浅议信息管理系统开发平台国产化问题

浅议信息管理系统开发平台国产化问题

周敏敏 ,金盼盼

江南机电设计研究所 贵州贵阳 550000

摘要：根据现阶段密码设备国产期间性能差、应用率低等问题，设计出一款基于龙芯3A+2H及高性能FPGA的自主可控全国产化支持千兆数据传输速率的高速信息管理系统开发平台，详细分析信息设备的软硬件设计及关键技术，列出试验验证结果，以便能够为国产自主信息管理系统开发平台实现提供借鉴。

关键词：信息管理系统；开发平台；国产化

准确处理与加密输送数据在现代信息技术对抗中显得尤为重要，高效处理数据而且确保安全传输数据则是对抗制胜关键。出现的无人飞行器导致遥测遥控技术高速发展，计算机计算能力发展特别是实用化量子计算机使得当前加密体制安全性存在巨大威胁。基于这样环境下，自主可控、可靠性、安全性则是特别关键技术指标要求。然而国内集成电路设计水平落后、芯片性能较低、芯片种类单一等因素，几乎全部硬件平台都是依托进口处理器、FPGA、PowerPC实现。现阶段国外限制核心集成电路出口，而且进口CPU可能的“后门”导致存在巨大信息安全隐患。从国防、航天领域应用密码信息设备，安全问题尤为重要，当不能及时解决安全问题，势必面临不利局面。本文尝试着探讨一套基于FPGA、CPU以及国产操作系统的密码信息处理设备设计方案，随后探讨关键技术与可靠性举措，为信息管理系统开发平台国产化问题提供技术参考。

1 硬件系统设计

密码信息处理设备根据功能能够划分成通信部分、密码处理部分。通信部分作用是和外界进行传输数据，密码处理部分作用是加密、解密、认证、校验数据等直接相关数据信息安全的处理。由于通信部分不但要处理诸如网络协议等基本通信协议，还要处理用户设定的管理协议、应用协议等，为此，其实现必须借助CPU。密码处理部分则由于延时要求、相对固定处理方式、安全等因素影响，其实现则往往是应用FPGA或者专用密码芯片。根据密码信息处理设备的相关性能要求分析，其往往主要的有加解密延时、加解密速率、数据吞吐量等。测控设备还应该充分考虑到设备的自适应能力、通用性等，为此，对于设备支持多路多流并行处理存在着越来越普遍的要求。除此之外，由于这是一种网络信息安全设备，存在着红区和黑区分离、内网和外网隔离的基本要求，这也就必须要让设备从架构层面上把通信部分和密码处理部分在分开的处理器上面独立实现。

从国防军工与信息安全领域来看，较多使用的是国产CPU厂商主要的是龙芯中科、飞腾、申威。申威生产的CPU主要的是在超级计算机应用，其存在着比较多的核数，然而单核能力相对比较弱，支持内存有限，并不适合终端应用；飞腾长期以来都是进行嵌入式设计开发，一直到2015年才推出CPU，其产品更多的是企业办公类；龙芯存在比较丰富研发经验，已经逐步形成系列产品和相对比较丰富种类。综合考虑到平台应用模式、数成熟度等因素，本文尝试着选取龙芯CPU当成平台的主控器件。

2 软件系统设计

根据对整个软件系统进行分析，其主要的是由CPU软件、FPGA软件、安全芯片软件构成。确立自主可控原则，全部国产化系统运行软件，主要的是应用软件、操作系统、系统固件等。本平台实施的是依托Linux的国产操作系统，自主研发应用软件。

依托密码信息处理设备的应用需求以及安全性要求，应用软件根据功能划分成日志审计模块、设备管理模块、密码算法模块、身份鉴权模块、网络数据处理模块、故障处理模块、自检模块、密码资源管理模块、数据隔离模块等九个模块。

网络数据处理模块承担的工作为借助于特定传输协议实施接收发送数据，解析网络数据，区分业务数据、加载参数、状态查询指令等通信类型并实施相应后续处理；

网络数据处理模块能够将其划分成内网网络模块与外网网络模块，这两个模块有基于硬件物理隔离。内网网络模块承担的是接收需要进行加密的明文信息、在线配置参数、状态查询指令，与此同时还会发送解密之后的明文信息、在线备份日志、需要上报的状态新。外网网络模块承担的是接收发送密文信息。

数据隔离模块承担的职责是把网络上接收到的数据与即将通过网络发送的数据实施合法性鉴别与过滤，根据类型与相关协议要求打包转发合法数据，把接收到的工作允许范围之外的数据隔离在外，与此同时，还必须有效预防不应当被发送的数据发送出去的行为；

身份鉴权模块其成大的职责就是执行特定的认证协议，通过相关密码算法的调用来完成对硬件身份凭证注册、身份认证以及鉴权，还有的就是笨设备和别的密码设备之间进行身份合法性鉴别的认证过程；

密码资源管理模块主要的职责就是管理密码资源的注入、使用、销毁以及更新情况，而且还逐步形成日志记录，还有的就是完成密码资源等敏感信息在本地的加密存储和使用之前的解密；

密码算法其职责就是业务数据加解密等环节提供相应的密码算法；

自检模块主要的是接收用户对于设备的参数配置而且将其生效，还有的就是查询工作参数。参数配置途径能够是本地配置，比如借助于设备上安装的键盘与显示屏实施参数配置，还能够借助于网络远程在线配置。相类似的是工作参数查询能够借助于本地显示屏进行显示，还能够通过远程状态上报；

故障处理模块其承担的职责是设备自检、数据加解密、身份鉴权等工作环节的异常及故障处理；

日志审计模块承担的职责就是统计设备自检异常、身份认证以及鉴权情况、配置密码资源以及使用情况，加之数据处理环节的异常情况，还形成日志记录。

3 三重防护设计

要想对密码信息处理设备内部密码资源安全提供保证，本文尝试着借助于结构、软硬件协同设计做到设备自身三重防护体系。第一个层级是物理防护，借助于特殊机械结构与防控电路设计，确保不能被窃取密码设备核心资源。第二个层级是软硬件防护，机箱对外接口当中预留下来特定身份认证接口，只有使用特定认证工具与口令才可以登录与使用终端设备；第三个层级是系统防护，系统在安全芯片当中加密存储程序，系统上电之后安全芯片解密处理程序，随后往各个控制芯片当中进行加载。在这样的措施之下，即便被窃取芯片，都能够确保加解密程序与密码资源安全。

4 产品成果

按照之前软硬件设计完成国产化密码信息处理设备样机，该样机采用IU机箱形式实现，对外接口主要的是两个千兆网口、28路RS422接口以及两个USB接口，还包含显示屏与矩阵键盘。设备采用的是220V交流供电，整机功耗小于35W。

完成样机设计之后，在LS3ACPU主频800MHz，DDR3内存容量为2GB，LS2H主频是800MHz、DDR3内存容量是2GB条件之下，测试系统SATA硬盘读写速度、网口速度、数据加解密速率以及PCIE总线速度。具体来说，硬盘读写速度为3Gb/s，千兆网口速度为800Mb/s，加解密速度为20Mb/s，PCIE总线速度为16Gb/s。

5 结束语

总之，本文尝试着依托高速加解密处理、多流数据并行处理以及国产化相关要求，设计出以国产CPU与高性能FPGA最为硬件架构，搭载国产操作系统与应用软件的信息处理平台。根据测试反馈的结果来看，这一平台能够达到千兆的数据传输速率，能够做到十个数据流并行处理，单流加解密处理码速率比10Mb/s要高。样机实施的三重防护能够为内部运行的密码资源与敏感信息提供高安全性保护。设计的平台可以为国产自主可控信息处理终端研制奠定坚实基础。

参考文献

[1]王建忠.无线局备件信息管理系统的设计[J].广播电视信息,2010(07):64-67.

[2]张凯. 一汽大众物流信息化管理系统应用研究[D].天津大学,2010.

[3]林乐东. 基于管理信息系统的SSCX国产化质量对策的研究[D].西北大学,2007.

[4]杨丽慧. 构建CHMAVC国产化信息系统[D].大连理工大学,2002.

[5]胡月军,赵秀兵. 浅议信息管理系统开发平台国产化问题[C].新世纪 新机遇 新挑战——知识创新和高新技术产业发展（上册）.2001:280.