網絡安全主機是網絡信息安全系統的基礎����,廣泛應用于網絡入侵檢測及防護系統、防火墻系統�、安全審計系統、綜合威脅探針系統、安全無線防御系統��、抗拒絕服務系統��、郵件安全網關�����、安全隔離與信息交換系統���、郵件高級防護系統、網絡安全高級檢測等系統中����。
當前這些系統的網絡安全主機普遍采用 X86 +WINDOWS/開源LINUX或NXP QorIQ通信處理器+開源LINUX等系統解決方案,硬件�、BIOS、OS都是來自國外廠家���,存在“后門”���、“漏洞”、“斷供”三個致命風險����。
研發(fā)自主可控安全的網絡安全主機至關重要�,在自主可控CPU及操作系統方面��,目前可選擇的也很多�,CPU方面主要有飛騰、龍芯���、海光�、兆芯及鯤鵬等��,龍芯性能相對弱整體占比小����,海光、兆芯主要做服務器端且是X86路線���,鯤鵬由于眾所周知的原因受限供貨不足�,相較而言飛騰采用ARM架構��,功耗低����,生態(tài)較為健全;操作系統方面主要有麒麟、統信UOS等����,統信UOS目前在金融領域有較多應用,在網絡安全行業(yè)則是麒麟系統占多數���。
中國電子集團推出了基于飛騰CPU+麒麟操作系統的PK(Phytium-Kylin)體系����,可以建立起自主可控安
全基座�����。麒麟操作系統能有效應對“后門”����、“漏洞”兩大致命風險�,而使用國產自己可控的芯片如飛騰CPU正是應對“斷供”的不二選擇,它們正是構建網絡安全主機的理想選擇�。
1網絡安全主機的PK體系方案
網絡安全主機主要是對以太網數據進行轉發(fā)及管理,硬件方面主要包括飛騰CPU�����、內存、硬盤�、TPCM卡、網卡���;軟件方面包括麒麟操作系統�����、DPDK���、應用程序。PK體系是網絡安全主機軟硬件的基石�����,整機框圖見圖1:
1.1采用內置安全的CPU
研發(fā)網絡安全主機平臺采用FT-2000/4或 D2000/8 CPU兩款CPU,這兩款CPU 支持內置安全機制��,支撐系統安全���,包括密碼加速引擎���、可信執(zhí)行環(huán)境、安全存儲�、固件管理�����、硬件漏洞免疫��、抗物理攻擊��。在此基礎上����,網安版還支持安全啟動����、密鑰管理、生命周期管理���、量產注入等安全增強機制�����。
1.2采用安全操作系統
近幾年,國產軟硬件不斷取得可喜的進步�����。麒麟軟件有著40年的研發(fā)和20年的產業(yè)化推廣歷史,是唯一一個通過CMMI5級質量評估的操作系統企業(yè)��,外對OpenStack社區(qū)的貢獻全球第四����、中國第一旗下的銀河麒麟操作系統連續(xù)9年位列中國Linux市場占有率第一名,在嫦娥探月�、國家電網、北京地鐵�、航空公司客票系統等都可以看到它的身影,并于2019年獲得了國家科技進步一等獎��。銀河麒麟操作系統V10��,擁有六大優(yōu)勢��,分別是性能領先���、生態(tài)豐富�����、體驗提升�、云端賦能���、融入移動��、內生安全��。特別是性能方面�����,官方聲稱在UnixBench 2D����、3D測試中,相比同類產品性能高出17%�,尤其是3D方面最高可領先397%!麒麟操作系統具有高安全����、高可靠的優(yōu)勢,符合《GB/T 20272-2006 信息安全技術 操作系統安全技術要求》中第四級結構化保護級的要求�,是目前我國通過認證的安全等級最高的操作系統。已廣泛應用于軍工��、政府����、金融、電力�����、教育��、大型企業(yè)等眾多領域���,為我國的信息化建設保駕護航���。也是首家通過公安部信息安全產品檢測中心第四級結構化保護級安全認證中國人民解放軍信息安全測評中心軍用B+級安全認證,是目前國內安全等級最高的操作系統�����。
1.3 BIOS啟動
計算機系統中BIOS是連接硬件和軟件的關鍵組件��,也是系統安全性驗證的重要環(huán)節(jié)����,安全主機采用國產UEFI并加入可信啟動驗證,能夠確保網絡安全主機安全可靠的正常工作及引導系統的工作���。
1.4 采用TPCM卡可信平臺控制模塊
FT-2000/4有網安版的CPU,可支持可信計算�����,但是需要專門占用一個ARM核來進行可信計算����,少一個核對于網絡轉發(fā)及數據處理是很致命的,故采用標準版飛騰CPU加上外置可信卡就成為了最好的選擇��。
可信華泰TPCM卡為M.2接口����,采用PCIE進行通迅,可以為計算機提供可信根�����,讓可信平臺模塊具有對平臺資源進行控制的功能�����,具有主動度量功能�,實現平臺到網絡的可信擴展,以確保網絡的可信����。
1.5 國產化率高
安全主機其它硬件配置方面�,電源采用長城ATX電源�����,內存可支持紫光���、威捷科等國產DDR4內存條,硬盤可選用威捷科���、科美�����、大唐存儲等國產硬盤廠家的產品��,采用國產高云FPGA,網卡方面采用的是同樣具有自有知識產權北京網迅科技有限公司的以太網控制器�����,完美支持DPDK�����,轉發(fā)速率可達到線速�����,在網絡安全和網絡虛擬化等方面達到較高水平�����,具有極高的國產化率����。
1.6 網絡安全主機設計實施方案
具體的網絡安全主機設計方案結構框圖如圖2所示:
圖2 網絡安全主機結構框圖
其中安全主板包括CPU,內存,TPCM卡插槽����、PCIE擴展插槽等,安全主板系統設計框圖見圖3:
圖3 網絡安全主機系統框圖
安全主板實現原理簡述如下:
1.6.1 CPU模塊
CPU為飛騰公司的FT-2000/4�����,主頻2.6GHz�,支持 ARM v8 64 位指令系統并兼容 32 位指令,支持基于域隔離的安全機制�,支持可信啟動,集成了DDR4內存控制器�、PCIE控制器、SPI/LPC/I2C/UART等總線接口,集成溫度傳感器�。
1.6.2 DDR內存模塊
FT-2000/4支持2個DDR4 通道,最高速率支持3200�。安全主板采用標準的DDR4 DIMM條設計,可支持2個DIMM條��,最大支持64GB內存��,可以使用UDIMM及RDIMM內存條�����。
1.6.3 SATA存儲模塊
安全主板通過PCIE轉SATA芯片���,可支持4路SATA接口。滿足客戶系統的存儲及用戶數據的存儲���,若有需要加入RAID卡后�����,也可做數據備份��。
1.6.4 可信TPCM接口模塊
可信TPCM模塊對安全主機主板的上電控制及啟動控制有嚴格的要求����,TPCM卡的工作流程如下:
(1)安全主機的FPGA控制系統上電,并確保TPCM卡首先加電同時使CPU處于復位狀態(tài)����,TPCM加電后進行自檢,完成狀態(tài)檢查��。
(2)FPGA控制SPI SWITCH使得TPCM可以讀取BIOS代碼����,TPCM對BIOS進行度量,并將度量結果存儲在TPCM中�����,在UEFI中CPU與TPCM將會對度量結果進行交互判斷�����。
(3)TPCM將控制權交給CPU���,TPCM變?yōu)橐粋€控制設備��,CPU通過PCIE可以與TPCM卡進行高速通訊��,為計算過程提供密碼服務或者可信服務��。
為滿足這些要求���,安全主機主板使用了國產高云FPGA對系統電源上電時序及TPCM卡進行控制���,實現BIOS芯片的連接到TPCM卡還是CPU的切換,TPCM卡與CPU間通訊的邏輯解析����。
工作流程如圖4所示:
圖4 TPCM工作流程圖
1.6.4 網卡模塊
主板的PCIE擴展插槽可以插入網卡模塊����,網卡模塊支持1G、10G等多種不同組合的以太網�,采用網訊的WX1860及SP1000A網絡芯片,支持第三代BYPASS智能控制��。采用標準PCIE X8接口定義�,客戶可以根據現場情況靈活選擇網卡型號。
1.7 網絡安全主機
網絡安全主機的網絡性能十分關鍵����,通過對安全主
機進行RFC2544測試��,進行吞吐量����,背對背�����,幀丟失以及幀延遲的網絡性能評估��,可以驗證該方案是否可以滿足要求�����。
我司在多種CPU及不同系統平臺下��,使用網迅SP1000A萬兆網卡�����,進行了網絡性能對比測試��,結果如表1所示:
表1: 網絡安全主機性能表
CPU | OS | RFC-2544 吞吐量 |
64B | 128B | 256B | 512B | 1024B | 1518B |
FT-2000/4 | Kylin V10 | 100% | 100% | 100% | 100% | 100% | 100% |
FT-2000/4 | UOS Server | 90% | 100% | 100% | 100% | 100% | 100% |
Hygon 3230 | Kylin V10 | 93% | 100% | 100% | 100% | 100% | 100% |
INTEL CPU-I7-7700+C236 | CentOS-7 | 100% | 100% | 100% | 100% | 100% | 100% |
由表中可見�,基本PK體系網絡安全主機以太網性能強大,吞吐量都可以到對應速率的100%,足以滿足網絡安全行業(yè)對以太網的性能要求�����。1.7 結論
綜上所述,基本PK體系的網絡安全主機方案�,可應用于網絡防火墻、隔離網閘及安全網關等網絡安全領域��,功能強大��,性能強勁��,完全滿足網絡安全主機的要求���。
