基于PKS 体系的网络安全主机解决方案

陆祖宝，田宗秘，张亚坤，余世勇

(北京集智达智能科技有限责任公司，北京 102206)

0 引言

网络安全主机是网络信息安全系统的基础，广泛应用于网络入侵检测及防护系统、防火墙系统、安全审计系统、综合威胁探针系统、安全无线防御系统、抗拒绝服务系统、邮件安全网关、安全隔离与信息交换系统、邮件高级防护系统、网络安全高级检测等系统中。

当前这些系统的网络安全主机普遍采用X86+Windows/开源Linux 或NXP QorIQ 通信处理器+开源Linux等系统解决方案，硬件、BIOS、OS 都是来自国外厂家，存在“后门”、“漏洞”、“断供”三个致命风险。

研发自主创新的网络安全主机至关重要。在自主CPU 及操作系统方面，目前可选择的也很多。CPU 方面主要有飞腾、龙芯、海光、兆芯及鲲鹏等，龙芯性能相对弱整体占比小，海光、兆芯主要做服务器端且是X86 路线，鲲鹏受限供货不足。相较而言飞腾采用ARM 架构，功耗低，生态较为健全。操作系统方面主要有麒麟、统信UOS 等。统信UOS 目前在金融领域有较多应用，在网络安全行业则是麒麟系统占多数。

中国电子集团推出了基于飞腾CPU+麒麟操作系统的PKS 体系，可以建立起自主创新安全基座。麒麟操作系统能有效应对“后门”、“漏洞”两大致命风险，而使用国产芯片如飞腾CPU 正是应对芯片供应链问题的不二选择，它们正是构建网络安全主机的理想选择。

1 网络安全主机的PKS 体系方案

网络安全主机主要是对以太网数据进行转发及管理，硬件方面主要包括飞腾CPU、内存、硬盘、TPCM卡、网卡；软件方面包括麒麟操作系统、DPDK、应用程序。PKS 体系是网络安全主机软硬件的基石，整机框图见图1。

图1 网络安全主机整体框图

1.1 采用内置安全的CPU

研发网络安全主机平台采用FT-2000/4 或D2000/8 CPU 两款CPU，这两款CPU 支持内置安全机制，支撑系统安全，包括密码加速引擎、可信执行环境、安全存储、固件管理、硬件漏洞免疫、抗物理攻击。在此基础上，网安版还支持安全启动、密钥管理、生命周期管理、量产注入等安全增强机制。

1.2 采用安全操作系统

近几年，国产软硬件不断取得可喜的进步。麒麟软件有着40 年的研发和20 年的产业化推广历史，是唯一一个通过CMMI5 级质量评估的操作系统企业，对Open-Stack 社区的贡献全球第四、中国第一，旗下的银河麒麟操作系统连续9 年位列中国Linux 市场占有率第一名，在嫦娥探月、国家电网、北京地铁、航空公司客票系统等都可以看到它的身影，并于2019 年获得了国家科技进步一等奖。银河麒麟操作系统V10 拥有六大优势，分别是性能领先、生态丰富、体验提升、云端赋能、融入移动、内生安全。特别是性能方面，官方声称在UnixBench 2D、3D 测试中，相比同类产品其性能高出17%，尤其是3D 方面最高可领先397%。麒麟操作系统具有高安全、高可靠的优势，符合《GB/T 20272-2006 信息安全技术操作系统安全技术要求》中第四级结构化保护级的要求，是目前我国通过认证的安全等级最高的操作系统，已广泛应用于政府、金融、电力、教育、大型企业等众多领域，为我国的信息化建设保驾护航。

1.3 BIOS 启动

计算机系统中BIOS 是连接硬件和软件的关键组件，也是系统安全性验证的重要环节，安全主机采用国产UEFI 并加入可信启动验证，能够确保网络安全主机安全可靠地正常工作及引导系统的工作。

1.4 采用TPCM 卡可信平台控制模块

FT-2000/4 有网安版的CPU，可支持可信计算，但是需要专门占用一个ARM 核来进行可信计算，少一个核对于网络转发及数据处理是很致命的，故采用标准版飞腾CPU 加上外置可信卡就成为了最好的选择。

可信华泰TPCM 卡为M.2 接口，采用PCIE 进行通信，可以为计算机提供可信根，让可信平台模块具有对平台资源进行控制的功能，具有主动度量功能，实现平台到网络的可信扩展，以确保网络的可信。

1.5 国产化率高

安全主机其他硬件配置方面，电源采用长城ATX 电源，内存可支持紫光、威捷科等国产DDR4 内存条，硬盘可选用威捷科、科美、大唐存储等国产硬盘厂家的产品，采用国产高云FPGA，网卡方面采用的是同样具有自有知识产权北京网迅科技有限公司的以太网控制器，完美支持DPDK，转发速率可达到线速，在网络安全和网络虚拟化等方面达到较高水平，具有极高的国产化率。

2 网络安全主机设计实施方案

具体的网络安全主机设计方案结构框图如图2 所示。其中安全主板包括CPU、内存、TPCM 卡插槽、PCIE 扩展插槽等，安全主板系统设计框图见图3。

图2 网络安全主机结构框图

图3 网络安全主机系统框图

2.1 CPU 模块

CPU为飞腾公司的FT-2000/4，主频为2.6 GHz，支持ARM v8 64 位指令系统并兼容32 位指令，支持基于域隔离的安全机制，支持可信启动，集成了DDR4 内存控制器、PCIE 控制器、SPI/LPC/I2C/UART 等总线接口，集成温度传感器。

2.2 DDR 内存模块

FT-2000/4 支持2 个DDR4 通道，最高速率支持3 200 MT/s。安全主板采用标准的DDR4 DIMM 条设计，可支持2 个DIMM 条，最大支持64 GB 内存，可以使用UDIMM 及RDIMM 内存条。

2.3 SATA 存储模块

安全主板通过PCIE转SATA 芯片，可支持4 路SATA接口。满足客户系统的存储及用户数据的存储，若有需要加入RAID 卡后，也可做数据备份。

2.4 可信TPCM 接口模块

可信TPCM 模块对安全主机主板的上电控制及启动控制有严格的要求，TPCM 卡的工作流程如下：

(1)安全主机的FPGA 控制系统上电，并确保TPCM卡首先加电同时使CPU 处于复位状态，TPCM 加电后进行自检，完成状态检查。

(2)FPGA 控制SPI SWITCH 使得TPCM 可以读取BIOS代码，TPCM 对BIOS 进行度量，并将度量结果存储在TPCM中，在UEFI 中CPU 与TPCM 将会对度量结果进行交互判断。

(3)TPCM 将控制权交给CPU，TPCM 变为一个控制设备，CPU 通过PCIE 可以与TPCM 卡进行高速通信，为计算过程提供密码服务或者可信服务。

为满足这些要求，安全主机主板使用了国产高云FPGA对系统电源上电时序及TPCM 卡进行控制，实现BIOS芯片的连接到TPCM 卡还是CPU 的切换及TPCM 卡与CPU 间通信的逻辑解析。

TPCM 工作流程如图4 所示。

图4 TPCM 工作流程图

2.5 网卡模块

主板的PCIE 扩展插槽可以插入网卡模块，网卡模块支持1 Gb/s、10 Gb/s 等多种不同组合的以太网，采用网讯的WX1860 及SP1000A 网络芯片，支持第三代BYPASS 智能控制。采用标准PCIE X8 接口定义，客户可以根据现场情况灵活选择网卡型号。

3 网络安全主机性能

网络安全主机的网络性能十分关键，通过对安全主机进行RFC2544 测试，进行吞吐量、背对背、帧丢失以及帧延迟的网络性能评估，可以验证该方案是否可以满足要求。

我司在多种CPU 及不同系统平台下，使用网迅SP1000A 万兆网卡，进行了网络性能对比测试，结果如表1 所示。

由表1 可见，基于PKS 体系网络安全主机以太网性能强大，吞吐量都可以到对应速率的100%,足以满足网络安全行业对以太网的性能要求。

表1 网络安全主机性能表

4 结论

综上所述，基本PKS 体系的网络安全主机方案可应用于网络防火墙、隔离网闸及安全网关等网络安全领域，功能强大，性能强劲，完全满足网络安全主机的要求。