419说安全|什么样的CPU才是真安全

2016年4月19日,国家领导人强调指出,要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,增强网络安全防御能力和威慑能力。在总书记“419”重要讲话七周年之际,再一次引发了关于CPU安全的讨论,什么样的CPU才是真正安全的CPU?

随着黑客技术不断迭代升级,防火墙、杀毒软件和入侵检测“老三样”已经难以抵挡。严峻的网络安全形势,对国产CPU提出了更高的挑战。面对漏洞易被利用、外挂式防御手段防御范围和能力有限等问题,要从CPU底层开始保护信息安全,保障上层的不可篡改性。



坚持设计自主可控,才能不被“卡脖子”

2022年10月,国家市场监督管理总局、国家标准化管理委员会联合发布了《信息安全技术关键信息基础设施安全保护要求》国家标准,确定今年5月1日正式实施。该标准提出了3项安全保护的基本原则:以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护。

根据相关政策文件的指导精神不难看出,新时期对CPU的要求主要体现在两大方面,一是在研发设计上要实现自主可控,二是提高主动防御能力,对抗未知攻击。

一颗CPU的设计,一般要历经需求定义、架构设计、逻辑设计、验证、物理设计和封装设计。以国产CPU领军企业飞腾为例,在CPU设计环节已全面实现自主可控。飞腾在内核研发设计方面不断迭代,推出了FTC8、6、3三大系列的处理器内核,在高性能、高效能、低功耗方面来满足不同产品系列的需求。



强化系统安全设计,夯实内生安全能力

如何提高主动防御能力,对抗未知攻击?首先是要要通过系统的主动安全设计对漏洞风险进行免疫,在CPU研发设计的整个流程中贯穿安全设计的思想。

2019年,飞腾提出PSPA1.0规范(Phytium Security Platform Architecture),从十个方面定义了安全处理器中涉及的软硬件功能和属性,涵盖芯片的硬件设计、固件设计、量产等多个方面,实现CPU的内生安全机制。



在“密码加速引擎和密钥管理”方面,支持片内国密SM2、SM3、SM4和SM9的硬件加密引擎,支持关键密钥片内安全存储,重点CPU型号已通过“芯片级”国密安全认证。

在“可信执行环境”方面,通过提供可信核、安全内存、可信I/O,使得TEE与REE在硬件上是完全隔离的,且TEE访问资源权限较高。

在“支持可信启动”方面,片内集成ROM,作为可信根,第一条指令从PBR(飞腾启动ROM)中执行,PBR存放验签程序,启动加解密引擎对片外Flash进行验签。

在“安全存储机制”方面,敏感信息及密钥的加解密过程均在可信执行环境中完成,保障敏感信息存储的安全性。

在“硬件漏洞免疫”方面,实现或支持分层级访问控制、数据执行保护机制、内核保护机制、ROP攻击防护机制、前瞻控制及分支预测控制等,对多种已知的安全漏洞免疫,为CPU系统的安全提供支撑。

飞腾多款CPU支持PSPA规范,从底层实现了关后门、堵漏洞,让黑客无计可施。



今年,飞腾将推出PSPA2.0规范,扩展PSPA安全机制覆盖范围,提高PSPA安全机制支撑强度,进一步提升内生安全能力。飞腾后续的CPU设计,无论是面向服务器的、面向桌面的,还是面向嵌入式的,都将全面支持PSPA2.0安全架构规范,使得内生安全技术的覆盖面越来越广。

计算核、可信核“双体系”安全防护

可信计算3.0是我国网络安全等保2.0标准确定的核心防御技术,可信计算的核心功能是基于可信硬件建立主动免疫机制。基于PSPA的密码加速引擎和密钥管理、可信执行环境、可信启动和安全存储等机制,在CPU内部建立可信计算3.0的“双体系”架构,将进一步提升可信计算方案的安全性、集成度和兼容性。



目前,飞腾已与合作伙伴联合开发了可信服务器、可信终端等可信通用设备,电力可信DCS、金融一体机等工控设备,基于TPCM的可信云等软硬件产品,部分产品已经投入实际使用中。

CPU仅仅自主不等于安全,高性能也不代表高安全。“自主可控+内生安全+可信计算”三位一体,才是真安全,才能实现体系安全。