一种用于国产计算机平台的自主安全可信加密设备的制作方法
【专利摘要】本实用新型提供一种用于国产计算机平台的自主安全可信加密设备,涉及国产龙芯计算机、数据加解密以及身份验证领域,主要是实现对主板BIOS的主动度量、基于7816协议的身份验证以及PCIE的数据通路以及部分数据加密。安全可信设备包括一个加密模块、一个接口转换模块、一个存储模块以及7816卡座。主板启动后安全可信模块可以度量BIOS的正确性并通过7816卡验证用户身份,确认成功后才会复位CPU启动系统。系统启动后可以通过PCIE接口和主板通信,完成一些监控和数据加密的功能。
【专利说明】—种用于国产计算机平台的自主安全可信加密设备
【技术领域】
[0001]本实用新型涉及涉及国产龙芯计算机、数据加解密以及身份验证等领域,具体地说是一种用于国产计算机平台的自主安全可信加密设备。
【背景技术】
[0002]随着信息化建设的提速,社会在信息时代中的变化正在加剧。尤其是最近两年,关于国与国之间的信息安全相关新闻层出不穷,国际信息安全态势越来越严峻,同时世界各国也越来越重视信息安全,并且均已上升到国家安全战略的重要组成部分。现阶段看来,网络攻击是对国家的主要威胁之一,西方国家已经开始为争夺网络空间地位进行部署和行动。以美国为例,在去年不断提出所谓的“网络珍珠港”来提升国民对与网络空间安全的认识与警惕性,并且把网络信息安全提到国家战略的高度,认为网络攻击等同于军事攻击。今年的“棱镜门事件”又再一次敲响警钟。
[0003]在中国方面,不可否认的一点是即使国家不断出台各种法律法规来对IT设备采购进行约束,但是在IT系统中的关键技术和零部件仍然受制于国外。而国产首先可以做到自主可控,这是一个基本的条件。国产可以没有“后门”这类安全隐患,当然不一定完全做到安全可信,但是依然比不可控好得多。在自主可控基础上可以发展到安全可信。如果不是自主可控,就不可能安全。
[0004]所以根据以上所述,在自主可控计算机上增加安全可信模块势在必行。
【发明内容】
[0005]本实用新型的技术任务是针对现有技术的不足,提供一种用于国产计算机平台的自主安全可信加密设备。首先设备可以实现对主板BIOS的主动度量,恢复受损BIOS数据的功能。其次设备还可以通过7816卡验证用户的身份,确保用户的合法性。最后在系统启动之后,设备可以通过PCIE总线和计算机主板通信,监控整个计算机的进程并对需要加解密的数据进行加解密。
[0006]本实用新型解决其技术问题所采用的技术方案是:
[0007]一种用于国产计算机平台的自主安全可信加密设备,包括一个型号为S TM 3 2F I O 3的主控芯片、一个X i I i 11乂的型号为乂0651^451'的??0人、一块控制读写接触式IC卡的TDA8020HL芯片,该主控芯片上外挂一款hynix的型号为HY27UF081G2A的nand flash, F P G A与TDA8020HL芯片分别与主控芯片相连接,TDA8020HL芯片上连接有7816卡座。
[0008]所述的一种用于国产计算机平台的自主安全可信加密设备,其主控芯片通过I2C总线控制TDA8020HL。
[0009]I所述的一种用于国产计算机平台的自主安全可信加密设备,其主控芯片和F PG A通过S P I总线相连。
[0010]存储模块(nand flash)中存有一份BIOS备份,通过主动度量可以检验BIOS的正确性。如果有损坏还可以通过LPC总线还原BIOS程序。
[0011]7816卡身份验证通过后才能复位CPU。此功能是通过主控芯片STM32F103通过I2C总线控制TDA8020HL完成接触式IC卡的数据读取。
[0012]本实用新型与现有技术相比,所产生的有益效果是:
[0013]可以实现对主板BIOS的主动度量,恢复受损BIOS数据的功能。其次设备还可以通过7816卡验证用户的身份,确保用户的合法性。最后在系统启动之后,设备可以通过PCIE总线和计算机主板通信,监控整个计算机的进程并对需要加解密的数据进行加解密。
[0014]【专利附图】
【附图说明】
[0015]附图1是本实用新型的结构框图。
【具体实施方式】
[0016]下面结合附图对本实用新型作以下详细说明。
[0017]主板启动后安全可信模块可以度量BIOS的正确性并通过7816卡验证用户身份,确认成功后才会复位CPU启动系统。系统启动后可以通过PCIE接口和主板通信,完成一些监控和数据加密的功能
[0018]整个设备的主控芯片为S T M 3 2 F I O 3。外挂一款hynix的型号为HY27UF081G2A 的 nand flash,内存有 B I O S 的恢复数据。FPG A选用 x i I i η x 的型号为XC6SLX45T,通过I P核实现P C I E以及硬件描述语言实现S P I转L P C的功能。主控芯片和F P G A通过S P I总线相连。计算机主板开机之后S T M 3 2 F I O 3通过控制TDA8020HL访问接触式I C卡,判断用户身份是否有效。然后通过S P I转L PC通路访问B I O S芯片,判断B I O S芯片的完整性。如果通过则开机,不通过则恢复BI O S数据,然后开机。开机之后可以通过P C I E接口以及系统驱动监测计算机进程。计算机使用过程中可以调用P C I E驱动给关键数据进行加解密。
[0019]如图1所示,国产计算机主板和自主安全可信加密设备通过PCIEX16接口连接,此接口可以提供系统启动后主板和设备之间的PCIE数据通路。设备中的加密模块以及接口转换模块通过LPC总线读取和修复BIOS程序,通过7816智能卡验证用户信息。
[0020]计算机主板上电之后,一直将CPU复位信号使能,等待模块对BIOS的主动度量以及7816卡身份验证成功之后才放开CPU复位信号。待系统启动之后,模块通过PCIE总线和主板通信,实时监控计算机操作以及加解密数据。
[0021]本实用新型完全由硬件结构组成,无需依靠计算机程序进行控制。
[0022]除说明书所述的技术特征外,均为本专业人员的已知技术。
【权利要求】
1.一种用于国产计算机平台的自主安全可信加密设备,其特征在于包括一个型号为STM32F10 3的主控芯片、一个x i I i η x的型号为XC6SLX45T的F P GA、一块控制读写接触式IC卡的TDA8020HL芯片,该主控芯片上外挂一款hynix的型号为HY27UF081G2A的nand flash, FPG A与TDA8020HL芯片分别与主控芯片相连接,TDA8020HL芯片上连接有7816卡座。
2.根据权利要求1所述的一种用于国产计算机平台的自主安全可信加密设备,其特征在于主控芯片通过I2C总线控制TDA8020HL。
3.根据权利要求1所述的一种用于国产计算机平台的自主安全可信加密设备,其特征在于主控芯片和FPG A通过S P I总线相连。
【文档编号】G06F21/34GK203720847SQ201420082551
【公开日】2014年7月16日 申请日期:2014年2月26日 优先权日:2014年2月26日
【发明者】沈忱, 于治楼, 冯磊, 姜凯 申请人:山东超越数控电子有限公司