近年來,為了增強(qiáng)科技自立自強(qiáng)能力,從根本上改變信息技術(shù)產(chǎn)業(yè)基礎(chǔ)不牢、受制于人的局面,我國高度重視網(wǎng)信產(chǎn)業(yè)發(fā)展,從技術(shù)、產(chǎn)品、市場、生態(tài)等多維度推動(dòng)網(wǎng)信產(chǎn)業(yè)發(fā)展。中國電子作為一家以網(wǎng)絡(luò)安全和信息化為主業(yè)的企業(yè),被賦予了加速打造國家網(wǎng)信產(chǎn)業(yè)核心力量和組織平臺(tái)的重要使命。
如今中國電子已經(jīng)構(gòu)建起被稱為“PKS”的完整國產(chǎn)安全數(shù)字底座(“P”代表飛騰CPU,“K”代表麒麟操作系統(tǒng),“S”代表立體防護(hù)安全鏈),在國產(chǎn)計(jì)算產(chǎn)業(yè)鏈、安全產(chǎn)業(yè)鏈、關(guān)鍵制造環(huán)節(jié)都有相應(yīng)的布局,為國家實(shí)現(xiàn)關(guān)后門、堵漏洞、防斷供的安全戰(zhàn)略提供有力支持。
PKS計(jì)算體系發(fā)展了傳統(tǒng)的馮.諾依曼架構(gòu),通過CPU+OS原生支持,支撐 “自底向上打通”的“計(jì)算+安全”雙體系安全架構(gòu),具備更徹底的本質(zhì)安全和內(nèi)生安全。
PKS雙體系安全防護(hù)通過飛騰計(jì)算安全雙架構(gòu)技術(shù)、固件安全增強(qiáng)技術(shù)、可信賴執(zhí)行環(huán)境技術(shù)、麒麟內(nèi)核安全管控技術(shù)、異構(gòu)加速和內(nèi)存安全增強(qiáng)技術(shù)五大關(guān)鍵技術(shù),緊跟業(yè)界技術(shù)趨勢,以CPU、OS、整機(jī)為載體,協(xié)同實(shí)現(xiàn)計(jì)算融合安全的整體能力。創(chuàng)新解決了傳統(tǒng)計(jì)算體系面臨的圍墻式安全和外掛式安全問題。
從基礎(chǔ)具有內(nèi)生安全特性的飛騰CPU、麒麟操作系統(tǒng)、內(nèi)存控制器等開始,對(duì)上層軟硬件和應(yīng)用完全開放,使各層用戶能進(jìn)行深度定制和柔性重構(gòu),使各種應(yīng)用能基于系統(tǒng)頂層設(shè)計(jì)進(jìn)行從上到下和自底向上的系統(tǒng)優(yōu)化,從而為用戶提供獨(dú)特的、最佳的體驗(yàn)和服務(wù)。
舉例來說,飛騰CPU內(nèi)部集成了安全加速引擎模塊,該模塊能夠硬件加速對(duì)稱、非對(duì)稱、哈希等安全算法,并且能夠產(chǎn)生真隨機(jī)數(shù)。飛騰提供了硬件安全引擎驅(qū)動(dòng)程序及openssl標(biāo)準(zhǔn)接口,以便于麒麟操作系統(tǒng)集成硬件安全引擎,夯實(shí)操作系統(tǒng)內(nèi)生基礎(chǔ)安全能力。
•按照Linux Kernel 安全框架實(shí)現(xiàn)內(nèi)核驅(qū)動(dòng)接口
•按照字符設(shè)備將引擎的資源進(jìn)行映射,實(shí)現(xiàn)了高效訪問的用戶態(tài)驅(qū)動(dòng)
•通過用戶態(tài)驅(qū)動(dòng)適配層與OpenSSL無縫對(duì)接
•業(yè)務(wù)可使用內(nèi)核或OpenSSL系統(tǒng)標(biāo)準(zhǔn)接口
飛騰CPU安全引擎軟件棧架構(gòu)
銀河麒麟操作系統(tǒng)V10 SP1,集成了飛騰CPU安全引擎,不僅支持用戶從內(nèi)核態(tài)到用戶態(tài)多層級(jí)的API調(diào)用,并適配了飛騰針對(duì)性深度優(yōu)化后的軟件接口:
•基于最短硬件訪問路徑的用戶態(tài)驅(qū)動(dòng)優(yōu)化
•軟件硬件協(xié)同的小塊數(shù)據(jù)性能優(yōu)化
•內(nèi)核態(tài)驅(qū)動(dòng):哈希算法提高171%,對(duì)稱算法提高30%
•用戶態(tài)驅(qū)動(dòng),業(yè)務(wù)使用性能接近硬件裸性能
具體的軟硬協(xié)同的小塊數(shù)據(jù)優(yōu)化測試結(jié)果
基于飛騰安全引擎,銀河麒麟操作系統(tǒng)V10 SP1還可以為客戶提供基于TEE側(cè)安全態(tài)硬件安全能力的磁盤數(shù)據(jù)安全保護(hù)方案,并已在項(xiàng)目中成功應(yīng)用部署:
•實(shí)現(xiàn)關(guān)鍵安全模塊的隔離
•TEE側(cè)基于硬件API和擴(kuò)展指令實(shí)現(xiàn)全硬件的安全服務(wù)
•改寫安全算法庫實(shí)現(xiàn)REE側(cè)透明使用
•基于OpenSSL標(biāo)準(zhǔn)接口,REE側(cè)可透明調(diào)用硬件安全引擎
經(jīng)過多年的探索實(shí)踐,“PKS體系”已在政務(wù)、能源、金融等領(lǐng)域得到廣泛應(yīng)用,成為事實(shí)上的我國自主安全綠色計(jì)算信息系統(tǒng)的核心底座。未來,PKS體系將繼續(xù)秉持“用戶體驗(yàn)至上” 原則,攜手更多生態(tài)伙伴積極開展核心技術(shù)聯(lián)合攻關(guān),共同加速構(gòu)建安全先進(jìn)綠色的產(chǎn)業(yè)生態(tài)圈,為廣泛客戶帶來更優(yōu)質(zhì)的產(chǎn)品及服務(wù)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )