专利名称:一种计算机硬件体系结构的制作方法
技术领域:
本发明涉及计算机技术领域,特别是计算机硬件体系结构。
背景技术:
一直以来,计算机技术发展迅速,CPU、内存的速度不断攀升,各种外设功能越来越丰富、性能也越来越强大。尽管如此,计算机的体系结构却没有发生大的变化。当前,计算机主要采用htel的X86硬件体系结构,即CPU、FPU、GPU和内存等与北桥芯片连接,I/O 设备和接口如USB、IDE、SATA、Audio、LAN、PCI等与南桥芯片连接,南北桥芯片之间采用高速总线连接,如图1所示。其中,南桥负责控制计算机与各种I/O外设之间的数据交互,并能自动适应各种接口之间的数据传输差异,满足多种数据传输方式的需要(如高速数据传输、低速数据传输等)。基于htel X86体系结构基础上的软件应用也越来越丰富,功能也越来越强。随着应用的不断丰富,用户也面临越来越多的安全风险,如计算机病毒、黑客入侵、数据泄密等, 针对这种情况也出现了很多的安全解决方案,但是,这些解决方案更多的是基于软件层,而不是硬件层。同时,用户在部署各种安全应用的过程中,不可避免地担心一个问题,即以CPU 为核心的硬件体系结构和以Microsoft操作系统为代表的软件系统中的关键技术均由少数企业所掌握,其安全性无法得到有效的管控。举例而言,如果对SATA硬盘中的数据进行加解密时,其数据流如图2所示。1、加密过程SATA硬盘中的明文数据被南桥读出并被送往北桥芯片,北桥芯片将数据交给CPU 进行加密运算形成密文,密文被回馈给南桥,南桥将数据输出至SATA硬盘保存。2、解密过程SATA硬盘中的密文数据被南桥读出并被送往北桥芯片,北桥芯片将数据交给CPU 进行解密运算形成明文,明文数据被回馈给南桥,南桥将数据输出至SATA硬盘保存。上述加解密过程完全由CPU和操作系统进行控制。在实际应用中,由于CPU和操作系统技术均掌握在少数厂商手中,引发了用户对其安全性的担忧。对此,部分用户采用硬件加密卡来实现硬件加解密,或者自行设计更高安全等级的软件加解密算法,但是这两种方案仍然不能避免明文数据流被暴露给CPU,尤其是密钥信息。
发明内容
针对上述现有技术中存在的缺陷,本发明的目的是提供一种计算机硬件体系结构。它采用开放式的体系结构,有效增加硬件级的安全特性,可以在目前CPU和操作系统均被少数企业掌控的情况下更好地解决安全应用的问题。为了达到上述发明目的,本发明的技术方案以如下方式实现一种计算机硬件体系结构,它包括北桥芯片、与北桥芯片连接的多个功能模块以及多个I/O设备和接口。其结构特点是,它还包括通过高速总线与北桥芯片连接的安全处
3理单元。安全处理单元包括多个分别与各I/O设备和接口相连接的I/O设备处理单元、CPU 和密码学算法引擎,密码学算法引擎中约定标准的接口和会话协议。在上述计算机硬件体系结构中,所述密码学算法引擎内部的处理单元、固件和算法实现均由各机构、组织或国家自行完成。在上述计算机硬件体系结构中,所述安全处理单元中I/O设备处理单元包括SATA 数据处理单元、IDE数据处理单元、USB设备控制器、网络数据处理单元、音频处理单元、PCI 总线处理单元以及其它IO数据处理单元。用来与外界的SATA设备、IDE设备、USB设备、 LAN设备、Audio设备、PCI设备和其它IO设备进行数据交互。在上述计算机硬件体系结构中,所述安全处理单元中的密码学算法引擎包括真随机数生成器、SMS4算法单元、ECC算法单元、SM3算法单元,密钥协商协议单元、数字签名和验证协议单元以及密钥存储和管理单元。本发明由于采用了上述结构,将传统的南桥芯片改进为安全处理单元(kcurity Processing Unit, SPU)芯片。SPU芯片除了含有完成传统南桥芯片各种IO功能的部件外, 还被植入了独立的CPU和密码学算法引擎。同现有技术相比,本发明具有如下功能特性和优点1、SPU自带CPU和密码学算法引擎,SPU控制与各种I/O外设之间的数据交换,并可以对这些数据进行各种密码学运算。2、SPU完成的各种数据流控制、加解密、数字签名和验证等运算均“独立完成”,对整个计算机中的主CPU和操作系统而言是透明的。3、计算机所有对外信息交换均通过SPU进行,因此可以独立进行可靠的管控,例如设备接入权限控制、数据流加密、数据流签名、输出信息增加数字水印等。4、当主CPU和操作系统均不可信(如存在木马后门)的情况下,本发明体系能有效管控网络包、USB包等数据的流向,或对这些数据进行密码学处理,确保信息安全。5,SPU具备独立的运算处理能力,因此,可以在系统不开机(主CPU和操作系统等不工作)的情况下,通过各种接口进行远程管理操作,也可以在开机状态下,独立于CPU和操作系统进行各种后台管理操作。6、SPU具备开放架构,只约定标准的接口和会话协议,具体的内部处理单元、固件和算法实现均可以由各机构、组织或国家自行完成,可摆脱现有信息安全依赖于单一国家少数厂商的格局。下面结合附图和具体实施方式
对本发明做进一步说明。
图1是现有通用htel X86计算机体系结构示意图;图2是X86体系结构中数据加解密流程图;图3是本发明的结构示意图;图4是本发明实施例中SPU的结构示意图;图5是本发明实施例中数据加解密流程图。
具体实施方式
参看图3,本发明包括北桥芯片、与北桥芯片连接的多个功能模块、通过高速总线与北桥芯片连接的安全处理单元以及多个I/O设备和接口。安全处理单元包括多个分别与各I/O设备和接口相连接的I/O设备处理单元、CPU和密码学算法引擎。密码学算法引擎中约定标准的接口和会话协议,其内部的处理单元、固件和算法实现均由各机构、组织或国家自行完成。参看图4,SPU中含有独立的CPU,负责各种运算。SPU中SATA数据处理单元、IDE 数据处理单元、USB设备控制器、网络数据处理单元、音频处理单元、PCI总线处理单元以及其它IO数据处理单元等,用来与外界的SATA设备、IDE设备、USB设备、LAN设备、Audio设备、PCI设备和其它IO设备进行数据交互。SPU中的密码学算法引擎主要包括真随机数生成器、SMS4算法单元、ECC算法单元、SM3算法单元,密钥协商协议单元、数字签名和验证协议单元、密钥存储和管理单元。上述的算法单元只是列举了一种具体的实施例,在具体的实现中,可以根据需要替换为符合安全需要的其他算法IP核。本发明应用中,如果对SATA硬盘中的数据进行加解密时,其数据流如图5所示。1.加密过程SATA硬盘中的明文数据被南桥读出并被送往北桥芯片,北桥芯片将数据交给CPU 进行数据处理,处理后的明文被回馈给SPU,SPU对明文数据进行加密处理,加密密钥保存在内部的密钥存储和管理单元中,加密后形成的密文输出至SATA硬盘保存。2.解密过程SATA硬盘中的密文数据被SPU读出,SPU中的密码学运算单元对数据进行解密处理(使用存储在密钥存储和管理单元中的密钥),解密后的明文被送往北桥芯片,北桥芯片将数据交给CPU进行数据处理,处理后的明文数据被回馈给SPU,SPU将数据输出至SATA硬盘保存。从上述过程中可以看出,加密和解密操作均发生在SPU内部,密钥也被存储在SPU 中,整个过程的安全性将全部由SPU进行控制,避免将敏感信息暴露给CPU和操作系统。因此,通过自行设计和实现SPU,就可以避免CPU和操作系统核心技术掌握在少数企业中而引发的安全问题。
权利要求
1.一种计算机硬件体系结构,它包括北桥芯片、与北桥芯片连接的多个功能模块以及多个I/O设备和接口,其特征在于,它还包括通过高速总线与北桥芯片连接的安全处理单元,安全处理单元包括多个分别与各I/O设备和接口相连接的I/O设备处理单元、CPU和密码学算法引擎,密码学算法引擎中约定标准的接口和会话协议。
2.如权利要求1所述的计算机硬件体系结构,其特征在于,所述密码学算法引擎内部的处理单元、固件和算法实现均由各机构、组织或国家自行完成。
3.根据权利要求1或2所述的计算机硬件体系结构,其特征在于,所述安全处理单元中 I/O设备处理单元包括SATA数据处理单元、IDE数据处理单元、USB设备控制器、网络数据处理单元、音频处理单元、PCI总线处理单元以及其它IO数据处理单元,用来与外界的SATA 设备、IDE设备、USB设备、LAN设备、Audio设备、PCI设备和其它IO设备进行数据交互。
4.如权利要求3所述的计算机硬件体系结构,其特征在于,所述安全处理单元中的密码学算法引擎包括真随机数生成器、SMS4算法单元、ECC算法单元、SM3算法单元,密钥协商协议单元、数字签名和验证协议单元以及密钥存储和管理单元。
全文摘要
一种计算机硬件体系结构,涉及计算机技术领域。本发明包括北桥芯片、与北桥芯片连接的多个功能模块以及多个I/O设备和接口。其结构特点是,它还包括通过高速总线与北桥芯片连接的安全处理单元。安全处理单元包括多个分别与各I/O设备和接口相连接的I/O设备处理单元、CPU和密码学算法引擎,密码学算法引擎中约定标准的接口和会话协议。同现有技术相比,本发明采用开放式的体系结构,有效增加硬件级的安全特性,可以在目前CPU和操作系统均被少数企业掌控的情况下更好地解决安全应用的问题。
文档编号G06F21/00GK102314563SQ20101022109
公开日2012年1月11日 申请日期2010年7月8日 优先权日2010年7月8日
发明者刘锋, 周培军 申请人:同方股份有限公司