9月25日,麒麟信安基于openEuler 22.03 LTS SP1版本的商業發行版——麒麟信安服務器操作系統V3.5.2正式發布。
麒麟信安服務器操作系統V3定位于電力、金融、政務、能源、國防、工業等領域信息系統建設,以安全、穩定、高效為突破點,滿足重要行業領域用戶高安全、高可靠的規模化部署需求。
本次發布的V3.5.2縱向兼容麒麟信安服務器操作系統V3.5.1,可保障用戶系統從V3.5.1平滑升級至V3.5.2;橫向兼容openEuler 22.03 LTS SP1,繼承歐拉社區全部軟硬件生態成果。
兩大亮點,開啟“創新加速度”
亮點一、麒麟信安服務器操作系統V3.5.2是一款國內率先真正的從源碼上實現了X86_64、AArch64、LoongArch64和SW_64四款指令集同源異構的產品,同時還新增支持RISC-V指令集,可支持海光、兆芯、鯤鵬、飛騰、龍芯和申威等國產CPU。
亮點二、麒麟信安操作系統率先實現了與OpenHarmony設備間的相互識別和通信。麒麟信安服務器操作系統V3.5.2通過支持分布式軟總線技術,實現了服務器系統與嵌入式系統之間的互通互聯,為端邊領域協同發展構建了技術基座。
六種方式,穩扎穩打提升性能
一、更優的鎖并發處理
麒麟信安結合在國防、電力、政務等領域的多年實戰經驗,發現不同架構的特定原子訪問指令和其非原子訪問指令在性能上存在較大差異。例如,部分原子指令在高并發場景下響應速度快,但在低并發場景下響應性能劣于其非原子指令。通過對內核代碼應用場景的詳細分析與反復驗證,在適當位置優化原子指令,使系統在低并發的單線程場景中和高并發的多線程場景中,性能均有明顯提升。
二、更高效的進程喚醒流程
隨著服務器系統中CPU個數和核數增多、內存容量增大,根據CPU與內存的親和劃分了多個NUMA節點,跨不同NUMA節點之間數據訪問開銷增大。在對特定場景的多線程性能測試時發現,默認的內核進程調度算法會將線程在NUMA中分布的較為散列,降低了多線程應用的性能。麒麟信安針對該場景,優化了內核進程調度算法,使得相互關聯的線程盡可能的集中到最小的調度域中,降低數據同步消耗,對于系統性能有了顯著提升。
三、更快的內存頁拷貝
內存拷貝是計算機系統中常見的操作,它涉及將數據從一個內存位置復制到另一個內存位置。在多線程應用中,內存拷貝操作常常成為性能瓶頸之一。
麒麟信安服務器操作系統V3.5.2針對內存拷貝進行多項優化,大幅提升了多線程應用的性能。例如,使用位寬更高的矢量寄存器實現內存頁拷貝函數,位寬更高的矢量寄存器提供了更優的訪存性能,更精簡的代碼實現,從而有效的提升了內存頁拷貝性能。
四、更靈活的進程調度策略
通過優化進程調度策略,提高了系統的響應能力、降低延遲,并實現更好的負載均衡。可根據客戶具體的應用場景和系統需求提供多種時鐘調頻方案,從而使業務需要和資源限制、節能減排的目標達到平衡。如資源有限的系統或對能耗要求較高的場景中優化調度時鐘頻率,以提高資源利用率和節能效果。
五、更優的系統調用
系統調用作為系統用戶態和內核態交互過程中必不可少的模塊,對系統性能的影響至關重要。麒麟信安服務器操作系統V3.5.2對系統調用核心路徑進行了重點優化,主要包括:
● 冗余函數調用優化
● 同步操作優化
● 頁表切換優化
六、更精簡的內核配置
通過對內核代碼和配置文件的詳盡分析,在保障安全、穩定性的前提下,精簡內核代碼執行流程并優化配置,從而有效提升內核性能。
七大升級,全面提升先睹為快
一、重新定義安裝風格
麒麟信安服務器操作系統V3.5.2對系統安裝界面做了全面升級,采用全新的黑色系簡約大氣的設計風格,融入了更多的本地化特色。
二、安全管控
安全管控是麒麟信安自研的安全功能軟件,為麒麟信安操作系統安全核心技術相關功能提供集中式、圖形化的管理配置界面,保障系統安全性同時提高靈活性和便捷性。
安全管控軟件提供以下功能:
● 可信保護:對可執行程序進行執行控制;
● 文件保護:保護關鍵文件路徑,防止惡意篡改或刪除;
● 私密保護箱:提供數據隔離、隱藏和加密保護功能;
● 外設管控:對外部設備進行讀寫執行控制。
三、商密全棧
麒麟信安服務器操作系統V3.5.2集成了商密可信CA安全根證書,并且對商密支持關鍵安全特性進行商密算法使能,同時為上層應用提供商密算法庫、商密證書和商密安全傳輸協議等密碼服務。已支持的商密特性包括:
● OpenSSL/Libgcrypt等用戶態算法庫支持SM2、SM3和SM4算法;
● OpenSSH支持SM2、SM3和SM4商密算法套件;
● OpenSSL支持商密TLCP協議棧;
● 磁盤加密(DM-Crypt/Cryptsetup)支持SM3和SM4算法;
● 用戶身份鑒別(PAM/Libuser/Shadow)支持SM3口令加密;
● 入侵檢測(AIDE)支持SM3摘要算法;
● 內核加密框架(Crypto)支持SM2、SM3和SM4算法,以及AVX/CE/NEON等指令集優化;
● 內核完整性度量架構(IMA/EVM)支持SM3摘要算法和SM2證書;
● 內核模塊簽名/驗簽支持SM2證書;
● 內核KTLS支持SM4-CBC和SM4-GCM算法;
● 鯤鵬KAE加速引擎支持SM3和SM4算法加速;
● UEFI安全啟動支持SM3摘要算法和SM2數字簽名。
四、智能運維
麒麟信安服務器操作系統V3.5.2提供智能運維框架A-OPS,具備CVE管理、配置溯源和異常檢測等能力,支持快速排障、降低運維成本。
● CVE在線巡檢:提供CVE批量感知修復能力,系統管理各主機漏洞情況,方便用戶快速識別主機漏洞,區分受影響與不受影響的CVE,并提供一鍵修復功能,提升漏洞修復效率。
● 異常檢測:突破在線巡檢、高性能和高精度探針等關鍵技術,在MySQL、openGauss業務場景實現網絡I/O時延、丟包、中斷等故障以及磁盤I/O高負載故障的發現。
● 運維工具集:一款集分析、流程跟蹤、信息記錄、歷史經驗固化等功能于一體的操作系統內核問題定位工具。
五、新增支持通用vDPA設備
當前內核態vDPA僅支持virtIO-NET設備,并不支持其他存儲設備如VIRTO-BLK設備。這種方式導致用戶態的vDPA存在一些限制和挑戰。
麒麟信安服務器操作系統V3.5.2通過支持通用vDPA設備,用一種通用類型支持VIRTIO_ID_CRYPTO,VIRTIO_ID_FS,VIRTIO_ID_NET等共計9種VIRTIO設備,提供了更高效的網絡虛擬化解決方案。
六、新增備份還原組件
基于Timeshift 22.11.2二次開發的備份功能組件,支持全量備份、增量備份,支持立即備份和自定義周期的自動備份,支持對備份日志查看追溯。
七、全面支持GB 18030-2022中文編碼字符集
麒麟信安服務器操作系統V3.5.2支持GB 18030-2022中文編碼字符集,能高度滿足不同行業用戶對于操作系統的中文信息處理及生僻字輸入的需求,為用戶帶來良好的中文使用體驗。
麒麟信安是國內較早基于開源Linux技術研制操作系統商業發行版的企業。在電力、國防等關鍵領域應用需求的牽引下,公司不斷迭代升級操作系統產品。2019年底,隨著國內首個服務器領域自主操作系統開源社區openEuler的成立,麒麟信安迅速跟進、采用openEuler社區為上游安全供應鏈,通過精選社區開源軟件包并結合公司多年來不斷累積形成的增值功能模塊,為關鍵行業用戶提供安全可靠的操作系統商業發行版,并圍繞電力、國防等優勢行業構建麒麟信安操作系統穩定行業生態圈,以形成高效的行業應用解決方案提高交付能力。基于國產操作系統領域多年的技術沉淀,麒麟信安將緊跟行業前沿趨勢,懷揣國產操作系統領軍企業的重任與擔當,不斷升級迭代國產操作系統產品,引領技術創新,筑牢信息安全穩固基石。
