近日，海光信息技術(shù)股份有限公司（以下簡稱“海光”）針對CPU安全功能進行更新，在海光通用處理器CPU上內(nèi)置安全功能模塊，用戶可通過在海光官網(wǎng)下載根目錄證書對海光安全功能進行更新，從而啟動CPU中部分安全模塊功能。

在數(shù)據(jù)流轉(zhuǎn)和存儲等應(yīng)用場景中，數(shù)據(jù)傳輸與管理具有比較高的加密要求，在這種情況下，需要采用軟硬件相配合的加密技術(shù)對信息進行加密管理。由于硬件加密可靠性更高，英特爾、AMD等國際頭部CPU廠商，均在相關(guān)產(chǎn)品中設(shè)計了硬件加密功能。在數(shù)據(jù)中心場景中，部分用戶為滿足該場景下密碼應(yīng)用級別需要，會在服務(wù)器中配置額外的加密卡。這樣的方式，將在一定程度上損失服務(wù)器自身的數(shù)據(jù)計算和傳輸效率。

在近日的一場業(yè)內(nèi)交流活動中，海光信息安全技術(shù)專家何良杰分享了他們在芯片安全性能上的成果和最新進展。何良杰介紹稱，海光CPU在設(shè)計中加入了獨立安全處理器，其中由CCP運算單元充當(dāng)密碼加速引擎，以硬件真隨機數(shù)的方法提升加密能力。安全處理器具有更高的安全權(quán)限，用來實現(xiàn)芯片的安全管理。同時，CPU內(nèi)的單獨安全處理器內(nèi)核，也可降低密碼運算對CPU主核運算資源的占用，從而提升CPU整體運算速度。

據(jù)了解，海光推出的處理器安全計算架構(gòu)CSCA（C86 Security Computing Architecture）涵蓋安全密鑰、安全處理器、安全啟動、安全存儲、密鑰管理及使用、動態(tài)度量保護、內(nèi)存加密、機密計算、密碼計算、可信計算標(biāo)準(zhǔn)支持、芯片安全防護等11項安全技術(shù)。專家稱，綜合選用這些技術(shù)，可以實現(xiàn)從底層固件到上層應(yīng)用軟件的整體安全，從而替代服務(wù)器供應(yīng)商原本采用的外置加密卡。

其中，安全密鑰技術(shù)指的是處理器中需要安全密鑰實現(xiàn)一些非常重要的安全功能，比如安全啟動。安全啟動功能使用芯片內(nèi)置的密鑰對固件進行驗簽和解密，保證只有合法的固件才能在芯片上運行。芯片的安全密鑰由芯片廠商管理，必須保證這些密鑰不被泄露或者竊取。海光處理器通過芯片中的安全密鑰實現(xiàn)安全啟動等功能，保證非法的固件不能在海光芯片上運行。通過安全的密鑰注入和管理流程，確保芯片的安全密鑰在燒錄、使用的各個階段不會被泄露或者竊取。

安全存儲是當(dāng)前市面上CPU頭部企業(yè)都十分注重的安全技術(shù)。信息系統(tǒng)安全的核心是數(shù)據(jù)安全，內(nèi)存加密、機密計算等技術(shù)保證了數(shù)據(jù)在內(nèi)存中的安全，當(dāng)大量數(shù)據(jù)完成運算離開內(nèi)存存儲到硬盤等外部介質(zhì)中時，同樣需要保證其安全性，使非法用戶即使獲取到硬盤，也無法得到其中的數(shù)據(jù)。海光CPU采用業(yè)內(nèi)主流的基于可信計算模塊TPM來保存數(shù)據(jù)加密密鑰的方案，將密鑰的可用狀態(tài)與系統(tǒng)可信狀態(tài)綁定，只有當(dāng)系統(tǒng)未被篡改處于可信狀態(tài)時密鑰才能被使用，保證了密鑰的安全。

動態(tài)度量保護技術(shù)是相較于傳統(tǒng)的靜態(tài)度量技術(shù)而言的。靜態(tài)度量技術(shù)，能夠保護程序啟動時的安全，但無法保證程序運行能夠持續(xù)安全。而運行時外部對程序的篡改攻擊將給系統(tǒng)帶來了不可忽視的安全隱患。海光CPU提供的動態(tài)度量保護功能可以在程序運行時持續(xù)的對程序進行度量監(jiān)控，在檢測到異常時及時采取相應(yīng)的安全應(yīng)對措施。靜態(tài)度量與動態(tài)度量的有機結(jié)合可以為系統(tǒng)提供全方位保護。