基于國(guó)產(chǎn)64位arm處理器的服務(wù)器及安全設(shè)計(jì)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及國(guó)產(chǎn)服務(wù)器系統(tǒng)技術(shù)領(lǐng)域,具體地說(shuō)是基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器及安全設(shè)計(jì)方法����。
【背景技術(shù)】
[0002]近年來(lái),伴隨著云計(jì)算與互聯(lián)網(wǎng)技術(shù)的廣泛普及��,服務(wù)器產(chǎn)業(yè)以迅猛的速度發(fā)展����。在中國(guó)服務(wù)器市場(chǎng)上,國(guó)外公司占據(jù)壟斷地位�����。在處理器方面,Intel�、AMD、IBM�、SUN幾乎占據(jù)了 100%的份額,國(guó)產(chǎn)處理器僅在高性能計(jì)算領(lǐng)域和黨政軍領(lǐng)域有部分應(yīng)用�����,份額不超過(guò)1%�����。從“九五”以來(lái)���,國(guó)家一直通過(guò)科技項(xiàng)目支持國(guó)產(chǎn)服務(wù)器的發(fā)展�,力爭(zhēng)在這個(gè)巨大的市場(chǎng)中做大做強(qiáng)國(guó)產(chǎn)服務(wù)器產(chǎn)業(yè)�����。目前已經(jīng)成熟應(yīng)用在服務(wù)器中的國(guó)產(chǎn)處理器主要是龍芯����、飛騰和申威系列,CPU架構(gòu)也以MIPS���、SPARC和Alpha居多���。目前還沒(méi)有基于64位ARM處理器的國(guó)產(chǎn)服務(wù)器面市,主要是因?yàn)?4位Cortex-A57架構(gòu)的ARM授權(quán)開(kāi)放時(shí)間較短����,相關(guān)的國(guó)產(chǎn)ARM芯片也剛剛成功流片,該64位國(guó)產(chǎn)ARM處理器采用28nm工藝����,包含16個(gè)核心,主頻為1.6GHz�,是目前國(guó)產(chǎn)處理器中核心數(shù)量和主頻最高的,性能超過(guò)了以往的國(guó)產(chǎn)處理器���,并且16核滿(mǎn)配功耗僅有30W���,整機(jī)功耗大大降低。
[0003]對(duì)于黨政軍和重點(diǎn)行業(yè)來(lái)說(shuō)�����,除了CPU國(guó)產(chǎn)化之外�,還希望能夠使用安全可靠的服務(wù)器系統(tǒng),以消除安全隱患。ARM處理器的生態(tài)環(huán)境比較成熟�,越來(lái)越多的國(guó)產(chǎn)系統(tǒng)軟件、工具軟件��、應(yīng)用軟件廠(chǎng)商在圍繞ARM處理器進(jìn)行產(chǎn)品開(kāi)發(fā)���?����?尚庞?jì)算作為提升國(guó)家網(wǎng)絡(luò)安全保障能力的重要手段之一��,得到了產(chǎn)業(yè)界和專(zhuān)家的廣泛認(rèn)可�?����!秶?guó)家中長(zhǎng)期科學(xué)技術(shù)發(fā)展(2006-2020年)》明確提出“以發(fā)展高可信網(wǎng)絡(luò)為重點(diǎn)�,開(kāi)發(fā)網(wǎng)絡(luò)信息安全技術(shù)及相關(guān)產(chǎn)品,建立信息安全技術(shù)保障體系”�����,在“十二五”規(guī)劃有關(guān)工程項(xiàng)目中把可信計(jì)算作為發(fā)展重點(diǎn)��。在各類(lèi)信息安全技術(shù)措施中,服務(wù)器硬件和操作系統(tǒng)的安全是基礎(chǔ)�,密碼技術(shù)是關(guān)鍵,只有從整體上采取措施�,特別是從底層采取措施,才能有效解決服務(wù)器面臨的安全問(wèn)題����?��?尚庞?jì)算(Trusted Computing)從終端開(kāi)始防范攻擊���,致力于增強(qiáng)終端體系結(jié)構(gòu)的安全性,從源頭上解決系統(tǒng)的安全問(wèn)題�。硬件系統(tǒng)安全和操作系統(tǒng)安全是信息系統(tǒng)安全的基礎(chǔ),密碼����、網(wǎng)絡(luò)安全等技術(shù)是關(guān)鍵技術(shù)。只有從芯片�、主板等硬件結(jié)構(gòu)和B1S、操作系統(tǒng)等底層軟件作起�,綜合采取措施,才能比較有效的提高服務(wù)器系統(tǒng)的安全性�����。
[0004]
【發(fā)明內(nèi)容】
本發(fā)明的技術(shù)任務(wù)是提供一種基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器及安全設(shè)計(jì)方法,來(lái)解決基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器以及存在安全可信威脅的問(wèn)題����。
[0005]本發(fā)明解決其技術(shù)問(wèn)題所采用的技術(shù)方案是:基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器,該國(guó)產(chǎn)服務(wù)器包括CPU及主板����、管理控制單元、供電單元和PCIE擴(kuò)展單元�,還包括國(guó)產(chǎn)操作系統(tǒng)、國(guó)產(chǎn)B1S固件�����、國(guó)產(chǎn)可信密碼模塊以及機(jī)箱����。其中,國(guó)產(chǎn)ARM處理器為64位國(guó)產(chǎn)Cortex-A57 ARM處理器��,進(jìn)行所有數(shù)據(jù)和算法的計(jì)算處理��;國(guó)產(chǎn)操作系統(tǒng):WLinux為基礎(chǔ)二次開(kāi)發(fā)的國(guó)產(chǎn)操作系統(tǒng)��,是管理和控制計(jì)算機(jī)硬件與軟件資源的計(jì)算機(jī)程序;國(guó)產(chǎn)B1S固件:用于硬件設(shè)備的初始化和操作系統(tǒng)的引導(dǎo)�,提供硬件設(shè)備的調(diào)試診斷功能和友好的用戶(hù)配置界面;國(guó)產(chǎn)可信密碼(TCM)模塊:是一種植于服務(wù)器內(nèi)部為服務(wù)器提供可信功能的模塊����,提供密碼運(yùn)算功能,具有受保護(hù)的存儲(chǔ)空間����,符合中國(guó)自主可信計(jì)算標(biāo)準(zhǔn)。CHJ及主板�、管理控制單元���、供電單元和PCIE擴(kuò)展單元�����、國(guó)產(chǎn)操作系統(tǒng)����、國(guó)產(chǎn)B1S固件���、國(guó)產(chǎn)可信密碼模塊以及機(jī)箱的結(jié)構(gòu)�����、位置�����、連接關(guān)系以及控制關(guān)系與現(xiàn)有技術(shù)一致��。
[0006 ]作為優(yōu)選�,所述CPU及主板包括EEB主板。
[0007]更優(yōu)地�,所述管理控制單元包括BMC子卡。
[0008]更優(yōu)地���,所述供電單元包括電源模塊���。
[0009]更優(yōu)地,所述PCIE擴(kuò)展單元包括PCIE擴(kuò)展卡���。
[0010]基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器的安全設(shè)計(jì)方法���,包括如下步驟:
(1)建立可信鏈:以可信度量根為起點(diǎn),計(jì)算系統(tǒng)平臺(tái)完整性度量值�����,建立服務(wù)器系統(tǒng)平臺(tái)信任鏈,確保系統(tǒng)平臺(tái)可信�����;
(2)標(biāo)識(shí)平臺(tái)身份:可信報(bào)告根標(biāo)識(shí)平臺(tái)身份的可信性�����,具有唯一性�,以可信報(bào)告根為基礎(chǔ),實(shí)現(xiàn)平臺(tái)身份證明和完整性報(bào)告��;
(3)保護(hù)密鑰:基于可信存儲(chǔ)根�,實(shí)現(xiàn)密鑰管理�����、平臺(tái)數(shù)據(jù)安全保護(hù)功能����,提供相應(yīng)的密碼服務(wù)。
[0011]本發(fā)明的基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器及安全設(shè)計(jì)方法和現(xiàn)有技術(shù)相比�����,具有以下有益效果:
1、本發(fā)明突破了國(guó)產(chǎn)(PU和國(guó)產(chǎn)操作系統(tǒng)的優(yōu)化適配和集成技術(shù)�����,解決了國(guó)產(chǎn)處理器��、操作系統(tǒng)在應(yīng)用中存在的若干問(wèn)題��,并將安全可信模塊成功加入到硬件系統(tǒng)中���,從而實(shí)現(xiàn)了整機(jī)系統(tǒng)的安全可信�����,可以廣泛應(yīng)用于黨政軍�����、云計(jì)算�����、教育�、科研單位等行業(yè);本發(fā)明采用國(guó)產(chǎn)64位ARM處理器,搭配國(guó)產(chǎn)B1S固件�����、國(guó)產(chǎn)Linux操作系統(tǒng)和國(guó)產(chǎn)可信密碼模塊����,從服務(wù)器CPU開(kāi)始,到B1S�、操作系統(tǒng)及應(yīng)用程序,提高了整個(gè)系統(tǒng)進(jìn)行自主可控和安全可信性��;
2��、本發(fā)明根據(jù)系統(tǒng)建設(shè)的需求出發(fā)�����,構(gòu)建以可信計(jì)算體系和國(guó)產(chǎn)化為核心的服務(wù)器系統(tǒng)���,為關(guān)鍵業(yè)務(wù)系統(tǒng)提供可控、可信和安全的運(yùn)行環(huán)境;采用全國(guó)產(chǎn)化ARM服務(wù)器平臺(tái)���,以可信密碼模塊為根基����,構(gòu)建從服務(wù)器硬件開(kāi)始,到B1S�����、操作系統(tǒng)��、應(yīng)用程序的完整信任鏈��,防止內(nèi)部惡意用戶(hù)的違規(guī)操作���,以及APT攻擊��,全面提升關(guān)鍵業(yè)務(wù)系統(tǒng)的可控和安全能力����;
3�、本發(fā)明在國(guó)內(nèi)首次實(shí)現(xiàn)了將可信計(jì)算應(yīng)用于全國(guó)產(chǎn)64位ARM服務(wù)器平臺(tái),并搭載國(guó)產(chǎn)可信操作系統(tǒng)�,與目前國(guó)產(chǎn)可信服務(wù)器相比,具有性能高和功耗低的特點(diǎn)�;另外�,本發(fā)明將可信計(jì)算與安全技術(shù)進(jìn)行有效結(jié)合�����,為業(yè)務(wù)系統(tǒng)提供更全面的技術(shù)防護(hù)措施��。
[0012]設(shè)計(jì)合理����、結(jié)構(gòu)簡(jiǎn)單、易于加工�、體積小、使用方便�、一物多用等特點(diǎn),因而���,具有很好的推廣使用價(jià)值��。
【附圖說(shuō)明】
[0013]下面結(jié)合附圖對(duì)本發(fā)明進(jìn)一步說(shuō)明��。
[0014]附圖1為基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器結(jié)構(gòu)框圖�����;
附圖2為基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器硬件系統(tǒng)的原理框圖;
附圖3為基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器的安全設(shè)計(jì)方法的流程框圖。
【具體實(shí)施方式】
[0015]下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明��。
[0016]如附圖1所示����,本發(fā)明的基于國(guó)產(chǎn)64位ARM處理器的服務(wù)器,其結(jié)構(gòu)包括該國(guó)產(chǎn)服務(wù)器包括CPU及主板���、管理控制單元���、供電單元和PCIE擴(kuò)展單元,還包括國(guó)產(chǎn)操作系統(tǒng)�、國(guó)產(chǎn)B1S固件、國(guó)產(chǎn)可信密碼模塊以及機(jī)箱�����。其中�����,國(guó)產(chǎn)