日前,由螞蟻集團聯合多家單位共同發起的安全可信開源系統軟件棧“星綻”,在京聯合對外發布。作為“星綻”開源生態的重要合作方之一,海光信息副總裁應志偉應邀出席活動,并圍繞CPU安全就構建安全可信的開源開放新生態體系作出前瞻分享。

應對安全技術新挑戰

中國工程院院士倪光南為活動致辭時表示,“近年來,全球系統安全漏洞頻發,網絡攻擊和黑灰產業的事件頻發,傳統的技術路線難以高效應對新的安全挑戰。安全可信的新技術已成為推動產業可持續發展和技術持續創新的關鍵。同時,隨著人工智能技術深入落地產業,保障安全的數據流通更需要適配安全可靠的系統軟件棧的支撐。”

發布現場,各方基于操作系統領域安全與性能如何兼容這一核心技術挑戰,展開熱烈探討。海光信息副總裁應志偉從芯片側實踐出發,在分享中表示,機密計算技術近年來越來越受到重視,其中,CPU安全已經成為密算產業發展的新趨勢和新基石。

據了解,機密計算技術,基于硬件的可信執行環境(TEE)構建隔離的“安全飛地”,保護數據在處理過程中的安全性和隱私性,可以為實現密態計算所要求的數據流轉全鏈路安全保障能力提供關鍵技術支撐。

目前,包括英特爾、AMD、海光、阿里、微軟在內的全球主流芯片和云廠商均在積極布局這項技術。應志偉透露,通過CPU等核心硬件對虛擬機做加密,進而實現機密計算服務升級,已經是主流廠商的共同選擇,海光在CPU安全技術上已達到業界領先。

多維打造CPU底層安全

現場,應志偉分享了海光CPU密碼學計算能力、海光機密計算以及海光實踐的安全解決方案,深入講解了國產CPU如何從底層保障安全可信的軟硬件生態構建。

他介紹,CPU內置密碼模塊已經成為整個國密行業的新趨勢,海光目前將密碼加速引擎和秘鑰管理兩大模塊都集成到了CPU內部,相比傳統的外置密碼卡,海光的方案成本更低、性能更好、安全度更高。

目前,海光密碼技術還具備良好的兼容性,與國產OS基本都實現了適配。不僅如此,海光還通過技術研發創新,成功解決了密碼計算中的CPU性能調度問題。

據了解,海光C86-4G處理器的加/解密性能更加強悍,其內置的CCP協處理器,在SM2、SM3、SM4簽名速度上分別提升了71%、68%、71%。同時,C86-4G提供SM3、SM4國密指令集,相較于純軟件實現國密算法,SM3實現45%的提升,而SM4加密提升3倍,解密則提升至驚人的10倍。

在機密計算領域,海光技術已經發展到第三代,除了簡單的內存加密或者虛擬機的加密隔離之外,海光通過CSV形成了一整套完整的機密計算解決方案,包括計算隔離、硬盤加密、密鑰封印、加密容器、異構加速等,確保了所有數據形態的安全使用。

針對備受關注的人工智能大模型安全問題,應志偉也分享了海光的解決方案。

目前,海光通過CPU與DCU的異構方式,來進行大模型的常規應用,兩大產品安全通道相互連接,可以把CPU和DCU的安全域融合。大模型在海光機密計算環境跑通時,會被內存加密和安全隔離,不會被其他的操作系統或其他的軟件所看見,充分保證了數據安全。

應志偉表示,海光在C86處理器研發初期就認識到機密計算技術的重要性,并將其融入到處理器的設計之中,以增強數據流通和存儲過程中的安全性,現已在CPU安全技術上實現絕對領先,未來將繼續與星綻等產業鏈伙伴保持緊密合作,長期推動密算產業發展,共同構筑安全可信的國產開放生態。（麗娜）