麒麟软件北网信创学院

麒麟软件原生支持飞腾安全加速引擎,夯实内生安全基础



近年来,为了增强科技自立自强能力,从根本上改变信息技术产业基础不牢、受制于人的局面,我国高度重视网信产业发展,从技术、产品、市场、生态等多维度推动网信产业发展。中国电子作为一家以网络安全和信息化为主业的企业,被赋予了加速打造国家网信产业核心力量和组织平台的重要使命。


如今中国电子已经构建起被称为“PKS”的完整国产安全数字底座(“P”代表飞腾CPU,“K”代表麒麟操作系统,“S”代表立体防护安全链),在国产计算产业链、安全产业链、关键制造环节都有相应的布局,为国家实现关后门、堵漏洞、防断供的安全战略提供有力支持。


微信图片_20220715105151.png


PKS计算体系发展了传统的冯.诺依曼架构,通过CPU+OS原生支持,支撑 “自底向上打通”的“计算+安全”双体系安全架构,具备更彻底的本质安全和内生安全。


PKS双体系安全防护通过飞腾计算安全双架构技术、固件安全增强技术、可信赖执行环境技术、麒麟内核安全管控技术、异构加速和内存安全增强技术五大关键技术,紧跟业界技术趋势,以CPU、OS、整机为载体,协同实现计算融合安全的整体能力。创新解决了传统计算体系面临的围墙式安全和外挂式安全问题。


从基础具有内生安全特性的飞腾CPU、麒麟操作系统、内存控制器等开始,对上层软硬件和应用完全开放,使各层用户能进行深度定制和柔性重构,使各种应用能基于系统顶层设计进行从上到下和自底向上的系统优化,从而为用户提供独特的、最佳的体验和服务。


微信图片_20220715105159.png


举例来说,飞腾CPU内部集成了安全加速引擎模块,该模块能够硬件加速对称、非对称、哈希等安全算法,并且能够产生真随机数。飞腾提供了硬件安全引擎驱动程序及openssl标准接口,以便于麒麟操作系统集成硬件安全引擎,夯实操作系统内生基础安全能力。

• 按照Linux Kernel 安全框架实现内核驱动接口

• 按照字符设备将引擎的资源进行映射,实现了高效访问的用户态驱动

• 通过用户态驱动适配层与OpenSSL无缝对接

• 业务可使用内核或OpenSSL系统标准接口


微信图片_20220715105207.png

飞腾CPU安全引擎软件栈架构


银河麒麟操作系统V10 SP1,集成了飞腾CPU安全引擎,不仅支持用户从内核态到用户态多层级的API调用,并适配了飞腾针对性深度优化后的软件接口:

• 基于最短硬件访问路径的用户态驱动优化

• 软件硬件协同的小块数据性能优化

• 内核态驱动:哈希算法提高171%,对称算法提高30%

• 用户态驱动,业务使用性能接近硬件裸性能


微信图片_20220715105214.jpg

具体的软硬协同的小块数据优化测试结果


基于飞腾安全引擎,银河麒麟操作系统V10 SP1还可以为客户提供基于TEE侧安全态硬件安全能力的磁盘数据安全保护方案,并已在项目中成功应用部署:

• 实现关键安全模块的隔离

• TEE侧基于硬件API和扩展指令实现全硬件的安全服务

 改写安全算法库实现REE侧透明使用

• 基于OpenSSL标准接口,REE侧可透明调用硬件安全引擎


微信图片_20220715105220.png


经过多年的探索实践,“PKS体系”已在政务、能源、金融等领域得到广泛应用,成为事实上的我国自主安全绿色计算信息系统的核心底座。未来,PKS体系将继续秉持“用户体验至上” 原则,携手更多生态伙伴积极开展核心技术联合攻关,共同加速构建安全先进绿色的产业生态圈,为广泛客户带来更优质的产品及服务。