自處理器問世以來,其設計的主流方向一直聚焦於提升效能和降低功耗,而對硬體自身安全性的關注相對較少。近些年的研究揭示了各種處理器中存在的多種漏洞,這些漏洞對當前的網路構成了重大威脅。尤其是在當前複雜的國際環境下,處理器等核心晶片已成為影響國家資訊保安和產業發展的關鍵。
面對當前局勢,強化技術積累、提升自主研發能力,推動國產處理器的安全性創新,全面鞏固國家的根基已迫在眉睫。
晶片安全事件頻發,國產晶片應防患於未然
提及晶片安全事件,估計業內最先想到的就是中國網路空間安全協會近期建議對英特爾產品進行全面網路安全審查。據該協會發文內容顯示,英特爾產品漏洞頻發、故障率高。儘管英特爾方面在回應中,反覆強調其對產品安全和質量的堅定承諾。但該事件還是引發了業內對於晶片安全的高度擔憂。
無獨有偶,今年10月,公司(Qualcomm)也釋出安全警告稱,其多達64款晶片組中的(DSP)服務中存在一項潛在的嚴重的“零日漏洞”—CVE-2024-43047,且該漏洞已出現有限且有針對性的利用跡象。據高通公告,CVE-2024-43047源於使用後釋放(use-after-free)錯誤,可能導致記憶體損壞。
而AMD在2024年也被曝光Heckler(CVE-2024-25743)漏洞,該漏洞是一種新的針對加密虛擬機器進行攻擊的漏洞。Hypervisor透過注入中斷的方式破壞了包括AMD SEV-SNP、INTEL TDX在內的加密虛擬機器的機密性和完整性。
具體到國內,2023年一些安全研究團隊披露,小米智慧裝置中使用的晶片存在安全隱患,可能被利用來竊取使用者資料或控制裝置。小米迅速響應併發布了安全更新,但事件也引發了使用者對國內晶片安全的關注;而在時間更早些的2021年,研究人員在紫光展銳(Unisoc)的晶片中發現了一個關鍵漏洞。該漏洞允許攻擊者透過簡訊傳送特定指令,從而讓裝置崩潰或被完全控制。此問題影響了一些低成本智慧手機,雖然補丁隨後釋出,但事件暴露出國產晶片在安全上的不足。
上述這些案例表明,隨著晶片應用的普及和複雜度的增加,晶片,特別是國產芯片面臨著技術突破和安全保障的雙重挑戰。尤其是安全更應防患於未然。
做對的事,這家國產廠商跑在國際前列
如上述,隨著網路攻擊和資料洩露事件的頻發,晶片安全成為全球半導體產業,尤其是中國半導體產業的關鍵課題。而隨著安可、信創、國產化等趨勢的加速,諸多晶片企業紛紛加大在安全方面的創新和應用,有的甚至已然走在了業內和市場的前列。
這裡我們以國內晶片企業海光資訊為例,其透過技術創新,特別是以“密碼技術”、“機密計算”、“可信計算”、“漏洞防禦”四大核心技術為基礎,形成系統化解決方案,在業內,尤其是與其他同類產品相比,均彰顯出其獨特的優勢。
以密碼技術為例,眾所周知,在現代晶片的安全設計中,硬體加密成為一種基礎設施和手段,能夠有效防止外部攻擊者對資料的篡改和洩露。海光資訊在其自主設計的晶片中,深度集成了密碼運算模組(即CCP密碼協處理器,其獨立於CPU核心的硬體模組,專門用於高效的密碼運算),特別支援了國密演算法(如SM2、SM3、SM4等)。與國際主流廠商的加密技術相比,海光資訊的密碼技術具有更高的適應性和更強的防護能力。
與國內其他產品不同,海光晶片透過將密碼加速引擎、金鑰管理(TKM)等安全模組直接整合到CPU核心中,避免了對外部加密卡或獨立硬體的依賴,從而降低了成本、簡化了硬體部署,並提供了更高的安全性和效能,尤其是在大資料處理和高頻交易等場景下表現突出。相比之下,其他廠商的產品往往需要額外的硬體裝置進行加密運算,這可能帶來額外的運維和效能瓶頸。
值得一提的是,海光資訊的晶片不僅支援國密演算法,還根據國家安全政策的要求,針對性地增加了額外的防護措施。例如,在資料儲存和傳輸的過程中,其採用了具有高抗干擾性的加密通道和資訊溯源功能,這在當前國際標準無法完全涵蓋的情況下,無疑提供了額外的安全保障。
總體而言,海光CPU的密碼技術具有六大優勢:適用性廣,相容國產化全場景需求;效能強,簽名驗籤效能是傳統加密卡的數倍;安全可靠,內置於CPU,提高穩定性;相容性強,支援容器、虛擬機器和主流雲平臺;軟體生態完善,提供標準介面,支援主流密碼套件;成本效益高,無需額外硬體採購,可直接升級。
而在機密計算方面,隨著雲計算的廣泛應用,資料管理者和資料使用者分離的模式成為新常態。這意味著在雲上儲存和處理的資料可能面臨被惡意訪問的風險。
針對於此,海光資訊透過構建可信執行環境(TEE),確保雲上資料的安全。透過硬體層面的安全加固,海光的機密計算技術能夠在不信任的環境中實現資料的保密性、完整性和可用性,進一步提升了雲計算應用的安全性。
這裡,海光資訊機密計算的核心是CPU硬體可信執行環境(TEE),透過硬體加密和金鑰管理,確保虛擬機器和容器資源在執行過程中的資料和程式碼不受外部篡改或竊取。相比傳統解決方案,海光的CSV(China SecureVirtualization)技術具備提供獨立的金鑰管理與虛擬機器加密功能、支援大資料量處理和AI場景下的異構加速和滿足雲計算場景下的資料安全需求的優勢。
至於可信計算,是指透過建立可信環境以確保計算裝置和資料的安全性。從技術路徑來看,可信計算體系最重要的是底層的硬體信任根,信任根是可信的基礎和源頭。目前國內部分CPU產品,採用的傳統實現信任根的方式多是依賴於主機板上專門的硬體模組,在成本、安全性及易用性上存在一定的缺陷。
針對於此,海光資訊可信計算的核心是透過建立硬體信任根(Root of Trust),實現系統從硬體到軟體的全鏈條信任傳遞。例如硬體信任根是藉助晶片內建的硬體安全模組(TPM)透過加密技術驗證系統啟動的完整性,來防止未經授權的硬體和軟體介入,而動態可信傳遞則是在系統執行過程中,海光晶片能夠動態檢測並報告系統的安全狀態,實現實時的安全性保障。
海光晶片可做到安全啟動,以及動態度量保護。其中安全啟動是保障裝置在啟動過程中,可以基於硬體的可信根,驗證平臺的相關部件,保證平臺部件的完整性。而動態度量保護更多的是要保證系統在執行過程中的持續監控,透過動態度量相關的手段,來防止裝置在執行過程中的非法操作。
最後在漏洞防禦方面,海光也同樣做了大量自主創新的工作。不可否認,抵禦底層硬體漏洞的攻擊是所有晶片廠商都需要面對的嚴峻挑戰。為此,海光資訊晶片構建了全面、立體的漏洞防禦體系。
晶片內建的漏洞檢測模組能夠實時監控潛在的緩衝區溢位、程式碼注入等攻擊行為,並在第一時間觸發防禦機制;而自動化漏洞修復則透過與作業系統和應用軟體的深度整合,確保漏洞修復的時效性和全面性。
海光資訊的漏洞防禦手段主要是兩類,一類是基於硬體的防禦,海光資訊會建立完善的應急響應機制,構建晶片漏洞庫。而另外一類針對軟體的漏洞,海光資訊應用了新興的技術,例如透過比較影子棧以及程式棧之間的反饋,有效應對一些基於程式執行控制流的攻擊,來防禦基於緩衝區溢位的軟體類漏洞的攻擊。
為了支援上述四大核心能力,海光透過自主研發創新,在晶片中新增安全金鑰、安全處理器、安全啟動、安全儲存、金鑰管理及使用、動態度量保護、記憶體加密、機密計算、密碼計算、可信計算標準支援、晶片安全防護等功能,實現了晶片安全系統化、綜合化的防禦,實現的是從底層韌體到上層應用軟體的全方位保護,恐怕這才是其晶片安全有別於國內同類產品最大的競爭優勢。
應用中不斷精進,未來可期
所謂實踐是檢驗真理的惟一標準。對於晶片安全也是如此,惟有在市場中得到應用和檢驗才是安全價值的真體現。
我們這裡還是以前述的海光資訊為例,來證明晶片安全給市場和行業帶來的價值。
眾所周知,在金融行業中,資訊保安是至關重要的。目前海光資訊已與多家金融機構合作,推出了一系列基於海光CPU的安全加密產品。例如,某證券公司基於海光CPU的加密能力,成功地對其證券交易系統進行了國密改造。改造後的系統不僅符合國家的安全合規要求,還能夠在高併發的交易環境中保持較高的處理效率。
又如在對資料敏感性和私密性要求極高的醫療行業,海光晶片的機密計算技術可確保醫療資料在雲端儲存和共享的過程中始終處於加密狀態。而某省級醫院透過部署海光晶片,在實現醫療資料共享的同時,確保了患者隱私不被洩露。
而在多租戶的雲計算環境中,使用者資料的隔離和加密是服務商的重要競爭力。透過海光晶片的機密計算和虛擬機器加密技術,國內某頂級雲服務商成功推出了基於機密計算的雲實例,為使用者提供高安全等級的雲服務。
除了上述行業和應用場景外,海光資訊還與許多業內廠商建立了多種不同層次的合作。
例如麒麟軟體與海光的合作主要體現在作業系統對海光處理器的適配上。銀河麒麟作業系統從專案立項初期,就將海光處理器的安全技術作為重要組成部分,確保安全技術的早期和全面適配。在此過程中,麒麟軟體透過充分利用海光處理器的國密加速能力,在加密領域做出了突破,減少了對外部密碼卡的依賴,降低了成本,同時確保了合規性。
此外,麒麟還與海光共同推動在銀行、證券、公安、政府等多個領域的安全創新應用,特別是在加密和伺服器密碼技術方面,推動了數字安全技術的實踐落地。
對此,麒麟軟體安全產品專家魏剛評價稱,麒麟軟體和海光的合作不僅提升了作業系統的安全性,還透過深度整合安全生態,促進了整個產業鏈的協同創新,同時,透過與海光的緊密合作,麒麟軟體推動了國產作業系統和處理器的普及,進一步實現了國產化替代,降低了對外部技術的依賴。
相較於麒麟軟體,衝量線上則從基礎的海光CPU+GPU硬體平臺開始,逐步推出了AI隱私計算相關的硬體、軟體產品,如AI pass、隱私計算一體機等。透過這些產品,使用者可以快速部署基於海光晶片的AI安全推理和隱私計算環境。目前,衝量線上的技術在多個行業中得到了應用,包括銀行、通訊、公安等領域。例如,浦發銀行使用衝量線上與海光的技術組合,開展AI模型開放服務,在保護資料隱私的同時,實現了合同和票據的自動識別。
對此,衝量線上創始人劉堯稱,衝量線上的解決方案在技術上對標了國際領先的產品,如英偉達的H100,尤其在AI計算和可信執行環境的結合上,衝量線上與海光的合作已達到國際主流技術水平。
站在現在看未來,海光資訊除了持續創新外,還要藉助國產化,在2+8+N的體系裡,把海光資訊的安全賦能到各行各業,維護基礎行業的安全,打造一個安全的體系。
為此,強化晶片安全生態、推動技術標準化和探索更多行業場景無疑將是海光資訊晶片安全的發展方向。
寫在最後:回望晶片安全,其實早在2017年,海光資訊就成立了安全技術部,截至目前已接近8年的時間,期間在安全方面投入了大量研發,並做出了很多成果,而正是源於這種積澱,使海光資訊在自身多維度實施安全保障的理念之下,目前能以其領先的密碼技術、機密計算能力、可信計算功能和漏洞防禦體系,為使用者提供全方位的資料安全保障,加之其始終堅持的自主可控的技術路線,不僅滿足了國家對資訊保安的戰略需求,也為各行業的資訊化建設注入了強大動力,佔據國產晶片安全C位自在情理之中。
