9月6日,在上海外滩大会见解论坛上,来自各行业领域的安全专家共聚一堂,就“迈向密态算力时代:数据可信流通的产业生态重构”展开主题分享。其中,海光信息从芯片底层安全角度,深度展示了海光CPU密码计算、机密计算等前沿技术,为云计算数据安全带来坚实的算力底座。
密码计算内置,低成本高性能更安全
“我们通过这几年的实践,发现CPU内置密码模块的形式,已经成为整个国密行业的新趋势。”海光信息副总裁应志伟介绍,海光的密码技术分为密码加速引擎和密钥管理功能,两大模块均已集成在CPU内部。
这种方式要比传统密码设备具备更低的成本、更高的性能和更好的安全性。应志伟指出,过去最常见的做法是在主板上插一张密码卡,密钥和运算都放在密码卡上。而海光相当于在CPU里面内置了一张密码卡,无需额外购置专用密码设备。
对用户来说,这样不仅减少了采购成本和周期,海光CPU的内置密码能力也要远高于市面上的中高端密码卡。
比如在密码加速引擎上,海光CPU自带密码协处理器(CCP),可支持SM2、SM3、SM4国密算法和AES、SHA美密算法,并且内置真随机数发生器,包括海光C86指令集层面,都实现了对密码学指令的广泛支持。
在密钥管理方面,海光CPU相当于集成一张密码卡,做密码编程时完全不用担心密钥泄露在内存软件中,保证密钥的“可用不可见”,实现全生命周期密钥管理。
机密计算升级,构筑云计算安全底座
随着云计算时代的到来,在传统计算的传输加密、存储加密模式之外,数据运行过程中的加密需求日益凸显,全球芯片厂商开始积极布局机密计算。
“机密计算已经成为云计算时代的安全底座,国际上的主流CPU企业,比如英特尔和ARM等,包括国产CPU厂商海光在内,都在通过硬件对虚拟机做加密,进而实现机密计算服务升级。”应志伟表示,海光是其中唯一一家采用国密SM4做内存加密的CPU企业。
他介绍,海光的机密计算已经发展到了第三代。从海光2号开始提供内存加密,到C86-3G产品时升级了虚拟机状态加密,再到最新的产品,已经可以提供包含内存隔离的完整性保护。
目前,海光CPU已经完成计算隔离、启动度量、远程认证、磁盘加密、密钥封印、加密容器、异构加速等一系列技术方案,以确保所有数据形态下的安全使用。
值得注意的是,基于通用处理器CPU和协处理器DCU两大主力产品,海光还可以提供人工智能应用场景下的机密计算环境。海光CPU和DCU通过安全通道链接,可融合为同一安全域。在此环境下进行大模型训练和推理,可以保障其他操作系统、虚拟机、管理器等,均无法接触安全域中的数据信息。
在见解论坛上,应志伟全方位展示了海光CPU的典型安全解决方案。比如在证券系统国密改造中,用户通过海光CPU内嵌密码计算能力,实现了证券交易系统安全接入商用密码,合规性、安全性、性能及成本等方面远超预期。
此外,海光还带来了集中式密码应用场景优化和密态数据库应用、基于海光CPU的无卡标准密码产品,以及数据保险箱方案和磁盘加密功能等一系列产品解决方案。从密码技术、机密计算、可信计算、漏洞防御等各个技术领域,为全行业场景提供多维安全防护。
热门专题
