海光：構筑國產(chǎn)處理器安全新高地

在國產(chǎn)CPU自主可控的發(fā)展進程中，“安全”是一個至關重要的環(huán)節(jié)。隨著技術的進步和網(wǎng)絡環(huán)境的復雜化，安全問題變得尤為突出。CPU作為計算機系統(tǒng)的核心，其安全性直接關系到整個信息系統(tǒng)的安全性。因此，確保CPU的安全不僅是技術問題，更是戰(zhàn)略問題。

海光信息作為國產(chǎn)CPU的重要推動者，在高端處理器、加速器等計算芯片產(chǎn)品和系統(tǒng)方面有多年的研發(fā)布局，其高端處理器作為現(xiàn)代信息系統(tǒng)設備中的核心部件，在大規(guī)模數(shù)據(jù)處理、復雜任務調(diào)度和邏輯運算等方面具有重要作用，海光在安全技術方面的布局尤為值得關注。

海光CPU核心安全技術解析

海光信息建立了安全可控的C86體系和標準，在安全方面，海光對C86處理器安全技術進行規(guī)范和統(tǒng)一，推出了C86處理器安全計算架構CSCA（C86 Security Computing Architecture），其中包含的安全技術有：安全密鑰、安全處理器、安全啟動、安全存儲、密鑰管理及使用、動態(tài)度量保護、內(nèi)存加密、機密計算、密碼計算、可信計算標準支持、芯片安全防護。綜合這些技術，可以實現(xiàn)從底層固件到上層應用軟件的整體安全。

與國內(nèi)其他CPU相比，海光的安全機制具有以下獨特優(yōu)勢：

密碼技術

不同于傳統(tǒng)的軟加密或者加密卡、加密機等方案，海光在CPU內(nèi)部集成了安全處理器（PSP）和密碼協(xié)處理器 (CCP)，同時還采用了密碼指令集加速、密鑰管理和HCT等技術。

這種方式要比傳統(tǒng)密碼設備具備更低的成本、更高的性能和更好的安全性。過去最常見的做法是在主板上插一張密碼卡，密鑰和運算都放在密碼卡上。而海光相當于在CPU內(nèi)置了密碼卡，無需額外購置專用密碼設備。對用戶來說，這樣不僅減少了采購成本和周期，海光CPU的內(nèi)置密碼能力也要高于市面上的中高端密碼卡。

業(yè)內(nèi)信息顯示，海光CPU通過綜合利用密碼協(xié)處理器和密碼指令集，可以有效提升商用密碼加解密、簽名驗簽、以及TLCP、IPSec等密碼協(xié)議的性能，并支持OpenSSL、Tongsuo、Kernel Crypto API和SDF等開源標準接口。

目前，該產(chǎn)品已通過國家密碼管理局商用密碼檢測中心認證，符合《GM/T 0008 安全芯片密碼檢測準則》第一級要求；海光可信密碼模塊符合《GM/T 0028密碼模塊安全技術要求》第二級要求。兩項測評均已獲得商用密碼產(chǎn)品認證證書。

總體而言，海光CPU的密碼技術具有六大優(yōu)勢：適用性廣，兼容信創(chuàng)全場景需求；性能強，簽名驗簽性能是傳統(tǒng)加密卡的數(shù)倍；安全可靠，內(nèi)置于CPU，提高穩(wěn)定性；兼容性強，支持容器、虛擬機和主流云平臺；軟件生態(tài)完善，提供標準接口，支持主流密碼套件；成本效益高，無需額外硬件采購，可直接升級。

去年，《商用密碼管理條例》正式實施，隨著合規(guī)需求的逐漸落地，商密行業(yè)有望迎來新一輪快速發(fā)展。這些年行業(yè)的實踐已經(jīng)顯示，將密碼計算內(nèi)置的方式，成本更低、性能更高、且更為安全，這也意味著海光CPU內(nèi)置密碼模塊的形式，已經(jīng)成為引領整個國密領域的趨勢，有望推動海光CPU的更廣泛落地。

機密計算

不同于傳統(tǒng)計算使用加密技術保護存儲和傳輸中的數(shù)據(jù)，機密計算是使用加密、隔離技術保護使用中的數(shù)據(jù)。它已經(jīng)成為云計算時代的安全底座，國際上主流的CPU企業(yè)，比如英特爾和Arm等，都在通過硬件對虛擬機做加密，進而實現(xiàn)機密計算服務升級。

海光CPU的機密計算技術邏輯是，CPU允許以虛擬機為單元對硬件資源隔離，結合運行于處理器上的安全固件，實現(xiàn)基于安全虛擬化的可信執(zhí)行環(huán)境，用以保證用戶數(shù)據(jù)安全。目前，海光的機密計算已經(jīng)發(fā)展到了第三代。從海光2號開始提供內(nèi)存加密，到C86-3G產(chǎn)品時升級了虛擬機狀態(tài)加密，再到最新的產(chǎn)品，已經(jīng)可以提供訪問權限隔離。

機密計算中涉及云計算底層基礎技術虛擬化技術非常關鍵。在此之前，由于虛擬機的全部資源被主機操作系統(tǒng)和虛擬機管理器控制，虛擬機本身存在一定的的安全隱患。海光CPU在普通虛擬化基礎上升級了安全加密虛擬化，安全保護得到大幅增強，非常適用于云計算和隱私計算等場景。

具體來看，海光CPU安全加密虛擬機的緩存等資源獨立，與其他安全加密虛擬機和主機程序隔離，保護應用數(shù)據(jù)不被竊取或者篡改。并且安全加密虛擬機支持啟動度量和運行時遠程身份認證，度量和認證結果由處理器密鑰簽名，主機操作系統(tǒng)和虛擬機管理器無法偽造，保證安全加密虛擬機身份的合法性。

另外，安全加密虛擬機支持內(nèi)存實時加密，主機操作系統(tǒng)和虛擬機管理器無法解密，密鑰由處理器隨機生成并管理，永不外泄。安全加密虛擬機不僅保證了虛擬機內(nèi)存數(shù)據(jù)機密性，更進一步維護了虛擬機內(nèi)存數(shù)據(jù)的完整性，主機操作系統(tǒng)和虛擬機管理器無法通過改寫虛擬機嵌套頁表對虛擬機實施重映射攻擊。

海光安全加密虛擬機支持機密容器，符合容器標準接口規(guī)范，能夠和K8s等管理引擎無縫對接。機密容器運行在安全加密虛擬機中，容器數(shù)據(jù)被CPU自動加密，保護容器的數(shù)據(jù)安全。

根據(jù)市場反饋，這一技術受到了很多國產(chǎn)廠商追捧。阿里云上線了基于海光CSV的機密虛擬機實例。在隱私計算影響力TOP10企業(yè)中，海光與90%的廠商都有合作，目前已推出十余款基于海光CPU的一體機。

可信計算

可信計算是指通過建立可信環(huán)境以確保計算設備和數(shù)據(jù)的安全性，其實也相當于密碼技術的“白名單”。從技術路徑來看，可信計算體系最重要的是底層的信任根，信任根是可信的基礎和源頭。目前傳統(tǒng)實現(xiàn)信任根的方式依賴于主板上專門的硬件模塊，在成本、安全性及易用性上存在一定的缺陷。隨著信息安全需求升級，CPU領域開始更趨向于原生可信支持。

海光CPU即采用這條路線。相較于可信硬件模塊外置，海光CPU通過內(nèi)置可信模塊實現(xiàn)原生可信支持，比前者具備更高的安全性、更低的使用成本以及更易用等價值。

此外，根據(jù)實現(xiàn)的功能和提供的命令接口的不同，可信模塊又可分為三大技術路線，包括國際標準“可信平臺模塊TPM”（最新版本2.0），國內(nèi)標準“可信平臺控制模塊TPCM”和“可信密碼模塊TCM”。

海光CPU利用內(nèi)置安全處理器對可信計算做了相關支持與拓展，在CPU內(nèi)部不僅實現(xiàn)了以上可信功能模塊的三大技術路線，同時支持TDM模塊（Trusted Dynamic Measuring）和TSB模塊（Trusted Secure Boot）兩個海光獨創(chuàng)的可信功能模塊。

海光CPU實現(xiàn)了最新的TPM2.0國際標準支持，利用內(nèi)置安全處理器在CPU內(nèi)部以固件形式實現(xiàn)了TPM2.0模塊，TPM訪問不需要經(jīng)過外部總線。與外置專用TPM芯片相比，縮小了物理暴露面，進一步降低了安全風險。

海光TPM可信軟件架構示意圖

公開信息顯示，海光也是國內(nèi)首家內(nèi)置TCM2.0可信計算方案的廠商，海光CPU從海光3號開始內(nèi)置TCM2.0支持，與TPM2.0一樣，TCM2.0基于CPU安全處理器以固件的形式實現(xiàn)，海光CPU固件以BIOS PI的形式發(fā)布給OEM廠商，因此使用TCM2.0需與OEM廠商確認BIOS支持該功能。

此外，海光CPU支持國內(nèi)最先進的可信計算3.0 TPCM，和TPM/TCM相比，TPCM增加了對系統(tǒng)主動監(jiān)視和控制的功能。基于TPCM標準，海光已經(jīng)幫助很多下游用戶獲得了等保2.0資質(zhì)，在主動防御、安全啟動、動態(tài)度量等方面均可提供相關技術支持。

此外， TDM（Trusted Dynamic Measurement）為海光基于安全處理器實現(xiàn)的輕量級動態(tài)度量，是海光的特有功能。如下圖所示，通過TDM可以實現(xiàn)對設定內(nèi)存目標進行持續(xù)的周期性度量，及時發(fā)現(xiàn)程序異常，保護程序運行時安全；同時TDM通過獨有的雙重授權保護方式確保非授權用戶無法篡改TDM內(nèi)的度量任務設定，極大地增強了模塊的安全性。

如上，基于海光內(nèi)置安全處理器的可信計算支持包括TPM2.0，TPCM，TCM等。這些功能被集成到一塊CPU上，成為CPU的一部分。用戶可以根據(jù)具體的場景及需要進行配置，可以使用所有的功能，也可以選擇部分使用。由于海光可信計算功能使用的易用性，海光CPU可以在很多金融可信終端上幫助用戶加固產(chǎn)品。在可信計算認證產(chǎn)品名單中，基于海光CPU的產(chǎn)品占比達到了50%。

除了上述三大技術，海光CPU的安全機制主要還包括：

安全密鑰：內(nèi)置于處理器，用于安全啟動等關鍵功能，確保固件合法性；
安全處理器：集成于CPU中，提供更高安全權限的安全管理；
安全啟動：通過固件驗簽公鑰確保啟動軟件的合法性；
密鑰管理：內(nèi)置模塊提供安全的密鑰管理，支持高效密碼運算；
動態(tài)度量保護：監(jiān)控程序運行，檢測并應對異常；
內(nèi)存加密：加密內(nèi)存數(shù)據(jù)，保護系統(tǒng)重啟后的密鑰安全；
芯片安全防護：通過采用掩碼、平衡指令分支緩解等技術防御芯片物理攻擊，對熔斷漏洞免疫，通過軟件指令或者微碼防御幽靈漏洞攻擊。

CPU+GPGPU全布局，推動行業(yè)安全標準發(fā)展

海光自2014年成立以來，專注于高端處理器和加速器芯片的研究與開發(fā)，并在2022年成功登陸上海證券交易所科創(chuàng)板。作為國內(nèi)微處理器行業(yè)的領軍企業(yè)，海光已成功研發(fā)并商業(yè)化多代CPU和DCU產(chǎn)品。其中，海光CPU系列產(chǎn)品采用x86指令集，兼容主流操作系統(tǒng)和應用軟件；海光DCU系列產(chǎn)品基于GPGPU架構，提供全精度計算能力，支持廣泛的AI軟件和模型，通過自研的DTK軟件棧，實現(xiàn)了大模型的全面應用和適配。目前，這些處理器廣泛應用于云計算、大數(shù)據(jù)和AI領域，服務于金融、通信、能源等行業(yè)，并在國內(nèi)高端計算市場占據(jù)領先地位。

值得注意的是，基于通用處理器CPU和DCU兩大主力產(chǎn)品，海光還可以提供人工智能應用場景下的機密計算環(huán)境。海光CPU和DCU通過安全通道鏈接，可融合為同一安全域。在此環(huán)境下進行大模型訓練和推理，可以保障其他操作系統(tǒng)、虛擬機、管理器等，均無法接觸安全域中的數(shù)據(jù)信息。

海光的這些安全技術布局，保障了處理器產(chǎn)品在良好的性能和系統(tǒng)兼容性之外，為國產(chǎn)化信息安全提供了強有力的支撐，同時也推動了整個行業(yè)的安全標準提升。這不僅鞏固了海光在國內(nèi)市場的地位，也為全球信息安全領域貢獻了中國智慧和中國方案。隨著技術的不斷進步和市場需求的增長，海光CPU的安全優(yōu)勢將更加凸顯，為構建更加安全、智能的未來計算世界奠定堅實基礎。