《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > AET原創(chuàng) > 中電海南創(chuàng)新院黃明:PKS體系助力工業(yè)互聯(lián)網(wǎng)發(fā)展

中電海南創(chuàng)新院黃明:PKS體系助力工業(yè)互聯(lián)網(wǎng)發(fā)展

2021-04-26
作者:韋肖葳
來(lái)源:電子技術(shù)應(yīng)用

       2021年4月10日,,CITE2021 工業(yè)互聯(lián)網(wǎng)發(fā)展與安全峰會(huì)在深圳召開(kāi),中電(海南)聯(lián)合創(chuàng)新研究院技術(shù)總師黃明在會(huì)上發(fā)表了題為《PKS體系助力工業(yè)互聯(lián)網(wǎng)發(fā)展》的報(bào)告。


Picture 1.png 


中電(海南)聯(lián)合創(chuàng)新研究院技術(shù)總師 黃明

 

       黃明表示,,2016年總書(shū)記的“419”講話(huà)將網(wǎng)絡(luò)安全提到了一個(gè)前所未有的高度。中國(guó)電子根據(jù)自己國(guó)家網(wǎng)絡(luò)安全信息國(guó)家隊(duì)的定位,,經(jīng)過(guò)十年磨一劍,,構(gòu)建了基于飛騰CPU和麒麟操作系統(tǒng)的PK體系。PKS是基于PK構(gòu)建的一個(gè)開(kāi)放的安全架構(gòu),,體現(xiàn)了安全和可信,,主要是要解決現(xiàn)有計(jì)算機(jī)先天缺乏免疫的問(wèn)題及漏洞和效率問(wèn)題。其中P為CPU,、內(nèi)存,、網(wǎng)絡(luò)交換芯片內(nèi)置可信核安全機(jī)制,內(nèi)置密碼體系,;K為操作系統(tǒng),、數(shù)據(jù)庫(kù)等基礎(chǔ)軟件內(nèi)置白名單、訪問(wèn)控制,、未知漏洞防護(hù)等安全增強(qiáng)機(jī)制,;S為可信策略管理、安全控制中心,、安全軟件應(yīng)用商店等立體防護(hù)和管控體系,。

 


Screen Shot 2021-04-22 at 3.12.13 pm.png

 

PKS核心理念

       黃明指出,PKS第一個(gè)核心理念是“雙體系架構(gòu)”,,也是基于CPU隔離的技術(shù),。


Screen Shot 2021-04-20 at 4.44.10 pm.png 


     

      雙體系架構(gòu)有如下幾個(gè)特征:

·       計(jì)算與防護(hù)雙體系結(jié)構(gòu):軟件定義物理隔離,全程動(dòng)態(tài)可信度量控制,;

·       內(nèi)存內(nèi)置物理防護(hù)技術(shù),,使得關(guān)鍵區(qū)域不能篡改,關(guān)鍵數(shù)據(jù)保密存儲(chǔ),;

·       兼容性好,,可以實(shí)現(xiàn)不修改應(yīng)用程序,同時(shí)使性能損耗不超5%(64核)。

 

       第二個(gè)核心理念是“內(nèi)生內(nèi)置”(Build In),。

Screen Shot 2021-04-20 at 4.47.20 pm.png


        “內(nèi)生內(nèi)置”有如下四點(diǎn)特征:

·       CPU內(nèi)置可信計(jì)算3.0主動(dòng)防御架構(gòu)

·       OS內(nèi)置安全控制臺(tái),,直觀配置和狀態(tài)展示

·       安全內(nèi)存保護(hù)核心內(nèi)存區(qū)域免受攻擊

·       未知漏洞防護(hù)引擎攔截可信程序的漏洞攻擊

 

PKS優(yōu)勢(shì)特點(diǎn)

       黃明指出,PKS的主要優(yōu)勢(shì)特點(diǎn)有三個(gè):

·       國(guó)際首次采用CPU的內(nèi)置可信技術(shù)

       飛騰CPU隔離出可信核用于可信計(jì)算,,將白名單機(jī)制嵌入麒麟OS,,實(shí)現(xiàn)計(jì)算和安全防護(hù)的雙體系結(jié)構(gòu);

·       國(guó)際首次采用內(nèi)存內(nèi)置物理防護(hù)技術(shù)

       在內(nèi)存緩存控制器內(nèi)置硬件防護(hù)芯片,,對(duì)關(guān)鍵代碼和關(guān)鍵數(shù)據(jù)按需實(shí)時(shí)權(quán)限策略管理,;

·       未知漏洞指令流檢測(cè)技術(shù)和終端云端統(tǒng)一安全管控

        基于內(nèi)存指令流的未知漏洞檢測(cè)技術(shù)、安全軟件與PK核心一體化,,終端云端統(tǒng)一安全管控

 

       黃明表示,,“這是我們的三大核心技術(shù),三大核心技術(shù)構(gòu)筑了最底層的安全底座,,基于三大核心技術(shù)研制出來(lái)的產(chǎn)品有八個(gè)技術(shù)點(diǎn),,把完整點(diǎn)分散于整個(gè)信息系統(tǒng)的所有關(guān)鍵地方?!澳敲袋S明所指的八大控制點(diǎn)又有哪些呢?

 

PK體系的八大控制點(diǎn)

       第一,,  基于飛騰CPU通用核的可信核,。CPU內(nèi)置PSPA安全平臺(tái)架構(gòu),將密鑰管理,、可信執(zhí)行等放入CPU內(nèi),,是可信和安全運(yùn)行的起始點(diǎn)。

       第二,,  基于麒麟OS的安全及可信控制,。將多種核心安全組件以O(shè)S內(nèi)核內(nèi)置驅(qū)動(dòng)的方式深度融合,形成高強(qiáng)度基礎(chǔ)安全防護(hù)能力,。

       第三,,  基于芯片的內(nèi)存安全防護(hù)。安全內(nèi)存模組內(nèi)置安全控制芯片,,兼容通用內(nèi)存標(biāo)準(zhǔn)的同時(shí)提供對(duì)關(guān)鍵代碼區(qū),、關(guān)鍵數(shù)據(jù)區(qū)的內(nèi)存訪問(wèn)權(quán)限動(dòng)態(tài)管理。

       第四,,  基于安全固件的整機(jī)防護(hù),。安全可信固件形成可信啟動(dòng)、軟件定義安全資源,、防止固件被惡意篡改等能力,。

       第五,  安全隔離環(huán)境(可信運(yùn)行區(qū))??尚胚\(yùn)行具備整系統(tǒng)的動(dòng)態(tài)可信監(jiān)控,、安全策略動(dòng)態(tài)收發(fā)等能力,將“被動(dòng)防御”變?yōu)椤爸鲃?dòng)免疫”,。

       第六,,  基于雙體系的開(kāi)放安全架構(gòu)。含通用API和安全API的開(kāi)放式安全開(kāi)發(fā)框架,,兼容既有PK應(yīng)用程序,,保障PK生態(tài)開(kāi)放安全、高效開(kāi)發(fā),。

       第七,,  基于內(nèi)存指令流的未知漏洞防護(hù)引擎。漏洞防護(hù)擺脫對(duì)文件,、流量,、數(shù)據(jù)、行為的依賴(lài),,采用內(nèi)存指令控制流檢測(cè)技術(shù),,從更低層提供對(duì)各種未知和已知漏洞的防護(hù)能力。

       第八,,  云端一體的安全管控,。前端運(yùn)行狀態(tài)與后臺(tái)監(jiān)控分析相互聯(lián)系、相互作用,,在整體上具備單個(gè)產(chǎn)品和服務(wù)所沒(méi)有的安全功能,,從而有效保障復(fù)雜系統(tǒng)的安全。

 

       在談及PKS的防護(hù)優(yōu)勢(shì)時(shí),,黃明表示,,在2020年的網(wǎng)絡(luò)攻防演練中,以PKS為核心的安全防護(hù)體系在一天之內(nèi)成功檢測(cè)并攔截120余支戰(zhàn)隊(duì)的攻擊71298次,,攻擊無(wú)一成功,。在2020年數(shù)字中國(guó)創(chuàng)新大賽虎符網(wǎng)絡(luò)安全賽道,“PKS立體安全防護(hù)體系”成功應(yīng)對(duì)了攻防大賽681支安全攻擊團(tuán)隊(duì)的挑戰(zhàn),。下圖所示,,綠色代表防護(hù)成功;紅色代表攻擊成功,。圖表上半部分是基于Intel+Linux,,下半部分是基于PKS的防護(hù)成果。

 


Screen Shot 2021-04-22 at 11.03.57 am.png

 

        PKS的體系優(yōu)勢(shì)同樣重要,?!斑@些核心的技術(shù)不是憑空短時(shí)間內(nèi)產(chǎn)生的,,是CEC有一個(gè)信創(chuàng)產(chǎn)業(yè)鏈深度的融合,也是十年磨一劍的結(jié)果,?!埃S明表示,,“與國(guó)外商用平臺(tái)的對(duì)比,,它們其實(shí)是在一個(gè)CPU封裝兩套系統(tǒng),真正應(yīng)用CPU計(jì)算資源的空間是看不到,,只是在外圍圍繞通過(guò)總線(xiàn)來(lái)逐步查看,。手機(jī)上應(yīng)用的技術(shù)包括支付、人臉識(shí)別都是在這里完成的,,但是這些程序之間一旦進(jìn)入這個(gè)空間,,里面是沒(méi)有私密性的,但是PKS利用前面的三大技術(shù)是完全隔離私密性的,。這是一個(gè)體系的優(yōu)勢(shì),。”


Screen Shot 2021-04-22 at 3.57.11 pm.png 

PKS在工業(yè)互聯(lián)網(wǎng)上怎么用,?

       PKS是安全,、兼容、低損耗的,?!暗谝粋€(gè)優(yōu)勢(shì)是完全兼容已有用戶(hù)的軟件(不需要做開(kāi)發(fā)),使用過(guò)程中用戶(hù)完全感知不到這一塊安全保護(hù)的存在,;它的性能損耗控制在5%以?xún)?nèi),,只有一個(gè)度量的損耗,,硬件上如果是基于PK的主板也不需要換主板,,我們完成通過(guò)軟件定義(從固定級(jí)到操作系統(tǒng)級(jí)),已有的數(shù)據(jù)和軟件不需要重新安全,,完全做到了兼容和低損耗,。另外雙體系的第二個(gè)體系也不做可信,因?yàn)楣I(yè)控制也很多實(shí)時(shí)性要求和安全要求,,我們可以把實(shí)時(shí)做到第二個(gè)關(guān)鍵里面,,把安全要求做到第一個(gè)區(qū)域,可以有更多的變種實(shí)現(xiàn)數(shù)據(jù)的一體機(jī),,在一個(gè)開(kāi)放的環(huán)境里面實(shí)現(xiàn)非常私密和高效的安全,。” 黃明表示,。


Screen Shot 2021-04-22 at 4.05.50 pm.png


 

       “我們這個(gè)工業(yè)互聯(lián)網(wǎng)可以在中后臺(tái),,比如說(shuō)邊緣的網(wǎng)關(guān),、數(shù)據(jù)平臺(tái)和云平臺(tái)上使用,可以在局部的關(guān)鍵部位來(lái)使用,,也可以在全網(wǎng)來(lái)使用,,安全控制平臺(tái)可以越級(jí)直達(dá)后臺(tái)的管控中心。另外我們的管控中心是可有可無(wú)的,,對(duì)于前端的安全策略進(jìn)行配置之后也可以把它關(guān)掉,。”黃明補(bǔ)充道,。

 


Screen Shot 2021-04-22 at 4.09.35 pm.png 

       同時(shí),,PKS體系也是開(kāi)放、標(biāo)準(zhǔn),、可控的,。“PKS完全符合ARM和Linux的標(biāo)準(zhǔn),,我們基于PK體系,,除了核心架構(gòu)之外還有相應(yīng)的標(biāo)準(zhǔn)、場(chǎng)景和生態(tài),。是基于這個(gè)標(biāo)準(zhǔn)化的框架進(jìn)行我們產(chǎn)品的研發(fā),。”

 


Screen Shot 2021-04-22 at 4.12.58 pm.png

此內(nèi)容為AET網(wǎng)站原創(chuàng),,未經(jīng)授權(quán)禁止轉(zhuǎn)載,。