随着信息技术的飞速发展,数据安全成为了各行各业关注的焦点。作为中国领先的高端处理器供应商,海光信息致力于通过技术创新提供高性能、高安全性的计算解决方案。
海光处理器具有高性能和高安全性的特点,能够给各种行业应用提供足够的算力,同时保证运算过程和运算结果安全可信。
海光处理器在设计上采用权限划分、加密、隔离等技术来保证安全性。海光CPU中集成了C86处理器和安全处理器,安全处理器具有更高的安全权限,用来实现芯片的安全管理。C86程序通过安全处理器固件提供的接口调用安全处理器实现的安全服务。
安全密钥
安全密钥是保障计算系统安全的基础。处理器中需要安全密钥实现一些非常重要的安全功能,比如安全启动。安全启动功能使用芯片内置的密钥对固件进行验签和解密,保证只有合法的固件才能在芯片上运行。芯片的安全密钥由芯片厂商管理,必须保证这些密钥不被泄露或者窃取。
海光处理器通过内置的安全密钥实现了安全启动等功能,确保只有合法的固件才能在芯片上运行。海光采用了严格的安全密钥注入和管理流程,确保密钥在烧录、使用过程中不会被泄露或窃取。这一机制对于防止恶意软件入侵、保护系统免受未授权访问至关重要。
安全启动
安全启动功能是确保计算平台从启动到运行全程安全的重要手段。海光处理器内置了固件验签公钥,通过固化的ROM代码验证固件签名,再依次验证BIOS代码和操作系统签名,形成一个完整的信任链。只有所有环节的签名均合法,启动过程才会继续,否则启动会中止,有效防止了非法软件的运行。
安全存储
数据安全是信息安全的核心。信息系统安全的核心是数据安全,内存加密、机密计算等技术保证了数据在内存中的安全,当大量数据完成运算离开内存存储到外部介质如硬盘中时,同样需要保证其安全性,非法用户即使获取到硬盘,也无法获取到其中的数据。
海光CPU采用基于可信计算模块(TPM)的方案来保存数据加密密钥,将密钥的可用状态与系统的可信状态绑定。这意味着,除非系统处于未被篡改的状态,否则密钥无法被使用,从而保证了数据在存储过程中的安全性。这一机制在物理攻击防护方面尤为有效,即便硬盘被非法获取,数据也无法被读取。
动态度量保护
传统的度量技术主要关注程序启动时的安全,而海光CPU提供的动态度量保护功能能够在程序运行时持续监控程序的状态。一旦检测到异常,系统将立即采取相应的安全措施。这种动静结合的度量保护方式,为系统提供了从启动到运行的全方位安全保障。
内存加密
内存是计算机系统中存储重要数据的关键部分。海光CPU实现了内存中的数据加密存储,并在每次系统重启时随机生成新的加密密钥,提高了密钥的安全性。这一技术有效地防止了通过物理攻击方式窃取内存数据的风险。
机密计算
机密计算是指利用处理器的可信执行环境(TEE)保护用户数据的安全。海光CPU构建了以安全加密虚拟机为基础的可信执行环境,确保数据在TEE中的机密性和完整性。安全加密虚拟机支持启动镜像度量和运行时远程身份认证,且内存数据实时加解密,密钥由处理器随机生成并管理,永不外泄。这使得即使主机操作系统或虚拟机管理器也无法访问虚拟机中的敏感数据。
密码计算
密码技术是维护数据安全的关键,数据的安全传输、安全存储、安全使用都离不开密码技术。海光CPU内置的密码模块具备高安全、低成本、高性能的特点,能够为服务器密码机、签名验签服务器、金融数据密码机等产品提供高效的密码服务。海光的密码模块不仅支持国际标准算法,还支持国密标准,满足不同场景下的安全需求。
可信计算标准支持
可信计算体系的核心是底层的信任根。海光CPU内置的安全处理器(PSP)和密码协处理器(CCP)同时支持国际TPM2.0和国内TCM2.0可信计算标准,能够快速支撑起成熟的可信生态。相比传统外置可信模块,海光CPU的源生可信支持在安全性、易用性和性能上具有显著优势。
芯片安全防护
针对硬件攻击的防护也是海光处理器安全技术的重要组成部分。针对计算机系统的攻击分为软件攻击和硬件攻击,传统的攻击方法大多利用软件漏洞进行攻击,但是近年来针对处理器硬件的攻击方法受到越来越多的关注和研究。如果硬件攻击成功将泄露芯片底层的信息,造成的危害更大,因此必须从硬件层面设计芯片安全防护措施,主要包括处理器物理攻击防御和硬件漏洞防御。
海光CPU通过采用掩码、平衡指令分支等技术防御物理攻击,对熔断漏洞免疫,并通过软件指令或微码防御幽灵漏洞攻击。这些措施有效提升了芯片的物理安全性和抗攻击能力。
结语
海光处理器通过一系列先进的安全技术,为用户提供了一个高性能、高可靠性的计算平台。无论是安全密钥、安全启动,还是安全存储、动态度量保护,海光都在不断探索和创新,确保用户的数据和应用程序在任何情况下都能得到最有效的保护。未来,海光将继续在高端处理器领域深耕细作,为各行业的数字化转型提供坚实的技术支撑。
