麒麟信安發(fā)布基于openEuler 22.03 LTS 的商業(yè)發(fā)行版麒麟信安服務(wù)器操作系統(tǒng)V3.5.2

9月25日，麒麟信安基于openEuler 22.03 LTS SP1版本的商業(yè)發(fā)行版——麒麟信安服務(wù)器操作系統(tǒng)V3.5.2正式發(fā)布。

麒麟信安服務(wù)器操作系統(tǒng)V3定位于電力、金融、政務(wù)、能源、國防、工業(yè)等領(lǐng)域信息系統(tǒng)建設(shè)，以安全、穩(wěn)定、高效為突破點，滿足重要行業(yè)領(lǐng)域用戶高安全、高可靠的規(guī)模化部署需求。

本次發(fā)布的V3.5.2縱向兼容麒麟信安服務(wù)器操作系統(tǒng)V3.5.1，可保障用戶系統(tǒng)從V3.5.1平滑升級至V3.5.2；橫向兼容openEuler 22.03 LTS SP1，繼承openEuler社區(qū)全部軟硬件生態(tài)成果。

兩大亮點，開啟“創(chuàng)新加速度”

?從源碼上實現(xiàn)了X86_64、AArch64、LoongArch64和SW_64四款指令集同源異構(gòu)的產(chǎn)品，同時還新增支持RISC-V指令集，可支持海光、兆芯、鯤鵬、飛騰、龍芯和申威等國產(chǎn)CPU。

?實現(xiàn)了與OpenHarmony設(shè)備間的相互識別和通信。麒麟信安服務(wù)器操作系統(tǒng)V3.5.2通過支持分布式軟總線技術(shù)，實現(xiàn)了服務(wù)器系統(tǒng)與嵌入式系統(tǒng)之間的互通互聯(lián)，為端邊領(lǐng)域協(xié)同發(fā)展構(gòu)建了技術(shù)基座。

六種方式，穩(wěn)扎穩(wěn)打提升性能

更優(yōu)的鎖并發(fā)處理

麒麟信安結(jié)合在國防、電力、政務(wù)等領(lǐng)域的多年實戰(zhàn)經(jīng)驗，發(fā)現(xiàn)不同架構(gòu)的特定原子訪問指令和其非原子訪問指令在性能上存在較大差異。例如，部分原子指令在高并發(fā)場景下響應(yīng)速度快，但在低并發(fā)場景下響應(yīng)性能劣于其非原子指令。通過對內(nèi)核代碼應(yīng)用場景的詳細(xì)分析與反復(fù)驗證，在適當(dāng)位置優(yōu)化原子指令，使系統(tǒng)在低并發(fā)的單線程場景中和高并發(fā)的多線程場景中，性能均有明顯提升。

更高效的進(jìn)程喚醒流程

隨著服務(wù)器系統(tǒng)中CPU個數(shù)和核數(shù)增多、內(nèi)存容量增大，根據(jù)CPU與內(nèi)存的親和劃分了多個NUMA節(jié)點，跨不同NUMA節(jié)點之間數(shù)據(jù)訪問開銷增大。在對特定場景的多線程性能測試時發(fā)現(xiàn)，默認(rèn)的內(nèi)核進(jìn)程調(diào)度算法會將線程在NUMA中分布的較為散列，降低了多線程應(yīng)用的性能。麒麟信安針對該場景，優(yōu)化了內(nèi)核進(jìn)程調(diào)度算法，使得相互關(guān)聯(lián)的線程盡可能的集中到最小的調(diào)度域中，降低數(shù)據(jù)同步消耗，對于系統(tǒng)性能有了顯著提升。

更快的內(nèi)存頁拷貝

內(nèi)存拷貝是計算機系統(tǒng)中常見的操作，它涉及將數(shù)據(jù)從一個內(nèi)存位置復(fù)制到另一個內(nèi)存位置。在多線程應(yīng)用中，內(nèi)存拷貝操作常常成為性能瓶頸之一。

麒麟信安服務(wù)器操作系統(tǒng)V3.5.2針對內(nèi)存拷貝進(jìn)行多項優(yōu)化，大幅提升了多線程應(yīng)用的性能。例如，使用位寬更高的矢量寄存器實現(xiàn)內(nèi)存頁拷貝函數(shù)，位寬更高的矢量寄存器提供了更優(yōu)的訪存性能，更精簡的代碼實現(xiàn)，從而有效的提升了內(nèi)存頁拷貝性能。

更靈活的進(jìn)程調(diào)度策略

通過優(yōu)化進(jìn)程調(diào)度策略，提高了系統(tǒng)的響應(yīng)能力、降低延遲，并實現(xiàn)更好的負(fù)載均衡?？筛鶕?jù)客戶具體的應(yīng)用場景和系統(tǒng)需求提供多種時鐘調(diào)頻方案，從而使業(yè)務(wù)需要和資源限制、節(jié)能減排的目標(biāo)達(dá)到平衡。如資源有限的系統(tǒng)或?qū)δ芎囊筝^高的場景中優(yōu)化調(diào)度時鐘頻率，以提高資源利用率和節(jié)能效果。

更優(yōu)的系統(tǒng)調(diào)用

系統(tǒng)調(diào)用作為系統(tǒng)用戶態(tài)和內(nèi)核態(tài)交互過程中必不可少的模塊，對系統(tǒng)性能的影響至關(guān)重要。麒麟信安服務(wù)器操作系統(tǒng)V3.5.2對系統(tǒng)調(diào)用核心路徑進(jìn)行了重點優(yōu)化，主要包括：

●冗余函數(shù)調(diào)用優(yōu)化

●同步操作優(yōu)化

●頁表切換優(yōu)化

更精簡的內(nèi)核配置

通過對內(nèi)核代碼和配置文件的詳盡分析，在保障安全、穩(wěn)定性的前提下，精簡內(nèi)核代碼執(zhí)行流程并優(yōu)化配置，從而有效提升內(nèi)核性能。

七大升級，全面提升先睹為快

重新定義安裝風(fēng)格

麒麟信安服務(wù)器操作系統(tǒng)V3.5.2對系統(tǒng)安裝界面做了全面升級，采用全新的黑色系簡約大氣的設(shè)計風(fēng)格，融入了更多的本地化特色。

>>>>

安全管控

安全管控是麒麟信安自研的安全功能軟件，為麒麟信安操作系統(tǒng)安全核心技術(shù)相關(guān)功能提供集中式、圖形化的管理配置界面，保障系統(tǒng)安全性同時提高靈活性和便捷性。

安全管控軟件提供以下功能：

●可信保護(hù)：對可執(zhí)行程序進(jìn)行執(zhí)行控制；

●文件保護(hù)：保護(hù)關(guān)鍵文件路徑，防止惡意篡改或刪除；

●私密保護(hù)箱：提供數(shù)據(jù)隔離、隱藏和加密保護(hù)功能；

●外設(shè)管控：對外部設(shè)備進(jìn)行讀寫執(zhí)行控制。

>>>>

商密全棧

麒麟信安服務(wù)器操作系統(tǒng)V3.5.2集成了商密可信CA安全根證書，并且對商密支持關(guān)鍵安全特性進(jìn)行商密算法使能，同時為上層應(yīng)用提供商密算法庫、商密證書和商密安全傳輸協(xié)議等密碼服務(wù)。已支持的商密特性包括：

●OpenSSL/Libgcrypt等用戶態(tài)算法庫支持SM2、SM3和SM4算法；

●OpenSSH支持SM2、SM3和SM4商密算法套件；

●OpenSSL支持商密TLCP協(xié)議棧；

●磁盤加密（DM-Crypt/Cryptsetup）支持SM3和SM4算法；

●用戶身份鑒別（PAM/Libuser/Shadow）支持SM3口令加密；

●入侵檢測（AIDE）支持SM3摘要算法；

●內(nèi)核加密框架（Crypto）支持SM2、SM3和SM4算法，以及AVX/CE/NEON等指令集優(yōu)化；

●內(nèi)核完整性度量架構(gòu)（IMA/EVM）支持SM3摘要算法和SM2證書；

●內(nèi)核模塊簽名/驗簽支持SM2證書；

●內(nèi)核KTLS支持SM4-CBC和SM4-GCM算法；

●鯤鵬KAE加速引擎支持SM3和SM4算法加速；

●UEFI安全啟動支持SM3摘要算法和SM2數(shù)字簽名。

>>>>

智能運維

麒麟信安服務(wù)器操作系統(tǒng)V3.5.2提供智能運維框架A-OPS，具備CVE管理、配置溯源和異常檢測等能力，支持快速排障、降低運維成本。

●CVE在線巡檢：提供CVE批量感知修復(fù)能力，系統(tǒng)管理各主機漏洞情況，方便用戶快速識別主機漏洞，區(qū)分受影響與不受影響的CVE，并提供一鍵修復(fù)功能，提升漏洞修復(fù)效率。

●異常檢測：突破在線巡檢、高性能和高精度探針等關(guān)鍵技術(shù)，在MySQL、openGauss業(yè)務(wù)場景實現(xiàn)網(wǎng)絡(luò)I/O時延、丟包、中斷等故障以及磁盤I/O高負(fù)載故障的發(fā)現(xiàn)。

●運維工具集：一款集分析、流程跟蹤、信息記錄、歷史經(jīng)驗固化等功能于一體的操作系統(tǒng)內(nèi)核問題定位工具。

>>>>

新增支持通用vDPA設(shè)備

當(dāng)前內(nèi)核態(tài)vDPA僅支持virtIO-NET設(shè)備，并不支持其他存儲設(shè)備如VIRTO-BLK設(shè)備。這種方式導(dǎo)致用戶態(tài)的vDPA存在一些限制和挑戰(zhàn)。

麒麟信安服務(wù)器操作系統(tǒng)V3.5.2通過支持通用vDPA設(shè)備，用一種通用類型支持VIRTIO_ID_CRYPTO,VIRTIO_ID_FS,VIRTIO_ID_NET等共計9種VIRTIO設(shè)備，提供了更高效的網(wǎng)絡(luò)虛擬化解決方案。

>>>>

新增備份還原組件

基于Timeshift 22.11.2二次開發(fā)的備份功能組件，支持全量備份、增量備份，支持立即備份和自定義周期的自動備份，支持對備份日志查看追溯。

>>>>

全面支持GB 18030-2022中文編碼字符集

麒麟信安服務(wù)器操作系統(tǒng)V3.5.2支持GB 18030-2022中文編碼字符集，能高度滿足不同行業(yè)用戶對于操作系統(tǒng)的中文信息處理及生僻字輸入的需求，為用戶帶來良好的中文使用體驗。

長久以來，麒麟信安積極參與openEuler社區(qū)建設(shè)，并成為首批openEuler商業(yè)發(fā)行版操作系統(tǒng)廠商。麒麟信安始終根植于操作系統(tǒng)技術(shù)，在openEuler基礎(chǔ)上不斷迭代演進(jìn)，致力于商業(yè)發(fā)行版本在關(guān)鍵行業(yè)和領(lǐng)域的應(yīng)用推廣，并在黨政、國防、電力、金融等行業(yè)得到大規(guī)模商用。未來也將繼續(xù)攜手openEuler，推動國產(chǎn)操作系統(tǒng)實現(xiàn)高質(zhì)飛躍。