610
在国产CPU自主可控的发展进程中,“安全”是一个至关重要的环节。随着技术的进步和网络环境的复杂化,安全问题变得尤为突出。CPU作为计算机系统的核心,其安全性直接关系到整个信息系统的安全性。因此,确保CPU的安全不仅是技术问题,更是战略问题。
海光信息作为国产CPU的重要推动者,在高端处理器、加速器等计算芯片产品和系统方面有多年的研发布局,其高端处理器作为现代信息系统设备中的核心部件,在大规模数据处理、复杂任务调度和逻辑运算等方面具有重要作用,海光在安全技术方面的布局尤为值得关注。
海光CPU核心安全技术解析
海光信息建立了安全可控的C86体系和标准,在安全方面,海光对C86处理器安全技术进行规范和统一,推出了C86处理器安全计算架构CSCA(C86 Security Computing Architecture),其中包含的安全技术有:安全密钥、安全处理器、安全启动、安全存储、密钥管理及使用、动态度量保护、内存加密、机密计算、密码计算、可信计算标准支持、芯片安全防护。综合这些技术,可以实现从底层固件到上层应用软件的整体安全。
与国内其他CPU相比,海光的安全机制具有以下独特优势:
密码技术
不同于传统的软加密或者加密卡、加密机等方案,海光在CPU内部集成了安全处理器(PSP)和密码协处理器 (CCP),同时还采用了密码指令集加速、密钥管理和HCT等技术。
这种方式要比传统密码设备具备更低的成本、更高的性能和更好的安全性。过去最常见的做法是在主板上插一张密码卡,密钥和运算都放在密码卡上。而海光相当于在CPU内置了密码卡,无需额外购置专用密码设备。对用户来说,这样不仅减少了采购成本和周期,海光CPU的内置密码能力也要高于市面上的中高端密码卡。
业内信息显示,海光CPU通过综合利用密码协处理器和密码指令集,可以有效提升商用密码加解密、签名验签、以及TLCP、IPSec等密码协议的性能,并支持OpenSSL、Tongsuo、Kernel Crypto API和SDF等开源标准接口。
目前,该产品已通过国家密码管理局商用密码检测中心认证,符合《GM/T 0008 安全芯片密码检测准则》第一级要求;海光可信密码模块符合《GM/T 0028密码模块安全技术要求》第二级要求。两项测评均已获得商用密码产品认证证书。
总体而言,海光CPU的密码技术具有六大优势:适用性广,兼容信创全场景需求;性能强,签名验签性能是传统加密卡的数倍;安全可靠,内置于CPU,提高稳定性;兼容性强,支持容器、虚拟机和主流云平台;软件生态完善,提供标准接口,支持主流密码套件;成本效益高,无需额外硬件采购,可直接升级。
去年,《商用密码管理条例》正式实施,随着合规需求的逐渐落地,商密行业有望迎来新一轮快速发展。这些年行业的实践已经显示,将密码计算内置的方式,成本更低、性能更高、且更为安全,这也意味着海光CPU内置密码模块的形式,已经成为引领整个国密领域的趋势,有望推动海光CPU的更广泛落地。
机密计算
不同于传统计算使用加密技术保护存储和传输中的数据,机密计算是使用加密、隔离技术保护使用中的数据。它已经成为云计算时代的安全底座,国际上主流的CPU企业,比如英特尔和Arm等,都在通过硬件对虚拟机做加密,进而实现机密计算服务升级。
海光CPU的机密计算技术逻辑是,CPU允许以虚拟机为单元对硬件资源隔离,结合运行于处理器上的安全固件,实现基于安全虚拟化的可信执行环境,用以保证用户数据安全。目前,海光的机密计算已经发展到了第三代。从海光2号开始提供内存加密,到C86-3G产品时升级了虚拟机状态加密,再到最新的产品,已经可以提供访问权限隔离。
机密计算中涉及云计算底层基础技术虚拟化技术非常关键。在此之前,由于虚拟机的全部资源被主机操作系统和虚拟机管理器控制,虚拟机本身存在一定的的安全隐患。海光CPU在普通虚拟化基础上升级了安全加密虚拟化,安全保护得到大幅增强,非常适用于云计算和隐私计算等场景。
具体来看,海光CPU安全加密虚拟机的缓存等资源独立,与其他安全加密虚拟机和主机程序隔离,保护应用数据不被窃取或者篡改。并且安全加密虚拟机支持启动度量和运行时远程身份认证,度量和认证结果由处理器密钥签名,主机操作系统和虚拟机管理器无法伪造,保证安全加密虚拟机身份的合法性。
另外,安全加密虚拟机支持内存实时加密,主机操作系统和虚拟机管理器无法解密,密钥由处理器随机生成并管理,永不外泄。安全加密虚拟机不仅保证了虚拟机内存数据机密性,更进一步维护了虚拟机内存数据的完整性,主机操作系统和虚拟机管理器无法通过改写虚拟机嵌套页表对虚拟机实施重映射攻击。
海光安全加密虚拟机支持机密容器,符合容器标准接口规范,能够和K8s等管理引擎无缝对接。机密容器运行在安全加密虚拟机中,容器数据被CPU自动加密,保护容器的数据安全。
根据市场反馈,这一技术受到了很多国产厂商追捧。阿里云上线了基于海光CSV的机密虚拟机实例。在隐私计算影响力TOP10企业中,海光与90%的厂商都有合作,目前已推出十余款基于海光CPU的一体机。
可信计算
可信计算是指通过建立可信环境以确保计算设备和数据的安全性,其实也相当于密码技术的“白名单”。从技术路径来看,可信计算体系最重要的是底层的信任根,信任根是可信的基础和源头。目前传统实现信任根的方式依赖于主板上专门的硬件模块,在成本、安全性及易用性上存在一定的缺陷。随着信息安全需求升级,CPU领域开始更趋向于原生可信支持。
海光CPU即采用这条路线。相较于可信硬件模块外置,海光CPU通过内置可信模块实现原生可信支持,比前者具备更高的安全性、更低的使用成本以及更易用等价值。
此外,根据实现的功能和提供的命令接口的不同,可信模块又可分为三大技术路线,包括国际标准“可信平台模块TPM”(最新版本2.0),国内标准“可信平台控制模块TPCM”和“可信密码模块TCM”。
海光CPU利用内置安全处理器对可信计算做了相关支持与拓展,在CPU内部不仅实现了以上可信功能模块的三大技术路线,同时支持TDM模块(Trusted Dynamic Measuring)和TSB模块(Trusted Secure Boot)两个海光独创的可信功能模块。
海光CPU实现了最新的TPM2.0国际标准支持,利用内置安全处理器在CPU内部以固件形式实现了TPM2.0模块,TPM访问不需要经过外部总线。与外置专用TPM芯片相比,缩小了物理暴露面,进一步降低了安全风险。
海光TPM可信软件架构示意图
公开信息显示,海光也是国内首家内置TCM2.0可信计算方案的厂商,海光CPU从海光3号开始内置TCM2.0支持,与TPM2.0一样,TCM2.0基于CPU安全处理器以固件的形式实现,海光CPU固件以BIOS PI的形式发布给OEM厂商,因此使用TCM2.0需与OEM厂商确认BIOS支持该功能。
此外,海光CPU支持国内最先进的可信计算3.0 TPCM,和TPM/TCM相比,TPCM增加了对系统主动监视和控制的功能。基于TPCM标准,海光已经帮助很多下游用户获得了等保2.0资质,在主动防御、安全启动、动态度量等方面均可提供相关技术支持。
此外, TDM(Trusted Dynamic Measurement)为海光基于安全处理器实现的轻量级动态度量,是海光的特有功能。如下图所示,通过TDM可以实现对设定内存目标进行持续的周期性度量,及时发现程序异常,保护程序运行时安全;同时TDM通过独有的双重授权保护方式确保非授权用户无法篡改TDM内的度量任务设定,极大地增强了模块的安全性。
如上,基于海光内置安全处理器的可信计算支持包括TPM2.0,TPCM,TCM等。这些功能被集成到一块CPU上,成为CPU的一部分。用户可以根据具体的场景及需要进行配置,可以使用所有的功能,也可以选择部分使用。由于海光可信计算功能使用的易用性,海光CPU可以在很多金融可信终端上帮助用户加固产品。在可信计算认证产品名单中,基于海光CPU的产品占比达到了50%。
除了上述三大技术,海光CPU的安全机制主要还包括:
安全密钥:内置于处理器,用于安全启动等关键功能,确保固件合法性;
安全处理器:集成于CPU中,提供更高安全权限的安全管理;
安全启动:通过固件验签公钥确保启动软件的合法性;
密钥管理:内置模块提供安全的密钥管理,支持高效密码运算;
动态度量保护:监控程序运行,检测并应对异常;
内存加密:加密内存数据,保护系统重启后的密钥安全;
芯片安全防护:通过采用掩码、平衡指令分支缓解等技术防御芯片物理攻击,对熔断漏洞免疫,通过软件指令或者微码防御幽灵漏洞攻击。
CPU+GPGPU全布局,推动行业安全标准发展
海光自2014年成立以来,专注于高端处理器和加速器芯片的研究与开发,并在2022年成功登陆上海证券交易所科创板。作为国内微处理器行业的领军企业,海光已成功研发并商业化多代CPU和DCU产品。其中,海光CPU系列产品采用x86指令集,兼容主流操作系统和应用软件;海光DCU系列产品基于GPGPU架构,提供全精度计算能力,支持广泛的AI软件和模型,通过自研的DTK软件栈,实现了大模型的全面应用和适配。目前,这些处理器广泛应用于云计算、大数据和AI领域,服务于金融、通信、能源等行业,并在国内高端计算市场占据领先地位。
值得注意的是,基于通用处理器CPU和DCU两大主力产品,海光还可以提供人工智能应用场景下的机密计算环境。海光CPU和DCU通过安全通道链接,可融合为同一安全域。在此环境下进行大模型训练和推理,可以保障其他操作系统、虚拟机、管理器等,均无法接触安全域中的数据信息。
海光的这些安全技术布局,保障了处理器产品在良好的性能和系统兼容性之外,为国产化信息安全提供了强有力的支撑,同时也推动了整个行业的安全标准提升。这不仅巩固了海光在国内市场的地位,也为全球信息安全领域贡献了中国智慧和中国方案。随着技术的不断进步和市场需求的增长,海光CPU的安全优势将更加凸显,为构建更加安全、智能的未来计算世界奠定坚实基础。
