[发明专利]一种可信冗余容错计算机系统

说明书

技术领域

本发明涉及一种高可信、高可靠计算机系统，属于安全控制技术领域。

背景技术

随着计算机技术的快速发展，在航空、航天、军事和工业控制等领域，以及一些有着“7×24”不间断运营需求的关键领域，大量使用计算机作为系统控制设备。随着工程系统的规模和复杂性日益增加，这类系统一旦发生不可信、不可靠问题就有可能造成人员和财产的巨大损失。例如，2011年伊朗不断发生的核安全事故，以及美国无人机地面控制系统被恶意代码入侵事件。

安全可信、持久可靠是用户对计算机控制系统的要求。由于可信计算技术的引入，使得系统在可靠性方面的要求也变得更为迫切，尤其是对一些重要的存储设备。为此，本发明将可信计算技术与容错技术相结合，可以在一定程序上提高复杂计算机控制系统的可靠性和安全性。

发明内容

本发明的目的在于提供一种可信冗余容错计算机系统，通过在每套子系统中加入TCM信任根模块，提供计算机的软硬件保护功能，确保计算机的安全可信；通过冗余热备技术进行系统容错，提高整机系统的任务可靠性。

为达到以上目的，本发明在每一套子系统的硬件平台中植入TCM模块构建信任根，并通过信任链机制从物理硬件底层开始将信任延伸到用户应用层面，为用户提供可信的执行环境保障；，在计算机开机启动时采用插卡开机方式建立系统开机前强制身份认证机制，以防止系统遭外人冒用；利用TCM提供的密码服务功能，对处理和存储的敏感数据加以硬件级的保护，防止恶意用户对涉密数据的破坏和窃取。

在可靠性方面，通过在一个机箱中配置两套可信计算机子系统组成热备份系统，实现冗余容错。机箱中的两套可信计算机子系统，组成A、B机系统，两套系统之间具有心跳检测和数据同步机制。平时只有一机在线参与业务，在一机故障时由另一机接替工作。由心跳服务器负责发现故障并执行失效切换。失效切换后，服务和应用将在另一机继续运行，应用程序可以根据数据库中保存的检查点信息恢复到最近的运行状态。由失效切换模块完成接口电路切换。

附图说明

图1为本发明的可信冗余容错计算机系统的连接示意图；

图2为本发明的可信计算机主模块与TCM模块之间的适配图；

图3为本发明的可信冗余容错计算机系统的工作原理图；

图4为本发明的切换控制电路原理图；

图5为本发明的可信冗余容错计算机系统的失效切换流程示意图；

图6为本发明的失效切换模块工作原理图；

具体实施方式

参看图1，本系统采用了双冗余/双Active/高可用集群方式，采用CPCI架构，电源采用1+1冗余模式。

参看图2，在每套可信计算机子系统中，TCM与主板BIOS、CPU之间通过扩展一个中等规模的FPGA，实现TCM、BIOS和处理器系统之间的总线接口转换和总线开关控制。具体如下：

1)TCM通过SPI与FPGA连接，经FPGA转换为LPC后，与BIOS、CPU连接，实现主动度量。

2)TCM自定义总线接口PSRAM通过FPGA转换为PCI。CPU可以通过PCI总线实现对TCM的可信服务的访问与调用。

3)CPU复位信号接入到FPGA，受TCM的控制。上电时TCM先启动，并使CPU处于复位状态。

4)BIOS通过LPC挂接到FPGA上，FPGA通过LPC与CPU双向连接。FPGA内部的LPC总线开关将BIOS与CPU隔离。

5)TCM启动后，首先对BIOS进行度量，度量通过后，FPGA内部的LPC总线开关闭合。CPU读取BIOS的启动配置信息，系统正常启动。

可信计算机子系统A和可信计算机子系统B同时工作，但同时只有一个子系统参与业务运行。参与业务运行的子系统称为主控子系统，另一套处于开机状态但不运行业务的子系统称为备份子系统。主、备子系统之间的切换可以通过外部切换开关进行手动触发，或通过心跳技术在认为主控子系统运行异常之后自动触发。

参看图3，手动触发方式为操作人员根据实际情况需要手动按动外部切换开关实现失效切换。当外部切换开关断开时(默认状态)，继电器控制端为低电平，继电器将内部控制信号连接到GND端，此时切换控制信号输出为低电平；当外部切换开关闭合时，继电器控制端为高电平，继电器将内部控制信号连接到+5V，此时切换控制信号输出为高电平。失效切换模块根据收到的外部切换控制信号对接口电路进行切换。