海光處理器具有高性能和高安全性的特點(diǎn)����,能夠給各種行業(yè)應(yīng)用提供足夠的算力����,同時(shí)保證運(yùn)算過程和運(yùn)算結(jié)果安全可信����。
海光處理器在設(shè)計(jì)上采用權(quán)限劃分�、加密��、隔離等技術(shù)來保證安全性��。海光CPU中集成了C86處理器和安全處理器����,安全處理器具有更高的安全權(quán)限,用來實(shí)現(xiàn)芯片的安全管理���。C86程序通過安全處理器固件提供的接口調(diào)用安全處理器實(shí)現(xiàn)的安全服務(wù)��。
安全密鑰
安全密鑰是保障計(jì)算系統(tǒng)安全的基礎(chǔ)���。處理器中需要安全密鑰實(shí)現(xiàn)一些非常重要的安全功能�����,比如安全啟動(dòng)��。安全啟動(dòng)功能使用芯片內(nèi)置的密鑰對(duì)固件進(jìn)行驗(yàn)簽和解密���,保證只有合法的固件才能在芯片上運(yùn)行���。芯片的安全密鑰由芯片廠商管理����,必須保證這些密鑰不被泄露或者竊取���。
海光處理器通過內(nèi)置的安全密鑰實(shí)現(xiàn)了安全啟動(dòng)等功能�,確保只有合法的固件才能在芯片上運(yùn)行�����。海光采用了嚴(yán)格的安全密鑰注入和管理流程�����,確保密鑰在燒錄��、使用過程中不會(huì)被泄露或竊取�����。這一機(jī)制對(duì)于防止惡意軟件入侵�、保護(hù)系統(tǒng)免受未授權(quán)訪問至關(guān)重要��。
安全啟動(dòng)
安全啟動(dòng)功能是確保計(jì)算平臺(tái)從啟動(dòng)到運(yùn)行全程安全的重要手段�����。海光處理器內(nèi)置了固件驗(yàn)簽公鑰����,通過固化的ROM代碼驗(yàn)證固件簽名���,再依次驗(yàn)證BIOS代碼和操作系統(tǒng)簽名����,形成一個(gè)完整的信任鏈�����。只有所有環(huán)節(jié)的簽名均合法�����,啟動(dòng)過程才會(huì)繼續(xù)�,否則啟動(dòng)會(huì)中止�����,有效防止了非法軟件的運(yùn)行。
安全存儲(chǔ)
數(shù)據(jù)安全是信息安全的核心��。信息系統(tǒng)安全的核心是數(shù)據(jù)安全���,內(nèi)存加密��、機(jī)密計(jì)算等技術(shù)保證了數(shù)據(jù)在內(nèi)存中的安全���,當(dāng)大量數(shù)據(jù)完成運(yùn)算離開內(nèi)存存儲(chǔ)到外部介質(zhì)如硬盤中時(shí),同樣需要保證其安全性��,非法用戶即使獲取到硬盤��,也無法獲取到其中的數(shù)據(jù)�����。
海光CPU采用基于可信計(jì)算模塊(TPM)的方案來保存數(shù)據(jù)加密密鑰�,將密鑰的可用狀態(tài)與系統(tǒng)的可信狀態(tài)綁定。這意味著����,除非系統(tǒng)處于未被篡改的狀態(tài)�,否則密鑰無法被使用�,從而保證了數(shù)據(jù)在存儲(chǔ)過程中的安全性。這一機(jī)制在物理攻擊防護(hù)方面尤為有效�,即便硬盤被非法獲取,數(shù)據(jù)也無法被讀取�����。
動(dòng)態(tài)度量保護(hù)
傳統(tǒng)的度量技術(shù)主要關(guān)注程序啟動(dòng)時(shí)的安全��,而海光CPU提供的動(dòng)態(tài)度量保護(hù)功能能夠在程序運(yùn)行時(shí)持續(xù)監(jiān)控程序的狀態(tài)��。一旦檢測(cè)到異常��,系統(tǒng)將立即采取相應(yīng)的安全措施���。這種動(dòng)靜結(jié)合的度量保護(hù)方式���,為系統(tǒng)提供了從啟動(dòng)到運(yùn)行的全方位安全保障。
內(nèi)存加密
內(nèi)存是計(jì)算機(jī)系統(tǒng)中存儲(chǔ)重要數(shù)據(jù)的關(guān)鍵部分�。海光CPU實(shí)現(xiàn)了內(nèi)存中的數(shù)據(jù)加密存儲(chǔ),并在每次系統(tǒng)重啟時(shí)隨機(jī)生成新的加密密鑰���,提高了密鑰的安全性�����。這一技術(shù)有效地防止了通過物理攻擊方式竊取內(nèi)存數(shù)據(jù)的風(fēng)險(xiǎn)���。
機(jī)密計(jì)算
機(jī)密計(jì)算是指利用處理器的可信執(zhí)行環(huán)境(TEE)保護(hù)用戶數(shù)據(jù)的安全。海光CPU構(gòu)建了以安全加密虛擬機(jī)為基礎(chǔ)的可信執(zhí)行環(huán)境����,確保數(shù)據(jù)在TEE中的機(jī)密性和完整性。安全加密虛擬機(jī)支持啟動(dòng)鏡像度量和運(yùn)行時(shí)遠(yuǎn)程身份認(rèn)證��,且內(nèi)存數(shù)據(jù)實(shí)時(shí)加解密��,密鑰由處理器隨機(jī)生成并管理��,永不外泄�����。這使得即使主機(jī)操作系統(tǒng)或虛擬機(jī)管理器也無法訪問虛擬機(jī)中的敏感數(shù)據(jù)�。
密碼計(jì)算
密碼技術(shù)是維護(hù)數(shù)據(jù)安全的關(guān)鍵,數(shù)據(jù)的安全傳輸��、安全存儲(chǔ)、安全使用都離不開密碼技術(shù)����。海光CPU內(nèi)置的密碼模塊具備高安全、低成本�����、高性能的特點(diǎn)����,能夠?yàn)榉?wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器���、金融數(shù)據(jù)密碼機(jī)等產(chǎn)品提供高效的密碼服務(wù)����。海光的密碼模塊不僅支持國(guó)際標(biāo)準(zhǔn)算法���,還支持國(guó)密標(biāo)準(zhǔn)����,滿足不同場(chǎng)景下的安全需求�����。
可信計(jì)算標(biāo)準(zhǔn)支持
可信計(jì)算體系的核心是底層的信任根。海光CPU內(nèi)置的安全處理器(PSP)和密碼協(xié)處理器(CCP)同時(shí)支持國(guó)際TPM2.0和國(guó)內(nèi)TCM2.0可信計(jì)算標(biāo)準(zhǔn)����,能夠快速支撐起成熟的可信生態(tài)��。相比傳統(tǒng)外置可信模塊��,海光CPU的源生可信支持在安全性�����、易用性和性能上具有顯著優(yōu)勢(shì)��。
芯片安全防護(hù)
針對(duì)硬件攻擊的防護(hù)也是海光處理器安全技術(shù)的重要組成部分����。針對(duì)計(jì)算機(jī)系統(tǒng)的攻擊分為軟件攻擊和硬件攻擊,傳統(tǒng)的攻擊方法大多利用軟件漏洞進(jìn)行攻擊�,但是近年來針對(duì)處理器硬件的攻擊方法受到越來越多的關(guān)注和研究。如果硬件攻擊成功將泄露芯片底層的信息��,造成的危害更大��,因此必須從硬件層面設(shè)計(jì)芯片安全防護(hù)措施,主要包括處理器物理攻擊防御和硬件漏洞防御�。
海光CPU通過采用掩碼、平衡指令分支等技術(shù)防御物理攻擊�,對(duì)熔斷漏洞免疫,并通過軟件指令或微碼防御幽靈漏洞攻擊���。這些措施有效提升了芯片的物理安全性和抗攻擊能力��。
結(jié)語
海光處理器通過一系列先進(jìn)的安全技術(shù)��,為用戶提供了一個(gè)高性能��、高可靠性的計(jì)算平臺(tái)�����。無論是安全密鑰�、安全啟動(dòng)�����,還是安全存儲(chǔ)�、動(dòng)態(tài)度量保護(hù),海光都在不斷探索和創(chuàng)新���,確保用戶的數(shù)據(jù)和應(yīng)用程序在任何情況下都能得到最有效的保護(hù)�����。未來���,海光將繼續(xù)在高端處理器領(lǐng)域深耕細(xì)作�����,為各行業(yè)的數(shù)字化轉(zhuǎn)型提供堅(jiān)實(shí)的技術(shù)支撐。
![]()
算力豹主編
