点击蓝字,关注我们
近日,海光信息技术股份有限公司(以下简称“海光”)针对CPU安全功能进行更新,在海光通用处理器CPU上内置安全功能模块,用户可通过在海光官网下载根目录证书对海光安全功能进行更新,从而启动CPU中部分安全模块功能。
在数据流转和存储等应用场景中,数据传输与管理具有比较高的加密要求,在这种情况下,需要采用软硬件相配合的加密技术对信息进行加密管理。由于硬件加密可靠性更高,英特尔、AMD等国际头部CPU厂商,均在相关产品中设计了硬件加密功能。在数据中心场景中,部分用户为满足该场景下密码应用级别需要,会在服务器中配置额外的加密卡。这样的方式,将在一定程度上损失服务器自身的数据计算和传输效率。
在近日的一场业内交流活动中,海光信息安全技术专家何良杰分享了他们在芯片安全性能上的成果和最新进展。何良杰介绍称,海光CPU在设计中加入了独立安全处理器,其中由CCP运算单元充当密码加速引擎,以硬件真随机数的方法提升加密能力。安全处理器具有更高的安全权限,用来实现芯片的安全管理。同时,CPU内的单独安全处理器内核,也可降低密码运算对CPU主核运算资源的占用,从而提升CPU整体运算速度。
据了解,海光推出的处理器安全计算架构CSCA(C86 Security Computing Architecture)涵盖安全密钥、安全处理器、安全启动、安全存储、密钥管理及使用、动态度量保护、内存加密、机密计算、密码计算、可信计算标准支持、芯片安全防护等11项安全技术。专家称,综合选用这些技术,可以实现从底层固件到上层应用软件的整体安全,从而替代服务器供应商原本采用的外置加密卡。
其中,安全密钥技术指的是处理器中需要安全密钥实现一些非常重要的安全功能,比如安全启动。安全启动功能使用芯片内置的密钥对固件进行验签和解密,保证只有合法的固件才能在芯片上运行。芯片的安全密钥由芯片厂商管理,必须保证这些密钥不被泄露或者窃取。海光处理器通过芯片中的安全密钥实现安全启动等功能,保证非法的固件不能在海光芯片上运行。通过安全的密钥注入和管理流程,确保芯片的安全密钥在烧录、使用的各个阶段不会被泄露或者窃取。
安全存储是当前市面上CPU头部企业都十分注重的安全技术。信息系统安全的核心是数据安全,内存加密、机密计算等技术保证了数据在内存中的安全,当大量数据完成运算离开内存存储到硬盘等外部介质中时,同样需要保证其安全性,使非法用户即使获取到硬盘,也无法得到其中的数据。海光CPU采用业内主流的基于可信计算模块TPM来保存数据加密密钥的方案,将密钥的可用状态与系统可信状态绑定,只有当系统未被篡改处于可信状态时密钥才能被使用,保证了密钥的安全。
动态度量保护技术是相较于传统的静态度量技术而言的。静态度量技术,能够保护程序启动时的安全,但无法保证程序运行能够持续安全。而运行时外部对程序的篡改攻击将给系统带来了不可忽视的安全隐患。海光CPU提供的动态度量保护功能可以在程序运行时持续的对程序进行度量监控,在检测到异常时及时采取相应的安全应对措施。静态度量与动态度量的有机结合可以为系统提供全方位保护。
作者:姬晓婷 来源:中国电子报、电子信息产业网