津逮x86处理器供货 重新定义国产CPU

日前，媒体报道澜起科技联合清华大学及 intel 研发的津逮 x86 国产服务器 CPU 开始开始批量供货。津逮 x86 服务器 CPU 是基于英特尔的 14nm skylake 微架构，是在标准的英特尔至强处理器的基础上，加入了清华大学的预检测（PrC）和动态安全监控（DSC）功能，可通过内建的安全监控引擎来实现高速 I/O 跟踪、内存访问跟踪、CPU 行为监控等功能。

津逮 CPU 其实就是在 Intel CPU 上加一个所谓的安全模块，是 CPU+ASIC，CPU 直接用英特尔的，ASIC 国内单位自己做。通过写一个 ASIC，澜起把安全向下做到硬件这一级，理论上会检查所有的指令，检查 X86 内核运行时行为是否与预期一致，若一致则执行，如果不符合预期定义的动作都不让执行。而运算功能则由 Intel 做的 X86 内核负责。

但这么一来，澜起的 CPU 部分其实就是 Intel 的内核，考虑到 Intel 的一系列高危漏洞 10 年不改，更不承认，直到 2017 年 3 月底安全研究者 Maksim 抓个现行后，Intel 才表示：“十年来的产品都因高危漏洞存在安全隐患”的黑历史。

在 CPU 安全方面完全仰仗 Intel 是否靠谱依然是未知数。

何况，国内单位通过对某些国外 X86 CPU 的严格测试，可以确认存在功能不明确的“多余”模块，它不是一般意义的调试接口，而是由特定的 CPU 芯片引脚控制，可读写 CPU 内部状态寄存器、读写指定存储区域、激活特定的微代码段执行某个处理流程、并且可以对 CPU 进行复位。同时，还发现其存在未公开指令，包括加解密、浮点操作在内共计二十余条，其中，有三条指令在用户模式就可以使机器死机或重启，作用机制直接穿透各种软件保护措施，防护软件不能感知；普通应用程序中嵌入一条即可使系统宕机。

在这种情况下，加一个可重构计算处理器是否能真的实现 100%安全，恐怕还需要时间去检验。

另外，澜起京逮 CPU 的 AISC 模块其实完全可以不和 Intel 的 CPU 封装在一起，完全可以分开，安装在主板上，而且这么一来，澜起在商业模式上，可以更加灵活——ASIC 模块可以单独出售，也可和 Intel 的 CPU 一起搭配出售，甚至还可以和 AMD、IBM 等国外 CPU 搭配出售。就成本来说，也可以省去一笔额外的封装费用。为何硬要把英特尔的 skylake 和安全模块封装在一起，司马昭之心路人皆知。

这款 CPU 性能是不错的，毕竟就是英特尔的 skylake，不过媒体报道中将这款 CPU 称为国产，只让铁流感到无奈。曾经铁流对国产的概念是 CPU 源代码自己写。在国内 ARM CPU 风靡一时，并借此搞爱国营销后，国产的定义变成了买 IP 做集成设计 SoC。如今，把 skylake 和一个安全模块封装在一起也成了国产，国产的下限被不断拉低，只能说京逮 CPU 重新定义国产 CPU。