本發(fā)明涉及一種基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu)及運(yùn)行方法����,屬于國(guó)產(chǎn)計(jì)算平臺(tái)安全可信設(shè)計(jì)與主板架構(gòu)設(shè)計(jì)技術(shù)領(lǐng)域。
背景技術(shù):
隨著信息電子化與信息全球化的飛速發(fā)展�,國(guó)防信息化與信息安全受到前所未有的關(guān)注,與此同時(shí)國(guó)產(chǎn)計(jì)算平臺(tái)也面臨著空前的機(jī)遇與挑戰(zhàn)���。安全可信�、自主可控是當(dāng)前形勢(shì)對(duì)國(guó)產(chǎn)計(jì)算平臺(tái)提出的要求���,其中安全可信設(shè)計(jì)是國(guó)產(chǎn)計(jì)算設(shè)備的核心競(jìng)爭(zhēng)力����,硬件架構(gòu)與軟件算法設(shè)計(jì)則是國(guó)產(chǎn)計(jì)算設(shè)備的可創(chuàng)新突破點(diǎn)����。安全可信設(shè)計(jì)包括理論層面的自主密碼體制、芯片層面的主動(dòng)控制��、主板層面的計(jì)算可信雙節(jié)點(diǎn)融合�、軟件層面的雙系統(tǒng)體系結(jié)構(gòu)等內(nèi)容���。
中國(guó)專利文件(申請(qǐng)?zhí)?01310538128.9)公開(kāi)了“一種基于fpga的安全可信計(jì)算機(jī)的設(shè)計(jì)方法”�,具體設(shè)計(jì)步驟為:在普通計(jì)算機(jī)架構(gòu)中,加入基于fpga的安全可信模塊�����,該安全可信模塊存在于cpu�����、橋片�����、bios�����、硬盤(pán)���、以太網(wǎng)絡(luò)等核心部件和外圍設(shè)備之間�,所述模塊包含fpga�����、cpld和存儲(chǔ)器���。計(jì)算機(jī)系統(tǒng)在啟動(dòng)���,正常運(yùn)行以及讀寫(xiě)數(shù)據(jù)時(shí)�����,都經(jīng)過(guò)安全可信模塊的度量�,從而達(dá)到安全可信����。該專利是在普通計(jì)算機(jī)主板架構(gòu)基礎(chǔ)上,通過(guò)增加安全可信模塊實(shí)現(xiàn)cpld配置兩片fpga��,分別在啟動(dòng)中與運(yùn)行中對(duì)bios與外設(shè)通信進(jìn)行安全度量�,以達(dá)到安全可信,啟動(dòng)步驟多���、不夠高效���。
目前,非國(guó)產(chǎn)計(jì)算平臺(tái)處理器�����、固件�、操作系統(tǒng)、支撐軟件存在后門(mén)與漏洞�����。目前成熟的主板架構(gòu)多采用cpu+橋片形式��,對(duì)bios啟動(dòng)與io通信沒(méi)有較好的防護(hù)措施���,在遇到非法破壞時(shí)極易被篡改bios啟動(dòng)項(xiàng)����,或被監(jiān)聽(tīng)通信數(shù)據(jù)��;國(guó)產(chǎn)計(jì)算平臺(tái)需要設(shè)計(jì)具有不同硬件架構(gòu)與軟件算法的替代體系����,以提升計(jì)算平臺(tái)的安全保密防護(hù)能力。
技術(shù)實(shí)現(xiàn)要素:
針對(duì)現(xiàn)有技術(shù)的不足���,本發(fā)明提供一種基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu)���。與傳統(tǒng)被動(dòng)應(yīng)對(duì)的防護(hù)模式不同��,是一種主動(dòng)免疫的計(jì)算模式�����,以提升國(guó)產(chǎn)計(jì)算平臺(tái)安全保密防護(hù)能力���。
本發(fā)明的技術(shù)方案如下:
一種基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu),包括安全處理器��、安全io橋片���、管控芯片���、計(jì)算芯片、fpga芯片���;
管控芯片通過(guò)uart接口與計(jì)算芯片通信連接����,實(shí)現(xiàn)可信度量����;管控芯片通過(guò)spi接口及pcie接口與安全處理器通信連接�����,安全處理器與外部存儲(chǔ)器一和內(nèi)存相連,外部存儲(chǔ)器一內(nèi)設(shè)有后臺(tái)管控系統(tǒng)�,管控芯片通過(guò)spi接口將初始化程序加載至安全處理器內(nèi)存空間完成啟動(dòng)引導(dǎo),同時(shí)安全處理器運(yùn)行安裝在外部存儲(chǔ)器一內(nèi)部的后臺(tái)管控系統(tǒng)���;
安全io橋片與安全處理器�����、外部存儲(chǔ)器二相連接���,外部存儲(chǔ)器二內(nèi)設(shè)有前臺(tái)計(jì)算系統(tǒng),計(jì)算芯片及fpga芯片均與安全io橋片通信連接��,計(jì)算芯片及fpga芯片構(gòu)成tcm內(nèi)核�,用于實(shí)現(xiàn)數(shù)據(jù)加解密算法,tcm內(nèi)核為系統(tǒng)提供可信根�;安全處理器運(yùn)行安裝在外部存儲(chǔ)器二內(nèi)的前臺(tái)計(jì)算系統(tǒng)。
根據(jù)本發(fā)明優(yōu)選的�,安全io橋片包括pcie控制器、高速輸入輸出部件、低速輸入輸出部件�,安全io橋片通過(guò)pcie接口與計(jì)算芯片、fpga芯片及安全處理器相連�����,高速輸入輸出部件��、低速輸入輸出部件分別連接高速接口和低速接口��。
進(jìn)一步優(yōu)選的����,安全io橋片還包括圖形圖像控制器、存儲(chǔ)控制器����;高速輸入輸出部件包括sata控制器、以太網(wǎng)控制器��、usb控制器���;低速輸入輸出部件包括音頻控制器�、串口控制器����、ps/2控制器����、gpio����。
根據(jù)本發(fā)明優(yōu)選的,外部存儲(chǔ)器一為emmc芯片����,安全處理器通過(guò)emmc接口連接emmc芯片���。安全處理器控制內(nèi)核運(yùn)行安裝在emmc內(nèi)部的后臺(tái)管控系統(tǒng)��,安全處理器連接emmc芯片作為外部存儲(chǔ)器提高讀寫(xiě)速度���。
根據(jù)本發(fā)明優(yōu)選的,外部存儲(chǔ)器二為sata盤(pán)����,安全io橋片通過(guò)sata控制器連接sata盤(pán)。安全處理器運(yùn)行安裝在硬盤(pán)內(nèi)的前臺(tái)計(jì)算系統(tǒng)����。
根據(jù)本發(fā)明優(yōu)選的���,管控芯片與計(jì)算芯片均設(shè)有軟件銷毀程序。管控芯片與計(jì)算芯片均支持軟件銷毀���,通過(guò)外圍電路設(shè)計(jì)可實(shí)現(xiàn)一鍵清除內(nèi)部信息而不破壞硬件設(shè)備��。
根據(jù)本發(fā)明優(yōu)選的�����,安全處理器還設(shè)有擴(kuò)展接口����。
根據(jù)本發(fā)明優(yōu)選的��,所述內(nèi)存為ecc內(nèi)存����。帶ecc功能的內(nèi)存可增強(qiáng)糾錯(cuò)能力。
根據(jù)本發(fā)明優(yōu)選的��,所述安全處理器包括計(jì)算內(nèi)核和1個(gè)控制內(nèi)核����,計(jì)算內(nèi)核和控制內(nèi)核各通過(guò)一條內(nèi)存通道與內(nèi)存連接����。計(jì)算內(nèi)核為4個(gè)通用內(nèi)核�。
一種利用上述基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu)的運(yùn)行方法,包括步驟如下:
主板啟動(dòng)時(shí)�����,由管控芯片通過(guò)spi接口將初始化程序加載至安全處理器內(nèi)存空間��,同時(shí)管控芯片根據(jù)tcm內(nèi)核提供的可信根對(duì)bios進(jìn)行引導(dǎo)度量���、對(duì)系統(tǒng)內(nèi)核進(jìn)行可信度量;所述系統(tǒng)為后臺(tái)管控系統(tǒng)和前臺(tái)計(jì)算系統(tǒng)�;
主板運(yùn)行中,安全處理器控制內(nèi)核啟動(dòng)emmc中安裝的后臺(tái)管控系統(tǒng)��,由管控芯片度量系統(tǒng)內(nèi)核實(shí)現(xiàn)安全可信�����;安全處理器計(jì)算內(nèi)核通過(guò)安全io橋片運(yùn)行sata盤(pán)中的前臺(tái)計(jì)算系統(tǒng)�����,由tcm內(nèi)核完成安全io橋片的io數(shù)據(jù)加解密。
本發(fā)明的有益效果在于:
1)本專利設(shè)計(jì)了全新主板架構(gòu)�,管控芯片無(wú)需啟動(dòng)配置實(shí)現(xiàn)bios自動(dòng)引導(dǎo)與內(nèi)核度量,計(jì)算芯片通過(guò)配置fpga邏輯實(shí)現(xiàn)數(shù)據(jù)加解密�。
2)利用本發(fā)明的設(shè)計(jì)使主板架構(gòu)支持雙外存雙系統(tǒng)設(shè)置,雙內(nèi)存雙系統(tǒng)設(shè)計(jì)由主板采用的安全處理器結(jié)構(gòu)決定�,安全處理器內(nèi)部包括4個(gè)通用內(nèi)核與1個(gè)控制內(nèi)核,通用內(nèi)核與控制內(nèi)核各使用一條內(nèi)存通道以實(shí)現(xiàn)雙內(nèi)存設(shè)計(jì)���;同時(shí)連接處理器的emmc與連接橋片的sata硬盤(pán)中各存在一套系統(tǒng)以實(shí)現(xiàn)管控����、計(jì)算雙系統(tǒng)設(shè)計(jì)�����,增加系統(tǒng)穩(wěn)定性與安全性�����。
3)本發(fā)明的主板架構(gòu)設(shè)計(jì)使安全處理器連接emmc芯片作為外部存儲(chǔ)器以提高讀寫(xiě)速度�����;同時(shí)本發(fā)明的主板架構(gòu)支持可信度量與數(shù)據(jù)加解密,支持一鍵銷毀操作����。
4)現(xiàn)有主板架構(gòu)處理器直接連接橋片,對(duì)bios啟動(dòng)與io通信沒(méi)有較好的防護(hù)措施�����,在遇到非法破壞時(shí)極易被篡改bios啟動(dòng)項(xiàng)�����,或被監(jiān)聽(tīng)通信數(shù)據(jù)�;本發(fā)明通過(guò)增加bios引導(dǎo)度量、系統(tǒng)內(nèi)核可信度量���、雙系統(tǒng)結(jié)構(gòu)及io通信加解密功能����,可以從根源降低使用風(fēng)險(xiǎn)���,保證計(jì)算機(jī)安全可信。
5)利用本發(fā)明的技術(shù)方案�����,可從引導(dǎo)開(kāi)始包括雙系統(tǒng)的切換、前后臺(tái)的管理��,建立主動(dòng)免疫�,比防火墻等被動(dòng)免疫更加安全。
附圖說(shuō)明
圖1為本發(fā)明基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu)框圖���。
具體實(shí)施方式
下面通過(guò)實(shí)施例并結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步說(shuō)明���,但不限于此。
實(shí)施例1:
一種基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu)��,包括安全處理器���、安全io橋片��、管控芯片����、計(jì)算芯片����、fpga芯片����;
管控芯片通過(guò)uart接口與計(jì)算芯片通信連接�����,實(shí)現(xiàn)可信度量�;管控芯片通過(guò)spi接口及pcie接口與安全處理器通信連接,安全處理器與外部存儲(chǔ)器一和內(nèi)存相連����,外部存儲(chǔ)器一內(nèi)設(shè)有后臺(tái)管控系統(tǒng),管控芯片通過(guò)spi接口將初始化程序加載至安全處理器內(nèi)存空間完成啟動(dòng)引導(dǎo)����,同時(shí)安全處理器控制內(nèi)核運(yùn)行安裝在外部存儲(chǔ)器一內(nèi)部的后臺(tái)管控系統(tǒng);
安全io橋片與安全處理器�����、外部存儲(chǔ)器二相連接����,外部存儲(chǔ)器二內(nèi)設(shè)有前臺(tái)計(jì)算系統(tǒng),計(jì)算芯片及fpga芯片均與安全io橋片通信連接�,計(jì)算芯片及fpga芯片構(gòu)成tcm內(nèi)核,用于實(shí)現(xiàn)數(shù)據(jù)加解密算法�����,tcm內(nèi)核為系統(tǒng)提供可信根��;安全處理器計(jì)算內(nèi)核運(yùn)行安裝在外部存儲(chǔ)器二內(nèi)的前臺(tái)計(jì)算系統(tǒng)�。
安全處理器包括計(jì)算內(nèi)核和1個(gè)控制內(nèi)核,計(jì)算內(nèi)核和控制內(nèi)核各通過(guò)一條內(nèi)存通道與內(nèi)存連接�����。計(jì)算內(nèi)核為4個(gè)通用內(nèi)核�����。
外部存儲(chǔ)器一為emmc芯片��,安全處理器通過(guò)emmc接口連接emmc芯片����。安全處理器控制內(nèi)核運(yùn)行安裝在emmc內(nèi)部的后臺(tái)管控系統(tǒng)。外部存儲(chǔ)器二為sata盤(pán)�����,安全io橋片內(nèi)設(shè)有sata控制器、通過(guò)sata控制器連接sata盤(pán)�����。安全處理器還設(shè)有擴(kuò)展接口��。所述內(nèi)存為ecc內(nèi)存���。帶ecc功能的內(nèi)存可增強(qiáng)糾錯(cuò)能力��。本實(shí)施例中�����,安全處理器使用申威4c����,安全io橋片使用ich2�,管控芯片使用信息工程大學(xué)schip,計(jì)算芯片使用國(guó)芯ccfc9100���,fpga使用arriav5agzme1e2h29c3n�。
實(shí)施例2:
一種基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu),其結(jié)構(gòu)如實(shí)施例1所述���,所不同的是,安全io橋片包括pcie控制器��、高速輸入輸出部件�����、低速輸入輸出部件��,安全io橋片通過(guò)pcie接口與計(jì)算芯片����、fpga芯片及安全處理器相連,高速輸入輸出部件�、低速輸入輸出部件分別連接高速接口和低速接口。
實(shí)施例3:
一種基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu)����,其結(jié)構(gòu)如實(shí)施例2所述,所不同的是�,安全io橋片還包括圖形圖像控制器、存儲(chǔ)控制器����;高速輸入輸出部件包括sata控制器���、以太網(wǎng)控制器、usb控制器���;低速輸入輸出部件包括音頻控制器����、串口控制器����、ps/2控制器、gpio�����。
實(shí)施例4:
一種基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu)����,其結(jié)構(gòu)如實(shí)施例1所述,所不同的是���,管控芯片與計(jì)算芯片均設(shè)有軟件銷毀程序���。管控芯片與計(jì)算芯片均支持軟件銷毀�,通過(guò)外圍電路設(shè)計(jì)可實(shí)現(xiàn)一鍵清除內(nèi)部信息而不破壞硬件設(shè)備�。
實(shí)施例5:
一種利用實(shí)施例3所述基于國(guó)產(chǎn)安全處理器的計(jì)算機(jī)主板架構(gòu)的運(yùn)行方法,包括步驟如下:
主板啟動(dòng)時(shí)��,由管控芯片通過(guò)spi接口將初始化程序加載至安全處理器內(nèi)存空間�����,同時(shí)管控芯片根據(jù)tcm內(nèi)核提供的可信根對(duì)bios進(jìn)行引導(dǎo)度量���、對(duì)系統(tǒng)內(nèi)核進(jìn)行可信度量;所述系統(tǒng)為后臺(tái)管控系統(tǒng)和前臺(tái)計(jì)算系統(tǒng)��;
主板運(yùn)行中�,安全處理器控制內(nèi)核啟動(dòng)emmc中安裝的后臺(tái)管控系統(tǒng),由管控芯片度量系統(tǒng)內(nèi)核實(shí)現(xiàn)安全可信�;安全處理器計(jì)算內(nèi)核通過(guò)安全io橋片運(yùn)行sata盤(pán)中的前臺(tái)計(jì)算系統(tǒng),由tcm內(nèi)核完成安全io橋片的io數(shù)據(jù)加解密�。