海光信息应志伟：CPU安全技术已成密算产业新基石

日前，由蚂蚁集团联合多家单位共同发起的安全可信开源系统软件栈“星绽”，在京联合对外发布。作为“星绽”开源生态的重要合作方之一，海光信息副总裁应志伟应邀出席活动，并围绕CPU安全就构建安全可信的开源开放新生态体系作出前瞻分享。

应对安全技术新挑战

中国工程院院士倪光南为活动致辞时表示，“近年来，全球系统安全漏洞频发，网络攻击和黑灰产业的事件频发，传统的技术路线难以高效应对新的安全挑战。安全可信的新技术已成为推动产业可持续发展和技术持续创新的关键。同时，随着人工智能技术深入落地产业，保障安全的数据流通更需要适配安全可靠的系统软件栈的支撑。”

发布现场，各方基于操作系统领域安全与性能如何兼容这一核心技术挑战，展开热烈探讨。海光信息副总裁应志伟从芯片侧实践出发，在分享中表示，机密计算技术近年来越来越受到重视，其中，CPU安全已经成为密算产业发展的新趋势和新基石。

据了解，机密计算技术，基于硬件的可信执行环境(TEE) 构建隔离的“安全飞地”，保护数据在处理过程中的安全性和隐私性，可以为实现密态计算所要求的数据流转全链路安全保障能力提供关键技术支撑。

目前，包括英特尔、AMD、海光、阿里、微软在内的全球主流芯片和云厂商均在积极布局这项技术。应志伟透露，通过CPU等核心硬件对虚拟机做加密，进而实现机密计算服务升级，已经是主流厂商的共同选择，海光在CPU安全技术上已达到业界领先。

多维打造CPU底层安全

现场，应志伟分享了海光CPU密码学计算能力、海光机密计算以及海光实践的安全解决方案，深入讲解了国产CPU如何从底层保障安全可信的软硬件生态构建。

他介绍，CPU内置密码模块已经成为整个国密行业的新趋势，海光目前将密码加速引擎和秘钥管理两大模块都集成到了CPU内部，相比传统的外置密码卡，海光的方案成本更低、性能更好、安全度更高。

目前，海光密码技术还具备良好的兼容性，与国产OS基本都实现了适配。不仅如此，海光还通过技术研发创新，成功解决了密码计算中的CPU性能调度问题。

据了解，海光C86-4G处理器的加/解密性能更加强悍，其内置的CCP协处理器，在SM2、SM3、SM4签名速度上分别提升了71%、68%、71%。同时，C86-4G提供SM3、SM4国密指令集，相较于纯软件实现国密算法，SM3实现45%的提升，而SM4加密提升3倍，解密则提升至惊人的10倍。

在机密计算领域，海光技术已经发展到第三代，除了简单的内存加密或者虚拟机的加密隔离之外，海光通过CSV形成了一整套完整的机密计算解决方案，包括计算隔离、硬盘加密、密钥封印、加密容器、异构加速等，确保了所有数据形态的安全使用。

针对备受关注的人工智能大模型安全问题，应志伟也分享了海光的解决方案。

目前，海光通过CPU与DCU的异构方式，来进行大模型的常规应用，两大产品安全通道相互连接，可以把CPU和DCU的安全域融合。大模型在海光机密计算环境跑通时，会被内存加密和安全隔离，不会被其他的操作系统或其他的软件所看见，充分保证了数据安全。

应志伟表示，海光在C86处理器研发初期就认识到机密计算技术的重要性，并将其融入到处理器的设计之中，以增强数据流通和存储过程中的安全性，现已在CPU安全技术上实现绝对领先，未来将继续与星绽等产业链伙伴保持紧密合作，长期推动密算产业发展，共同构筑安全可信的国产开放生态。