一種基于龍芯處理器的安全可信計算的制造方法
【專利摘要】本實用新型公開了一種基于龍芯處理器的安全可信計算機,包括主板、電源、內存、硬盤、機箱,其中機箱還包括前面板IC卡讀卡器、安全狀態(tài)指示燈;主板包括:南橋芯片、北橋芯片、BIOS芯片、音頻接口、VGA接口、DVI-D接口、PCIEX16接口、PCIEx4接口、網(wǎng)絡接口、串口、PS/2接口、USB接口、IO芯片、串口芯片、網(wǎng)絡芯片、端口控制電路,其中,計算機中央處理器采用龍芯處理器。本實用新型采用國產(chǎn)龍芯處理器,減少了后門安全隱患,通過內置可信密碼模塊、端口控制電路和身份認證設備,實現(xiàn)了BIOS、硬件設備的完整性保護、硬件級的端口控制和身份認證功能,大大提高了計算機的安全性。
【專利說明】—種基于龍芯處理器的安全可信計算機
【技術領域】
[0001]本實用新型涉及一種計算機,具體涉及一種基于龍芯處理器的安全可信計算機?!颈尘凹夹g】
[0002]隨信息技術的發(fā)展,計算機面臨的安全威脅層出不窮,由于計算機中承載著大量重要信息,其安全性越來越受到企業(yè)、政府和國家的重視,多種泄密事件表明,采用國外核心硬件的計算機具有不可控的漏洞和后門,具備更大的安全隱患,采用自主可控的核心硬件對信息安全具有重要的意義。
【發(fā)明內容】
[0003]本實用新型所要解決的技術問題是:
[0004]由于計算機本身的體系架構的缺陷,采用自主核心硬件不等于完全安全,普通計算機存在以下安全缺陷:
[0005]UBIOS和硬件設備ROM沒有完整性保護機制導致內容容易被惡意篡改,并植入惡意程序;
[0006]2、計算機端口(主要包括USB接口、網(wǎng)絡接口、串口等輸出端口 )沒有控制機制導致計算機數(shù)據(jù)非授權泄露;
[0007]3、缺少更嚴格的身份認證方式導致計算機容易被非法訪問。
[0008]本實用新型所采取的技術方案是:
[0009]可信計算技術通過在計算機平臺中植入可信密碼模塊作為可信根,對計算機體系結構進行改造,使用戶擁有安全性、完整性和可靠性全面提高的可信賴計算環(huán)境成為可能??尚琶艽a模塊是我國可信計算標準硬件模塊,具備密碼運算器和受保護的存儲器,內嵌自主知識產(chǎn)權密碼算法??尚琶艽a模塊通過可信密碼算法和存儲機制為計算機提供可信度量根、可信存儲根和可信報告根的安全服務,為實現(xiàn)安全可信計算機構建了硬件基礎。
[0010]一種基于龍芯處理器的安全可信計算機,包括主板、電源、內存、硬盤、機箱,其中,機箱還包括前面板IC卡讀卡器、安全狀態(tài)指示燈,計算機中央處理器采用龍芯處理器。
[0011]所述主板包括:南橋芯片、北橋芯片、BIOS芯片、音頻接口、VGA接口、DV1-D接口、PCIEX16接口、PCIEx4接口、網(wǎng)絡接口、串口、PS/2接口、USB接口、IO芯片、串口芯片、網(wǎng)絡芯片、端口控制電路,龍芯處理器與北橋相連,北橋與南橋相連。
[0012]主板還包括自定義PCIE接口,主板上的自定義PCIE接口通過PCIExl總線與北橋相連,通過LPC總線與BIOS芯片相連;自定義PCIE接口同時與主動度量切換電路和龍芯處理器相連,能夠與上述電路和龍芯處理器通過主動度量信號和處理器復位控制信號進行通信;自定義PCIE接口同時與串口芯片、網(wǎng)絡芯片和端口控制電路相連,能夠與上訴芯片和電路通過端口控制信號進行通信。
[0013]主板還包括主動度量切換電路,主動度量切換電路通過LPC總線與龍芯處理器和BIOS芯片相連,內存通過DDR3總線與龍芯處理器相連,VGA接口、DV1-D接口、PCIEX16接口、PCIEx4接口分別與主板北橋相連,IO芯片、端口控制電路、音頻接口、硬盤和電源分別與主板南橋芯片相連,USB接口與端口控制電路相連,串口與串口芯片相連,串口芯片和P/S接口與IO芯片相連。
[0014]還包括可信密碼模塊,自定義PCIE接口通過PCIEXl、LPC、端口控制信號、主動度量及復位控制信號與可信密碼模塊相連。
[0015]其中可信密碼模塊中內置BIOS備份存儲器和智能卡認證模塊。
[0016]可信密碼模塊還與機箱前面板的IC卡讀卡器和安全狀態(tài)指示燈相連,可信密碼模塊通過7816信號和安全狀態(tài)信號與上述IC卡讀卡器和安全狀態(tài)指示燈進行通信。
[0017]計算機開機上電時,可信密碼模塊首先上電,通過7816信號與機箱前面板的讀卡器進行通信,根據(jù)用戶插入的IC卡進行認證判斷,認證成功后進行主動度量控制,可信密碼模塊下發(fā)主動度量控制信號給主動度量切換電路,主動度量切換電路拉低處理器復位信號阻止處理器繼續(xù)啟動,可信密碼模塊通過LPC接口讀取BIOS內容進行主動度量,主動度量成功后通過處理器復位控制信號使處理器復位,繼續(xù)執(zhí)行BIOS啟動計算機;主動度量失敗后通過可信密碼模塊內置的BIOS備份存儲器中備份的BIOS恢復主板上BIOS芯片的BIOS;身份認證和主動度量的狀態(tài)通過機箱前面板的安全狀態(tài)指示燈進行狀態(tài)顯示。
[0018]主動度量正確通過后,BIOS在啟動過程中通過可信密碼模塊讀取用戶IC卡中的端口控制策略,通過相應的端口控制信號下發(fā)給主板上的串口芯片、網(wǎng)絡芯片和端口控制電路執(zhí)行端口開閉控制;B10S在啟動過程中通過可信密碼模塊對主板上的硬件ROM進行度量驗證,實現(xiàn)完整性保護。
[0019]本實用新型的有益效果為:
[0020]1、通過采用國產(chǎn)龍芯處理器等核心硬件,減少了采用國外核心硬件的后門隱患;
[0021]2、通過內置可信密碼模塊作為信任根對計算機體系結構進行可信改造,能夠對BIOS、計算機主要硬件進行完整性保護,解決了計算機BIOS和硬件ROM被惡意篡改的安全隱患;
[0022]3、通過在主板增加控制電路,結合可信密碼模塊的端口控制功能,對USB接口、網(wǎng)絡接口、串口端口進行開啟關閉控制,提高了端口使用安全性;
[0023]4、通過在計算機面板添加IC卡設備,結合可信密碼模塊智能卡認證模塊提供基于IC卡的用戶身份認證功能,增強了計算機訪問控制安全性。
【專利附圖】
【附圖說明】
[0024]圖1為基于龍芯處理器的安全可信計算機結構框圖。
【具體實施方式】
[0025]下面結合附圖和具體實施例對本實用新型的一種可實現(xiàn)快速拆裝的主板結構做進一步說明。
[0026]一種基于龍芯處理器的安全可信計算機,包括主板、電源、內存、硬盤、機箱,其中機箱還包括前面板IC卡讀卡器、安全狀態(tài)指示燈;主板包括:南橋芯片、北橋芯片、BIOS芯片、音頻接 口、VGA 接口、DV1-D 接 口、PCIEX16 接 口、PCIEx4 接 口、網(wǎng)絡接 口、串口、PS/2 接口、USB接口、10芯片、串口芯片、網(wǎng)絡芯片、端口控制電路,其中:計算機中央處理器采用龍芯處理器,龍芯處理器與北橋相連,北橋與南橋相連,主動度量切換電路通過LPC總線與龍芯處理器和BIOS芯片相連,內存通過DDR3總線與龍芯處理器相連,VGA接口、DV1-D接口、PCIEX16接口、PCIEx4接口分別與主板北橋相連,IO芯片、端口控制電路、音頻接口、硬盤和電源分別與主板南橋芯片相連,USB接口與端口控制電路相連,串口與串口芯片相連,串口芯片和P/S接口與IO芯片相連。
[0027]主板還包括自定義PCIE接口、主動度量切換電路,主板上的自定義PCIE接口通過PCIExl總線與北橋相連,通過LPC總線與BIOS芯片相連;自定義PCIE接口同時與主動度量切換電路和龍芯處理器相連,可以與上述電路和龍芯處理器通過主動度量信號和處理器復位控制信號進行通信;自定義PCIE接口同時與串口芯片、網(wǎng)絡芯片和端口控制電路相連,可以與上訴芯片和電路通過端口控制信號進行通信。
[0028]所述的一種基于龍芯處理器的安全可信計算機,還包括可信密碼模塊,自定義PCIE接口通過PCIEXl、LPC、端口控制信號、主動度量及復位控制信號與可信密碼模塊相連。
[0029]其中可信密碼模塊中內置BIOS備份存儲器和智能卡認證模塊。
[0030]可信密碼模塊還與機箱前面板的IC卡讀卡器和安全狀態(tài)指示燈相連,可信密碼模塊通過7816信號和安全狀態(tài)信號與上述IC卡讀卡器和安全狀態(tài)指示燈進行通信。
[0031]本實施例中,龍芯處理器采用龍芯3A處理器,南橋芯片采用SB710芯片、北橋芯片采用RS780E芯片。
[0032]計算機開機上電時,可信密碼模塊首先上電,通過7816信號與機箱前面板的讀卡器進行通信,根據(jù)用戶插入的IC卡進行認證判斷,認證成功后進行主動度量控制,可信密碼模塊下發(fā)主動度量控制信號給主動度量切換電路,主動度量切換電路拉低處理器復位信號阻止處理器繼續(xù)啟動,可信密碼模塊通過LPC接口讀取BIOS內容進行主動度量,主動度量成功后通過處理器復位控制信號使處理器復位,繼續(xù)執(zhí)行BIOS啟動計算機;主動度量失敗后通過可信密碼模塊內置的BIOS備份存儲器中備份的BIOS恢復主板上BIOS芯片的BIOS ;身份認證和主動度量的狀態(tài)通過機箱前面板的安全狀態(tài)指示燈進行狀態(tài)顯示;
[0033]主動度量正確通過后,BIOS在啟動過程中通過可信密碼模塊讀取用戶IC卡中的端口控制策略,通過相應的端口控制信號下發(fā)給主板上的串口芯片、網(wǎng)絡芯片和端口控制電路執(zhí)行端口開閉控制;B10S在啟動過程中通過可信密碼模塊對主板上的硬件ROM進行度量驗證,實現(xiàn)完整性保護。
【權利要求】
1.一種基于龍芯處理器的安全可信計算機,包括主板、電源、內存、硬盤、機箱,其中,機箱還包括前面板IC卡讀卡器、安全狀態(tài)指示燈,其特征在于:計算機中央處理器采用龍芯處理器。
2.根據(jù)權利要求1所述的一種基于龍芯處理器的安全可信計算機,其特征在于,所述主板包括:南橋芯片、北橋芯片、BIOS芯片、音頻接口、VGA接口、DV1-D接口、PCIEX16接口、PCIEx4接口、網(wǎng)絡接口、串口、PS/2接口、USB接口、IO芯片、串口芯片、網(wǎng)絡芯片、端口控制電路,龍芯處理器與北橋相連,北橋與南橋相連。
3.根據(jù)權利要求1所述的一種基于龍芯處理器的安全可信計算機,其特征在于:主板還包括自定義PCIE接口,主板上的自定義PCIE接口通過PCIExl總線與北橋相連,通過LPC總線與BIOS芯片相連;自定義PCIE接口同時與主動度量切換電路和龍芯處理器相連,能夠與上述電路和龍芯處理器通過主動度量信號和處理器復位控制信號進行通信;自定義PCIE接口同時與串口芯片、網(wǎng)絡芯片和端口控制電路相連,能夠與上訴芯片和電路通過端口控制信號進行通信。
4.根據(jù)權利要求1所述的一種基于龍芯處理器的安全可信計算機,其特征在于:主板還包括主動度量切換電路,主動度量切換電路通過LPC總線與龍芯處理器和BIOS芯片相連,內存通過DDR3總線與龍芯處理器相連,VGA接口、DV1-D接口、PCIEX16接口、PCIEx4接口分別與主板北橋相連,IO芯片、端口控制電路、音頻接口、硬盤和電源分別與主板南橋芯片相連,USB接口與端口控制電路相連,串口與串口芯片相連,串口芯片和P/S接口與IO芯片相連。
5.根據(jù)權利要求1、2、3或4所述的一種基于龍芯處理器的安全可信計算機,其特征在于:還包括可信密碼模塊,自定義PCIE接口通過PCIEX1、LPC、端口控制信號、主動度量及復位控制信號與可信密碼模塊相連。
6.根據(jù)權利要求4所述的一種基于龍芯處理器的安全可信計算機,其特征在于:其中可信密碼模塊中內置BIOS備份存儲器和智能卡認證模塊。
7.根據(jù)權利要求5所述的一種基于龍芯處理器的安全可信計算機,其特征在于:可信密碼模塊還與機箱前面板的IC卡讀卡器和安全狀態(tài)指示燈相連,可信密碼模塊通過7816信號和安全狀態(tài)信號與上述IC卡讀卡器和安全狀態(tài)指示燈進行通信。
【文檔編號】G06F1/16GK203773424SQ201420173404
【公開日】2014年8月13日 申請日期:2014年4月11日 優(yōu)先權日:2014年4月11日
【發(fā)明者】趙斌, 馮磊, 路永軻 申請人:山東超越數(shù)控電子有限公司