網(wǎng)絡(luò)安全主機(jī)是網(wǎng)絡(luò)信息安全系統(tǒng)的基礎(chǔ)，廣泛應(yīng)用于網(wǎng)絡(luò)入侵檢測(cè)及防護(hù)系統(tǒng)、防火墻系統(tǒng)、安全審計(jì)系統(tǒng)、綜合威脅探針系統(tǒng)、安全無(wú)線防御系統(tǒng)、抗拒絕服務(wù)系統(tǒng)、郵件安全網(wǎng)關(guān)、安全隔離與信息交換系統(tǒng)、郵件高級(jí)防護(hù)系統(tǒng)、網(wǎng)絡(luò)安全高級(jí)檢測(cè)等系統(tǒng)中。

當(dāng)前這些系統(tǒng)的網(wǎng)絡(luò)安全主機(jī)普遍采用 X86 +WINDOWS/開(kāi)源LINUX或NXP QorIQ通信處理器+開(kāi)源LINUX等系統(tǒng)解決方案，硬件、BIOS、OS都是來(lái)自國(guó)外廠家，存在“后門(mén)”、“漏洞”、“斷供”三個(gè)致命風(fēng)險(xiǎn)。

研發(fā)自主可控安全的網(wǎng)絡(luò)安全主機(jī)至關(guān)重要，在自主可控CPU及操作系統(tǒng)方面，目前可選擇的也很多，CPU方面主要有飛騰、龍芯、海光、兆芯及鯤鵬等，龍芯性能相對(duì)弱整體占比小，海光、兆芯主要做服務(wù)器端且是X86路線，鯤鵬由于眾所周知的原因受限供貨不足，相較而言飛騰采用ARM架構(gòu)，功耗低，生態(tài)較為健全；操作系統(tǒng)方面主要有麒麟、統(tǒng)信UOS等，統(tǒng)信UOS目前在金融領(lǐng)域有較多應(yīng)用，在網(wǎng)絡(luò)安全行業(yè)則是麒麟系統(tǒng)占多數(shù)。

中國(guó)電子集團(tuán)推出了基于飛騰CPU+麒麟操作系統(tǒng)的PK(Phytium-Kylin)體系，可以建立起自主可控安

全基座。麒麟操作系統(tǒng)能有效應(yīng)對(duì)“后門(mén)”、“漏洞”兩大致命風(fēng)險(xiǎn)，而使用國(guó)產(chǎn)自己可控的芯片如飛騰CPU正是應(yīng)對(duì)“斷供”的不二選擇，它們正是構(gòu)建網(wǎng)絡(luò)安全主機(jī)的理想選擇。

1網(wǎng)絡(luò)安全主機(jī)的PK體系方案

網(wǎng)絡(luò)安全主機(jī)主要是對(duì)以太網(wǎng)數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)及管理，硬件方面主要包括飛騰CPU、內(nèi)存、硬盤(pán)、TPCM卡、網(wǎng)卡；軟件方面包括麒麟操作系統(tǒng)、DPDK、應(yīng)用程序。PK體系是網(wǎng)絡(luò)安全主機(jī)軟硬件的基石，整機(jī)框圖見(jiàn)圖1：

1.1采用內(nèi)置安全的CPU

研發(fā)網(wǎng)絡(luò)安全主機(jī)平臺(tái)采用FT-2000/4或 D2000/8 CPU兩款CPU,這兩款CPU 支持內(nèi)置安全機(jī)制，支撐系統(tǒng)安全，包括密碼加速引擎、可信執(zhí)行環(huán)境、安全存儲(chǔ)、固件管理、硬件漏洞免疫、抗物理攻擊。在此基礎(chǔ)上，網(wǎng)安版還支持安全啟動(dòng)、密鑰管理、生命周期管理、量產(chǎn)注入等安全增強(qiáng)機(jī)制。

1.2采用安全操作系統(tǒng)

近幾年，國(guó)產(chǎn)軟硬件不斷取得可喜的進(jìn)步。麒麟軟件有著40年的研發(fā)和20年的產(chǎn)業(yè)化推廣歷史，是唯一一個(gè)通過(guò)CMMI5級(jí)質(zhì)量評(píng)估的操作系統(tǒng)企業(yè)，外對(duì)OpenStack社區(qū)的貢獻(xiàn)全球第四、中國(guó)第一旗下的銀河麒麟操作系統(tǒng)連續(xù)9年位列中國(guó)Linux市場(chǎng)占有率第一名，在嫦娥探月、國(guó)家電網(wǎng)、北京地鐵、航空公司客票系統(tǒng)等都可以看到它的身影，并于2019年獲得了國(guó)家科技進(jìn)步一等獎(jiǎng)。銀河麒麟操作系統(tǒng)V10，擁有六大優(yōu)勢(shì)，分別是性能領(lǐng)先、生態(tài)豐富、體驗(yàn)提升、云端賦能、融入移動(dòng)、內(nèi)生安全。特別是性能方面，官方聲稱在UnixBench 2D、3D測(cè)試中，相比同類產(chǎn)品性能高出17％，尤其是3D方面最高可領(lǐng)先397％！麒麟操作系統(tǒng)具有高安全、高可靠的優(yōu)勢(shì)，符合《GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》中第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)的要求，是目前我國(guó)通過(guò)認(rèn)證的安全等級(jí)最高的操作系統(tǒng)。已廣泛應(yīng)用于軍工、政府、金融、電力、教育、大型企業(yè)等眾多領(lǐng)域，為我國(guó)的信息化建設(shè)保駕護(hù)航。也是首家通過(guò)公安部信息安全產(chǎn)品檢測(cè)中心第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)安全認(rèn)證中國(guó)人民解放軍信息安全測(cè)評(píng)中心軍用B+級(jí)安全認(rèn)證，是目前國(guó)內(nèi)安全等級(jí)最高的操作系統(tǒng)。

1.3 BIOS啟動(dòng)

計(jì)算機(jī)系統(tǒng)中BIOS是連接硬件和軟件的關(guān)鍵組件，也是系統(tǒng)安全性驗(yàn)證的重要環(huán)節(jié)，安全主機(jī)采用國(guó)產(chǎn)UEFI并加入可信啟動(dòng)驗(yàn)證，能夠確保網(wǎng)絡(luò)安全主機(jī)安全可靠的正常工作及引導(dǎo)系統(tǒng)的工作。

1.4 采用TPCM卡可信平臺(tái)控制模塊

FT-2000/4有網(wǎng)安版的CPU,可支持可信計(jì)算，但是需要專門(mén)占用一個(gè)ARM核來(lái)進(jìn)行可信計(jì)算，少一個(gè)核對(duì)于網(wǎng)絡(luò)轉(zhuǎn)發(fā)及數(shù)據(jù)處理是很致命的，故采用標(biāo)準(zhǔn)版飛騰CPU加上外置可信卡就成為了最好的選擇。

可信華泰TPCM卡為M.2接口，采用PCIE進(jìn)行通迅，可以為計(jì)算機(jī)提供可信根，讓可信平臺(tái)模塊具有對(duì)平臺(tái)資源進(jìn)行控制的功能，具有主動(dòng)度量功能，實(shí)現(xiàn)平臺(tái)到網(wǎng)絡(luò)的可信擴(kuò)展，以確保網(wǎng)絡(luò)的可信。

1.5 國(guó)產(chǎn)化率高

安全主機(jī)其它硬件配置方面，電源采用長(zhǎng)城ATX電源，內(nèi)存可支持紫光、威捷科等國(guó)產(chǎn)DDR4內(nèi)存條，硬盤(pán)可選用威捷科、科美、大唐存儲(chǔ)等國(guó)產(chǎn)硬盤(pán)廠家的產(chǎn)品，采用國(guó)產(chǎn)高云FPGA,網(wǎng)卡方面采用的是同樣具有自有知識(shí)產(chǎn)權(quán)北京網(wǎng)迅科技有限公司的以太網(wǎng)控制器，完美支持DPDK，轉(zhuǎn)發(fā)速率可達(dá)到線速，在網(wǎng)絡(luò)安全和網(wǎng)絡(luò)虛擬化等方面達(dá)到較高水平，具有極高的國(guó)產(chǎn)化率。

1.6 網(wǎng)絡(luò)安全主機(jī)設(shè)計(jì)實(shí)施方案

具體的網(wǎng)絡(luò)安全主機(jī)設(shè)計(jì)方案結(jié)構(gòu)框圖如圖2所示：

圖2 網(wǎng)絡(luò)安全主機(jī)結(jié)構(gòu)框圖

其中安全主板包括CPU,內(nèi)存，TPCM卡插槽、PCIE擴(kuò)展插槽等，安全主板系統(tǒng)設(shè)計(jì)框圖見(jiàn)圖3：

圖3 網(wǎng)絡(luò)安全主機(jī)系統(tǒng)框圖

安全主板實(shí)現(xiàn)原理簡(jiǎn)述如下：

1.6.1 CPU模塊

CPU為飛騰公司的FT-2000/4，主頻2.6GHz，支持 ARM v8 64 位指令系統(tǒng)并兼容 32 位指令，支持基于域隔離的安全機(jī)制，支持可信啟動(dòng)，集成了DDR4內(nèi)存控制器、PCIE控制器、SPI/LPC/I2C/UART等總線接口，集成溫度傳感器。

1.6.2 DDR內(nèi)存模塊

FT-2000/4支持2個(gè)DDR4 通道，最高速率支持3200。安全主板采用標(biāo)準(zhǔn)的DDR4 DIMM條設(shè)計(jì)，可支持2個(gè)DIMM條，最大支持64GB內(nèi)存，可以使用UDIMM及RDIMM內(nèi)存條。

1.6.3 SATA存儲(chǔ)模塊

安全主板通過(guò)PCIE轉(zhuǎn)SATA芯片，可支持4路SATA接口。滿足客戶系統(tǒng)的存儲(chǔ)及用戶數(shù)據(jù)的存儲(chǔ)，若有需要加入RAID卡后，也可做數(shù)據(jù)備份。

1.6.4 可信TPCM接口模塊

可信TPCM模塊對(duì)安全主機(jī)主板的上電控制及啟動(dòng)控制有嚴(yán)格的要求，TPCM卡的工作流程如下:

（1）安全主機(jī)的FPGA控制系統(tǒng)上電，并確保TPCM卡首先加電同時(shí)使CPU處于復(fù)位狀態(tài)，TPCM加電后進(jìn)行自檢，完成狀態(tài)檢查。

（2）FPGA控制SPI SWITCH使得TPCM可以讀取BIOS代碼，TPCM對(duì)BIOS進(jìn)行度量，并將度量結(jié)果存儲(chǔ)在TPCM中，在UEFI中CPU與TPCM將會(huì)對(duì)度量結(jié)果進(jìn)行交互判斷。

（3）TPCM將控制權(quán)交給CPU，TPCM變?yōu)橐粋€(gè)控制設(shè)備，CPU通過(guò)PCIE可以與TPCM卡進(jìn)行高速通訊，為計(jì)算過(guò)程提供密碼服務(wù)或者可信服務(wù)。

為滿足這些要求，安全主機(jī)主板使用了國(guó)產(chǎn)高云FPGA對(duì)系統(tǒng)電源上電時(shí)序及TPCM卡進(jìn)行控制，實(shí)現(xiàn)BIOS芯片的連接到TPCM卡還是CPU的切換，TPCM卡與CPU間通訊的邏輯解析。

工作流程如圖4所示： 

圖4 TPCM工作流程圖

1.6.4 網(wǎng)卡模塊

主板的PCIE擴(kuò)展插槽可以插入網(wǎng)卡模塊，網(wǎng)卡模塊支持1G、10G等多種不同組合的以太網(wǎng)，采用網(wǎng)訊的WX1860及SP1000A網(wǎng)絡(luò)芯片，支持第三代BYPASS智能控制。采用標(biāo)準(zhǔn)PCIE X8接口定義，客戶可以根據(jù)現(xiàn)場(chǎng)情況靈活選擇網(wǎng)卡型號(hào)。

1.7 網(wǎng)絡(luò)安全主機(jī)

網(wǎng)絡(luò)安全主機(jī)的網(wǎng)絡(luò)性能十分關(guān)鍵，通過(guò)對(duì)安全主

機(jī)進(jìn)行RFC2544測(cè)試，進(jìn)行吞吐量，背對(duì)背，幀丟失以及幀延遲的網(wǎng)絡(luò)性能評(píng)估，可以驗(yàn)證該方案是否可以滿足要求。

我司在多種CPU及不同系統(tǒng)平臺(tái)下，使用網(wǎng)迅SP1000A萬(wàn)兆網(wǎng)卡，進(jìn)行了網(wǎng)絡(luò)性能對(duì)比測(cè)試，結(jié)果如表1所示：

表1： 網(wǎng)絡(luò)安全主機(jī)性能表

1.7 結(jié)論

綜上所述，基本PK體系的網(wǎng)絡(luò)安全主機(jī)方案，可應(yīng)用于網(wǎng)絡(luò)防火墻、隔離網(wǎng)閘及安全網(wǎng)關(guān)等網(wǎng)絡(luò)安全領(lǐng)域，功能強(qiáng)大，性能強(qiáng)勁，完全滿足網(wǎng)絡(luò)安全主機(jī)的要求。