海光處理器具有高性能和高安全性的特點(diǎn)��,能夠給各種行業(yè)應(yīng)用提供足夠的算力�����,同時(shí)保證運(yùn)算過程和運(yùn)算結(jié)果安全可信���。
海光處理器在設(shè)計(jì)上采用權(quán)限劃分����、加密、隔離等技術(shù)來保證安全性��。海光CPU中集成了C86處理器和安全處理器�����,安全處理器具有更高的安全權(quán)限,用來實(shí)現(xiàn)芯片的安全管理����。C86程序通過安全處理器固件提供的接口調(diào)用安全處理器實(shí)現(xiàn)的安全服務(wù)。
安全密鑰
安全密鑰是保障計(jì)算系統(tǒng)安全的基礎(chǔ)�。處理器中需要安全密鑰實(shí)現(xiàn)一些非常重要的安全功能,比如安全啟動���。安全啟動功能使用芯片內(nèi)置的密鑰對固件進(jìn)行驗(yàn)簽和解密�����,保證只有合法的固件才能在芯片上運(yùn)行��。芯片的安全密鑰由芯片廠商管理�����,必須保證這些密鑰不被泄露或者竊取�����。
海光處理器通過內(nèi)置的安全密鑰實(shí)現(xiàn)了安全啟動等功能�����,確保只有合法的固件才能在芯片上運(yùn)行��。海光采用了嚴(yán)格的安全密鑰注入和管理流程����,確保密鑰在燒錄、使用過程中不會被泄露或竊取�。這一機(jī)制對于防止惡意軟件入侵、保護(hù)系統(tǒng)免受未授權(quán)訪問至關(guān)重要���。
安全啟動
安全啟動功能是確保計(jì)算平臺從啟動到運(yùn)行全程安全的重要手段�����。海光處理器內(nèi)置了固件驗(yàn)簽公鑰���,通過固化的ROM代碼驗(yàn)證固件簽名,再依次驗(yàn)證BIOS代碼和操作系統(tǒng)簽名��,形成一個(gè)完整的信任鏈���。只有所有環(huán)節(jié)的簽名均合法,啟動過程才會繼續(xù),否則啟動會中止��,有效防止了非法軟件的運(yùn)行��。
安全存儲
數(shù)據(jù)安全是信息安全的核心�����。信息系統(tǒng)安全的核心是數(shù)據(jù)安全�����,內(nèi)存加密��、機(jī)密計(jì)算等技術(shù)保證了數(shù)據(jù)在內(nèi)存中的安全�����,當(dāng)大量數(shù)據(jù)完成運(yùn)算離開內(nèi)存存儲到外部介質(zhì)如硬盤中時(shí)�,同樣需要保證其安全性,非法用戶即使獲取到硬盤��,也無法獲取到其中的數(shù)據(jù)�。
海光CPU采用基于可信計(jì)算模塊(TPM)的方案來保存數(shù)據(jù)加密密鑰,將密鑰的可用狀態(tài)與系統(tǒng)的可信狀態(tài)綁定���。這意味著�����,除非系統(tǒng)處于未被篡改的狀態(tài)��,否則密鑰無法被使用�,從而保證了數(shù)據(jù)在存儲過程中的安全性。這一機(jī)制在物理攻擊防護(hù)方面尤為有效����,即便硬盤被非法獲取,數(shù)據(jù)也無法被讀取��。
動態(tài)度量保護(hù)
傳統(tǒng)的度量技術(shù)主要關(guān)注程序啟動時(shí)的安全�,而海光CPU提供的動態(tài)度量保護(hù)功能能夠在程序運(yùn)行時(shí)持續(xù)監(jiān)控程序的狀態(tài)。一旦檢測到異常�,系統(tǒng)將立即采取相應(yīng)的安全措施。這種動靜結(jié)合的度量保護(hù)方式��,為系統(tǒng)提供了從啟動到運(yùn)行的全方位安全保障���。
內(nèi)存加密
內(nèi)存是計(jì)算機(jī)系統(tǒng)中存儲重要數(shù)據(jù)的關(guān)鍵部分�。海光CPU實(shí)現(xiàn)了內(nèi)存中的數(shù)據(jù)加密存儲���,并在每次系統(tǒng)重啟時(shí)隨機(jī)生成新的加密密鑰����,提高了密鑰的安全性���。這一技術(shù)有效地防止了通過物理攻擊方式竊取內(nèi)存數(shù)據(jù)的風(fēng)險(xiǎn)�。
機(jī)密計(jì)算
機(jī)密計(jì)算是指利用處理器的可信執(zhí)行環(huán)境(TEE)保護(hù)用戶數(shù)據(jù)的安全��。海光CPU構(gòu)建了以安全加密虛擬機(jī)為基礎(chǔ)的可信執(zhí)行環(huán)境��,確保數(shù)據(jù)在TEE中的機(jī)密性和完整性���。安全加密虛擬機(jī)支持啟動鏡像度量和運(yùn)行時(shí)遠(yuǎn)程身份認(rèn)證�,且內(nèi)存數(shù)據(jù)實(shí)時(shí)加解密��,密鑰由處理器隨機(jī)生成并管理����,永不外泄。這使得即使主機(jī)操作系統(tǒng)或虛擬機(jī)管理器也無法訪問虛擬機(jī)中的敏感數(shù)據(jù)�。
密碼計(jì)算
密碼技術(shù)是維護(hù)數(shù)據(jù)安全的關(guān)鍵,數(shù)據(jù)的安全傳輸�����、安全存儲、安全使用都離不開密碼技術(shù)�����。海光CPU內(nèi)置的密碼模塊具備高安全�����、低成本��、高性能的特點(diǎn)�����,能夠?yàn)榉?wù)器密碼機(jī)����、簽名驗(yàn)簽服務(wù)器、金融數(shù)據(jù)密碼機(jī)等產(chǎn)品提供高效的密碼服務(wù)���。海光的密碼模塊不僅支持國際標(biāo)準(zhǔn)算法����,還支持國密標(biāo)準(zhǔn),滿足不同場景下的安全需求����。
可信計(jì)算標(biāo)準(zhǔn)支持
可信計(jì)算體系的核心是底層的信任根����。海光CPU內(nèi)置的安全處理器(PSP)和密碼協(xié)處理器(CCP)同時(shí)支持國際TPM2.0和國內(nèi)TCM2.0可信計(jì)算標(biāo)準(zhǔn),能夠快速支撐起成熟的可信生態(tài)�。相比傳統(tǒng)外置可信模塊,海光CPU的源生可信支持在安全性�����、易用性和性能上具有顯著優(yōu)勢��。
芯片安全防護(hù)
針對硬件攻擊的防護(hù)也是海光處理器安全技術(shù)的重要組成部分��。針對計(jì)算機(jī)系統(tǒng)的攻擊分為軟件攻擊和硬件攻擊�,傳統(tǒng)的攻擊方法大多利用軟件漏洞進(jìn)行攻擊,但是近年來針對處理器硬件的攻擊方法受到越來越多的關(guān)注和研究���。如果硬件攻擊成功將泄露芯片底層的信息�����,造成的危害更大�����,因此必須從硬件層面設(shè)計(jì)芯片安全防護(hù)措施����,主要包括處理器物理攻擊防御和硬件漏洞防御。
海光CPU通過采用掩碼�、平衡指令分支等技術(shù)防御物理攻擊,對熔斷漏洞免疫��,并通過軟件指令或微碼防御幽靈漏洞攻擊�。這些措施有效提升了芯片的物理安全性和抗攻擊能力。
結(jié)語
海光處理器通過一系列先進(jìn)的安全技術(shù)�����,為用戶提供了一個(gè)高性能���、高可靠性的計(jì)算平臺��。無論是安全密鑰��、安全啟動���,還是安全存儲���、動態(tài)度量保護(hù),海光都在不斷探索和創(chuàng)新����,確保用戶的數(shù)據(jù)和應(yīng)用程序在任何情況下都能得到最有效的保護(hù)�。未來,海光將繼續(xù)在高端處理器領(lǐng)域深耕細(xì)作�����,為各行業(yè)的數(shù)字化轉(zhuǎn)型提供堅(jiān)實(shí)的技術(shù)支撐�����。
![]()
算力豹主編
