信创产品 | 国产CPU(飞腾)的免疫系统是怎样炼成的?!
发布时间:2022-05-16
2016年4月19日,习近平总书记强调指出,要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,增强网络安全防御能力和威慑能力。正确的网络安全观即总书记倡导的“总体国家安全观”,是指网络安全是整体的而不是割裂的,网络安全对国家安全牵一发而动全身,没有网络安全就没有国家安全。
众所周知,安全已经是万物互联智能时代的核心需求,CPU作为无处不在的算力基石,其本身的安全性尤为重要,CPU自身不安全就无法实现网络安全。纵观国内CPU厂商,对安全的重视程度、投入力度参差不齐。有的厂商已经开始积极探索系统化、全局化的CPU安全机制,开创性地提出了CPU安全的相关标准,从CPU层面实现了国产计算机系统自底向上的本质安全,宛如“疫苗”一样为计算机构筑起一道牢固的安全屏障。
敢为人先谋CPU安全
国家互联网应急中心(CNCERT)发布的《2021年上半年我国互联网网络安全监测数据分析报告》显示,国家信息安全漏洞共享平台(CNVD)收录通用型安全漏洞13083个,同比增长18.2%。其中,零日漏洞收录数量为7107个,占总收录漏洞数量的54.3%,同比大幅增长55.1%。这些漏洞在披露时尚未发布补丁或相应的应急措施,严重威胁我国网络空间安全。
严峻的网络安全形势,对国产CPU提出了更高的挑战。而6年前,国产CPU的性能与国外厂商的整体差距还比较大,国内芯片厂商主要将研发重点放在性能的追赶上。
彼时,飞腾CPU在信创圈还是一个“新人”,知之者甚少。2016年4月19日习总书记的重要讲话使飞腾CPU研发团队意识到网络安全责任重大,于是在后续产品的研发设计中除了注重性能突破之外,还把安全提升到了极其重要的位置。
“自主不等于安全,高性能也不代表高安全。”飞腾信息技术有限公司副总经理郭御风表示,CPU设计除了要自主正向设计封堵后门之外,还需要通过系统的主动安全设计对漏洞风险进行免疫,探索如何将安全设计理念融入到国产CPU设计的方方面面,在处理器设计的整个流程中贯穿安全设计的思想,从架构上、软硬件总体上去把握,通过防后门、堵漏洞,真正将安全植入到“芯内”去。
凡事预则立,不预则废。
正是秉承这样的安全理念,以“聚焦信息系统核心芯片,支撑国家信息安全与产业发展”为使命,从2016年到2019年,飞腾一直在谋划、制定安全架构规范,设计研发主动免疫的可信计算CPU。
飞腾安全技术团队对处理器安全及其相关领域进行了广泛研究与前沿探索,涉及处理器安全微架构设计、侧信道攻击与防御、固件安全和虚拟化安全等诸多方向。敢为人先谋安全,也为飞腾CPU在信创市场后来居上打下了扎实的根基。
PSPA“疫苗”筑牢安全屏障
作为信息系统的安全基石,CPU如何真正做到防后门、堵漏洞?
经过三年多的思考、设计、迭代,2019年12月19日,飞腾公司制定的国内首个处理器安全架构规范PSPA1.0(Phytium Security Platform Architecture)正式亮相,这也是国产CPU企业首次发布CPU层面的安全架构规范,从CPU层面实现了国产计算机系统自底向上的本质安全。可信计算3.0是我国网络安全等保2.0标准确定的核心防御技术,飞腾PSPA实现了可信计算3.0的安全架构,真正将安全可信做到了“芯内”。
PSPA1.0从十个方面定义了安全处理器中涉及的软硬件功能和属性,包括密码加速引擎、密钥管理、可信启动、可信执行环境、安全存储、固件管理、量产注入、生命周期管理、抗物理攻击和硬件漏洞免疫,涉及芯片的硬件设计、固件设计、量产等多个方面,对密码算法、可信计算、全周期管理、抗攻击、生产安全等方面均有全面的考虑和解决方案。
从国家互联网应急中心(CNCERT)发布的报告可以看出,随着网络攻击日益常态化、严峻化,安全已经成为各行各业的“强需求”。PSPA宛如“疫苗”一样,为计算机构筑起一道牢固的安全屏障,守护数据安全。
值得注意的是,在PSPA1.0正式发布之前,飞腾就已经在高效能桌面芯片FT-2000/4的设计中贯穿了PSPA1.0的相关要求,进行了产品层面的实验验证。2019年9月首发的FT-2000/4在内置安全性方面拥有独到创新,从CPU层面为可信计算提供了有效支撑。2020年12月推出的8核桌面CPU飞腾腾锐D2000也支持PSPA1.0规范。这两款CPU已成为飞腾的“明星产品”,广泛应用于政务、金融、交通、电力等重要领域。
“CPU疫苗”应用进行时
疫苗研究出来了,得让大多数人用起来,才能增强身体免疫力。同理,“CPU疫苗”只有实现落地应用,才能发挥其真正价值,真正做到为网络安全保驾护航。
飞腾高度重视可信计算产业的生态建设。依托自主定义的安全可信架构规范,以及日益丰富的安全CPU产品谱系,飞腾广泛联手合作伙伴壮大安全可信生态圈,共同打造本质安全的联合解决方案,助推信创产业安全体系的构建和PSPA的落地应用。
为切实解决从设备硬件到固件、操作系统以及业务应用的整体可信安全问题,为政务、能源、交通、金融等行业的关键信息基础设施提供端到端的安全可信计算解决方案,2021年飞腾携手北京计算机技术及应用研究所、麒麟软件、可信华泰、中电科技推出了PSPA可信计算联合解决方案,并已经在相关部门的业务管理系统的计算机终端落地应用。
该落地项目以飞腾可信核为基础构建了片内可信根,实现了主动免疫的防御能力。北京计算机技术及应用研究所携手生态伙伴,基于飞腾网安版FT-2000/4及PSPA1.0研发了符合可信计算3.0标准的可信计算机终端,内置在CPU中的安全机制得到了充分的应用。
该联合解决方案代表了可信计算3.0新一代创新的软硬件技术路线,由飞腾CPU等内置硬件提供支撑,减少对外部扩展的依赖,全面提升了计算性能、安全性、集成度以及兼容性,真正实现了最深层的内生免疫能力,使得可信计算3.0的软硬件产品的可用性、易用性得到了大幅度提升,为可信计算产品大范围应用推广奠定了坚实的基础。
此外,飞腾携手大唐高鸿信安推出了基于PSPA安全架构标准的可信系统联合解决方案,已荣获由中国电子工业标准化技术协会“信创工委会”颁发的“信创安全优秀解决方案”奖。
“有了PSPA这个免疫系统,计算机终端的安全更有保障了。”飞腾某生态伙伴表示。
PSPA2.0即将发布
数字经济将囊括经济、社会、生活的方方面面,信息安全将面临前所未有的挑战。“十四五”规划纲要指出,要维护新型领域安全,全面加强网络安全保障体系和能力建设。
2022年是实施“十四五”规划的关键之年,飞腾将进一步加强安全前沿技术的研究,包括处理器微架构安全一体化防护技术、面向虚拟化场景的辅助安全技术、高安全等级芯片的物理安全防护技术等;飞腾将推出PSPA2.0规范,扩展PSPA安全机制覆盖范围,提高PSPA安全机制支撑强度,进一步提升内生安全能力,有效护航信息安全。
据透露,PSPA2.0规范将率先用于即将发布的飞腾腾珑E2000。飞腾后续的CPU设计,无论是面向服务器的(飞腾腾云S系列)、面向桌面的(飞腾腾锐D系列),还是面向嵌入式的(飞腾腾珑E系列),都将全面支持PSPA2.0安全架构规范,使得内生安全技术的覆盖面越来越广。
毋庸置疑,随着国产CPU的“疫苗”不断推出加强版,自主算力系统的稳定运行必将坚如磐石。