根据国家计算机病毒应急处理中心最新发布的《网络空间安全态势分析报告(2024)》,近一年来全球共有26个勒索病毒组织向中国71个机构组织发动了攻击并实施勒索,同比增长达到100%。
在CPU等硬件安全领域,尽管高端处理器是现代信息系统设备中的核心部件,在大规模数据处理、复杂任务调度和逻辑运算等方面发挥着不可替代的作用。但随着黑客技术的不断精进,如何避免底层芯片漏洞,甚至硬件木马植入,成为更关键的信息安全底线。这一点,在信息安全已成为国家安全重要组成部分的时代大背景下,尤为重要,更需要国内处理器芯片厂商苦练内功。
双轮驱动,十年深耕
作为国产先进微处理器产业的推动者,自2014年成立以来,海光持续深耕高端处理器、加速器等计算芯片产品和系统的研究、开发,并于2022年在上海证券交易所科创板上市。
考虑到不同应用场景对高端处理器的计算性能、功能、功耗等技术指标有着不同的要求,单一品类的处理器难以满足用户在实际应用过程中的不同需求。海光经过十年来的不断积累和发展,根据应用领域、技术路线和产品特征的不同,又进一步将高端处理器细化为通用处理器CPU和人工智能加速器DCU,并已独立实现多代产品的自主研发和商业化应用。其中:
海光CPU系列兼容x86指令集以及国际主流操作系统和应用软件,性能领先优异,软硬件生态丰富,安全可靠,得到了国内用户的高度认可,已经广泛应用于电信、金融、互联网、教育、交通等重要行业或领域。自2018年来,联想、新华三、同方、中科可控等多家国内知名服务器厂商的产品已经搭载了海光CPU芯片。
海光DCU系列则以GPGPU架构为基础,具有全精度浮点数据和各种常见整型数据计算能力,兼容通用的“类CUDA”环境以及国际主流商业计算软件和人工智能软件,软硬件生态丰富,实现了“训推一体”的AI场景全覆盖。自研的DTK异构软件栈支持自研算子和三方组件,构建起拥有完善层次化软件栈的统一底层硬件驱动平台,实现了Llama、GPT、ChatGLM等大模型的全面应用,以及文心一言、通义千问等大模型的全面适配,达到国内领先水平。
得益于此,2024年上半年,公司实现营业收入37.63亿元,较上年同期增长44.08%;实现归属于母公司所有者的净利润8.5亿元,较上年同期增长25.97%;实现归属于母公司所有者的扣除非经常性损益的净利润8.1亿元,较上年同期增长32.09%。
安全,始终高于一切
根据海光信息安全技术专家何良杰的介绍,为了对C86处理器安全技术进行规范和统一,海光推出了C86处理器安全计算架构CSCA(C86 Security Computing Architecture),其中包含的安全技术有安全密钥、安全处理器、安全启动、安全存储、密钥管理及使用、动态度量保护、内存加密、机密计算、密码计算、可信计算标准支持、芯片安全防护。综合选用这些技术,可以实现从底层固件到上层应用软件的整体安全。
图1:海光C86安全计算架构
尤其值得一提的是,在今年的二期国测名单中,部分CPU产品已达到最高的二级标准。其中,海光C86-4G处理器采用安全技术内置的形式,在密码技术、可信计算、机密计算等领域率先取得突破,为信息安全扣上三道“金刚锁”。
- 第一道锁:密码技术
密码是维护数据安全的关键要素,数据的安全传输、安全存储、安全使用都离不开密码技术。其功能包括实现信息的保密性、信息来源的真实性、数据的完整性和行为的不可否认性,对于网络空间安全,可以起到重要的基础支撑作用。
在国内芯片市场,海光CPU的密码安全技术极具代表性。不同于传统的软加密或者加密卡、加密机等方案,海光在CPU内部集成了安全处理器(PSP)和密码协处理器(CCP),同时还采用了密码指令集加速、密钥管理和HCT等技术,每一台使用海光CPU的设备都相当于一个没有密码卡的密码机。
密码技术的广泛应用不仅要求系统能提供高性能的密码运算能力,还要求提供安全的密钥管理能力。海光CPU内置可信密钥管理模块利用CPU内置的安全处理器和密码协处理器从硬件层面为上述两种能力提供基础支持,实现应用对密钥的“可用不可见”,可以广泛应用在各种密码相关领域。可以取代各种外置密码卡并提供高效安全密码运算。
在密码加速引擎上,海光CPU自带密码协处理器(CCP),可支持SM2、SM3、SM4国密算法和AES、SHA美密算法,并且内置真随机数发生器,包括海光C86指令集层面,都实现了对密码学指令的广泛支持。
HCT(Hygon Crypto Technology)是基于密码协处理器和密码指令集自主设计和研发的一套密码算法加速技术软件开发套件。HCT利用密码协处理器和密码指令集,以openssl标准接口为系统应用提供标准密码算法接口,极大提升传统密码算法性能。
这种新型技术方案不仅要比软加密安全性更高,性能也比高端商用密码机更好。此外,由于无需额外购置加密卡、加密机等专用设备,该方案成本更低,且更便于灵活扩容。尤其对于云端和大数据加密等场景,有非常独到的应用价值。
根据业内信息,海光CPU通过综合利用密码协处理器和密码指令集,可以有效提升商用密码加解密、签名验签、以及TLCP、IPSec等密码协议的性能,并支持OpenSSL、Tongsuo、Kernel Crypto API和SDF等开源标准接口。
目前,该产品已通过国家密码管理局商用密码检测中心认证,符合《GM/T 0008 安全芯片密码检测准则》第一级要求;海光可信密码模块符合《GM/T 0028密码模块安全技术要求》第二级要求。两项测评均已获得商用密码产品认证证书。
- 第二道锁:可信计算
可信计算是指通过建立可信环境以确保计算设备和数据的安全性,相当于密码技术的“白名单”。从技术路径来看,可信计算体系最重要的是底层的信任根。目前根据实现的功能和提供的命令接口的不同,可信模块可分为三大技术路线,包括国际标准“可信平台模块TPM”(最新版本2.0),国内标准“可信平台控制模块TPCM”和“可信密码模块TCM”。
传统实现信任根的方式依赖于主板上专门的硬件模块,在成本、安全性及易用性上存在一定的缺陷。随着信息安全需求升级,CPU领域开始更趋向于原生可信支持。海光CPU即采用了这条路线——相较于可信硬件模块外置,海光CPU通过内置可信模块实现原生可信支持,比前者具备更高的安全性、更低的使用成本以及更易用等价值。
具体而言,海光CPU利用内置安全处理器对可信计算做了相关支持与拓展,在CPU内部不仅实现了以上可信功能模块的三大技术路线,同时支持TDM模块(Trusted Dynamic Measuring)和TSB模块(Trusted Secure Boot)两个海光独创的可信功能模块。
海光TPM可信软件架构示意图
公开信息显示,海光不但利用内置安全处理器在CPU内部以固件形式实现了TPM2.0模块,还是国内首家内置TCM2.0可信计算方案的厂商。海光CPU从海光3号开始内置TCM2.0支持,与TPM2.0一样,TCM2.0基于CPU安全处理器以固件的形式实现,海光CPU固件以BIOS PI的形式发布给OEM厂商,因此使用TCM2.0需与OEM厂商确认BIOS已使能该功能支持。
海光CPU支持国内最先进的可信计算3.0 TPCM,和TPM/TCM相比,TPCM增加了对系统主动监视和控制的功能。基于TPCM标准,海光已经帮助很多下游用户获得了等保2.0资质,在主动防御、安全启动、动态度量等方面均可提供相关技术支持。
基于海光内置安全处理器的可信计算支持包括TPM2.0,TPCM,TDM等。这些功能被集成到一块CPU上,成为CPU的一部分。用户可以根据具体的场景及需要进行配置,可以使用所有的功能,也可以选择部分使用,。由于海光可信计算功能使用的易用性,海光CPU可以在很多金融可信终端上帮助用户加固产品。在可信计算认证产品名单中,基于海光CPU的产品占比达到了50%。
- 第三道锁:机密计算
机密计算是指利用处理器的可信执行环境保护计算机系统最终用户的数据安全,让用户保存于可信执行环境中的数据具有机密性和完整性。简单来讲,传统计算是使用加密技术保护存储和传输中的数据,而机密计算是使用加密、隔离技术保护使用中的数据。
海光CPU的机密计算技术逻辑是,CPU允许以虚拟机为单元对硬件资源隔离,结合运行于处理器上的安全固件,实现基于安全虚拟化的可信执行环境,用以保证用户数据安全。而在此之前,由于虚拟机的全部资源被主机操作系统和虚拟机管理器控制,虚拟机本身存在一定的安全隐患。海光CPU在普通虚拟化基础上升级了安全加密虚拟化,安全保护得到大幅增强,非常适用于云计算和隐私计算等场景。
根据市场反馈,这一技术受到了很多国产厂商追捧。一些代表性案例包括:阿里云上线了基于海光CSV的机密虚拟机实例;在隐私计算影响力TOP10企业中,海光与90%的厂商都有合作,目前已推出十余款基于海光CPU的一体机。
结语
总体而言,快速发展的网络安全环境需要一种强大的安全方案。作为唯一获得X86指令集完整授权的厂商,海光目前已发展出独立的C86架构体系,并在指令层进一步扩充了安全算法指令,实现了对国密SM2/SM3/SM4算法的支持。再叠加公司在密码计算、可信计算、机密计算等领域的技术优势,使得海光处理器产品受到绝大部分信创用户认可,为国产化信息安全提供了更优解。