海光處理器具有高性能和高安全性的特點��,能夠給各種行業(yè)應(yīng)用提供足夠的算力����,同時保證運算過程和運算結(jié)果安全可信。
海光處理器在設(shè)計上采用權(quán)限劃分��、加密�、隔離等技術(shù)來保證安全性。海光CPU中集成了C86處理器和安全處理器����,安全處理器具有更高的安全權(quán)限,用來實現(xiàn)芯片的安全管理。C86程序通過安全處理器固件提供的接口調(diào)用安全處理器實現(xiàn)的安全服務(wù)�����。
安全密鑰
安全密鑰是保障計算系統(tǒng)安全的基礎(chǔ)����。處理器中需要安全密鑰實現(xiàn)一些非常重要的安全功能��,比如安全啟動��。安全啟動功能使用芯片內(nèi)置的密鑰對固件進行驗簽和解密�����,保證只有合法的固件才能在芯片上運行�。芯片的安全密鑰由芯片廠商管理�����,必須保證這些密鑰不被泄露或者竊取�。
海光處理器通過內(nèi)置的安全密鑰實現(xiàn)了安全啟動等功能����,確保只有合法的固件才能在芯片上運行����。海光采用了嚴(yán)格的安全密鑰注入和管理流程,確保密鑰在燒錄���、使用過程中不會被泄露或竊取���。這一機制對于防止惡意軟件入侵�、保護系統(tǒng)免受未授權(quán)訪問至關(guān)重要���。
安全啟動
安全啟動功能是確保計算平臺從啟動到運行全程安全的重要手段�。海光處理器內(nèi)置了固件驗簽公鑰,通過固化的ROM代碼驗證固件簽名���,再依次驗證BIOS代碼和操作系統(tǒng)簽名,形成一個完整的信任鏈���。只有所有環(huán)節(jié)的簽名均合法,啟動過程才會繼續(xù)���,否則啟動會中止,有效防止了非法軟件的運行��。
安全存儲
數(shù)據(jù)安全是信息安全的核心���。信息系統(tǒng)安全的核心是數(shù)據(jù)安全�����,內(nèi)存加密��、機密計算等技術(shù)保證了數(shù)據(jù)在內(nèi)存中的安全,當(dāng)大量數(shù)據(jù)完成運算離開內(nèi)存存儲到外部介質(zhì)如硬盤中時��,同樣需要保證其安全性,非法用戶即使獲取到硬盤�,也無法獲取到其中的數(shù)據(jù)。
海光CPU采用基于可信計算模塊(TPM)的方案來保存數(shù)據(jù)加密密鑰���,將密鑰的可用狀態(tài)與系統(tǒng)的可信狀態(tài)綁定����。這意味著����,除非系統(tǒng)處于未被篡改的狀態(tài),否則密鑰無法被使用�,從而保證了數(shù)據(jù)在存儲過程中的安全性����。這一機制在物理攻擊防護方面尤為有效����,即便硬盤被非法獲取�,數(shù)據(jù)也無法被讀取。
動態(tài)度量保護
傳統(tǒng)的度量技術(shù)主要關(guān)注程序啟動時的安全��,而海光CPU提供的動態(tài)度量保護功能能夠在程序運行時持續(xù)監(jiān)控程序的狀態(tài)����。一旦檢測到異常����,系統(tǒng)將立即采取相應(yīng)的安全措施����。這種動靜結(jié)合的度量保護方式���,為系統(tǒng)提供了從啟動到運行的全方位安全保障����。
內(nèi)存加密
內(nèi)存是計算機系統(tǒng)中存儲重要數(shù)據(jù)的關(guān)鍵部分�����。海光CPU實現(xiàn)了內(nèi)存中的數(shù)據(jù)加密存儲����,并在每次系統(tǒng)重啟時隨機生成新的加密密鑰�,提高了密鑰的安全性�����。這一技術(shù)有效地防止了通過物理攻擊方式竊取內(nèi)存數(shù)據(jù)的風(fēng)險。
機密計算
機密計算是指利用處理器的可信執(zhí)行環(huán)境(TEE)保護用戶數(shù)據(jù)的安全��。海光CPU構(gòu)建了以安全加密虛擬機為基礎(chǔ)的可信執(zhí)行環(huán)境,確保數(shù)據(jù)在TEE中的機密性和完整性��。安全加密虛擬機支持啟動鏡像度量和運行時遠(yuǎn)程身份認(rèn)證����,且內(nèi)存數(shù)據(jù)實時加解密����,密鑰由處理器隨機生成并管理���,永不外泄�。這使得即使主機操作系統(tǒng)或虛擬機管理器也無法訪問虛擬機中的敏感數(shù)據(jù)�����。
密碼計算
密碼技術(shù)是維護數(shù)據(jù)安全的關(guān)鍵�,數(shù)據(jù)的安全傳輸���、安全存儲�����、安全使用都離不開密碼技術(shù)���。海光CPU內(nèi)置的密碼模塊具備高安全、低成本��、高性能的特點���,能夠為服務(wù)器密碼機�����、簽名驗簽服務(wù)器�����、金融數(shù)據(jù)密碼機等產(chǎn)品提供高效的密碼服務(wù)��。海光的密碼模塊不僅支持國際標(biāo)準(zhǔn)算法�,還支持國密標(biāo)準(zhǔn)�,滿足不同場景下的安全需求。
可信計算標(biāo)準(zhǔn)支持
可信計算體系的核心是底層的信任根�。海光CPU內(nèi)置的安全處理器(PSP)和密碼協(xié)處理器(CCP)同時支持國際TPM2.0和國內(nèi)TCM2.0可信計算標(biāo)準(zhǔn),能夠快速支撐起成熟的可信生態(tài)���。相比傳統(tǒng)外置可信模塊,海光CPU的源生可信支持在安全性�����、易用性和性能上具有顯著優(yōu)勢。
芯片安全防護
針對硬件攻擊的防護也是海光處理器安全技術(shù)的重要組成部分���。針對計算機系統(tǒng)的攻擊分為軟件攻擊和硬件攻擊�����,傳統(tǒng)的攻擊方法大多利用軟件漏洞進行攻擊�����,但是近年來針對處理器硬件的攻擊方法受到越來越多的關(guān)注和研究�。如果硬件攻擊成功將泄露芯片底層的信息�����,造成的危害更大��,因此必須從硬件層面設(shè)計芯片安全防護措施��,主要包括處理器物理攻擊防御和硬件漏洞防御��。
海光CPU通過采用掩碼��、平衡指令分支等技術(shù)防御物理攻擊,對熔斷漏洞免疫���,并通過軟件指令或微碼防御幽靈漏洞攻擊�。這些措施有效提升了芯片的物理安全性和抗攻擊能力�����。
結(jié)語
海光處理器通過一系列先進的安全技術(shù)�,為用戶提供了一個高性能、高可靠性的計算平臺�。無論是安全密鑰、安全啟動�,還是安全存儲、動態(tài)度量保護����,海光都在不斷探索和創(chuàng)新,確保用戶的數(shù)據(jù)和應(yīng)用程序在任何情況下都能得到最有效的保護���。未來��,海光將繼續(xù)在高端處理器領(lǐng)域深耕細(xì)作�,為各行業(yè)的數(shù)字化轉(zhuǎn)型提供堅實的技術(shù)支撐。
![]()
算力豹主編
