深度解讀：龍芯CPU何以鑄就信息領(lǐng)域安全邊疆？

8月5日，龍芯中科聯(lián)合衛(wèi)士通發(fā)布了龍芯安全模塊及SDK。

今天，我們?yōu)榇蠹規(guī)砩疃燃夹g(shù)解讀，帶您從技術(shù)角度走進(jìn)最新產(chǎn)品，深度了解龍芯CPU內(nèi)生安全體系！

1、自主和安全的深度結(jié)合

龍芯是自研CPU標(biāo)桿企業(yè)，有20年的研發(fā)和產(chǎn)業(yè)推廣歷史。龍芯堅(jiān)持“從每一行源代碼設(shè)計(jì)”的自主研發(fā)路線，掌握CPU核心設(shè)計(jì)能力。經(jīng)過近20年的積累，龍芯基本完成技術(shù)“補(bǔ)課”?，F(xiàn)有產(chǎn)品龍芯3A4000/3B4000基于28nm工藝，與AMD公司28nm工藝最后產(chǎn)品“挖掘機(jī)”性能相當(dāng)。在研的3A5000/3C5000將達(dá)到目前AMD市場主流產(chǎn)品水平。

信息安全是創(chuàng)新發(fā)展的重要保障，CPU成為構(gòu)建網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)體系的起點(diǎn)和根基。2020年8月5日，龍芯中科聯(lián)手合作伙伴發(fā)布了龍芯安全模塊及SDK，并推出了龍芯CPU芯片級(jí)內(nèi)生安全體系，代表我國在安全方面的兩支隊(duì)伍——“自主設(shè)計(jì)”隊(duì)伍和“安全可信”隊(duì)伍的會(huì)師。兩支隊(duì)伍經(jīng)過幾年的交流達(dá)成共識(shí)，自主的不一定安全，但不自主一定不安全。正確的做法是在自主設(shè)計(jì)的基礎(chǔ)上，加上從可信根開始的可信機(jī)制與安全保密機(jī)制。

龍芯3A4000/3B4000在CPU芯片內(nèi)集成了漏洞防范設(shè)計(jì)、硬件國密算法、安全可信模塊與安全訪問控制機(jī)制，已初步實(shí)現(xiàn)“自主設(shè)計(jì)”和“安全可信”的深度融合。

2、龍芯CPU安全體系

龍芯CPU安全體系的基礎(chǔ)是龍芯芯片級(jí)的內(nèi)生安全機(jī)制，包括四個(gè)方面，分別是漏洞防范設(shè)計(jì)、硬件國密算法、安全可信模塊、安全訪問控制。

基于龍芯芯片級(jí)的內(nèi)生安全機(jī)制，建立起上層的安全生態(tài)。

◆ 基礎(chǔ)安全體系：包括安全固件、可信計(jì)算支撐體系、工控安全支撐體系。

◆ 基礎(chǔ)硬件設(shè)施：包括各種終端電腦、服務(wù)器、網(wǎng)絡(luò)安全設(shè)備（例如堡壘機(jī)、VPN、防火墻、交換機(jī)等）、密碼設(shè)備（例如密碼機(jī)、密碼卡、USBKey、密碼CA等）。

◆ 安全操作系統(tǒng)：為應(yīng)用程序提供運(yùn)行環(huán)境，制定應(yīng)用安全審核、內(nèi)核安全接口、以及自主訪問控制等標(biāo)準(zhǔn)規(guī)范。

◆ 安全平臺(tái)軟件：是信息網(wǎng)絡(luò)安全等級(jí)保護(hù)規(guī)范要求的產(chǎn)品，種類繁多，包括安全瀏覽器、防病毒軟件、安全電子郵件、電子文檔管理、安全網(wǎng)絡(luò)會(huì)議、視頻監(jiān)控系統(tǒng)、安全登錄、以及各類審計(jì)管理系統(tǒng)。

3、漏洞防范設(shè)計(jì)

龍芯掌握CPU核心設(shè)計(jì)能力，芯片設(shè)計(jì)源代碼全部自主研發(fā)，在設(shè)計(jì)過程中主動(dòng)防范芯片漏洞、消除后門隱患。

CPU是復(fù)雜巨系統(tǒng)，只有通過自主研發(fā)的實(shí)踐才能真正把握核心技術(shù)。2016年發(fā)現(xiàn)的“熔斷”和“幽靈”漏洞影響全球大量Intel、ARM處理器。“熔斷”和“幽靈”漏洞屬于芯片硬件設(shè)計(jì)缺陷，無法通過軟件打補(bǔ)丁或者操作系統(tǒng)升級(jí)的方法修復(fù)。即使Intel、ARM自己對(duì)CPU的復(fù)雜性引起的漏洞都難以完全把握，到2020年仍然發(fā)現(xiàn)多款引進(jìn)的ARM處理器型號(hào)存在幽靈漏洞。

龍芯3A4000/3B4000及后續(xù)型號(hào)都實(shí)現(xiàn)對(duì)“熔斷”和“幽靈”漏洞免疫。龍芯走自研CPU的路線，看得懂、改得動(dòng)，能夠從流水線、緩存、轉(zhuǎn)移猜測等關(guān)鍵機(jī)理上分析漏洞、規(guī)避問題。龍芯是國內(nèi)處理器中最早發(fā)布免疫CPU型號(hào)的廠商。龍芯通過硬件的方式防范漏洞，性能沒有明顯降低。

4、硬件國密算法

密碼是國家重要戰(zhàn)略資源，是保障網(wǎng)絡(luò)與信息安全的核心技術(shù)和基礎(chǔ)支撐?！吨腥A人民共和國密碼法》于2020年1月1日正式施行，旨在規(guī)范密碼應(yīng)用和管理，促進(jìn)密碼事業(yè)發(fā)展，保障網(wǎng)絡(luò)與信息安全，提升密碼管理科學(xué)化、規(guī)范化、法治化水平，是我國密碼領(lǐng)域的綜合性、基礎(chǔ)性法律。

龍芯3A4000/3B4000是目前唯一通過國家商密二級(jí)型號(hào)認(rèn)證的CPU。龍芯3A4000/3B4000內(nèi)置安全模塊，集成硬件加解密算法。安全模塊獨(dú)立于處理器核工作，提供硬件密碼引擎、密鑰管理、安全存儲(chǔ)與隨機(jī)數(shù)發(fā)生等功能。安全模塊支持國密算法SM2/SM3/SM4，可以取代外置密碼卡。相比于使用軟件進(jìn)行加解密的方式，CPU硬件的加解密性能有數(shù)量級(jí)的提高，實(shí)際測試超過2Gbps。

安全模塊的開發(fā)庫（SDK）可以提供給廠商做定制開發(fā)。基礎(chǔ)SDK提供最基礎(chǔ)的密碼能力；通用密碼中間件基于安全模塊提供統(tǒng)一的密碼運(yùn)算接口，滿足多種應(yīng)用對(duì)密碼功能的調(diào)用需求；國密SSL基于安全模塊提供符合OpenSSL框架的國密算法和國密協(xié)議。

龍芯在商用密碼領(lǐng)域具有高安全、低成本、易使用、輕改造和強(qiáng)合規(guī)等特點(diǎn)。龍芯CPU與密碼融合設(shè)計(jì)，可以在確保安全的前提下發(fā)揮最大效能。在商密、等保領(lǐng)域，龍芯安全性有明顯優(yōu)勢(shì)。

5、安全可信模塊

安全可信是囯家網(wǎng)絡(luò)安全法律、戰(zhàn)略和等保制度的明確要求。計(jì)算機(jī)結(jié)構(gòu)無防護(hù)機(jī)理及部件的先天性缺陷，導(dǎo)致傳統(tǒng)的“封堵查”老三樣被動(dòng)防御難以應(yīng)對(duì)嚴(yán)峻的安全形勢(shì)。主動(dòng)免疫可信計(jì)算是指計(jì)算運(yùn)算的同時(shí)進(jìn)行安全防護(hù)。

龍芯3A4000/3B4000內(nèi)部集成安全可信管理功能，可以在硬件層面實(shí)現(xiàn)基于國密算法進(jìn)行可信計(jì)算，取代外置可信芯片。龍芯支持可信管理功能內(nèi)置于CPU芯片的整機(jī)設(shè)備，操作系統(tǒng)層部署可信軟件基，由可信節(jié)點(diǎn)和可信管理中心共同組建可信系統(tǒng)。

基于龍芯CPU芯片的可信計(jì)算解決方案已經(jīng)在桌面電腦、服務(wù)器、工業(yè)控制等領(lǐng)域構(gòu)建了實(shí)際案例，在各行業(yè)廣泛應(yīng)用。

6、安全訪問控制

龍芯支持流水線級(jí)別的安全訪問控制環(huán)境，實(shí)現(xiàn)CPU本質(zhì)安全的新型安全防御機(jī)制。

龍芯3A4000/3B4000在CPU核內(nèi)增加安全功能，可以監(jiān)督內(nèi)部模塊行為、上層BIOS/操作系統(tǒng)行為。例如，“影子棧”機(jī)制可以防范內(nèi)核棧溢出攻擊，獨(dú)立的內(nèi)存防護(hù)單元可以保護(hù)敏感內(nèi)存區(qū)間不被修改，I/O防護(hù)機(jī)制可以對(duì)外設(shè)的訪問進(jìn)行監(jiān)管。

龍芯安全訪問控制環(huán)境相當(dāng)于“把紀(jì)檢組派到辦公室”，實(shí)現(xiàn)了CPU注重效率和增強(qiáng)本質(zhì)安全的有機(jī)融合，安全性進(jìn)一步提高，性能也進(jìn)一步提高，同時(shí)大幅度降低整機(jī)成本。龍芯在自主研發(fā)過程中形成“聽黨指揮”的技術(shù)能力，成為確保信息安全“槍桿子”。

7、龍芯安全解決方案

龍芯致力于建設(shè)生態(tài)體系，聯(lián)合安全固件、網(wǎng)安/密碼設(shè)備、安全操作系統(tǒng)、安全瀏覽器、等級(jí)保護(hù)2.0等產(chǎn)品廠商共同研發(fā)解決方案。

◆ 安全固件：為龍芯計(jì)算平臺(tái)提供安全引導(dǎo)和運(yùn)行環(huán)境。安全固件可實(shí)現(xiàn)六方面功能，包括安全引導(dǎo)、數(shù)據(jù)保護(hù)、身份認(rèn)證、可信度量、可信恢復(fù)、配置管理。

◆ 安全操作系統(tǒng)：在安全掃描與攻防、應(yīng)用商店簽名與審核、終端安全中心建設(shè)、安全性測試標(biāo)準(zhǔn)制定、漏洞跟蹤與報(bào)告流程等方面形成了自己的技術(shù)能力和體系，在保持良好使用體驗(yàn)和性能的條件下捍衛(wèi)用戶系統(tǒng)安全。

◆ 龍芯平臺(tái)瀏覽器：現(xiàn)已完成國密改造，支持國密證書，可以訪問國密網(wǎng)關(guān)、國密Web服務(wù)器。瀏覽器調(diào)用龍芯硬件國密算法，相比以前采用軟件的計(jì)算方式，SM3散列性能提升14倍，SM4性能提升20倍。

◆ 網(wǎng)絡(luò)安全設(shè)備：可以采用龍芯1A、1B、2H、2K、3A系列處理器，滿足低、中、高不同檔次需求。國內(nèi)一線安全設(shè)備廠商所提供的龍芯產(chǎn)品包括交換機(jī)、路由器、VPN、防火墻、堡壘機(jī)、網(wǎng)閘、負(fù)載均衡等。

◆ 密碼設(shè)備：可以采用龍芯CPU研制密碼服務(wù)器、通訊加密機(jī)、CA服務(wù)器等，利用龍芯硬件密碼功能實(shí)現(xiàn)加解密運(yùn)算，已批量應(yīng)用于多個(gè)領(lǐng)域。

◆ 工控安全領(lǐng)域：采用龍芯實(shí)現(xiàn)可信方案，基于龍芯2K1000、3A4000等實(shí)現(xiàn)安全可信PLC控制器，是實(shí)現(xiàn)制造業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化的關(guān)鍵設(shè)備。

◆ 龍芯全線適配等級(jí)保護(hù)2.0安全產(chǎn)品：目前，龍芯已與國內(nèi)超過50家專業(yè)安全軟件廠商合作，龍芯平臺(tái)上已經(jīng)適配的產(chǎn)品超過500種，類型覆蓋防病毒軟件、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)、網(wǎng)頁防篡改系統(tǒng)、數(shù)據(jù)防泄漏系統(tǒng)等，可以全面滿足等級(jí)保護(hù)2.0要求。

8、筑造信息安全邊疆

龍芯實(shí)現(xiàn)自主和安全的深度融合。龍芯處理器核心的微結(jié)構(gòu)和物理設(shè)計(jì)全部自主研發(fā)，取得數(shù)百項(xiàng)專利，知識(shí)產(chǎn)權(quán)自主掌握，有能力從根源上規(guī)避漏洞。龍芯研發(fā)團(tuán)隊(duì)全部在國內(nèi)，核心骨干有二十年研發(fā)背景，是真正掌握CPU設(shè)計(jì)技術(shù)的科技隊(duì)伍。龍芯有長遠(yuǎn)的處理器、橋片、顯卡等核心設(shè)備發(fā)展戰(zhàn)略和藍(lán)圖。龍芯堅(jiān)持建設(shè)“從端到云”的開放生態(tài)，帶動(dòng)產(chǎn)業(yè)鏈廠商共同提高技術(shù)和服務(wù)能力，帶動(dòng)行業(yè)和區(qū)域產(chǎn)業(yè)鏈廣泛合作。

發(fā)展自主CPU、建立自主信息技術(shù)體系和產(chǎn)業(yè)生態(tài)，是國家的需要、時(shí)代的需要。信息技術(shù)應(yīng)用創(chuàng)新面臨前所未有的機(jī)遇，龍芯將與安全廠商相向而行，共同筑造信息安全邊疆！