NEWS

新闻

了解openKylin最新资讯,关注社区和产品动态。

NEWS

Learn about the latest news.

openKylin 深耕可信计算:X-Kernel 里程碑版本筑牢自主安全根基

2026-07-17 14:47:00

X-Kernel v0.1.0-2606 是 openKylin XTeeOS SIG 推出的首个里程碑版本。该版本围绕 Rust 安全可信内核的工程化落地,初步建立了可持续维护、可持续验证、可持续发布的基础内核能力基线。

openKylin - 开放麒麟 - openkylin

一、夯实 Rust 内核基础能力,支撑真实负载长稳运行

在内核基础能力方面,X-Kernel v0.1.0-2606  已覆盖多架构支持、任务与进程管理、调度、定时器、信号、futex、虚拟内存与地址空间管理、VFS 与文件系统、网络协议栈、设备驱动基础框架、POSIX 兼容接口等核心模块。同时,版本持续补齐系统可观测与性能验证能力,围绕 ktrace、tracepoint、eBPF/kBPF、fio、iperf3、schbench、libc-test 等测试与观测手段,逐步建立内核性能观测、功能回归和 Linux 基线对比能力。

版本的测试与 CI 体系让内核能力可度量、可持续优化。 

openKylin - 开放麒麟 - openkylin

图 1 fio 文件系统 I/O 性能趋势

openKylin - 开放麒麟 - openkylin

图2 schbench调度延迟观测指标图

openKylin - 开放麒麟 - openkylin

图3  网络iperf3性能图

openKylin - 开放麒麟 - openkylin

图 4 XTEEOS 多架构持续集成与 TEE 测试验证流程

这些基础能力的完善,使 X-Kernel开始面向真实系统负载验证内核子系统协同能力。本版本以 Prometheus TSDB 长时间运行为典型场景,对网络、文件系统、调度、内存管理和 I/O 路径进行了综合验证。测试表明X-Kernel 能够支撑 Prometheus 连续稳定运行 35 小时以上,验证了系统在监控服务、数据写入、资源治理和长时间运行场景下的基础支撑能力,这一验证也为黑匣子等系统级安全运维能力提供了基础。

openKylin - 开放麒麟 - openkylin

图 5 支撑 Prometheus TSDB 长时间稳定运行


二、面向安全可信场景,持续完善 TEE 与可信应用支撑能力
openKylin - 开放麒麟 - openkylin

图 6 双体系可信计算的系统能力布局

X-Kernel v0.1.0-2606 版本持续完善 TEE 可信执行环境相关能力,推动 Rust 内核从基础运行支撑向安全可信场景支撑延伸。

本版本围绕可信应用运行、安全存储、密码算法和加载认证等方向开展增强。通过开发 TA 生命周期管理能力,支持可信应用的创建、运行、退出和资源清理,降低异常退出、资源残留和状态不一致带来的安全风险;通过完善安全存储能力,支持密钥、证书、敏感配置等可信数据的安全保存;通过引入 RustCrypto 相关组件,增强 ECC、SM2、RSA 等密码算法能力,为密钥保护、签名验签和可信链路构建提供基础支撑;通过完善 TA 签名认证与加载路径校验,支持对可信应用来源和完整性的验证,提升可信应用加载过程的安全性。

基于上述能力,X-Kernel 可以进一步支撑密钥保存、生物识别数据保护、可信认证、业务敏感数据处理和安全服务隔离等核心安全场景,为 openKylin 可信计算能力建设提供可验证、可裁剪、可持续演进的安全可信内核底座。

在代码安全质量方面,版本持续清理 unsafe 使用,补充单元测试,并强化主机侧构建工具输入校验,进一步提升 Rust 内核工程实现的安全性和可维护性。

三、支持多架构、多平台与灵活裁剪,形成可演进的可信计算底座

面向不同硬件平台、虚拟化环境和可信计算场景,X-Kernel v0.1.0-2606 建立了灵活配置和多平台适配能力。当前版本支持 AArch64、x86_64、RISC-V 64、LoongArch64 体系架构,并面向 QEMU、Hygon CSV Environment、pKVM 等平台和运行环境开展适配。

在工程配置方面,X-Kernel 引入类 Linux Xconfig 的配置体系,支持按架构、平台、构建类型、日志级别、CPU 数量、内核功能模块等维度进行配置和裁剪。开发者可以根据 QEMU 验证、CSV 机密计算环境、CCA 安全扩展环境、pKVM 虚拟化环境等不同目标,选择对应的平台配置与功能组合,减少不必要模块引入,提升系统在不同安全场景下的适配效率。

这种“多架构支持 + 多平台适配 + 模块化裁剪”的能力,是 X-Kernel 走向可信计算底座的重要基础。它使同一套 Rust 内核能力可以面向仿真验证、机密计算、虚拟化隔离和可信应用运行等不同场景持续演进,也为后续支撑更多硬件平台、安全产品形态和行业可信应用提供了工程基础。

四、下一步工作方向

下一阶段,XTeeOS SIG 将继续围绕长时间运行稳定性、安全可信生态支持和工程质量提升持续推进。

在基础能力方面,持续优化文件系统、网络协议栈、调度、内存管理和 I/O 路径,支撑更长周期、更复杂负载下的稳定运行;在安全可信方面,继续完善 TEE、TA 安全加载、安全存储、密码算法和可信应用运行机制,面向密钥保护、生物识别、可信认证和敏感业务隔离等场景增强支撑能力;在生态支持方面,持续完善多架构、多平台适配和 POSIX 兼容能力,推动更多真实应用和安全服务在 X-Kernel 上运行验证;在工程体系方面,继续建设性能基线、自动化回归、多架构 CI 和可观测能力,推动系统从“功能可用”走向“稳定可测、持续演进”。

未来,XTeeOS SIG 将继续联合社区开发者,共同推动 openKylin 可信计算底座建设。


X-TeeOS SIG专注于打造国产操作系统可信执行环境底座,欢迎对TEE、Rust、操作系统内核/驱动与安全工程等方向感兴趣的开发者、厂商与高校伙伴加入,共同构建openKylin可信生态!

邮件列表:x-tee-os@lists.openkylin.top

SIG主页:https://gitee.com/openkylin/community/blob/master/sig/X-TeeOS