近年,随着密码相关的法律法规不断落地,政策的导向日益清晰,加之网络带宽的升级,5G通信和物联网应用的流行,当前网络加密流量场景越来越多,同时对密码性能需求也逐渐增多。

目前,业界的主流做法是采用分立式的“CPU+密码卡”,尤其为了支持国密,单独使用密码卡非常灵活。不过,分立式方案不可能同时实现低成本、安全性和高性能,因此业界目前的趋势是密码模块向CPU整合。

事实上,这种方案目前在国内已经全面实现,海光的CPU内便引入了一种新型解决方案内部集成了密码学协处理器 (CCP),底层C86指令集可支持密码学指令,同时通过密码运算加速、密钥管理和HCT等技术,为云上和大数据加密等场景带来更先进的解决方案。

在CPU内置安全模块,有什么优势

在CPU中内置机密计算模块在国际上已经是主流做法,比如英特尔、Arm都在其CPU中内置了相关模块。不过,这些厂商的方案中明显缺乏国密上的建设,而海光则其中唯一一家采用国密SM4做内存加密的CPU企业。

目前,海光的机密计算已经发展到了第三代,可以提供包含内存隔离的完整性保护。海光CPU已经完成计算隔离、启动度量、远程认证、磁盘加密、密钥封印、加密容器、异构加速等一系列技术方案,以确保所有数据形态下的安全使用。

内置安全模块的海光CPU有什么优势?一是适用性强,海光本身具备丰富的信创经验,所以更能将海光CPU适配到信创全场景中,同时其C86指令集兼容x86的各种云平台管理工具和软件;二是性能强,传统加密卡一般采用PCIe的外挂形式,而将密码模块植入内部可以加快数据传输速度;三是采购成本低,海光CPU用户可以可以盘活当前已有的国密计算资源,无需额外采购密码卡等基础硬件,可直接进行方案升级。

当然,不可否认的是,当前市场上PCIe的分立式的密码卡方案,本身具有一定的独特性,一定是无法取代的。海光的这种内置方案,最大的价值在于本身很好的成本优势,以及C86指令集很好的兼容性从而让用户可以快速无缝迁移。

根据业内反馈,海光密码技术方案的应用价值,不仅已经在用户场景中充分显现,并且还得到了产业上下游的广泛认可。

规范和统一的安全计算架构

目前海光CPU已经迭代出独有的C86架构体系,这一点已经在官方最新安全可靠测评结果得到证实。基于自主架构的可持续迭代能力,海光可以自由扩展算法指令,不仅在性能上一直处于国内前列,CPU安全性也达到了业内最高标准。

为了对C86处理器安全技术进行规范和统一,海光推出了C86处理器安全计算架构CSCA(C86 Security Computing Architecture),其中包含的安全技术有安全密钥、安全处理器、安全启动、安全存储、密钥管理及使用、动态度量保护、内存加密、机密计算、密码计算、可信计算标准支持、芯片安全防护。综合选用这些技术,可以实现从底层固件到上层应用软件的整体安全:

  • 安全密钥:通过芯片中的安全密钥实现安全启动等功能,保证非法的固件不能在海光芯片上运行;
  • 安全处理器:C86程序通过安全处理器固件提供的接口调用安全处理器实现的安全服务;
  • 安全启动:内置固件验签公钥,固化的ROM代码使用此公钥验证被加载固件的签名;
  • 安全存储:采用业内主流基于可信计算模块TPM来保存数据加密密钥的方案;
  • 密钥管理及使用:内置可信密钥管理模块,实现应用对密钥的“可用不可见”,广泛应用在各种密码相关领域。取代各种外置密码卡并提供高效安全密码运算;
  • 动态度量保护:静态度量与动态度量的有机结合可以为系统提供启动时加运行时的全方位保护;
  • 内存加密:实现内存中的数据加密后存储,系统重启后随机再生成加密密钥;
  • 机密计算:构建了以安全加密虚拟机为基础的可信执行环境;
  • 密码计算:具有高安全、低成本、高性能的特点,为服务器密码机、签名验签服务器、金融数据密码机、云服务器密码机和安全网关等产品提供更好的密码服务;
  • 可信计算标准支持:内置安全处理器PSP和密码协处理器CCP,同时提供国际TPM2.0和国内TCM2.0可信计算标准支持;
  • 芯片安全防护:采用掩码、平衡指令分支缓解等技术防御芯片物理攻击,对熔断漏洞免疫,通过软件指令或者微码防御幽灵漏洞攻击。

打开网易新闻 查看更多图片
海光C86安全计算架构

海光CPU出货量稳定

目前,海光CPU凭借安全、性能、生态等方面的综合优势,已广泛应用于交通运输、互联网、金融、能源和通信等各大主流行业,出货量占比稳居市场前列。

自2014年成立以来,海光持续深耕高端处理器、加速器等计算芯片产品和系统的研究、开发。公司于2022年,在上海证券交易所科创板上市(证券代码688041.SH)。

作为国产先进微处理器产业的推动者,海光已独立实现多代通用处理器CPU产品和人工智能加速器DCU产品的自主研发和商业化应用。

当前海光CPU系列产品兼容x86指令集以及国际主流操作系统和应用软件,性能领先优异,软硬件生态丰富,安全可靠,得到了国内用户的高度认可,已经广泛应用于电信、金融、互联网、教育、交通等重要行业或领域。自2018年来,联想、新华三、同方、中科可控等多家国内知名服务器厂商的产品已经搭载了海光CPU芯片。

海光DCU系列产品则以GPGPU架构为基础,具有全精度浮点数据和各种常见整型数据计算能力,兼容通用的“类CUDA”环境以及国际主流商业计算软件和人工智能软件,软硬件生态丰富,实现了“训推一体”的AI场景全覆盖。此外,自研的DTK异构软件栈,支持自研算子和三方组件,构建起拥有完善层次化软件栈的统一底层硬件驱动平台,实现了Llama、GPT、ChatGLM等大模型的全面应用,以及文心一言、通义千问等大模型的全面适配,达到国内领先水平。