陸祖寶，田宗秘，張亞坤，余世勇

(北京集智達智能科技有限責(zé)任公司，北京 102206)

0 引言

網(wǎng)絡(luò)安全主機是網(wǎng)絡(luò)信息安全系統(tǒng)的基礎(chǔ)，廣泛應(yīng)用于網(wǎng)絡(luò)入侵檢測及防護系統(tǒng)、防火墻系統(tǒng)、安全審計系統(tǒng)、綜合威脅探針系統(tǒng)、安全無線防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、郵件安全網(wǎng)關(guān)、安全隔離與信息交換系統(tǒng)、郵件高級防護系統(tǒng)、網(wǎng)絡(luò)安全高級檢測等系統(tǒng)中。

當(dāng)前這些系統(tǒng)的網(wǎng)絡(luò)安全主機普遍采用X86+Windows/開源Linux 或NXP QorIQ 通信處理器+開源Linux等系統(tǒng)解決方案，硬件、BIOS、OS 都是來自國外廠家，存在“后門”、“漏洞”、“斷供”三個致命風(fēng)險。

研發(fā)自主創(chuàng)新的網(wǎng)絡(luò)安全主機至關(guān)重要。在自主CPU 及操作系統(tǒng)方面，目前可選擇的也很多。CPU 方面主要有飛騰、龍芯、海光、兆芯及鯤鵬等，龍芯性能相對弱整體占比小，海光、兆芯主要做服務(wù)器端且是X86 路線，鯤鵬受限供貨不足。相較而言飛騰采用ARM 架構(gòu)，功耗低，生態(tài)較為健全。操作系統(tǒng)方面主要有麒麟、統(tǒng)信UOS 等。統(tǒng)信UOS 目前在金融領(lǐng)域有較多應(yīng)用，在網(wǎng)絡(luò)安全行業(yè)則是麒麟系統(tǒng)占多數(shù)。

中國電子集團推出了基于飛騰CPU+麒麟操作系統(tǒng)的PKS 體系，可以建立起自主創(chuàng)新安全基座。麒麟操作系統(tǒng)能有效應(yīng)對“后門”、“漏洞”兩大致命風(fēng)險，而使用國產(chǎn)芯片如飛騰CPU 正是應(yīng)對芯片供應(yīng)鏈問題的不二選擇，它們正是構(gòu)建網(wǎng)絡(luò)安全主機的理想選擇。

1 網(wǎng)絡(luò)安全主機的PKS 體系方案

網(wǎng)絡(luò)安全主機主要是對以太網(wǎng)數(shù)據(jù)進行轉(zhuǎn)發(fā)及管理，硬件方面主要包括飛騰CPU、內(nèi)存、硬盤、TPCM卡、網(wǎng)卡；軟件方面包括麒麟操作系統(tǒng)、DPDK、應(yīng)用程序。PKS 體系是網(wǎng)絡(luò)安全主機軟硬件的基石，整機框圖見圖1。

圖1 網(wǎng)絡(luò)安全主機整體框圖

1.1 采用內(nèi)置安全的CPU

研發(fā)網(wǎng)絡(luò)安全主機平臺采用FT-2000/4 或D2000/8 CPU 兩款CPU，這兩款CPU 支持內(nèi)置安全機制，支撐系統(tǒng)安全，包括密碼加速引擎、可信執(zhí)行環(huán)境、安全存儲、固件管理、硬件漏洞免疫、抗物理攻擊。在此基礎(chǔ)上，網(wǎng)安版還支持安全啟動、密鑰管理、生命周期管理、量產(chǎn)注入等安全增強機制。

1.2 采用安全操作系統(tǒng)

近幾年，國產(chǎn)軟硬件不斷取得可喜的進步。麒麟軟件有著40 年的研發(fā)和20 年的產(chǎn)業(yè)化推廣歷史，是唯一一個通過CMMI5 級質(zhì)量評估的操作系統(tǒng)企業(yè)，對Open-Stack 社區(qū)的貢獻全球第四、中國第一，旗下的銀河麒麟操作系統(tǒng)連續(xù)9 年位列中國Linux 市場占有率第一名，在嫦娥探月、國家電網(wǎng)、北京地鐵、航空公司客票系統(tǒng)等都可以看到它的身影，并于2019 年獲得了國家科技進步一等獎。銀河麒麟操作系統(tǒng)V10 擁有六大優(yōu)勢，分別是性能領(lǐng)先、生態(tài)豐富、體驗提升、云端賦能、融入移動、內(nèi)生安全。特別是性能方面，官方聲稱在UnixBench 2D、3D 測試中，相比同類產(chǎn)品其性能高出17%，尤其是3D 方面最高可領(lǐng)先397%。麒麟操作系統(tǒng)具有高安全、高可靠的優(yōu)勢，符合《GB/T 20272-2006 信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》中第四級結(jié)構(gòu)化保護級的要求，是目前我國通過認證的安全等級最高的操作系統(tǒng)，已廣泛應(yīng)用于政府、金融、電力、教育、大型企業(yè)等眾多領(lǐng)域，為我國的信息化建設(shè)保駕護航。

1.3 BIOS 啟動

計算機系統(tǒng)中BIOS 是連接硬件和軟件的關(guān)鍵組件，也是系統(tǒng)安全性驗證的重要環(huán)節(jié)，安全主機采用國產(chǎn)UEFI 并加入可信啟動驗證，能夠確保網(wǎng)絡(luò)安全主機安全可靠地正常工作及引導(dǎo)系統(tǒng)的工作。

1.4 采用TPCM 卡可信平臺控制模塊

FT-2000/4 有網(wǎng)安版的CPU，可支持可信計算，但是需要專門占用一個ARM 核來進行可信計算，少一個核對于網(wǎng)絡(luò)轉(zhuǎn)發(fā)及數(shù)據(jù)處理是很致命的，故采用標準版飛騰CPU 加上外置可信卡就成為了最好的選擇。

可信華泰TPCM 卡為M.2 接口，采用PCIE 進行通信，可以為計算機提供可信根，讓可信平臺模塊具有對平臺資源進行控制的功能，具有主動度量功能，實現(xiàn)平臺到網(wǎng)絡(luò)的可信擴展，以確保網(wǎng)絡(luò)的可信。

1.5 國產(chǎn)化率高

安全主機其他硬件配置方面，電源采用長城ATX 電源，內(nèi)存可支持紫光、威捷科等國產(chǎn)DDR4 內(nèi)存條，硬盤可選用威捷科、科美、大唐存儲等國產(chǎn)硬盤廠家的產(chǎn)品，采用國產(chǎn)高云FPGA，網(wǎng)卡方面采用的是同樣具有自有知識產(chǎn)權(quán)北京網(wǎng)迅科技有限公司的以太網(wǎng)控制器，完美支持DPDK，轉(zhuǎn)發(fā)速率可達到線速，在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)虛擬化等方面達到較高水平，具有極高的國產(chǎn)化率。

2 網(wǎng)絡(luò)安全主機設(shè)計實施方案

具體的網(wǎng)絡(luò)安全主機設(shè)計方案結(jié)構(gòu)框圖如圖2 所示。其中安全主板包括CPU、內(nèi)存、TPCM 卡插槽、PCIE 擴展插槽等，安全主板系統(tǒng)設(shè)計框圖見圖3。

圖2 網(wǎng)絡(luò)安全主機結(jié)構(gòu)框圖

圖3 網(wǎng)絡(luò)安全主機系統(tǒng)框圖

2.1 CPU 模塊

CPU為飛騰公司的FT-2000/4，主頻為2.6 GHz，支持ARM v8 64 位指令系統(tǒng)并兼容32 位指令，支持基于域隔離的安全機制，支持可信啟動，集成了DDR4 內(nèi)存控制器、PCIE 控制器、SPI/LPC/I2C/UART 等總線接口，集成溫度傳感器。

2.2 DDR 內(nèi)存模塊

FT-2000/4 支持2 個DDR4 通道，最高速率支持3 200 MT/s。安全主板采用標準的DDR4 DIMM 條設(shè)計，可支持2 個DIMM 條，最大支持64 GB 內(nèi)存，可以使用UDIMM 及RDIMM 內(nèi)存條。

2.3 SATA 存儲模塊

安全主板通過PCIE轉(zhuǎn)SATA 芯片，可支持4 路SATA接口。滿足客戶系統(tǒng)的存儲及用戶數(shù)據(jù)的存儲，若有需要加入RAID 卡后，也可做數(shù)據(jù)備份。

2.4 可信TPCM 接口模塊

可信TPCM 模塊對安全主機主板的上電控制及啟動控制有嚴格的要求，TPCM 卡的工作流程如下：

(1)安全主機的FPGA 控制系統(tǒng)上電，并確保TPCM卡首先加電同時使CPU 處于復(fù)位狀態(tài)，TPCM 加電后進行自檢，完成狀態(tài)檢查。

(2)FPGA 控制SPI SWITCH 使得TPCM 可以讀取BIOS代碼，TPCM 對BIOS 進行度量，并將度量結(jié)果存儲在TPCM中，在UEFI 中CPU 與TPCM 將會對度量結(jié)果進行交互判斷。

(3)TPCM 將控制權(quán)交給CPU，TPCM 變?yōu)橐粋€控制設(shè)備，CPU 通過PCIE 可以與TPCM 卡進行高速通信，為計算過程提供密碼服務(wù)或者可信服務(wù)。

為滿足這些要求，安全主機主板使用了國產(chǎn)高云FPGA對系統(tǒng)電源上電時序及TPCM 卡進行控制，實現(xiàn)BIOS芯片的連接到TPCM 卡還是CPU 的切換及TPCM 卡與CPU 間通信的邏輯解析。

TPCM 工作流程如圖4 所示。

圖4 TPCM 工作流程圖

2.5 網(wǎng)卡模塊

主板的PCIE 擴展插槽可以插入網(wǎng)卡模塊，網(wǎng)卡模塊支持1 Gb/s、10 Gb/s 等多種不同組合的以太網(wǎng)，采用網(wǎng)訊的WX1860 及SP1000A 網(wǎng)絡(luò)芯片，支持第三代BYPASS 智能控制。采用標準PCIE X8 接口定義，客戶可以根據(jù)現(xiàn)場情況靈活選擇網(wǎng)卡型號。

3 網(wǎng)絡(luò)安全主機性能

網(wǎng)絡(luò)安全主機的網(wǎng)絡(luò)性能十分關(guān)鍵，通過對安全主機進行RFC2544 測試，進行吞吐量、背對背、幀丟失以及幀延遲的網(wǎng)絡(luò)性能評估，可以驗證該方案是否可以滿足要求。

我司在多種CPU 及不同系統(tǒng)平臺下，使用網(wǎng)迅SP1000A 萬兆網(wǎng)卡，進行了網(wǎng)絡(luò)性能對比測試，結(jié)果如表1 所示。

由表1 可見，基于PKS 體系網(wǎng)絡(luò)安全主機以太網(wǎng)性能強大，吞吐量都可以到對應(yīng)速率的100%,足以滿足網(wǎng)絡(luò)安全行業(yè)對以太網(wǎng)的性能要求。

表1 網(wǎng)絡(luò)安全主機性能表

4 結(jié)論

綜上所述，基本PKS 體系的網(wǎng)絡(luò)安全主機方案可應(yīng)用于網(wǎng)絡(luò)防火墻、隔離網(wǎng)閘及安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全領(lǐng)域，功能強大，性能強勁，完全滿足網(wǎng)絡(luò)安全主機的要求。