according to claim 1, in which in the case of protection against unauthorized access to the operating system by encrypting that section of the corresponding storage medium in which the operating system is stored, the operating system encryption keys are generated as the critical information and these operating system encryption keys are recorded systems into said protected memory area of said trusted platform module together with corresponding hash reference values. 7. Способ по п.1, в котором в случае защиты от неавторизованного доступа к операционной системе с помощью аппаратного модуля контроля доступа, предназначенного для авторизации по меньшей мере пользователя, генерируют в качестве упомянутой критичной информации пароли авторизации пользователя на упомянутом аппаратном модуле контроля доступа и записывают эти пароли авторизации в защищенную область памяти упомянутого модуля доверенной платформы вместе с соответствующими эталонными значениями хэш-функций.7. The method according to claim 1, in which in the case of protection against unauthorized access to the operating system using a hardware access control module designed to authorize at least a user, generate user authentication passwords on said access control hardware module as critical information and write these authorization passwords to the protected area of the memory of the said module of the trusted platform together with the corresponding reference values of the hash functions. 8. Способ по п.6 или 7, в котором в случае загрузки с энергонезависимой памяти компьютера осуществляют модификацию процедуры загрузки путем занесения в загрузочный сектор упомянутой энергонезависимой памяти основной загрузочной записи упомянутого модуля безопасности и настраивают упомянутую базовую систему ввода-вывода на загрузку с внутренней энергонезависимой памяти.8. The method according to claim 6 or 7, in which, in the case of booting from a non-volatile computer memory, the boot procedure is modified by entering the main boot record of the said security module into the boot sector of the non-volatile memory and setting the said basic input / output system to boot from the internal non-volatile memory. 9. Способ по п.6 или 7, в котором в случае загрузки с внешнего устройства памяти осуществляют модификацию процедуры загрузки путем перепрошивки в упомянутой базовой системе ввода-вывода процедуры загрузки основной загрузочной записи для предотвращения загрузки с нештатного внешнего устройства памяти. 9. The method according to claim 6 or 7, in which, in the case of booting from an external memory device, the loading procedure is modified by flashing the loading procedure of the main boot record in the aforementioned basic input / output system to prevent booting from the abnormal external memory device.
RU2007148810/09A 2007-12-29 2007-12-29 METHOD FOR TRUSTED DOWNLOAD OF OPERATING SYSTEM OF SOFTWARE AND HARDWARE COMPLEX RU2007148810A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2007148810/09A RU2007148810A (en) 2007-12-29 2007-12-29 METHOD FOR TRUSTED DOWNLOAD OF OPERATING SYSTEM OF SOFTWARE AND HARDWARE COMPLEX

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2007148810/09A RU2007148810A (en) 2007-12-29 2007-12-29 METHOD FOR TRUSTED DOWNLOAD OF OPERATING SYSTEM OF SOFTWARE AND HARDWARE COMPLEX

Publications (1)

Publication Number Publication Date
RU2007148810A true RU2007148810A (en) 2009-07-10

Family

ID=41045233

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2007148810/09A RU2007148810A (en) 2007-12-29 2007-12-29 METHOD FOR TRUSTED DOWNLOAD OF OPERATING SYSTEM OF SOFTWARE AND HARDWARE COMPLEX

Country Status (1)

Country Link
RU (1) RU2007148810A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2777704C1 (en) * 2021-11-09 2022-08-08 федеральное государственное автономное образовательное учреждение высшего образования «Национальный исследовательский университет ИТМО» (Университет ИТМО) Method for secure booting of the operating system of computers

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2777704C1 (en) * 2021-11-09 2022-08-08 федеральное государственное автономное образовательное учреждение высшего образования «Национальный исследовательский университет ИТМО» (Университет ИТМО) Method for secure booting of the operating system of computers

Similar Documents

Publication Publication Date Title
EP3688652B1 (en) Device and method for data security with trusted execution environment
EP3125149B1 (en) Systems and methods for securely booting a computer with a trusted processing module
US10516533B2 (en) Password triggered trusted encryption key deletion
CN101256613B (en) Secure processor system that does not require maker and user to know each other's encrypted information
CN101894224B (en) Protecting content on client platforms
EP2727040B1 (en) A secure hosted execution architecture
US9641330B2 (en) Trusted tamper reactive secure storage
TW201500960A (en) Detection of secure variable alteration in a computing device equipped with unified extensible firmware interface (UEFI)-compliant firmware
CN102262599B (en) Trusted root-based portable hard disk fingerprint identification method
WO2019104988A1 (en) Plc security processing unit and bus arbitration method thereof
JP2016025616A (en) Method for protecting data stored in disk drive, and portable computer
JP2008072717A (en) Hard disc streaming cryptographic operations with embedded authentication
JP2021179982A (en) Security systems and methods to prevent rollback attacks on silicon device firmware
US20080077807A1 (en) Computer Hard Disk Security
US12197582B2 (en) Implementation of trusted computing system based on master controller of solid-state drive
EP3757838B1 (en) Warm boot attack mitigations for non-volatile memory modules
US8024579B2 (en) Authenticating suspect data using key tables
JP6518798B2 (en) Device and method for managing secure integrated circuit conditions
KR20210132736A (en) Runtime code execution validity
Dave et al. CARE: Lightweight attack resilient secure boot architecturewith onboard recovery for RISC-V based SOC
JP2020149236A (en) Electronic devices and control methods for electronic devices
US9213864B2 (en) Data processing apparatus and validity verification method
CN114816549B (en) Method and system for protecting bootloader and environment variable thereof
CN105095766B (en) Method for processing software functions in a control device
CN103870769A (en) Method and system for protecting magnetic disk

Legal Events

Date Code Title Description
FA92 Acknowledgement of application withdrawn (lack of supplementary materials submitted)

Effective date: 20090619