在國(guó)產(chǎn)CPU自主可控的發(fā)展進(jìn)程中,“安全”是一個(gè)至關(guān)重要的環(huán)節(jié)。隨著技術(shù)的進(jìn)步和網(wǎng)絡(luò)環(huán)境的復(fù)雜化,安全問(wèn)題變得尤為突出。CPU作為計(jì)算機(jī)系統(tǒng)的核心,其安全性直接關(guān)系到整個(gè)信息系統(tǒng)的安全性。因此,確保CPU的安全不僅是技術(shù)問(wèn)題,更是戰(zhàn)略問(wèn)題。
海光信息作為國(guó)產(chǎn)CPU的重要推動(dòng)者,在高端處理器、加速器等計(jì)算芯片產(chǎn)品和系統(tǒng)方面有多年的研發(fā)布局,其高端處理器作為現(xiàn)代信息系統(tǒng)設(shè)備中的核心部件,在大規(guī)模數(shù)據(jù)處理、復(fù)雜任務(wù)調(diào)度和邏輯運(yùn)算等方面具有重要作用,海光在安全技術(shù)方面的布局尤為值得關(guān)注。
海光CPU核心安全技術(shù)解析
海光信息建立了安全可控的C86體系和標(biāo)準(zhǔn),在安全方面,海光對(duì)C86處理器安全技術(shù)進(jìn)行規(guī)范和統(tǒng)一,推出了C86處理器安全計(jì)算架構(gòu)CSCA(C86 Security Computing Architecture),其中包含的安全技術(shù)有:安全密鑰、安全處理器、安全啟動(dòng)、安全存儲(chǔ)、密鑰管理及使用、動(dòng)態(tài)度量保護(hù)、內(nèi)存加密、機(jī)密計(jì)算、密碼計(jì)算、可信計(jì)算標(biāo)準(zhǔn)支持、芯片安全防護(hù)。綜合這些技術(shù),可以實(shí)現(xiàn)從底層固件到上層應(yīng)用軟件的整體安全。
與國(guó)內(nèi)其他CPU相比,海光的安全機(jī)制具有以下獨(dú)特優(yōu)勢(shì):
密碼技術(shù)
不同于傳統(tǒng)的軟加密或者加密卡、加密機(jī)等方案,海光在CPU內(nèi)部集成了安全處理器(PSP)和密碼協(xié)處理器 (CCP),同時(shí)還采用了密碼指令集加速、密鑰管理和HCT等技術(shù)。
這種方式要比傳統(tǒng)密碼設(shè)備具備更低的成本、更高的性能和更好的安全性。過(guò)去最常見(jiàn)的做法是在主板上插一張密碼卡,密鑰和運(yùn)算都放在密碼卡上。而海光相當(dāng)于在CPU內(nèi)置了密碼卡,無(wú)需額外購(gòu)置專用密碼設(shè)備。對(duì)用戶來(lái)說(shuō),這樣不僅減少了采購(gòu)成本和周期,海光CPU的內(nèi)置密碼能力也要高于市面上的中高端密碼卡。
業(yè)內(nèi)信息顯示,海光CPU通過(guò)綜合利用密碼協(xié)處理器和密碼指令集,可以有效提升商用密碼加解密、簽名驗(yàn)簽、以及TLCP、IPSec等密碼協(xié)議的性能,并支持OpenSSL、Tongsuo、Kernel Crypto API和SDF等開(kāi)源標(biāo)準(zhǔn)接口。
目前,該產(chǎn)品已通過(guò)國(guó)家密碼管理局商用密碼檢測(cè)中心認(rèn)證,符合《GM/T 0008 安全芯片密碼檢測(cè)準(zhǔn)則》第一級(jí)要求;海光可信密碼模塊符合《GM/T 0028密碼模塊安全技術(shù)要求》第二級(jí)要求。兩項(xiàng)測(cè)評(píng)均已獲得商用密碼產(chǎn)品認(rèn)證證書(shū)。
總體而言,海光CPU的密碼技術(shù)具有六大優(yōu)勢(shì):適用性廣,兼容信創(chuàng)全場(chǎng)景需求;性能強(qiáng),簽名驗(yàn)簽性能是傳統(tǒng)加密卡的數(shù)倍;安全可靠,內(nèi)置于CPU,提高穩(wěn)定性;兼容性強(qiáng),支持容器、虛擬機(jī)和主流云平臺(tái);軟件生態(tài)完善,提供標(biāo)準(zhǔn)接口,支持主流密碼套件;成本效益高,無(wú)需額外硬件采購(gòu),可直接升級(jí)。
去年,《商用密碼管理?xiàng)l例》正式實(shí)施,隨著合規(guī)需求的逐漸落地,商密行業(yè)有望迎來(lái)新一輪快速發(fā)展。這些年行業(yè)的實(shí)踐已經(jīng)顯示,將密碼計(jì)算內(nèi)置的方式,成本更低、性能更高、且更為安全,這也意味著海光CPU內(nèi)置密碼模塊的形式,已經(jīng)成為引領(lǐng)整個(gè)國(guó)密領(lǐng)域的趨勢(shì),有望推動(dòng)海光CPU的更廣泛落地。
機(jī)密計(jì)算
不同于傳統(tǒng)計(jì)算使用加密技術(shù)保護(hù)存儲(chǔ)和傳輸中的數(shù)據(jù),機(jī)密計(jì)算是使用加密、隔離技術(shù)保護(hù)使用中的數(shù)據(jù)。它已經(jīng)成為云計(jì)算時(shí)代的安全底座,國(guó)際上主流的CPU企業(yè),比如英特爾和Arm等,都在通過(guò)硬件對(duì)虛擬機(jī)做加密,進(jìn)而實(shí)現(xiàn)機(jī)密計(jì)算服務(wù)升級(jí)。
海光CPU的機(jī)密計(jì)算技術(shù)邏輯是,CPU允許以虛擬機(jī)為單元對(duì)硬件資源隔離,結(jié)合運(yùn)行于處理器上的安全固件,實(shí)現(xiàn)基于安全虛擬化的可信執(zhí)行環(huán)境,用以保證用戶數(shù)據(jù)安全。目前,海光的機(jī)密計(jì)算已經(jīng)發(fā)展到了第三代。從海光2號(hào)開(kāi)始提供內(nèi)存加密,到C86-3G產(chǎn)品時(shí)升級(jí)了虛擬機(jī)狀態(tài)加密,再到最新的產(chǎn)品,已經(jīng)可以提供訪問(wèn)權(quán)限隔離。
機(jī)密計(jì)算中涉及云計(jì)算底層基礎(chǔ)技術(shù)虛擬化技術(shù)非常關(guān)鍵。在此之前,由于虛擬機(jī)的全部資源被主機(jī)操作系統(tǒng)和虛擬機(jī)管理器控制,虛擬機(jī)本身存在一定的的安全隱患。海光CPU在普通虛擬化基礎(chǔ)上升級(jí)了安全加密虛擬化,安全保護(hù)得到大幅增強(qiáng),非常適用于云計(jì)算和隱私計(jì)算等場(chǎng)景。
具體來(lái)看,海光CPU安全加密虛擬機(jī)的緩存等資源獨(dú)立,與其他安全加密虛擬機(jī)和主機(jī)程序隔離,保護(hù)應(yīng)用數(shù)據(jù)不被竊取或者篡改。并且安全加密虛擬機(jī)支持啟動(dòng)度量和運(yùn)行時(shí)遠(yuǎn)程身份認(rèn)證,度量和認(rèn)證結(jié)果由處理器密鑰簽名,主機(jī)操作系統(tǒng)和虛擬機(jī)管理器無(wú)法偽造,保證安全加密虛擬機(jī)身份的合法性。
另外,安全加密虛擬機(jī)支持內(nèi)存實(shí)時(shí)加密,主機(jī)操作系統(tǒng)和虛擬機(jī)管理器無(wú)法解密,密鑰由處理器隨機(jī)生成并管理,永不外泄。安全加密虛擬機(jī)不僅保證了虛擬機(jī)內(nèi)存數(shù)據(jù)機(jī)密性,更進(jìn)一步維護(hù)了虛擬機(jī)內(nèi)存數(shù)據(jù)的完整性,主機(jī)操作系統(tǒng)和虛擬機(jī)管理器無(wú)法通過(guò)改寫(xiě)虛擬機(jī)嵌套頁(yè)表對(duì)虛擬機(jī)實(shí)施重映射攻擊。
海光安全加密虛擬機(jī)支持機(jī)密容器,符合容器標(biāo)準(zhǔn)接口規(guī)范,能夠和K8s等管理引擎無(wú)縫對(duì)接。機(jī)密容器運(yùn)行在安全加密虛擬機(jī)中,容器數(shù)據(jù)被CPU自動(dòng)加密,保護(hù)容器的數(shù)據(jù)安全。
根據(jù)市場(chǎng)反饋,這一技術(shù)受到了很多國(guó)產(chǎn)廠商追捧。阿里云上線了基于海光CSV的機(jī)密虛擬機(jī)實(shí)例。在隱私計(jì)算影響力TOP10企業(yè)中,海光與90%的廠商都有合作,目前已推出十余款基于海光CPU的一體機(jī)。
可信計(jì)算
可信計(jì)算是指通過(guò)建立可信環(huán)境以確保計(jì)算設(shè)備和數(shù)據(jù)的安全性,其實(shí)也相當(dāng)于密碼技術(shù)的“白名單”。從技術(shù)路徑來(lái)看,可信計(jì)算體系最重要的是底層的信任根,信任根是可信的基礎(chǔ)和源頭。目前傳統(tǒng)實(shí)現(xiàn)信任根的方式依賴于主板上專門的硬件模塊,在成本、安全性及易用性上存在一定的缺陷。隨著信息安全需求升級(jí),CPU領(lǐng)域開(kāi)始更趨向于原生可信支持。
海光CPU即采用這條路線。相較于可信硬件模塊外置,海光CPU通過(guò)內(nèi)置可信模塊實(shí)現(xiàn)原生可信支持,比前者具備更高的安全性、更低的使用成本以及更易用等價(jià)值。
此外,根據(jù)實(shí)現(xiàn)的功能和提供的命令接口的不同,可信模塊又可分為三大技術(shù)路線,包括國(guó)際標(biāo)準(zhǔn)“可信平臺(tái)模塊TPM”(最新版本2.0),國(guó)內(nèi)標(biāo)準(zhǔn)“可信平臺(tái)控制模塊TPCM”和“可信密碼模塊TCM”。
海光CPU利用內(nèi)置安全處理器對(duì)可信計(jì)算做了相關(guān)支持與拓展,在CPU內(nèi)部不僅實(shí)現(xiàn)了以上可信功能模塊的三大技術(shù)路線,同時(shí)支持TDM模塊(Trusted Dynamic Measuring)和TSB模塊(Trusted Secure Boot)兩個(gè)海光獨(dú)創(chuàng)的可信功能模塊。
海光CPU實(shí)現(xiàn)了最新的TPM2.0國(guó)際標(biāo)準(zhǔn)支持,利用內(nèi)置安全處理器在CPU內(nèi)部以固件形式實(shí)現(xiàn)了TPM2.0模塊,TPM訪問(wèn)不需要經(jīng)過(guò)外部總線。與外置專用TPM芯片相比,縮小了物理暴露面,進(jìn)一步降低了安全風(fēng)險(xiǎn)。
海光TPM可信軟件架構(gòu)示意圖
公開(kāi)信息顯示,海光也是國(guó)內(nèi)首家內(nèi)置TCM2.0可信計(jì)算方案的廠商,海光CPU從海光3號(hào)開(kāi)始內(nèi)置TCM2.0支持,與TPM2.0一樣,TCM2.0基于CPU安全處理器以固件的形式實(shí)現(xiàn),海光CPU固件以BIOS PI的形式發(fā)布給OEM廠商,因此使用TCM2.0需與OEM廠商確認(rèn)BIOS支持該功能。
此外,海光CPU支持國(guó)內(nèi)最先進(jìn)的可信計(jì)算3.0 TPCM,和TPM/TCM相比,TPCM增加了對(duì)系統(tǒng)主動(dòng)監(jiān)視和控制的功能?;赥PCM標(biāo)準(zhǔn),海光已經(jīng)幫助很多下游用戶獲得了等保2.0資質(zhì),在主動(dòng)防御、安全啟動(dòng)、動(dòng)態(tài)度量等方面均可提供相關(guān)技術(shù)支持。
此外, TDM(Trusted Dynamic Measurement)為海光基于安全處理器實(shí)現(xiàn)的輕量級(jí)動(dòng)態(tài)度量,是海光的特有功能。如下圖所示,通過(guò)TDM可以實(shí)現(xiàn)對(duì)設(shè)定內(nèi)存目標(biāo)進(jìn)行持續(xù)的周期性度量,及時(shí)發(fā)現(xiàn)程序異常,保護(hù)程序運(yùn)行時(shí)安全;同時(shí)TDM通過(guò)獨(dú)有的雙重授權(quán)保護(hù)方式確保非授權(quán)用戶無(wú)法篡改TDM內(nèi)的度量任務(wù)設(shè)定,極大地增強(qiáng)了模塊的安全性。
如上,基于海光內(nèi)置安全處理器的可信計(jì)算支持包括TPM2.0,TPCM,TCM等。這些功能被集成到一塊CPU上,成為CPU的一部分。用戶可以根據(jù)具體的場(chǎng)景及需要進(jìn)行配置,可以使用所有的功能,也可以選擇部分使用。由于海光可信計(jì)算功能使用的易用性,海光CPU可以在很多金融可信終端上幫助用戶加固產(chǎn)品。在可信計(jì)算認(rèn)證產(chǎn)品名單中,基于海光CPU的產(chǎn)品占比達(dá)到了50%。
除了上述三大技術(shù),海光CPU的安全機(jī)制主要還包括:
安全密鑰:內(nèi)置于處理器,用于安全啟動(dòng)等關(guān)鍵功能,確保固件合法性;
安全處理器:集成于CPU中,提供更高安全權(quán)限的安全管理;
安全啟動(dòng):通過(guò)固件驗(yàn)簽公鑰確保啟動(dòng)軟件的合法性;
密鑰管理:內(nèi)置模塊提供安全的密鑰管理,支持高效密碼運(yùn)算;
動(dòng)態(tài)度量保護(hù):監(jiān)控程序運(yùn)行,檢測(cè)并應(yīng)對(duì)異常;
內(nèi)存加密:加密內(nèi)存數(shù)據(jù),保護(hù)系統(tǒng)重啟后的密鑰安全;
芯片安全防護(hù):通過(guò)采用掩碼、平衡指令分支緩解等技術(shù)防御芯片物理攻擊,對(duì)熔斷漏洞免疫,通過(guò)軟件指令或者微碼防御幽靈漏洞攻擊。
CPU+GPGPU全布局,推動(dòng)行業(yè)安全標(biāo)準(zhǔn)發(fā)展
海光自2014年成立以來(lái),專注于高端處理器和加速器芯片的研究與開(kāi)發(fā),并在2022年成功登陸上海證券交易所科創(chuàng)板。作為國(guó)內(nèi)微處理器行業(yè)的領(lǐng)軍企業(yè),海光已成功研發(fā)并商業(yè)化多代CPU和DCU產(chǎn)品。其中,海光CPU系列產(chǎn)品采用x86指令集,兼容主流操作系統(tǒng)和應(yīng)用軟件;海光DCU系列產(chǎn)品基于GPGPU架構(gòu),提供全精度計(jì)算能力,支持廣泛的AI軟件和模型,通過(guò)自研的DTK軟件棧,實(shí)現(xiàn)了大模型的全面應(yīng)用和適配。目前,這些處理器廣泛應(yīng)用于云計(jì)算、大數(shù)據(jù)和AI領(lǐng)域,服務(wù)于金融、通信、能源等行業(yè),并在國(guó)內(nèi)高端計(jì)算市場(chǎng)占據(jù)領(lǐng)先地位。
值得注意的是,基于通用處理器CPU和DCU兩大主力產(chǎn)品,海光還可以提供人工智能應(yīng)用場(chǎng)景下的機(jī)密計(jì)算環(huán)境。海光CPU和DCU通過(guò)安全通道鏈接,可融合為同一安全域。在此環(huán)境下進(jìn)行大模型訓(xùn)練和推理,可以保障其他操作系統(tǒng)、虛擬機(jī)、管理器等,均無(wú)法接觸安全域中的數(shù)據(jù)信息。
海光的這些安全技術(shù)布局,保障了處理器產(chǎn)品在良好的性能和系統(tǒng)兼容性之外,為國(guó)產(chǎn)化信息安全提供了強(qiáng)有力的支撐,同時(shí)也推動(dòng)了整個(gè)行業(yè)的安全標(biāo)準(zhǔn)提升。這不僅鞏固了海光在國(guó)內(nèi)市場(chǎng)的地位,也為全球信息安全領(lǐng)域貢獻(xiàn)了中國(guó)智慧和中國(guó)方案。隨著技術(shù)的不斷進(jìn)步和市場(chǎng)需求的增長(zhǎng),海光CPU的安全優(yōu)勢(shì)將更加凸顯,為構(gòu)建更加安全、智能的未來(lái)計(jì)算世界奠定堅(jiān)實(shí)基礎(chǔ)。