飛騰PSPA“疫苗”為計算機構筑安全屏障

2016年4月19日，習總書記強調(diào)指出，要樹立正確的網(wǎng)絡安全觀，加快構建關鍵信息基礎設施安全保障體系，增強網(wǎng)絡安全防御能力和威懾能力。正確的網(wǎng)絡安全觀即總書記倡導的“總體國家安全觀”，是指網(wǎng)絡安全是整體的而不是割裂的，網(wǎng)絡安全對國家安全牽一發(fā)而動全身，沒有網(wǎng)絡安全就沒有國家安全。

眾所周知，安全已經(jīng)是萬物互聯(lián)智能時代的核心需求，CPU作為無處不在的算力基石，其本身的安全性尤為重要，CPU自身不安全就無法實現(xiàn)網(wǎng)絡安全。正值習總書記“4 19”重要講話六周年之際，縱觀國內(nèi)CPU廠商，對安全的重視程度、投入力度參差不齊。有的廠商已經(jīng)開始積極探索系統(tǒng)化、全局化的CPU安全機制，開創(chuàng)性地提出了CPU安全的相關標準，從CPU層面實現(xiàn)了國產(chǎn)計算機系統(tǒng)自底向上的本質(zhì)安全，宛如“疫苗”一樣為計算機構筑起一道牢固的安全屏障。

敢為人先謀CPU安全

國家互聯(lián)網(wǎng)應急中心(CNCERT)發(fā)布的《2021年上半年我國互聯(lián)網(wǎng)網(wǎng)絡安全監(jiān)測數(shù)據(jù)分析報告》顯示，國家信息安全漏洞共享平臺(CNVD)收錄通用型安全漏洞13083個，同比增長18.2%。其中，零日漏洞收錄數(shù)量為7107個，占總收錄漏洞數(shù)量的54.3%，同比大幅增長55.1%。這些漏洞在披露時尚未發(fā)布補丁或相應的應急措施，嚴重威脅我國網(wǎng)絡空間安全。

嚴峻的網(wǎng)絡安全形勢，對國產(chǎn)CPU提出了更高的挑戰(zhàn)。而6年前，國產(chǎn)CPU的性能與國外廠商的整體差距還比較大，國內(nèi)芯片廠商主要將研發(fā)重點放在性能的追趕上。

彼時，飛騰CPU在信創(chuàng)圈還是一個“新人”，知之者甚少。2016年4月19日習總書記的重要講話使飛騰CPU研發(fā)團隊意識到網(wǎng)絡安全責任重大，于是在后續(xù)產(chǎn)品的研發(fā)設計中除了注重性能突破之外，還把安全提升到了極其重要的位置。

“自主不等于安全，高性能也不代表高安全。”飛騰信息技術有限公司副總經(jīng)理郭御風表示，CPU設計除了要自主正向設計封堵后門之外，還需要通過系統(tǒng)的主動安全設計對漏洞風險進行免疫，探索如何將安全設計理念融入到國產(chǎn)CPU設計的方方面面，在處理器設計的整個流程中貫穿安全設計的思想，從架構上、軟硬件總體上去把握，通過防后門、堵漏洞，真正將安全植入到“芯內(nèi)”去。

凡事預則立，不預則廢。正是秉承這樣的安全理念，以“聚焦信息系統(tǒng)核心芯片，支撐國家信息安全與產(chǎn)業(yè)發(fā)展”為使命，從2016年到2019年，飛騰一直在謀劃、制定安全架構規(guī)范，設計研發(fā)主動免疫的可信計算CPU。飛騰安全技術團隊對處理器安全及其相關領域進行了廣泛研究與前沿探索，涉及處理器安全微架構設計、側(cè)信道攻擊與防御、固件安全和虛擬化安全等諸多方向。敢為人先謀安全，也為飛騰CPU在信創(chuàng)市場后來居上打下了扎實的根基。

PSPA“疫苗”筑牢安全屏障

作為信息系統(tǒng)的安全基石，CPU如何真正做到防后門、堵漏洞?

經(jīng)過三年多的思考、設計、迭代，2019年12月19日，飛騰公司制定的國內(nèi)首個處理器安全架構規(guī)范PSPA1.0(Phytium Security Platform Architecture)正式亮相，這也是國產(chǎn)CPU企業(yè)首次發(fā)布CPU層面的安全架構規(guī)范，從CPU層面實現(xiàn)了國產(chǎn)計算機系統(tǒng)自底向上的本質(zhì)安全?？尚庞嬎?.0是我國網(wǎng)絡安全等保2.0標準確定的核心防御技術，飛騰PSPA實現(xiàn)了可信計算3.0的安全架構，真正將安全可信做到了“芯內(nèi)”。

PSPA1.0從十個方面定義了安全處理器中涉及的軟硬件功能和屬性，包括密碼加速引擎、密鑰管理、可信啟動、可信執(zhí)行環(huán)境、安全存儲、固件管理、量產(chǎn)注入、生命周期管理、抗物理攻擊和硬件漏洞免疫，涉及芯片的硬件設計、固件設計、量產(chǎn)等多個方面，對密碼算法、可信計算、全周期管理、抗攻擊、生產(chǎn)安全等方面均有全面的考慮和解決方案。

從國家互聯(lián)網(wǎng)應急中心(CNCERT)發(fā)布的報告可以看出，隨著網(wǎng)絡攻擊日益常態(tài)化、嚴峻化，安全已經(jīng)成為各行各業(yè)的“強需求”。PSPA宛如“疫苗”一樣，為計算機構筑起一道牢固的安全屏障，守護數(shù)據(jù)安全。

值得注意的是，在PSPA1.0正式發(fā)布之前，飛騰就已經(jīng)在高效能桌面芯片F(xiàn)T-2000/4的設計中貫穿了PSPA1.0的相關要求，進行了產(chǎn)品層面的實驗驗證。2019年9月首發(fā)的FT-2000/4在內(nèi)置安全性方面擁有獨到創(chuàng)新，從CPU層面為可信計算提供了有效支撐。2020年12月推出的8核桌面CPU飛騰騰銳D2000也支持PSPA1.0規(guī)范。這兩款CPU已成為飛騰的“明星產(chǎn)品”，廣泛應用于政務、金融、交通、電力等重要領域。

“CPU疫苗”應用進行時

疫苗研究出來了，得讓大多數(shù)人用起來，才能增強身體免疫力。同理，“CPU疫苗”只有實現(xiàn)落地應用，才能發(fā)揮其真正價值，真正做到為網(wǎng)絡安全保駕護航。

飛騰高度重視可信計算產(chǎn)業(yè)的生態(tài)建設。依托自主定義的安全可信架構規(guī)范，以及日益豐富的安全CPU產(chǎn)品譜系，飛騰廣泛聯(lián)手合作伙伴壯大安全可信生態(tài)圈，共同打造本質(zhì)安全的聯(lián)合解決方案，助推信創(chuàng)產(chǎn)業(yè)安全體系的構建和PSPA的落地應用。

為切實解決從設備硬件到固件、操作系統(tǒng)以及業(yè)務應用的整體可信安全問題，為政務、能源、交通、金融等行業(yè)的關鍵信息基礎設施提供端到端的安全可信計算解決方案，2021年飛騰攜手北京計算機技術及應用研究所、麒麟軟件、可信華泰、中電科技推出了PSPA可信計算聯(lián)合解決方案，并已經(jīng)在相關部門的業(yè)務管理系統(tǒng)的計算機終端落地應用。該落地項目以飛騰可信核為基礎構建了片內(nèi)可信根，實現(xiàn)了主動免疫的防御能力。北京計算機技術及應用研究所攜手生態(tài)伙伴，基于飛騰網(wǎng)安版FT-2000/4及PSPA1.0研發(fā)了符合可信計算3.0標準的可信計算機終端，內(nèi)置在CPU中的安全機制得到了充分的應用。

該聯(lián)合解決方案代表了可信計算3.0新一代創(chuàng)新的軟硬件技術路線，由飛騰CPU等內(nèi)置硬件提供支撐，減少對外部擴展的依賴，全面提升了計算性能、安全性、集成度以及兼容性，真正實現(xiàn)了最深層的內(nèi)生免疫能力，使得可信計算3.0的軟硬件產(chǎn)品的可用性、易用性得到了大幅度提升，為可信計算產(chǎn)品大范圍應用推廣奠定了堅實的基礎。

此外，飛騰攜手大唐高鴻信安推出了基于PSPA安全架構標準的可信系統(tǒng)聯(lián)合解決方案，已榮獲由中國電子工業(yè)標準化技術協(xié)會“信創(chuàng)工委會”頒發(fā)的“信創(chuàng)安全優(yōu)秀解決方案”獎。

“有了PSPA這個免疫系統(tǒng)，計算機終端的安全更有保障了?！憋w騰某生態(tài)伙伴表示。

PSPA2.0即將發(fā)布

數(shù)字經(jīng)濟將囊括經(jīng)濟、社會、生活的方方面面，信息安全將面臨前所未有的挑戰(zhàn)?！笆奈濉币?guī)劃綱要指出，要維護新型領域安全，全面加強網(wǎng)絡安全保障體系和能力建設。

2022年是實施“十四五”規(guī)劃的關鍵之年，飛騰將進一步加強安全前沿技術的研究，包括處理器微架構安全一體化防護技術、面向虛擬化場景的輔助安全技術、高安全等級芯片的物理安全防護技術等;飛騰將推出PSPA2.0規(guī)范，擴展PSPA安全機制覆蓋范圍，提高PSPA安全機制支撐強度，進一步提升內(nèi)生安全能力，有效護航信息安全。

據(jù)透露，PSPA2.0規(guī)范將率先用于即將發(fā)布的飛騰騰瓏E2000。飛騰后續(xù)的CPU設計，無論是面向服務器的(飛騰騰云S系列)、面向桌面的(飛騰騰銳D系列)，還是面向嵌入式的(飛騰騰瓏E系列)，都將全面支持PSPA2.0安全架構規(guī)范，使得內(nèi)生安全技術的覆蓋面越來越廣。

毋庸置疑，隨著國產(chǎn)CPU的“疫苗”不斷推出加強版，自主算力系統(tǒng)的穩(wěn)定運行必將堅如磐石。

原文標題：國產(chǎn)CPU的免疫系統(tǒng)是怎樣煉成的

文章出處：【微信公眾號：電子發(fā)燒友網(wǎng)】歡迎添加關注!文章轉(zhuǎn)載請注明出處。

審核編輯：湯梓紅