Способ реализации доверенных вычислений

RU-A-2005130257 Александр Самойленко. Виртуализация на платформах VMware Server и VMware ESX Изобретение относится к области информатики, а более конкретно - к способу реализации доверенных вычислений. Настоящее изобретение может найти применение при создании и эксплуатации компьютерных систем различного назначения, в которых необходимо обеспечить высокий уровень доверия к вычислительному процессу и обеспечению безопасности, а изучение исходных текстов программного обеспечения по различным причинам невозможно или затруднено. Настоящее изобретение относится к способу реализации доверенных вычислений в компьютерной системе, включающей по меньшей мере один процессор, выполняющий инструкции, задачи,состоящие из инструкций, по меньшей мере одну операционную систему, являющуюся выделенной задачей, которая может запускать и/или останавливать выполнение других задач, монитора контроля событий, также являющегося задачей, и базы данных, содержащей разрешенные инструкции и/или их последовательности, заключающемуся в том, что монитор контроля событий запускается операционной системой, после чего он переводит процессор в режим контроля событий, при котором исполнение по меньшей мере части инструкций любой задачи, включая операционную систему, вызывает в мониторе контроля событий события, позволяющие определять выполняемые задачей инструкции и сравнивать выполняемые задачей инструкции и/или их последовательности с находящимися в базе данных и выполнять их, если они разрешены, и не выполнять, если они не разрешены.(71)(73) Заявитель и патентовладелец: ЗАКРЫТОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО "ЕС-ЛИЗИНГ" (RU) Изобретение относится к области информатики, а более конкретно - к способу реализации доверенных вычислений. Настоящее изобретение может найти применение при создании и эксплуатации компьютерных систем (КС) различного назначения, в которых необходимо обеспечить высокий уровень доверия к вычислительному процессу и обеспечению безопасности, а изучение исходных текстов программного обеспечения по различным причинам невозможно или затруднено. Ключевой задачей современной компьютерной безопасности является обеспечение гарантий выполнения заданной в компьютерной системе политики безопасности. Эта задача формулируется следующим образом. Пусть имеется априорно заданная для КС политика безопасности. Политика безопасности формулируется, исходя из целевой функции КС и регламентов ее функционирования. После формулирования политика безопасности реализуется в компьютерной системе при помощи средств управления безопасностью. Нарушение политики безопасности может произойти только из-за действия активных сущностей компьютерной системы, а именно - исполняемых в ней задач, действующих автономно или управляемых пользователями или административным персоналом КС. Таким образом, для гарантирования неизменности ПБ необходимо обеспечить контроль над активными сущностями - задачами. Кроме того, необходимо обеспечить невозможность влияния задач друг на друга, поскольку их взаимовлияние тоже может повлиять на политику безопасности. В основу настоящего изобретения положена задача создания способа реализации доверенных вычислений, который позволял обеспечить выполнение в компьютерной системе только документированных функций и достигнуть принципиально нового уровня обеспечения безопасности, отказавшись от предварительного исследования исходных кодов и позволил контролировать любые задачи в компьютерной системе. Эта задача решена в реализованном согласно настоящему изобретению способе реализации доверенных вычислений в компьютерной системе, включающей по меньшей мере один процессор, выполняющий инструкции, задачи, состоящие из инструкций, по меньшей мере одну операционную систему,являющуюся выделенной задачей, которая может запускать и/или останавливать выполнение других задач, монитора контроля событий, также являющегося задачей, и базы данных, содержащей разрешенные инструкции и/или их последовательности, заключающемся в том, что монитор контроля событий запускается операционной системой, после чего он переводит процессор в режим контроля событий, при котором исполнение по меньшей мере части инструкций любой задачи, включая операционную систему,вызывает в мониторе контроля событий события, позволяющие определять выполняемые задачей инструкции и сравнивать выполняемые задачей инструкции и/или их последовательности с находящимися в базе данных и выполнять их, если они разрешены, и не выполнять, если они не разрешены. Технически целесообразно рассматривать ситуацию, когда процессоров в компьютерной системе несколько, и описанный выше способ применяется, по меньшей мере, для некоторых из них. Не менее технически целесообразно зафиксировать неизменность монитора контроля событий и запускать его первым из всех возможных задач. Это позволит максимально полно контролировать все последующие запускаемые задачи. Для анализа выполняемых инструкций и выделения недокументированных функций события в мониторе контроля событий целесообразно только регистрировать в базе данных и разрешать выполнение всех инструкций. За счет реализации заявляемого способа достигается следующее: обеспечивается выполнение в компьютерной системе только документированных функций; достигается принципиально новый уровень обеспечения безопасности; возможно отказаться от предварительного исследования исходных кодов; контролируются любые задачи в компьютерной системе. Настоящее изобретение раскрыто в нижеследующем схематичном описании компьютерной системы доверенных вычислений со ссылками на чертеж, представляющий собой блок-схему этой системы,описывающую заявляемый способ. Компьютерная система доверенных вычислений содержит процессор 1, выполняющий инструкции,задачи 2, 3 и 4, состоящие из инструкций, одну операционную систему 2, являющуюся выделенной задачей, которая может запускать и/или останавливать выполнение других задач (3 и 4, процесс запуска обозначен на чертеже большими фигурными стрелками, задача 3 не может быть остановлена), монитора контроля событий 3, также являющегося задачей, и базы данных 5, содержащей разрешенные инструкции и/или их последовательности. Работа компьютерной системы доверенных вычислений заключается в том, что монитор контроля событий 3 запускается операционной системой 2, после чего он переводит процессор 1 в режим контроля событий, при котором исполнение по меньшей мере части инструкций любой задачи 2 и/или 4, включая операционную систему 2, вызывает в мониторе контроля событий 3 события, позволяющие определять выполняемые задачей (2 и/или 4) инструкции и сравнивать выполняемые задачей инструкции и/или их последовательности с находящимися в базе данных 5 и выполнять их, если они разрешены, и не выполнять, если они не разрешены. По сравнению со всеми известными авторам способами организации доверенных вычислений предлагаемый способ позволяет обеспечить выполнение в компьютерной системе только документированных функций и достигнуть принципиально нового уровня обеспечения безопасности, отказавшись от предварительного исследования исходных кодов, а также позволяет контролировать любые задачи в компьютерной системе. Литература. Пройдаков Э.М., Теплицкий Л.А. Англо-русский толковый словарь по вычислительной технике,интернету и программированию. 3-е изд, М.: Русская редакция, 2002, 640 с. ФОРМУЛА ИЗОБРЕТЕНИЯ 1. Способ реализации доверенных вычислений в компьютерной системе, включающей по меньшей мере один процессор, задачи, состоящие из инструкций процессора, по меньшей мере одну операционную систему, являющуюся выделенной задачей, которая может запускать и/или останавливать выполнение других задач, монитора контроля событий, также являющегося задачей, и базы данных, содержащей разрешенные процессору инструкции и/или их последовательности, заключающийся в том, что монитор контроля событий запускается операционной системой, после чего он переводит процессор в режим контроля событий, при котором исполнение процессором по меньшей мере части инструкций любой задачи,включая операционную систему, вызывает в мониторе контроля событий события, позволяющие определять выполняемые процессором инструкции задачи и сравнивать подлежащие выполнению процессором инструкции задачи и/или их последовательности с находящимися в базе данных и выполнять их, если они разрешены, и не выполнять, если они не разрешены. 2. Способ по п.1, отличающийся тем, что процессоров в компьютерной системе несколько и что указанный способ применяется, по меньшей мере, для некоторых из них. 3. Способ по п.1, отличающийся тем, что зафиксирована неизменность монитора контроля событий и что он запускается первым из всех возможных задач. 4. Способ по п.1, отличающийся тем, что события в мониторе контроля событий только регистрируются в базе данных и что разрешается выполнение всех инструкций.