海光：構(gòu)筑國(guó)產(chǎn)處理器安全新高地

在國(guó)產(chǎn)CPU自主可控的發(fā)展進(jìn)程中，“安全”是一個(gè)至關(guān)重要的環(huán)節(jié)。隨著技術(shù)的進(jìn)步和網(wǎng)絡(luò)環(huán)境的復(fù)雜化，安全問(wèn)題變得尤為突出。CPU作為計(jì)算機(jī)系統(tǒng)的核心，其安全性直接關(guān)系到整個(gè)信息系統(tǒng)的安全性。因此，確保CPU的安全不僅是技術(shù)問(wèn)題，更是戰(zhàn)略問(wèn)題。

海光信息作為國(guó)產(chǎn)CPU的重要推動(dòng)者，在高端處理器、加速器等計(jì)算芯片產(chǎn)品和系統(tǒng)方面有多年的研發(fā)布局，其高端處理器作為現(xiàn)代信息系統(tǒng)設(shè)備中的核心部件，在大規(guī)模數(shù)據(jù)處理、復(fù)雜任務(wù)調(diào)度和邏輯運(yùn)算等方面具有重要作用，海光在安全技術(shù)方面的布局尤為值得關(guān)注。

海光CPU核心安全技術(shù)解析

海光信息建立了安全可控的C86體系和標(biāo)準(zhǔn)，在安全方面，海光對(duì)C86處理器安全技術(shù)進(jìn)行規(guī)范和統(tǒng)一，推出了C86處理器安全計(jì)算架構(gòu)CSCA（C86 Security Computing Architecture），其中包含的安全技術(shù)有：安全密鑰、安全處理器、安全啟動(dòng)、安全存儲(chǔ)、密鑰管理及使用、動(dòng)態(tài)度量保護(hù)、內(nèi)存加密、機(jī)密計(jì)算、密碼計(jì)算、可信計(jì)算標(biāo)準(zhǔn)支持、芯片安全防護(hù)。綜合這些技術(shù)，可以實(shí)現(xiàn)從底層固件到上層應(yīng)用軟件的整體安全。

與國(guó)內(nèi)其他CPU相比，海光的安全機(jī)制具有以下獨(dú)特優(yōu)勢(shì)：

密碼技術(shù)

不同于傳統(tǒng)的軟加密或者加密卡、加密機(jī)等方案，海光在CPU內(nèi)部集成了安全處理器（PSP）和密碼協(xié)處理器 (CCP)，同時(shí)還采用了密碼指令集加速、密鑰管理和HCT等技術(shù)。

這種方式要比傳統(tǒng)密碼設(shè)備具備更低的成本、更高的性能和更好的安全性。過(guò)去最常見(jiàn)的做法是在主板上插一張密碼卡，密鑰和運(yùn)算都放在密碼卡上。而海光相當(dāng)于在CPU內(nèi)置了密碼卡，無(wú)需額外購(gòu)置專用密碼設(shè)備。對(duì)用戶來(lái)說(shuō)，這樣不僅減少了采購(gòu)成本和周期，海光CPU的內(nèi)置密碼能力也要高于市面上的中高端密碼卡。

業(yè)內(nèi)信息顯示，海光CPU通過(guò)綜合利用密碼協(xié)處理器和密碼指令集，可以有效提升商用密碼加解密、簽名驗(yàn)簽、以及TLCP、IPSec等密碼協(xié)議的性能，并支持OpenSSL、Tongsuo、Kernel Crypto API和SDF等開(kāi)源標(biāo)準(zhǔn)接口。

目前，該產(chǎn)品已通過(guò)國(guó)家密碼管理局商用密碼檢測(cè)中心認(rèn)證，符合《GM/T 0008 安全芯片密碼檢測(cè)準(zhǔn)則》第一級(jí)要求；海光可信密碼模塊符合《GM/T 0028密碼模塊安全技術(shù)要求》第二級(jí)要求。兩項(xiàng)測(cè)評(píng)均已獲得商用密碼產(chǎn)品認(rèn)證證書(shū)。

總體而言，海光CPU的密碼技術(shù)具有六大優(yōu)勢(shì)：適用性廣，兼容信創(chuàng)全場(chǎng)景需求；性能強(qiáng)，簽名驗(yàn)簽性能是傳統(tǒng)加密卡的數(shù)倍；安全可靠，內(nèi)置于CPU，提高穩(wěn)定性；兼容性強(qiáng)，支持容器、虛擬機(jī)和主流云平臺(tái)；軟件生態(tài)完善，提供標(biāo)準(zhǔn)接口，支持主流密碼套件；成本效益高，無(wú)需額外硬件采購(gòu)，可直接升級(jí)。

去年，《商用密碼管理?xiàng)l例》正式實(shí)施，隨著合規(guī)需求的逐漸落地，商密行業(yè)有望迎來(lái)新一輪快速發(fā)展。這些年行業(yè)的實(shí)踐已經(jīng)顯示，將密碼計(jì)算內(nèi)置的方式，成本更低、性能更高、且更為安全，這也意味著海光CPU內(nèi)置密碼模塊的形式，已經(jīng)成為引領(lǐng)整個(gè)國(guó)密領(lǐng)域的趨勢(shì)，有望推動(dòng)海光CPU的更廣泛落地。

機(jī)密計(jì)算

不同于傳統(tǒng)計(jì)算使用加密技術(shù)保護(hù)存儲(chǔ)和傳輸中的數(shù)據(jù)，機(jī)密計(jì)算是使用加密、隔離技術(shù)保護(hù)使用中的數(shù)據(jù)。它已經(jīng)成為云計(jì)算時(shí)代的安全底座，國(guó)際上主流的CPU企業(yè)，比如英特爾和Arm等，都在通過(guò)硬件對(duì)虛擬機(jī)做加密，進(jìn)而實(shí)現(xiàn)機(jī)密計(jì)算服務(wù)升級(jí)。

海光CPU的機(jī)密計(jì)算技術(shù)邏輯是，CPU允許以虛擬機(jī)為單元對(duì)硬件資源隔離，結(jié)合運(yùn)行于處理器上的安全固件，實(shí)現(xiàn)基于安全虛擬化的可信執(zhí)行環(huán)境，用以保證用戶數(shù)據(jù)安全。目前，海光的機(jī)密計(jì)算已經(jīng)發(fā)展到了第三代。從海光2號(hào)開(kāi)始提供內(nèi)存加密，到C86-3G產(chǎn)品時(shí)升級(jí)了虛擬機(jī)狀態(tài)加密，再到最新的產(chǎn)品，已經(jīng)可以提供訪問(wèn)權(quán)限隔離。

機(jī)密計(jì)算中涉及云計(jì)算底層基礎(chǔ)技術(shù)虛擬化技術(shù)非常關(guān)鍵。在此之前，由于虛擬機(jī)的全部資源被主機(jī)操作系統(tǒng)和虛擬機(jī)管理器控制，虛擬機(jī)本身存在一定的的安全隱患。海光CPU在普通虛擬化基礎(chǔ)上升級(jí)了安全加密虛擬化，安全保護(hù)得到大幅增強(qiáng)，非常適用于云計(jì)算和隱私計(jì)算等場(chǎng)景。

具體來(lái)看，海光CPU安全加密虛擬機(jī)的緩存等資源獨(dú)立，與其他安全加密虛擬機(jī)和主機(jī)程序隔離，保護(hù)應(yīng)用數(shù)據(jù)不被竊取或者篡改。并且安全加密虛擬機(jī)支持啟動(dòng)度量和運(yùn)行時(shí)遠(yuǎn)程身份認(rèn)證，度量和認(rèn)證結(jié)果由處理器密鑰簽名，主機(jī)操作系統(tǒng)和虛擬機(jī)管理器無(wú)法偽造，保證安全加密虛擬機(jī)身份的合法性。

另外，安全加密虛擬機(jī)支持內(nèi)存實(shí)時(shí)加密，主機(jī)操作系統(tǒng)和虛擬機(jī)管理器無(wú)法解密，密鑰由處理器隨機(jī)生成并管理，永不外泄。安全加密虛擬機(jī)不僅保證了虛擬機(jī)內(nèi)存數(shù)據(jù)機(jī)密性，更進(jìn)一步維護(hù)了虛擬機(jī)內(nèi)存數(shù)據(jù)的完整性，主機(jī)操作系統(tǒng)和虛擬機(jī)管理器無(wú)法通過(guò)改寫(xiě)虛擬機(jī)嵌套頁(yè)表對(duì)虛擬機(jī)實(shí)施重映射攻擊。

海光安全加密虛擬機(jī)支持機(jī)密容器，符合容器標(biāo)準(zhǔn)接口規(guī)范，能夠和K8s等管理引擎無(wú)縫對(duì)接。機(jī)密容器運(yùn)行在安全加密虛擬機(jī)中，容器數(shù)據(jù)被CPU自動(dòng)加密，保護(hù)容器的數(shù)據(jù)安全。

根據(jù)市場(chǎng)反饋，這一技術(shù)受到了很多國(guó)產(chǎn)廠商追捧。阿里云上線了基于海光CSV的機(jī)密虛擬機(jī)實(shí)例。在隱私計(jì)算影響力TOP10企業(yè)中，海光與90%的廠商都有合作，目前已推出十余款基于海光CPU的一體機(jī)。

可信計(jì)算

可信計(jì)算是指通過(guò)建立可信環(huán)境以確保計(jì)算設(shè)備和數(shù)據(jù)的安全性，其實(shí)也相當(dāng)于密碼技術(shù)的“白名單”。從技術(shù)路徑來(lái)看，可信計(jì)算體系最重要的是底層的信任根，信任根是可信的基礎(chǔ)和源頭。目前傳統(tǒng)實(shí)現(xiàn)信任根的方式依賴于主板上專門(mén)的硬件模塊，在成本、安全性及易用性上存在一定的缺陷。隨著信息安全需求升級(jí)，CPU領(lǐng)域開(kāi)始更趨向于原生可信支持。

海光CPU即采用這條路線。相較于可信硬件模塊外置，海光CPU通過(guò)內(nèi)置可信模塊實(shí)現(xiàn)原生可信支持，比前者具備更高的安全性、更低的使用成本以及更易用等價(jià)值。

此外，根據(jù)實(shí)現(xiàn)的功能和提供的命令接口的不同，可信模塊又可分為三大技術(shù)路線，包括國(guó)際標(biāo)準(zhǔn)“可信平臺(tái)模塊TPM”（最新版本2.0），國(guó)內(nèi)標(biāo)準(zhǔn)“可信平臺(tái)控制模塊TPCM”和“可信密碼模塊TCM”。

海光CPU利用內(nèi)置安全處理器對(duì)可信計(jì)算做了相關(guān)支持與拓展，在CPU內(nèi)部不僅實(shí)現(xiàn)了以上可信功能模塊的三大技術(shù)路線，同時(shí)支持TDM模塊（Trusted Dynamic Measuring）和TSB模塊（Trusted Secure Boot）兩個(gè)海光獨(dú)創(chuàng)的可信功能模塊。

海光CPU實(shí)現(xiàn)了最新的TPM2.0國(guó)際標(biāo)準(zhǔn)支持，利用內(nèi)置安全處理器在CPU內(nèi)部以固件形式實(shí)現(xiàn)了TPM2.0模塊，TPM訪問(wèn)不需要經(jīng)過(guò)外部總線。與外置專用TPM芯片相比，縮小了物理暴露面，進(jìn)一步降低了安全風(fēng)險(xiǎn)。

海光TPM可信軟件架構(gòu)示意圖

公開(kāi)信息顯示，海光也是國(guó)內(nèi)首家內(nèi)置TCM2.0可信計(jì)算方案的廠商，海光CPU從海光3號(hào)開(kāi)始內(nèi)置TCM2.0支持，與TPM2.0一樣，TCM2.0基于CPU安全處理器以固件的形式實(shí)現(xiàn)，海光CPU固件以BIOS PI的形式發(fā)布給OEM廠商，因此使用TCM2.0需與OEM廠商確認(rèn)BIOS支持該功能。

此外，海光CPU支持國(guó)內(nèi)最先進(jìn)的可信計(jì)算3.0 TPCM，和TPM/TCM相比，TPCM增加了對(duì)系統(tǒng)主動(dòng)監(jiān)視和控制的功能?；赥PCM標(biāo)準(zhǔn)，海光已經(jīng)幫助很多下游用戶獲得了等保2.0資質(zhì)，在主動(dòng)防御、安全啟動(dòng)、動(dòng)態(tài)度量等方面均可提供相關(guān)技術(shù)支持。

此外， TDM（Trusted Dynamic Measurement）為海光基于安全處理器實(shí)現(xiàn)的輕量級(jí)動(dòng)態(tài)度量，是海光的特有功能。如下圖所示，通過(guò)TDM可以實(shí)現(xiàn)對(duì)設(shè)定內(nèi)存目標(biāo)進(jìn)行持續(xù)的周期性度量，及時(shí)發(fā)現(xiàn)程序異常，保護(hù)程序運(yùn)行時(shí)安全；同時(shí)TDM通過(guò)獨(dú)有的雙重授權(quán)保護(hù)方式確保非授權(quán)用戶無(wú)法篡改TDM內(nèi)的度量任務(wù)設(shè)定，極大地增強(qiáng)了模塊的安全性。

如上，基于海光內(nèi)置安全處理器的可信計(jì)算支持包括TPM2.0，TPCM，TCM等。這些功能被集成到一塊CPU上，成為CPU的一部分。用戶可以根據(jù)具體的場(chǎng)景及需要進(jìn)行配置，可以使用所有的功能，也可以選擇部分使用。由于海光可信計(jì)算功能使用的易用性，海光CPU可以在很多金融可信終端上幫助用戶加固產(chǎn)品。在可信計(jì)算認(rèn)證產(chǎn)品名單中，基于海光CPU的產(chǎn)品占比達(dá)到了50%。

除了上述三大技術(shù)，海光CPU的安全機(jī)制主要還包括：

安全密鑰：內(nèi)置于處理器，用于安全啟動(dòng)等關(guān)鍵功能，確保固件合法性；
安全處理器：集成于CPU中，提供更高安全權(quán)限的安全管理；
安全啟動(dòng)：通過(guò)固件驗(yàn)簽公鑰確保啟動(dòng)軟件的合法性；
密鑰管理：內(nèi)置模塊提供安全的密鑰管理，支持高效密碼運(yùn)算；
動(dòng)態(tài)度量保護(hù)：監(jiān)控程序運(yùn)行，檢測(cè)并應(yīng)對(duì)異常；
內(nèi)存加密：加密內(nèi)存數(shù)據(jù)，保護(hù)系統(tǒng)重啟后的密鑰安全；
芯片安全防護(hù)：通過(guò)采用掩碼、平衡指令分支緩解等技術(shù)防御芯片物理攻擊，對(duì)熔斷漏洞免疫，通過(guò)軟件指令或者微碼防御幽靈漏洞攻擊。

CPU+GPGPU全布局，推動(dòng)行業(yè)安全標(biāo)準(zhǔn)發(fā)展

海光自2014年成立以來(lái)，專注于高端處理器和加速器芯片的研究與開(kāi)發(fā)，并在2022年成功登陸上海證券交易所科創(chuàng)板。作為國(guó)內(nèi)微處理器行業(yè)的領(lǐng)軍企業(yè)，海光已成功研發(fā)并商業(yè)化多代CPU和DCU產(chǎn)品。其中，海光CPU系列產(chǎn)品采用x86指令集，兼容主流操作系統(tǒng)和應(yīng)用軟件；海光DCU系列產(chǎn)品基于GPGPU架構(gòu)，提供全精度計(jì)算能力，支持廣泛的AI軟件和模型，通過(guò)自研的DTK軟件棧，實(shí)現(xiàn)了大模型的全面應(yīng)用和適配。目前，這些處理器廣泛應(yīng)用于云計(jì)算、大數(shù)據(jù)和AI領(lǐng)域，服務(wù)于金融、通信、能源等行業(yè)，并在國(guó)內(nèi)高端計(jì)算市場(chǎng)占據(jù)領(lǐng)先地位。

值得注意的是，基于通用處理器CPU和DCU兩大主力產(chǎn)品，海光還可以提供人工智能應(yīng)用場(chǎng)景下的機(jī)密計(jì)算環(huán)境。海光CPU和DCU通過(guò)安全通道鏈接，可融合為同一安全域。在此環(huán)境下進(jìn)行大模型訓(xùn)練和推理，可以保障其他操作系統(tǒng)、虛擬機(jī)、管理器等，均無(wú)法接觸安全域中的數(shù)據(jù)信息。

海光的這些安全技術(shù)布局，保障了處理器產(chǎn)品在良好的性能和系統(tǒng)兼容性之外，為國(guó)產(chǎn)化信息安全提供了強(qiáng)有力的支撐，同時(shí)也推動(dòng)了整個(gè)行業(yè)的安全標(biāo)準(zhǔn)提升。這不僅鞏固了海光在國(guó)內(nèi)市場(chǎng)的地位，也為全球信息安全領(lǐng)域貢獻(xiàn)了中國(guó)智慧和中國(guó)方案。隨著技術(shù)的不斷進(jìn)步和市場(chǎng)需求的增長(zhǎng)，海光CPU的安全優(yōu)勢(shì)將更加凸顯，為構(gòu)建更加安全、智能的未來(lái)計(jì)算世界奠定堅(jiān)實(shí)基礎(chǔ)。