近年,隨著密碼相關(guān)的法律法規(guī)不斷落地,政策的導(dǎo)向日益清晰,加之網(wǎng)絡(luò)帶寬的升級(jí),5G通信和物聯(lián)網(wǎng)應(yīng)用的流行,當(dāng)前網(wǎng)絡(luò)加密流量場(chǎng)景越來越多,同時(shí)對(duì)密碼性能需求也逐漸增多。
目前,業(yè)界的主流做法是采用分立式的“CPU+密碼卡”,尤其為了支持國密,單獨(dú)使用密碼卡非常靈活。不過,分立式方案不可能同時(shí)實(shí)現(xiàn)低成本、安全性和高性能,因此業(yè)界目前的趨勢(shì)是密碼模塊向CPU整合。
事實(shí)上,這種方案目前在國內(nèi)已經(jīng)全面實(shí)現(xiàn),海光的CPU內(nèi)便引入了一種新型解決方案內(nèi)部集成了密碼學(xué)協(xié)處理器 (CCP),底層C86指令集可支持密碼學(xué)指令,同時(shí)通過密碼運(yùn)算加速、密鑰管理和HCT等技術(shù),為云上和大數(shù)據(jù)加密等場(chǎng)景帶來更先進(jìn)的解決方案。
在CPU內(nèi)置安全模塊,有什么優(yōu)勢(shì)
在CPU中內(nèi)置機(jī)密計(jì)算模塊在國際上已經(jīng)是主流做法,比如英特爾、Arm都在其CPU中內(nèi)置了相關(guān)模塊。不過,這些廠商的方案中明顯缺乏國密上的建設(shè),而海光則其中唯一一家采用國密SM4做內(nèi)存加密的CPU企業(yè)。
目前,海光的機(jī)密計(jì)算已經(jīng)發(fā)展到了第三代??梢蕴峁┌瑑?nèi)存隔離的完整性保護(hù)。海光CPU已經(jīng)完成計(jì)算隔離、啟動(dòng)度量、遠(yuǎn)程認(rèn)證、磁盤加密、密鑰封印、加密容器、異構(gòu)加速等一系列技術(shù)方案,以確保所有數(shù)據(jù)形態(tài)下的安全使用。
內(nèi)置安全模塊的海光CPU有什么優(yōu)勢(shì)?一是適用性強(qiáng),海光本身具備豐富的信創(chuàng)經(jīng)驗(yàn),所以更能將海光CPU適配到信創(chuàng)全場(chǎng)景中,同時(shí)其C86指令集兼容x86的各種云平臺(tái)管理工具和軟件;二是性能強(qiáng),傳統(tǒng)加密卡一般采用PCIe的外掛形式,而將密碼模塊植入內(nèi)部可以加快數(shù)據(jù)傳輸速度;三是采購成本低,海光CPU用戶可以可以盤活當(dāng)前已有的國密計(jì)算資源,無需額外采購密碼卡等基礎(chǔ)硬件,可直接進(jìn)行方案升級(jí)。
當(dāng)然,不可否認(rèn)的是,當(dāng)前市場(chǎng)上PCIe的分立式的密碼卡方案,本身具有一定的獨(dú)特性,一定是無法取代的。海光的這種內(nèi)置方案,最大的價(jià)值在于本身很好的成本優(yōu)勢(shì),以及C86指令集很好的兼容性從而讓用戶可以快速無縫遷移。
根據(jù)業(yè)內(nèi)反饋,海光密碼技術(shù)方案的應(yīng)用價(jià)值,不僅已經(jīng)在用戶場(chǎng)景中充分顯現(xiàn),并且還得到了產(chǎn)業(yè)上下游的廣泛認(rèn)可。
規(guī)范和統(tǒng)一的安全計(jì)算架構(gòu)
目前海光CPU已經(jīng)迭代出獨(dú)有的C86架構(gòu)體系,這一點(diǎn)已經(jīng)在官方最新安全可靠測(cè)評(píng)結(jié)果得到證實(shí)?;谧灾骷軜?gòu)的可持續(xù)迭代能力,海光可以自由擴(kuò)展算法指令,不僅在性能上一直處于國內(nèi)前列,CPU安全性也達(dá)到了業(yè)內(nèi)最高標(biāo)準(zhǔn)。
為了對(duì)C86處理器安全技術(shù)進(jìn)行規(guī)范和統(tǒng)一,海光推出了C86處理器安全計(jì)算架構(gòu)CSCA(C86 Security Computing Architecture),其中包含的安全技術(shù)有安全密鑰、安全處理器、安全啟動(dòng)、安全存儲(chǔ)、密鑰管理及使用、動(dòng)態(tài)度量保護(hù)、內(nèi)存加密、機(jī)密計(jì)算、密碼計(jì)算、可信計(jì)算標(biāo)準(zhǔn)支持、芯片安全防護(hù)。綜合選用這些技術(shù),可以實(shí)現(xiàn)從底層固件到上層應(yīng)用軟件的整體安全:
· 安全密鑰:通過芯片中的安全密鑰實(shí)現(xiàn)安全啟動(dòng)等功能,保證非法的固件不能在海光芯片上運(yùn)行;
· 安全處理器:C86程序通過安全處理器固件提供的接口調(diào)用安全處理器實(shí)現(xiàn)的安全服務(wù);
· 安全啟動(dòng):內(nèi)置固件驗(yàn)簽公鑰,固化的ROM代碼使用此公鑰驗(yàn)證被加載固件的簽名;
· 安全存儲(chǔ):采用業(yè)內(nèi)主流基于可信計(jì)算模塊TPM來保存數(shù)據(jù)加密密鑰的方案;
· 密鑰管理及使用:內(nèi)置可信密鑰管理模塊,實(shí)現(xiàn)應(yīng)用對(duì)密鑰的“可用不可見”,廣泛應(yīng)用在各種密碼相關(guān)領(lǐng)域。取代各種外置密碼卡并提供高效安全密碼運(yùn)算;
· 動(dòng)態(tài)度量保護(hù):靜態(tài)度量與動(dòng)態(tài)度量的有機(jī)結(jié)合可以為系統(tǒng)提供啟動(dòng)時(shí)加運(yùn)行時(shí)的全方位保護(hù);
· 內(nèi)存加密:實(shí)現(xiàn)內(nèi)存中的數(shù)據(jù)加密后存儲(chǔ),系統(tǒng)重啟后隨機(jī)再生成加密密鑰;
· 機(jī)密計(jì)算:構(gòu)建了以安全加密虛擬機(jī)為基礎(chǔ)的可信執(zhí)行環(huán)境;
· 密碼計(jì)算:具有高安全、低成本、高性能的特點(diǎn),為服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器、金融數(shù)據(jù)密碼機(jī)、云服務(wù)器密碼機(jī)和安全網(wǎng)關(guān)等產(chǎn)品提供更好的密碼服務(wù);
· 可信計(jì)算標(biāo)準(zhǔn)支持:內(nèi)置安全處理器PSP和密碼協(xié)處理器CCP,同時(shí)提供國際TPM2.0和國內(nèi)TCM2.0可信計(jì)算標(biāo)準(zhǔn)支持;
· 芯片安全防護(hù):采用掩碼、平衡指令分支緩解等技術(shù)防御芯片物理攻擊,對(duì)熔斷漏洞免疫,通過軟件指令或者微碼防御幽靈漏洞攻擊。
海光C86安全計(jì)算架構(gòu)
海光CPU出貨量穩(wěn)定
目前,海光CPU憑借安全、性能、生態(tài)等方面的綜合優(yōu)勢(shì),已廣泛應(yīng)用于交通運(yùn)輸、互聯(lián)網(wǎng)、金融、能源和通信等各大主流行業(yè),出貨量占比穩(wěn)居市場(chǎng)前列。
自2014年成立以來,海光持續(xù)深耕高端處理器、加速器等計(jì)算芯片產(chǎn)品和系統(tǒng)的研究、開發(fā)。公司于2022年,在上海證券交易所科創(chuàng)板上市(證券代碼688041.SH)。
作為國產(chǎn)先進(jìn)微處理器產(chǎn)業(yè)的推動(dòng)者,海光已獨(dú)立實(shí)現(xiàn)多代通用處理器CPU產(chǎn)品和人工智能加速器DCU產(chǎn)品的自主研發(fā)和商業(yè)化應(yīng)用。
當(dāng)前海光CPU系列產(chǎn)品兼容x86指令集以及國際主流操作系統(tǒng)和應(yīng)用軟件,性能領(lǐng)先優(yōu)異,軟硬件生態(tài)豐富,安全可靠,得到了國內(nèi)用戶的高度認(rèn)可,已經(jīng)廣泛應(yīng)用于電信、金融、互聯(lián)網(wǎng)、教育、交通等重要行業(yè)或領(lǐng)域。自2018年來,聯(lián)想、新華三、同方、中科可控等多家國內(nèi)知名服務(wù)器廠商的產(chǎn)品已經(jīng)搭載了海光CPU芯片。
海光DCU系列產(chǎn)品則以GPGPU架構(gòu)為基礎(chǔ),具有全精度浮點(diǎn)數(shù)據(jù)和各種常見整型數(shù)據(jù)計(jì)算能力,兼容通用的“類CUDA”環(huán)境以及國際主流商業(yè)計(jì)算軟件和人工智能軟件,軟硬件生態(tài)豐富,實(shí)現(xiàn)了“訓(xùn)推一體”的AI場(chǎng)景全覆蓋。此外,自研的DTK異構(gòu)軟件棧,支持自研算子和三方組件,構(gòu)建起擁有完善層次化軟件棧的統(tǒng)一底層硬件驅(qū)動(dòng)平臺(tái),實(shí)現(xiàn)了Llama、GPT、ChatGLM等大模型的全面應(yīng)用,以及文心一言、通義千問等大模型的全面適配,達(dá)到國內(nèi)領(lǐng)先水平。