沐“安”之澤暉，創(chuàng)“芯”之華章

1   信息安全決定于可靠的“芯”

當前的數(shù)字信息產業(yè)構建在半導體之上，且依賴度越來越強，如果芯片安全得不到保證，則任何形式的信息安全都無從談起，這對行業(yè)發(fā)展舉足輕重，并且覆蓋和滲透到各類信息網(wǎng)絡體系及產品的方方面面。隨著信息安全深入人心，安全芯片正在成為一個特殊的產業(yè)，成為越來越多從事解決方案公司的關注焦點和標準配置。

出于對安全芯片最新概念和演進的興趣，在北京上地海淀創(chuàng)業(yè)園，筆者與無錫沐創(chuàng)集成電路設計有限公司總經理朱敏博士進行了交流。作為網(wǎng)絡安全芯片領域的領跑者，沐創(chuàng)致力于以可重構計算技術作為打造網(wǎng)絡安全的基石。他首先談到，人們日常接觸的門禁卡、IC 卡、U 盾等加密技術在十多年前已經成熟，而當前與云計算、大數(shù)據(jù)和區(qū)塊鏈息息相關的信息安全使安全芯片形態(tài)發(fā)生了重大改變。中國需要有專門公司來研發(fā)安全芯片，從而改變國際公司壟斷的局面，所以沐創(chuàng)定位為高端安全芯片提供者，不僅實現(xiàn)國產化，還要有效解決行業(yè)內各種安全應用的痛點。

既然芯片硬件安全問題無法單獨通過軟件方法解決，只有抓住硬件方法的根本，才能系統(tǒng)構建基于芯片的安全體系。如圖1 所示，正如由CPU 芯片對應虛擬機和云計算，芯片安全問題一定會帶來系統(tǒng)軟件、應用軟件、互聯(lián)網(wǎng)絡等的安全問題。涉及互聯(lián)網(wǎng)、重要系統(tǒng)基礎設施、國產化替代及國家安全，必須通過安全芯片建立與軟件、系統(tǒng)和網(wǎng)絡的功能支撐關系，從最底層的硬件功能確保上層功能安全。

網(wǎng)絡安全是互聯(lián)網(wǎng)安全領域的剛需，隨大數(shù)據(jù)和互聯(lián)網(wǎng)的增長而劇增，重要系統(tǒng)基礎設施安全領域的需求與整個“十三五計劃”相伴隨，并將跨越到新的五年計劃，于是涉及國家安全領域的各種需求也緊隨國家網(wǎng)絡安全建設而穩(wěn)步增長。

2020 年是中國密碼法元年，密碼作為國家重要的戰(zhàn)略資源，已經成為保障網(wǎng)絡空間安全的核心技術和基礎支撐，推動商用密碼在各個領域的廣泛應用則是國家和企業(yè)的新發(fā)展路徑。高性能密碼技術是其中非常關鍵的環(huán)節(jié)，沐創(chuàng)面向高速場景的密碼處理器芯片研發(fā)的便立足于此，任重而道遠。

2   全新安全性來自可重構計算的“芯”

加密和解密是一對長期存在的矛盾，正所謂“道高一尺，魔高一丈”。計算機運算平臺不斷加速的結果，使雙方攻防策略也在針鋒相對地較量，唯有從芯片入手。以往多種通用高速嵌入式處理器芯片雖然可以提供支持，但唯有采用特殊可定制化手段，才可實現(xiàn)堅不可摧的安全保證，可重構安全技術正是誕生在這樣的背景下。

清華大學硬件安全與密碼芯片實驗室成立于2009年，歷經5 年，開發(fā)出首款采用可重構計算技術的安全芯片，并以“一種動態(tài)可重構陣列處理器的構令流工作方法”獲得中國專利金獎。之后推出ZORO 系列可重構安全系統(tǒng)芯片，并不斷升級。沐創(chuàng)作為清華團隊科技成果轉化成立于2018 年底，隨后即推出RSP 系列高性能安全芯片，即可重構安全處理器（reconfigurable security processor）平臺。

可重構計算技術兼具高能效和高靈活性，其芯片能量效率是目前通用處理器的1 000 倍以上，是可編程邏輯器件的100 倍以上。信息安全領域定制的可編程性也是其優(yōu)勢之一，支持硅后的功能重定義，其特點如圖2所示。

圖2 可重構芯片優(yōu)于其他處理器的特色

可重構計算用于安全芯片設計至關重要，賦予安全芯片更快、更省電、更安全的特點，圖3 所示為其內部機理。應用的每個運算都可在運算陣列中找到對應的單元，單元間的互連與任務一一對應，由此獲得類比專用電路的高能效。芯片以運算單元陣列為核心部件，由配置流和數(shù)據(jù)流共同驅動，而不使用指令，從而實現(xiàn)軟硬件雙編程。

可重構計算帶來全新的安全性理念，顯著優(yōu)于行業(yè)現(xiàn)有密碼芯片的架構，并且具有在設計和制造過程中不泄露算法的功能，所呈現(xiàn)的是“白片”，而無泄露隱患。只有在使用階段，依據(jù)用戶配置，才產生特定密碼功能。其所特有的信息冗余計算資源通過適當配置后，具有顯著抵御旁路攻擊的能力。

從生態(tài)上看，國密上云已成為打造密碼產業(yè)生態(tài)的重要手段，在云管邊端的網(wǎng)絡生態(tài)鏈上，都要內生支持國家認可的密碼技術。沐創(chuàng)將可重構計算技術應用到服務器的智能安全網(wǎng)卡架構上，使密碼和網(wǎng)絡進行融合，實現(xiàn)高效且靈活的國密和國際標準算法加速及網(wǎng)絡報文預處理和分發(fā)。芯片集成了豐富的硬件計算資源與SRIOV 硬件虛擬化能力，成為支撐國產化自主可控服務器發(fā)展的重要硬件安全方案。在軟件生態(tài)上支持并適配主流Linux 分發(fā)版本和國產化操作系統(tǒng)。秉承開放的理念在生態(tài)方面始終保持開放、緊跟、主導的模式，確保在硬件、軟件協(xié)同方面與世界一流先進技術同步。

3   全“芯”全意的一體化安全方案

信息安全行業(yè)的很多服務方式都是定制化開發(fā)，沐創(chuàng)在銷售芯片的同時也提供參考設計解決方案，包括系統(tǒng)設計、軟件構建和配置等。已有30 Gbit/s 的高性能安全芯片產品RSP S20 應用到數(shù)據(jù)中心、網(wǎng)安設備、加密機市場中。沐創(chuàng)RSP 系列安全芯片簡單易用，改變了以往復雜的信息安全開發(fā)體系，用戶只需運行應用層軟件即可，芯片可以看作“安全磚塊”，接口簡單且標準化，便于搭建信息安全大廈。

RNP芯片是40 G領域的一款輕量級智能網(wǎng)卡芯片，隨著技術的積累，后續(xù)將推出100G 智能網(wǎng)卡芯片以及100 G DPU 解決方案，進一步填補國產化智能網(wǎng)卡芯片和國產化DPU 解決方案的空白?；赗NP 的可重構網(wǎng)絡安全網(wǎng)卡系列，其中RNP N10 為國產服務器系統(tǒng)提供1/10/25/40 G 國產網(wǎng)絡控制器方案，可以完美融合安全、智能、網(wǎng)絡一體化。圖4 所示為其所面向支持的應用領域。圖4RNP 系列產品展示沐創(chuàng)五大技術能力：①高性能網(wǎng)絡40 G 小包線速轉發(fā)能力和DPDK 全面支持；②內生安全支持可信計算和可信根，支持動態(tài)度量；③高性能密碼適用各種安全網(wǎng)絡應用；④ SDN 應用加速可重構內核實現(xiàn)多元組、flow 加速功能、配合國產CPU 性能提升；⑤報文分流過濾。

展望未來，朱博士描繪了“國密融合安全，安全融合網(wǎng)絡，網(wǎng)絡融合智能”的公司發(fā)展理念。沐創(chuàng)公司起步于創(chuàng)新型國密安全芯片融合網(wǎng)絡安全市場的朝陽產業(yè)，服務于金融與電子政務、互聯(lián)網(wǎng)安全、云端互聯(lián)、網(wǎng)絡安全以及工業(yè)等主流行業(yè)。抓住國產化替代市場契機，以可重構賦能信息安全芯片，力爭3 年內在國密安全芯片行業(yè)名列前茅，為成為領先的網(wǎng)絡安全控制器芯片供應商，譜寫華彩樂章。

（本文來源于《電子產品世界》雜志2021年7月期）