[发明专利]一种基于国产安全处理器的计算机主板架构及运行方法

说明书

技术领域

本发明涉及一种基于国产安全处理器的计算机主板架构及运行方法，属于国产计算平台安全可信设计与主板架构设计技术领域。

背景技术

随着信息电子化与信息全球化的飞速发展，国防信息化与信息安全受到前所未有的关注，与此同时国产计算平台也面临着空前的机遇与挑战。安全可信、自主可控是当前形势对国产计算平台提出的要求，其中安全可信设计是国产计算设备的核心竞争力，硬件架构与软件算法设计则是国产计算设备的可创新突破点。安全可信设计包括理论层面的自主密码体制、芯片层面的主动控制、主板层面的计算可信双节点融合、软件层面的双系统体系结构等内容。

中国专利文件(申请号201310538128.9)公开了“一种基于FPGA的安全可信计算机的设计方法”，具体设计步骤为：在普通计算机架构中，加入基于FPGA的安全可信模块，该安全可信模块存在于CPU、桥片、BIOS、硬盘、以太网络等核心部件和外围设备之间，所述模块包含FPGA、CPLD和存储器。计算机系统在启动，正常运行以及读写数据时，都经过安全可信模块的度量，从而达到安全可信。该专利是在普通计算机主板架构基础上，通过增加安全可信模块实现CPLD配置两片FPGA，分别在启动中与运行中对BIOS与外设通信进行安全度量，以达到安全可信，启动步骤多、不够高效。

目前，非国产计算平台处理器、固件、操作系统、支撑软件存在后门与漏洞。目前成熟的主板架构多采用CPU+桥片形式，对BIOS启动与IO通信没有较好的防护措施，在遇到非法破坏时极易被篡改BIOS启动项，或被监听通信数据；国产计算平台需要设计具有不同硬件架构与软件算法的替代体系，以提升计算平台的安全保密防护能力。

发明内容

针对现有技术的不足，本发明提供一种基于国产安全处理器的计算机主板架构。与传统被动应对的防护模式不同，是一种主动免疫的计算模式，以提升国产计算平台安全保密防护能力。

本发明的技术方案如下：

一种基于国产安全处理器的计算机主板架构，包括安全处理器、安全IO桥片、管控芯片、计算芯片、FPGA芯片；

管控芯片通过UART接口与计算芯片通信连接，实现可信度量；管控芯片通过SPI接口及PCIe接口与安全处理器通信连接，安全处理器与外部存储器一和内存相连，外部存储器一内设有后台管控系统，管控芯片通过SPI接口将初始化程序加载至安全处理器内存空间完成启动引导，同时安全处理器运行安装在外部存储器一内部的后台管控系统；

安全IO桥片与安全处理器、外部存储器二相连接，外部存储器二内设有前台计算系统，计算芯片及FPGA芯片均与安全IO桥片通信连接，计算芯片及FPGA芯片构成TCM内核，用于实现数据加解密算法，TCM内核为系统提供可信根；安全处理器运行安装在外部存储器二内的前台计算系统。

根据本发明优选的，安全IO桥片包括PCIe控制器、高速输入输出部件、低速输入输出部件，安全IO桥片通过PCIe接口与计算芯片、FPGA芯片及安全处理器相连，高速输入输出部件、低速输入输出部件分别连接高速接口和低速接口。

进一步优选的，安全IO桥片还包括图形图像控制器、存储控制器；高速输入输出部件包括SATA控制器、以太网控制器、USB控制器；低速输入输出部件包括音频控制器、串口控制器、PS/2控制器、GPIO。

根据本发明优选的，外部存储器一为eMMC芯片，安全处理器通过eMMC接口连接eMMC芯片。安全处理器控制内核运行安装在eMMC内部的后台管控系统，安全处理器连接eMMC芯片作为外部存储器提高读写速度。

根据本发明优选的，外部存储器二为SATA盘，安全IO桥片通过SATA控制器连接SATA盘。安全处理器运行安装在硬盘内的前台计算系统。

根据本发明优选的，管控芯片与计算芯片均设有软件销毁程序。管控芯片与计算芯片均支持软件销毁，通过外围电路设计可实现一键清除内部信息而不破坏硬件设备。

根据本发明优选的，安全处理器还设有扩展接口。

根据本发明优选的，所述内存为ECC内存。带ECC功能的内存可增强纠错能力。

根据本发明优选的，所述安全处理器包括计算内核和1个控制内核，计算内核和控制内核各通过一条内存通道与内存连接。计算内核为4个通用内核。

一种利用上述基于国产安全处理器的计算机主板架构的运行方法，包括步骤如下：