信息化觀察網(wǎng)

引用本文：樂(lè)宏彥.從新基建安全看高速密碼技術(shù)應(yīng)用的發(fā)展[J].信息安全與通信保密,2020(11):12-19.

摘 要

當(dāng)前網(wǎng)絡(luò)空間安全威脅日益嚴(yán)峻，等保2.0和密碼法等一系列法律法規(guī)的頒布促進(jìn)加強(qiáng)密碼應(yīng)用，保障網(wǎng)絡(luò)空間安全。今年國(guó)家發(fā)改委首次明確了“新基建”的范圍，新型基礎(chǔ)設(shè)施以網(wǎng)絡(luò)和數(shù)據(jù)為核心，本質(zhì)上是信息數(shù)字化的基礎(chǔ)設(shè)施，對(duì)超大網(wǎng)絡(luò)流量、超大數(shù)據(jù)規(guī)模的明確安全要求，急需超高速密碼技術(shù)、產(chǎn)品的廣泛支撐。超高速密碼技術(shù)是一個(gè)不斷探索的技術(shù)創(chuàng)新體系，促進(jìn)在新基建中的全面應(yīng)用、發(fā)展更是加強(qiáng)國(guó)家網(wǎng)絡(luò)空間安全的重要行動(dòng)。

關(guān)鍵詞：網(wǎng)絡(luò)空間；新基建；密碼應(yīng)用；高速密碼技術(shù)

內(nèi)容目錄：

0 引 言

1 網(wǎng)絡(luò)空間安全威脅日益嚴(yán)峻

2 密碼打造新基建的安全基石

3 密碼與新基建的深度融合

4 超高速密碼，全力為新基建護(hù)航

5 超高速密碼技術(shù)創(chuàng)新的探索

6 結(jié) 論

0

引 言

戰(zhàn)爭(zhēng)的形式不止于兵戎相見(jiàn)這一種。網(wǎng)絡(luò)空間早已成為大國(guó)較量的另一重要戰(zhàn)場(chǎng)。

2020年3月26日，中國(guó)國(guó)防部發(fā)言人任國(guó)強(qiáng)在回應(yīng)記者提問(wèn)時(shí)表示：“長(zhǎng)期以來(lái)，美國(guó)違反國(guó)際法和國(guó)際關(guān)系基本準(zhǔn)則，對(duì)外國(guó)政府、企業(yè)和個(gè)人實(shí)施大規(guī)模、有組織、無(wú)差別的網(wǎng)絡(luò)竊密、監(jiān)控和攻擊，是國(guó)際社會(huì)公認(rèn)的慣犯。從‘維基解密’‘斯諾登事件’‘瑞士加密機(jī)事件’到此次的360公司有關(guān)報(bào)告，事實(shí)一再證明，在網(wǎng)絡(luò)安全問(wèn)題上，美方是全球最大的竊密者。我們?cè)俅螐?qiáng)烈敦促美方立即停止對(duì)中方進(jìn)行網(wǎng)絡(luò)竊密和攻擊活動(dòng)，還中國(guó)和世界一個(gè)和平、安全、開(kāi)放、合作的網(wǎng)絡(luò)空間。”

2018年12月，中央經(jīng)濟(jì)工作會(huì)議在北京舉行，重新定義了基礎(chǔ)設(shè)施建設(shè)。2020年3月，中共中央政治局常務(wù)委員會(huì)召開(kāi)會(huì)議，強(qiáng)調(diào)“要加大公共衛(wèi)生服務(wù)、應(yīng)急物資保障領(lǐng)域投入，加快5G網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度”。2020年5月，《2020年國(guó)務(wù)院政府工作報(bào)告》提出，重點(diǎn)支持“兩新一重”建設(shè)。

為了適應(yīng)新基建安全需求，建設(shè)密碼應(yīng)用支撐體系。本著基礎(chǔ)性、系統(tǒng)性、前瞻性的原則，積極發(fā)展創(chuàng)新領(lǐng)域的新型密碼應(yīng)用，以適應(yīng)新基建數(shù)字化轉(zhuǎn)型與業(yè)務(wù)發(fā)展的需要。

1

網(wǎng)絡(luò)空間安全威脅日益嚴(yán)峻

2020年3月，中國(guó)網(wǎng)絡(luò)安全公司360宣布，通過(guò)該公司旗下“360安全大腦”的調(diào)查分析，發(fā)現(xiàn)美國(guó)中央情報(bào)局（CIA）的網(wǎng)絡(luò)攻擊組織“APT-C-39（APT，高級(jí)長(zhǎng)期威脅）”對(duì)中國(guó)進(jìn)行了長(zhǎng)達(dá)11年的網(wǎng)絡(luò)攻擊滲透。在此期間，中國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等多個(gè)單位均遭到不同程度的攻擊。

2017年，維基解密向全球披露了8716份來(lái)自美國(guó)中央情報(bào)局（CIA）網(wǎng)絡(luò)情報(bào)中心的文件，其中包含涉密文件156份，涵蓋了CIA黑客部隊(duì)的攻擊手法、目標(biāo)、工具的技術(shù)規(guī)范和要求。而這次的公布中，包含了核心武器文件——“Vault7（穹窿7）”。

“360安全大腦”通過(guò)對(duì)泄漏的“Vault7（穹窿7）”網(wǎng)絡(luò)武器資料的研究，并對(duì)其深入分析和溯源，發(fā)現(xiàn)了與其關(guān)聯(lián)的一系列針對(duì)中國(guó)航空航天、科研機(jī)構(gòu)、石油行業(yè)、大型互聯(lián)網(wǎng)公司以及政府機(jī)構(gòu)等長(zhǎng)達(dá)十一年的定向攻擊活動(dòng)。而這些攻擊活動(dòng)最早可以追溯到2008年，并主要集中在北京、廣東、浙江等省市。而上述這些定向攻擊活動(dòng)都?xì)w結(jié)于一個(gè)鮮少被外界曝光的涉美APT組織——“APT-C-39”。

“APT-C-39”組織在針對(duì)中國(guó)航空航天與科研機(jī)構(gòu)的攻擊中，主要是圍繞這些機(jī)構(gòu)的系統(tǒng)開(kāi)發(fā)人員來(lái)進(jìn)行定向打擊。而這些開(kāi)發(fā)人員主要從事的是航空信息技術(shù)有關(guān)服務(wù)，如航班控制系統(tǒng)服務(wù)、貨運(yùn)信息服務(wù)、結(jié)算分銷服務(wù)、乘客信息服務(wù)等。這項(xiàng)攻擊不僅僅是針對(duì)中國(guó)國(guó)內(nèi)航空航天領(lǐng)域，同時(shí)還覆蓋百家海外及地區(qū)的商營(yíng)航空公司。

根據(jù)推測(cè)：該組織在過(guò)去長(zhǎng)達(dá)十一年的滲透攻擊里，通過(guò)攻破或許早已掌握到了中國(guó)乃至國(guó)際航空的精密信息，甚至不排除已實(shí)時(shí)追蹤定位全球的航班實(shí)時(shí)動(dòng)態(tài)、飛機(jī)飛行軌跡、乘客信息、貿(mào)易貨運(yùn)等相關(guān)情報(bào)。

2

密碼打造新基建的安全基石

2020年4月20日，國(guó)家發(fā)改委首次明確了“新基建”的范圍，包括信息基礎(chǔ)設(shè)施、融合基礎(chǔ)設(shè)施、創(chuàng)新基礎(chǔ)設(shè)施三個(gè)方面。新型基礎(chǔ)設(shè)施是以新發(fā)展理念為引領(lǐng)；以技術(shù)創(chuàng)新為驅(qū)動(dòng)；以信息網(wǎng)絡(luò)為基礎(chǔ)，面向高質(zhì)量發(fā)展需要，提供數(shù)字轉(zhuǎn)型、智能升級(jí)、融合創(chuàng)新等服務(wù)的基礎(chǔ)設(shè)施體系。

在“新基建”的浪潮下，面對(duì)國(guó)內(nèi)外安全環(huán)境的深刻變化和日益嚴(yán)峻的安全形勢(shì)，以及在網(wǎng)絡(luò)安全領(lǐng)域加快構(gòu)建自主可控、安全可靠的信息技術(shù)體系的戰(zhàn)略目標(biāo)，我們要做的不僅僅是“新基建”的推進(jìn)和落地，更重要的是如何保障各類基礎(chǔ)設(shè)施體系，尤其是關(guān)乎國(guó)家安全的關(guān)鍵信息基礎(chǔ)設(shè)施的高質(zhì)量建設(shè)：如何讓新型基礎(chǔ)設(shè)施運(yùn)營(yíng)者理解、重視基礎(chǔ)設(shè)施所面臨的各種安全威脅，又如何去探索、正視“新基建”環(huán)境下新的安全挑戰(zhàn)。這是所有基礎(chǔ)設(shè)施運(yùn)營(yíng)者及相關(guān)安全人員必須思考的問(wèn)題，也是“新基建”高質(zhì)量發(fā)展的迫切需求。

新型基礎(chǔ)設(shè)施建設(shè)，包括5G基站建設(shè)、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數(shù)據(jù)中心、人工智能、工業(yè)互聯(lián)網(wǎng)等七大領(lǐng)域；新基建場(chǎng)景化的行業(yè)應(yīng)用，主要包括車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、企業(yè)上云、遠(yuǎn)程醫(yī)療、智慧城市、智慧醫(yī)療、智慧教育、智慧交通、智慧工廠、智能媒體、智能家居、服務(wù)機(jī)器人、移動(dòng)設(shè)備/UAV、自動(dòng)駕駛、新能源汽車、電力等能源行業(yè)。2020年，新冠肺炎疫情發(fā)生以來(lái)，包括人工智能在內(nèi)的“新基建”按下快進(jìn)鍵，服務(wù)機(jī)器人市場(chǎng)正迎來(lái)新的發(fā)展機(jī)遇。

由此可見(jiàn)，新型基礎(chǔ)設(shè)施以網(wǎng)絡(luò)和數(shù)據(jù)為核心，本質(zhì)上是信息數(shù)字化的基礎(chǔ)設(shè)施。新基建的進(jìn)程提速，在促進(jìn)相關(guān)產(chǎn)品發(fā)展、提升競(jìng)爭(zhēng)軟實(shí)力的同時(shí)，也為我國(guó)網(wǎng)絡(luò)信息安全帶來(lái)了全新的挑戰(zhàn)。

新基建的“主動(dòng)安全”需求，針對(duì)從端到云、從日志到流量、從設(shè)備到系統(tǒng)的數(shù)據(jù)范疇擴(kuò)大需求，針對(duì)集成情報(bào)、文本語(yǔ)義分析、機(jī)器學(xué)習(xí)的智能模型進(jìn)階需求，針對(duì)本地監(jiān)測(cè)、自定義規(guī)則響應(yīng)、開(kāi)放生態(tài)環(huán)境的響應(yīng)能力升級(jí)需求，突出了從事后補(bǔ)救到安全前置，從局部分割到全面防護(hù)，從被動(dòng)安全到主動(dòng)安全的轉(zhuǎn)變。

保障網(wǎng)絡(luò)空間的安全秩序，是新基建安全有序運(yùn)轉(zhuǎn)的關(guān)鍵環(huán)節(jié)，而密碼在構(gòu)建網(wǎng)絡(luò)空間信任、保障網(wǎng)絡(luò)空間秩序中提供核心技術(shù)和基礎(chǔ)支撐。密碼應(yīng)用與新基建的深度融合，構(gòu)筑成數(shù)字經(jīng)濟(jì)發(fā)展的“護(hù)城河”和“城墻”，使新基建具有“主動(dòng)免疫力”，支撐國(guó)家經(jīng)濟(jì)增長(zhǎng)。

密碼與新基建的融合邏輯關(guān)系，如圖1所示。

圖1 密碼與新基建的邏輯關(guān)系

綜上，新基建的密碼應(yīng)用業(yè)務(wù)發(fā)展領(lǐng)域，重點(diǎn)宜突出在與基礎(chǔ)設(shè)施的融合、與行業(yè)應(yīng)用的融合這兩個(gè)方面，真正落實(shí)到“主動(dòng)發(fā)現(xiàn)、智能分析、提前預(yù)警、及時(shí)響應(yīng)”的能力要求上， 把密碼打造成新基建的安全基石。

3

密碼與新基建的深度融合

密碼應(yīng)用是數(shù)據(jù)安全從封閉走向共享開(kāi)放的關(guān)鍵。數(shù)據(jù)是數(shù)字經(jīng)濟(jì)的核心資產(chǎn)，隨著我國(guó)數(shù)據(jù)安全法草案的公布，全面的數(shù)據(jù)安全保障能力是新一代網(wǎng)絡(luò)安全框架不可缺少的組成部分。在大數(shù)據(jù)安全防護(hù)和共享開(kāi)放方面，密碼技術(shù)起到關(guān)鍵作用。主要包括：數(shù)據(jù)加密傳輸，如VPN網(wǎng)關(guān)、應(yīng)用層數(shù)據(jù)傳輸加密網(wǎng)關(guān)；數(shù)據(jù)存儲(chǔ)加密，如數(shù)據(jù)庫(kù)加密、文件加密；大數(shù)據(jù)密態(tài)分析，如關(guān)鍵字段加密、同態(tài)加密；數(shù)據(jù)共享與交換，如區(qū)塊鏈、多方計(jì)算等。

密碼應(yīng)用是5G通信與IT網(wǎng)絡(luò)安全融合的關(guān)鍵。5G網(wǎng)絡(luò)運(yùn)行在IT化的基礎(chǔ)設(shè)施上，需要密碼技術(shù)保障基礎(chǔ)設(shè)施軟硬件平臺(tái)的安全可信以及虛擬機(jī)與容器的可信；面向行業(yè)的業(yè)務(wù)應(yīng)用， 也需要基于密碼技術(shù)實(shí)現(xiàn)對(duì)數(shù)據(jù)和平臺(tái)訪問(wèn)的持續(xù)認(rèn)證，實(shí)現(xiàn)對(duì)訪問(wèn)行為的細(xì)粒度管控。

密碼應(yīng)用打破工業(yè)互聯(lián)網(wǎng)信息孤島，實(shí)現(xiàn)遠(yuǎn)程安全協(xié)同。密碼技術(shù)的應(yīng)用可以有效的實(shí)現(xiàn)工業(yè)現(xiàn)場(chǎng)環(huán)境、低功耗模式等工業(yè)系統(tǒng)端級(jí)別設(shè)備與訪問(wèn)用戶身份認(rèn)證，系統(tǒng)中不同網(wǎng)絡(luò)速率和連接要求的通信網(wǎng)絡(luò)的傳輸認(rèn)證和傳輸加密，關(guān)鍵工藝參數(shù)等敏感數(shù)據(jù)的存儲(chǔ)安全需求；在橫向隔離的工業(yè)網(wǎng)絡(luò)中，基于密碼技術(shù)支撐實(shí)現(xiàn)安全的遠(yuǎn)程接入，包括終端接入、運(yùn)維接入等，打破信息孤島，實(shí)現(xiàn)遠(yuǎn)程協(xié)同的業(yè)務(wù)需要，推動(dòng)工業(yè)互聯(lián)網(wǎng)信息交換。

密碼應(yīng)用促進(jìn)新一代云基礎(chǔ)設(shè)施安全框架的整合。在云安全方面，面向云的密碼服務(wù)是一種新的安全功能交付模式，是云計(jì)算技術(shù)與身份認(rèn)證、授權(quán)訪問(wèn)、傳輸加密、存儲(chǔ)加密等密碼技術(shù)的深度融合。如何實(shí)現(xiàn)密碼能力的虛擬化、資源化、服務(wù)化成為密碼發(fā)展的重要挑戰(zhàn)。在新一代網(wǎng)絡(luò)安全框架中，整合了面向政務(wù)云、行業(yè)云及公有云的密碼產(chǎn)品、密碼使用策略、密碼服務(wù)接口和服務(wù)流程，作為云基礎(chǔ)結(jié)構(gòu)安全的重要組件，密鑰管理系統(tǒng)、密碼服務(wù)系統(tǒng)、密碼設(shè)備管理系統(tǒng)將實(shí)現(xiàn)統(tǒng)一安全服務(wù)。

為了適應(yīng)新基建安全需求，需要建設(shè)密碼應(yīng)用支撐體系（如圖2所示），構(gòu)建涵蓋硬件設(shè)備、軟件模塊、密碼系統(tǒng)、密碼應(yīng)用、密碼支撐、密碼測(cè)評(píng)、應(yīng)用創(chuàng)新等領(lǐng)域的密碼應(yīng)用技術(shù)體系，積極發(fā)展創(chuàng)新領(lǐng)域的新型密碼應(yīng)用，適應(yīng)新基建數(shù)字化轉(zhuǎn)型與業(yè)務(wù)發(fā)展的需要。

圖2 新基建的密碼應(yīng)用支撐體系

4

超高速密碼，全力為新基建護(hù)航

密碼在新基建的融合應(yīng)用，急需超高速密碼技術(shù)的支撐。針對(duì)5G應(yīng)用、智慧城市等超大數(shù)據(jù)流量、超大用戶數(shù)量等復(fù)雜安全應(yīng)用場(chǎng)景， 需要提供超高性能的加密速度，能滿足運(yùn)營(yíng)商級(jí)別的網(wǎng)絡(luò)數(shù)據(jù)加密傳輸、超大容量數(shù)據(jù)安全存儲(chǔ)、超大規(guī)模AI大數(shù)據(jù)安全計(jì)算。

超高速密碼技術(shù)產(chǎn)品，應(yīng)能通過(guò)向核心網(wǎng)絡(luò)設(shè)備提供多線程的異步高速密碼運(yùn)算服務(wù)，保證敏感數(shù)據(jù)的機(jī)密性、完整性和抗抵賴性；采用國(guó)家密碼標(biāo)準(zhǔn)SM2、SM3、SM4 算法，滿足等級(jí)保護(hù)、密碼應(yīng)用測(cè)評(píng)的相關(guān)要求；產(chǎn)品設(shè)計(jì)符合國(guó)密局發(fā)布的《密碼模塊安全技術(shù)要求》等技術(shù)要求與規(guī)范。

結(jié)合密碼在智能網(wǎng)聯(lián)汽車綜合業(yè)務(wù)中的應(yīng)用場(chǎng)景，智能網(wǎng)聯(lián)汽車系統(tǒng)在日常運(yùn)行和管理過(guò)程中，在用戶身份鑒別、設(shè)備身份鑒別、重要數(shù)據(jù)（訪問(wèn)控制信息、日志記錄、車輛采集和控制信息等）的保密性和完整性保護(hù)方面，都需要采用密碼技術(shù)，重點(diǎn)在于解決人、車、云三者之間的通信如何防止信息泄露、篡改等安全問(wèn)題，更突出的是解決海量用戶、車輛信息在云端快速處理的問(wèn)題，急需超高速密碼技術(shù)產(chǎn)品。

結(jié)合密碼在物聯(lián)網(wǎng)中的應(yīng)用場(chǎng)景，重點(diǎn)保護(hù)的是對(duì)分散設(shè)備信息進(jìn)行自動(dòng)采集、數(shù)據(jù)管理、異常數(shù)據(jù)分析以及參數(shù)和控制指令下發(fā)的信息系統(tǒng)。為防范系統(tǒng)經(jīng)過(guò)網(wǎng)絡(luò)信道執(zhí)行數(shù)據(jù)采集、參數(shù)和控制指令下發(fā)操作時(shí)，通信雙方非授權(quán)主體的假冒，關(guān)鍵信息被截獲、篡改、重用等風(fēng)險(xiǎn)，在主站和采集設(shè)備之間的身份鑒別，以及系統(tǒng)重要數(shù)據(jù)在傳輸和存儲(chǔ)過(guò)程均需要使用密碼進(jìn)行保密性和完整性保護(hù)。由于物聯(lián)網(wǎng)、工業(yè)物聯(lián)網(wǎng)的數(shù)據(jù)量巨大、響應(yīng)效率要求高，急需超高速密碼技術(shù)產(chǎn)品，尤其是5G-Iot應(yīng)用場(chǎng)景。

5

超高速密碼技術(shù)創(chuàng)新的探索

2010年以來(lái)，國(guó)際上為了超大數(shù)據(jù)中心、電信級(jí)網(wǎng)絡(luò)干線的信息安全，不斷發(fā)展高速密碼技術(shù)，相對(duì)來(lái)說(shuō)，我國(guó)起步稍晚。比如AES- XTS分組算法作業(yè)方式在加密存儲(chǔ)方向國(guó)際上已應(yīng)用了多年，而我國(guó)今年新修訂的分組密碼作業(yè)方式SM4-XTS才剛剛寫入國(guó)家標(biāo)準(zhǔn)。近年來(lái)，國(guó)內(nèi)商密行業(yè)在高速密碼技術(shù)上紛紛加大研究投入，逐漸形成了高速密碼芯片（硬件邏輯電路設(shè)計(jì)、專用密碼芯片、通用密碼芯片）、高速密碼模塊（集成式密碼模組、通用型密碼模組）、高性能密碼整機(jī)（CPU專用指令架構(gòu)、GPU指令加速架構(gòu)）等方向的高速密碼生態(tài)圈。北京數(shù)盾信息科技有限公司專注于國(guó)產(chǎn)密碼技術(shù)研究、密碼信息安全產(chǎn)品研發(fā)和信息安全整體解決方案，是首批獲得國(guó)家密碼管理局認(rèn)定的商用密碼資質(zhì)的單位。擁有雄厚的密碼技術(shù)研發(fā)實(shí)力和頂尖的專家團(tuán)隊(duì)，獲得雙高、雙軟企業(yè)認(rèn)證，擁有完全自主的知識(shí)產(chǎn)權(quán)，取得了10款商用密碼產(chǎn)品證書、12項(xiàng)專利技術(shù)、40項(xiàng)商標(biāo)、34項(xiàng)軟件著作權(quán)。數(shù)盾科技與國(guó)內(nèi)知名高校、科研機(jī)構(gòu)及行業(yè)領(lǐng)軍企業(yè)聯(lián)合成立10個(gè)研究院和實(shí)驗(yàn)室，建立了加密技術(shù)和信息安全領(lǐng)域產(chǎn)、學(xué)、研一體的研發(fā)與創(chuàng)新體系。形成數(shù)據(jù)加密，國(guó)產(chǎn)自主可控，安全平臺(tái)等完整的產(chǎn)品體系。

數(shù)盾科技一直致力于高速密碼技術(shù)的研究與運(yùn)用，借鑒國(guó)際上對(duì)高性能計(jì)算平臺(tái)的架構(gòu)設(shè)計(jì)思想、計(jì)算單元CPU多核多線程并行的理念，對(duì)標(biāo)最前沿的密碼模組技術(shù)架構(gòu)，創(chuàng)新形成了自主知識(shí)產(chǎn)權(quán)、具有國(guó)際先進(jìn)水平的高速密碼技術(shù)，特別在高速密碼硬件邏輯電路設(shè)計(jì)、超高速密碼模組研制上，取得了重大技術(shù)成果。2016年，數(shù)盾科技與華為就高速加密交換機(jī)的研制生產(chǎn)簽署合作框架協(xié)議，于2017年交付華為加密交換機(jī)專用的19.6Gbps網(wǎng)絡(luò)加密交換板（如圖3所示），從當(dāng)時(shí)的國(guó)密局官網(wǎng)信息、網(wǎng)絡(luò)資料對(duì)比看，遙遙領(lǐng)先當(dāng)時(shí)國(guó)內(nèi)外商密行業(yè)同類產(chǎn)品的最高加密性能2Gbps約十倍多。

圖3 網(wǎng)絡(luò)加密交換板/華為加密交換機(jī)

2018年，數(shù)盾科技與新華三就高速加密路由器的研制生產(chǎn)簽署合作框架協(xié)議，于2019年聯(lián)調(diào)、迭代，2020年1月完成實(shí)測(cè)50Gbps的雙通道高速加密模組（如圖4所示），以國(guó)密局官網(wǎng)信息、網(wǎng)絡(luò)資料對(duì)比看，遙遙領(lǐng)先國(guó)內(nèi)外商密行業(yè)同類產(chǎn)品的最高加密性能7Gbps（極限加解密速率）約七倍多。2020年4月由新華三完成加密路由器的第一批次整機(jī)試生產(chǎn)，于2020年9月獲得雙通道高速加密模組密碼模塊的產(chǎn)品認(rèn)證證書（如圖5所示）。

圖4 雙通道高速加密模組/新華三路由器

圖5 雙通道高速加密模組的產(chǎn)品認(rèn)證證書

雙通道高速加密模組的硬件部分主要由FPGA、密管處理器、算法協(xié)處理器、SRAM、FLASH、噪聲源等組成，外帶智能密碼鑰匙參與密鑰管理；軟件部分，由應(yīng)用接口API模塊、協(xié)議接口模塊、加密模組驅(qū)動(dòng)模塊、加密模組設(shè)備端主控固件等組成；采用自主設(shè)計(jì)的單板雙路并行架構(gòu)（相當(dāng)于高端服務(wù)器的雙CPU架構(gòu)），每一路均使用獨(dú)立、高性能的FPGA集成芯片（能實(shí)現(xiàn)比ASIC更高的性能），在每個(gè)FPGA中進(jìn)一步采用自主開(kāi)發(fā)、優(yōu)化架構(gòu)的多路由、高并發(fā)的電路設(shè)計(jì)，單個(gè)FPGA的最新實(shí)現(xiàn)版本共有2個(gè)雙通道切換路由內(nèi)核、32個(gè)SM4密碼算法計(jì)算內(nèi)核（相當(dāng)于單CPU中的32個(gè)核）、32 個(gè) SM3 密碼算法計(jì)算內(nèi)核。關(guān)鍵技術(shù)點(diǎn)有三：一是國(guó)密算法 SM3、SM4的硬件電路IP核的優(yōu)化（ 流水、性能、面積），二是 FPGA 內(nèi)密碼算法的高并發(fā)調(diào)度電路（切換路由內(nèi)核），三是單板雙路并行架構(gòu)的設(shè)計(jì)與硬件兼容性。

為了能夠發(fā)揮FPGA芯片的計(jì)算性能，接口采用了異步的設(shè)計(jì)思想，用戶可以不斷向加密模組發(fā)送加解密指令或者雜湊指令，不需要等運(yùn)算結(jié)束再進(jìn)行下次操作，這樣可以最大化利用加密模組內(nèi)部的算法核心，使所有算法核心可以同時(shí)滿負(fù)荷工作，從而達(dá)到較高的加解密性能。每個(gè)算法核心處理一個(gè)算法請(qǐng)求（SM4加解密或者SM3雜湊），未對(duì)算法請(qǐng)求進(jìn)行拆分處理。

每次調(diào)用接口會(huì)生成一個(gè)運(yùn)算請(qǐng)求放入任務(wù)隊(duì)列中，當(dāng)驅(qū)動(dòng)程序的發(fā)送線程檢測(cè)到任務(wù)隊(duì)列中有運(yùn)算請(qǐng)求時(shí)，會(huì)根據(jù)不同的運(yùn)算類型組織數(shù)據(jù)格式，并找到當(dāng)前相對(duì)比較空閑的算法核，將其編號(hào)寫入?yún)f(xié)議頭中，然后驅(qū)動(dòng)會(huì)啟動(dòng)DMA，將數(shù)據(jù)發(fā)送到FPGA芯片中進(jìn)行處理。FPGA 芯片接收到數(shù)據(jù)之后會(huì)對(duì)協(xié)議頭進(jìn)行解析，根據(jù)不同的算法標(biāo)識(shí)和算法核編號(hào)，將對(duì)應(yīng)的數(shù)據(jù)送到指定的算法核中進(jìn)行運(yùn)算。當(dāng)FPGA芯片完成相應(yīng)的運(yùn)算之后，會(huì)啟動(dòng)DMA將運(yùn)算結(jié)果返回驅(qū)動(dòng)程序。驅(qū)動(dòng)程序的接收線程會(huì)不斷輪詢DMA完成標(biāo)志，如果DMA標(biāo)志置位表示有FPGA發(fā)送給驅(qū)動(dòng)的數(shù)據(jù)，驅(qū)動(dòng)程序接收FPGA傳遞回來(lái)的運(yùn)算結(jié)果拷貝到用戶指定的內(nèi)存區(qū)域，然后通知用戶。驅(qū)動(dòng)程序內(nèi)部實(shí)現(xiàn)了負(fù)載均衡算法，可以保證每個(gè)算法核上運(yùn)行的任務(wù)數(shù)量大致相同，從而保證性能最大化。雙通道高速加密模組的非對(duì)稱密碼性能分析：高速加密模組的SM2加解密功能由主控MCU和SSX1303橢圓曲線密碼算法協(xié)處理器共同完成，SSX1303橢圓曲線密碼算法協(xié)處理器提供橢圓曲線運(yùn)算功能和SM3運(yùn)算功能，其他運(yùn)算過(guò)程由主控MCU完成。

雙通道高速加密模組的對(duì)稱密碼性能分析：當(dāng)進(jìn)行SM3或SM4算法速率測(cè)試時(shí)，測(cè)試程序會(huì)循環(huán)調(diào)用SD_Encrypt、SD_Decrypt或者SD_Hash接口50萬(wàn)次，每次的運(yùn)算的數(shù)據(jù)長(zhǎng)度為1472字節(jié)，在調(diào)用接口之前記錄開(kāi)始時(shí)間，在所有運(yùn)算都結(jié)束的時(shí)候記錄結(jié)束時(shí)間，然后根據(jù)總數(shù)據(jù)量和總處理時(shí)間計(jì)算出速率。

圖6 極限速率測(cè)試結(jié)果

從雙通道高速加密模組的極限速率測(cè)試結(jié)果（如圖6所示）中可以看出，單FPGA工作時(shí)，極限加解密速率穩(wěn)定在25Gbps左右，增加內(nèi)存拷貝或減少內(nèi)存拷貝對(duì)性能影響不大；雙FPGA并行工作時(shí)，增加一次發(fā)送內(nèi)存拷貝后性能從50Gbps下降到36Gbps左右，說(shuō)明雙FPGA并行工作時(shí)，測(cè)試主板的總線競(jìng)爭(zhēng)（含內(nèi)存訪問(wèn)）已經(jīng)成為性能的制約，該性能制約是主機(jī)造成的。

6

結(jié) 論

從9月13日的新聞，“斷供倒計(jì)時(shí)，華為或包機(jī)從臺(tái)灣運(yùn)回所有麒麟芯片！”，我們需要認(rèn)識(shí)到，占領(lǐng)更高端的技術(shù)高地已是刻不容緩。

現(xiàn)如今，密碼已成為保障網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐，采用密碼技術(shù)保護(hù)網(wǎng)絡(luò)和信息安全，構(gòu)建以密碼為基石的網(wǎng)絡(luò)安全與信任體系，維護(hù)網(wǎng)絡(luò)安全新秩序已成為社會(huì)共識(shí)。網(wǎng)絡(luò)空間安全離不開(kāi)密碼，新基建的安全更離不開(kāi)超高速密碼技術(shù)、產(chǎn)品的支撐。

伴隨著“新基建”的不斷深化，需要重點(diǎn)保障的基礎(chǔ)設(shè)施將大規(guī)模增加，網(wǎng)絡(luò)安全問(wèn)題、數(shù)據(jù)安全問(wèn)題、生產(chǎn)安全問(wèn)題以及芯片安全問(wèn)題將持續(xù)成為國(guó)家和相關(guān)運(yùn)營(yíng)者必須關(guān)注的重點(diǎn)。因此，在推動(dòng)“新基建”的同時(shí)，構(gòu)建以密碼為基礎(chǔ)支撐的“新基建”可信基石至關(guān)重要，迫在眉睫。

作為國(guó)家商業(yè)密碼行業(yè)的一員，讓我們攜起手來(lái)，通過(guò)戰(zhàn)略布局、技術(shù)創(chuàng)新、人才培育，共同打造超高速密碼生態(tài)圈，為新基建安全服務(wù)，為網(wǎng)絡(luò)空間安全服務(wù)，為國(guó)家安全服務(wù)！

作者簡(jiǎn)介 >>>

樂(lè)宏彥（1971—），男，碩士，總工程師、研究員，主要研究方向?yàn)槊艽a工程、物聯(lián)網(wǎng)、區(qū)塊鏈與信息安全體系的技術(shù)與應(yīng)用。