计算机主板和计算机的制作方法

本实用新型涉及计算机技术领域，尤其涉及一种计算机主板和计算机。

背景技术：

计算机和通信技术的迅猛发展，使得计算机信息安全的地位日益重要。

目前，计算机中采用的信息安全技术，主要通过强健的密码算法与密钥相结合，从而确保信息的机密性和完整性、实体身份的唯一性、操作与过程的不可否认性。但是，各种密码算法都并非绝对安全，随着恶意用户的手段越来越高明，防护者只能通过软件将防火墙越砌越高、入侵检测越做越复杂、恶意代码库越做越大。这就导致了误报率增多、安全投入不断增加，使得信息安全的维护与管理更加复杂和难以实施。

技术实现要素：

本实用新型提供一种计算机主板和计算机，提高了系统的安全性。

本实用新型提供的计算机主板，包括：主板主体，位于所述主板主体上的CPU、BIOS芯片、TPCM、切换开关、南桥芯片、北桥芯片和内存；

所述切换开关分别与所述CPU、所述BIOS芯片和所述TPCM通过总线连接；所述CPU还与所述内存和所述北桥芯片连接；所述北桥芯片与所述南桥芯片连接；所述TPCM还与所述北桥芯片通过PCIE总线连接；

在系统上电后，所述切换开关控制所述TPCM与所述BIOS芯片之间的总线连通，控制所述CPU与所述BIOS芯片之间的总线断开；

所述TPCM，用于在所述TPCM与所述BIOS芯片之间的总线连通时对所述BIOS芯片中存储的程序进行可信度量；若可信度量通过，则通过所述 TPCM与所述切换开关之间的总线向所述切换开关发送第一控制信号，通过所述TPCM与所述CPU之间的总线向所述CPU、所述南桥芯片和所述内存发送第二控制信号，以控制所述CPU、所述南桥芯片和所述内存复位；

所述切换开关还用于，根据所述第一控制信号，控制所述TPCM与所述 BIOS芯片之间的总线断开，控制所述CPU与所述BIOS芯片之间的总线连通。

可选的，所述TPCM内置有第一存储器，所述BIOS芯片内置有初始引导模块；

所述第一存储器，用于存储第一度量结果和第一日志，所述第一度量结果和第一存储日志为所述TPCM对所述初始引导模块进行可信度量后生成所得。

可选的，所述BIOS芯片还内置有第二存储器以及主引导模块；

所述CPU还用于，通过与所述TPCM之间的总线，将第二度量结果存储在所述第一存储器中；以及通过与所述BIOS芯片之间的总线，将第二日志存储在所述第二存储器中；所述第二度量结果和所述第二日志为对BIOS版本信息和所述主引导模块进行可信度量后生成所得；

所述第二存储器，用于存储所述第二日志；

所述第一存储器，还用于存储所述第二度量结果。

可选的，所述计算机主板还包括与所述南桥芯片连接的外部存储器，所述外部存储器内置有第三存储器以及操作系统内核；

所述CPU还用于，通过与所述TPCM之间的总线，将第三度量结果存储在所述第一存储器中；以及通过与所述外部存储器之间的耦合连接，将第三日志存储在所述第三存储器中，所述第三度量结果和所述第三日志后为对所述操作系统内核进行可信度量后生成所得；

所述第三存储，用于存储所述第三日志；

所述第一存储器，还用于存储所述第三度量结果。

可选的，所述外部存储器还内置有操作系统；

所述CPU还用于，通过与所述TPCM之间的总线，将第四度量结果存储在所述第一存储器中；以及通过与所述外部存储器之间的耦合连接，将第四日志存储在所述第三存储器中，所述第四度量结果和所述第四日志为对所述操作系统进行可信度量后生成所得；

所述第三存储器，还用于存储所述第四日志；

所述第一存储器，还用于存储所述第四度量结果。

可选的，所述总线为LPC总线或者SPI总线。

可选的，所述CPU为龙芯3号处理器。

可选的，所述PCIE总线包括下列中的至少一种：PCIE x1接口、PCIE x4 接口、GFX x1接口和GFX x4接口；

所述TPCM与所述北桥芯片通过所述PCIE x1接口、所述PCIE x4接口、所述GFX x1和所述GFX x4接口中的任意一种接口连接。

本实用新型提供的计算机，包括本实用新型任一实施例提供的计算机主板。

本实用新型提供一种计算机主板和计算机。通过在计算设备硬件平台上引入安全芯片架构，以CPU为核心，结合TPCM形成可信计算平台。TPCM 作为可信计算平台的唯一可信根，为信息安全提供了硬件基础，从而保证了系统平台没有被改动过或者被攻击过，提高了系统的安全性。

附图说明

为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本实用新型实施例一提供的计算机主板的结构示意图；

图2为本实用新型实施例一提供的系统上电后的总线连接示意图；

图3为本实用新型实施例一提供的通过TPCM可信度量后的总线连接示意图；

图4为本实用新型实施例二提供的计算机主板的结构示意图。

附图标记说明：

11：主板主体； 12：CPU；

13：BIOS芯片； 14：TPCM；

15：切换开关； 16：北桥芯片；

17：南桥芯片； 18：内存；

19：外部存储器。

具体实施方式

为使本实用新型实施例的目的、技术方案和优点更加清楚，下面将结合本实用新型实施例中的附图，对本实用新型实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本实用新型一部分实施例，而不是全部的实施例。基于本实用新型中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本实用新型保护的范围。

图1为本实用新型实施例一提供的计算机主板的结构示意图。如图1所示，本实施例提供的计算机主板，可以包括：主板主体11，位于主板主体11 上的中央处理器(Central Processing Unit，CPU)12、基本输入输出系统(Basic Input Output System，BIOS)芯片13、可信平台控制模块(Trusted Platform Control Module，TPCM)14、切换开关15、南桥芯片17、北桥芯片16和内存18。

切换开关15分别与CPU12、BIOS芯片13和TPCM14通过总线连接。 CPU12还与内存18和北桥芯片16连接。北桥芯片16与南桥芯片17连接。 TPCM14还与北桥芯片16通过高速串行计算机扩展总线标准(peripheral component interconnect express，PCIE)总线连接。

在系统上电后，切换开关15控制TPCM14与BIOS芯片13之间的总线连通，控制CPU12与BIOS芯片13之间的总线断开。

TPCM14，用于在TPCM14与BIOS芯片13之间的总线连通时对BIOS 芯片13中存储的程序进行可信度量。若可信度量通过，则通过TPCM14与切换开关15之间的总线向切换开关15发送第一控制信号，通过TPCM14与 CPU12之间的总线向CPU12、南桥芯片17和内存18发送第二控制信号，以控制CPU12、南桥芯片17和内存18复位。

切换开关15还用于，根据第一控制信号，控制CPU12与TPCM14之间的总线断开，控制CPU12与BIOS芯片13之间的总线连通。

本实施例提供的计算机主板，在结构上基于可信平台控制模块TPCM14。在计算机主板包括CPU12、BIOS芯片13、南桥芯片17、北桥芯片16和内存18的基础上，增加了TPCM14以及切换开关15。切换开关15分别与CPU12、 BIOS芯片13和TPCM14通过总线连接。TPCM14还与北桥芯片16通过PCIE 总线连接。其中，TPCM14是指符合可信赖平台模块(Trusted Platform Module，TPM)标准的安全芯片，该芯片的规格可以由可信计算组(Trusted Computing Group，TCG)来制定。TPCM14植于计算机内部为计算机提供可信根，能够利用可信计算技术有效地保护计算机，防止非法用户的访问。TPCM14可以由物理硬件、嵌入式系统、对外接口等实体组成，本实施例对于TPCM14的内部硬件结构以及存储的软件程序不做特别限定。

下面参考图2和图3，详细说明本实施例提供的计算机主板在系统上电后的系统启动流程。图2为本实用新型实施例一提供的系统上电后的总线连接示意图，图3为本实用新型实施例一提供的通过TPCM14可信度量后的总线连接示意图。

如图2～图3所示，系统上电后，切换开关15控制TPCM14与BIOS芯片13之间的总线连通、控制CPU12与BIOS芯片13之间的总线断开。此时， CPU12无法读取BIOS芯片13中存储的程序。与此同时，TPCM14首先启动，并读取BIOS芯片13中存储的程序，对BIOS芯片13中存储的程序进行完整性等可信度量。如果TPCM14进行的可信度量通过，则TPCM14发出控制信号。具体的，TPCM14通过TPCM14与CPU12之间的总线向CPU12、南桥芯片17和内存18发送第二控制信号，以实现CPU12、南桥芯片17和内存 18的复位，为系统正常启动提供硬件支撑。并且，TPCM14通过TPCM14与切换开关15之间的总线向切换开关15发出第一控制信号，用于实现切换开关15的控制转换。切换开关15根据第一控制信号控制TPCM14与BIOS芯片13之间的总线断开、控制CPU12与BIOS芯片13之间的总线连通，从而 CPU12可以在复位后加载并执行BIOS芯片13中存储的程序，进行系统的正常启动。如果TPCM14进行的可信度量没有通过，那么CPU12与BIOS芯片 13之间的总线将不会连通，系统不能启动，在可信度量没有通过时确保了系统的安全性。

可见，本实施例提供的计算机主板，在计算设备硬件平台上引入安全芯片架构，以CPU为核心，结合可信平台控制模块TPCM形成可信计算平台，支持可信计算功能。TPCM作为可信计算平台的唯一可信根，为信息安全提供了硬件基础。在可信计算平台上的操作必须是经过授权和认证的，任何不合法的用户都不能使用该平台进行工作。可信计算平台对用户的鉴别具体通过与硬件中的BIOS芯片相结合，通过BIOS芯片提取用户的身份信息，让用户身份认证不再依赖操作系统，确保了用户身份的真实性。由于系统的启动从一个可信信任源开始，通过验证BIOS芯片中存储的程序，从而保证了系统平台没有被改动过或者被攻击过，提高了系统的安全性。

需要说明的是，本实施例对于CPU12、BIOS芯片13、TPCM14、切换开关15、南桥芯片17、北桥芯片16和内存18在具体实现时的芯片类型和型号、电路结构等不做限定。

可选的，CPU12可以为龙芯3号处理器。其中，龙芯3号处理器不限于具体型号。例如，龙芯3号处理器可以为龙芯3A型号(Loongson 3A，LS3A) 处理器。

龙芯3A处理器采用65nm工艺制造，在单个芯片内集成了4个64位四发射超标量GS464高性能处理器核，体系结构为无内部互锁流水级的微处理器(Microprocessor without interlocked piped stages，MIPS)兼容的精简指令集计算机(Reduced Instruction Set Computer，RISC)架构，工作主频为1GHz 时双精度浮点运算速度可达16G每秒所执行的浮点运算次数(Floating-point Operations Per Second，FLOPS)。具有高性能低功耗的特点。

需要说明的是，本实施例对于计算机主板上还包括的其他软硬件模块不做限定。

需要说明的是，本实施例对于计算机主板上各个芯片或者硬件模块之间的连接方式不做限定。

可选的，用于切换开关15、CPU12、BIOS芯片13和TPCM14之间连接的总线可以为LPC总线或者SPI总线。

可选的，PCIE总线可以包括下列中的至少一种：PCIE x1接口、PCIE x4 接口、GFX x1接口和GFX x4接口。

TPCM14与北桥芯片16可以通过PCIE x1接口、PCIE x4接口、GFX x1 接口和GFX x4接口中的任意一种连接。

可选的，TPCM14内置有第一存储器。BIOS芯片13内置有初始引导模块。

第一存储器，用于存储第一度量结果和第一日志，第一度量结果和第一存储日志为TPCM14对初始引导模块进行可信度量后生成所得。

信任链从开机到运行初始引导模块(Boot Block)的建立过程为：

TPCM14作为信任链的信任根，先于BIOS被执行前启动，进行可信度量。TPCM14度量BIOS芯片13内置的初始引导模块(Boot Block)，生成第一度量结果和第一日志。TPCM14将第一度量结果和第一日志存储在第一存储器中。在可信度量成功后，TPCM14发送控第一控制信号和第二控制信号，以控制CPU12、桥片(主要为南桥芯片17)和内存18等复位，CPU12 可以加载并执行BIOS芯片13中内置的初始引导模块(Boot Block)。

可见，通过在计算设备硬件平台上引入安全芯片架构，系统上电启动后从一个可信信任源开始验证BIOS，保证系统平台没有被改动过或者被攻击过，提高了系统的安全性。

需要说明的是，本实施例对于第一存储器的实现方式不做限定。例如：第一存储器可以为易挥发性随机存取存储器(RamdomAccessMemory， RAM)。

可选的，BIOS芯片13还可以内置有第二存储器以及主引导模块。

CPU12还用于，通过与TPCM14之间的总线，将第二度量结果存储在第一存储器中，以及通过与BIOS芯片13之间的总线，将第二日志存储在第二存储器中。其中，第二度量结果和第二日志为对BIOS版本信息和主引导模块进行可信度量后生成所得。

第二存储器，用于存储第二日志。

第一存储器，还用于存储第二度量结果。

信任链从运行初始引导模块(Boot Block)到运行主引导模块(Main Block)的建立过程为：

CPU12执行初始引导模块(Boot Block)后，信任从TPCM14传递到初始引导模块(Boot Block)。CPU12度量BIOS版本信息和主引导模块(Main Block)，生成第二度量结果和第二日志。CPU12通过与TPCM14之间的总线将第二度量结果存储在第一存储器中，通过与BIOS芯片13之间的总线将第二日志存储在第二存储器中。在可信度量成功后，CPU12加载并执行BIOS 芯片13中内置的主引导模块(Main Block)。

可见，通过在计算设备硬件平台上引入安全芯片架构，系统上电启动后从一个可信信任源开始验证BIOS，形成了一个信任链来保证系统平台没有被改动过或者被攻击过，提高了系统的安全性。

需要说明的是，本实施例对于第二存储器的实现方式不做限定。例如：第二存储器可以为RAM。

可选的，计算机主板还可以包括与南桥芯片17连接的外部存储器，外部存储器可以内置有第三存储器以及操作系统内核。

CPU12还用于，通过与TPCM14之间的总线，将第三度量结果存储在第一存储器中，以及通过与外部存储器之间的耦合连接，将第三日志存储在第三存储器中。其中，第三度量结果和第三日志后为对操作系统内核进行可信度量后生成所得。

第三存储，用于存储第三日志。

第一存储器，还用于存储第三度量结果。

信任链从运行主引导模块(Main Block)到运行操作系统内核(OS Loader) 的建立过程为：

CPU12执行主引导模块(Main Block)后，信任从TPCM14传递到主引导模块(Main Block)。CPU12度量操作系统内核(OS Loader)，生成第三度量结果和第三日志。CPU12通过与TPCM14之间的总线将第三度量结果存储在第一存储器中，通过与外部存储器之间的连接将第三日志存储在第三存储器中。在可信度量成功后，CPU12加载并执行外部存储器内置的操作系统内核(OS Loader)。

其中，本实施例对于CPU12与外部存储器之间的连接不做限定。例如图 1中，CPU12与外部存储器之间的连接可以通过北桥芯片16和南桥芯片17 实现。

可见，通过在计算设备硬件平台上引入安全芯片架构，系统上电启动后从一个可信信任源开始依次验证BIOS和操作系统内核，形成了一个信任链来保证系统平台没有被改动过或者被攻击过，提高了系统的安全性。

需要说明的是，本实施例对于外部存储器的实现方式不做限定。

可选的，外部存储器还可以内置有操作系统。

CPU12还用于，通过与TPCM14之间的总线，将第四度量结果存储在第一存储器中，以及通过与外部存储器之间的耦合连接，将第四日志存储在第三存储器中。其中，第四度量结果和第四日志为对操作系统进行可信度量后生成所得。

第三存储器，还用于存储第四日志。

第一存储器，还用于存储第四度量结果。

信任链从运行操作系统内核(OS Loader)到运行操作系统的建立过程为：

CPU12执行操作系统内核(OS Loader)后，信任从主引导模块(Main Block)传递到操作系统内核(OS Loader)。CPU12度量操作系统(OS Kernel)，生成第四度量结果和第四日志。CPU12通过与TPCM14之间的总线将第四度量结果存储在第一存储器中，通过与外部存储器之间的连接将第四日志存储在第三存储器中。在可信度量成功后，CPU12加载并执行外部存储器内置的操作系统(OS Kernel)。

可见，通过在计算设备硬件平台上引入安全芯片架构，系统上电启动后从一个可信信任源开始依次验证BIOS、操作系统内核和操作系统，平台内部各元素之间存在严密的互相认证，形成了一个信任链来保证系统平台没有被改动过或者被攻击过，提高了系统的安全性。

本实施例提供一种计算机主板，包括主板主体，位于主板主体上的CPU、 BIOS芯片、TPCM、切换开关、南桥芯片、北桥芯片和内存。本实施例提供的计算机主板，以CPU为核心，结合TPCM形成可信计算平台，在计算设备硬件平台上引入安全芯片架构，为信息安全提供了硬件基础，提高了系统的安全性。

图4为本实用新型实施例二提供的计算机主板的结构示意图。本实施例在上述实施例一的基础上，提供了计算机主板的一种具体实现方式。需要说明，图4中包括的各个模块、各个模块的芯片类型和型号、各个模块之间的连接方式仅是一种示例，也可以采用其他的实现方式或者连接方式。如图4 所示，本实施例提供的计算机主板，可以包括：主板主体11，位于主板主体 11上的CPU12、BIOS芯片13、TPCM14、切换开关15、南桥芯片17、北桥芯片16、内存和外部存储器19。

在本实施例中，CPU12可以采用LS3A处理器。BIOS芯片13可以采用 SST49LF008A芯片，为8Mbit的flash。南桥芯片17可以采用AMD的SB710 芯片。北桥芯片16可以采用AMD780E芯片。内存可以采用2个芯片，容量分别为2GB，为实现抗振性均设计为表贴内存颗粒。外部存储器19可以采用串口硬盘(Serial Advanced Technology Attachment，SATA)固态电子盘。

切换开关15与CPU12通过LPC_HOST总线连接，切换开关15与BIOS 芯片13通过LPC_BIOS总线连接，切换开关15与TPCM14通过LPC_PCM 总线连接。内存总线接口处设计了2个通道，分别为DDR2MC1和DDR2MC0。 CPU12分别通过1个通道与1个2GB DDR2内存颗粒连接。CPU12与北桥芯片16通过HT(HyperTransport)x16总线连接，南桥芯片17与北桥芯片16 之间通过A-link ExpressII x4互连。TPCM14还与北桥芯片16通过GFX x1 总线连接。

北桥芯片AMD780E集成有两路独立的显示控制器，包括1路视频图形阵列(Video Graphics Array，VGA)、1路数字视频接口(Digital Visual Interface， DVI)。AMD780E还连接有侧端口存储器(Side Port Memory)。AMD780E 支持6x1的通用PCI-E通道，每一路PCI-E x1均连接1路千兆以太网控制器 Intel 82574。AMD780E支持GFX x16，通过最低位的1路x1连接TPCM14，用于实现对操作系统内核的可信度量。

南桥芯片SB710连接出1路USB2.0、1路高保真音频(High Definition Audio，HD Audio)、1路系统管理总线(System Management Bus，SMBUS)。 SB710还与外部存储器19连接。SB710还通过LPC总线连接1路I/O芯片 W83527HG，实现PS/2鼠标键盘功能；通过LPC总线连接1路现场可编程门阵列(Field-Programmable Gate Array，FPGA)，实现2路串口、3路I2C、 30路GPIO(包含13个CARDFAIL，13个RESET及4个GPIO)。

在本实施例中还采用VPX总线。VPX总线是VME国际贸易协会(VME International Trade Association，VITA)组织在VME总线基础上提出的新一代高速串行总线标准。VPX总线的基本规范、机械结构和总线信号等具体内容均在ANSI/VITA46系列技术规范中定义。VPX总线采用高速串行总线替代并行总线，大大增加了背板带宽，集成了更多的I/O，扩展了格式布局。此外，VPX改进了电源供电，可提供更大功率的电源，允许板卡集成更多功能。

本实用新型实施例还提供一种计算机，包括如图1～图4任一实施例提供的计算机主板。

其中，计算机主板的结构与原理参见如图1～图4所示实施例，此处不再赘述。

本领域普通技术人员可以理解：实现上述各实施例的部分步骤可以通过程序指令相关的硬件来完成，或需要借助程序指令的协助才能完成。该程序指令可以采用本领域技术人员在现有技术中已经使用或已经实现的程序指令。

最后应说明的是：以上各实施例仅用以说明本实用新型的技术方案，而非对其限制；尽管参照前述各实施例对本实用新型进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本实用新型各实施例技术方案的范围。