網(wǎng)絡安全主機是網(wǎng)絡信息安全系統(tǒng)的基礎����,廣泛應用于網(wǎng)絡入侵檢測及防護系統(tǒng)�、防火墻系統(tǒng)、安全審計系統(tǒng)�、綜合威脅探針系統(tǒng)、安全無線防御系統(tǒng)����、抗拒絕服務系統(tǒng)、郵件安全網(wǎng)關(guān)�����、安全隔離與信息交換系統(tǒng)�����、郵件高級防護系統(tǒng)����、網(wǎng)絡安全高級檢測等系統(tǒng)中����。
當前這些系統(tǒng)的網(wǎng)絡安全主機普遍采用 X86 +WINDOWS/開源LINUX或NXP QorIQ通信處理器+開源LINUX等系統(tǒng)解決方案��,硬件���、BIOS�、OS都是來自國外廠家���,存在“后門”����、“漏洞”�、“斷供”三個致命風險�。
研發(fā)自主可控安全的網(wǎng)絡安全主機至關(guān)重要,在自主可控CPU及操作系統(tǒng)方面��,目前可選擇的也很多����,CPU方面主要有飛騰����、龍芯���、海光�����、兆芯及鯤鵬等���,龍芯性能相對弱整體占比小,海光���、兆芯主要做服務器端且是X86路線�����,鯤鵬由于眾所周知的原因受限供貨不足��,相較而言飛騰采用ARM架構(gòu)�,功耗低�����,生態(tài)較為健全;操作系統(tǒng)方面主要有麒麟��、統(tǒng)信UOS等�����,統(tǒng)信UOS目前在金融領(lǐng)域有較多應用���,在網(wǎng)絡安全行業(yè)則是麒麟系統(tǒng)占多數(shù)�。
中國電子集團推出了基于飛騰CPU+麒麟操作系統(tǒng)的PK(Phytium-Kylin)體系���,可以建立起自主可控安
全基座�。麒麟操作系統(tǒng)能有效應對“后門”����、“漏洞”兩大致命風險�����,而使用國產(chǎn)自己可控的芯片如飛騰CPU正是應對“斷供”的不二選擇���,它們正是構(gòu)建網(wǎng)絡安全主機的理想選擇�。
1網(wǎng)絡安全主機的PK體系方案
網(wǎng)絡安全主機主要是對以太網(wǎng)數(shù)據(jù)進行轉(zhuǎn)發(fā)及管理,硬件方面主要包括飛騰CPU���、內(nèi)存�、硬盤�、TPCM卡、網(wǎng)卡�;軟件方面包括麒麟操作系統(tǒng)、DPDK����、應用程序。PK體系是網(wǎng)絡安全主機軟硬件的基石�����,整機框圖見圖1:
1.1采用內(nèi)置安全的CPU
研發(fā)網(wǎng)絡安全主機平臺采用FT-2000/4或 D2000/8 CPU兩款CPU,這兩款CPU 支持內(nèi)置安全機制��,支撐系統(tǒng)安全�����,包括密碼加速引擎���、可信執(zhí)行環(huán)境��、安全存儲�、固件管理、硬件漏洞免疫���、抗物理攻擊����。在此基礎上�����,網(wǎng)安版還支持安全啟動�����、密鑰管理�����、生命周期管理����、量產(chǎn)注入等安全增強機制。
1.2采用安全操作系統(tǒng)
近幾年�����,國產(chǎn)軟硬件不斷取得可喜的進步����。麒麟軟件有著40年的研發(fā)和20年的產(chǎn)業(yè)化推廣歷史,是唯一一個通過CMMI5級質(zhì)量評估的操作系統(tǒng)企業(yè)���,外對OpenStack社區(qū)的貢獻全球第四�、中國第一旗下的銀河麒麟操作系統(tǒng)連續(xù)9年位列中國Linux市場占有率第一名����,在嫦娥探月、國家電網(wǎng)��、北京地鐵�����、航空公司客票系統(tǒng)等都可以看到它的身影���,并于2019年獲得了國家科技進步一等獎�。銀河麒麟操作系統(tǒng)V10,擁有六大優(yōu)勢����,分別是性能領(lǐng)先、生態(tài)豐富�、體驗提升、云端賦能�、融入移動、內(nèi)生安全����。特別是性能方面,官方聲稱在UnixBench 2D�����、3D測試中�,相比同類產(chǎn)品性能高出17%,尤其是3D方面最高可領(lǐng)先397%��!麒麟操作系統(tǒng)具有高安全���、高可靠的優(yōu)勢�,符合《GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》中第四級結(jié)構(gòu)化保護級的要求�,是目前我國通過認證的安全等級最高的操作系統(tǒng)���。已廣泛應用于軍工�、政府、金融��、電力��、教育�、大型企業(yè)等眾多領(lǐng)域,為我國的信息化建設保駕護航���。也是首家通過公安部信息安全產(chǎn)品檢測中心第四級結(jié)構(gòu)化保護級安全認證中國人民解放軍信息安全測評中心軍用B+級安全認證�����,是目前國內(nèi)安全等級最高的操作系統(tǒng)�。
1.3 BIOS啟動
計算機系統(tǒng)中BIOS是連接硬件和軟件的關(guān)鍵組件�����,也是系統(tǒng)安全性驗證的重要環(huán)節(jié)�,安全主機采用國產(chǎn)UEFI并加入可信啟動驗證,能夠確保網(wǎng)絡安全主機安全可靠的正常工作及引導系統(tǒng)的工作����。
1.4 采用TPCM卡可信平臺控制模塊
FT-2000/4有網(wǎng)安版的CPU,可支持可信計算�����,但是需要專門占用一個ARM核來進行可信計算�����,少一個核對于網(wǎng)絡轉(zhuǎn)發(fā)及數(shù)據(jù)處理是很致命的��,故采用標準版飛騰CPU加上外置可信卡就成為了最好的選擇�。
可信華泰TPCM卡為M.2接口��,采用PCIE進行通迅���,可以為計算機提供可信根�,讓可信平臺模塊具有對平臺資源進行控制的功能��,具有主動度量功能�����,實現(xiàn)平臺到網(wǎng)絡的可信擴展�����,以確保網(wǎng)絡的可信。
1.5 國產(chǎn)化率高
安全主機其它硬件配置方面����,電源采用長城ATX電源�,內(nèi)存可支持紫光、威捷科等國產(chǎn)DDR4內(nèi)存條�,硬盤可選用威捷科、科美����、大唐存儲等國產(chǎn)硬盤廠家的產(chǎn)品,采用國產(chǎn)高云FPGA,網(wǎng)卡方面采用的是同樣具有自有知識產(chǎn)權(quán)北京網(wǎng)迅科技有限公司的以太網(wǎng)控制器����,完美支持DPDK,轉(zhuǎn)發(fā)速率可達到線速���,在網(wǎng)絡安全和網(wǎng)絡虛擬化等方面達到較高水平�,具有極高的國產(chǎn)化率��。
1.6 網(wǎng)絡安全主機設計實施方案
具體的網(wǎng)絡安全主機設計方案結(jié)構(gòu)框圖如圖2所示:
圖2 網(wǎng)絡安全主機結(jié)構(gòu)框圖
其中安全主板包括CPU,內(nèi)存��,TPCM卡插槽、PCIE擴展插槽等�,安全主板系統(tǒng)設計框圖見圖3:
圖3 網(wǎng)絡安全主機系統(tǒng)框圖
安全主板實現(xiàn)原理簡述如下:
1.6.1 CPU模塊
CPU為飛騰公司的FT-2000/4,主頻2.6GHz�,支持 ARM v8 64 位指令系統(tǒng)并兼容 32 位指令,支持基于域隔離的安全機制��,支持可信啟動����,集成了DDR4內(nèi)存控制器、PCIE控制器���、SPI/LPC/I2C/UART等總線接口���,集成溫度傳感器。
1.6.2 DDR內(nèi)存模塊
FT-2000/4支持2個DDR4 通道�����,最高速率支持3200����。安全主板采用標準的DDR4 DIMM條設計,可支持2個DIMM條,最大支持64GB內(nèi)存�����,可以使用UDIMM及RDIMM內(nèi)存條���。
1.6.3 SATA存儲模塊
安全主板通過PCIE轉(zhuǎn)SATA芯片����,可支持4路SATA接口�。滿足客戶系統(tǒng)的存儲及用戶數(shù)據(jù)的存儲����,若有需要加入RAID卡后,也可做數(shù)據(jù)備份���。
1.6.4 可信TPCM接口模塊
可信TPCM模塊對安全主機主板的上電控制及啟動控制有嚴格的要求���,TPCM卡的工作流程如下:
(1)安全主機的FPGA控制系統(tǒng)上電,并確保TPCM卡首先加電同時使CPU處于復位狀態(tài)���,TPCM加電后進行自檢���,完成狀態(tài)檢查����。
(2)FPGA控制SPI SWITCH使得TPCM可以讀取BIOS代碼���,TPCM對BIOS進行度量�,并將度量結(jié)果存儲在TPCM中����,在UEFI中CPU與TPCM將會對度量結(jié)果進行交互判斷。
(3)TPCM將控制權(quán)交給CPU�����,TPCM變?yōu)橐粋€控制設備���,CPU通過PCIE可以與TPCM卡進行高速通訊�����,為計算過程提供密碼服務或者可信服務�。
為滿足這些要求���,安全主機主板使用了國產(chǎn)高云FPGA對系統(tǒng)電源上電時序及TPCM卡進行控制�,實現(xiàn)BIOS芯片的連接到TPCM卡還是CPU的切換,TPCM卡與CPU間通訊的邏輯解析��。
工作流程如圖4所示:
圖4 TPCM工作流程圖
1.6.4 網(wǎng)卡模塊
主板的PCIE擴展插槽可以插入網(wǎng)卡模塊�����,網(wǎng)卡模塊支持1G�、10G等多種不同組合的以太網(wǎng),采用網(wǎng)訊的WX1860及SP1000A網(wǎng)絡芯片���,支持第三代BYPASS智能控制���。采用標準PCIE X8接口定義,客戶可以根據(jù)現(xiàn)場情況靈活選擇網(wǎng)卡型號���。
1.7 網(wǎng)絡安全主機
網(wǎng)絡安全主機的網(wǎng)絡性能十分關(guān)鍵,通過對安全主
機進行RFC2544測試�����,進行吞吐量��,背對背,幀丟失以及幀延遲的網(wǎng)絡性能評估���,可以驗證該方案是否可以滿足要求�����。
我司在多種CPU及不同系統(tǒng)平臺下��,使用網(wǎng)迅SP1000A萬兆網(wǎng)卡���,進行了網(wǎng)絡性能對比測試,結(jié)果如表1所示:
表1: 網(wǎng)絡安全主機性能表
CPU | OS | RFC-2544 吞吐量 |
64B | 128B | 256B | 512B | 1024B | 1518B |
FT-2000/4 | Kylin V10 | 100% | 100% | 100% | 100% | 100% | 100% |
FT-2000/4 | UOS Server | 90% | 100% | 100% | 100% | 100% | 100% |
Hygon 3230 | Kylin V10 | 93% | 100% | 100% | 100% | 100% | 100% |
INTEL CPU-I7-7700+C236 | CentOS-7 | 100% | 100% | 100% | 100% | 100% | 100% |
由表中可見�����,基本PK體系網(wǎng)絡安全主機以太網(wǎng)性能強大���,吞吐量都可以到對應速率的100%,足以滿足網(wǎng)絡安全行業(yè)對以太網(wǎng)的性能要求��。1.7 結(jié)論
綜上所述����,基本PK體系的網(wǎng)絡安全主機方案�����,可應用于網(wǎng)絡防火墻、隔離網(wǎng)閘及安全網(wǎng)關(guān)等網(wǎng)絡安全領(lǐng)域�����,功能強大����,性能強勁,完全滿足網(wǎng)絡安全主機的要求�。
