海光亮相龍蜥安全會議,打破芯片加密“不可能三角”

近日,龍蜥大會安全閉門會正式在北京召開,來自業(yè)內(nèi)的40+位安全領(lǐng)域?qū)＜揖凼?共同探討軟硬件安全生態(tài)建設(shè)。會上,海光全方位展示了CPU密碼安全技術(shù),憑借低成本、高安全、高效率等優(yōu)勢,成功打破計算加密的“不可能三角”,再次刷新了國產(chǎn)硬件安全水平。

“過去我們在進行信息處理的過程中,主要采用軟加密或者專用加密設(shè)備等解決方案”。海光信息安全技術(shù)專家何良杰指出,這兩種加密方式各有其優(yōu)勢,但也同時存在著成本、安全和效率之間的矛盾。

比如采用軟加密方案時,采購成本相對較低,但是安全性和運行效率都很難達標(biāo);而采用加密卡、加密機等專用設(shè)備時,成本又會變得很高,并且還會面臨密碼運算瓶頸,無法實現(xiàn)彈性擴容等問題,在云端計算場景中很難直接應(yīng)用。

“所以我們在CPU安全設(shè)計中引入了一種新型解決方案”,何良杰透露,海光CPU在內(nèi)部集成了密碼學(xué)協(xié)處理器 (CCP),底層C86指令集可支持密碼學(xué)指令,同時通過密碼運算加速、密鑰管理和HCT等技術(shù),為云上和大數(shù)據(jù)加密等場景帶來更先進的解決方案。

據(jù)何良杰介紹,相較于傳統(tǒng)加密方式,海光CPU的密碼技術(shù)具備六大核心優(yōu)勢:

第一,適用性強。海光在信創(chuàng)安全領(lǐng)域具備豐富的技術(shù)應(yīng)用經(jīng)驗,并且在項目推進過程中對國密等技術(shù)能力進行了統(tǒng)籌升級,這讓海光CPU可適配于信創(chuàng)全場景需求;

第二,性能卓越。海光可信密碼模塊簽名驗簽功能的性能,達到了傳統(tǒng)加密卡的3倍左右,在SM3、SM4等算法場景中運算優(yōu)勢明顯;

第三,安全穩(wěn)定。傳統(tǒng)加密卡多采用外掛形式,在一些場景運行下存在穩(wěn)定性問題,海光可信密碼模塊直接內(nèi)置于CPU內(nèi)部,讓使用過程變得更安全、更穩(wěn)定;

第四,兼容性好。海光CPU支持容器和虛擬機等部署場景,且兼容K8S、OpenStack等云平臺管理工具,可實現(xiàn)快速靈活的動態(tài)擴容;

第五,軟件生態(tài)良好。海光CPU提供標(biāo)準(zhǔn)SDF接口,并通過HCT engine封裝了密碼協(xié)處理器的用戶接口,可支持主流的密碼套件,實現(xiàn)無縫遷移;

第六,采購成本低。海光CPU用戶可以盤活當(dāng)前已有的國密計算資源,無需額外采購密碼卡等基礎(chǔ)硬件,可直接進行方案升級。

根據(jù)業(yè)內(nèi)反饋,海光密碼技術(shù)方案的應(yīng)用價值,不僅已經(jīng)在用戶場景中充分顯現(xiàn),并且還得到了產(chǎn)業(yè)上下游的廣泛認可。

此次大會上,格爾軟件的與會代表還分享了基于海光平臺的商用密碼應(yīng)用與實踐。他介紹,通過海光CPU與國產(chǎn)操作系統(tǒng)的完美兼容,雙方在項目中達到了高安全性標(biāo)準(zhǔn),并展現(xiàn)出絕佳的性能優(yōu)勢,整體運行效果受到客戶團隊的一致好評。

目前,海光CPU憑借安全、性能、生態(tài)等方面的綜合優(yōu)勢,已廣泛應(yīng)用于交通運輸、互聯(lián)網(wǎng)、金融、能源和通信等各大主流行業(yè),出貨量占比穩(wěn)居市場前列。

據(jù)悉,海光作為龍蜥社區(qū)安全聯(lián)盟成員單位,后續(xù)將重點參與到硬件合作計劃中,為驅(qū)動行業(yè)創(chuàng)新發(fā)展、共建硬件安全生態(tài)貢獻力量。