8月5日，龍芯中科聯(lián)合衛(wèi)士通發(fā)布了龍芯安全模塊及SDK。

今天，我們?yōu)榇蠹規(guī)砩疃燃夹g解讀，帶您從技術角度走進最新產(chǎn)品，深度了解龍芯CPU內(nèi)生安全體系！

1、自主和安全的深度結合

龍芯是自研CPU標桿企業(yè)，有20年的研發(fā)和產(chǎn)業(yè)推廣歷史。龍芯堅持“從每一行源代碼設計”的自主研發(fā)路線，掌握CPU核心設計能力。經(jīng)過近20年的積累，龍芯基本完成技術“補課”?，F(xiàn)有產(chǎn)品龍芯3A4000/3B4000基于28nm工藝，與AMD公司28nm工藝最后產(chǎn)品“挖掘機”性能相當。在研的3A5000/3C5000將達到目前AMD市場主流產(chǎn)品水平。

信息安全是創(chuàng)新發(fā)展的重要保障，CPU成為構建網(wǎng)絡信息系統(tǒng)安全防護體系的起點和根基。2020年8月5日，龍芯中科聯(lián)手合作伙伴發(fā)布了龍芯安全模塊及SDK，并推出了龍芯CPU芯片級內(nèi)生安全體系，代表我國在安全方面的兩支隊伍——“自主設計”隊伍和“安全可信”隊伍的會師。兩支隊伍經(jīng)過幾年的交流達成共識，自主的不一定安全，但不自主一定不安全。正確的做法是在自主設計的基礎上，加上從可信根開始的可信機制與安全保密機制。

龍芯3A4000/3B4000在CPU芯片內(nèi)集成了漏洞防范設計、硬件國密算法、安全可信模塊與安全訪問控制機制，已初步實現(xiàn)“自主設計”和“安全可信”的深度融合。

2、龍芯CPU安全體系

龍芯CPU安全體系的基礎是龍芯芯片級的內(nèi)生安全機制，包括四個方面，分別是漏洞防范設計、硬件國密算法、安全可信模塊、安全訪問控制。

基于龍芯芯片級的內(nèi)生安全機制，建立起上層的安全生態(tài)。

◆ 基礎安全體系：包括安全固件、可信計算支撐體系、工控安全支撐體系。

◆ 基礎硬件設施：包括各種終端電腦、服務器、網(wǎng)絡安全設備（例如堡壘機、VPN、防火墻、交換機等）、密碼設備（例如密碼機、密碼卡、USBKey、密碼CA等）。

◆ 安全操作系統(tǒng)：為應用程序提供運行環(huán)境，制定應用安全審核、內(nèi)核安全接口、以及自主訪問控制等標準規(guī)范。

◆ 安全平臺軟件：是信息網(wǎng)絡安全等級保護規(guī)范要求的產(chǎn)品，種類繁多，包括安全瀏覽器、防病毒軟件、安全電子郵件、電子文檔管理、安全網(wǎng)絡會議、視頻監(jiān)控系統(tǒng)、安全登錄、以及各類審計管理系統(tǒng)。

3、漏洞防范設計

龍芯掌握CPU核心設計能力，芯片設計源代碼全部自主研發(fā)，在設計過程中主動防范芯片漏洞、消除后門隱患。

CPU是復雜巨系統(tǒng)，只有通過自主研發(fā)的實踐才能真正把握核心技術。2016年發(fā)現(xiàn)的“熔斷”和“幽靈”漏洞影響全球大量Intel、ARM處理器?！叭蹟唷焙汀坝撵`”漏洞屬于芯片硬件設計缺陷，無法通過軟件打補丁或者操作系統(tǒng)升級的方法修復。即使Intel、ARM自己對CPU的復雜性引起的漏洞都難以完全把握，到2020年仍然發(fā)現(xiàn)多款引進的ARM處理器型號存在幽靈漏洞。

龍芯3A4000/3B4000及后續(xù)型號都實現(xiàn)對“熔斷”和“幽靈”漏洞免疫。龍芯走自研CPU的路線，看得懂、改得動，能夠從流水線、緩存、轉移猜測等關鍵機理上分析漏洞、規(guī)避問題。龍芯是國內(nèi)處理器中最早發(fā)布免疫CPU型號的廠商。龍芯通過硬件的方式防范漏洞，性能沒有明顯降低。

4、硬件國密算法

密碼是國家重要戰(zhàn)略資源，是保障網(wǎng)絡與信息安全的核心技術和基礎支撐。《中華人民共和國密碼法》于2020年1月1日正式施行，旨在規(guī)范密碼應用和管理，促進密碼事業(yè)發(fā)展，保障網(wǎng)絡與信息安全，提升密碼管理科學化、規(guī)范化、法治化水平，是我國密碼領域的綜合性、基礎性法律。

龍芯3A4000/3B4000是目前唯一通過國家商密二級型號認證的CPU。龍芯3A4000/3B4000內(nèi)置安全模塊，集成硬件加解密算法。安全模塊獨立于處理器核工作，提供硬件密碼引擎、密鑰管理、安全存儲與隨機數(shù)發(fā)生等功能。安全模塊支持國密算法SM2/SM3/SM4，可以取代外置密碼卡。相比于使用軟件進行加解密的方式，CPU硬件的加解密性能有數(shù)量級的提高，實際測試超過2Gbps。

安全模塊的開發(fā)庫（SDK）可以提供給廠商做定制開發(fā)?；ASDK提供最基礎的密碼能力；通用密碼中間件基于安全模塊提供統(tǒng)一的密碼運算接口，滿足多種應用對密碼功能的調(diào)用需求；國密SSL基于安全模塊提供符合OpenSSL框架的國密算法和國密協(xié)議。

龍芯在商用密碼領域具有高安全、低成本、易使用、輕改造和強合規(guī)等特點。龍芯CPU與密碼融合設計，可以在確保安全的前提下發(fā)揮最大效能。在商密、等保領域，龍芯安全性有明顯優(yōu)勢。

5、安全可信模塊

安全可信是囯家網(wǎng)絡安全法律、戰(zhàn)略和等保制度的明確要求。計算機結構無防護機理及部件的先天性缺陷，導致傳統(tǒng)的“封堵查”老三樣被動防御難以應對嚴峻的安全形勢。主動免疫可信計算是指計算運算的同時進行安全防護。

龍芯3A4000/3B4000內(nèi)部集成安全可信管理功能，可以在硬件層面實現(xiàn)基于國密算法進行可信計算，取代外置可信芯片。龍芯支持可信管理功能內(nèi)置于CPU芯片的整機設備，操作系統(tǒng)層部署可信軟件基，由可信節(jié)點和可信管理中心共同組建可信系統(tǒng)。

基于龍芯CPU芯片的可信計算解決方案已經(jīng)在桌面電腦、服務器、工業(yè)控制等領域構建了實際案例，在各行業(yè)廣泛應用。

6、安全訪問控制

龍芯支持流水線級別的安全訪問控制環(huán)境，實現(xiàn)CPU本質(zhì)安全的新型安全防御機制。

龍芯3A4000/3B4000在CPU核內(nèi)增加安全功能，可以監(jiān)督內(nèi)部模塊行為、上層BIOS/操作系統(tǒng)行為。例如，“影子?！睓C制可以防范內(nèi)核棧溢出攻擊，獨立的內(nèi)存防護單元可以保護敏感內(nèi)存區(qū)間不被修改，I/O防護機制可以對外設的訪問進行監(jiān)管。

龍芯安全訪問控制環(huán)境相當于“把紀檢組派到辦公室”，實現(xiàn)了CPU注重效率和增強本質(zhì)安全的有機融合，安全性進一步提高，性能也進一步提高，同時大幅度降低整機成本。龍芯在自主研發(fā)過程中形成“聽黨指揮”的技術能力，成為確保信息安全“槍桿子”。

7、龍芯安全解決方案

龍芯致力于建設生態(tài)體系，聯(lián)合安全固件、網(wǎng)安/密碼設備、安全操作系統(tǒng)、安全瀏覽器、等級保護2.0等產(chǎn)品廠商共同研發(fā)解決方案。

◆ 安全固件：為龍芯計算平臺提供安全引導和運行環(huán)境。安全固件可實現(xiàn)六方面功能，包括安全引導、數(shù)據(jù)保護、身份認證、可信度量、可信恢復、配置管理。

◆ 安全操作系統(tǒng)：在安全掃描與攻防、應用商店簽名與審核、終端安全中心建設、安全性測試標準制定、漏洞跟蹤與報告流程等方面形成了自己的技術能力和體系，在保持良好使用體驗和性能的條件下捍衛(wèi)用戶系統(tǒng)安全。

◆ 龍芯平臺瀏覽器：現(xiàn)已完成國密改造，支持國密證書，可以訪問國密網(wǎng)關、國密Web服務器。瀏覽器調(diào)用龍芯硬件國密算法，相比以前采用軟件的計算方式，SM3散列性能提升14倍，SM4性能提升20倍。

◆ 網(wǎng)絡安全設備：可以采用龍芯1A、1B、2H、2K、3A系列處理器，滿足低、中、高不同檔次需求。國內(nèi)一線安全設備廠商所提供的龍芯產(chǎn)品包括交換機、路由器、VPN、防火墻、堡壘機、網(wǎng)閘、負載均衡等。

◆ 密碼設備：可以采用龍芯CPU研制密碼服務器、通訊加密機、CA服務器等，利用龍芯硬件密碼功能實現(xiàn)加解密運算，已批量應用于多個領域。

◆ 工控安全領域：采用龍芯實現(xiàn)可信方案，基于龍芯2K1000、3A4000等實現(xiàn)安全可信PLC控制器，是實現(xiàn)制造業(yè)數(shù)字化、網(wǎng)絡化、智能化的關鍵設備。

◆ 龍芯全線適配等級保護2.0安全產(chǎn)品：目前，龍芯已與國內(nèi)超過50家專業(yè)安全軟件廠商合作，龍芯平臺上已經(jīng)適配的產(chǎn)品超過500種，類型覆蓋防病毒軟件、漏洞掃描系統(tǒng)、網(wǎng)絡審計系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)、數(shù)據(jù)防泄漏系統(tǒng)等，可以全面滿足等級保護2.0要求。

8、筑造信息安全邊疆

龍芯實現(xiàn)自主和安全的深度融合。龍芯處理器核心的微結構和物理設計全部自主研發(fā)，取得數(shù)百項專利，知識產(chǎn)權自主掌握，有能力從根源上規(guī)避漏洞。龍芯研發(fā)團隊全部在國內(nèi)，核心骨干有二十年研發(fā)背景，是真正掌握CPU設計技術的科技隊伍。龍芯有長遠的處理器、橋片、顯卡等核心設備發(fā)展戰(zhàn)略和藍圖。龍芯堅持建設“從端到云”的開放生態(tài)，帶動產(chǎn)業(yè)鏈廠商共同提高技術和服務能力，帶動行業(yè)和區(qū)域產(chǎn)業(yè)鏈廣泛合作。

發(fā)展自主CPU、建立自主信息技術體系和產(chǎn)業(yè)生態(tài)，是國家的需要、時代的需要。信息技術應用創(chuàng)新面臨前所未有的機遇，龍芯將與安全廠商相向而行，共同筑造信息安全邊疆！