一種基于龍芯3A系統的可信驗證方法與流程

本發明屬于國產化計算機信息安全領域，具體涉及一種基于龍芯3A系統的可信驗證方法。

背景技術：

可信實施框架是基于物理信任根、具有主動度量特性的全要素、高安全等級可信實施框架，其涉及硬件層、固件層和操作系統層不同層面安全可信實體的有機集成。在硬件平臺層，通過接入PCI-E 安全測量卡或CPCI 安全測量卡為網絡業務處理板提供可信支撐；在固件層，通過固件可信模塊為基礎固件提供可信支撐；在操作系統層，通過可信支撐軟件為操作系統內核和網絡業務處理軟件提供安全可信支撐，同時結合安全測量卡的支撐接口實現統一的安全認證協議。

技術實現要素：

本發明要解決的技術問題是提供一種基于龍芯3A系統的可信驗證方法。本發明作為硬件物理層信任根，先上電工作,，控制主板電路并與安全測量卡協同完成主動度量功能，達到保護系統BIOS代碼，防止惡意修改啟動代碼，維護計算機安全的目的。

本發明的基于龍芯3A系統的可信驗證方法，所述的方法包括如下內容：當板卡上電時，使能信號拉高，通過信號切換電路將主板復位輸入信號切換至安全測量卡復位輸入信號，對安全測量卡進行初始化復位。復位后，信號切換電路將安全卡輸出復位信號連通至CPU復位輸入信號，并通過安全測量卡將CPU復位輸入信號拉低，將BIOS芯片的LPC信號連接至安全測量卡進行安全度量；待度量完成后，如果度量成功，則安全測量卡控制信號切換電路將BIOS芯片的LPC信號連接至龍芯3A CPU，并拉高CPU復位輸入信號，系統正常上電。

安全測量卡完成測量過程的控制、測量結果的處理；信號切換電路切換信號過程的控制，初始切換邏輯的控制，使能信號在初始上電后對安全測量卡及信號切換電路的控制，信號切換電路對BIOS芯片信號的切換、對主板復位輸入信號及安全卡輸出復位信號的切換，在度量完成后，安全測量卡對信號切換電路的控制；安全測量卡對安全卡輸出復位信號及CPU復位輸入信號的控制。初始化上電后進行度量，并進行度量判斷，若度量判斷成功，則跳轉至成功運行狀態，若度量不成功，則跳轉至不成功狀態，直至系統再次復位后，成功運行狀態和不成功狀態跳轉至初始化上電。

本發明僅由龍芯3A CPU、信號切換電路、BIOS芯片和安全測量卡組成，設計精簡，可靠性高，安全性好，能在上電后三秒內完成度量并正常啟動系統，能精準快速地實現安全度量。

附圖說明

圖1是本發明一種基于龍芯3A系統的可信驗證方法的結構框圖；

圖2是本發明一種基于龍芯3A系統的可信驗證方法的邏輯狀態圖。

具體實施方式

本發明將結合實施例參照附圖進行詳細說明，以便對本發明的目的，特征及優點進行更深入的理解。

如圖1所示，本發明由主板和安全測量卡1組成，其中主板包括龍芯3A CPU 2、信號切換電路3、BIOS芯片4組成。主板與安全測量卡1之間通過LPC總線及復位信號交換數據，達到安全度量目的。

如圖2所示，本發明的安全度量流程如下：

使能信號僅在開機上電瞬間作為安全測量卡1的輸入信號，其余階段都作為安全測量卡1的輸出信號。主板接口部分支持使能信號的輸入、輸出模式。

開機上電初始化5時，“信號切換電路3”將使能信號置為1，連通主板復位輸入信號和安全卡復位輸入信號，連通CPU復位輸入信號和安全卡復位輸出信號，連通BIOS芯片4到安全測量卡1的LPC總線、斷開BIOS芯片4到CPU 2的LPC總線。使能信號作為安全測量卡1的輸入信號，通知安全測量卡1，計算機處于主動度量模式，安全測量卡1隨即將使能信號信號置為輸出態，輸出電平為1。當主板復位輸入信號有效、并復位撤銷時，外部復位結束，安全測量卡1將安全卡復位輸出信號置為無效態，即復位狀態，并執行度量操作6。

如果度量成功7，安全測量卡1將使能信號信號置為0。這時使能信號5作為信號切換電路3的輸入信號，通知信號切換電路3安全測量卡1度量成功，信號切換電路3斷開BIOS芯片4到安全測量卡1的LPC總線，并連通BIOS芯片4到CPU 2的LPC總線，安全測量卡1將安全卡復位輸出信號置為的撤銷狀態。

如果度量不成功8，安全測量卡1仍保持使能信號信號為1，并以指示燈進行告警。這時使能信號作為信號切換電路3的輸入信號，通知信號切換電路3安全測量卡1度量不成功，信號切換電路3保持度量前的狀態。這也意味CPU復位輸入信號無效，即復位狀態，計算機啟動無法進行下去。

這兩種狀態保持至系統再次復位，返回上電初始化狀態5。