專利名稱:一種計(jì)算機(jī)硬件體系結(jié)構(gòu)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)技術(shù)領(lǐng)域�,特別是計(jì)算機(jī)硬件體系結(jié)構(gòu)。
背景技術(shù):
一直以來(lái)���,計(jì)算機(jī)技術(shù)發(fā)展迅速�,CPU����、內(nèi)存的速度不斷攀升���,各種外設(shè)功能越來(lái)越豐富���、性能也越來(lái)越強(qiáng)大�����。盡管如此��,計(jì)算機(jī)的體系結(jié)構(gòu)卻沒有發(fā)生大的變化��。當(dāng)前�����,計(jì)算機(jī)主要采用htel的X86硬件體系結(jié)構(gòu)��,即CPU�、FPU����、GPU和內(nèi)存等與北橋芯片連接,I/O 設(shè)備和接口如USB�、IDE、SATA��、Audio����、LAN���、PCI等與南橋芯片連接,南北橋芯片之間采用高速總線連接�,如圖1所示。其中�����,南橋負(fù)責(zé)控制計(jì)算機(jī)與各種I/O外設(shè)之間的數(shù)據(jù)交互���,并能自動(dòng)適應(yīng)各種接口之間的數(shù)據(jù)傳輸差異�,滿足多種數(shù)據(jù)傳輸方式的需要(如高速數(shù)據(jù)傳輸�����、低速數(shù)據(jù)傳輸?shù)?�����?;趆tel X86體系結(jié)構(gòu)基礎(chǔ)上的軟件應(yīng)用也越來(lái)越豐富,功能也越來(lái)越強(qiáng)。隨著應(yīng)用的不斷豐富�����,用戶也面臨越來(lái)越多的安全風(fēng)險(xiǎn)���,如計(jì)算機(jī)病毒、黑客入侵�、數(shù)據(jù)泄密等, 針對(duì)這種情況也出現(xiàn)了很多的安全解決方案�����,但是����,這些解決方案更多的是基于軟件層,而不是硬件層�����。同時(shí)��,用戶在部署各種安全應(yīng)用的過(guò)程中���,不可避免地?fù)?dān)心一個(gè)問題���,即以CPU 為核心的硬件體系結(jié)構(gòu)和以Microsoft操作系統(tǒng)為代表的軟件系統(tǒng)中的關(guān)鍵技術(shù)均由少數(shù)企業(yè)所掌握�����,其安全性無(wú)法得到有效的管控�。舉例而言��,如果對(duì)SATA硬盤中的數(shù)據(jù)進(jìn)行加解密時(shí)���,其數(shù)據(jù)流如圖2所示�。1����、加密過(guò)程SATA硬盤中的明文數(shù)據(jù)被南橋讀出并被送往北橋芯片,北橋芯片將數(shù)據(jù)交給CPU 進(jìn)行加密運(yùn)算形成密文��,密文被回饋給南橋��,南橋?qū)?shù)據(jù)輸出至SATA硬盤保存�����。2、解密過(guò)程SATA硬盤中的密文數(shù)據(jù)被南橋讀出并被送往北橋芯片��,北橋芯片將數(shù)據(jù)交給CPU 進(jìn)行解密運(yùn)算形成明文�,明文數(shù)據(jù)被回饋給南橋,南橋?qū)?shù)據(jù)輸出至SATA硬盤保存�。上述加解密過(guò)程完全由CPU和操作系統(tǒng)進(jìn)行控制��。在實(shí)際應(yīng)用中����,由于CPU和操作系統(tǒng)技術(shù)均掌握在少數(shù)廠商手中,引發(fā)了用戶對(duì)其安全性的擔(dān)憂�。對(duì)此,部分用戶采用硬件加密卡來(lái)實(shí)現(xiàn)硬件加解密��,或者自行設(shè)計(jì)更高安全等級(jí)的軟件加解密算法�����,但是這兩種方案仍然不能避免明文數(shù)據(jù)流被暴露給CPU�����,尤其是密鑰信息����。
發(fā)明內(nèi)容
針對(duì)上述現(xiàn)有技術(shù)中存在的缺陷���,本發(fā)明的目的是提供一種計(jì)算機(jī)硬件體系結(jié)構(gòu)。它采用開放式的體系結(jié)構(gòu)�����,有效增加硬件級(jí)的安全特性�����,可以在目前CPU和操作系統(tǒng)均被少數(shù)企業(yè)掌控的情況下更好地解決安全應(yīng)用的問題���。為了達(dá)到上述發(fā)明目的��,本發(fā)明的技術(shù)方案以如下方式實(shí)現(xiàn)一種計(jì)算機(jī)硬件體系結(jié)構(gòu)�,它包括北橋芯片�����、與北橋芯片連接的多個(gè)功能模塊以及多個(gè)I/O設(shè)備和接口��。其結(jié)構(gòu)特點(diǎn)是�,它還包括通過(guò)高速總線與北橋芯片連接的安全處
3理單元����。安全處理單元包括多個(gè)分別與各I/O設(shè)備和接口相連接的I/O設(shè)備處理單元�、CPU 和密碼學(xué)算法引擎,密碼學(xué)算法引擎中約定標(biāo)準(zhǔn)的接口和會(huì)話協(xié)議�����。在上述計(jì)算機(jī)硬件體系結(jié)構(gòu)中�,所述密碼學(xué)算法引擎內(nèi)部的處理單元�、固件和算法實(shí)現(xiàn)均由各機(jī)構(gòu)、組織或國(guó)家自行完成����。在上述計(jì)算機(jī)硬件體系結(jié)構(gòu)中,所述安全處理單元中I/O設(shè)備處理單元包括SATA 數(shù)據(jù)處理單元��、IDE數(shù)據(jù)處理單元����、USB設(shè)備控制器、網(wǎng)絡(luò)數(shù)據(jù)處理單元����、音頻處理單元����、PCI 總線處理單元以及其它IO數(shù)據(jù)處理單元�����。用來(lái)與外界的SATA設(shè)備����、IDE設(shè)備、USB設(shè)備��、 LAN設(shè)備���、Audio設(shè)備�����、PCI設(shè)備和其它IO設(shè)備進(jìn)行數(shù)據(jù)交互�。在上述計(jì)算機(jī)硬件體系結(jié)構(gòu)中����,所述安全處理單元中的密碼學(xué)算法引擎包括真隨機(jī)數(shù)生成器、SMS4算法單元�、ECC算法單元����、SM3算法單元�����,密鑰協(xié)商協(xié)議單元�、數(shù)字簽名和驗(yàn)證協(xié)議單元以及密鑰存儲(chǔ)和管理單元。本發(fā)明由于采用了上述結(jié)構(gòu)��,將傳統(tǒng)的南橋芯片改進(jìn)為安全處理單元(kcurity Processing Unit, SPU)芯片�����。SPU芯片除了含有完成傳統(tǒng)南橋芯片各種IO功能的部件外�����, 還被植入了獨(dú)立的CPU和密碼學(xué)算法引擎���。同現(xiàn)有技術(shù)相比,本發(fā)明具有如下功能特性和優(yōu)點(diǎn)1��、SPU自帶CPU和密碼學(xué)算法引擎���,SPU控制與各種I/O外設(shè)之間的數(shù)據(jù)交換�,并可以對(duì)這些數(shù)據(jù)進(jìn)行各種密碼學(xué)運(yùn)算。2�����、SPU完成的各種數(shù)據(jù)流控制�、加解密、數(shù)字簽名和驗(yàn)證等運(yùn)算均“獨(dú)立完成”���,對(duì)整個(gè)計(jì)算機(jī)中的主CPU和操作系統(tǒng)而言是透明的��。3��、計(jì)算機(jī)所有對(duì)外信息交換均通過(guò)SPU進(jìn)行��,因此可以獨(dú)立進(jìn)行可靠的管控�����,例如設(shè)備接入權(quán)限控制�、數(shù)據(jù)流加密�����、數(shù)據(jù)流簽名、輸出信息增加數(shù)字水印等����。4、當(dāng)主CPU和操作系統(tǒng)均不可信(如存在木馬后門)的情況下�,本發(fā)明體系能有效管控網(wǎng)絡(luò)包、USB包等數(shù)據(jù)的流向����,或?qū)@些數(shù)據(jù)進(jìn)行密碼學(xué)處理,確保信息安全�。5,SPU具備獨(dú)立的運(yùn)算處理能力,因此����,可以在系統(tǒng)不開機(jī)(主CPU和操作系統(tǒng)等不工作)的情況下,通過(guò)各種接口進(jìn)行遠(yuǎn)程管理操作�,也可以在開機(jī)狀態(tài)下��,獨(dú)立于CPU和操作系統(tǒng)進(jìn)行各種后臺(tái)管理操作����。6、SPU具備開放架構(gòu)����,只約定標(biāo)準(zhǔn)的接口和會(huì)話協(xié)議���,具體的內(nèi)部處理單元、固件和算法實(shí)現(xiàn)均可以由各機(jī)構(gòu)�、組織或國(guó)家自行完成,可擺脫現(xiàn)有信息安全依賴于單一國(guó)家少數(shù)廠商的格局�。下面結(jié)合附圖和具體實(shí)施方式
對(duì)本發(fā)明做進(jìn)一步說(shuō)明。
圖1是現(xiàn)有通用htel X86計(jì)算機(jī)體系結(jié)構(gòu)示意圖���;圖2是X86體系結(jié)構(gòu)中數(shù)據(jù)加解密流程圖�;圖3是本發(fā)明的結(jié)構(gòu)示意圖�����;圖4是本發(fā)明實(shí)施例中SPU的結(jié)構(gòu)示意圖���;圖5是本發(fā)明實(shí)施例中數(shù)據(jù)加解密流程圖���。
具體實(shí)施方式
參看圖3,本發(fā)明包括北橋芯片�、與北橋芯片連接的多個(gè)功能模塊、通過(guò)高速總線與北橋芯片連接的安全處理單元以及多個(gè)I/O設(shè)備和接口。安全處理單元包括多個(gè)分別與各I/O設(shè)備和接口相連接的I/O設(shè)備處理單元���、CPU和密碼學(xué)算法引擎���。密碼學(xué)算法引擎中約定標(biāo)準(zhǔn)的接口和會(huì)話協(xié)議,其內(nèi)部的處理單元����、固件和算法實(shí)現(xiàn)均由各機(jī)構(gòu)、組織或國(guó)家自行完成�����。參看圖4�,SPU中含有獨(dú)立的CPU,負(fù)責(zé)各種運(yùn)算�����。SPU中SATA數(shù)據(jù)處理單元��、IDE 數(shù)據(jù)處理單元�、USB設(shè)備控制器�、網(wǎng)絡(luò)數(shù)據(jù)處理單元、音頻處理單元、PCI總線處理單元以及其它IO數(shù)據(jù)處理單元等�,用來(lái)與外界的SATA設(shè)備、IDE設(shè)備��、USB設(shè)備���、LAN設(shè)備���、Audio設(shè)備、PCI設(shè)備和其它IO設(shè)備進(jìn)行數(shù)據(jù)交互��。SPU中的密碼學(xué)算法引擎主要包括真隨機(jī)數(shù)生成器��、SMS4算法單元�����、ECC算法單元�、SM3算法單元,密鑰協(xié)商協(xié)議單元����、數(shù)字簽名和驗(yàn)證協(xié)議單元、密鑰存儲(chǔ)和管理單元���。上述的算法單元只是列舉了一種具體的實(shí)施例����,在具體的實(shí)現(xiàn)中,可以根據(jù)需要替換為符合安全需要的其他算法IP核���。本發(fā)明應(yīng)用中����,如果對(duì)SATA硬盤中的數(shù)據(jù)進(jìn)行加解密時(shí)���,其數(shù)據(jù)流如圖5所示����。1.加密過(guò)程SATA硬盤中的明文數(shù)據(jù)被南橋讀出并被送往北橋芯片�����,北橋芯片將數(shù)據(jù)交給CPU 進(jìn)行數(shù)據(jù)處理����,處理后的明文被回饋給SPU,SPU對(duì)明文數(shù)據(jù)進(jìn)行加密處理����,加密密鑰保存在內(nèi)部的密鑰存儲(chǔ)和管理單元中,加密后形成的密文輸出至SATA硬盤保存����。2.解密過(guò)程SATA硬盤中的密文數(shù)據(jù)被SPU讀出,SPU中的密碼學(xué)運(yùn)算單元對(duì)數(shù)據(jù)進(jìn)行解密處理(使用存儲(chǔ)在密鑰存儲(chǔ)和管理單元中的密鑰)����,解密后的明文被送往北橋芯片,北橋芯片將數(shù)據(jù)交給CPU進(jìn)行數(shù)據(jù)處理�,處理后的明文數(shù)據(jù)被回饋給SPU,SPU將數(shù)據(jù)輸出至SATA硬盤保存��。從上述過(guò)程中可以看出����,加密和解密操作均發(fā)生在SPU內(nèi)部,密鑰也被存儲(chǔ)在SPU 中�����,整個(gè)過(guò)程的安全性將全部由SPU進(jìn)行控制�,避免將敏感信息暴露給CPU和操作系統(tǒng)。因此��,通過(guò)自行設(shè)計(jì)和實(shí)現(xiàn)SPU,就可以避免CPU和操作系統(tǒng)核心技術(shù)掌握在少數(shù)企業(yè)中而引發(fā)的安全問題�。
權(quán)利要求
1.一種計(jì)算機(jī)硬件體系結(jié)構(gòu),它包括北橋芯片�、與北橋芯片連接的多個(gè)功能模塊以及多個(gè)I/O設(shè)備和接口,其特征在于��,它還包括通過(guò)高速總線與北橋芯片連接的安全處理單元���,安全處理單元包括多個(gè)分別與各I/O設(shè)備和接口相連接的I/O設(shè)備處理單元����、CPU和密碼學(xué)算法引擎�����,密碼學(xué)算法引擎中約定標(biāo)準(zhǔn)的接口和會(huì)話協(xié)議�����。
2.如權(quán)利要求1所述的計(jì)算機(jī)硬件體系結(jié)構(gòu)����,其特征在于,所述密碼學(xué)算法引擎內(nèi)部的處理單元�����、固件和算法實(shí)現(xiàn)均由各機(jī)構(gòu)、組織或國(guó)家自行完成��。
3.根據(jù)權(quán)利要求1或2所述的計(jì)算機(jī)硬件體系結(jié)構(gòu)����,其特征在于���,所述安全處理單元中 I/O設(shè)備處理單元包括SATA數(shù)據(jù)處理單元��、IDE數(shù)據(jù)處理單元�����、USB設(shè)備控制器����、網(wǎng)絡(luò)數(shù)據(jù)處理單元��、音頻處理單元����、PCI總線處理單元以及其它IO數(shù)據(jù)處理單元���,用來(lái)與外界的SATA 設(shè)備、IDE設(shè)備�、USB設(shè)備、LAN設(shè)備�、Audio設(shè)備、PCI設(shè)備和其它IO設(shè)備進(jìn)行數(shù)據(jù)交互�。
4.如權(quán)利要求3所述的計(jì)算機(jī)硬件體系結(jié)構(gòu),其特征在于�����,所述安全處理單元中的密碼學(xué)算法引擎包括真隨機(jī)數(shù)生成器��、SMS4算法單元��、ECC算法單元���、SM3算法單元�����,密鑰協(xié)商協(xié)議單元���、數(shù)字簽名和驗(yàn)證協(xié)議單元以及密鑰存儲(chǔ)和管理單元���。
全文摘要
一種計(jì)算機(jī)硬件體系結(jié)構(gòu),涉及計(jì)算機(jī)技術(shù)領(lǐng)域���。本發(fā)明包括北橋芯片��、與北橋芯片連接的多個(gè)功能模塊以及多個(gè)I/O設(shè)備和接口��。其結(jié)構(gòu)特點(diǎn)是,它還包括通過(guò)高速總線與北橋芯片連接的安全處理單元����。安全處理單元包括多個(gè)分別與各I/O設(shè)備和接口相連接的I/O設(shè)備處理單元、CPU和密碼學(xué)算法引擎���,密碼學(xué)算法引擎中約定標(biāo)準(zhǔn)的接口和會(huì)話協(xié)議����。同現(xiàn)有技術(shù)相比���,本發(fā)明采用開放式的體系結(jié)構(gòu)��,有效增加硬件級(jí)的安全特性���,可以在目前CPU和操作系統(tǒng)均被少數(shù)企業(yè)掌控的情況下更好地解決安全應(yīng)用的問題�。
文檔編號(hào)G06F21/00GK102314563SQ20101022109
公開日2012年1月11日 申請(qǐng)日期2010年7月8日 優(yōu)先權(quán)日2010年7月8日
發(fā)明者劉鋒, 周培軍 申請(qǐng)人:同方股份有限公司