近日，海光信息技術(shù)股份有限公司（以下簡(jiǎn)稱(chēng)“海光”）針對(duì)CPU安全功能進(jìn)行更新，在海光通用處理器CPU上內(nèi)置安全功能模塊，用戶(hù)可通過(guò)在海光官網(wǎng)下載根目錄證書(shū)對(duì)海光安全功能進(jìn)行更新，從而啟動(dòng)CPU中部分安全模塊功能。

在數(shù)據(jù)流轉(zhuǎn)和存儲(chǔ)等應(yīng)用場(chǎng)景中，數(shù)據(jù)傳輸與管理具有比較高的加密要求，在這種情況下，需要采用軟硬件相配合的加密技術(shù)對(duì)信息進(jìn)行加密管理。由于硬件加密可靠性更高，英特爾、AMD等國(guó)際頭部CPU廠商，均在相關(guān)產(chǎn)品中設(shè)計(jì)了硬件加密功能。在數(shù)據(jù)中心場(chǎng)景中，部分用戶(hù)為滿(mǎn)足該場(chǎng)景下密碼應(yīng)用級(jí)別需要，會(huì)在服務(wù)器中配置額外的加密卡。這樣的方式，將在一定程度上損失服務(wù)器自身的數(shù)據(jù)計(jì)算和傳輸效率。

在近日的一場(chǎng)業(yè)內(nèi)交流活動(dòng)中，海光信息安全技術(shù)專(zhuān)家何良杰分享了他們?cè)谛酒踩阅苌系某晒妥钚逻M(jìn)展。何良杰介紹稱(chēng)，海光CPU在設(shè)計(jì)中加入了獨(dú)立安全處理器，其中由CCP運(yùn)算單元充當(dāng)密碼加速引擎，以硬件真隨機(jī)數(shù)的方法提升加密能力。安全處理器具有更高的安全權(quán)限，用來(lái)實(shí)現(xiàn)芯片的安全管理。同時(shí)，CPU內(nèi)的單獨(dú)安全處理器內(nèi)核，也可降低密碼運(yùn)算對(duì)CPU主核運(yùn)算資源的占用，從而提升CPU整體運(yùn)算速度。

據(jù)了解，海光推出的處理器安全計(jì)算架構(gòu)CSCA（C86 Security Computing Architecture）涵蓋安全密鑰、安全處理器、安全啟動(dòng)、安全存儲(chǔ)、密鑰管理及使用、動(dòng)態(tài)度量保護(hù)、內(nèi)存加密、機(jī)密計(jì)算、密碼計(jì)算、可信計(jì)算標(biāo)準(zhǔn)支持、芯片安全防護(hù)等11項(xiàng)安全技術(shù)。專(zhuān)家稱(chēng)，綜合選用這些技術(shù)，可以實(shí)現(xiàn)從底層固件到上層應(yīng)用軟件的整體安全，從而替代服務(wù)器供應(yīng)商原本采用的外置加密卡。

其中，安全密鑰技術(shù)指的是處理器中需要安全密鑰實(shí)現(xiàn)一些非常重要的安全功能，比如安全啟動(dòng)。安全啟動(dòng)功能使用芯片內(nèi)置的密鑰對(duì)固件進(jìn)行驗(yàn)簽和解密，保證只有合法的固件才能在芯片上運(yùn)行。芯片的安全密鑰由芯片廠商管理，必須保證這些密鑰不被泄露或者竊取。海光處理器通過(guò)芯片中的安全密鑰實(shí)現(xiàn)安全啟動(dòng)等功能，保證非法的固件不能在海光芯片上運(yùn)行。通過(guò)安全的密鑰注入和管理流程，確保芯片的安全密鑰在燒錄、使用的各個(gè)階段不會(huì)被泄露或者竊取。

安全存儲(chǔ)是當(dāng)前市面上CPU頭部企業(yè)都十分注重的安全技術(shù)。信息系統(tǒng)安全的核心是數(shù)據(jù)安全，內(nèi)存加密、機(jī)密計(jì)算等技術(shù)保證了數(shù)據(jù)在內(nèi)存中的安全，當(dāng)大量數(shù)據(jù)完成運(yùn)算離開(kāi)內(nèi)存存儲(chǔ)到硬盤(pán)等外部介質(zhì)中時(shí)，同樣需要保證其安全性，使非法用戶(hù)即使獲取到硬盤(pán)，也無(wú)法得到其中的數(shù)據(jù)。海光CPU采用業(yè)內(nèi)主流的基于可信計(jì)算模塊TPM來(lái)保存數(shù)據(jù)加密密鑰的方案，將密鑰的可用狀態(tài)與系統(tǒng)可信狀態(tài)綁定，只有當(dāng)系統(tǒng)未被篡改處于可信狀態(tài)時(shí)密鑰才能被使用，保證了密鑰的安全。

動(dòng)態(tài)度量保護(hù)技術(shù)是相較于傳統(tǒng)的靜態(tài)度量技術(shù)而言的。靜態(tài)度量技術(shù)，能夠保護(hù)程序啟動(dòng)時(shí)的安全，但無(wú)法保證程序運(yùn)行能夠持續(xù)安全。而運(yùn)行時(shí)外部對(duì)程序的篡改攻擊將給系統(tǒng)帶來(lái)了不可忽視的安全隱患。海光CPU提供的動(dòng)態(tài)度量保護(hù)功能可以在程序運(yùn)行時(shí)持續(xù)的對(duì)程序進(jìn)行度量監(jiān)控，在檢測(cè)到異常時(shí)及時(shí)采取相應(yīng)的安全應(yīng)對(duì)措施。靜態(tài)度量與動(dòng)態(tài)度量的有機(jī)結(jié)合可以為系統(tǒng)提供全方位保護(hù)。