Аккорд амдз для pci express

Особенности совместимости Аккорд-АМДЗ и современных СВТ

Термин «совместимость» в области вычислительной техники имеет, как минимум, три различных толкования — аппаратная совместимость, программная совместимость и совместимость программ. Поскольку Аккорд-АМДЗ является программно-аппаратным комплексом, то стоит рассмотреть 2 вида совместимости — аппаратную и программную.

В рамках данной статьи под аппаратной совместимостью мы будем понимать способность аппаратной части (платы контроллера АМДЗ) работать на различных компьютерах как PCI/PCIe-устройство, без учета функционального назначения, а под программной — способность ПО АМДЗ выполнять свои функции на различных компьютерах.

Поскольку ПО Аккорд-АМДЗ на данный момент, к сожалению, абсолютно несовместимо с архитектурами, отличными от x86/x86-64, то под «различными компьютерами» мы будем понимать «IBM PC-совместимые» СВТ в современном понимании. Т.е. предполагается, что при построении такого компьютера используется определенный набор стандартов — архитектура микропроцессора x86 (IA-32) или x86-64 (AMD64), наличие шин PCI и/или PCI-Express (стандарты PCI 2.х-3.x и PCI-Express 1.x-3.x), встроенное ПО типа PC BIOS (стандарт de facto, расширенный стандартами BIOS Boot Specification, Plug and Play BIOS Specification, BIOS Enhanced Disk Drive Specification, «El Torito» Bootable CD-ROM Format Specification и др.) или UEFI (стандарт Unified Extensible Firmware Interface Specification версий от 2.0 и выше).

Складывается впечатление, что никаких проблем не должно быть — следуй стандартам и все должно работать. Тем не менее, практика показывает, что проблемы есть, и мы попытаемся выяснить, почему.

В первую очередь рассмотрим проблемы аппаратной совместимости. Физически контроллеры Аккорд-АМДЗ вставляются в разъем шины PCI или PCI-Express (miniPCI-Express), поэтому аппаратная совместимость — это совместимость с шиной. Здесь можно выделить 2 уровня:

  • физический (разъем, размеры, питание, временные параметры сигналов);
  • логический (логика работы интерфейса шины).
Читайте также:  Ноты для малого барабана клоуны

Стандарты PCI/PCI-Express достаточно подробно описывают параметры устройства (как физические, так и логические). Но реально существуют как допуски и диапазоны, определенные стандартом, так и отклонения, вызываемые разбросом параметров микросхем или особенностями разводки печатной платы. Иногда в конкретной модели или даже конкретной системе происходит сложение погрешностей. Например, на промышленных компьютерах производства Advantech для работы контроллера Аккорд-5MX через переходник CompactPCI-PCI потребовалась доработка (установка конденсатора по линии CLK).

Иногда производители банально нарушают стандарты. Достаточно ярким примером служит некий вполне серийный ноутбук, на разъеме miniPCIe которого отсутствует напряжение питания 1.5V.

Примером логической несовместимости может служить история с сигналом четности шины PCI. Первая версия прошивки контроллера Аккорд-5MX не синхронизировала вывод данных от микропроцессора на шину PCI с тактированием шины. Что интересно, оказалось, что большинство СВТ не проверяют четность на шине как минимум при установках по умолчанию, проблема проявилась на серверах. Еще один пример — ранние версии Аккорд-5.5 PCI-Express использовали микросхему моста PCI-PCI-Express PLX PEX-8111. Оказалось, что в PCI-конфигурации моста по умолчанию производителем микросхемы была допущена ошибка, которая вызывала BSOD на ОС от Vista и новее при загрузке драйвера шины PCI (pci.sys). PLX выпустила Errata с рекомендациями по конфигурированию моста, и как минимум несколько сотен плат пришлось дорабатывать путем прошивки EEPROM с конфигурацией моста. Современные Аккорд-5.5 PCI-Express выпускаются с мостом PEX-8112, который не имеет этой проблемы.

Особенно остро стоят вопросы аппаратной совместимости с ноутбуками. Обычно ноутбук имеет 1 слот miniPCIe (причем, очень часто формата half-size), предназначенный для установки Wi-Fi-карты. Список Wi-Fi-карт, официально совместимых с конкретной моделью, как правило, невелик, да и зачастую известен только самому производителю. Кроме того, фактически до старта ОС Wi-Fi-карта не нужна, поэтому для ускорения загрузки встроенное ПО (PC BIOS или UEFI) ноутбука может не полностью инициализировать плату в слоте miniPCIe (например, игнорировать наличие на плате расширения BIOS).

С точки зрения физической совместимости — ОКБ САПР единственная, насколько я знаю, компания в России, производящая «электоронные замки» в формате miniPCIe half-size.

Некоторые производители ноутбуков и моноблоков практикуют использование т.н. white-list (списка разрешенных устройств) и при установке платы, параметров которой нет в этом списке, на этапе старта ноутбука мы получаем сообщение «установлено недопустимое устройство» и дальнейшая загрузка системы блокируется.

Происходит также развитие стандартов, но как раз здесь все складывается удачно. При разработке новых версий шин обеспечивается совместимость с прошлыми версиями. Так, достаточно незаметно произошли смены версии шины PCI от 2.0 к 3.0, развитие PCI-Express от 1.0 до 3.0 тоже пока не приносит проблем. К слову сказать, контроллеры Аккорд 5.0, созданные более 10-ти лет назад вполне успешно работают в современных материнских платах.

Проблемы аппаратной совместимости — это проблемы не только Аккорд-АМДЗ. Ведь не зря серьезные производители (IBM, HP и др.) публикуют списки совместимого оборудования, даже производители обычных материнских плат публикуют списки протестированных модулей памяти. В сети Интернет можно найти ставшие уже классическими примеры аппаратной несовместимости:

  • проблемы с AGP-видеокартами NVidia на чипсетах VIA и Ali;
  • проблемы инициализации HDD с интерфейсом SATA-II микросхемой VIA VT8237
  • проблемы со звуковыми картами Live! на чипсетах VIA;

и др. Какие-то из этих проблем решались обновлениями BIOS/прошивок/драйверов, а какие-то так и ушли в историю нерешенными.

Перейдем к вопросу программной совместимости. Учитывая принципы работы ПО АМДЗ, мы выделим 3 основных момента, в которых важна программная совместимость:

  1. совместимость принципа перехвата управления;
  2. совместимость при работе встроенной ОС и ПО АМДЗ (DOS- и Linux-версии);
  3. совместимость принципа продолжения загрузки основной ОС.

1. Совместимость принципа перехвата управления

Принцип перехвата управления АМДЗ заключается в установке собственного обработчика для отладочного прерывания аппаратной контрольной точки при передаче управления адресу памяти 0000:7C00H (именно на этот адрес передается управление из BIOS после считывания загрузочного сектора с какого-либо носителя). Таким образом, перехват момента загрузки операционной системы происходит в два этапа. Во время исполнения процедуры инициализации происходит установка аппаратной контрольной точки на передачу управления адресу 0000:7C00H и установка в качестве обработчика прерывания по контрольной точке процедуры, расположенной в Аккорд-BIOS. Далее происходит возврат из процедуры инициализации. После считывания загрузочного сектора с какого-либо загрузочного носителя в память по адресу 0000:7C00H и успешной проверки сигнатуры загрузочного сектора происходит передача управления на этот адрес. При этом при передаче управления коду загрузчика возникнет прерывание по аппаратной контрольной точке и будет вызван ранее установленный обработчик этого прерывания, расположенный в Аккорд-BIOS. Таким образом, будет получено управление непосредственно перед загрузкой операционной системы.

Практика показала, что этот принцип достаточно надежен и универсален для PC BIOS. Тем не менее, детали реализации не раз уточнялись. Например, встречаются BIOS, которые в процессе работы затирают отладочные регистры CPU (используемые для установки контрольной точки) и сейчас для таких BIOS работает алгоритм восстановления нужного состояния регистров.

Известной проблемой является несовместимость этого принципа с UEFI. Спецификация UEFI не предполагает заранее известного фиксированного адреса, на который можно установить контрольную точку. На данный момент совместимость достигается тем, что в состав UEFI входит Compatibility Support Module (CSM), который при определенных условиях обеспечивает процесс загрузки ОС в режиме Legacy. Над разработкой совместимого с UEFI принципа перехвата ОКБ САПР ведет работы.

2. Совместимость при работе встроенной ОС и ПО АМДЗ

После получения управления перед загрузкой операционной системы из flash-памяти контроллера загружается встроенная ОС (DOS или Linux), в которой запускается ПО АМДЗ. В принципе, DOS-версия ПО АМДЗ является 32-разрядной надстройкой над простейшим DOS (AcDOS), который обеспечивает только загрузку и запуск исполняемых файлов в определенной последовательности. Здесь как раз минимум проблем совместимости, т.к. практически весь процесс идет под полным контролем ПО АМДЗ в замкнутой среде. Единственным потенциально проблемным местом является разбор файловой системы, т.к. при этом происходит взаимодействие с сервисами BIOS и анализ структур файловой системы.

И снова вспоминаем про UEFI. Работа DOS-версии основана на вызовах сервисов BIOS (ввод информации, вывод изображения, чтение накопителей), и в случае UEFI работа возможна только в том случае, если при работе UEFI был запущен CSM. Кроме того, замечена тенденция не уделять большого внимания правильности реализации программных Legacy-интерфейсов BIOS, что объяснимо — современным ОС они практически не нужны.

В случае Linux-версии ПО АМДЗ в первую очередь стоит проблема совместимости собственно нашей сборки ОС Linux с широким кругом различных конфигураций компьютеров. Разработчиками ОС Linux очень много сделано для повышения стабильности и совместимости, но все же задачи запуска ядра, графической оболочки и работы с дисковой подсистемой имеют проблемы с совместимостью. Для минимизации проблем ядро собрано с минимальной поддержкой не нужных для выполнения основных функций АМДЗ опций (отключена поддержка многопроцессорности, ACPI и т.п.). При возможности используются универсальные драйвера (видеодрайвер VESA, драйвера IDE и AHCI). Но сложность практически полноценной ОС несравнима со сложностью простейшей версии DOS, поэтому все же могут возникать проблемы совместимости именно ОС с определенными конфигурациями СВТ.

Тем не менее, на данный момент Linux-версия в целом стабильно работает практически на любых конфигурациях обычных офисных компьютеров. Из проблем совместимости актуальными остаются:

  • работа с дисковой подсистемой на серверных конфигурациях, в которых обычно используются RAID-контроллеры;
  • невозможность работы с USB-устройствами (клавиатурой, мышью) от момента завершения работы ОС АМДЗ и до загрузки драйверов USB-стека основной ОС;
  • невозможность продолжения загрузки с USB-устройств (при входе администратором).

Над решением этих проблем ведутся работы.

Возвращаясь к вопросу совместимости с UEFI надо сказать, что Linux-версия более готова к работе в среде UEFI, хотя доработки, конечно же, потребуются.

3. Cовместимость принципа продолжения загрузки

В случае DOS-версии корни возможных проявлений несовместимости в том, что алгоритм определения загрузочного устройства для продолжения загрузки основан на информации, предоставляемой сервисами PC BIOS. При входе пользователем загрузчик ОС в АМДЗ должен проверить, не является ли первый жесткий диск съемным устройством, при входе администратором — правильно определить устройство, с которого началась загрузка до перехвата управления. Но производители встроенного ПО довольно вольно обходятся со спецификациями в этой области (в частности, BIOS Enhanced Disk Drive Specification и «El Torito» Bootable CD-ROM Format Specification), что может приводить к ошибкам при работе загрузчика. В частности, этим «грешит» встроенное ПО фирмы Fujitsu, не менее 3-х исправлений в загрузчике было связано с необъяснимой с точки зрения логики работой сервисов BIOS в части Bootable CD-ROM Specification.

В случае Linux-версии загрузчик ОС тоже использует сервисы PC BIOS. И здесь есть известные проблемы, связанные с тем, что после работы полноценной ОС со своими драйверами устройств (USB-стека и дисковой подсистемы), работа этих сервисов нарушается или может быть нарушена. В частности, это проблема невозможности загрузки с USB-устройств и загрузки с некоторых типов RAID-контроллеров.

Надо отметить, что как раз в случае продолжения загрузки будущая совместимость с UEFI может практически автоматически решить эти вопросы.

ОКБ САПР ведет непрерывную работу по обеспечению наиболее полной совместимости своих изделий с современными средствами ВТ. Чтобы «держать руку на пульсе», мы постоянно проводим тестирования с новыми моделями серверов, ноутбуков, моноблоков, стараемся выявить возможные проблемы и решить их.

Автор: Синякин С. А.

Дата публикации: 01.01.2013

Библиографическая ссылка: Синякин С. А. Особенности совместимости Аккорд-АМДЗ и современных СВТ // Комплексная защита информации. Электроника инфо. Материалы XVIII Международной конференции 21–24 мая 2013 года, Брест (Республика Беларусь). 2013. С. 142–144.

Источник

Аккорд АМДЗ РУКОВОДСТВО ПО УСТАНОВКЕ. Программно-аппаратный комплекс средств защиты. (Аппаратный модуль доверенной загрузки)

1 ГОСУДАРСТВЕННАЯ СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ УТВЕРЖДЕН ЛУ Программно-аппаратный комплекс средств защиты информации от НСД для ПЭВМ (PC) Аккорд АМДЗ (Аппаратный модуль доверенной загрузки) РУКОВОДСТВО ПО УСТАНОВКЕ Литера О 1

2 СОДЕРЖАНИЕ Руководство по установке 1. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ИСПОЛЬЗУЕМОМУ ПО 3 2. УСТАНОВКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА СЗИ НСД «АККОРД- АМДЗ» Назначение элементов и разъемов на плате контроллера Подсоединение контактного устройства (съемника информации) Установка контроллера в свободный слот материнской платы ПЭВМ Ошибка! Закладка не определена Назначение ТМ-идентификатора администратора безопасности информации (АБИ) 5 3. ТРУДНОСТИ ПРИ УСТАНОВКЕ КОМПЛЕКСА И МЕТОДЫ ИХ ПРЕОДОЛЕНИЯ СНЯТИЕ СРЕДСТВ ЗАЩИТЫ КОМПЛЕКСА «АККОРД» УСТАНОВКА ПО РАЗГРАНИЧЕНИЯ ДОСТУПА НА ЖЕСТКИЙ ДИСК. 8 2

3 Установка программно-аппаратного комплекса СЗИ НСД «Аккорд-АМДЗ» включает три основных этапа: 1. Установку платы контроллера в свободный слот ПЭВМ и регистрацию администратора БИ (супервизора), в том числе, настройку комплекса в соответствии с конфигурацией технических средств ПЭВМ. 2. Регистрацию пользователей, назначение пользователям личных ТМ-идентификаторов, паролей и времени доступа. 3. Назначения списка дисков, файлов, разделов реестра, контролируемых на целостность. Перед началом установки комплекса «Аккорд-АМДЗ» рекомендуется подробно ознакомиться с эксплуатационной документацией, прежде всего с «Описанием применения» ( ) и настоящим руководством. 1. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ И ИСПОЛЬЗУЕМОМУ ПО В настоящее время технические средства комплекса защиты от НСД «Аккорд-АМДЗ» для установки в слот шины mini-pci-express выпускаются на базе контроллера «Аккорд-5.5 mini-pcie». Эта модификация комплекса: — может использоваться на ПЭВМ с процессором Intel Pentium I и выше, объемом RAM 8 Мбайт и более; — требует для установки свободный слот mini-pci-express; — использует для идентификации персональные идентификаторы DS DS 1996 с объемом памяти до 64 Кбит; — использует для аутентификации пароль до 12 символов; — блокирует загрузку с отчуждаемых носителей (FDD, CD ROM, ZIP, и др.); — предусматривает регистрацию до 126 пользователей в энергонезависимой памяти; — имеет аппаратный датчик случайных чисел (ДСЧ); — обеспечивает контроль целостности программ и данных. Для эффективного применения комплекса и поддержания необходимого уровня защищенности ПЭВМ и информационных ресурсов необходимы: — физическая охрана ПЭВМ и ее средств, в том числе проведение мероприятий по недопущению изъятия контроллера комплекса; — наличие администратора безопасности информации (АБИ) — пользователя, имеющего особый статус и полномочия. Администратор БИ планирует мероприятия по защите информации, определяет права доступа пользователей в соответствии с утвержденным Планом защиты, организует установку комплекса в ПЭВМ, и эксплуатацию защищенной ПЭВМ, ведет учет выданных ТМ-идентификаторов, осуществляет периодическое тестирование комплекса; — использование в ПЭВМ технических и программных средств, сертифицированных как в Системе ГОСТ Р, так и в ГСЗИ. Контроллер «АККОРД-5.5 mini-pcie», входящий в состав комплекса, имеет два режима доступа к аппаратным ресурсам платы контроллера. Режим 0 (стандартный): доступ к области кода расширения BIOS только по чтению. Режим 1 (специальный, или технологический), в котором при старте компьютера код не исполняется, а области, защищенные при работе контроллера в режиме 0, становятся доступны по чтению/записи. Переход из стандартного режима в специальный (технологический) требует перевода переключателя в крайнее верхнее положение (см. Рис.1 — вид на плату со стороны установочных элементов, шинный разъем внизу). В технологическом режиме возможна перезапись внутреннего ПО контроллера без изменения аппаратной части и очистка базы данных пользователей, например, при утере ТМ-идентификатора администратора. Запись программного кода в BIOS контроллера возможна только при загрузке на компьютере однозадачной ОС. После перепрограммирования контроллера, или очистки базы данных необходимо выключить питание 3

4 компьютера, извлечь контроллер и вернуть переключатель технологического режима в исходное (крайнее нижнее) положение. Штатные операции изменения режима работы производятся под контролем службы безопасности. 2. УСТАНОВКА ПРОГРАММНО-АППАРАТНОГО КОМПЛЕКСА СЗИ НСД «АККОРД-АМДЗ» В SETUP компьютера параметр «Plug & Play O/S» должен быть установлен в NO. Это обеспечивает корректную инициализацию BIOS контроллера «Аккорд», как PCI устройства. Установка контроллера должна производится только при выключенном питании ПЭВМ! Для установки аппаратной части комплекса необходимо: 1. Отключить питание компьютера. 2. Открыть защитную крышку разъема mini-pci-express и установить в свободный слот контроллер комплекса Назначение элементов и разъемов на плате контроллера. Расположение элементов на плате контроллера «Аккорд-5.5 mini-pcie» показано на рис. 1. Рис. 1. Плата контроллера «Аккорд-5MX mini-pci» После установки в компьютер контроллер Аккорд-5.5 mini-pcie при старте автоматически определяет свободное адресное пространство и выбирает начальный адрес для размещения расширения BIOS в адресном пространстве. Это обеспечивает стабильную работу комплекса на большинстве ПЭВМ, однако возможны конфликты с устройствами, у которых некорректно отрабатывается функция PnP. 4

5 2.2. Подсоединение контактного устройства (съемника информации) Установка съемника информации должна производиться только при выключенной ПЭВМ! Контактное устройство (съемник информации) предназначено для обеспечения взаимодействия контроллера комплекса СЗИ НСД с персональным идентификатором пользователя (TM идентификатор). Контроллер Аккорд-5MX mini-pcie имеет двухконтактный разъем (на схеме обозначен как «Разъем подключения ТМ-идентификатора»), через который можно вывести провода на внешнее контактное устройство. Возможен вариант, когда эти провода коммутируются на разъем RJ11, например, разъем подключения модема. В этом случае к разъему RJ11 подключается штатный внешний съёмник из состава комплекса. Варианты подключения определяются конструктивными особенностями конкретного компьютера Назначение ТМ-идентификатора администратора безопасности информации (АБИ) После установки контроллера включить питание компьютера. В процессе загрузки управление передается контроллеру «Аккорд» и выполняется начальная инициализация. Определяется состав аппаратных средств ПЭВМ и данные заносятся в энергонезависимую память контроллера. Далее производится форматирование базы данных пользователей и внутреннего журнала. После завершения инициализации на экран выводится стартовое меню, в котором доступны для выбора только пункты «Администрирование». В Н И М А Н И Е! При помощи программы администратора, записанной в энергонезависимой памяти контроллера, обязательно зарегистрировать главного администратора БИ и назначить ему ТМидентификатор (особо обратите внимание на процесс генерации секретного ключа пользователя если ТМ-идентификатор регистрируется впервые, то следует сгенерировать новый секретный ключ, если ТМ-идентификатор уже зарегистрирован на другом комплексе «Аккорд», то следует выбрать опцию «уже записан в ТМ»). Если все действия произведены правильно, то после выхода из программы администрирования по клавише выполняется процедура идентификации/аутентификации и становятся доступными для выбора остальные пункты стартового меню администратора. Если этого не происходит, то вернитесь в режим администрирования и проведите регистрацию администратора (супервизора) более внимательно в соответствии с «Руководством администратора». Будьте внимательны и тщательно изучите документацию на комплекс (в частности «Руководство администратора»). Перезагрузите компьютер и убедитесь в том, что в процессе загрузки появляется сообщение на синем фоне: «Прислоните TM-идентификатор. » и после прикосновения TM-идентификатором Гл. администратора к съемнику информации происходит загрузка ПЭВМ и выводится стартовое меню администратора. В дальнейшем с помощью программы администратора (в стартовом меню выбрать пункт «Администрирование») можно регистрировать новых пользователей, менять состав контролируемых объектов и работать с журналом регистрации событий. Комплекс «Аккорд-АМДЗ» установлен! 5

6 3. ТРУДНОСТИ ПРИ УСТАНОВКЕ КОМПЛЕКСА И МЕТОДЫ ИХ ПРЕОДОЛЕНИЯ. При старте компьютера управление не передается контроллеру «Аккорд» Жесткий диск не размечен и не отформатирован, т.е. не имеет ни одного логического раздела. Причина: Если на жестком диске нет загрузочной записи (MBR) и не установлен ни один сменный загрузочный диск, то нет и возможности перехватить загрузку при старте контроллера «Аккорда». Разметить диск и отформатировать его в одной из файловых систем, которые поддерживает СЗИ «Аккорд», вставить любой загрузочный диск. Контроллер находится в технологическом режиме. В этом случае не выполняется старт программы микропроцессора на плате контроллера и загрузка не перехватывается. Перевести контроллер в рабочий режим. Нет реакции на прикосновение ТМ-идентификатором к контактному устройству (съемнику). Причина: Кабель контактного устройства подключен неверно. 1. Выключить компьютер. 2. Поменять полярность подключения проводов к контактному устройству, которое связано с разъемом на плате контроллера. При попытке стереть в контроллере Аккорд-5.5 mini-pcie базу данных пользователей (контроллер в технологическом режиме) выдается сообщение: Контроллер неисправен либо не установлен. Программа очистки базы данных пользователей запускается из многозадачной ОС(Windows 95/98, Windows NT/2000/XP) В многозадачной ОС каждой программе или процессу выделяется виртуальная память, а программа очистки БД пользователей работает с платой контроллера по физическому адресу. загрузить на компьютере со сменного носителя MS DOS или Windows 95/98 в режиме Command prompt only. Очистить базу данных пользователей. Версия программы очистки БД не соответствует версии контроллера. Причина: Для каждой версии контроллера используется своя программа очистки БД пользователей. Контроллеру Аккорд-5.5 mini-pcie соответствует программа IP55.EXE. используйте программу, соответствующую типу контроллера. Контроллер работает нормально, но после выполнения процедур идентификации/аутентификации и контроля целостности загрузка ОС не выполняется (в левом верхнем углу темного экрана мигает курсор). Компьютер заражен загрузочным вирусом. Комплекс «Аккорд АМДЗ» аппаратно берет на себя процесс загрузки ПЭВМ. Если все процедуры контроля и идентификации пользователя выполнены правильно, то загрузка передается стандартному загрузчику ОС по определенному адресу. Компьютерные вирусы, которые располагаются в загрузочной области жесткого диска, обычно помещают себя в область 6

Источник

Оцените статью