PKS計算體系發(fā)展了傳統(tǒng)的馮.諾依曼架構(gòu)�����,通過CPU+OS原生支持���,支撐 “自底向上打通”的“計算+安全”雙體系安全架構(gòu)�����,具備更徹底的本質(zhì)安全和內(nèi)生安全�。
PKS雙體系安全防護通過飛騰計算安全雙架構(gòu)技術����、固件安全增強技術、可信賴執(zhí)行環(huán)境技術�����、麒麟內(nèi)核安全管控技術、異構(gòu)加速和內(nèi)存安全增強技術五大關鍵技術���,緊跟業(yè)界技術趨勢,以CPU�����、OS����、整機為載體,協(xié)同實現(xiàn)計算融合安全的整體能力�����。創(chuàng)新解決了傳統(tǒng)計算體系面臨的圍墻式安全和外掛式安全問題��。
從基礎具有內(nèi)生安全特性的飛騰CPU�、麒麟操作系統(tǒng)、內(nèi)存控制器等開始���,對上層軟硬件和應用完全開放���,使各層用戶能進行深度定制和柔性重構(gòu),使各種應用能基于系統(tǒng)頂層設計進行從上到下和自底向上的系統(tǒng)優(yōu)化,從而為用戶提供獨特的�����、最佳的體驗和服務��。
舉例來說��,飛騰CPU內(nèi)部集成了安全加速引擎模塊���,該模塊能夠硬件加速對稱����、非對稱��、哈希等安全算法����,并且能夠產(chǎn)生真隨機數(shù)。飛騰提供了硬件安全引擎驅(qū)動程序及openssl標準接口���,以便于麒麟操作系統(tǒng)集成硬件安全引擎���,夯實操作系統(tǒng)內(nèi)生基礎安全能力�。
?按照Linux Kernel 安全框架實現(xiàn)內(nèi)核驅(qū)動接口
?按照字符設備將引擎的資源進行映射����,實現(xiàn)了高效訪問的用戶態(tài)驅(qū)動
?通過用戶態(tài)驅(qū)動適配層與OpenSSL無縫對接
?業(yè)務可使用內(nèi)核或OpenSSL系統(tǒng)標準接口
飛騰CPU安全引擎軟件棧架構(gòu)
銀河麒麟操作系統(tǒng)V10 SP1,集成了飛騰CPU安全引擎�,不僅支持用戶從內(nèi)核態(tài)到用戶態(tài)多層級的API調(diào)用�,并適配了飛騰針對性深度優(yōu)化后的軟件接口:
?基于最短硬件訪問路徑的用戶態(tài)驅(qū)動優(yōu)化
?軟件硬件協(xié)同的小塊數(shù)據(jù)性能優(yōu)化
?內(nèi)核態(tài)驅(qū)動:哈希算法提高171%,對稱算法提高30%
?用戶態(tài)驅(qū)動�,業(yè)務使用性能接近硬件裸性能
具體的軟硬協(xié)同的小塊數(shù)據(jù)優(yōu)化測試結(jié)果
基于飛騰安全引擎,銀河麒麟操作系統(tǒng)V10 SP1還可以為客戶提供基于TEE側(cè)安全態(tài)硬件安全能力的磁盤數(shù)據(jù)安全保護方案��,并已在項目中成功應用部署:
?實現(xiàn)關鍵安全模塊的隔離
?TEE側(cè)基于硬件API和擴展指令實現(xiàn)全硬件的安全服務
?改寫安全算法庫實現(xiàn)REE側(cè)透明使用
?基于OpenSSL標準接口�,REE側(cè)可透明調(diào)用硬件安全引擎
經(jīng)過多年的探索實踐,“PKS體系”已在政務�����、能源�����、金融等領域得到廣泛應用�����,成為事實上的我國自主安全綠色計算信息系統(tǒng)的核心底座。未來��,PKS體系將繼續(xù)秉持“用戶體驗至上” 原則�����,攜手更多生態(tài)伙伴積極開展核心技術聯(lián)合攻關�����,共同加速構(gòu)建安全先進綠色的產(chǎn)業(yè)生態(tài)圈����,為廣泛客戶帶來更優(yōu)質(zhì)的產(chǎn)品及服務。
