基于PKS 體系的網絡安全主機解決方案

陸祖寶，田宗秘，張亞坤，余世勇

(北京集智達智能科技有限責任公司，北京 102206)

0 引言

網絡安全主機是網絡信息安全系統的基礎，廣泛應用于網絡入侵檢測及防護系統、防火墻系統、安全審計系統、綜合威脅探針系統、安全無線防御系統、抗拒絕服務系統、郵件安全網關、安全隔離與信息交換系統、郵件高級防護系統、網絡安全高級檢測等系統中。

當前這些系統的網絡安全主機普遍采用X86+Windows/開源Linux 或NXP QorIQ 通信處理器+開源Linux等系統解決方案，硬件、BIOS、OS 都是來自國外廠家，存在“后門”、“漏洞”、“斷供”三個致命風險。

研發自主創新的網絡安全主機至關重要。在自主CPU 及操作系統方面，目前可選擇的也很多。CPU 方面主要有飛騰、龍芯、海光、兆芯及鯤鵬等，龍芯性能相對弱整體占比小，海光、兆芯主要做服務器端且是X86 路線，鯤鵬受限供貨不足。相較而言飛騰采用ARM 架構，功耗低，生態較為健全。操作系統方面主要有麒麟、統信UOS 等。統信UOS 目前在金融領域有較多應用，在網絡安全行業則是麒麟系統占多數。

中國電子集團推出了基于飛騰CPU+麒麟操作系統的PKS 體系，可以建立起自主創新安全基座。麒麟操作系統能有效應對“后門”、“漏洞”兩大致命風險，而使用國產芯片如飛騰CPU 正是應對芯片供應鏈問題的不二選擇，它們正是構建網絡安全主機的理想選擇。

1 網絡安全主機的PKS 體系方案

網絡安全主機主要是對以太網數據進行轉發及管理，硬件方面主要包括飛騰CPU、內存、硬盤、TPCM卡、網卡；軟件方面包括麒麟操作系統、DPDK、應用程序。PKS 體系是網絡安全主機軟硬件的基石，整機框圖見圖1。

圖1 網絡安全主機整體框圖

1.1 采用內置安全的CPU

研發網絡安全主機平臺采用FT-2000/4 或D2000/8 CPU 兩款CPU，這兩款CPU 支持內置安全機制，支撐系統安全，包括密碼加速引擎、可信執行環境、安全存儲、固件管理、硬件漏洞免疫、抗物理攻擊。在此基礎上，網安版還支持安全啟動、密鑰管理、生命周期管理、量產注入等安全增強機制。

1.2 采用安全操作系統

近幾年，國產軟硬件不斷取得可喜的進步。麒麟軟件有著40 年的研發和20 年的產業化推廣歷史，是唯一一個通過CMMI5 級質量評估的操作系統企業，對Open-Stack 社區的貢獻全球第四、中國第一，旗下的銀河麒麟操作系統連續9 年位列中國Linux 市場占有率第一名，在嫦娥探月、國家電網、北京地鐵、航空公司客票系統等都可以看到它的身影，并于2019 年獲得了國家科技進步一等獎。銀河麒麟操作系統V10 擁有六大優勢，分別是性能領先、生態豐富、體驗提升、云端賦能、融入移動、內生安全。特別是性能方面，官方聲稱在UnixBench 2D、3D 測試中，相比同類產品其性能高出17%，尤其是3D 方面最高可領先397%。麒麟操作系統具有高安全、高可靠的優勢，符合《GB/T 20272-2006 信息安全技術操作系統安全技術要求》中第四級結構化保護級的要求，是目前我國通過認證的安全等級最高的操作系統，已廣泛應用于政府、金融、電力、教育、大型企業等眾多領域，為我國的信息化建設保駕護航。

1.3 BIOS 啟動

計算機系統中BIOS 是連接硬件和軟件的關鍵組件，也是系統安全性驗證的重要環節，安全主機采用國產UEFI 并加入可信啟動驗證，能夠確保網絡安全主機安全可靠地正常工作及引導系統的工作。

1.4 采用TPCM 卡可信平臺控制模塊

FT-2000/4 有網安版的CPU，可支持可信計算，但是需要專門占用一個ARM 核來進行可信計算，少一個核對于網絡轉發及數據處理是很致命的，故采用標準版飛騰CPU 加上外置可信卡就成為了最好的選擇。

可信華泰TPCM 卡為M.2 接口，采用PCIE 進行通信，可以為計算機提供可信根，讓可信平臺模塊具有對平臺資源進行控制的功能，具有主動度量功能，實現平臺到網絡的可信擴展，以確保網絡的可信。

1.5 國產化率高

安全主機其他硬件配置方面，電源采用長城ATX 電源，內存可支持紫光、威捷科等國產DDR4 內存條，硬盤可選用威捷科、科美、大唐存儲等國產硬盤廠家的產品，采用國產高云FPGA，網卡方面采用的是同樣具有自有知識產權北京網迅科技有限公司的以太網控制器，完美支持DPDK，轉發速率可達到線速，在網絡安全和網絡虛擬化等方面達到較高水平，具有極高的國產化率。

2 網絡安全主機設計實施方案

具體的網絡安全主機設計方案結構框圖如圖2 所示。其中安全主板包括CPU、內存、TPCM 卡插槽、PCIE 擴展插槽等，安全主板系統設計框圖見圖3。

圖2 網絡安全主機結構框圖

圖3 網絡安全主機系統框圖

2.1 CPU 模塊

CPU為飛騰公司的FT-2000/4，主頻為2.6 GHz，支持ARM v8 64 位指令系統并兼容32 位指令，支持基于域隔離的安全機制，支持可信啟動，集成了DDR4 內存控制器、PCIE 控制器、SPI/LPC/I2C/UART 等總線接口，集成溫度傳感器。

2.2 DDR 內存模塊

FT-2000/4 支持2 個DDR4 通道，最高速率支持3 200 MT/s。安全主板采用標準的DDR4 DIMM 條設計，可支持2 個DIMM 條，最大支持64 GB 內存，可以使用UDIMM 及RDIMM 內存條。

2.3 SATA 存儲模塊

安全主板通過PCIE轉SATA 芯片，可支持4 路SATA接口。滿足客戶系統的存儲及用戶數據的存儲，若有需要加入RAID 卡后，也可做數據備份。

2.4 可信TPCM 接口模塊

可信TPCM 模塊對安全主機主板的上電控制及啟動控制有嚴格的要求，TPCM 卡的工作流程如下：

(1)安全主機的FPGA 控制系統上電，并確保TPCM卡首先加電同時使CPU 處于復位狀態，TPCM 加電后進行自檢，完成狀態檢查。

(2)FPGA 控制SPI SWITCH 使得TPCM 可以讀取BIOS代碼，TPCM 對BIOS 進行度量，并將度量結果存儲在TPCM中，在UEFI 中CPU 與TPCM 將會對度量結果進行交互判斷。

(3)TPCM 將控制權交給CPU，TPCM 變為一個控制設備，CPU 通過PCIE 可以與TPCM 卡進行高速通信，為計算過程提供密碼服務或者可信服務。

為滿足這些要求，安全主機主板使用了國產高云FPGA對系統電源上電時序及TPCM 卡進行控制，實現BIOS芯片的連接到TPCM 卡還是CPU 的切換及TPCM 卡與CPU 間通信的邏輯解析。

TPCM 工作流程如圖4 所示。

圖4 TPCM 工作流程圖

2.5 網卡模塊

主板的PCIE 擴展插槽可以插入網卡模塊，網卡模塊支持1 Gb/s、10 Gb/s 等多種不同組合的以太網，采用網訊的WX1860 及SP1000A 網絡芯片，支持第三代BYPASS 智能控制。采用標準PCIE X8 接口定義，客戶可以根據現場情況靈活選擇網卡型號。

3 網絡安全主機性能

網絡安全主機的網絡性能十分關鍵，通過對安全主機進行RFC2544 測試，進行吞吐量、背對背、幀丟失以及幀延遲的網絡性能評估，可以驗證該方案是否可以滿足要求。

我司在多種CPU 及不同系統平臺下，使用網迅SP1000A 萬兆網卡，進行了網絡性能對比測試，結果如表1 所示。

由表1 可見，基于PKS 體系網絡安全主機以太網性能強大，吞吐量都可以到對應速率的100%,足以滿足網絡安全行業對以太網的性能要求。

表1 網絡安全主機性能表

4 結論

綜上所述，基本PKS 體系的網絡安全主機方案可應用于網絡防火墻、隔離網閘及安全網關等網絡安全領域，功能強大，性能強勁，完全滿足網絡安全主機的要求。