近日,海光信息技術股份有限公司(以下簡稱“海光”)針對CPU安全功能進行更新,在海光通用處理器CPU上內(nèi)置安全功能模塊,用戶可通過在海光官網(wǎng)下載根目錄證書對海光安全功能進行更新,從而啟動CPU中部分安全模塊功能。
在數(shù)據(jù)流轉(zhuǎn)和存儲等應用場景中,數(shù)據(jù)傳輸與管理具有比較高的加密要求,在這種情況下,需要采用軟硬件相配合的加密技術對信息進行加密管理。由于硬件加密可靠性更高,英特爾、AMD等國際頭部CPU廠商,均在相關產(chǎn)品中設計了硬件加密功能。在數(shù)據(jù)中心場景中,部分用戶為滿足該場景下密碼應用級別需要,會在服務器中配置額外的加密卡。這樣的方式,將在一定程度上損失服務器自身的數(shù)據(jù)計算和傳輸效率。
在近日的一場業(yè)內(nèi)交流活動中,海光信息安全技術專家何良杰分享了他們在芯片安全性能上的成果和最新進展。何良杰介紹稱,海光CPU在設計中加入了獨立安全處理器,其中由CCP運算單元充當密碼加速引擎,以硬件真隨機數(shù)的方法提升加密能力。安全處理器具有更高的安全權(quán)限,用來實現(xiàn)芯片的安全管理。同時,CPU內(nèi)的單獨安全處理器內(nèi)核,也可降低密碼運算對CPU主核運算資源的占用,從而提升CPU整體運算速度。
據(jù)了解,海光推出的處理器安全計算架構(gòu)CSCA(C86 Security Computing Architecture)涵蓋安全密鑰、安全處理器、安全啟動、安全存儲、密鑰管理及使用、動態(tài)度量保護、內(nèi)存加密、機密計算、密碼計算、可信計算標準支持、芯片安全防護等11項安全技術。專家稱,綜合選用這些技術,可以實現(xiàn)從底層固件到上層應用軟件的整體安全,從而替代服務器供應商原本采用的外置加密卡。
其中,安全密鑰技術指的是處理器中需要安全密鑰實現(xiàn)一些非常重要的安全功能,比如安全啟動。安全啟動功能使用芯片內(nèi)置的密鑰對固件進行驗簽和解密,保證只有合法的固件才能在芯片上運行。芯片的安全密鑰由芯片廠商管理,必須保證這些密鑰不被泄露或者竊取。海光處理器通過芯片中的安全密鑰實現(xiàn)安全啟動等功能,保證非法的固件不能在海光芯片上運行。通過安全的密鑰注入和管理流程,確保芯片的安全密鑰在燒錄、使用的各個階段不會被泄露或者竊取。
安全存儲是當前市面上CPU頭部企業(yè)都十分注重的安全技術。信息系統(tǒng)安全的核心是數(shù)據(jù)安全,內(nèi)存加密、機密計算等技術保證了數(shù)據(jù)在內(nèi)存中的安全,當大量數(shù)據(jù)完成運算離開內(nèi)存存儲到硬盤等外部介質(zhì)中時,同樣需要保證其安全性,使非法用戶即使獲取到硬盤,也無法得到其中的數(shù)據(jù)。海光CPU采用業(yè)內(nèi)主流的基于可信計算模塊TPM來保存數(shù)據(jù)加密密鑰的方案,將密鑰的可用狀態(tài)與系統(tǒng)可信狀態(tài)綁定,只有當系統(tǒng)未被篡改處于可信狀態(tài)時密鑰才能被使用,保證了密鑰的安全。
動態(tài)度量保護技術是相較于傳統(tǒng)的靜態(tài)度量技術而言的。靜態(tài)度量技術,能夠保護程序啟動時的安全,但無法保證程序運行能夠持續(xù)安全。而運行時外部對程序的篡改攻擊將給系統(tǒng)帶來了不可忽視的安全隱患。海光CPU提供的動態(tài)度量保護功能可以在程序運行時持續(xù)的對程序進行度量監(jiān)控,在檢測到異常時及時采取相應的安全應對措施。靜態(tài)度量與動態(tài)度量的有機結(jié)合可以為系統(tǒng)提供全方位保護。
- QQ:61149512