網(wǎng)絡(luò)安全主機(jī)是網(wǎng)絡(luò)信息安全系統(tǒng)的基礎(chǔ),廣泛應(yīng)用于網(wǎng)絡(luò)入侵檢測及防護(hù)系統(tǒng)����、防火墻系統(tǒng)、安全審計系統(tǒng)����、綜合威脅探針系統(tǒng)、安全無線防御系統(tǒng)�����、抗拒絕服務(wù)系統(tǒng)����、郵件安全網(wǎng)關(guān)、安全隔離與信息交換系統(tǒng)��、郵件高級防護(hù)系統(tǒng)����、網(wǎng)絡(luò)安全高級檢測等系統(tǒng)中。
當(dāng)前這些系統(tǒng)的網(wǎng)絡(luò)安全主機(jī)普遍采用 X86 +WINDOWS/開源LINUX或NXP QorIQ通信處理器+開源LINUX等系統(tǒng)解決方案�����,硬件����、BIOS、OS都是來自國外廠家���,存在“后門”�、“漏洞”、“斷供”三個致命風(fēng)險��。
研發(fā)自主可控安全的網(wǎng)絡(luò)安全主機(jī)至關(guān)重要���,在自主可控CPU及操作系統(tǒng)方面��,目前可選擇的也很多�,CPU方面主要有飛騰���、龍芯���、海光、兆芯及鯤鵬等�����,龍芯性能相對弱整體占比小���,海光�����、兆芯主要做服務(wù)器端且是X86路線����,鯤鵬由于眾所周知的原因受限供貨不足,相較而言飛騰采用ARM架構(gòu)��,功耗低���,生態(tài)較為健全;操作系統(tǒng)方面主要有麒麟���、統(tǒng)信UOS等���,統(tǒng)信UOS目前在金融領(lǐng)域有較多應(yīng)用,在網(wǎng)絡(luò)安全行業(yè)則是麒麟系統(tǒng)占多數(shù)�。
中國電子集團(tuán)推出了基于飛騰CPU+麒麟操作系統(tǒng)的PK(Phytium-Kylin)體系,可以建立起自主可控安
全基座�。麒麟操作系統(tǒng)能有效應(yīng)對“后門”、“漏洞”兩大致命風(fēng)險��,而使用國產(chǎn)自己可控的芯片如飛騰CPU正是應(yīng)對“斷供”的不二選擇�,它們正是構(gòu)建網(wǎng)絡(luò)安全主機(jī)的理想選擇。
1網(wǎng)絡(luò)安全主機(jī)的PK體系方案
網(wǎng)絡(luò)安全主機(jī)主要是對以太網(wǎng)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)及管理,硬件方面主要包括飛騰CPU��、內(nèi)存�����、硬盤�����、TPCM卡���、網(wǎng)卡����;軟件方面包括麒麟操作系統(tǒng)�����、DPDK���、應(yīng)用程序��。PK體系是網(wǎng)絡(luò)安全主機(jī)軟硬件的基石����,整機(jī)框圖見圖1:
1.1采用內(nèi)置安全的CPU
研發(fā)網(wǎng)絡(luò)安全主機(jī)平臺采用FT-2000/4或 D2000/8 CPU兩款CPU,這兩款CPU 支持內(nèi)置安全機(jī)制,支撐系統(tǒng)安全��,包括密碼加速引擎�����、可信執(zhí)行環(huán)境�、安全存儲、固件管理��、硬件漏洞免疫�����、抗物理攻擊����。在此基礎(chǔ)上���,網(wǎng)安版還支持安全啟動���、密鑰管理、生命周期管理、量產(chǎn)注入等安全增強(qiáng)機(jī)制����。
1.2采用安全操作系統(tǒng)
近幾年,國產(chǎn)軟硬件不斷取得可喜的進(jìn)步��。麒麟軟件有著40年的研發(fā)和20年的產(chǎn)業(yè)化推廣歷史����,是唯一一個通過CMMI5級質(zhì)量評估的操作系統(tǒng)企業(yè),外對OpenStack社區(qū)的貢獻(xiàn)全球第四�����、中國第一旗下的銀河麒麟操作系統(tǒng)連續(xù)9年位列中國Linux市場占有率第一名���,在嫦娥探月�����、國家電網(wǎng)�����、北京地鐵���、航空公司客票系統(tǒng)等都可以看到它的身影�����,并于2019年獲得了國家科技進(jìn)步一等獎����。銀河麒麟操作系統(tǒng)V10��,擁有六大優(yōu)勢�,分別是性能領(lǐng)先、生態(tài)豐富��、體驗(yàn)提升�、云端賦能��、融入移動����、內(nèi)生安全。特別是性能方面���,官方聲稱在UnixBench 2D�、3D測試中,相比同類產(chǎn)品性能高出17%����,尤其是3D方面最高可領(lǐng)先397%!麒麟操作系統(tǒng)具有高安全��、高可靠的優(yōu)勢����,符合《GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》中第四級結(jié)構(gòu)化保護(hù)級的要求,是目前我國通過認(rèn)證的安全等級最高的操作系統(tǒng)�����。已廣泛應(yīng)用于軍工��、政府�、金融、電力��、教育�、大型企業(yè)等眾多領(lǐng)域,為我國的信息化建設(shè)保駕護(hù)航��。也是首家通過公安部信息安全產(chǎn)品檢測中心第四級結(jié)構(gòu)化保護(hù)級安全認(rèn)證中國人民解放軍信息安全測評中心軍用B+級安全認(rèn)證�����,是目前國內(nèi)安全等級最高的操作系統(tǒng)。
1.3 BIOS啟動
計算機(jī)系統(tǒng)中BIOS是連接硬件和軟件的關(guān)鍵組件�,也是系統(tǒng)安全性驗(yàn)證的重要環(huán)節(jié),安全主機(jī)采用國產(chǎn)UEFI并加入可信啟動驗(yàn)證�����,能夠確保網(wǎng)絡(luò)安全主機(jī)安全可靠的正常工作及引導(dǎo)系統(tǒng)的工作����。
1.4 采用TPCM卡可信平臺控制模塊
FT-2000/4有網(wǎng)安版的CPU,可支持可信計算,但是需要專門占用一個ARM核來進(jìn)行可信計算����,少一個核對于網(wǎng)絡(luò)轉(zhuǎn)發(fā)及數(shù)據(jù)處理是很致命的,故采用標(biāo)準(zhǔn)版飛騰CPU加上外置可信卡就成為了最好的選擇��。
可信華泰TPCM卡為M.2接口�,采用PCIE進(jìn)行通迅���,可以為計算機(jī)提供可信根����,讓可信平臺模塊具有對平臺資源進(jìn)行控制的功能,具有主動度量功能���,實(shí)現(xiàn)平臺到網(wǎng)絡(luò)的可信擴(kuò)展�,以確保網(wǎng)絡(luò)的可信�����。
1.5 國產(chǎn)化率高
安全主機(jī)其它硬件配置方面�,電源采用長城ATX電源,內(nèi)存可支持紫光����、威捷科等國產(chǎn)DDR4內(nèi)存條,硬盤可選用威捷科�����、科美�、大唐存儲等國產(chǎn)硬盤廠家的產(chǎn)品,采用國產(chǎn)高云FPGA,網(wǎng)卡方面采用的是同樣具有自有知識產(chǎn)權(quán)北京網(wǎng)迅科技有限公司的以太網(wǎng)控制器���,完美支持DPDK����,轉(zhuǎn)發(fā)速率可達(dá)到線速,在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)虛擬化等方面達(dá)到較高水平���,具有極高的國產(chǎn)化率�����。
1.6 網(wǎng)絡(luò)安全主機(jī)設(shè)計實(shí)施方案
具體的網(wǎng)絡(luò)安全主機(jī)設(shè)計方案結(jié)構(gòu)框圖如圖2所示:
圖2 網(wǎng)絡(luò)安全主機(jī)結(jié)構(gòu)框圖
其中安全主板包括CPU,內(nèi)存�,TPCM卡插槽��、PCIE擴(kuò)展插槽等�,安全主板系統(tǒng)設(shè)計框圖見圖3:
圖3 網(wǎng)絡(luò)安全主機(jī)系統(tǒng)框圖
安全主板實(shí)現(xiàn)原理簡述如下:
1.6.1 CPU模塊
CPU為飛騰公司的FT-2000/4,主頻2.6GHz��,支持 ARM v8 64 位指令系統(tǒng)并兼容 32 位指令���,支持基于域隔離的安全機(jī)制��,支持可信啟動�,集成了DDR4內(nèi)存控制器��、PCIE控制器�����、SPI/LPC/I2C/UART等總線接口��,集成溫度傳感器�����。
1.6.2 DDR內(nèi)存模塊
FT-2000/4支持2個DDR4 通道���,最高速率支持3200�。安全主板采用標(biāo)準(zhǔn)的DDR4 DIMM條設(shè)計����,可支持2個DIMM條,最大支持64GB內(nèi)存����,可以使用UDIMM及RDIMM內(nèi)存條。
1.6.3 SATA存儲模塊
安全主板通過PCIE轉(zhuǎn)SATA芯片��,可支持4路SATA接口�。滿足客戶系統(tǒng)的存儲及用戶數(shù)據(jù)的存儲,若有需要加入RAID卡后���,也可做數(shù)據(jù)備份�����。
1.6.4 可信TPCM接口模塊
可信TPCM模塊對安全主機(jī)主板的上電控制及啟動控制有嚴(yán)格的要求���,TPCM卡的工作流程如下:
(1)安全主機(jī)的FPGA控制系統(tǒng)上電���,并確保TPCM卡首先加電同時使CPU處于復(fù)位狀態(tài),TPCM加電后進(jìn)行自檢�,完成狀態(tài)檢查。
(2)FPGA控制SPI SWITCH使得TPCM可以讀取BIOS代碼����,TPCM對BIOS進(jìn)行度量,并將度量結(jié)果存儲在TPCM中��,在UEFI中CPU與TPCM將會對度量結(jié)果進(jìn)行交互判斷��。
(3)TPCM將控制權(quán)交給CPU�����,TPCM變?yōu)橐粋€控制設(shè)備����,CPU通過PCIE可以與TPCM卡進(jìn)行高速通訊�,為計算過程提供密碼服務(wù)或者可信服務(wù)���。
為滿足這些要求,安全主機(jī)主板使用了國產(chǎn)高云FPGA對系統(tǒng)電源上電時序及TPCM卡進(jìn)行控制���,實(shí)現(xiàn)BIOS芯片的連接到TPCM卡還是CPU的切換���,TPCM卡與CPU間通訊的邏輯解析。
工作流程如圖4所示:
圖4 TPCM工作流程圖
1.6.4 網(wǎng)卡模塊
主板的PCIE擴(kuò)展插槽可以插入網(wǎng)卡模塊����,網(wǎng)卡模塊支持1G、10G等多種不同組合的以太網(wǎng)��,采用網(wǎng)訊的WX1860及SP1000A網(wǎng)絡(luò)芯片�,支持第三代BYPASS智能控制。采用標(biāo)準(zhǔn)PCIE X8接口定義�����,客戶可以根據(jù)現(xiàn)場情況靈活選擇網(wǎng)卡型號�����。
1.7 網(wǎng)絡(luò)安全主機(jī)
網(wǎng)絡(luò)安全主機(jī)的網(wǎng)絡(luò)性能十分關(guān)鍵,通過對安全主
機(jī)進(jìn)行RFC2544測試�����,進(jìn)行吞吐量��,背對背���,幀丟失以及幀延遲的網(wǎng)絡(luò)性能評估�����,可以驗(yàn)證該方案是否可以滿足要求���。
我司在多種CPU及不同系統(tǒng)平臺下,使用網(wǎng)迅SP1000A萬兆網(wǎng)卡���,進(jìn)行了網(wǎng)絡(luò)性能對比測試����,結(jié)果如表1所示:
表1: 網(wǎng)絡(luò)安全主機(jī)性能表
CPU | OS | RFC-2544 吞吐量 |
64B | 128B | 256B | 512B | 1024B | 1518B |
FT-2000/4 | Kylin V10 | 100% | 100% | 100% | 100% | 100% | 100% |
FT-2000/4 | UOS Server | 90% | 100% | 100% | 100% | 100% | 100% |
Hygon 3230 | Kylin V10 | 93% | 100% | 100% | 100% | 100% | 100% |
INTEL CPU-I7-7700+C236 | CentOS-7 | 100% | 100% | 100% | 100% | 100% | 100% |
由表中可見�,基本PK體系網(wǎng)絡(luò)安全主機(jī)以太網(wǎng)性能強(qiáng)大��,吞吐量都可以到對應(yīng)速率的100%,足以滿足網(wǎng)絡(luò)安全行業(yè)對以太網(wǎng)的性能要求��。1.7 結(jié)論
綜上所述��,基本PK體系的網(wǎng)絡(luò)安全主機(jī)方案����,可應(yīng)用于網(wǎng)絡(luò)防火墻�����、隔離網(wǎng)閘及安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全領(lǐng)域�����,功能強(qiáng)大����,性能強(qiáng)勁���,完全滿足網(wǎng)絡(luò)安全主機(jī)的要求����。
