基于龍芯3A2000處理器的網絡安全平臺設計與應用

胡 鋼

（1.研祥智能科技股份有限公司，廣東深圳 518057；2.國家特種計算機工程技術研究中心，廣東深圳 518057）

0 引言

隨著國家對信息安全的重視，我國對國民經濟重要行業關鍵設備自主安全可控的應用需求不斷擴展，信息安全技術越受重視[1]。對于電子政務、電子商務和國民經濟重要領域以及政府、金融、證券、軍事等敏感部門的計算平臺來說，自主可控應該是其基本特征，然而由于CPU、芯片組、操作系統和數據庫等計算機核心技術掌握在國外公司手中，技術細節保密，源代碼不公開，在產品研發過程中，經常故障歸零分析到國外操作系統和底層硬件時，便無法進展下去，因為涉及到Intel CPU和Windows操作系統，外界無從知曉軟硬件的安全性、可靠性無法保障[2]。在計算機軟硬件關鍵技術被國外掌控的條件下，信息平臺都是黑盒子，無法洞悉信息的處理過程，無法保證信息安全[3]。

發展自主可控的計算機軟硬件平臺，研制具有自主知識產權、技術上自主可控、集成上能夠靈活定制的計算設備，滿足我國信息裝備的發展需要，不僅是國產化推進計劃的核心課題，也對提升我國核心競爭力具有重大的戰略意義[4]。

1 硬件方案設計

基于國產處理器的網絡安全平臺主板板載2個國產高性能龍芯四核處理器，主頻1 GHz，配合AMD RS780E+SB710芯片組，可作為高性能服務器使用[5]。集成VGA顯示，搭配8條DDR3 240-Pin DIMM內存插槽，每個槽位最高支持2 GB DDR3 RDIMM，共計16 GB DDR3 RDIMM內存。提供2個PCIe x8插槽、2個PCIe x4插槽、2個PCI插槽和1個Mini-PCIe插槽，3個10/100/1 000 Mb/s自適應網絡（1個管理網口可選），6個標準SATA接口，6個USB2.0端口，其中2個USB2.0支持后面板擴展，4個USB2.0支持前面板擴展，3個系統COM口，1個鼠標鍵盤接口和1個打印口。配合使用Linux操作系統，實現整個平臺的穩定、可靠運行和達到安全自主可控的目標，圖1所示為基于國產處理器的網絡安全平臺硬件方案。

2 散熱方案設計

采用強迫風冷散熱，4個系統風扇置于機箱內部硬盤與主板之間向后吹風，自帶風扇的電源模塊形成自有風道，與整機風道方向一致。CPU散熱器采用主動式，風扇向后吹風，與系統風道一致，為2個CPU區域加裝風道，消除氣流旋渦，同時滿足2顆CPU的溫升設計需求，系統進風處有前面板，兩側前部區域，上蓋前部區域等；出風處有后面板，側面后部區域，上蓋后部區域等。

本文使用熱仿真軟件ANSYS Icepak對高溫40℃及常溫25℃環境進行了仿真模擬，整機風道、高溫40℃環境下溫度云圖、常溫25℃環境下溫度云圖如圖2所示，從仿真數據可以看出，采用4個大風量系統風扇，CPU采用主動散熱器，可以滿足散熱的需求。

圖1 基于國產處理器的網絡安全平臺硬件方案圖

圖2 整機風道示意圖、高溫40℃及常溫25℃環境下溫度云圖

3 結構方案設計

基于國產處理器的網絡安全平臺從整機外形、機箱內部布局、前后面板布局、電源布局、硬盤減振等方面進行設計。整機外形以及機箱內部布局如圖3所示，機箱采用鈑金材質，噴粉處理，整機采用風扇主動散熱；模塊化設計，通過擴展網絡模塊，支持多個高性能千兆網口或者萬兆網口，提供更為豐富的網絡接口配置的同時保證了高效的網絡數據吞吐；由于安全距離小，油囊減震的安全距離不夠，硬盤采用橡膠減震墊，具有較好的抗振性能。

圖3 整機外形以及機箱內部布局

前面板布局、后面板布局如圖4所示，整個后面板與箱體為一個整體，風扇采用鎖螺釘固定，250 W電源和180 W電源只有電源后支架部分有區別，需分別設計支架以便公用箱體鎖電源支架的螺絲孔。

圖4 前面板布局、后面板布局

前面板與箱體為一個整體，連接處按照工藝要求采用碰焊或者拉釘，部分需壓型貼膜以便美觀。CFAST、PCIE卡布局如圖5所示，考慮空間原因，CFAST卡占用一個硬盤位，兩個硬盤位可選一個占用。定做支架，前面鎖螺絲固定PCIE卡，后面用塑料卡條卡住PCIE卡以便固定。

圖5 CFAST、PCIE卡布局

4 軟硬件適配

（1）系統引導和內核移植

基于龍芯3A處理器的國產CPU工業服務器在Linux內核移植過程中需要重點關注與龍芯3A處理器相關的函數入口，對各個功能（如：SATA接口、USB接口、GPIO、Audio接口等）的配置以及對PCIE設備的中斷路由和中斷號的分配要正確無誤，否則會造成系統崩潰和設備無法訪問的嚴重后果。

基于龍芯3A處理器的國產CPU工業服務器操作系統具體采用Debian Linux操作系統[6]。Debian操作系統支持Little Endian MIPS上R3000和R4000/R4400指令集的龍芯3A處理器，涵蓋Linux內核與GNU工具集所支持的硬件，如磁盤、網絡、鍵盤、打印機、USB設備、串口等。在Debian Linux操作系統里，如果操作系統遇到出錯的情況，大多時候都能把它修復而不用重新安裝。升級不再需要進行大規模的安裝操作就可以升級，而這些程序也總能和新版的操作系統兼容。如果一個程序的新版本需要其他程序的更新版本來支持它，Debian操作系統自帶的軟件包管理系統會自動確定所有必須的軟件，并安裝之。Debian操作系統的安裝配置至少需要256 MB內存和1 GB存儲空間，而基于龍芯3A處理器的通信管理機可以配置2根DDR3插槽，其配置的2個SATA接口可以支持250 GB以上的存儲空間，滿足Debian操作系統的安裝需求[7]。

（2）應用層軟件移植

該技術主要是為了不同行業應用的規約轉換，交叉編譯，實現軟件快速異構移植。主要引進市場或客戶應用中比較成熟的產品，并對其協議進行移植處理，最終應用在客戶的系統中進行測試[8]。本方案采用龍芯3A/3B處理器，龍芯處理器采用RISC指令集，因而基于CISC指令集的x86硬件架構上的程序無法直接運行于龍芯處理器硬件架構上，通過龍芯提供BSP（包括交叉編譯工具、boot?loader、內核）即可完成Linux嵌入式操作系統下基于x86硬件架構的應用程序向龍芯平臺的移植。

（3）通用硬件資源接口規范

從客戶應用角度看，工業控制領域的客戶需要在具體硬件平臺上開發具體應用軟件，以搭建起工業控制系統，應用到各行各業中。由于國內目前暫無標準定義統一的硬件資源接口規范，這就勢必導致由于硬件平臺的升級或某芯片的停產，迫使大量的用戶不得不升級自己的產品，尤其是應用軟件[9]。平臺可以為用戶提供統一的硬件資源訪問接口（接口包括GPIO、Watchdog、Hardware Monitor等），向客戶提供統一的接口庫函數，客戶無需關心具體底層硬件的實現方式和訪問方式，只需使用標準接口庫函數就能實現對相應硬件的操作[10]。產品硬件升級時，客戶基本不用同步升級應用程序就可以在升級后的平臺上操作應用程序，因為硬件升級的同時也即完成集成模塊庫的同步升級，對硬件底層實現了統一的封裝，向客戶提供的庫函數接口是一致的，對客戶的應用程序兼容性強。

5 結束語

本文基于龍芯3A2000國產處理器平臺，配合AMD RS780E+SB710芯片組，通過硬件、散熱、結構等方案設計和基于國產硬件平臺的軟件移植，包括系統引導和內核移植，應用層軟件移植，硬件接口規范，設計了工業服務器網絡安全平臺，實現整個平臺的穩定、可靠運行和達到安全自主可控的目標，支持運行中標麒麟國產操作系統和昆侖固件，支持達夢/金倉數據庫，滿足電子政務、電子商務以及工業自動化、智能制造、安防監控、檢測、IT通信、軍工行業等國民經濟重要領域工控系統的應用。