麒麟軟件原生支持飛騰安全加速引擎，夯實內生安全基礎

近年來，為了增強科技自立自強能力，從根本上改變信息技術產業基礎不牢、受制于人的局面，我國高度重視網信產業發展，從技術、產品、市場、生態等多維度推動網信產業發展。中國電子作為一家以網絡安全和信息化為主業的企業，被賦予了加速打造國家網信產業核心力量和組織平臺的重要使命。

如今中國電子已經構建起被稱為“PKS”的完整國產安全數字底座（“P”代表飛騰CPU，“K”代表麒麟操作系統，“S”代表立體防護安全鏈），在國產計算產業鏈、安全產業鏈、關鍵制造環節都有相應的布局，為國家實現關后門、堵漏洞、防斷供的安全戰略提供有力支持。

PKS計算體系發展了傳統的馮.諾依曼架構，通過CPU+OS原生支持，支撐 “自底向上打通”的“計算+安全”雙體系安全架構，具備更徹底的本質安全和內生安全。

PKS雙體系安全防護通過飛騰計算安全雙架構技術、固件安全增強技術、可信賴執行環境技術、麒麟內核安全管控技術、異構加速和內存安全增強技術五大關鍵技術，緊跟業界技術趨勢，以CPU、OS、整機為載體，協同實現計算融合安全的整體能力。創新解決了傳統計算體系面臨的圍墻式安全和外掛式安全問題。

從基礎具有內生安全特性的飛騰CPU、麒麟操作系統、內存控制器等開始，對上層軟硬件和應用完全開放，使各層用戶能進行深度定制和柔性重構，使各種應用能基于系統頂層設計進行從上到下和自底向上的系統優化，從而為用戶提供獨特的、最佳的體驗和服務。

舉例來說，飛騰CPU內部集成了安全加速引擎模塊，該模塊能夠硬件加速對稱、非對稱、哈希等安全算法，并且能夠產生真隨機數。飛騰提供了硬件安全引擎驅動程序及openssl標準接口，以便于麒麟操作系統集成硬件安全引擎，夯實操作系統內生基礎安全能力。

??按照Linux Kernel 安全框架實現內核驅動接口

??按照字符設備將引擎的資源進行映射，實現了高效訪問的用戶態驅動

??通過用戶態驅動適配層與OpenSSL無縫對接

??業務可使用內核或OpenSSL系統標準接口

銀河麒麟操作系統V10 SP1，集成了飛騰CPU安全引擎，不僅支持用戶從內核態到用戶態多層級的API調用，并適配了飛騰針對性深度優化后的軟件接口：

??基于最短硬件訪問路徑的用戶態驅動優化

??軟件硬件協同的小塊數據性能優化

??內核態驅動：哈希算法提高171%，對稱算法提高30%

??用戶態驅動，業務使用性能接近硬件裸性能

基于飛騰安全引擎，銀河麒麟操作系統V10 SP1還可以為客戶提供基于TEE側安全態硬件安全能力的磁盤數據安全保護方案，并已在項目中成功應用部署：

??實現關鍵安全模塊的隔離

??TEE側基于硬件API和擴展指令實現全硬件的安全服務

??改寫安全算法庫實現REE側透明使用

??基于OpenSSL標準接口，REE側可透明調用硬件安全引擎

經過多年的探索實踐，“PKS體系”已在政務、能源、金融等領域得到廣泛應用，成為事實上的我國自主安全綠色計算信息系統的核心底座。未來，PKS體系將繼續秉持“用戶體驗至上” 原則，攜手更多生態伙伴積極開展核心技術聯合攻關，共同加速構建安全先進綠色的產業生態圈，為廣泛客戶帶來更優質的產品及服務。