技術領域

本實用新型涉及計算機技術領域，特別是計算機硬件體系結構。

背景技術

一直以來，計算機技術發展迅速，CPU、內存的速度不斷攀升，各種外設功能越來越豐富、性能也越來越強大。盡管如此，計算機的體系結構卻沒有發生大的變化。當前，計算機主要采用Intel的X86硬件體系結構，即CPU、FPU、GPU和內存等與北橋芯片連接，I/O設備和接口如USB、IDE、SATA、Audio、LAN、PCI等與南橋芯片連接，南北橋芯片之間采用高速總線連接，如圖1所示。其中，南橋負責控制計算機與各種I/O外設之間的數據交互，并能自動適應各種接口之間的數據傳輸差異，滿足多種數據傳輸方式的需要(如高速數據傳輸、低速數據傳輸等)。

基于Intel?X86體系結構基礎上的軟件應用也越來越豐富，功能也越來越強。隨著應用的不斷豐富，用戶也面臨越來越多的安全風險，如計算機病毒、黑客入侵、數據泄密等，針對這種情況也出現了很多的安全解決方案，但是，這些解決方案更多的是基于軟件層，而不是硬件層。同時，用戶在部署各種安全應用的過程中，不可避免地擔心一個問題，即以CPU為核心的硬件體系結構和以Microsoft操作系統為代表的軟件系統中的關鍵技術均由少數企業所掌握，其安全性無法得到有效的管控。舉例而言，如果對SATA硬盤中的數據進行加解密時，其數據流如圖2所示。

1、加密過程

SATA硬盤中的明文數據被南橋讀出并被送往北橋芯片，北橋芯片將數據交給CPU進行加密運算形成密文，密文被回饋給南橋，南橋將數據輸出至SATA硬盤保存。

2、解密過程

SATA硬盤中的密文數據被南橋讀出并被送往北橋芯片，北橋芯片將數據交給CPU進行解密運算形成明文，明文數據被回饋給南橋，南橋將數據輸出至SATA硬盤保存。

上述加解密過程完全由CPU和操作系統進行控制。在實際應用中，由于CPU和操作系統技術均掌握在少數廠商手中，引發了用戶對其安全性的擔憂。對此，部分用戶采用硬件加密卡來實現硬件加解密，或者自行設計更高安全等級的軟件加解密算法，但是這兩種方案仍然不能避免明文數據流被暴露給CPU，尤其是密鑰信息。

發明內容

針對上述現有技術中存在的缺陷，本實用新型的目的是提供一種計算機硬件體系結構。它采用開放式的體系結構，有效增加硬件級的安全特性，可以在目前CPU和操作系統均被少數企業掌控的情況下更好地解決安全應用的問題。

為了達到上述發明目的，本實用新型的技術方案以如下方式實現：

計算機硬件體系結構，它包括北橋芯片、與北橋芯片連接的多個功能模塊以及多個I/O設備和接口。其結構特點是，它還包括通過高速總線與北橋芯片連接的安全處理單元。安全處理單元包括多個分別與各I/O設備和接口相連接的I/O設備處理單元、CPU和密碼學算法引擎，密碼學算法引擎中約定標準的接口和會話協議。

在上述計算機硬件體系結構中，所述密碼學算法引擎內部的處理單元、固件和算法實現均由各機構、組織或國家自行完成。

在上述計算機硬件體系結構中，所述安全處理單元中I/O設備處理單元包括SATA數據處理單元、IDE數據處理單元、USB設備控制器、網絡數據處理單元、音頻處理單元、PCI總線處理單元以及其它IO數據處理單元。用來與外界的SATA設備、IDE設備、USB設備、LAN設備、Audio設備、PCI設備和其它IO設備進行數據交互。

在上述計算機硬件體系結構中，所述安全處理單元中的密碼學算法引擎包括真隨機數生成器、SMS4算法單元、ECC算法單元、SM3算法單元，密鑰協商協議單元、數字簽名和驗證協議單元以及密鑰存儲和管理單元。

本實用新型由于采用了上述結構，將傳統的南橋芯片改進為安全處理單元(Security?Processing?Unit，SPU)芯片。SPU芯片除了含有完成傳統南橋芯片各種IO功能的部件外，還被植入了獨立的CPU和密碼學算法引擎。同現有技術相比，本實用新型具有如下功能特性和優點：

1、SPU自帶CPU和密碼學算法引擎，SPU控制與各種I/O外設之間的數據交換，并可以對這些數據進行各種密碼學運算。

2、SPU完成的各種數據流控制、加解密、數字簽名和驗證等運算均“獨立完成”，對整個計算機中的主CPU和操作系統而言是透明的。

3、計算機所有對外信息交換均通過SPU進行，因此可以獨立進行可靠的管控，例如設備接入權限控制、數據流加密、數據流簽名、輸出信息增加數字水印等。