随着黑客技术的不断精进,如何避免底层芯片漏洞,甚至硬件木马植入,已经成为更关键的信息安全底线。这一点,在信息安全已成为国家安全重要组成部分的时代大背景下,尤为重要,更需要国内处理器芯片厂商苦练内功。

根据国家计算机病毒应急处理中心最新发布的《网络空间安全态势分析报告(2024)》,近一年来全球共有26个勒索病毒组织向中国71个机构组织发动了攻击并实施勒索,同比增长达到100%。

在CPU等硬件安全领域,尽管高端处理器是现代信息系统设备中的核心部件,在大规模数据处理、复杂任务调度和逻辑运算等方面发挥着不可替代的作用。但随着黑客技术的不断精进,如何避免底层芯片漏洞,甚至硬件木马植入,成为更关键的信息安全底线。这一点,在信息安全已成为国家安全重要组成部分的时代大背景下,尤为重要,更需要国内处理器芯片厂商苦练内功。

双轮驱动,十年深耕

作为国产先进微处理器产业的推动者,自2014年成立以来,海光持续深耕高端处理器、加速器等计算芯片产品和系统的研究、开发,并于2022年在上海证券交易所科创板上市。

考虑到不同应用场景对高端处理器的计算性能、功能、功耗等技术指标有着不同的要求,单一品类的处理器难以满足用户在实际应用过程中的不同需求。海光经过十年来的不断积累和发展,根据应用领域、技术路线和产品特征的不同,又进一步将高端处理器细化为通用处理器CPU和人工智能加速器DCU,并已独立实现多代产品的自主研发和商业化应用。其中:

海光CPU系列兼容x86指令集以及国际主流操作系统和应用软件,性能领先优异,软硬件生态丰富,安全可靠,得到了国内用户的高度认可,已经广泛应用于电信、金融、互联网、教育、交通等重要行业或领域。自2018年来,联想、新华三、同方、中科可控等多家国内知名服务器厂商的产品已经搭载了海光CPU芯片。

海光DCU系列则以GPGPU架构为基础,具有全精度浮点数据和各种常见整型数据计算能力,兼容通用的“类CUDA”环境以及国际主流商业计算软件和人工智能软件,软硬件生态丰富,实现了“训推一体”的AI场景全覆盖。自研的DTK异构软件栈支持自研算子和三方组件,构建起拥有完善层次化软件栈的统一底层硬件驱动平台,实现了Llama、GPT、ChatGLM等大模型的全面应用,以及文心一言、通义千问等大模型的全面适配,达到国内领先水平。

得益于此,2024年上半年,公司实现营业收入37.63亿元,较上年同期增长44.08%;实现归属于母公司所有者的净利润8.5亿元,较上年同期增长25.97%;实现归属于母公司所有者的扣除非经常性损益的净利润8.1亿元,较上年同期增长32.09%。

安全,始终高于一切

根据海光信息安全技术专家何良杰的介绍,为了对C86处理器安全技术进行规范和统一,海光推出了C86处理器安全计算架构CSCA(C86 Security Computing Architecture),其中包含的安全技术有安全密钥、安全处理器、安全启动、安全存储、密钥管理及使用、动态度量保护、内存加密、机密计算、密码计算、可信计算标准支持、芯片安全防护。综合选用这些技术,可以实现从底层固件到上层应用软件的整体安全。

图1:海光C86安全计算架构

尤其值得一提的是,在今年的二期国测名单中,部分CPU产品已达到最高的二级标准。其中,海光C86-4G处理器采用安全技术内置的形式,在密码技术、可信计算、机密计算等领域率先取得突破,为信息安全扣上三道“金刚锁”。

  • 第一道锁:密码技术

密码是维护数据安全的关键要素,数据的安全传输、安全存储、安全使用都离不开密码技术。其功能包括实现信息的保密性、信息来源的真实性、数据的完整性和行为的不可否认性,对于网络空间安全,可以起到重要的基础支撑作用。

在国内芯片市场,海光CPU的密码安全技术极具代表性。不同于传统的软加密或者加密卡、加密机等方案,海光在CPU内部集成了安全处理器(PSP)和密码协处理器(CCP),同时还采用了密码指令集加速、密钥管理和HCT等技术,每一台使用海光CPU的设备都相当于一个没有密码卡的密码机。

密码技术的广泛应用不仅要求系统能提供高性能的密码运算能力,还要求提供安全的密钥管理能力。海光CPU内置可信密钥管理模块利用CPU内置的安全处理器和密码协处理器从硬件层面为上述两种能力提供基础支持,实现应用对密钥的“可用不可见”,可以广泛应用在各种密码相关领域。可以取代各种外置密码卡并提供高效安全密码运算。

在密码加速引擎上,海光CPU自带密码协处理器(CCP),可支持SM2、SM3、SM4国密算法和AES、SHA美密算法,并且内置真随机数发生器,包括海光C86指令集层面,都实现了对密码学指令的广泛支持。

HCT(Hygon Crypto Technology)是基于密码协处理器和密码指令集自主设计和研发的一套密码算法加速技术软件开发套件。HCT利用密码协处理器和密码指令集,以openssl标准接口为系统应用提供标准密码算法接口,极大提升传统密码算法性能。

这种新型技术方案不仅要比软加密安全性更高,性能也比高端商用密码机更好。此外,由于无需额外购置加密卡、加密机等专用设备,该方案成本更低,且更便于灵活扩容。尤其对于云端和大数据加密等场景,有非常独到的应用价值。

根据业内信息,海光CPU通过综合利用密码协处理器和密码指令集,可以有效提升商用密码加解密、签名验签、以及TLCP、IPSec等密码协议的性能,并支持OpenSSL、Tongsuo、Kernel Crypto API和SDF等开源标准接口。

目前,该产品已通过国家密码管理局商用密码检测中心认证,符合《GM/T 0008 安全芯片密码检测准则》第一级要求;海光可信密码模块符合《GM/T 0028密码模块安全技术要求》第二级要求。两项测评均已获得商用密码产品认证证书。

  • 第二道锁:可信计算

可信计算是指通过建立可信环境以确保计算设备和数据的安全性,相当于密码技术的“白名单”。从技术路径来看,可信计算体系最重要的是底层的信任根。目前根据实现的功能和提供的命令接口的不同,可信模块可分为三大技术路线,包括国际标准“可信平台模块TPM”(最新版本2.0),国内标准“可信平台控制模块TPCM”和“可信密码模块TCM”。

传统实现信任根的方式依赖于主板上专门的硬件模块,在成本、安全性及易用性上存在一定的缺陷。随着信息安全需求升级,CPU领域开始更趋向于原生可信支持。海光CPU即采用了这条路线——相较于可信硬件模块外置,海光CPU通过内置可信模块实现原生可信支持,比前者具备更高的安全性、更低的使用成本以及更易用等价值。

具体而言,海光CPU利用内置安全处理器对可信计算做了相关支持与拓展,在CPU内部不仅实现了以上可信功能模块的三大技术路线,同时支持TDM模块(Trusted Dynamic Measuring)和TSB模块(Trusted Secure Boot)两个海光独创的可信功能模块。

海光TPM可信软件架构示意图

公开信息显示,海光不但利用内置安全处理器在CPU内部以固件形式实现了TPM2.0模块,还是国内首家内置TCM2.0可信计算方案的厂商。海光CPU从海光3号开始内置TCM2.0支持,与TPM2.0一样,TCM2.0基于CPU安全处理器以固件的形式实现,海光CPU固件以BIOS PI的形式发布给OEM厂商,因此使用TCM2.0需与OEM厂商确认BIOS已使能该功能支持。

海光CPU支持国内最先进的可信计算3.0 TPCM,和TPM/TCM相比,TPCM增加了对系统主动监视和控制的功能。基于TPCM标准,海光已经帮助很多下游用户获得了等保2.0资质,在主动防御、安全启动、动态度量等方面均可提供相关技术支持。

基于海光内置安全处理器的可信计算支持包括TPM2.0,TPCM,TDM等。这些功能被集成到一块CPU上,成为CPU的一部分。用户可以根据具体的场景及需要进行配置,可以使用所有的功能,也可以选择部分使用,。由于海光可信计算功能使用的易用性,海光CPU可以在很多金融可信终端上帮助用户加固产品。在可信计算认证产品名单中,基于海光CPU的产品占比达到了50%。

  • 第三道锁:机密计算

机密计算是指利用处理器的可信执行环境保护计算机系统最终用户的数据安全,让用户保存于可信执行环境中的数据具有机密性和完整性。简单来讲,传统计算是使用加密技术保护存储和传输中的数据,而机密计算是使用加密、隔离技术保护使用中的数据。

海光CPU的机密计算技术逻辑是,CPU允许以虚拟机为单元对硬件资源隔离,结合运行于处理器上的安全固件,实现基于安全虚拟化的可信执行环境,用以保证用户数据安全。而在此之前,由于虚拟机的全部资源被主机操作系统和虚拟机管理器控制,虚拟机本身存在一定的安全隐患。海光CPU在普通虚拟化基础上升级了安全加密虚拟化,安全保护得到大幅增强,非常适用于云计算和隐私计算等场景。

根据市场反馈,这一技术受到了很多国产厂商追捧。一些代表性案例包括:阿里云上线了基于海光CSV的机密虚拟机实例;在隐私计算影响力TOP10企业中,海光与90%的厂商都有合作,目前已推出十余款基于海光CPU的一体机。

结语

总体而言,快速发展的网络安全环境需要一种强大的安全方案。作为唯一获得X86指令集完整授权的厂商,海光目前已发展出独立的C86架构体系,并在指令层进一步扩充了安全算法指令,实现了对国密SM2/SM3/SM4算法的支持。再叠加公司在密码计算、可信计算、机密计算等领域的技术优势,使得海光处理器产品受到绝大部分信创用户认可,为国产化信息安全提供了更优解。

责编:Lefeng.shao
本文为EET电子工程专辑原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
阅读全文,请先
您可能感兴趣
智能嵌入式视觉和机器学习等实时计算密集型应用对能效、硬件级安全性和高可靠性的需求日益增长。同时,不断扩大的航天市场对计算的需求也在不断增加。
目前AI芯片设计人员通常会在系统CPU旁边集成单独的IP模块,以满足AI日益增长的需求。这种方法导致了AI芯片的配置不够理想,因为通常需要依赖三家不同的IP供应商和三套工具链,这不仅使得功率、性能和面积(PPA)指标较差,也增加了适应新算法的难度。
SoC的创建者通常希望从他们的系统中榨取最大的性能。为了达到这一目的,使用高性能的IP内核,包括CPU内核,是一个常见的策略。但是,使用最新的高端CPU内核会带来较高的成本,这可能比中档内核高出5到10倍。
尽管在生态系统建设、软件支持和安全性问题等方面,RISC-V仍需不断努力和完善,但凭借简洁高效、灵活多样的特点,RISC-V目前已经在嵌入式系统、云计算与大数据、人工智能与机器学习、物联网与边缘计算等领域展现出了强大的生命力和广阔的发展前景。
过去这几个月,Intel酷睿13/14代台式机处理器的“缩缸”事件可谓沸沸扬扬。借着Intel发布终极声明的机会,我们尝试对该事件做个盘点、总结和分析。
经过全面调查,英特尔最终确认,英特尔第13和14代酷睿台式机处理器的不稳定问题主要表现为在高电压和高温度环境下,处理器的最小工作电压偏移(Vmin Shift)不稳定,导致系统运行不稳定。
所有智能出行系统产品都需要新的计算、通信和连接芯片的支撑,但是随之而来的是这些芯片的系统级故障或意外行为可能引起的危险。
受全球经济衰退影响,高端显示面板需求下滑,导致大尺寸OLED出货量在2023年同比下降了 25.7%。唯一的例外是OLED显示器……
香港应用科技研究院(应科院)将于10月13至16日参与由香港贸易发展局(香港贸发局)主办的「香港秋季电子产品展」,向全球数以万计的专业买家和业界代表,展示一系列崭新智能出行科技。
启发式排程、模拟排程和优化排程都可以帮助您改善工厂 KPI,每种方法都有其优点和缺点。您应该充分了解这些排程方法的适用性和能力,以确保在您的工厂成功实施。
工业自动化重点领域和技术瑞萨MCU和MPU产品支持多种控制和现场级应用瑞萨的产品涵盖了工业自动化领域的控制层到现场层。控制层包括工厂自动化、系统/工业网络和系统监控等要素。瑞萨一直为控制层提供MPU/
汽车芯片设计资料包昨日美股收盘,Mobileye股价大跌4.64%、收12.33美元,年初迄今累计重挫71.54%。摩根大通分析师Samik Chatterjee 10月7日出具最新报告,看衰Mobi
 智能汽车网络与数据安全新媒体 (谈思汽车讯)2018年7月17日,日本和欧盟在东京签署了《经济伙伴关系协定(EPA)》,双方将取消几乎所有关税,该协定囊括了欧盟28个国家以及全球第三大单一经济体——
会议名称:半导体芯片与无线通信测试技术研讨会会议时间:10月15日 9:00~15:15会议地点:合肥乐富强柏悦酒店 5楼8号会议室(安徽省合肥市创新大道 229 号)立即注册,参加会议前50名注册听
汽车芯片设计资料包近日,一起涉及二手汽车交易的纠纷引起了广泛关注。据小莉帮忙报道,河南郑州弓先生在9月7日通过网络平台得知有人出售二手小米SU7,随即决定前往河北石家庄进行购买,并支付了205000元
发现“分享”和“在看”了吗,戳我看看吧诚邀新能源电驱动行业专家学者及研究人员投稿发文录用有奖金 投稿邮箱:EVH1000@163.comEVH原创文章1.2024年度国内外主流双电机混动技术(一)--
会议推介2024深圳国际MLED直显产业高峰论坛暨COB显示屏调研白皮书启动仪式 主办单位:JM Insights 联合主办单位:DISCIEN(迪显咨询) 论坛时间:2024年10月31日 论坛地点
受汽车电子化、自动驾驶技术、电动汽车和智能网联汽车(V2X)的推动,汽车系统级芯片(SoC)正处于快速发展阶段,现代汽车SoC正向多核高性能处理器方向发展,集成了CPU、GPU、DSP、AI加速器等多
▼关注微信公众号:硬件那点事儿▼Part 01前言前两篇文章我们讲述了运算放大器输入偏置电流,输入失调电流,输入失调电压作为运放输入特性参数中比较重要的特性参数之一,当然也是需要重点关注的,我们今天会
一前言随着汽车行业朝着电动趋势发展,摄像头、雷达、传感器等设备的设备使用场景越发广泛,对高速数据传输的需求也愈发依赖。而车载以太网具有低延迟、高带宽的特性,可以满足高速、大容量数据传输,进一步支持高级