深度解读:龙芯CPU何以铸就信息领域安全边疆?
扫描二维码
随时随地手机看文章
8月5日,龙芯中科联合卫士通发布了龙芯安全模块及SDK。
今天,我们为大家带来深度技术解读,带您从技术角度走进最新产品,深度了解龙芯CPU内生安全体系!
1、自主和安全的深度结合
龙芯是自研CPU标杆企业,有20年的研发和产业推广历史。龙芯坚持“从每一行源代码设计”的自主研发路线,掌握CPU核心设计能力。经过近20年的积累,龙芯基本完成技术“补课”。现有产品龙芯3A4000/3B4000基于28nm工艺,与AMD公司28nm工艺最后产品“挖掘机”性能相当。在研的3A5000/3C5000将达到目前AMD市场主流产品水平。
信息安全是创新发展的重要保障,CPU成为构建网络信息系统安全防护体系的起点和根基。2020年8月5日,龙芯中科联手合作伙伴发布了龙芯安全模块及SDK,并推出了龙芯CPU芯片级内生安全体系,代表我国在安全方面的两支队伍——“自主设计”队伍和“安全可信”队伍的会师。两支队伍经过几年的交流达成共识,自主的不一定安全,但不自主一定不安全。正确的做法是在自主设计的基础上,加上从可信根开始的可信机制与安全保密机制。
龙芯3A4000/3B4000在CPU芯片内集成了漏洞防范设计、硬件国密算法、安全可信模块与安全访问控制机制,已初步实现“自主设计”和“安全可信”的深度融合。
2、龙芯CPU安全体系
龙芯CPU安全体系的基础是龙芯芯片级的内生安全机制,包括四个方面,分别是漏洞防范设计、硬件国密算法、安全可信模块、安全访问控制。
基于龙芯芯片级的内生安全机制,建立起上层的安全生态。
◆ 基础安全体系:包括安全固件、可信计算支撑体系、工控安全支撑体系。
◆ 基础硬件设施:包括各种终端电脑、服务器、网络安全设备(例如堡垒机、VPN、防火墙、交换机等)、密码设备(例如密码机、密码卡、USBKey、密码CA等)。
◆ 安全操作系统:为应用程序提供运行环境,制定应用安全审核、内核安全接口、以及自主访问控制等标准规范。
◆ 安全平台软件:是信息网络安全等级保护规范要求的产品,种类繁多,包括安全浏览器、防病毒软件、安全电子邮件、电子文档管理、安全网络会议、视频监控系统、安全登录、以及各类审计管理系统。
3、漏洞防范设计
龙芯掌握CPU核心设计能力,芯片设计源代码全部自主研发,在设计过程中主动防范芯片漏洞、消除后门隐患。
CPU是复杂巨系统,只有通过自主研发的实践才能真正把握核心技术。2016年发现的“熔断”和“幽灵”漏洞影响全球大量Intel、ARM处理器。“熔断”和“幽灵”漏洞属于芯片硬件设计缺陷,无法通过软件打补丁或者操作系统升级的方法修复。即使Intel、ARM自己对CPU的复杂性引起的漏洞都难以完全把握,到2020年仍然发现多款引进的ARM处理器型号存在幽灵漏洞。
龙芯3A4000/3B4000及后续型号都实现对“熔断”和“幽灵”漏洞免疫。龙芯走自研CPU的路线,看得懂、改得动,能够从流水线、缓存、转移猜测等关键机理上分析漏洞、规避问题。龙芯是国内处理器中最早发布免疫CPU型号的厂商。龙芯通过硬件的方式防范漏洞,性能没有明显降低。
4、硬件国密算法
密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。《中华人民共和国密码法》于2020年1月1日正式施行,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。
龙芯3A4000/3B4000是目前唯一通过国家商密二级型号认证的CPU。龙芯3A4000/3B4000内置安全模块,集成硬件加解密算法。安全模块独立于处理器核工作,提供硬件密码引擎、密钥管理、安全存储与随机数发生等功能。安全模块支持国密算法SM2/SM3/SM4,可以取代外置密码卡。相比于使用软件进行加解密的方式,CPU硬件的加解密性能有数量级的提高,实际测试超过2Gbps。
安全模块的开发库(SDK)可以提供给厂商做定制开发。基础SDK提供最基础的密码能力;通用密码中间件基于安全模块提供统一的密码运算接口,满足多种应用对密码功能的调用需求;国密SSL基于安全模块提供符合OpenSSL框架的国密算法和国密协议。
龙芯在商用密码领域具有高安全、低成本、易使用、轻改造和强合规等特点。龙芯CPU与密码融合设计,可以在确保安全的前提下发挥最大效能。在商密、等保领域,龙芯安全性有明显优势。
5、安全可信模块
安全可信是囯家网络安全法律、战略和等保制度的明确要求。计算机结构无防护机理及部件的先天性缺陷,导致传统的“封堵查”老三样被动防御难以应对严峻的安全形势。主动免疫可信计算是指计算运算的同时进行安全防护。
龙芯3A4000/3B4000内部集成安全可信管理功能,可以在硬件层面实现基于国密算法进行可信计算,取代外置可信芯片。龙芯支持可信管理功能内置于CPU芯片的整机设备,操作系统层部署可信软件基,由可信节点和可信管理中心共同组建可信系统。
基于龙芯CPU芯片的可信计算解决方案已经在桌面电脑、服务器、工业控制等领域构建了实际案例,在各行业广泛应用。
6、安全访问控制
龙芯支持流水线级别的安全访问控制环境,实现CPU本质安全的新型安全防御机制。
龙芯3A4000/3B4000在CPU核内增加安全功能,可以监督内部模块行为、上层BIOS/操作系统行为。例如,“影子栈”机制可以防范内核栈溢出攻击,独立的内存防护单元可以保护敏感内存区间不被修改,I/O防护机制可以对外设的访问进行监管。
龙芯安全访问控制环境相当于“把纪检组派到办公室”,实现了CPU注重效率和增强本质安全的有机融合,安全性进一步提高,性能也进一步提高,同时大幅度降低整机成本。龙芯在自主研发过程中形成“听党指挥”的技术能力,成为确保信息安全“枪杆子”。
7、龙芯安全解决方案
龙芯致力于建设生态体系,联合安全固件、网安/密码设备、安全操作系统、安全浏览器、等级保护2.0等产品厂商共同研发解决方案。
◆ 安全固件:为龙芯计算平台提供安全引导和运行环境。安全固件可实现六方面功能,包括安全引导、数据保护、身份认证、可信度量、可信恢复、配置管理。
◆ 安全操作系统:在安全扫描与攻防、应用商店签名与审核、终端安全中心建设、安全性测试标准制定、漏洞跟踪与报告流程等方面形成了自己的技术能力和体系,在保持良好使用体验和性能的条件下捍卫用户系统安全。
◆ 龙芯平台浏览器:现已完成国密改造,支持国密证书,可以访问国密网关、国密Web服务器。浏览器调用龙芯硬件国密算法,相比以前采用软件的计算方式,SM3散列性能提升14倍,SM4性能提升20倍。
◆ 网络安全设备:可以采用龙芯1A、1B、2H、2K、3A系列处理器,满足低、中、高不同档次需求。国内一线安全设备厂商所提供的龙芯产品包括交换机、路由器、VPN、防火墙、堡垒机、网闸、负载均衡等。
◆ 密码设备:可以采用龙芯CPU研制密码服务器、通讯加密机、CA服务器等,利用龙芯硬件密码功能实现加解密运算,已批量应用于多个领域。
◆ 工控安全领域:采用龙芯实现可信方案,基于龙芯2K1000、3A4000等实现安全可信PLC控制器,是实现制造业数字化、网络化、智能化的关键设备。
◆ 龙芯全线适配等级保护2.0安全产品:目前,龙芯已与国内超过50家专业安全软件厂商合作,龙芯平台上已经适配的产品超过500种,类型覆盖防病毒软件、漏洞扫描系统、网络审计系统、网页防篡改系统、数据防泄漏系统等,可以全面满足等级保护2.0要求。
8、筑造信息安全边疆
龙芯实现自主和安全的深度融合。龙芯处理器核心的微结构和物理设计全部自主研发,取得数百项专利,知识产权自主掌握,有能力从根源上规避漏洞。龙芯研发团队全部在国内,核心骨干有二十年研发背景,是真正掌握CPU设计技术的科技队伍。龙芯有长远的处理器、桥片、显卡等核心设备发展战略和蓝图。龙芯坚持建设“从端到云”的开放生态,带动产业链厂商共同提高技术和服务能力,带动行业和区域产业链广泛合作。
发展自主CPU、建立自主信息技术体系和产业生态,是国家的需要、时代的需要。信息技术应用创新面临前所未有的机遇,龙芯将与安全厂商相向而行,共同筑造信息安全边疆!