国产化替代的实践与思考——以云报集团为例

2022/09/05-18:05 来源:

一、 总述

“没有网络安全就没有国家安全”——自然也不会有媒体宣传、出版、播出的生产安全。由于国家间利益冲突,以美国为首的西方国家形成联盟,长期对我国实行严格的出口限制政策。并且进口的CPU芯片等电子元器件可能存在致命漏洞或者后门(从2017年爆出Spectre幽灵漏洞可见一斑),这些漏洞后门可窃取我国设备的数据甚至摧毁设备,并可能进一步通过网络传播病毒、木马和蠕虫,严重影响我国的网络信息安全。信息安全建设中如果不能实现电子元器件的自主可控,则始终会受制于人、处于被动挨打的局面。

近年来随着各级媒体改革发展的不断深入以及相关网络安全法律法规的不断完善。构建完善的网络安全防护和应急响应体系,保障各生产业务系统高效、平稳、安全的运行,已经成为媒体日常技术工作的核心组成部分。

网络安全体系的构建是一个庞大的系统工程,但在这个系统中,有一环因为生态、兼容性、性能、稳定性和使用习惯等诸多问题,一直处于“任重而道远”的状态——这就是“国产化替代”(本文所述国产化特指国产CPU芯片以及基于国产CPU芯片的软硬件体系和国密商用密码体系)。作为网络安全和信息建设工作中极其重要一环,“国产化替代”是推进媒体深度融合,构建“新闻+政务服务商务”运营模式,全面实现主流媒体进入主战场过程中必须面对和解决的核心问题。

 

二、 国产化现状

目前主要的国产化替代方案大致可以分为4大类:基于ArmV8架构,代表芯片有华为鲲鹏920、飞腾D2000;基于x86架构,代表芯片有海光HG、兆芯陆家嘴;基于MIPS+自主演进LoognArch架构,代表芯片有龙芯3A4000、3A5000以及针对超算基于Alpha架构的申威(曾今一度排名世界第一的超算“太湖之光”就是基于申威CPU)。因申威的特殊性,常规国产化替代不会使用到,不在本文的讨论范围内。

由于历史、技术等多方面原因目前能够商用的国产化芯片基本都是基于购买国外早期CPU芯片架构的授权进行国产化重新设计、优化并加入国密算法和特定安全芯片而成,近年来国内在芯片设计研发领域取到了重大突破,很多优秀的团队已经可以设计研发世界一流的芯片,但国内在晶圆、光刻机、封片等芯片生产关键环节一直处于“卡脖子”状态,无法自主批量生产14nm以下规格的芯片,加之西方国家出于国家间利益竞争,对我们设置各种技术壁垒。导致性能、功耗不错但需要代工的国产芯片供货严重不足,一直处于“供不应求”的状态,供货周期漫长,部分高性能芯片长期处于缺货状态,而可以完全自主生产的国产芯片在性能、功耗又不尽人意。

另一方面各国产芯片厂家由于技术路线图选择的不尽相同和基于商业的考虑,对现有主流软件生态的兼容性不佳,从操作系统、基础软件到应用软件均需要进行专门的定制开发与适配,而目前完成定制适配的各类软件只有很小的一部分,并且这些已经完成适配的软件,从界面UI、操作方式、性能、稳定性等方面均与原软件存在较大的差距。

图片12.png


 


1:国产主流CPU技术架构演进图

 

三、 云报的实践

近年来,云报集团陆续承建了一批覆盖全省的政务信息化、媒体融合项目,这些项目或多或少的涉及到“国产化替代”的问题。下面将从三个具有代表性的项目入手,对项目实施过程中所遇到的具体问题进行探讨。

1.项目一:某信息发布省级签发平台国产化升级改造

作为覆盖全省的信息发布省级签发平台(以下简称签发平台),对平台和数据的安全可控有着极高的要求,本次签发平台的国产化升级改造,全方位使用自主可控的国产化软硬件是一个必选项,但如何在最大程度上使用国产化软硬件的同时,让业务系统的性能、稳定性、兼容性和终端用户的使用习惯,保持尽可能的一致,是项目需要解决的核心问题。

签发平台建设初期鉴于当时的国产化软硬件的成熟度、上下游生态、性能和终端用户兼容性等多方面的综合考虑,最终签发平台的服务端和用户端都选择了非国产的Intel x86架构,在服务端选择了国外主流Linux 64位操作系统,数据通信传输加密则选择当时主流的加密套件TLS1.1+RSA2048+AES128,用户端的权限管理USBKEY基于Windows操作系统进行开发,对用户的身份识别和关键性操作进行鉴权。

在整个签发平台的国产化升级改造中,我们需要对服务端、用户端以及通信传输加密三个部分进行相应改造:

1)服务端的改造相对比较顺利,在充分考虑平台适配难度、迁移成本、软硬件生态和后期运维管理的便利性后,我们最终采用国产主流ARM芯片架构+国产企业级Linux操作系统替换了原有的架构。

2)而用户端的国产化改造最大难点就在USBKEY上,在国产化操作系统上要实现和Widows平台一样成熟完善的用户鉴权,难度非常大,且开发周期漫长,经过权衡再三,我们使用一个折中的方案:在用户端使用国产x86架构海光CPU+经过审查的可信版Windows。

3)目前国内已有开源且功能完善、兼容性良好的国密库,在通信传输加密上,我们按照项目的实际需求,通过自主编译开源国密库源代码完成了平台内网的通信加密套件的国密替换,具体加密套件为NTLS+SM2+SM4。在互联网区域考虑到大量访问还不支持国密,依然



保留TLS1.1+RSA2048+AES128加密套件。

图片13.png

 

2:内网国密加密套件访问情况

 


图片14.png


                        图3:互联网加密套件访问情况


 

2.项目二:某重点信息数据库平台国密改造

2021年云报集团承建了某重点信息数据库省级和多个州市(含所辖县)平台的建设工作,平台需要向上链接国家平台,向下联通省、州市、县三级。按照“逻辑统一,物理分离”的原则,实现县级库可通过数据接口逐级上报至国库的要求。在项目相关要求和规范中,重点对数据上报接口和数据的加密提出了国产化替代要求,云报项目团队在对国密商密主要四种算法的SM1、SM2、SM3、SM4进行了对比。SM1、SM4为对称加密比较适合不需要对外公开密钥的加密、SM2是非对称加密适用于需要公开公钥的加密、SM3是类似MD5的摘要加密。结合本项目的对接口和数据实际加密应用的场景,SM1和SM4的对称加密更适合项目加密要求,而SM1为不公开算法,需要专门加密芯片的进行加解密的算法,并且性能收到加密芯片自身的限制,项目最终采用SM4作为平台接口与数据的国密加密算法。

3.项目三:某省级信息供稿平台国产化适配

此供稿平台由云报集团自主研发,主要为全省各级部门提供信息通联和供稿所用,采用B/S架构设计,基于PHP+PYTHON语言开发,已安全、平稳运行了三年多。各使用单位VPN拨号认证后,通过浏览器登录平台后完成各项操作。2021年上半年,各使用单位大量办公电脑开始从windows系统更换为国产设备+国产操作系统——虽然我们在平台研发之初就已经考虑了国产化适配的问题,并在VPN安全设备的选择上,选择了国内国产化平台,适配完成度较高的安全厂家。但一些令人头痛的兼容性问题依然随之而来。

1)VPN客户端在国产化平台上适配与WINDOWS平台上,存在着从界面到操作上的巨大差异,需要对原使用单位人员进行重新培训,整个更换过程耗时、费力。

2)相对于WINDOWS平台的稳定性和完善的管理认证功能,国产化平台的VPN由于版本迭代少,适配周期相对仓促,稳定性和功能性存在较明显的不足——简单来说就是能用但不好用。

3)办公级的国产化设备,性能依然是一个无法回避的问题,相对于原x86+windows平台,可同时操作的供稿平台页面和响应时间均有下降,一定程度上影响到工作效率。

4)国产化系统原生搭配的浏览器与供稿平台存在一定兼容性问题,且调试较为困难。

 

四、 国产化的云报思考

1.生态

相对于Intel、AMD、IBM、Apple等国外厂家数以亿计,琳琅满目的软硬件生态而言,国产化的软硬件的上下游生态就显的十分可怜,简单从软硬件两个方面来看:

1)软件方面:目前除政务领域和部分特殊行业外,使用国产化替代用户并不多,需求也不强烈。导致众多的软件开发商主要的精力和服务对象依然是以Intel x86+Windows的受众为主,在众多软件领域国产化还没有适配可用的软件,就算是关键核心领域也只有一两款软件可选。另外很多应用软件的国产化适配是针对某一个大型项目进行的专门适配,通用性不高。

2)硬件方面:与软件类似,因受众规模相对较少,而适配开发难度、成本也无法降低,很多硬件厂商国产化动力并不足,一些日常办公使用的外设,如打印机、扫描仪、摄像头均需要购买为数不多的特定型号,且安装过程繁琐。

2.兼容性

兼容性问题与生态息息相关,正因国产化生态的不完善,也无统一的标准,在目前国产化替代的各项目实施过程中,兼容性可以说是最大的障碍,这个兼容性不仅仅是指国产化与非国产化之间的问题,国产化之间因芯片架构、技术实力、商业目的等诸多原因也存在着大量从底层到应用层的各式各样的兼容性问题。在云报项目实施过程中,曾今遇到过在两台硬件完全一样的的国产设备上,操作系统底层内核一样,仅仅是因为发行版来自不同的两个厂家,同样的一个安装包,一台设备能安装,另外一个设备就无法安装——必须进行专门的适配开发的尴尬情况。

3.性能

性能也是国产化一直无法回避的话题,相对早些年基本无法正常的使用的状况来说,最近几年国产化在性能方面取的了长足进步,甚至部分厂家服务器端的产品已经逼近同时期国外主流厂家的性能。云报目前在用基于ArmV8架构国产CPU的服务器在部分业务场景已经可以完全替代原Intel的志强CPU。但整体来看,特别是桌面级产品,国产化的性能和功耗比与国外主流产品至少还有5年以上的差距。

4.投入

与生态、市场规模相关,国产化整体使用成本要远高于非国产化方案,特别是在软件方面。非国产化从操作系统、业务软件、应用软件、数据库、中间件等有着大量、高质量且价格低廉的优秀应用软件,同时很多优秀软件是完全开源并且免费使用的,比如:超融合软件Ovirt、分布式存储软件Ceph等。而绝大部分的国产化软件从操作系统到应用软件均需要支付不低的费用(包括浏览器是否支持国密也是需要按数量进行单独付费),因此媒体行业,在进行国产化替代时的投入是一笔不小的费用。如果没有专项资金的支持,对实施单位而言压力不小,从很大程度上也降低了主动进行国产化替代的意愿。云报集团自有业务目前只进行了国产化尝试性测试,很大原因也基于资金投入压力的考虑。

 

五、 国产化的展望

中国进入新时代,世界格局风云变幻,逐步完成网络安全和信息化建设的国产化替代,是一条媒体行业在新时代转型发展的必由之路。虽然目前国产化还有诸多不尽如人意的地方,但是“自主可控”的国产化是网络安全的明天,相信已经走完了从无到有,再到可用的“国产化”会变的更好。

 

参考文献:

[1] 飞腾产品文档[EB/OL].https://www.phytium.com.cn/class/38,2022

[2] 鲲鹏社区[EB/OL].https://www.hikunpeng.com/,2022

[3] 兆芯产品文档[EB/OL].

https://www.zhaoxin.com/zlxz.aspx?nid=31&typeid=64,2022

[4] 龙芯开源社区[EB/OL].http://www.loongnix.cn/index.php/首页,2022