近日，海光信息技術股份有限公司（以下簡稱“海光”）針對CPU安全功能進行更新，在海光通用處理器CPU上內置安全功能模塊，用戶可通過在海光官網下載根目錄證書對海光安全功能進行更新，從而啟動CPU中部分安全模塊功能。

在數據流轉和存儲等應用場景中，數據傳輸與管理具有比較高的加密要求，在這種情況下，需要采用軟硬件相配合的加密技術對信息進行加密管理。由于硬件加密可靠性更高，英特爾、AMD等國際頭部CPU廠商，均在相關產品中設計了硬件加密功能。在數據中心場景中，部分用戶為滿足該場景下密碼應用級別需要，會在服務器中配置額外的加密卡。這樣的方式，將在一定程度上損失服務器自身的數據計算和傳輸效率。

在近日的一場業內交流活動中，海光信息安全技術專家何良杰分享了他們在芯片安全性能上的成果和最新進展。何良杰介紹稱，海光CPU在設計中加入了獨立安全處理器，其中由CCP運算單元充當密碼加速引擎，以硬件真隨機數的方法提升加密能力。安全處理器具有更高的安全權限，用來實現芯片的安全管理。同時，CPU內的單獨安全處理器內核，也可降低密碼運算對CPU主核運算資源的占用，從而提升CPU整體運算速度。

據了解，海光推出的處理器安全計算架構CSCA（C86 Security Computing Architecture）涵蓋安全密鑰、安全處理器、安全啟動、安全存儲、密鑰管理及使用、動態度量保護、內存加密、機密計算、密碼計算、可信計算標準支持、芯片安全防護等11項安全技術。專家稱，綜合選用這些技術，可以實現從底層固件到上層應用軟件的整體安全，從而替代服務器供應商原本采用的外置加密卡。

其中，安全密鑰技術指的是處理器中需要安全密鑰實現一些非常重要的安全功能，比如安全啟動。安全啟動功能使用芯片內置的密鑰對固件進行驗簽和解密，保證只有合法的固件才能在芯片上運行。芯片的安全密鑰由芯片廠商管理，必須保證這些密鑰不被泄露或者竊取。海光處理器通過芯片中的安全密鑰實現安全啟動等功能，保證非法的固件不能在海光芯片上運行。通過安全的密鑰注入和管理流程，確保芯片的安全密鑰在燒錄、使用的各個階段不會被泄露或者竊取。

安全存儲是當前市面上CPU頭部企業都十分注重的安全技術。信息系統安全的核心是數據安全，內存加密、機密計算等技術保證了數據在內存中的安全，當大量數據完成運算離開內存存儲到硬盤等外部介質中時，同樣需要保證其安全性，使非法用戶即使獲取到硬盤，也無法得到其中的數據。海光CPU采用業內主流的基于可信計算模塊TPM來保存數據加密密鑰的方案，將密鑰的可用狀態與系統可信狀態綁定，只有當系統未被篡改處于可信狀態時密鑰才能被使用，保證了密鑰的安全。

動態度量保護技術是相較于傳統的靜態度量技術而言的。靜態度量技術，能夠保護程序啟動時的安全，但無法保證程序運行能夠持續安全。而運行時外部對程序的篡改攻擊將給系統帶來了不可忽視的安全隱患。海光CPU提供的動態度量保護功能可以在程序運行時持續的對程序進行度量監控，在檢測到異常時及時采取相應的安全應對措施。靜態度量與動態度量的有機結合可以為系統提供全方位保護。