国产CPU的免疫系统是怎样炼成的 2016年4月19日

文章图片
2016年4月19日，习总书记强调指出，要树立正确的网络安全观，加快构建关键信息基础设施安全保障体系，增强网络安全防御能力和威慑能力。正确的网络安全观即总书记倡导的“总体国家安全观” ，是指网络安全是整体的而不是割裂的，网络安全对国家安全牵一发而动全身，没有网络安全就没有国家安全。
众所周知，安全已经是万物互联智能时代的核心需求， CPU作为无处不在的算力基石，其本身的安全性尤为重要， CPU自身不安全就无法实现网络安全。正值习总书记“4?19”重要讲话六周年之际，纵观国内CPU厂商，对安全的重视程度、投入力度参差不齐。有的厂商已经开始积极探索系统化、全局化的CPU安全机制，开创性地提出了CPU安全的相关标准，从CPU层面实现了国产计算机系统自底向上的本质安全，宛如“疫苗”一样为计算机构筑起一道牢固的安全屏障。
敢为人先谋CPU安全
国家互联网应急中心（CNCERT）发布的《2021年上半年我国互联网网络安全监测数据分析报告》显示，国家信息安全漏洞共享平台（CNVD）收录通用型安全漏洞13083个，同比增长18.2% 。其中，零日漏洞收录数量为7107个，占总收录漏洞数量的54.3% ，同比大幅增长55.1% 。这些漏洞在披露时尚未发布补丁或相应的应急措施，严重威胁我国网络空间安全。
严峻的网络安全形势，对国产CPU提出了更高的挑战。而6年前，国产CPU的性能与国外厂商的整体差距还比较大，国内芯片厂商主要将研发重点放在性能的追赶上。
彼时，飞腾CPU在信创圈还是一个“新人” ，知之者甚少。 2016年4月19日习总书记的重要讲话使飞腾CPU研发团队意识到网络安全责任重大，于是在后续产品的研发设计中除了注重性能突破之外，还把安全提升到了极其重要的位置。
“自主不等于安全，高性能也不代表高安全。 ”飞腾信息技术有限公司副总经理郭御风表示， CPU设计除了要自主正向设计封堵后门之外，还需要通过系统的主动安全设计对漏洞风险进行免疫，探索如何将安全设计理念融入到国产CPU设计的方方面面，在处理器设计的整个流程中贯穿安全设计的思想，从架构上、软硬件总体上去把握，通过防后门、堵漏洞，真正将安全植入到“芯内”去。
凡事预则立，不预则废。正是秉承这样的安全理念，以“聚焦信息系统核心芯片，支撑国家信息安全与产业发展”为使命，从2016年到2019年，飞腾一直在谋划、制定安全架构规范，设计研发主动免疫的可信计算CPU 。飞腾安全技术团队对处理器安全及其相关领域进行了广泛研究与前沿探索，涉及处理器安全微架构设计、侧信道攻击与防御、固件安全和虚拟化安全等诸多方向。敢为人先谋安全，也为飞腾CPU在信创市场后来居上打下了扎实的根基。
PSPA“疫苗”筑牢安全屏障
作为信息系统的安全基石， CPU如何真正做到防后门、堵漏洞？
经过三年多的思考、设计、迭代， 2019年12月19日，飞腾公司制定的国内首个处理器安全架构规范PSPA1.0（PhytiumSecurityPlatformArchitecture）正式亮相，这也是国产CPU企业首次发布CPU层面的安全架构规范，从CPU层面实现了国产计算机系统自底向上的本质安全。可信计算3.0是我国网络安全等保2.0标准确定的核心防御技术，飞腾PSPA实现了可信计算3.0的安全架构，真正将安全可信做到了“芯内” 。
PSPA1.0从十个方面定义了安全处理器中涉及的软硬件功能和属性，包括密码加速引擎、密钥管理、可信启动、可信执行环境、安全存储、固件管理、量产注入、生命周期管理、抗物理攻击和硬件漏洞免疫，涉及芯片的硬件设计、固件设计、量产等多个方面，对密码算法、可信计算、全周期管理、抗攻击、生产安全等方面均有全面的考虑和解决方案。