胡 钢

（1.研祥智能科技股份有限公司，广东深圳 518057；2.国家特种计算机工程技术研究中心，广东深圳 518057）

0 引言

随着国家对信息安全的重视，我国对国民经济重要行业关键设备自主安全可控的应用需求不断扩展，信息安全技术越受重视[1]。对于电子政务、电子商务和国民经济重要领域以及政府、金融、证券、军事等敏感部门的计算平台来说，自主可控应该是其基本特征，然而由于CPU、芯片组、操作系统和数据库等计算机核心技术掌握在国外公司手中，技术细节保密，源代码不公开，在产品研发过程中，经常故障归零分析到国外操作系统和底层硬件时，便无法进展下去，因为涉及到Intel CPU和Windows操作系统，外界无从知晓软硬件的安全性、可靠性无法保障[2]。在计算机软硬件关键技术被国外掌控的条件下，信息平台都是黑盒子，无法洞悉信息的处理过程，无法保证信息安全[3]。

发展自主可控的计算机软硬件平台，研制具有自主知识产权、技术上自主可控、集成上能够灵活定制的计算设备，满足我国信息装备的发展需要，不仅是国产化推进计划的核心课题，也对提升我国核心竞争力具有重大的战略意义[4]。

1 硬件方案设计

基于国产处理器的网络安全平台主板板载2个国产高性能龙芯四核处理器，主频1 GHz，配合AMD RS780E+SB710芯片组，可作为高性能服务器使用[5]。集成VGA显示，搭配8条DDR3 240-Pin DIMM内存插槽，每个槽位最高支持2 GB DDR3 RDIMM，共计16 GB DDR3 RDIMM内存。提供2个PCIe x8插槽、2个PCIe x4插槽、2个PCI插槽和1个Mini-PCIe插槽，3个10/100/1 000 Mb/s自适应网络（1个管理网口可选），6个标准SATA接口，6个USB2.0端口，其中2个USB2.0支持后面板扩展，4个USB2.0支持前面板扩展，3个系统COM口，1个鼠标键盘接口和1个打印口。配合使用Linux操作系统，实现整个平台的稳定、可靠运行和达到安全自主可控的目标，图1所示为基于国产处理器的网络安全平台硬件方案。

2 散热方案设计

采用强迫风冷散热，4个系统风扇置于机箱内部硬盘与主板之间向后吹风，自带风扇的电源模块形成自有风道，与整机风道方向一致。CPU散热器采用主动式，风扇向后吹风，与系统风道一致，为2个CPU区域加装风道，消除气流旋涡，同时满足2颗CPU的温升设计需求，系统进风处有前面板，两侧前部区域，上盖前部区域等；出风处有后面板，侧面后部区域，上盖后部区域等。

本文使用热仿真软件ANSYS Icepak对高温40℃及常温25℃环境进行了仿真模拟，整机风道、高温40℃环境下温度云图、常温25℃环境下温度云图如图2所示，从仿真数据可以看出，采用4个大风量系统风扇，CPU采用主动散热器，可以满足散热的需求。

图1 基于国产处理器的网络安全平台硬件方案图

图2 整机风道示意图、高温40℃及常温25℃环境下温度云图

3 结构方案设计

基于国产处理器的网络安全平台从整机外形、机箱内部布局、前后面板布局、电源布局、硬盘减振等方面进行设计。整机外形以及机箱内部布局如图3所示，机箱采用钣金材质，喷粉处理，整机采用风扇主动散热；模块化设计，通过扩展网络模块，支持多个高性能千兆网口或者万兆网口，提供更为丰富的网络接口配置的同时保证了高效的网络数据吞吐；由于安全距离小，油囊减震的安全距离不够，硬盘采用橡胶减震垫，具有较好的抗振性能。

图3 整机外形以及机箱内部布局

前面板布局、后面板布局如图4所示，整个后面板与箱体为一个整体，风扇采用锁螺钉固定，250 W电源和180 W电源只有电源后支架部分有区别，需分别设计支架以便公用箱体锁电源支架的螺丝孔。

图4 前面板布局、后面板布局

前面板与箱体为一个整体，连接处按照工艺要求采用碰焊或者拉钉，部分需压型贴膜以便美观。CFAST、PCIE卡布局如图5所示，考虑空间原因，CFAST卡占用一个硬盘位，两个硬盘位可选一个占用。定做支架，前面锁螺丝固定PCIE卡，后面用塑料卡条卡住PCIE卡以便固定。

图5 CFAST、PCIE卡布局

4 软硬件适配

（1）系统引导和内核移植

基于龙芯3A处理器的国产CPU工业服务器在Linux内核移植过程中需要重点关注与龙芯3A处理器相关的函数入口，对各个功能（如：SATA接口、USB接口、GPIO、Audio接口等）的配置以及对PCIE设备的中断路由和中断号的分配要正确无误，否则会造成系统崩溃和设备无法访问的严重后果。

基于龙芯3A处理器的国产CPU工业服务器操作系统具体采用Debian Linux操作系统[6]。Debian操作系统支持Little Endian MIPS上R3000和R4000/R4400指令集的龙芯3A处理器，涵盖Linux内核与GNU工具集所支持的硬件，如磁盘、网络、键盘、打印机、USB设备、串口等。在Debian Linux操作系统里，如果操作系统遇到出错的情况，大多时候都能把它修复而不用重新安装。升级不再需要进行大规模的安装操作就可以升级，而这些程序也总能和新版的操作系统兼容。如果一个程序的新版本需要其他程序的更新版本来支持它，Debian操作系统自带的软件包管理系统会自动确定所有必须的软件，并安装之。Debian操作系统的安装配置至少需要256 MB内存和1 GB存储空间，而基于龙芯3A处理器的通信管理机可以配置2根DDR3插槽，其配置的2个SATA接口可以支持250 GB以上的存储空间，满足Debian操作系统的安装需求[7]。

（2）应用层软件移植

该技术主要是为了不同行业应用的规约转换，交叉编译，实现软件快速异构移植。主要引进市场或客户应用中比较成熟的产品，并对其协议进行移植处理，最终应用在客户的系统中进行测试[8]。本方案采用龙芯3A/3B处理器，龙芯处理器采用RISC指令集，因而基于CISC指令集的x86硬件架构上的程序无法直接运行于龙芯处理器硬件架构上，通过龙芯提供BSP（包括交叉编译工具、boot⁃loader、内核）即可完成Linux嵌入式操作系统下基于x86硬件架构的应用程序向龙芯平台的移植。

（3）通用硬件资源接口规范

从客户应用角度看，工业控制领域的客户需要在具体硬件平台上开发具体应用软件，以搭建起工业控制系统，应用到各行各业中。由于国内目前暂无标准定义统一的硬件资源接口规范，这就势必导致由于硬件平台的升级或某芯片的停产，迫使大量的用户不得不升级自己的产品，尤其是应用软件[9]。平台可以为用户提供统一的硬件资源访问接口（接口包括GPIO、Watchdog、Hardware Monitor等），向客户提供统一的接口库函数，客户无需关心具体底层硬件的实现方式和访问方式，只需使用标准接口库函数就能实现对相应硬件的操作[10]。产品硬件升级时，客户基本不用同步升级应用程序就可以在升级后的平台上操作应用程序，因为硬件升级的同时也即完成集成模块库的同步升级，对硬件底层实现了统一的封装，向客户提供的库函数接口是一致的，对客户的应用程序兼容性强。

5 结束语

本文基于龙芯3A2000国产处理器平台，配合AMD RS780E+SB710芯片组，通过硬件、散热、结构等方案设计和基于国产硬件平台的软件移植，包括系统引导和内核移植，应用层软件移植，硬件接口规范，设计了工业服务器网络安全平台，实现整个平台的稳定、可靠运行和达到安全自主可控的目标，支持运行中标麒麟国产操作系统和昆仑固件，支持达梦/金仓数据库，满足电子政务、电子商务以及工业自动化、智能制造、安防监控、检测、IT通信、军工行业等国民经济重要领域工控系统的应用。