一、概述 随着数字化转型不断加速,新兴技术与创新业务不断打破企业原有的安全边界,企业信息面临新的挑战。于是用户对自身的安全建设提出更高要求。在此背景下,基于金其利中间件平台加速适配迁移的全栈式解决方案,满足新一代安全需要的特征,帮助企业解决适配迁移问题,目前已应用于军队、政务、公安、司法、税务、社保、金融、交通、医疗、教育、能源等行业的客户。 金其利研究开发出一种基于Linux操作系统的中间件平台,可兼容ARM、X86、MIPS等多架构处理器和银河麒麟、中标麒麟、UOS、嵌入式Linux等不同的操作系统,解决操作系统与CPU平台的适配优化,以及外设驱动和应用的兼容适配问题,提供基于金其利中间件平台的软硬件一体全栈式解决方案,帮助客户以最小改动高效便捷的实现智能设备的改造。 二、方案背景 (一)方案背景 1. 网络安全凸显核心技术的自主研发已迫在眉睫。 2. CPU与操作系统的是实现全面的根本保障。 3. 实现CPU和操作系统的自主研发安全,才能牢牢抓住能力自主。 4. 智能设备的实现行业全面的关键。 (二)市场痛点 痛点一:生态不完善。现有多种CPU平台尚未与操作系统完成适配,基础软硬件生态不完善,操作系统适配硬件平台周期长、代价高。 痛点二:臃肿庞大。系统安装后超过20G,功能冗余,占用资源。 痛点三:外设驱动缺失。Windows+Intel下的外设驱动在平台上无法重用,导致平台下大量的外设缺乏驱动。 痛点四:安全监管缺失。缺乏有效的安全机制对业务应用进行前后端的安全管控。 (三)方案建议 (1) CPU平台与操作系统的适配 现有多种CPU平台尚未与操作系统完成适配,包括但不限于瑞芯微、全志、展锐等CPU平台,基础软硬件生态不完善,操作系统适配硬件CPU平台需要的周期长、代价高。 (2) 操作系统的功能定制、裁剪和优化 标准版本的操作系统功能丰富,安装后超过20G,臃肿庞大;若直接应用于业务功能相对单一的智能设备,则略显功能冗余,占用系统资源,影响系统运行和响应效率。 (3) 外设和应用与平台的兼容适配 通常智能设备外接大量外设,辅助完成相应的业务功能。然而,智能设备由Windows+Intel/Android+ARM平台向平台迁移过程汇总,由于操作系统环境和CPU架构发生重大变化,导致原有的外设和应用无法重用,造成平台上外设驱动的缺失、应用无法兼容的问题。 (4) 平台安全管控机制的有效建立 在CPU和操作系统实现后,有效的安全管控机制和策略可以为自助终端等智能设备的安全运行提供保障,避免数据信息泄露等安全事故的发生。 三、适配平台 芯片:全志/瑞芯微/飞腾/龙芯 中间件:金其利中间件 (1)芯片:全志T509 和T507 CPU平台/瑞芯微RK3399、RK3568、RK3566 CPU平台/飞腾FT2000和D2000 CPU平台/龙芯3A4000 CPU平台 在硬件层,主要面向嵌入式应用场景、主流通用应用场景和高性能应用场景提供CPU主板和工控机。 ① 针对嵌入式应用场景,主要基于全志T509 和T507 CPU平台,进行主板的定制(图1),均已完成与银河麒麟操作系统的兼容适配,具有稳定、轻量、高效、低功耗、性价比高等特点。
② 针对主流通用应用场景,主要基于瑞芯微RK3399、RK3568、RK3566 CPU平台进行化主板的定制(图2),均已完成与银河麒麟操作系统的兼容适配,具有接口丰富和应用场景多样等特点。 ③ 针对高性能计算场景,主要提供基于飞腾FT2000和D2000C CPU平台的主板和工控机(图3),主要满足信息技术应用创新场景需求。
④ 针对高性能计算场景,主要提供基于龙芯3A4000 CPU平台的化主板和工控机(图4),主要满足信息技术应用创新场景需求。图4 基于龙芯CPU系列的板和工控机 (2)中间件:金其利中间件 在接口支撑层,基于金其利中间件技术和集群管控技术,面向各行业应用场景提供金其利中间件软件和集群管控软件(图5和6),解决外设驱动缺失、应用不兼容以及安全管控缺失的问题。通过统一的模块化管理,可根据客户需求提供相应模块的标准化接口,快速解决设备适配迁移问题,迁移周期缩短67%。 图5 金其利中间件软件 图6 金其利集群管控软件 四、方案介绍 (一)方案的架构 本方案在标准规范体系保障下,集成了服务层、接口层、基础环境层、操作系统层、硬件层。 中间件是连接底层基础软件与上层应用服务的枢纽,目的在于效率提升,面向的使用对象是上层应用开发者。狭义的中间件就是应用服务器软件,广义的中间件包括打包各类企业IT业务的类库软件。针对智能的问题和难点,本项目自主开发了一套金其利中间件平台,是一套标准化,易扩展,易移植,可兼容多架构处理器(比如ARM的飞腾、瑞芯微,x86的兆芯,MIPS的龙芯等)的平台,不同操作系统(比如银河麒麟,中标麒麟,嵌入式Linux等)的服务框架。 基于金其利中间件平台,提出一种软硬件一体的全栈式解决方案(图7),客户可以在不关注系统和底层环境的情况下,直接完成调用,大大缩短项目周期,实现各行业智能设备便捷高效的完成迁移。
软件层:主要包括操作系统层、基础环境层和接口支撑层。通过金其利中间件平台主要完成三方面的工作: (1) 基于银河麒麟操作系统适配不同的CPU硬件平台,目前主要适配的是ARM为主的智能硬件芯片平台; (2) 基于不同类型的智能设备对银河麒麟操作系统实施场景化定制和优化,提升客户应用、系统与设备间的兼容性、高效性和安全性; (3) 基于通用设备外设管理资源池和生物识别外设管理资源池,解决外设驱动缺失和应用不兼容的问题; (4) 基于集群管控策略和日志安全导出策略,为智能设备提供运维和安全管控保障。 截止目前,已为金融、司法、政务共3类行业的15种应用场景需求提供搭载金其利中间件的操作系统适配定制版本。 硬件层:着力解决不同品牌与型号的CPU与系统适配和优化的问题,并以软件定义硬件的思路来研发配套金其利的软件载体。在信息技术应用创新CPU侧,面向不同的场景需求进行飞腾、龙芯CPU平台与银河麒麟操作系统的优化和定制;在CPU侧,目前主要与瑞芯微、全志科技、紫光展锐等CPU厂商合作,开发可满足客户不同需求的板卡。目前基于瑞芯微CPU平台,已开发可独立工作的核心板和配套底板,可满足具有高性能计算需求的行业客户;基于全志科技的CPU平台,面向行业中有高可靠性运行需求的客户,定制开发板卡类产品。截止目前,可提供13款已适配银河麒麟操作系统的CPU主板和主机。 (二)核心技术 (1) 金其利中间件全栈架构 图8 金其利中间件全栈架构图 金其利中间件全栈架构如图8所示,可为客户应用开发提供一套完整标准的应用接口,大大缩短方案的迁移周期,减少客户业务在迁移到平台过程中,因增加或者调整不同接口、不同功能的外设而带来的巨量投入工作。目前金其利中间件已经适配了大量不同类型的外设,包括但不限于单(双)目摄像头、身份证阅读器、高拍仪、A4打印机、二维码阅读器、热敏打印机、指纹仪、串口板等常用外设。特殊外设能满足更多需求,比如单(双)目摄像头,提供了人脸检测、人脸抓怕、人脸识别等全套解决方案。 (2) 金其利中间件之通用设备资源池的外设管理解决方案 智能设备应用程序的业务操作通常需要外设辅助完成,因此外设适配是智能设备换代过程中的一项重要工作。不同外设驱动提供的接口不一样,因此适配一个新的外设,需要应用程序大量修改代码来兼容外设驱动的应用接口。同时,不同外设间的管理协调工作也需要修改软件逻辑完成,这使得应用的开发难度和开发周期都会增加。 为了解决上面的问题,金其利中间件建立了一个通用外设资源池,对金融、政务、司法、公安、轨交、能源等多个行业的常用外设进行了适配,覆盖的外设类型包括打印类、读卡类、扫描类、拍摄类、键盘类等多个类别。在这个外设资源池的基础上,金其利中间件提供了一个通用外设管理解决方案,为每一类外设提供一套统一的应用接口,对于不同的编程语言可以提供多种版本应用接口,如:C++版本、QT版本、Java版本等等。应用程序的开发只需要适配一次应用接口,后续的迭代优化工作,无论是外设硬件还是系统环境的变更,应用都不需要重新对外设进行适配,极大地缩短了应用的开发周期。除了统一版本的应用接口,金其利中间件还可以根据客户的需要,定制外设的应用接口,业务应用不需要再做额外的改动。(如图9) 图9 中间件之通用设备资源池的外设管理解决方案 对于外设的动态管理,金其利中间件提供了以下的策略: 1)设备智能加载 根据不同业务的需要,可以设置特定的外设加载列表,金其利中间件在运行的时候,会自动加载指定的外设模块。切换应用场景时只需要做简单的配置,可以更好地兼容不同场景的外设使用。 2)设备动态监控 在中间件运行的过程中,会全程监控和记录外设的状态信息。当设备运行异常时,主动上报异常的信息,并对异常情况进行处理,业务应用也可以及时对设备异常作出处理。 3)设备独立配置和运行 每个外设都有独立的配置文件,这个配置文件记录着设备运行需要的环境配置和设备功能的配置项。设备间的运行是独立的,一个设备出现异常不会对其他设备造成影响。 4)详细的日志记录 记录中间件和外设的运行信息,根据信息类型对日志进行分级,如:普通信息、警告信息、错误信息等,日志文件根据时间截取建立,方便分析程序运行的状态。 5)设备异步通信 应用接口和设备驱动之间的通信采用异步工作模式,应用在设备驱动工作的时候可以去处理其他事情,不需要把时间花费在等待上,这样可以最大化利用系统资源。 6)智能任务队列 中间件会根据外设的运行状态和应用接口的功能智能地把任务加入任务队列执行。如:对一个打印机连续调用打印文件接口,这时会把打印文件的请求放入任务队列按顺序执行。在打印机有多个打印任务排队执行的时候,如果同时调用接口进行查询打印机状态,不会中断打印任务的执行,查询状态的请求会直接发送给打印机,而不需要等待打印队列完成再处理。 如果需要特定型号的设备也可以进行适配使用,对于业务应用而言,应用接口只需要适配一次就可以实现对其他型号设备的兼容,减少了设备变更带来的重复适配工作。除了统一标准的应用接口,还可以根据客户的需要,定制外设的应用接口,业务应用不需要再做额外的改动。 (3) 金其利中间件之生物识别设备资源池的解决方案 指纹识别、人脸识别、静脉识别和虹膜识别等生物识别技术在银行、移动支付、政务服务、轨道交通等行业都已经使用得比较成熟。然而目前生物识别还是存在一些不足:在平台没有现成的sdk,无法直接使用这些算法;各家算法各有优势和不足,无法互补;各种识别方式相互独立,无法结合验证等等。 针对目前存在的问题,我们提出了单模态生物识别算法策略和多模态生物识别的算法策略。金其利中间件在平台上已经集成了多家可靠的人脸识别算法,包括百度人脸识别算法、商汤人脸识别算法和迪威泰人脸识别算法,并且已经测试稳定,为客户前期的算法适配节省大量的时间。在此基础上提出了金其利自研的基于人脸属性优化人脸识别的策略(图10),主要根据不同的人脸属性和场景,计算出最适合于当前人脸的算法,再进行识别,可有效提高人脸识别的准确率。
图10 基于人脸属性优化人脸识别的策略 目前的生物识别方式已经有很多种,有人脸识别、指纹识别、静脉识别、虹膜识别等,每个厂商擅长的识别方式不同,同一识别方式的侧重点也有所差异;另外,目前在一些场景下单模态的生物识别方式已经无法满足需求。据此,我们提出了多模态生物识别策略(图11),并且是结合行业主流识别方式算法的多模态生物识别。 在做多模态生物识别的时候,首先需要先选择此次识别所需要的模态有哪些,根据选择的模态采集特征图像,然后调用不同的识别模块对采集到的特征进行识别,具体的识别过程见单模态识别中对应的识别方式说明。最后根据各模态识别获得对应的相似度,再统一判断是否符合预设的条件,确定是否通过此次多模态识别。多模态结合识别,并且每个单生物特征识别算法都是行业主流的算法,这就大大提高了生物识别的可靠性。 图11 多模态生物识别算法策略 (4)金其利中间件之集群管控技术 智能设备的安全性是其可靠运行的根本保障。原来基于Windows+Intel/Android+ARM平台的智能设备上由于核心技术依赖国外,根本无安全可言;基于CPU搭载操作系统的智能设备已实现核心技术的自主研发,平台的集群管控技术策略可进一步保障智能设备的安全,为智能设备在状态监测、设备异常上报、日志管理等方面提供安全化、标准化、统一化的设备安全管理,同时为客户提供设备远程管理、空中升级、远程控制等,降低设备系统的维护成本,提高系统的安全性(图12和图13)。 图12 集群管控对设备的管控示意图 图13 集群管控技术框架 自主开发的自助终端日志安全导出技术已获得发明专利授权。如图14所示的日志安全导出方法能确保在移动存储设备不可信的情况下不导出自助终端设备的日志信息,保证了自助终端设备日志文件的安全。 图14 自助终端日志安全导出流程 (二)应用场景 (1)访客一体机的适配开发项目 项目背景:信息安全是国家发展的命脉,“Win XP/7停止服务”、“中兴事件”、“华为事件”等事件的爆发,展露出国际(美国)对中国的技术封锁和进出口封锁日益严重,也让国家认识到了技术和产品自主研发的重要性,关键领域核心技术的已迫在眉睫。同时,国家把信息技术应用创新(信息技术应用创新)作为国家战略,2020年作为信息技术应用创新元年,政策力度巨大,十三五到十四五信息技术应用创新覆盖的领域越来越大。因此打造一款访客机能够从根本上实现核心基础软硬件的自主研发和安全。(如图15)
(三)技术特点 基于Linux操作系统的中间件技术是软硬件一体全栈式解决方案的赋能核心,总体上具有以下八大特点: 特点一:外设驱动规范标准化 针对各种行业,在不区分硬件接口或者通信协议情况下,均采用类Linux硬件驱动开发模式的统一标准化的驱动开发规范。一方面容易被大众理解接受;另一方面可以让不同硬件厂家的软件开发工具包只需要修改极其少代码操作情况下,快速适配接入到金其利中间件平台,为生态圈的发展提供便利。 特点二:外设驱动加载模块化 为不同类型外设提供标准的模块配置,同时在实际工作环境需求中,也会为每一个外设,提供独立的配置和安全的运行环境,以保证不会被其它外设所干扰影响,为模块的安全稳定运行提供有力的保障。 特点三:统一的外设消息管理 面对不同硬件接口、不同的通信协议而产生的所有的消息,金其利中间件提供了统一的消息管理,开发者不用再过多的关心需要采用何种方式有效的管理消息。让开发者的开发流程变得更为简单,为各种类型外设适配带来了更为简洁有效的消息管理,提升了开发适配的效率。 特点四:统一的应用接口封装 针对每一种类型的外设,不分厂家,不分型号,提供一套统一的应用接口,应用层只需要适配一次,后期迭代将变得简单化,不再为硬件或者系统的变更做重复的工作,为客户带来一次开发,重复使用的便利。 特点五:异步式驱动工作模式 客户针对业务,在需要时对外设异步发送控制消息,以空出更多的时间,有效去处理业务相关事宜,待外设处理完成后,再返回给业务层,此时业务层再回过头来处理外设事宜,为系统资源的最大化合理利用提供了有利的条件与保障。 特点六:热插拔式驱动管理 实际检测外设硬件的变化,在不影响系统功能正常运行的情况下,根据实际外设情况动态加载或者移除外设支撑功能。用户也可根据实际业务需求,对外设支撑功能进行热插拔式管理,极大的为客户的前期开发以及后期维护,包括外设硬件及功能的快捷有效迭代提供强有力的支撑。 特点七:适配多种CPU+OS平台 我们采用标准的可移植操作系统接口来兼容不同架构的处理器硬件与多种操作系统环境,避免CPU架构或OS的变更而带来的重新适配风险。 特点八:支持多种编程语言开发 金其利中间件已适配不同的编程语言开发平台,可为客户提供多开发平台的软件开发工具包,利用提供的简单的应用接口,让客户只用专注于业务层开发,不再为切换编程语言而烦恼。 (四)核心优势 本项目主要是基于金其利中间件平台为客户提供一套软硬件一体的全栈式解决方案,最大的优势在于可以帮助客户以最小改动成本实现智能设备高效便捷的适配迁移。全栈式解决方案的优势主要体现在两个方面: l 软件优势 (1) 稳定高效:操作系统体积最小可达300M ,占用内存38M,运行效率提高70%以上,无故障工作时间提升55%以上; (2) 高清支持:支持视频编/解码,音视频同步,高清视频画面清晰,播放流畅、低时延; (3) 环境保障:可根据客户实际需求,提供QT(5.6、5.12等)、QGIS(3.4、3.16等)等软件开发环境; (4) 敏捷维护:搭载备份还原机制,可回退至上一版系统,维护成本降低50%; (5) 算法兼容:支持TensorFlow Lite、Caffe的多种AI框架与模型,利用OpenCV、RGA的硬件加速模块提升计算效能; (6) 安全:兼具集群管控和日志安全导出策略,支持TrustZone安全校验机制,实现系统的安全引导启动; (7) 场景丰富:可满足政务、司法、金融等诸多行业领域智能设备的化需求。 l 硬件优势 (1) CPU主板/工控机:目前已发布4个品牌系列CPU的主板/工控机,分别是飞腾系列、龙芯系列、瑞芯微系列和全志系列。根据CPU和主板的不同性能表现和客户的场景需求,提出满足客户需求的主板和工控机; (2) 个性化定制:根据实际应用场景可定制不同内存大小(2G/4G/8G...)、不同存储大小(16G/32G/64G/128G..)和不同尺寸大小的定制主板,更贴合用户需求; (3) 优化热燥控制:提供两种热燥优化方式,一种增加散热片,没有噪音,且支持定制大小;另一种增加散热风扇,具有强散热,省空间和自动调速的优点; (4) 高可靠性支持:外加MCU芯片,搭载看门狗机制,保障设备连续无故障工作。 (5) 丰富接口支持:支持多种类型、不同规格的接口。USB接口:USB2.0,USB3.0,Type-C;串口接口:TTL,RS232,RS485;视频接口:MIPI,LVDS,eDP,HDMI-in等;音频接口:MIC-IN,Line-IN/OUT等;网络接口:万兆、千兆,百兆;其他接口:SATA,MINI-PCIE,GPIO,I2C,SPI,ADC等。 五、其他——企业简介 广州市金其利信息科技有限公司创立于2016年,注册资本2000万元,总部位于广州市黄埔区科学城。金其利秉持“让操作系统承载万物互联”的使命,专注于为各行业领域提供基于嵌入式操作系统的软硬件一体化计算平台的研发,旨在为各类终端产品提供自主研发的基础底层解决方案,即将原有的Windows、Android、Ubuntu等操作系统变更为操作系统,将原有的Intel、AMD主板变更为自主研发的CPU主板,帮助客户以最小改动成本实现平台的高效迁移,立志将进行到底。 自2016年成立以来,经历近6年的发展和积累,逐步拓展和深耕多个行业领域,与政务、司法、轨道交通、社保等行业领域的企业建立密切的战略合作关系。
|