首页 > 科技资讯 > 正文

麒麟软件原生支持飞腾安全加速引擎,夯实内生安全基础

        【每日科技网】

  近年来,为了增强科技自立自强能力,从根本上改变信息技术产业基础不牢、受制于人的局面,我国高度重视网信产业发展,从技术、产品、市场、生态等多维度推动网信产业发展。中国电子作为一家以网络安全和信息化为主业的企业,被赋予了加速打造国家网信产业核心力量和组织平台的重要使命。

  如今中国电子已经构建起被称为“PKS”的完整国产安全数字底座(“P”代表飞腾CPU,“K”代表麒麟操作系统,“S”代表立体防护安全链),在国产计算产业链、安全产业链、关键制造环节都有相应的布局,为国家实现关后门、堵漏洞、防断供的安全战略提供有力支持。

微信图片_20220509162401.png

  PKS计算体系发展了传统的冯.诺依曼架构,通过CPU+OS原生支持,支撑 “自底向上打通”的“计算+安全”双体系安全架构,具备更彻底的本质安全和内生安全。

  PKS双体系安全防护通过飞腾计算安全双架构技术、固件安全增强技术、可信赖执行环境技术、麒麟内核安全管控技术、异构加速和内存安全增强技术五大关键技术,紧跟业界技术趋势,以CPU、OS、整机为载体,协同实现计算融合安全的整体能力。创新解决了传统计算体系面临的围墙式安全和外挂式安全问题。

  从基础具有内生安全特性的飞腾CPU、麒麟操作系统、内存控制器等开始,对上层软硬件和应用完全开放,使各层用户能进行深度定制和柔性重构,使各种应用能基于系统顶层设计进行从上到下和自底向上的系统优化,从而为用户提供独特的、的体验和服务。

微信图片_20220509162406.png

  举例来说,飞腾CPU内部集成了安全加速引擎模块,该模块能够硬件加速对称、非对称、哈希等安全算法,并且能够产生真随机数。飞腾提供了硬件安全引擎驱动程序及openssl标准接口,以便于麒麟操作系统集成硬件安全引擎,夯实操作系统内生基础安全能力。

  • 按照Linux Kernel 安全框架实现内核驱动接口

  • 按照字符设备将引擎的资源进行映射,实现了高效访问的用户态驱动

  • 通过用户态驱动适配层与OpenSSL无缝对接

  • 业务可使用内核或OpenSSL系统标准接口

微信图片_20220509162412.png

  飞腾CPU安全引擎软件栈架构

  银河麒麟操作系统V10 SP1,集成了飞腾CPU安全引擎,不仅支持用户从内核态到用户态多层级的API调用,并适配了飞腾针对性深度优化后的软件接口:

  • 基于最短硬件访问路径的用户态驱动优化

  • 软件硬件协同的小块数据性能优化

  • 内核态驱动:哈希算法提高171%,对称算法提高30%

  • 用户态驱动,业务使用性能接近硬件裸性能

微信图片_20220509162419.jpg

  具体的软硬协同的小块数据优化测试结果

  基于飞腾安全引擎,银河麒麟操作系统V10 SP1还可以为客户提供基于TEE侧安全态硬件安全能力的磁盘数据安全保护方案,并已在项目中成功应用部署:

  • 实现关键安全模块的隔离

  • TEE侧基于硬件API和扩展指令实现全硬件的安全服务

  • 改写安全算法库实现REE侧透明使用

  • 基于OpenSSL标准接口,REE侧可透明调用硬件安全引擎

微信图片_20220509162425.png

  经过多年的探索实践,“PKS体系”已在政务、能源、金融等领域得到广泛应用,成为事实上的我国自主安全绿色计算信息系统的核心底座。未来,PKS体系将继续秉持“用户体验至上” 原则,携手更多生态伙伴积极开展核心技术联合攻关,共同加速构建安全先进绿色的产业生态圈,为广泛客户带来更优质的产品及服务。

免责声明:本文仅代表作者个人观点,与每日科技网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

本网站有部分内容均转载自其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责,若因作品内容、知识产权、版权和其他问题,请及时提供相关证明等材料并与我们联系,本网站将在规定时间内给予删除等相关处理.