《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 電子元件 > 其他 > 深度解讀:龍芯CPU何以鑄就信息領(lǐng)域安全邊疆

深度解讀:龍芯CPU何以鑄就信息領(lǐng)域安全邊疆

2020-08-26
來源:龍芯中科

8月5日,,龍芯中科聯(lián)合衛(wèi)士通發(fā)布了龍芯安全模塊及SDK,。

今天,,我們?yōu)榇蠹規(guī)砩疃燃夹g(shù)解讀,,帶您從技術(shù)角度走進(jìn)最新產(chǎn)品,深度了解龍芯CPU內(nèi)生安全體系,!

1,、自主和安全的深度結(jié)合

龍芯是自研CPU標(biāo)桿企業(yè),有20年的研發(fā)和產(chǎn)業(yè)推廣歷史,。龍芯堅持“從每一行源代碼設(shè)計”的自主研發(fā)路線,,掌握CPU核心設(shè)計能力。經(jīng)過近20年的積累,,龍芯基本完成技術(shù)“補(bǔ)課”?,F(xiàn)有產(chǎn)品龍芯3A4000/3B4000基于28nm工藝,與AMD公司28nm工藝最后產(chǎn)品“挖掘機(jī)”性能相當(dāng),。在研的3A5000/3C5000將達(dá)到目前AMD市場主流產(chǎn)品水平,。

信息安全是創(chuàng)新發(fā)展的重要保障,CPU成為構(gòu)建網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)體系的起點和根基,。2020年8月5日,龍芯中科聯(lián)手合作伙伴發(fā)布了龍芯安全模塊及SDK,,并推出了龍芯CPU芯片級內(nèi)生安全體系,,代表我國在安全方面的兩支隊伍——“自主設(shè)計”隊伍和“安全可信”隊伍的會師。兩支隊伍經(jīng)過幾年的交流達(dá)成共識,,自主的不一定安全,,但不自主一定不安全。正確的做法是在自主設(shè)計的基礎(chǔ)上,,加上從可信根開始的可信機(jī)制與安全保密機(jī)制,。

龍芯3A4000/3B4000在CPU芯片內(nèi)集成了漏洞防范設(shè)計硬件國密算法,、安全可信模塊與安全訪問控制機(jī)制,,已初步實現(xiàn)“自主設(shè)計”和“安全可信”的深度融合,。

2、龍芯CPU安全體系

龍芯CPU安全體系的基礎(chǔ)是龍芯芯片級的內(nèi)生安全機(jī)制,,包括四個方面,,分別是漏洞防范設(shè)計、硬件國密算法,、安全可信模塊,、安全訪問控制。

21.jpg

基于龍芯芯片級的內(nèi)生安全機(jī)制,,建立起上層的安全生態(tài),。

◆ 基礎(chǔ)安全體系:包括安全固件、可信計算支撐體系,、工控安全支撐體系,。

◆ 基礎(chǔ)硬件設(shè)施:包括各種終端電腦、服務(wù)器,、網(wǎng)絡(luò)安全設(shè)備(例如堡壘機(jī),、VPN、防火墻,、交換機(jī)等),、密碼設(shè)備(例如密碼機(jī)、密碼卡,、USBKey,、密碼CA等)。

◆ 安全操作系統(tǒng):為應(yīng)用程序提供運(yùn)行環(huán)境,,制定應(yīng)用安全審核,、內(nèi)核安全接口、以及自主訪問控制等標(biāo)準(zhǔn)規(guī)范,。

◆ 安全平臺軟件:是信息網(wǎng)絡(luò)安全等級保護(hù)規(guī)范要求的產(chǎn)品,,種類繁多,包括安全瀏覽器,、防病毒軟件,、安全電子郵件、電子文檔管理,、安全網(wǎng)絡(luò)會議,、視頻監(jiān)控系統(tǒng)、安全登錄,、以及各類審計管理系統(tǒng),。

22.jpg

3、漏洞防范設(shè)計

龍芯掌握CPU核心設(shè)計能力,,芯片設(shè)計源代碼全部自主研發(fā),,在設(shè)計過程中主動防范芯片漏洞,、消除后門隱患。

CPU是復(fù)雜巨系統(tǒng),,只有通過自主研發(fā)的實踐才能真正把握核心技術(shù),。2016年發(fā)現(xiàn)的“熔斷”和“幽靈”漏洞影響全球大量Intel、ARM處理器,?!叭蹟唷焙汀坝撵`”漏洞屬于芯片硬件設(shè)計缺陷,無法通過軟件打補(bǔ)丁或者操作系統(tǒng)升級的方法修復(fù),。即使Intel,、ARM自己對CPU的復(fù)雜性引起的漏洞都難以完全把握,到2020年仍然發(fā)現(xiàn)多款引進(jìn)的ARM處理器型號存在幽靈漏洞,。

龍芯3A4000/3B4000及后續(xù)型號都實現(xiàn)對“熔斷”和“幽靈”漏洞免疫,。龍芯走自研CPU的路線,看得懂,、改得動,,能夠從流水線、緩存,、轉(zhuǎn)移猜測等關(guān)鍵機(jī)理上分析漏洞,、規(guī)避問題。龍芯是國內(nèi)處理器中最早發(fā)布免疫CPU型號的廠商,。龍芯通過硬件的方式防范漏洞,,性能沒有明顯降低。

4,、硬件國密算法

密碼是國家重要戰(zhàn)略資源,,是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐?!吨腥A人民共和國密碼法》于2020年1月1日正式施行,,旨在規(guī)范密碼應(yīng)用和管理,促進(jìn)密碼事業(yè)發(fā)展,,保障網(wǎng)絡(luò)與信息安全,,提升密碼管理科學(xué)化、規(guī)范化,、法治化水平,,是我國密碼領(lǐng)域的綜合性,、基礎(chǔ)性法律,。

龍芯3A4000/3B4000是目前唯一通過國家商密二級型號認(rèn)證的CPU。龍芯3A4000/3B4000內(nèi)置安全模塊,,集成硬件加解密算法,。安全模塊獨立于處理器核工作,,提供硬件密碼引擎、密鑰管理,、安全存儲與隨機(jī)數(shù)發(fā)生等功能,。安全模塊支持國密算法SM2/SM3/SM4,可以取代外置密碼卡,。相比于使用軟件進(jìn)行加解密的方式,,CPU硬件的加解密性能有數(shù)量級的提高,實際測試超過2Gbps,。

安全模塊的開發(fā)庫(SDK)可以提供給廠商做定制開發(fā),。基礎(chǔ)SDK提供最基礎(chǔ)的密碼能力,;通用密碼中間件基于安全模塊提供統(tǒng)一的密碼運(yùn)算接口,,滿足多種應(yīng)用對密碼功能的調(diào)用需求;國密SSL基于安全模塊提供符合OpenSSL框架的國密算法和國密協(xié)議,。

23.jpg

龍芯在商用密碼領(lǐng)域具有高安全,、低成本、易使用,、輕改造和強(qiáng)合規(guī)等特點,。龍芯CPU與密碼融合設(shè)計,可以在確保安全的前提下發(fā)揮最大效能,。在商密,、等保領(lǐng)域,龍芯安全性有明顯優(yōu)勢,。

5,、安全可信模塊

安全可信是囯家網(wǎng)絡(luò)安全法律、戰(zhàn)略和等保制度的明確要求,。計算機(jī)結(jié)構(gòu)無防護(hù)機(jī)理及部件的先天性缺陷,,導(dǎo)致傳統(tǒng)的“封堵查”老三樣被動防御難以應(yīng)對嚴(yán)峻的安全形勢。主動免疫可信計算是指計算運(yùn)算的同時進(jìn)行安全防護(hù),。

龍芯3A4000/3B4000內(nèi)部集成安全可信管理功能,,可以在硬件層面實現(xiàn)基于國密算法進(jìn)行可信計算,取代外置可信芯片,。龍芯支持可信管理功能內(nèi)置于CPU芯片的整機(jī)設(shè)備,,操作系統(tǒng)層部署可信軟件基,由可信節(jié)點和可信管理中心共同組建可信系統(tǒng),。

24.jpg

基于龍芯CPU芯片的可信計算解決方案已經(jīng)在桌面電腦,、服務(wù)器、工業(yè)控制等領(lǐng)域構(gòu)建了實際案例,在各行業(yè)廣泛應(yīng)用,。

6,、安全訪問控制

龍芯支持流水線級別的安全訪問控制環(huán)境,實現(xiàn)CPU本質(zhì)安全的新型安全防御機(jī)制,。

25.jpg

龍芯3A4000/3B4000在CPU核內(nèi)增加安全功能,,可以監(jiān)督內(nèi)部模塊行為、上層BIOS/操作系統(tǒng)行為,。例如,,“影子棧”機(jī)制可以防范內(nèi)核棧溢出攻擊,,獨立的內(nèi)存防護(hù)單元可以保護(hù)敏感內(nèi)存區(qū)間不被修改,,I/O防護(hù)機(jī)制可以對外設(shè)的訪問進(jìn)行監(jiān)管。

龍芯安全訪問控制環(huán)境相當(dāng)于“把紀(jì)檢組派到辦公室”,,實現(xiàn)了CPU注重效率和增強(qiáng)本質(zhì)安全的有機(jī)融合,,安全性進(jìn)一步提高,性能也進(jìn)一步提高,,同時大幅度降低整機(jī)成本,。龍芯在自主研發(fā)過程中形成“聽黨指揮”的技術(shù)能力,成為確保信息安全“槍桿子”,。

7,、龍芯安全解決方案

龍芯致力于建設(shè)生態(tài)體系,聯(lián)合安全固件,、網(wǎng)安/密碼設(shè)備,、安全操作系統(tǒng)、安全瀏覽器,、等級保護(hù)2.0等產(chǎn)品廠商共同研發(fā)解決方案,。

◆ 安全固件:為龍芯計算平臺提供安全引導(dǎo)和運(yùn)行環(huán)境。安全固件可實現(xiàn)六方面功能,,包括安全引導(dǎo),、數(shù)據(jù)保護(hù)、身份認(rèn)證,、可信度量,、可信恢復(fù)、配置管理,。

◆ 安全操作系統(tǒng):在安全掃描與攻防,、應(yīng)用商店簽名與審核、終端安全中心建設(shè),、安全性測試標(biāo)準(zhǔn)制定,、漏洞跟蹤與報告流程等方面形成了自己的技術(shù)能力和體系,在保持良好使用體驗和性能的條件下捍衛(wèi)用戶系統(tǒng)安全。

◆ 龍芯平臺瀏覽器:現(xiàn)已完成國密改造,,支持國密證書,可以訪問國密網(wǎng)關(guān),、國密Web服務(wù)器,。瀏覽器調(diào)用龍芯硬件國密算法,相比以前采用軟件的計算方式,,SM3散列性能提升14倍,,SM4性能提升20倍。

◆ 網(wǎng)絡(luò)安全設(shè)備:可以采用龍芯1A,、1B,、2H、2K,、3A系列處理器,,滿足低、中,、高不同檔次需求,。國內(nèi)一線安全設(shè)備廠商所提供的龍芯產(chǎn)品包括交換機(jī)、路由器,、VPN,、防火墻、堡壘機(jī),、網(wǎng)閘,、負(fù)載均衡等。

◆ 密碼設(shè)備:可以采用龍芯CPU研制密碼服務(wù)器,、通訊加密機(jī),、CA服務(wù)器等,利用龍芯硬件密碼功能實現(xiàn)加解密運(yùn)算,,已批量應(yīng)用于多個領(lǐng)域,。

◆ 工控安全領(lǐng)域:采用龍芯實現(xiàn)可信方案,基于龍芯2K1000,、3A4000等實現(xiàn)安全可信PLC控制器,,是實現(xiàn)制造業(yè)數(shù)字化、網(wǎng)絡(luò)化,、智能化的關(guān)鍵設(shè)備,。

26.jpg

◆ 龍芯全線適配等級保護(hù)2.0安全產(chǎn)品:目前,龍芯已與國內(nèi)超過50家專業(yè)安全軟件廠商合作,,龍芯平臺上已經(jīng)適配的產(chǎn)品超過500種,,類型覆蓋防病毒軟件、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)審計系統(tǒng),、網(wǎng)頁防篡改系統(tǒng),、數(shù)據(jù)防泄漏系統(tǒng)等,可以全面滿足等級保護(hù)2.0要求,。

8,、筑造信息安全邊疆

龍芯實現(xiàn)自主和安全的深度融合。龍芯處理器核心的微結(jié)構(gòu)和物理設(shè)計全部自主研發(fā),,取得數(shù)百項專利,,知識產(chǎn)權(quán)自主掌握,有能力從根源上規(guī)避漏洞,。龍芯研發(fā)團(tuán)隊全部在國內(nèi),,核心骨干有二十年研發(fā)背景,是真正掌握CPU設(shè)計技術(shù)的科技隊伍,。龍芯有長遠(yuǎn)的處理器,、橋片、顯卡等核心設(shè)備發(fā)展戰(zhàn)略和藍(lán)圖,。龍芯堅持建設(shè)“從端到云”的開放生態(tài),,帶動產(chǎn)業(yè)鏈廠商共同提高技術(shù)和服務(wù)能力,帶動行業(yè)和區(qū)域產(chǎn)業(yè)鏈廣泛合作,。

發(fā)展自主CPU,、建立自主信息技術(shù)體系和產(chǎn)業(yè)生態(tài),是國家的需要,、時代的需要,。信息技術(shù)應(yīng)用創(chuàng)新面臨前所未有的機(jī)遇,龍芯將與安全廠商相向而行,,共同筑造信息安全邊疆,!


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]