面向密態(tài)算力時代，海光CPU打造多維安全防護

9月6日,在上海外灘大會見解論壇上,來自各行業(yè)領域的安全專家共聚一堂,就“邁向密態(tài)算力時代:數(shù)據(jù)可信流通的產業(yè)生態(tài)重構”展開主題分享。其中,海光信息從芯片底層安全角度,深度展示了海光CPU密碼計算、機密計算等前沿技術,為云計算數(shù)據(jù)安全帶來堅實的算力底座。

密碼計算內置,低成本高性能更安全

“我們通過這幾年的實踐,發(fā)現(xiàn)CPU內置密碼模塊的形式,已經(jīng)成為整個國密行業(yè)的新趨勢。”海光信息副總裁應志偉介紹,海光的密碼技術分為密碼加速引擎和密鑰管理功能,兩大模塊均已集成在CPU內部。

這種方式要比傳統(tǒng)密碼設備具備更低的成本、更高的性能和更好的安全性。應志偉指出,過去最常見的做法是在主板上插一張密碼卡,密鑰和運算都放在密碼卡上。而海光相當于在CPU里面內置了一張密碼卡,無需額外購置專用密碼設備。

對用戶來說,這樣不僅減少了采購成本和周期,海光CPU的內置密碼能力也要遠高于市面上的中高端密碼卡。

比如在密碼加速引擎上,海光CPU自帶密碼協(xié)處理器(CCP),可支持SM2、SM3、SM4國密算法和AES、SHA美密算法,并且內置真隨機數(shù)發(fā)生器,包括海光C86指令集層面,都實現(xiàn)了對密碼學指令的廣泛支持。

在密鑰管理方面,海光CPU相當于集成一張密碼卡,做密碼編程時完全不用擔心密鑰泄露在內存軟件中,保證密鑰的“可用不可見”,實現(xiàn)全生命周期密鑰管理。

機密計算升級,構筑云計算安全底座

隨著云計算時代的到來,在傳統(tǒng)計算的傳輸加密、存儲加密模式之外,數(shù)據(jù)運行過程中的加密需求日益凸顯,全球芯片廠商開始積極布局機密計算。

“機密計算已經(jīng)成為云計算時代的安全底座,國際上的主流CPU企業(yè),比如英特爾和ARM等,包括國產CPU廠商海光在內,都在通過硬件對虛擬機做加密,進而實現(xiàn)機密計算服務升級?！睉緜ケ硎?海光是其中唯一一家采用國密SM4做內存加密的CPU企業(yè)。

他介紹,海光的機密計算已經(jīng)發(fā)展到了第三代。從海光2號開始提供內存加密,到C86-3G產品時升級了虛擬機狀態(tài)加密,再到最新的產品,已經(jīng)可以提供包含內存隔離的完整性保護。

目前,海光CPU已經(jīng)完成計算隔離、啟動度量、遠程認證、磁盤加密、密鑰封印、加密容器、異構加速等一系列技術方案,以確保所有數(shù)據(jù)形態(tài)下的安全使用。

值得注意的是,基于通用處理器CPU和協(xié)處理器DCU兩大主力產品,海光還可以提供人工智能應用場景下的機密計算環(huán)境。海光CPU和DCU通過安全通道鏈接,可融合為同一安全域。在此環(huán)境下進行大模型訓練和推理,可以保障其他操作系統(tǒng)、虛擬機、管理器等,均無法接觸安全域中的數(shù)據(jù)信息。

在見解論壇上,應志偉全方位展示了海光CPU的典型安全解決方案。比如在證券系統(tǒng)國密改造中,用戶通過海光CPU內嵌密碼計算能力,實現(xiàn)了證券交易系統(tǒng)安全接入商用密碼,合規(guī)性、安全性、性能及成本等方面遠超預期。

此外,海光還帶來了集中式密碼應用場景優(yōu)化和密態(tài)數(shù)據(jù)庫應用、基于海光CPU的無卡標準密碼產品,以及數(shù)據(jù)保險箱方案和磁盤加密功能等一系列產品解決方案。從密碼技術、機密計算、可信計算、漏洞防御等各個技術領域,為全行業(yè)場景提供多維安全防護。