海光信息:把好国产处理器安全大关

2024-09-24 13:50:08 来源: 杜芹

在当今时代,算力作为新时代的生产力,其重要性愈加显著。根据我国发布的《算力基础设施高质量发展行动计划》,预计到2025年,我国的算力规模将超过300 EFLOPS,智能算力占比将达到35%。我国正在加速建设算力强国。
 
算力的核心是处理器。近年来,国内厂商不断向高端处理器领域进军,以海光信息为代表的国产处理器企业逐渐成为国产计算芯片领域的先锋。同时,在数字经济时代,信息安全已成为国家安全的重要组成部分,保护信息安全也成为国产处理器厂商的“必修课”。
 
CPU和DCU双轮驱动,海光业绩不断增长
 
海光信息成立于2014年,并于2022年在上海证券交易所科创板上市。目前,海光经过几年的不断积累和发展,已经成功研发出多代通用处理器(CPU)和协处理器(DCU),目前这些产品成功应用于商业市场。
 
2024 年上半年,公司实现营业收入37.63亿元,较上年同期增长44.08%;实现归属于母公司所有者的净利润8.5亿元,较上年同期增长25.97%;实现归属于母公司所有者的扣除非经常性损益的净利润8.1亿元,较上年同期增长32.09%。
 
高端处理器作为现代信息系统设备中的核心部件,在大规模数据处理、复杂任务调度和逻辑
运算等方面发挥了不可替代的作用。
 
海光的CPU系列兼容x86指令集,支持主流操作系统和应用,针对不同应用场景对高端处理器计算性能、功耗等技术指标的要求,分别提供海光7000系列产品、5000系列产品、3000系列产品。凭借出色的性能和丰富的生态,海光CPU已在电信、金融、教育和交通等领域赢得广泛认可。从2018年以来,联想、新华三、同方和中科可控等知名厂商的服务器产品也纷纷搭载了海光的CPU芯片。
 
海光 DCU 属于 GPGPU 的一种,采用“类 CUDA”通用并行计算架构,能够较好地适配、适应国际主流商业计算软件和人工智能软件。与 CPU 相同,海光 DCU 按照代际进行升级迭代,每代际产品细分为 8000 系列的各个型号。海光 8000 系列具有全精度浮点数据和各种常见整型数据计算能力,能够充分挖掘应用的并行性,发挥其大规模并行计算的能力,快速开发高能效的应用程序。
 
2024年,海光持续加大在DCU软件方面投入,公司 DCU 产品打造了自主开放的完整软件栈,包括“DTK (DCU Toolkit)”、开发工具链、模型仓库等,其完全兼容“CUDA”、“ROCm”生态,支持 TensorFlow、Pytorch 和PaddlePaddle 等主流深度学习框架与主流应用软件。依托开放式生态,公司构建了拥有完善的层次化软件栈的统一底层硬件驱动平台,其能够适配不同 API 接口和编译器,并支持常见的函数库、AI 算法与框架等。
 
据海光《2024年上半年财报》显示,目前海光DCU实现了 LLaMa、GPT、Bloom、ChatGLM、悟道、紫东太初等为代表的大模型的全面应用,与国内包括文心一言、通义千问等大模型全面适配,达到国内领先水平。
 
安全性:海光处理器的核心竞争力
 
随着云计算时代的到来,在传统计算的传输加密、存储加密模式之外,数据运行过程中的加密需求日益凸显,机密计算已经成为云计算时代的安全底座。
 
海光高度重视处理器的安全性。海光作为唯一获得X86指令集完整授权的厂商,目前已发展出独立的C86架构体系,并在指令层进一步扩充了安全算法指令,实现了对国密SM3/SM4算法的支持。
 
为了对海光C86处理器安全技术进行规范和统一,海光推出了C86处理器安全计算架构CSCA(C86 Security Computing Architecture),其中包含的安全技术有安全密钥、安全处理器、安全启动、安全存储、密钥管理及使用、动态度量保护、内存加密、机密计算、密码计算、可信计算标准支持、芯片安全防护。综合选用这些技术,可以实现从底层固件到上层应用软件的全方位保护。
 
 
海光C86安全计算架构
 
值得一提的是,海光处理器采用安全技术内置的形式,在密码技术、可信计算、机密计算等领域率先取得突破,为信息安全扣上三道“金刚锁”。
 
第一道锁:密码技术
 
首先是密码技术。密码是维护数据安全的关键要素,数据的安全传输、安全存储、安全使用都离不开密码技术。其功能包括实现信息的保密性、信息来源的真实性、数据的完整性和行为的不可否认性,对于网络空间安全,可以起到重要的基础支撑作用。
 
在国内芯片市场,海光CPU的密码安全技术极具代表性。通过这几年的实践,海光信息发现CPU内置密码模块的形式,已经成为整个国密行业的新趋势。
 
“过去行业在进行信息安全处理的过程中,主要采用软加密或者专用加密设备等解决方案。软加密的方式,虽然采购成本相对较低,但是安全性和运行效率都很难达标;而采用加密卡、加密机等专用设备时,成本又会变得很高,并且还会面临密码运算瓶颈,无法实现弹性扩容等问题,在云端计算场景中很难直接应用。”海光信息安全技术专家何良杰指出。
 
不同于传统的软加密或者加密卡、加密机等方案,海光在CPU内部集成了安全处理器(PSP)和密码协处理器 (CCP),同时还采用了密码指令集加速、密钥管理和HCT等技术。
 
l 在密码加速引擎上,海光CPU自带密码协处理器(CCP),可支持SM2、SM3、SM4国密算法和AES、SHA美密算法,并且内置真随机数发生器,包括海光C86指令集层面,都实现了对密码学指令的广泛支持。
 
l 在密钥管理方面,海光CPU相当于集成一张密码卡,做密码编程时完全不用担心密钥泄露在内存软件中,保证密钥的“可用不可见”,实现全生命周期密钥管理。
 
l HCT(Hygon Crypto Technology)是基于密码协处理器和密码指令集自主设计和研发的一套密码算法加速技术软件开发套件。HCT利用密码协处理器和密码指令集,以openssl标准接口为系统应用提供标准密码算法接口,极大提升传统密码算法性能。
 
第二道锁:可信计算
 
再者,可信计算也是一个很关键的技术。可信计算是指通过建立可信环境以确保计算设备和数据的安全性,其实也相当于密码技术的“白名单”。
 
可信计算体系最重要的是底层的信任根,海光CPU通过内置可信模块实现原生可信支持,比前者具备更高的安全性、更低的使用成本以及更易用等价值。
 
根据实现的功能和提供的命令接口的不同,可信模块又可分为三大技术路线,包括国际标准“可信平台模块TPM”(最新版本2.0),国内标准“可信平台控制模块TPCM”和“可信密码模块TCM”。
 
基于海光内置安全处理器的可信计算支持包括TPM2.0,TPCM,TCM2.0等。这些功能被集成到一块CPU上,成为CPU的一部分。公开信息显示,海光是国内首家内置TCM2.0可信计算方案的厂商。海光CPU还支持国内最先进的可信计算3.0 TPCM,和TPM/TCM相比,TPCM增加了对系统主动监视和控制的功能。在可信计算认证产品名单中,基于海光CPU的产品占比达到了50%。
 
第三道锁:机密计算
 
机密计算是指利用处理器的可信执行环境保护计算机系统最终用户的数据安全,让用户保存于可信执行环境中的数据具有机密性和完整性。简单来讲,传统计算是使用加密技术保护存储和传输中的数据,而机密计算是使用加密、隔离技术保护使用中的数据。
 
海光CPU的机密计算技术逻辑是,CPU允许以虚拟机为单元对硬件资源隔离,结合运行于处理器上的安全固件,实现基于安全虚拟化的可信执行环境,用以保证用户数据安全。

 
这一技术受到了很多国产厂商追捧。例如,阿里云上线了基于海光CSV的机密虚拟机实例。据何良杰的介绍,在隐私计算影响力TOP10企业中,海光与90%的厂商都有合作,目前业内已推出十余款基于海光CPU的一体机。
 
结语
 
 
依托通用的计算路线以及庞大的国内市场,海光信息牢牢把握住行业发展的大势。与国际领先芯片企业相比,海光信息扎根于中国本土市场,更加深入地理解中国客户的需求,能够提供更加安全可控的产品和全面细致的解决方案及售后服务,从而具备显著的本土化竞争优势。
 
海光信息的崛起不仅是中国芯片产业发展的缩影,更是自主创新和生态构建的体现。通过不断突破,海光正逐步打破国外芯片厂商的垄断,为我国信息产业的安全和可控性奠定了坚实的基础。
责任编辑:sophie

相关文章