Архитектура многоконтурного защищенного компьютера

 

Будучи вполне работоспособной, схема на рис. 11 все же ограничивает возможности пользователя, который в разные периоды жизнедеятельности стремится к различным целям. Если для управления банковским счетом пользователю необходим компьютер, показанный на рис. 11, обеспечивающий доверенные среду информационного взаимодействия, идентификацию и аутентификацию, то для свободной навигации по интернету и скачивания компьютерных игр ему мешают даже небольшие необходимые для защищенности ограничения. Пользователь стремится к возможностям, предоставляемой компьютером, схема которого приведена на рис. 9, не смотря на все уязвимости, присущие стандартной схеме. Возникает противоречие между потребностью в свободной навигации и необходимостью доверенного режима информационного взаимодействия. Можно ли разрешить это противоречие? Для этого нужно объединить схемы на рисунках 9 и 11, а также предоставить пользователю возможность выбора необходимого ему режима в текущей сессии.

Такой вариант компьютера [41] приведен на рис. 12.

Рис. 12. Схема двухконтурного компьютера.

 

Переключатель sw2 позволяет выбрать режим – подавая сигнал выбора микросхемы памяти CE (chip enable) на ROM₁ или ROM₃.

Очевидно также, что переключатель sw2 располагается так, чтобы переключение можно было осуществить снаружи, осуществляя выбор защищенного (ROM₁) или незащищенного (ROM₃) режима работы.

Память ROM₂ при этом доступна всегда, в любом из режимов. Она находится в состоянии RW, то есть допускает чтение и запись.

При правильной организации работ такой режим безопасен, но он становится опасным при обработке в защищенном режиме информации более высокой категории. Действительно, при обработке в защищенном режиме важной информации она может быть записана на ROM₂, и будет доступна при использовании незащищенной ОС из ROM₃. Если угроза такой утечки данных является актуальной, то следует принять меры противодействия этой угрозе. Например, обеспечить правильное построение и настройку программной защиты операционной системы и приложений из ROM₁, не допускающей записи из защищенного режима в ROM₂. Это нетрудно сделать программными методами, но для высоких классов защищенности лучше выполнить аппаратными методами.

 

Для этого достаточно на время защищенного сеанса взаимодействия переводить ROM₂ в состояние RO. Проще всего это обеспечить [42], установив связь между выбором режима и состоянием ROM₂, как показано на рис. 13.

Рис. 13. Двухконтурный компьютер с безопасным взаимодействием контуров

При такой схеме подключения памяти ROM₂ будет в состоянии RW при работе в незащищенном режиме, и в состоянии RO при работе в защищенном режиме. Значит, в незащищенном режиме можно собрать в процессе навигации необходимые материалы, записать их на ROM₂. Использование их (чтение) будет возможно в защищенном режиме. Утечки же защищаемой информации исключены, так как при работе в защищенном режиме ROM₃ недоступна полностью, а ROM₂ недоступна на запись. По существу, таким несложным путем можно реализовать однонаправленный шлюз между контурами, предназначенный для безопасного взаимодействия контуров. Обычно же шлюзы такого рода представляют собой весьма сложные технические устройства, дорогие и ненадежные. Здесь же необходимого эффекта удается достигнуть одной перемычкой.

Тем не менее, наиболее безопасным является механизм, обеспечивающий недоступность ROM₂ при работе в незащищенном режиме. Это означает, что доступность ROM₂ должна устанавливаться аналогично доступности ROM₁, то есть нужно использовать одинаковые уровни сигналов на контактах CE этих микросхем. Такая организация [43] показана на рис. 14.

Рис. 14. Память ROM ₁ и ROM ₂ доступны в одинаковые интервалы времени.

 

Если компьютер будет таким, как на рис. 14, то взаимодействия между контурами не будет. Для ряда задач это хорошо, но для обычной жизни – не всегда удобно. Например, при разработке нового устройства массу данных можно почерпнуть в открытом интернете в процессе свободной навигации. При этом непонятно, как ввести эти данные в закрытый контур. Если использование памяти ROM₂ невозможно в незащищенном режиме, то данные из открытого контура не попадут в защищенный. Если же ROM₂ доступна (как на рис. 12), то возможна утечка данных из защищенного контура в незащищенный.

Вернемся к рассмотрению варианта, представленного на рис. 14, как наиболее универсального.

Здесь мы обратим внимание, что корректно переключать режимы с помощью sw2 можно не всегда. Это можно сделать лишь при выключенном питании. Переключение же в процессе работы не вызовет перезагрузку ОС, и может привести к:

- утечке данных – в случае, если переключение из защищенного в незащищенный режим выполнится при неоконченной записи. Часть данных может при этом попасть на ROM₃;

- «зависанию» компьютера – при попытке «продолжить» операции с использованием другого физического блока;

- многим другим проблемам.

Что бы избежать этого, нужно использовать специальные механизмы управления переключением режимов [44]. То есть необходим блок, учитывающий все особенности переключения – блок управления режимами, БУР (рис. 15).

Рис. 15. Схема компьютера с блоком управления переключением режимов.

 

Рассмотрим, как должен работать такой блок.

Как показано выше, изменение положения переключателя sw2 в процессе работы никак не должно влиять на режим работы компьютера. Положение переключателя должно учитываться только при включении (перезагрузке) устройства. Для этого в качестве управляющего сигнала можно рассматривать фронт подачи напряжения питания. Пример простейшего блока управления переключением режимов показан на рис. 16.

Рис. 16. Пример блока управления переключением режимов.

Состояние переключателя режима sw2 будет зафиксировано D-триггером после подачи питания.

На инверсный вход R триггера подается Vcc, вход поддерживается в состоянии 1 (НЕ сброшен).

На вход 1D подается сигнал от sw2, который и будет зафиксирован.

С1 – вход синхронизации. Значение выхода устанавливается в момент положительного фронта на этом входе. Сигнал от глобальной линии «Reset» подается через линию задержки, что обеспечивает исполнение после установления всех напряжений питания.

На инверсный вход S (Set, установка) через линию задержки подключено напряжение питания. В момент, когда S установлен в 0, а R установлен в 1, состояние триггера будет сброшено: прямой выход будет в состоянии 1, инверсный в состоянии 0. После того, как вход S достигнет значения 1, он перестанет влиять на выход триггера, после этого значение будет иметь только вход D при положительном фронте на входе C1.

Таким образом, задача управления переключением режимов решена.

Вернемся теперь к базовому решению, обеспечивающему за счет sw1 установку состояния RO для памяти ROM₁. Состояние этого блока памяти может долгое время оставаться неизменным, но иногда, все-же, оно должно корректироваться. Например, когда объем обновлений, сохраняемых в ROM₂, становится значительным.

Для высоких уровней защищенности обновление должно выполняться в лабораторных условиях и использованием доверенного оборудования и локальным управлением переключателем sw1. Использование механического переключателя очень надежно и безопасно, но для целого ряда задач все-же неудобно – если не нужно стремиться к слишком высокому уроню защищенности. В этом случае может быть предложен механизм дистанционного управления обновлением ROM₁.