CN104239760A - 一种安全等级可配置的计算机的实现方法 - Google Patents
一种安全等级可配置的计算机的实现方法 Download PDFInfo
- Publication number
- CN104239760A CN104239760A CN201410444190.6A CN201410444190A CN104239760A CN 104239760 A CN104239760 A CN 104239760A CN 201410444190 A CN201410444190 A CN 201410444190A CN 104239760 A CN104239760 A CN 104239760A
- Authority
- CN
- China
- Prior art keywords
- fpga
- security
- safe class
- data
- sopc
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/575—Secure boot
Abstract
本发明公开了一种安全等级可配置的计算机的实现方法,所述的该方法由FPGASOPC系统和计算机系统完成,采用支持SOPC系统的FPGA芯片为控制核心,通过总线与计算机系统端、外部存储、数据采集端链接,使用上层应用软件发送命令来控制FPGA完成用户加密信息的添加配置、系统安全等级配置,并通过驱动设定实现BIOS阶段和系统阶段的验证启动。本发明的一种安全等级可配置的计算机的实现方法和现有技术相比,具有设计合理、使用方便等特点,其中FPGASOPC系统的配置操作简单,可以做成板载、扩展卡等多种形式,因实际的数据操作均在FPGASOPC系统端由其独立实现,故该设计数据隔离性好,加密安全性高。
Description
技术领域
本发明涉及计算机安全验证的技术领域,具体地说是一种安全等级可配置的计算机的实现方法。
背景技术
FPGA为“Field-Programmable Gate Array)”的英文简称,中文翻译:现场可编程门阵列,它是在PAL、GAL、CPLD等可编程器件的基础上进一步发展的产物。它是作为专用集成电路(ASIC)领域中的一种半定制电路而出现的,既解决了定制电路的不足,又克服了原有可编程器件门电路数有限的缺点。
SOPC 为“System-on-a-Programmable-Chip”的英文简称,中文翻译:可编程片上系统。用可编程逻辑技术把整个系统放到一块硅片上,称作SOPC。可编程片上系统是一种特殊的嵌入式系统:首先它是片上系统(SOC),即由单个芯片完成整个系统的主要逻辑功能;其次,它是可编程系统,具有灵活的设计方式,可裁减、可扩充、可升级,并具备软硬件在系统可编程的功能。
现代信息技术的飞速发展带来人们对智能计算系统需求的不断增大。对于不同应用领域的计算机,使用者对其要求不一样,现在在市面上智能计算机的种类不断增多,特种计算机也逐渐进入大众视野。计算机需求的增加使得安全问题变的凸显,且在涉及信息安全的特种领域,客户通常对计算机有特殊安全需求。目前普通计算机使用较多的安全验证方式为指纹识别和密码验证,两者的身份验证信息都存储在系统端且系统安全等级较低无法配置,这样容易给计算机病毒可乘之机,遭到破解或破坏。
发明内容
本发明的技术任务是提供一种安全等级可配置的计算机的实现方法。
本发明的技术任务是按以下方式实现的,该安全等级可配置的计算机的实现方法由FPGA SOPC系统和计算机系统完成,采用支持SOPC系统的FPGA芯片为控制核心,通过总线与计算机系统端、外部存储、数据采集端链接,使用上层应用软件发送命令来控制FPGA完成用户加密信息的添加配置、系统安全等级配置,并通过驱动设定实现BIOS阶段和系统阶段的验证启动。
所述的FPGA SOPC系统以FPGA芯片为控制核心,分别接有数据采集接口以及多路外置存储器,FPGA通过PCIE总线与计算机系统通信,并分别与计算机系统数据存储单元连接有数据销毁信号,与计算机系统的上电单元连接有电源控制信号。
所述的FPGA系统的配置通过操作系统下设置软件来完成,该配置软件包含安全验证启动和用户添加、安全等级设定和用户安全验证三个部分,每个操作与FPGA的通信通过PCIE以命令的形式完成,对于用户的添加以及安全等级的设定均通过相应的命令,FPGA端SOPC系统接收到命令后启动相应功能模块来完成该命令的实际操作。
所述的安全验证启动和用户添加通过FPGA连接的数据采集接口来完成,用户安全验证信息采集后FPGA将数据经过加密后存放于外置存储器中;
安全等级设定根据相应命令来配置启动功能,并根据不同的安全级别设定不同的关键数据常量值,将该值通过I2C存储在外部EEPROM中,并在系统启动时通过读取外部EEPROM的值来对关键常量进行赋值,从而完成系统安全等级功能的设定和启动;
用户安全验证在BIOS阶段或者系统阶段来完成,将相应驱动添加至BIOS代码中,在代码启动中即可启动该安全验证,将系统阶段验证设置打开即可启动系统下安全验证,二者可以同时开启,也可以开启其中之一,视安全需求来设定开启;在计算机启动时,计算机系统端通过驱动完成与FPGA SOPC的链接并等待SOPC端返回验证结果,FPGA SOPC端将数据采集口的数据与外置存储器中经过加密的数据进行比对验证,通过则将结果返回上层系统,失败则根据设定的安全等级进行相应操作。
所述的安全等级设定步骤将安全等级设定为三个顶级,分别为低等安全级别、中等安全级别和高等安全级别;低等安全级别:验证失败后继续等待信息输入;中等安全级别:验证失败后启动计算机电源关闭;高等安全级别:验证失败后,启动数据销毁功能,销毁计算机系统存储的敏感数据。
本发明的一种安全等级可配置的计算机的实现方法和现有技术相比,具有设计合理、使用方便等特点,其中FPGA SOPC系统的配置操作简单,可以做成板载、扩展卡等多种形式,因实际的数据操作均在FPGA SOPC系统端由其独立实现,故该设计数据隔离性好,加密安全性高。
附图说明
附图1为一种安全等级可配置的计算机的实现方法的流程示意图。
具体实施方式
实施例1:
该安全等级可配置的计算机的实现方法由FPGA SOPC系统和计算机系统完成,采用支持SOPC系统的FPGA芯片为控制核心,分别接有数据采集接口以及多路外置存储器,FPGA通过PCIE总线与计算机系统通信,并分别与计算机系统数据存储单元连接有数据销毁信号,与计算机系统的上电单元连接有电源控制信号。使用上层应用软件发送命令来控制FPGA完成用户加密信息的添加配置、系统安全等级配置,并通过驱动设定实现BIOS阶段和系统阶段的验证启动。
所述的FPGA系统的配置通过操作系统下设置软件来完成,该配置软件包含安全验证启动和用户添加、安全等级设定和用户安全验证三个部分,每个操作与FPGA的通信通过PCIE以命令的形式完成,对于用户的添加以及安全等级的设定均通过相应的命令,FPGA端SOPC系统接收到命令后启动相应功能模块来完成该命令的实际操作。
安全验证启动和用户添加通过FPGA连接的数据采集接口来完成,用户安全验证信息采集后FPGA将数据经过加密后存放于外置存储器中;
安全等级设定根据相应命令来配置启动功能,并根据不同的安全级别设定不同的关键数据常量值,将该值通过I2C存储在外部EEPROM中,并在系统启动时通过读取外部EEPROM的值来对关键常量进行赋值,从而完成系统安全等级功能的设定和启动;
用户安全验证在BIOS阶段或者系统阶段来完成,将相应驱动添加至BIOS代码中,在代码启动中即可启动该安全验证,将系统阶段验证设置打开即可启动系统下安全验证,二者可以同时开启,也可以开启其中之一,视安全需求来设定开启;在计算机启动时,计算机系统端通过驱动完成与FPGA SOPC的链接并等待SOPC端返回验证结果,FPGA SOPC端将数据采集口的数据与外置存储器中经过加密的数据进行比对验证,通过则将结果返回上层系统,失败则根据设定的安全等级进行相应操作;安全等级设定步骤将安全等级设定为三个顶级,分别为低等安全级别、中等安全级别和高等安全级别;低等安全级别:验证失败后继续等待信息输入;中等安全级别:验证失败后启动计算机电源关闭;高等安全级别:验证失败后,启动数据销毁功能,销毁计算机系统存储的敏感数据。
实施例2:
用户1到用户n为n组不同的身份认证信息和设备,可以是指纹、智能ID卡等信息和设备,通过系统下的驱动及应用软件来完成与FPGA的系统通信,并通过SOPC系统完成用户信息的采集添加和读取验证,对于采集的用户信息进行加密后存储在FPGA外挂存储器中,因信息的采集和存储由FPGA SOPC系统完成,该过程不经过上层操作系统,直接由FPGA在底层完成,可以避免上层操作系统的病毒破坏,安全性高,其具体实施步骤如下:
1)安全验证启动和用户添加:硬件安装完成后,启动系统下安全配置软件,在功能设置下点击打开来启动该功能,点击用户添加来调用数据采集端口完成用户信息采集添加,通过点击相应用户完成用户信息的修改;FPGA SOPC系统会自动完成用户的添加、数据采集、加密存储以及用户信息修改。
2)安全等级设定:在安全配置软件下通过点击A、B、C来完成安全等级配置;A表示低等安全级别,验证失败后继续等待信息输入;B表示中等安全级别,验证失败后启动计算机电源关闭;C表示高等安全级别,验证失败后,启动数据销毁功能,销毁计算机系统存储的敏感数据。该安全等级与FPGA SOPC系统的设定相关。
3)用户安全验证:用户验证时,将身份验证信息输入验证采集端口,FPGA内部完成验证结果比对,验证结果正确时将信息通知BIOS或者系统,继续计算机启动,当验证失败时,根据设定的安全等级来执行动作。
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的几种具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
Claims (5)
1.一种安全等级可配置的计算机的实现方法,其特征在于,所述的该方法由FPGA SOPC系统和计算机系统完成,采用支持SOPC系统的FPGA芯片为控制核心,通过总线与计算机系统端、外部存储、数据采集端链接,使用上层应用软件发送命令来控制FPGA完成用户加密信息的添加配置、系统安全等级配置,并通过驱动设定实现BIOS阶段和系统阶段的验证启动。
2. 根据权利要求1所述的一种安全等级可配置的计算机的实现方法,其特征在于,所述的FPGA SOPC系统以FPGA芯片为控制核心,分别接有数据采集接口以及多路外置存储器,FPGA通过PCIE总线与计算机系统通信,并分别与计算机系统数据存储单元连接有数据销毁信号,与计算机系统的上电单元连接有电源控制信号。
3. 根据权利要求1所述的一种安全等级可配置的计算机的实现方法,其特征在于,所述的FPGA系统的配置通过操作系统下设置软件来完成,该配置软件包含安全验证启动和用户添加、安全等级设定和用户安全验证三个部分,每个操作与FPGA的通信通过PCIE以命令的形式完成,对于用户的添加以及安全等级的设定均通过相应的命令,FPGA端SOPC系统接收到命令后启动相应功能模块来完成该命令的实际操作。
4.根据权利要求3所述的一种安全等级可配置的计算机的实现方法,其特征在于,所述的安全验证启动和用户添加通过FPGA连接的数据采集接口来完成,用户安全验证信息采集后FPGA将数据经过加密后存放于外置存储器中;
安全等级设定根据相应命令来配置启动功能,并根据不同的安全级别设定不同的关键数据常量值,将该值通过I2C存储在外部EEPROM中,并在系统启动时通过读取外部EEPROM的值来对关键常量进行赋值,从而完成系统安全等级功能的设定和启动;
用户安全验证在BIOS阶段或者系统阶段来完成,将相应驱动添加至BIOS代码中,在代码启动中即可启动该安全验证,将系统阶段验证设置打开即可启动系统下安全验证,二者可以同时开启,也可以开启其中之一,视安全需求来设定开启;在计算机启动时,计算机系统端通过驱动完成与FPGA SOPC的链接并等待SOPC端返回验证结果,FPGA SOPC端将数据采集口的数据与外置存储器中经过加密的数据进行比对验证,通过则将结果返回上层系统,失败则根据设定的安全等级进行相应操作。
5.根据权利要求4所述的一种安全等级可配置的计算机的实现方法,其特征在于,所述的安全等级设定步骤将安全等级设定为三个顶级,分别为低等安全级别、中等安全级别和高等安全级别;低等安全级别:验证失败后继续等待信息输入;中等安全级别:验证失败后启动计算机电源关闭;高等安全级别:验证失败后,启动数据销毁功能,销毁计算机系统存储的敏感数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410444190.6A CN104239760A (zh) | 2014-09-03 | 2014-09-03 | 一种安全等级可配置的计算机的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410444190.6A CN104239760A (zh) | 2014-09-03 | 2014-09-03 | 一种安全等级可配置的计算机的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104239760A true CN104239760A (zh) | 2014-12-24 |
Family
ID=52227806
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410444190.6A Pending CN104239760A (zh) | 2014-09-03 | 2014-09-03 | 一种安全等级可配置的计算机的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104239760A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107831945A (zh) * | 2017-11-30 | 2018-03-23 | 北京集创北方科技股份有限公司 | 电子设备、显示系统及其集成控制装置、安全验证方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020166072A1 (en) * | 2001-05-02 | 2002-11-07 | International Business Machines Corporation | Data processing system and method for password protecting a boot device |
| CN1801708A (zh) * | 2005-01-04 | 2006-07-12 | 富士通株式会社 | 安全管理方法、程序和信息设备 |
| CN103593622A (zh) * | 2013-11-05 | 2014-02-19 | 浪潮集团有限公司 | 一种基于fpga的安全可信计算机的设计方法 |
| CN103718165A (zh) * | 2011-07-07 | 2014-04-09 | 英特尔公司 | Bios闪存攻击保护和通知 |
| CN103729310A (zh) * | 2014-01-14 | 2014-04-16 | 北京深思数盾科技有限公司 | 一种硬盘数据的保护方法 |
-
2014
- 2014-09-03 CN CN201410444190.6A patent/CN104239760A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020166072A1 (en) * | 2001-05-02 | 2002-11-07 | International Business Machines Corporation | Data processing system and method for password protecting a boot device |
| CN1801708A (zh) * | 2005-01-04 | 2006-07-12 | 富士通株式会社 | 安全管理方法、程序和信息设备 |
| CN103718165A (zh) * | 2011-07-07 | 2014-04-09 | 英特尔公司 | Bios闪存攻击保护和通知 |
| CN103593622A (zh) * | 2013-11-05 | 2014-02-19 | 浪潮集团有限公司 | 一种基于fpga的安全可信计算机的设计方法 |
| CN103729310A (zh) * | 2014-01-14 | 2014-04-16 | 北京深思数盾科技有限公司 | 一种硬盘数据的保护方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107831945A (zh) * | 2017-11-30 | 2018-03-23 | 北京集创北方科技股份有限公司 | 电子设备、显示系统及其集成控制装置、安全验证方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6239788B2 (ja) | 指紋認証方法、装置、インテリジェント端末及びコンピュータ記憶媒体 | |
| US11329833B2 (en) | Programmable device key provisioning | |
| CN108011716B (zh) | 一种密码装置及实现方法 | |
| CN101599832B (zh) | 一种实现网络系统登录的个人身份认证方法及系统 | |
| EP2884692A1 (en) | Updating software on a secure element | |
| CN103902915B (zh) | 一种可信工控终端及其构建方法 | |
| US10867046B2 (en) | Methods and apparatus for authenticating a firmware settings input file | |
| CN107994985B (zh) | 一种密码卡及对数据处理的方法 | |
| CN106933752B (zh) | 一种sram型fpga的加密装置及方法 | |
| CN113079001B (zh) | 密钥更新方法、信息处理设备及密钥更新装置 | |
| CN102567682A (zh) | 基本输入输出系统(bios)设置的用户访问方法 | |
| CN102959554A (zh) | 用于存储状态恢复的存储设备和方法 | |
| CN109167662A (zh) | 一种种子生成方法及其设备 | |
| CN104298936B (zh) | 一种基于cpld芯片的fpga加密及参数配置系统 | |
| US11139987B2 (en) | Compact security certificate | |
| CN105512520B (zh) | 一种反克隆的车载系统及其工作方法 | |
| CN104346584A (zh) | 一种fpga系统加密及参数配置方法 | |
| CN104239760A (zh) | 一种安全等级可配置的计算机的实现方法 | |
| CN204066120U (zh) | 一种基于cpld芯片的fpga加密及参数配置系统 | |
| WO2013174321A1 (zh) | 执行命令的方法、装置、智能卡及移动终端 | |
| CN106778227A (zh) | 应用程序处理方法、应用程序启动方法及装置 | |
| CN106533653A (zh) | 加密芯片、加密方法及加密系统 | |
| CN104298897A (zh) | 基于混沌技术的嵌入式版权认证方法及专用处理器 | |
| Drimer et al. | Protecting multiple cores in a single FPGA design | |
| US20210367794A1 (en) | Device provisioning system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20141224 |