地址:北京市昌平區(qū)回龍觀北京國際信息產(chǎn)業(yè)基地發(fā)展路1號院(集智達大廈5層)
郵編:102206
電話:010-81909399
傳真:010-81909456
網(wǎng)址:http://www.gemotech.cn
E-mail:marketing@gemotech.cn
網(wǎng)絡(luò)安全主機是網(wǎng)絡(luò)信息安全系統(tǒng)的基礎(chǔ),廣泛應(yīng)用于網(wǎng)絡(luò)入侵檢測及防護系統(tǒng)、防火墻系統(tǒng)、安全審計系統(tǒng)、綜合威脅探針系統(tǒng)、安全無線防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、郵件安全網(wǎng)關(guān)、安全隔離與信息交換系統(tǒng)、郵件高級防護系統(tǒng)、網(wǎng)絡(luò)安全高級檢測等系統(tǒng)中。
當前這些系統(tǒng)的網(wǎng)絡(luò)安全主機普遍采用 X86 +WINDOWS/開源LINUX或NXP QorIQ通信處理器+開源LINUX等系統(tǒng)解決方案,硬件、BIOS、OS都是來自國外廠家,存在“后門”、“漏洞”、“斷供”三個致命風險。
研發(fā)自主可控安全的網(wǎng)絡(luò)安全主機至關(guān)重要,在自主可控CPU及操作系統(tǒng)方面,目前可選擇的也很多,CPU方面主要有飛騰、龍芯、海光、兆芯及鯤鵬等,龍芯性能相對弱整體占比小,海光、兆芯主要做服務(wù)器端且是X86路線,鯤鵬由于眾所周知的原因受限供貨不足,相較而言飛騰采用ARM架構(gòu),功耗低,生態(tài)較為健全;操作系統(tǒng)方面主要有麒麟、統(tǒng)信UOS等,統(tǒng)信UOS目前在金融領(lǐng)域有較多應(yīng)用,在網(wǎng)絡(luò)安全行業(yè)則是麒麟系統(tǒng)占多數(shù)。
中國電子集團推出了基于飛騰CPU+麒麟操作系統(tǒng)的PK(Phytium-Kylin)體系,可以建立起自主可控安
全基座。麒麟操作系統(tǒng)能有效應(yīng)對“后門”、“漏洞”兩大致命風險,而使用國產(chǎn)自己可控的芯片如飛騰CPU正是應(yīng)對“斷供”的不二選擇,它們正是構(gòu)建網(wǎng)絡(luò)安全主機的理想選擇。
1網(wǎng)絡(luò)安全主機的PK體系方案
網(wǎng)絡(luò)安全主機主要是對以太網(wǎng)數(shù)據(jù)進行轉(zhuǎn)發(fā)及管理,硬件方面主要包括飛騰CPU、內(nèi)存、硬盤、TPCM卡、網(wǎng)卡;軟件方面包括麒麟操作系統(tǒng)、DPDK、應(yīng)用程序。PK體系是網(wǎng)絡(luò)安全主機軟硬件的基石,整機框圖見圖1:
1.1采用內(nèi)置安全的CPU
研發(fā)網(wǎng)絡(luò)安全主機平臺采用FT-2000/4或 D2000/8 CPU兩款CPU,這兩款CPU 支持內(nèi)置安全機制,支撐系統(tǒng)安全,包括密碼加速引擎、可信執(zhí)行環(huán)境、安全存儲、固件管理、硬件漏洞免疫、抗物理攻擊。在此基礎(chǔ)上,網(wǎng)安版還支持安全啟動、密鑰管理、生命周期管理、量產(chǎn)注入等安全增強機制。
1.2采用安全操作系統(tǒng)
近幾年,國產(chǎn)軟硬件不斷取得可喜的進步。麒麟軟件有著40年的研發(fā)和20年的產(chǎn)業(yè)化推廣歷史,是唯一一個通過CMMI5級質(zhì)量評估的操作系統(tǒng)企業(yè),外對OpenStack社區(qū)的貢獻全球第四、中國第一旗下的銀河麒麟操作系統(tǒng)連續(xù)9年位列中國Linux市場占有率第一名,在嫦娥探月、國家電網(wǎng)、北京地鐵、航空公司客票系統(tǒng)等都可以看到它的身影,并于2019年獲得了國家科技進步一等獎。銀河麒麟操作系統(tǒng)V10,擁有六大優(yōu)勢,分別是性能領(lǐng)先、生態(tài)豐富、體驗提升、云端賦能、融入移動、內(nèi)生安全。特別是性能方面,官方聲稱在UnixBench 2D、3D測試中,相比同類產(chǎn)品性能高出17%,尤其是3D方面最高可領(lǐng)先397%!麒麟操作系統(tǒng)具有高安全、高可靠的優(yōu)勢,符合《GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》中第四級結(jié)構(gòu)化保護級的要求,是目前我國通過認證的安全等級最高的操作系統(tǒng)。已廣泛應(yīng)用于軍工、政府、金融、電力、教育、大型企業(yè)等眾多領(lǐng)域,為我國的信息化建設(shè)保駕護航。也是首家通過公安部信息安全產(chǎn)品檢測中心第四級結(jié)構(gòu)化保護級安全認證中國人民解放軍信息安全測評中心軍用B+級安全認證,是目前國內(nèi)安全等級最高的操作系統(tǒng)。
1.3 BIOS啟動
計算機系統(tǒng)中BIOS是連接硬件和軟件的關(guān)鍵組件,也是系統(tǒng)安全性驗證的重要環(huán)節(jié),安全主機采用國產(chǎn)UEFI并加入可信啟動驗證,能夠確保網(wǎng)絡(luò)安全主機安全可靠的正常工作及引導(dǎo)系統(tǒng)的工作。
1.4 采用TPCM卡可信平臺控制模塊
FT-2000/4有網(wǎng)安版的CPU,可支持可信計算,但是需要專門占用一個ARM核來進行可信計算,少一個核對于網(wǎng)絡(luò)轉(zhuǎn)發(fā)及數(shù)據(jù)處理是很致命的,故采用標準版飛騰CPU加上外置可信卡就成為了最好的選擇。
可信華泰TPCM卡為M.2接口,采用PCIE進行通迅,可以為計算機提供可信根,讓可信平臺模塊具有對平臺資源進行控制的功能,具有主動度量功能,實現(xiàn)平臺到網(wǎng)絡(luò)的可信擴展,以確保網(wǎng)絡(luò)的可信。
1.5 國產(chǎn)化率高
安全主機其它硬件配置方面,電源采用長城ATX電源,內(nèi)存可支持紫光、威捷科等國產(chǎn)DDR4內(nèi)存條,硬盤可選用威捷科、科美、大唐存儲等國產(chǎn)硬盤廠家的產(chǎn)品,采用國產(chǎn)高云FPGA,網(wǎng)卡方面采用的是同樣具有自有知識產(chǎn)權(quán)北京網(wǎng)迅科技有限公司的以太網(wǎng)控制器,完美支持DPDK,轉(zhuǎn)發(fā)速率可達到線速,在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)虛擬化等方面達到較高水平,具有極高的國產(chǎn)化率。
1.6 網(wǎng)絡(luò)安全主機設(shè)計實施方案
具體的網(wǎng)絡(luò)安全主機設(shè)計方案結(jié)構(gòu)框圖如圖2所示:
圖2 網(wǎng)絡(luò)安全主機結(jié)構(gòu)框圖
其中安全主板包括CPU,內(nèi)存,TPCM卡插槽、PCIE擴展插槽等,安全主板系統(tǒng)設(shè)計框圖見圖3:
圖3 網(wǎng)絡(luò)安全主機系統(tǒng)框圖
安全主板實現(xiàn)原理簡述如下:
1.6.1 CPU模塊
CPU為飛騰公司的FT-2000/4,主頻2.6GHz,支持 ARM v8 64 位指令系統(tǒng)并兼容 32 位指令,支持基于域隔離的安全機制,支持可信啟動,集成了DDR4內(nèi)存控制器、PCIE控制器、SPI/LPC/I2C/UART等總線接口,集成溫度傳感器。
1.6.2 DDR內(nèi)存模塊
FT-2000/4支持2個DDR4 通道,最高速率支持3200。安全主板采用標準的DDR4 DIMM條設(shè)計,可支持2個DIMM條,最大支持64GB內(nèi)存,可以使用UDIMM及RDIMM內(nèi)存條。
1.6.3 SATA存儲模塊
安全主板通過PCIE轉(zhuǎn)SATA芯片,可支持4路SATA接口。滿足客戶系統(tǒng)的存儲及用戶數(shù)據(jù)的存儲,若有需要加入RAID卡后,也可做數(shù)據(jù)備份。
1.6.4 可信TPCM接口模塊
可信TPCM模塊對安全主機主板的上電控制及啟動控制有嚴格的要求,TPCM卡的工作流程如下:
(1)安全主機的FPGA控制系統(tǒng)上電,并確保TPCM卡首先加電同時使CPU處于復(fù)位狀態(tài),TPCM加電后進行自檢,完成狀態(tài)檢查。
(2)FPGA控制SPI SWITCH使得TPCM可以讀取BIOS代碼,TPCM對BIOS進行度量,并將度量結(jié)果存儲在TPCM中,在UEFI中CPU與TPCM將會對度量結(jié)果進行交互判斷。
(3)TPCM將控制權(quán)交給CPU,TPCM變?yōu)橐粋€控制設(shè)備,CPU通過PCIE可以與TPCM卡進行高速通訊,為計算過程提供密碼服務(wù)或者可信服務(wù)。
為滿足這些要求,安全主機主板使用了國產(chǎn)高云FPGA對系統(tǒng)電源上電時序及TPCM卡進行控制,實現(xiàn)BIOS芯片的連接到TPCM卡還是CPU的切換,TPCM卡與CPU間通訊的邏輯解析。
工作流程如圖4所示:
圖4 TPCM工作流程圖
1.6.4 網(wǎng)卡模塊
主板的PCIE擴展插槽可以插入網(wǎng)卡模塊,網(wǎng)卡模塊支持1G、10G等多種不同組合的以太網(wǎng),采用網(wǎng)訊的WX1860及SP1000A網(wǎng)絡(luò)芯片,支持第三代BYPASS智能控制。采用標準PCIE X8接口定義,客戶可以根據(jù)現(xiàn)場情況靈活選擇網(wǎng)卡型號。
1.7 網(wǎng)絡(luò)安全主機
網(wǎng)絡(luò)安全主機的網(wǎng)絡(luò)性能十分關(guān)鍵,通過對安全主
機進行RFC2544測試,進行吞吐量,背對背,幀丟失以及幀延遲的網(wǎng)絡(luò)性能評估,可以驗證該方案是否可以滿足要求。
我司在多種CPU及不同系統(tǒng)平臺下,使用網(wǎng)迅SP1000A萬兆網(wǎng)卡,進行了網(wǎng)絡(luò)性能對比測試,結(jié)果如表1所示:
表1: 網(wǎng)絡(luò)安全主機性能表
CPU | OS | RFC-2544 吞吐量 | |||||
64B | 128B | 256B | 512B | 1024B | 1518B | ||
FT-2000/4 | Kylin V10 | 100% | 100% | 100% | 100% | 100% | 100% |
FT-2000/4 | UOS Server | 90% | 100% | 100% | 100% | 100% | 100% |
Hygon 3230 | Kylin V10 | 93% | 100% | 100% | 100% | 100% | 100% |
INTEL CPU-I7-7700+C236 | CentOS-7 | 100% | 100% | 100% | 100% | 100% | 100% |
1.7 結(jié)論
綜上所述,基本PK體系的網(wǎng)絡(luò)安全主機方案,可應(yīng)用于網(wǎng)絡(luò)防火墻、隔離網(wǎng)閘及安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全領(lǐng)域,功能強大,性能強勁,完全滿足網(wǎng)絡(luò)安全主機的要求。
2006-2010 北京集智達智能科技有限責任公司 版權(quán)所有 京ICP備05009661號-3
電話:010-81909399 傳真:010-81909456 E-mail:marketing@gemotech.cn