一种基于服务器的可信度量装置及主板的制作方法

1.本技术涉及数据安全技术领域，具体而言，涉及一种基于服务器的可信度量装置及主板。


背景技术：

2.目前，在国家信息安全推进的大背景下，信息安全问题日益引起重视，加强信息安全建设刻不容缓。中国芯片技术高速发展，性能已接近国际先进水平，满足电子政务等应用领域需求，实现“自主研发”和“安全可信”的深度融合。基于自研芯片的服务器已经在关键基础设施领域完成百万套量级的批量应用，形成了包含2000家以上单位的自主生态体系，应用软件配套逐步补齐。但是，在高性能服务器处理器内并没有考虑到数据传输安全，容易成为服务器病毒的目标，导致数据被盗取。


技术实现要素：

3.有鉴于此，本技术的目的在于提供一种基于服务器的可信度量装置及主板，能够在基于服务器的可信度量装置中嵌入可信度量模块，以解决现有技术中存在的在高性能服务器处理器内并没有考虑到数据传输安全，容易成为服务器病毒的目标，导致数据容易被盗取的问题，达到保证数据安全的效果。
4.第一方面，本技术实施例提供了一种基于服务器的可信度量装置，所述度量装置包括：处理器、可信度量模块、总线开关控制模块、逻辑控制模块和数据输入输出模块；所述处理器通过串行扩展总线与所述可信度量模块连接，所述可信度量模块一端通过第一串行外设接口与所述总线开关控制模块连接，另一端通过第一通用输入输出端口与所述逻辑控制模块连接，所述逻辑控制模块通过第二串行外设接口和第二通用输入输出端口与所述处理器连接，所述总线开关控制模块通过第三串行外设接口与所述数据输入输出模块连接，所述总线开关控制模块还通过第四串行外设接口与所述逻辑控制模块连接；其中，可信度量模块在开机时，通过所述总线开关控制模块从所述数据输入输出模块中获取度量数据以及从所述处理器中获取可信数据，当所述可信度量模块的数据对比结果为可信时，所述逻辑控制模块接收所述可信度量模块发送的复位主板信号，并通过spi总线实现高低电平转换，以使所述处理器和所述可信度量模块上电，来完成可信度量工作。
5.可选地，当所述处理器包括至少两个时，相邻两个所述处理器之间通过多路互联总线连接，且任意一个处理器分别与所述可信度量模块和所述逻辑控制模块连接。
6.可选地，所述可信度量装置还包括至少一个数据存储模块；所述数据存储模块的数量与所述处理器的数量相同，且所述数据存储模块通过系统总线与所述处理器一一对应连接。
7.可选地，所述处理器采用型号为飞腾s2500的芯片。
8.可选地，所述可信度量模块采用型号为tpcm-x801-c3的芯片；其中，所述可信度量模块，用于通过所述总线开关控制模块从所述数据输入输出模块中获取度量数据以及从所
述处理器中获取可信数据，并将获取到的可信数据和度量数据进行对比，得到数据对比结果。
9.可选地，所述逻辑控制模块采用型号为ef2l25bg256b的芯片；其中，所述逻辑控制模块用于当所述可信度量模块的数据对比结果为可信时，接收所述可信度量模块发送的复位主板信号，根据所述复位主板信号，实现第二串行外设接口与第二通用输入输出端口的电平转换，以向所述处理器供电，同时，向所述可信度量模块发送上电复位信号；所述逻辑控制模块，还用于当所述可信度量模块的数据对比结果为不可信时，接收所述可信度量模块发送的关机信号，以控制所述可信度量装置关机。
10.可选地，所述总线开关控制模块采用型号为sn74cbtlv3257的芯片；所述总线开关控制模块，用于在所述可信度量装置通电时，允许所述数据输入输出模块向所述可信度量模块发送度量数据；所述总线开关控制模块，还用于当所述可信度量模块的数据对比结果为不可信时，根据所述可信度量模块发送的禁止访问指令限制所述处理器访问所述数据输入输出模块。
11.可选地，所述数据输入输出模块采用型号为w25q128jvf的芯片；所述数据输入输出模块，用于通过所述总线开关控制模块向所述可信度量模块发送度量数据。
12.第二方面，本技术实施例还提供了一种主板，该主板包含上述任意一项所述的可信度量装置，所述可信度量装置设置在所述印刷电路板上。
13.本技术实施例提供的基于服务器的可信度量装置及主板，提供了一种能够通过可信度量模块解决现有技术中存在的没有数据保护装置容易成为服务器病毒的目标，导致数据容易被盗取的问题，达到保证数据安全的效果。本技术的服务器中的可信度量装置可以在处理器通电前对装置进行可信检测，以确定服务器是否可能受到病毒攻击，从而确保处理器内数据的安全，并且，只需要在服务器中加入一个可信度量模块，不需要大幅度更改原有的设计，其连接方式和数据检测方式可以兼容多种数据，使设计实现起来简单便捷，且成本较低。
14.为使本技术的上述目的、特征和优点能更明显易懂，下文特举较佳实施例，并配合所附附图，作详细说明如下。
附图说明
15.为了更清楚地说明本技术实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本技术的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。其中：
16.图1为本技术实施例所提供的一种基于服务器的可信度量装置的结构示意图；
17.图2为本技术实施例所提供的另一种基于服务器的可信度量装置的结构示意图。
具体实施方式
18.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本技术实
施例的组件可以以各种不同的配置来布置和设计。因此，以下对在附图中提供的本技术的实施例的详细描述并非旨在限制要求保护的本技术的范围，而是仅仅表示本技术的选定实施例。基于本技术的实施例，本领域技术人员在没有做出创造性劳动的前提下所获得的每个其他实施例，都属于本技术保护的范围。
19.首先，对本技术可适用的应用场景进行介绍。本技术可应用于服务器。
20.经研究发现，基于自研芯片的服务器已经在关键基础设施领域完成百万套量级的批量应用；形成了包含2000家以上单位的自主生态体系，应用软件配套逐步补齐。但是，在高性能服务器内并没有考虑到数据传输安全，容易成为服务器病毒的目标，导致数据被盗取。
21.基于此，本技术实施例提供了一种基于服务器的可信度量装置，以解决现有技术中存在的没有数据保护装置容易成为服务器病毒的目标，导致数据容易被盗取的问题，达到保证数据安全的效果。
22.请参阅图1，图1为本技术实施例所提供的一种基于服务器的可信度量装置的结构示意图。如图1中所示，本技术实施例提供的可信度量装置100，包括：处理器101、逻辑控制模块102、可信度量模块103、总线开关控制模块104、数据输入输出模块105。
23.具体的，处理器101与可信度量模块103通过串行扩展总线连接，处理器101根据可信度量模块103的可信数据请求，通过串行扩展总线将可信数据发送至可信度量模块103。
24.示例性的，处理器101为飞腾s2500处理器、串行扩展总线为 pcie(peripheral component interconnect express)总线、可信度量模块为tpcm (trusted platform control module)模块。可信度量装置在开机时，tpcm 模块通过pcie总线向飞腾s2500处理器请求可信数据，飞腾s2500处理器根据可信数据请求通过pcie总线向tpcm模块发送可信数据。
25.可选地，可信度量模块采用型号为tpcm-x801-c3的芯片。
26.如图1所示，可信度量模块103连接总线开关控制模块104、总线开关控制模块104连接数据输入输出模块105。
27.其中，可信度量模块在开机时，通过所述总线开关控制模块从所述数据输入输出模块中获取度量数据以及从所述处理器中获取可信数据。
28.具体的，在可信度量装置通电时，总线开关控制模块104允许可信度量模块103通过第一串行外设接口接收数据，并且，允许数据输入输出模块105通过第三串行外设接口向可信度量模块103发送度量数据。
29.示例性的，总线开关控制模块104为bus switch模块、数据输入输出模块为bios(basic input output system)模块。可信度量装置在开机时， bios模块通过spi(serial peripheral interface)总线和bus switch模块向 tpcm模块发送度量数据，可信度量模块103接收到可信数据和度量数据后，基于可信度量模块内部集成基于国产安全算法和/或基于国际安全算法的密码算法核对可信数据和度量数据进行对比，得到数据对比结果。
30.这里，可信度量模块内部集成的密码算法核包括三种情况：可以集成基于国产安全算法的密码算法核，可以集成基于国际安全算法的密码算法核，也可以集成基于国产安全算法和国际安全算法的密码算法核。
31.可选地，总线开关控制模块采用型号为sn74cbtlv3257的芯片。
32.如图1所示，逻辑控制模块102分别与可信度量模块103和处理器101 连接。
33.具体的，逻辑控制模块102通过第二串行外设接口与处理器101连接，并且，通过可信度量模块103的通用输入输出端口(第一通用输入输出端口)与可信度量模块103连接。
34.这里，通用输入输出端口为gpio(general-purpose input/output)。
35.其中，当所述可信度量模块的数据对比结果为可信时，所述逻辑控制模块接收所述可信度量模块发送的复位主板信号，并通过spi总线实现高低电平转换，以使所述处理器和所述可信度量模块上电，来完成可信度量工作。
36.在一示例中，当可信度量模块103得到的数据对比结果为可信时，通过spi总线向逻辑控制模块102发送复位主板信号，逻辑控制模块102根据复位主板信号，通过spi总线实现高低电平转换，实现处理器101的正常上电开机，同时，逻辑控制模块102通过spi总线向tpcm模块发送上电复位信号，此时tpcm模块完成可信度量工作。
37.例如，当tpcm模块得到的数据对比结果为可信时，通过spi总线向 cpld模块发送复位主板信号，cpld模块基于复位主板信号通过spi总线实现由1.8v到3.3v的电平装换，使飞腾s2500处理器上电开机。同时， cpld模块通过spi总线向tpcm模块发送上电复位信号，tpcm模块接收到上电复位信号完成可信度量工作，等待下一次上电。
38.此外，当tpcm模块得到的数据对比结果为可信时，可信度量模块同时通过spi总线向bus switch模块发送可信信号，bus switch模块接收到可信信号后，允许飞腾s2500处理器通过cpld模块和bus switch模块从bios 模块中读取数据。
39.可选地，bios模块在同一时间只能由一个主设备来访问它。本装置的 bus switch芯片的作用是实现处理器与tpcm模块的spi总线的切换，保证在同一时间只能由一个主设备来访问bios模块。
40.在另一示例中，当tpcm模块得到的数据对比结果为不可信时，通过 spi总线向cpld模块发送关机信号，cpld模块基于关机信号对可信度量装置断电。
41.可选地，上电复位信号、复位主板信号和关机信号可以由一根spi总线传输也可以由多根spi总线分别传输。
42.可选地，tpcm模块与bus switch模块连接的spi总线可以为一根spi 总线，也可以由多根spi总线分别传输。
43.请参阅图2，图2为本技术实施例所提供的另一种基于服务器的可信度量装置的结构示意图。如图2中所示，本技术实施例提供的可信度量装置 200，包括：主处理器201、逻辑控制模块202、可信度量模块203、总线开关控制模块204、数据输入输出模块205、从处理器206、第一数据存储模块207和第二数据存储模块208。
44.其中，主处理器201、逻辑控制模块202、可信度量模块203、总线开关控制模块204、数据输入输出模块205的连接方式可以参照图1中可信度量装置的连接方式，并且能达到相同的技术效果，对此不做赘述。
45.如图2所示，主处理器201与从处理器202连接。
46.具体的，主处理器201与从处理器202通过多路互联总线连接，以提高运算效率，以使处理器实现核心数堆叠。
47.例如，主处理器和从处理器均为飞腾s2500处理器、多路互联总线为 fit总线，飞腾s2500主处理器与飞腾s2500从处理器通过fit总线连接。
48.其中，fit总线采用4组x4 lane，即总x16 lane带宽，速率为25gt/s；双路处理器的核心数堆叠，即单个飞腾s2500处理器为64核心，双路堆叠为128核心。
49.可选的，本技术的可信度量装置可以连接多个处理器，且多个处理器中的其中任意一个处理器都可以作为主处理器，分别与可信度量模块和逻辑控制模块连接，多个处理器中除主处理器之外的剩余处理器都可以作为从处理器，与该主处理器连接，以提高运算效率。
50.如图2所示，第一数据存储模块207与主处理器201连接、第二数据存储模块208与从处理器206连接。
51.具体的，第一数据存储模块207与主处理器201通过系统总线连接，用于交互存储数据。
52.可选地，第一数据存储模块采用ddr4 ecc rdimm内存条。
53.这里，飞腾s2500处理器集成有mcu(microcontroller unit)控制器接口，通过mcu控制器接口插槽外接内存条，实现带ecc校验的rdimm插槽。
54.这里，系统总线包含有三种不同功能的总线，即数据总线db(data bus)、地址总线ab(address bus)和控制总线cb(control bus)。如cpu与内存数据间的连线是数据总线，与内存地址间的连线的地址总线，连接控制内存读写管脚的是控制总线。
55.其中，数据总线db用于传送数据信息，也可以指令代码或状态信息或者是一个控制信息；地址总线ab用于传送地址；地址总线ab是专门用来传送地址的，控制总线的传送方向由具体控制信号而定，一般是双向的，控制总线的位数要根据系统的实际控制需要而定。
56.第二数据存储模块208与从处理器206的连接方式可以参照第一数据存储模块207与主处理器201的连接方式，并且能达到相同的技术效果，对此不做赘述。
57.本技术实施例提供的一种基于服务器的可信度量装置，与现有技术中的高性能服务器相比，本技术通过可信度量模块解决现有技术中存在的在高性能服务器处理器内并没有考虑到数据传输安全，容易成为服务器病毒的目标，导致数据容易被盗取的问题，达到保证数据安全的效果。
58.最后应说明的是：以上所述实施例，仅为本技术的具体实施方式，用以说明本技术的技术方案，而非对其限制，本技术的保护范围并不局限于此，尽管参照前述实施例对本技术进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本技术揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本技术实施例技术方案的精神和范围，都应涵盖在本技术的保护范围之内。因此，本技术的保护范围应以权利要求的保护范围为准。