本发明涉及计算机技术领域,尤其涉及一种基于国产龙芯cpu的可信设计方法。
背景技术:
处理器(cpu)是集成电路产业中最重要的核心,是电脑主板的心脏,其重要性是不可替代的,多年以来,我国在商用、金融、网络、卫星、军事等各行各业的主板使用的都是美国产的intelcpu,其安全性是不可保证的。
如图1所示,cpu使用的是美国的intelcpu,内存、存储设备以及客户的功能卡pcie等设备都会与cpu交互数据,建立的平台是不可信的平台。其具有以下缺点:
1.当前市场主流的电脑主板,cpu是美国的,其内部指令集和程序是封闭且不可开放的,安全性不可控;
2.维护和升级困难;
3.存在被禁运的风险;
4.难以在国内实现产业升级;
综上所述,基于intel的cpu的电脑主板,在信息交互中,主板的可信程度低,容易发生信息泄露,信息安全无法保障。
技术实现要素:
本发明的目的在于克服现有技术的不足,提供一种基于国产龙芯cpu的可信设计方法,其自主可控,可信度高。
本发明的技术方案如下:一种基于国产龙芯cpu的可信设计方法,其具体设计步骤为:
1)安装以龙芯cpu为核心的电脑主板,电脑主板上设有网口mac、龙芯cpu、内存spd芯片、储存设备、pcie设备、对应储存设备和pcie设备的接口卡,所述网口mac和内存spd芯片分别与龙芯cpu的输入端连接,所述龙芯cpu的输出端分别连接储存设备和pcie设备的输入端,所述储存设备和pcie设备的输出端与对应的接口卡连接;
2)网口mac、龙芯cpu、内存spd芯片、储存设备、pcie设备、接口卡构成一个可信平台,其中,
网口mac:龙芯cpu通过对系统的扫描,记录可信状态的mac清单,并且通过加密算法保存在储存设备中,上层软件通过核对mac清单的方式确保网络环境是否可信;
cpu绑定:龙芯cpu内部有指定的字符用于确保cpu的串码是否转变和串号,上层软件通过系统内对比确保cpu可信;
内存spd芯片:是存放内存硬件信息的芯片,是内存颗粒正常运行的参数保证,龙芯cpu通过spd对比确保内存可信;
储存设备:是系统内数据的主要载体,通过龙芯cpu对存储的硬件识别以及对于内部数据的可信识别;
pcie设备:通过龙芯cpu对pcie设备内部的信息可信识别,确保业务层面的可信。
进一步地,所述可信平台通过上层软件对固件的识别和加解密算法确定,以确保可信平台的可信。
进一步地,所述电脑主板上设有加密芯片,通过该加密芯片对数据流进行加解密处理。
进一步地,所述接口卡设有多个,分别对应储存设备和pcie设备。
相对于现有技术,本发明的有益效果在于:本发明使用国产龙芯cpu为核心,针对内存、硬盘、网卡、usb设备、pcie设备等外部设备进行分析和锁定,确保整套系统是可信任的;同时主板上增加加密芯片,对数据流进行加解密处理,确保远程通信数据是可信任的。本发明自主可控,安全可信,安全性高,实用性强,维护和升级方便,监控管理成本低,易于推广。
附图说明
图1为现有技术的系统框图;
图2为本发明的系统框图。
具体实施方式
以下结合附图和具体实施例,对本发明进行详细说明。
实施例
请参阅图2,本实施例的一种基于国产龙芯cpu的可信设计方法,通过改造现有电脑主板架构,使用自主可控的基于国产龙芯cpu为核心的主板,针对电脑主板的外围设备、各模块进行可信分析,确保系统不被攻击、破坏的安全、稳定、可信的平台。
其具体设计步骤为:
1)安装以龙芯cpu为核心的电脑主板,电脑主板上设有网口mac、龙芯cpu、内存spd芯片、储存设备、pcie设备、对应储存设备和pcie设备的接口卡,所述网口mac和内存spd芯片分别与龙芯cpu的输入端连接,所述龙芯cpu的输出端分别连接储存设备和pcie设备的输入端,所述储存设备和pcie设备的输出端与对应的接口卡连接;
2)网口mac、龙芯cpu、内存spd芯片、储存设备、pcie设备、接口卡构成一个可信平台,其中,包括但不限于对如下部件进行;
网口mac:龙芯cpu通过对系统的扫描,记录可信状态的mac清单,并且通过加密算法保存在储存设备中,上层软件通过核对mac清单的方式确保网络环境是否可信;
cpu绑定:龙芯cpu内部有指定的字符用于确保cpu的串码是否转变和串号,上层软件通过系统内对比确保cpu可信;
内存spd芯片:是存放内存硬件信息的芯片,是内存颗粒正常运行的参数保证,龙芯cpu通过spd对比确保内存可信;
储存设备:是系统内数据的主要载体,通过龙芯cpu对存储的硬件识别以及对于内部数据的可信识别;
pcie设备:通过龙芯cpu对pcie设备内部的信息可信识别,确保业务层面的可信。
其中,可信平台通过上层软件对固件的识别和加解密算法确定,以确保可信平台的可信。
其中,电脑主板上设有加密芯片,通过该加密芯片对数据流进行加解密处理。
其中,所述接口卡设有多个,分别对应储存设备和pcie设备。
本实施例包含有硬件层防护、固件层防护和软件层防护;
1、硬件层防护,使用国产cpu为核心,确保源头可信;中科院计算所从2001年开始研制龙芯系列处理器,经过十多年的积累与发展,于2010年由中国科学院和北京市政府共同牵头出资,正式成立龙芯中科技术有限公司,旨在将龙芯处理器的研发成果产业化。
龙芯中科面向国家信息化建设的需求,面向国际信息技术前沿,以安全可控为主题,以产业发展为主线,以体系建设为目标,坚持自主创新,掌握计算机软硬件的核心技术,为国家安全战略需求提供自主、安全、可靠的处理器,为信息产业及工业信息化的创新发展提供高性能、低成本、低功耗的处理器。
2、固件层防护,通过底层固件改造,实现网口mac、cpu、内存spd、存储smart、pcie设备、接口卡加解密等底层硬件的防护。
3、软件层防护,通过上层软件对固件的识别和加解密算法确定,以确保可信平台的可信。
综上所述,本发明采用国产龙芯cpu为核心,针对内存、硬盘、网卡、usb设备、pcie设备等外部设备进行分析和锁定,确保了整套系统是可信任的;同时主板上增加加密芯片,对数据流进行加解密处理,确保了远程通信数据是可信任的。具有自主可控,安全可信,安全性高,实用性强,维护和升级方便,监控管理成本低,易于推广的优点。
以上仅为本发明的较佳实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。