首款自主可控万兆防火墙问世 申威助力CPU实现国产化替代
发布时间:2018-05-08

在不久前的一次自主安全论坛上,申威公布了最新的技术蓝图,公开了申威3232、申威432CPU的设计指标。紧接着,北京中科网威信息技术有限公司发布了中国首款采用申威CPU自主可控万兆防火墙,在防火墙领域实现了对采用英特尔CPU的完美替换。

在中兴被美国制裁之后,大力发展自主可控芯片和基于自主可控基础软硬件的信息技术产业已经形成共识。不过,要替换掉英特尔、ARM的芯片,不能在实力有限的情况下冲击桌面CPU和智能手机CPU市场外商硬拼。而应当走“农村包围城市路线”,像防火墙、IDS\IPS\漏洞扫描系统、固态硬盘主控芯片、工控芯片等将成为自主CPU替换马甲CPU和国外CPU的突破口和根据地。

blob.png

申威CPU最新蓝图

根据申威的规划,将在桌面CPU、服务器CPU、超算CPU等几个方面全面发展。计划在2019年,完成第四代申威核心与申威432的研发,主频的设计指标是2.2—2.5GHz,综合性能预期可以达到同期国际主流水平的60%

申威还发布了新一代高性能服务器处理器申威3232的设计指标。申威323232核服务器CPU,综合性能预期可以达到国际同期英特尔主流服务器处理器性能的60—70%,主要面向大数据、云计算等领域,支持四路直连,单芯片最大支持主存容量达到2TB

blob.png

申威3232各项指标最为惊艳的是单核性能,在主频2.2-2.5GHz的情况下,SPEC2006测试成绩预期可达25—30分,也就是单核心每Ghz超过10分。

如果这个成绩是在GCC下取得的,那就非常吓人了,毕竟AMD  Zen的单核心每Ghz也就是这个水平,英特尔公司的内核单核心每Ghz大约在12+的水平。

换言之,在微结构设计水平上,申威和英特尔、AMD这些国际一流的大厂差距缩小到10—15%,即便单核心每Ghz超过10分是申威自己的编译器下取得的成绩,那也很不错。

blob.png

至于神威E级超算原型机,因种种原因还是等待官方披露好了。此外,申威计划在2022年完成第五代申威核心与申威433的研发,申威433的主频达2.8-3.0GHz,综合性能达到同期国际主流水平的80%。届时,只要软件生态不拖后腿,就可以全面替换英特尔、AMD的高性能CPU

 

建立产业生态把CPU用起来

做出了性能不错的芯片,不能把芯片锁在抽屉里,而是应当把芯片用起来。中国工程院院士李国杰提出“自主芯片产业发展需要应用支撑”的观点。李国杰院士认为,发展自主芯片,不能等“做到跟国际水平一样”才用,在用的过程中才能发现问题,及时改进。

blob.png

龙芯首席科学家胡伟武指出,芯片没有应用,做出来就是白做。国产芯片现在在一楼,想努力去往二楼,可是没梯子……就算不给梯子,给条绳子也可以,至少让我们有东西能借力爬上去……魔鬼藏在细节中,而细节,藏在应用中。缺少应用,也就难以进行针对性改进,二楼就变得可望而不可及。

想要把自主CPU用起来,并实现产业化,单单有CPU是不够的,还必须有厂商给自主CPU做主板、整机应用和软件生态。有鉴于此,国内部分CPU公司、板卡商、操作系统厂商和整机厂商已经组建了中关村可信计算产业联盟自主可信专委会

参加专委会的成员已经覆盖了自主可控安全产业链上的各个环节,比如CPU厂商有申威和龙芯;板卡厂商有正阳天成和龙芯梦兰;固件厂商有昆仑固件;操作系统厂商有深度、中标麒麟和普华;整机厂商有中科网威、立思辰、国保金泰等企业。这些厂商已经初步形成了一个自主可控安全的生态圈。

在党政市场,采用自主CPU的整机产品已经有了不少应用,比如中科网威的自主可控系列网络安全产品,已经在党政市场里有较大规模的应用,市场份额位列第一;又比如龙芯梦兰的电脑,在党政试点中份额位列前茅。

blob.png

中关村可信计算产业联盟自主可信专委会的部分成员单位

 

网安、工控等应用就是自主CPU的突破口和根据地

建立自主可控技术体系,并不意味着要直接与X86ARM硬拼。有个比较有趣的现象,那就是只要一款CPU没有进入像PC、智能手机这类与老百姓生活息息相关的行业,很多网友就会觉得这款CPU压根不存在,或者就是骗钱的。

事实上,要想建立自主可控的技术体系,必须优先从一些常常被大众忽视的领域着手。比如网络安全设备,以及工控、交通、能源、金融等行业应用,这些行业应用平台迁移难度远远低于智能手机和个人电脑。

原因就在于智能手机和个人电脑有海量的应用,而且像阿里、腾讯、百度这类互联网公司是非常商业化的,在自主技术平台缺乏足够用户的情况下,是根本不会把QQ、微信、支付宝等应用软件迁移到自主技术平台上的。至于那些国外软件公司就更没有动力做移植了。

而像行业应用,由于只需要执行特定的程序,具备特定的功能,即便是整机自己写操作系统和应用系统,也能做下来。因而行业应用会是自主CPU革命根据地,只要不断的扩展行业应用领域,就可以把根据地扩展出去。就像土地革命时期,把有限的力量在大城市和敌人硬拼是要吃大亏的,必须上井冈山,拓展根据地,走农村包围城市的道路,实现星星之火,可以燎原

 blob.png

在防火墙等网安产品上可以实现对国外CPU的替换

防火墙是将内部网络和外部网络做安全隔离的设备,在保障信息安全方面意义重大。目前,国内防火墙大多在软件上基本实现了国产化,但在硬件采用自主CPU的厂商却非常少,即便是华为和华三这样具备很强技术实力的企业,在自己的防火墙上依然采用美国英特尔公司的CPU。

之所以出现这种现象,并非自主CPU性能不行,而是商业公司已经习惯了国外CPU

就以不久前中科网威发布的自主可控万兆防火墙来说,性能已经不输于采用英特尔CPU的国产防火墙。在实际测试中,小包吞吐达63%,基本达到同档次X86防火墙的水平,高于万兆防火墙国标。整机吞吐性能已经达到20-30G,而采用英特尔CPU的防火墙整机吞吐性能一般在20-40G,中科网威自主可控万兆防火墙可以替换同样整机吞吐量采用英特尔CPU的防火墙。

blob.png

除了性能不俗之外,中科网威自主可控万兆防火墙还具备非常好的安全性。

首先,由于上海高性能集成电路设计中心一直未公开SW64指令集,这使恶意攻击者无法编写针对申威处理器的shellcode

其次,申威CPU内核的每一行代码都是自己写的,这样就可以保障CPU内不存在国外CPU和马甲CPU里常见的“冗余模块”,从而保障安全可控。特别是之前英特尔、AMDARMCPU接连曝出存在幽灵垄断漏洞的情况下,采用自主设计的CPU相对于国外CPU有更好的安全性。即便在写代码的时候,因疏忽留下了漏洞,“难者不会,会者不难”,CPU是自己设计的,因此自己也可以修改。不会出现国外CPU和马甲CPU只能等着洋人给你打补丁的状况。

最后,中科网威自主可控万兆防火墙的操作系统和应用系统全部自己写的,加上核心硬件自主可控,使中科网威自主可控万兆防火墙对溢出式攻击和恶意代码具有天然免疫

 

特朗普制裁中兴有助于自主CPU的推广

目前,采用自主CPU的各种产品在市场上比较小众。这固然有自主CPU性能、功耗、成本不如X86ARM CPU的原因,但商业公司的短期逐利性也限制了自主CPU的推广。

过去,国内商业公司一直在使用国外CPU,且习惯于使用国外CPU,加上这些整机产品在市场上卖的不错,因而没有多少动力去换掉国外CPU

何况如果要采用自主CPU,不仅软件上就要重写,还需要时间去验证整机产品的可靠性。由于英特尔、ARM有更强的品牌光环,要让客户认可自主CPU也要花费很多时间和精力,可以说是费钱费时费力不讨好。

blob.png

前不久,特朗普政府制裁中兴事件,则给国内商业公司敲响了警钟。

根据美国商务部披露的资料,中兴之所以遭遇制裁,是因为向伊朗出售了电信设备,用于伊朗国家防火墙的建设。

试想,如果中兴出售给伊朗的设备里,CPUDSPFPGARFAD/DA等器件用的都是国产货,美国还有理由制裁中兴么?或者说,即便找一个借口制裁了中兴,中兴会像现在这样进入休克状态么?

有了中兴事件这样的前车之鉴,恐怕国内的整机厂会有意扶持本土厂商作为技术备份。

另外,特朗普政府的制裁也戳穿了马甲芯片皇帝的新衣,一些宣称是完全自主研发自主知识产权的马甲芯片面对特朗普政府的制裁不堪一击。

因此,对于国家而言,应该大力发展那些可以加强自主技术体系的应用和项目。

政府在立项时应该从知识产权、技术能力、发展可能性、供应链、资质以及信息技术体系等方面做自主可控评估。评估这个项目做成之后,是会进一步加强WintelAA垄断,还可以加强自主技术体系建设。如果是加强WintelAA垄断的项目,就不应该做,必须支持那些能够把ARMX86赶出中国的项目。

只有这样,才有助于解决中国信息技术产业发展受制于人、信息安全受制于人的困局。


400-0019-855