CN102314563A - 一种计算机硬件体系结构 - Google Patents
一种计算机硬件体系结构 Download PDFInfo
- Publication number
- CN102314563A CN102314563A CN2010102210913A CN201010221091A CN102314563A CN 102314563 A CN102314563 A CN 102314563A CN 2010102210913 A CN2010102210913 A CN 2010102210913A CN 201010221091 A CN201010221091 A CN 201010221091A CN 102314563 A CN102314563 A CN 102314563A
- Authority
- CN
- China
- Prior art keywords
- unit
- equipment
- processing unit
- north bridge
- computer hardware
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
一种计算机硬件体系结构,涉及计算机技术领域。本发明包括北桥芯片、与北桥芯片连接的多个功能模块以及多个I/O设备和接口。其结构特点是,它还包括通过高速总线与北桥芯片连接的安全处理单元。安全处理单元包括多个分别与各I/O设备和接口相连接的I/O设备处理单元、CPU和密码学算法引擎,密码学算法引擎中约定标准的接口和会话协议。同现有技术相比,本发明采用开放式的体系结构,有效增加硬件级的安全特性,可以在目前CPU和操作系统均被少数企业掌控的情况下更好地解决安全应用的问题。
Description
技术领域
本发明涉及计算机技术领域,特别是计算机硬件体系结构。
背景技术
一直以来,计算机技术发展迅速,CPU、内存的速度不断攀升,各种外设功能越来越丰富、性能也越来越强大。尽管如此,计算机的体系结构却没有发生大的变化。当前,计算机主要采用Intel的X86硬件体系结构,即CPU、FPU、GPU和内存等与北桥芯片连接,I/O设备和接口如USB、IDE、SATA、Audio、LAN、PCI等与南桥芯片连接,南北桥芯片之间采用高速总线连接,如图1所示。其中,南桥负责控制计算机与各种I/O外设之间的数据交互,并能自动适应各种接口之间的数据传输差异,满足多种数据传输方式的需要(如高速数据传输、低速数据传输等)。
基于Intel X86体系结构基础上的软件应用也越来越丰富,功能也越来越强。随着应用的不断丰富,用户也面临越来越多的安全风险,如计算机病毒、黑客入侵、数据泄密等,针对这种情况也出现了很多的安全解决方案,但是,这些解决方案更多的是基于软件层,而不是硬件层。同时,用户在部署各种安全应用的过程中,不可避免地担心一个问题,即以CPU为核心的硬件体系结构和以Microsoft操作系统为代表的软件系统中的关键技术均由少数企业所掌握,其安全性无法得到有效的管控。举例而言,如果对SATA硬盘中的数据进行加解密时,其数据流如图2所示。
1、加密过程
SATA硬盘中的明文数据被南桥读出并被送往北桥芯片,北桥芯片将数据交给CPU进行加密运算形成密文,密文被回馈给南桥,南桥将数据输出至SATA硬盘保存。
2、解密过程
SATA硬盘中的密文数据被南桥读出并被送往北桥芯片,北桥芯片将数据交给CPU进行解密运算形成明文,明文数据被回馈给南桥,南桥将数据输出至SATA硬盘保存。
上述加解密过程完全由CPU和操作系统进行控制。在实际应用中,由于CPU和操作系统技术均掌握在少数厂商手中,引发了用户对其安全性的担忧。对此,部分用户采用硬件加密卡来实现硬件加解密,或者自行设计更高安全等级的软件加解密算法,但是这两种方案仍然不能避免明文数据流被暴露给CPU,尤其是密钥信息。
发明内容
针对上述现有技术中存在的缺陷,本发明的目的是提供一种计算机硬件体系结构。它采用开放式的体系结构,有效增加硬件级的安全特性,可以在目前CPU和操作系统均被少数企业掌控的情况下更好地解决安全应用的问题。
为了达到上述发明目的,本发明的技术方案以如下方式实现:
一种计算机硬件体系结构,它包括北桥芯片、与北桥芯片连接的多个功能模块以及多个I/O设备和接口。其结构特点是,它还包括通过高速总线与北桥芯片连接的安全处理单元。安全处理单元包括多个分别与各I/O设备和接口相连接的I/O设备处理单元、CPU和密码学算法引擎,密码学算法引擎中约定标准的接口和会话协议。
在上述计算机硬件体系结构中,所述密码学算法引擎内部的处理单元、固件和算法实现均由各机构、组织或国家自行完成。
在上述计算机硬件体系结构中,所述安全处理单元中I/O设备处理单元包括SATA数据处理单元、IDE数据处理单元、USB设备控制器、网络数据处理单元、音频处理单元、PCI总线处理单元以及其它IO数据处理单元。用来与外界的SATA设备、IDE设备、USB设备、LAN设备、Audio设备、PCI设备和其它IO设备进行数据交互。
在上述计算机硬件体系结构中,所述安全处理单元中的密码学算法引擎包括真随机数生成器、SMS4算法单元、ECC算法单元、SM3算法单元,密钥协商协议单元、数字签名和验证协议单元以及密钥存储和管理单元。
本发明由于采用了上述结构,将传统的南桥芯片改进为安全处理单元(Security Processing Unit,SPU)芯片。SPU芯片除了含有完成传统南桥芯片各种IO功能的部件外,还被植入了独立的CPU和密码学算法引擎。同现有技术相比,本发明具有如下功能特性和优点:
1、SPU自带CPU和密码学算法引擎,SPU控制与各种I/O外设之间的数据交换,并可以对这些数据进行各种密码学运算。
2、SPU完成的各种数据流控制、加解密、数字签名和验证等运算均“独立完成”,对整个计算机中的主CPU和操作系统而言是透明的。
3、计算机所有对外信息交换均通过SPU进行,因此可以独立进行可靠的管控,例如设备接入权限控制、数据流加密、数据流签名、输出信息增加数字水印等。
4、当主CPU和操作系统均不可信(如存在木马后门)的情况下,本发明体系能有效管控网络包、USB包等数据的流向,或对这些数据进行密码学处理,确保信息安全。
5、SPU具备独立的运算处理能力,因此,可以在系统不开机(主CPU和操作系统等不工作)的情况下,通过各种接口进行远程管理操作,也可以在开机状态下,独立于CPU和操作系统进行各种后台管理操作。
6、SPU具备开放架构,只约定标准的接口和会话协议,具体的内部处理单元、固件和算法实现均可以由各机构、组织或国家自行完成,可摆脱现有信息安全依赖于单一国家少数厂商的格局。
下面结合附图和具体实施方式对本发明做进一步说明。
附图说明
图1是现有通用Intel X86计算机体系结构示意图;
图2是X86体系结构中数据加解密流程图;
图3是本发明的结构示意图;
图4是本发明实施例中SPU的结构示意图;
图5是本发明实施例中数据加解密流程图。
具体实施方式
参看图3,本发明包括北桥芯片、与北桥芯片连接的多个功能模块、通过高速总线与北桥芯片连接的安全处理单元以及多个I/O设备和接口。安全处理单元包括多个分别与各I/O设备和接口相连接的I/O设备处理单元、CPU和密码学算法引擎。密码学算法引擎中约定标准的接口和会话协议,其内部的处理单元、固件和算法实现均由各机构、组织或国家自行完成。
参看图4,SPU中含有独立的CPU,负责各种运算。SPU中SATA数据处理单元、IDE数据处理单元、USB设备控制器、网络数据处理单元、音频处理单元、PCI总线处理单元以及其它IO数据处理单元等,用来与外界的SATA设备、IDE设备、USB设备、LAN设备、Audio设备、PCI设备和其它IO设备进行数据交互。SPU中的密码学算法引擎主要包括真随机数生成器、SMS4算法单元、ECC算法单元、SM3算法单元,密钥协商协议单元、数字签名和验证协议单元、密钥存储和管理单元。上述的算法单元只是列举了一种具体的实施例,在具体的实现中,可以根据需要替换为符合安全需要的其他算法IP核。
本发明应用中,如果对SATA硬盘中的数据进行加解密时,其数据流如图5所示。
1.加密过程
SATA硬盘中的明文数据被南桥读出并被送往北桥芯片,北桥芯片将数据交给CPU进行数据处理,处理后的明文被回馈给SPU,SPU对明文数据进行加密处理,加密密钥保存在内部的密钥存储和管理单元中,加密后形成的密文输出至SATA硬盘保存。
2.解密过程
SATA硬盘中的密文数据被SPU读出,SPU中的密码学运算单元对数据进行解密处理(使用存储在密钥存储和管理单元中的密钥),解密后的明文被送往北桥芯片,北桥芯片将数据交给CPU进行数据处理,处理后的明文数据被回馈给SPU,SPU将数据输出至SATA硬盘保存。
从上述过程中可以看出,加密和解密操作均发生在SPU内部,密钥也被存储在SPU中,整个过程的安全性将全部由SPU进行控制,避免将敏感信息暴露给CPU和操作系统。因此,通过自行设计和实现SPU,就可以避免CPU和操作系统核心技术掌握在少数企业中而引发的安全问题。
Claims (4)
1.一种计算机硬件体系结构,它包括北桥芯片、与北桥芯片连接的多个功能模块以及多个I/O设备和接口,其特征在于,它还包括通过高速总线与北桥芯片连接的安全处理单元,安全处理单元包括多个分别与各I/O设备和接口相连接的I/O设备处理单元、CPU和密码学算法引擎,密码学算法引擎中约定标准的接口和会话协议。
2.如权利要求1所述的计算机硬件体系结构,其特征在于,所述密码学算法引擎内部的处理单元、固件和算法实现均由各机构、组织或国家自行完成。
3.根据权利要求1或2所述的计算机硬件体系结构,其特征在于,所述安全处理单元中I/O设备处理单元包括SATA数据处理单元、IDE数据处理单元、USB设备控制器、网络数据处理单元、音频处理单元、PCI总线处理单元以及其它IO数据处理单元,用来与外界的SATA设备、IDE设备、USB设备、LAN设备、Audio设备、PCI设备和其它IO设备进行数据交互。
4.如权利要求3所述的计算机硬件体系结构,其特征在于,所述安全处理单元中的密码学算法引擎包括真随机数生成器、SMS4算法单元、ECC算法单元、SM3算法单元,密钥协商协议单元、数字签名和验证协议单元以及密钥存储和管理单元。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102210913A CN102314563A (zh) | 2010-07-08 | 2010-07-08 | 一种计算机硬件体系结构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010102210913A CN102314563A (zh) | 2010-07-08 | 2010-07-08 | 一种计算机硬件体系结构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102314563A true CN102314563A (zh) | 2012-01-11 |
Family
ID=45427721
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010102210913A Pending CN102314563A (zh) | 2010-07-08 | 2010-07-08 | 一种计算机硬件体系结构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102314563A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103150498A (zh) * | 2013-03-28 | 2013-06-12 | 哈尔滨工业大学(威海) | 基于单分类支持向量机的硬件木马识别方法 |
| CN107437028A (zh) * | 2017-07-31 | 2017-12-05 | 中孚信息股份有限公司 | 一种基于内存读取的病毒检测装置及方法 |
| CN110414244A (zh) * | 2018-04-28 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 加密卡、电子设备及加密服务方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1670698A (zh) * | 2005-04-06 | 2005-09-21 | 清华大学 | 基于透明计算的计算设备和方法 |
| US20070118777A1 (en) * | 2005-11-24 | 2007-05-24 | Via Technologies, Inc. | Computer system and power management method thereof |
| CN101226571A (zh) * | 2007-01-16 | 2008-07-23 | 瑞达信息安全产业股份有限公司 | 一种信息安全计算机 |
-
2010
- 2010-07-08 CN CN2010102210913A patent/CN102314563A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1670698A (zh) * | 2005-04-06 | 2005-09-21 | 清华大学 | 基于透明计算的计算设备和方法 |
| US20070118777A1 (en) * | 2005-11-24 | 2007-05-24 | Via Technologies, Inc. | Computer system and power management method thereof |
| CN101226571A (zh) * | 2007-01-16 | 2008-07-23 | 瑞达信息安全产业股份有限公司 | 一种信息安全计算机 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103150498A (zh) * | 2013-03-28 | 2013-06-12 | 哈尔滨工业大学(威海) | 基于单分类支持向量机的硬件木马识别方法 |
| CN103150498B (zh) * | 2013-03-28 | 2016-03-16 | 哈尔滨工业大学(威海) | 基于单分类支持向量机的硬件木马识别方法 |
| CN107437028A (zh) * | 2017-07-31 | 2017-12-05 | 中孚信息股份有限公司 | 一种基于内存读取的病毒检测装置及方法 |
| CN107437028B (zh) * | 2017-07-31 | 2020-03-31 | 中孚信息股份有限公司 | 一种基于内存读取的病毒检测装置及方法 |
| CN110414244A (zh) * | 2018-04-28 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 加密卡、电子设备及加密服务方法 |
| CN110414244B (zh) * | 2018-04-28 | 2023-07-21 | 阿里巴巴集团控股有限公司 | 加密卡、电子设备及加密服务方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11876785B2 (en) | System and method for routing-based internet security | |
| US20230110230A1 (en) | Technologies for secure i/o with memory encryption engines | |
| US10248578B2 (en) | Methods and systems for protecting data in USB systems | |
| CN110999248B (zh) | 使用片上系统(SoC)体系结构的安全通信加速 | |
| US9735962B1 (en) | Three layer key wrapping for securing encryption keys in a data storage system | |
| US11841985B2 (en) | Method and system for implementing security operations in an input/output device | |
| CN102073808B (zh) | 一种通过sata接口加密存储的方法和加密卡 | |
| US20220197825A1 (en) | System, method and apparatus for total storage encryption | |
| WO2017045484A1 (zh) | 一种基于xts-sm4的存储加解密方法及装置 | |
| US20190012472A1 (en) | Hierarchical bus encryption system | |
| CN108418817A (zh) | 一种加密方法及装置 | |
| CN209803788U (zh) | 一种pcie可信密码卡 | |
| CN114221762A (zh) | 一种私钥存储方法、读取方法、管理装置、设备及介质 | |
| US11847228B2 (en) | Platform security mechanism | |
| CN102314563A (zh) | 一种计算机硬件体系结构 | |
| CN201051744Y (zh) | 一种安全的加密网卡装置 | |
| CN201917911U (zh) | 计算机硬件体系结构 | |
| CN105468983A (zh) | 基于sata接口的数据传输方法与装置 | |
| EP2558946A1 (en) | Method and system for cryptographic processing core | |
| Kida et al. | Hcc: 100 gbps aes-gcm encrypted inline dma transfers between sgx enclave and fpga accelerator | |
| CN103780377B (zh) | 一种对数据进行保密处理的方法及系统 | |
| US20240137345A1 (en) | System and method for routing-based internet security | |
| CN115357951A (zh) | 一种多主机接口转sata桥的双核加密桥及加解密传输方法 | |
| TW201605217A (zh) | 供加密檔案和/或通訊協定之多重加密方法與系統 | |
| CN115659386A (zh) | 数据共享系统、数据共享方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20120111 |