在通用計算領域，CPU占據著不可動搖的地位。即便在AI時代，作為業(yè)務應用層的主力，CPU在調度、優(yōu)化、管理和資源調配方面承擔著GPU和DSA等無法替代的職責。

它實現(xiàn)了對業(yè)務邏輯處理、數據處理與加密、任務調度與負載均衡、復雜計算執(zhí)行以及安全控制與監(jiān)測的全面支持。

在金融、政府通信、電子政務和關鍵基礎設施等領域，對CPU的安全加密需求尤為迫切。這不僅要求CPU具備卓越的通用計算能力，還需符合國家安全標準。

自2005年中國國家密碼管理局正式發(fā)布SM2、SM3和SM4三大商用密碼算法以來，國密標準已廣泛應用于政府、金融等高安全性行業(yè)。尤其是2016年《中華人民共和國網絡安全法》的出臺，進一步增強了國密算法在信息安全中的重要性。

要高效且安全地支持國密算法，僅依賴通用性CPU是不夠的。必須從指令集層面開始，構建國密算法的支持基礎，在微架構層面設計專門的硬件，以實現(xiàn)密碼運算的高效執(zhí)行。

有了這些基礎，才能在固件、操作系統(tǒng)、應用層以及云端構建一套完整的國密算法安全機制，實現(xiàn)從底層硬件到上層軟件的全棧式安全加密運算。

海光信息始終致力于這一目標，并已成功建立了一整套安全體系。在此過程中，公司取得了一系列關鍵技術的突破，并結合國內各行業(yè)的應用場景進行了針對性的優(yōu)化。

國密算法指令集+硬件加解密引擎，讓數據安全與速度兼得

為了實現(xiàn)通用計算能力和安全加密等級的并舉，海光在X86完整永久授權的基礎上，構建了一套國產自主可控的C86安全計算架構（CSCA）。

該架構整合了多種安全技術，涵蓋安全密鑰管理、安全處理器、安全啟動、安全存儲、動態(tài)度量保護、內存加密、機密計算、密碼計算以及對可信計算標準的支持和芯片安全防護。這些技術的綜合應用可以確保從底層固件到上層應用軟件的整體安全性。

而在這一系列的安全技術中，國密算法指令集+硬件加解密引擎和密碼技術息息相關。

【內置安全處理器（PSP）和密碼協(xié)處理器 (CCP)，高效安全】

為了實現(xiàn)對國密算法的支持，并同時提高密碼運算效率，降低CPU負載，海光的C86處理器內部集成了PSP和CCP兩個硬件模塊，并通過密碼加速引擎和可信密鑰管理等技術實現(xiàn)了密碼算法性能和密鑰管理安全性的提升。

首先在指令集層面，海光自研的CIS（Crypto Instruction Set）包含了專門用于加密和解密操作的指令，其中特別針對國密算法進行了特定實現(xiàn)。而AVX（Advanced Vector Extensions）則支持同時處理多個數據塊，加速加密算法的執(zhí)行，比如AES（高級加密標準）和SHA（安全哈希算法）。利用AVX的128位或256位寬向量寄存器，可以并行處理更大的數據集，提高密碼運算速度，并降低算法延遲。

然后在微架構硬件層面，海光處理器內部集成了平臺安全處理器（PSP）和密碼協(xié)處理器（CCP）。

PSP（Platform Security Processor）和CCP（CryptographicCoprocessor）都是集成在處理器中的模塊或硬件加速引擎。它們協(xié)同工作，提供安全性和性能優(yōu)化：PSP負責平臺級的安全管理，如安全啟動和身份驗證，而CCP負責加速密碼運算，確保高效的密碼運算和密鑰管理。這樣的集成設計使得處理器能夠在保證安全性的同時，提升整體計算性能。此外，處理器內部還集成了NTB CCP密碼協(xié)處理器，可提供主機、虛擬機和容器環(huán)境下的密碼學運算加速。

而在安全指令集和各種硬件加速引擎基礎上，海光就推出了海光密碼技術（HCT，Hygon Crypto Technology），這是一套密碼算法加速軟件開發(fā)套件。HCT以OpenSSL、Tongsuo和KCPI等標準接口為系統(tǒng)提供標準密碼算法接口，極大提升了傳統(tǒng)密碼算法性能。

【加解密效率提升，應用體驗升級】

硬件加速模塊（CCP）能夠獨立于C86核心進行密碼運算任務，減少CPU的負載。這確保了在進行復雜的加密和解密操作時，其他業(yè)務系統(tǒng)的響應速度和處理能力不會受到顯著影響，尤其是在大批量數據處理時，有利于保持應用程序的流暢性和穩(wěn)定性。

總體來看，通過集成專用的硬件模塊（如PSP和CCP）以及優(yōu)化的指令集（CIS），海光CPU能夠顯著提高國密算法的加解密速度。專門針對國密算法的指令實現(xiàn)，使得這些操作在硬件層面得到加速，減少了傳統(tǒng)算法在軟件層面執(zhí)行時的計算負擔，從而顯著提升整體密碼運算性能。

根據實測數據，內置CCP引擎對比傳統(tǒng)商用密碼機，在執(zhí)行國密算法時表現(xiàn)出顯著的性能優(yōu)勢。其中，CCP的SM2簽名速度是某商用密碼機的12.35倍，而在SM2驗簽操作中，CCP的速度提升了6.78倍。對于SM3哈希計算，CCP的處理速度達到傳統(tǒng)密碼機的24.06倍，而在SM4加密操作中，CCP更是達到了25.73倍的性能提升。這樣的表現(xiàn)顯示出CCP在加密和解密任務中的卓越高效性，尤其適用于需要高吞吐量和低延遲的應用場景。

可信根內置，構建可信計算硬件基礎

像CCP等硬件創(chuàng)新可以看作是密碼技術一部分，根本目的是確保數據在傳輸過程中是保密的，防止信息被篡改或盜取。而可信計算技術則是要提升系統(tǒng)的安全性，確保應用過程中的軟件環(huán)境是可信的。這其中的關鍵技術就是可信根，也就是大家常說的RoT（Root of Trust）。

常見的RoT是采用外置的方案，因為既可以實現(xiàn)物理上的安全功能隔離，又能夠根據實際需求靈活選擇支持不同的防護機制和加密算法支持。但同時，外置帶來了更高的系統(tǒng)成本、占板面積；額外的硬件導致了復雜硬件管理、驅動設計等適配工作；數據傳輸的交互延遲也有可能給系統(tǒng)帶來額外性能開銷。

要構建可信計算體系，從CPU源生支持是一個重要的基礎，并且正在成為一種趨勢。而海光正是采用了這種技術路線，通過內置可信模塊，從而實現(xiàn)原生可信支持，與外置可信根模塊相比具備更高的安全性、更低的使用成本以及更易用等價值。

據悉，海光CPU的內置RoT技術同時支持國際標準“可信平臺模塊TPM”（最新版本2.0）、國內標準“可信平臺控制模塊TPCM”和“可信密碼模塊TCM”。

海光通過內置的安全處理器，將TPM2.0模塊以固件形式集成于CPU內部，從而消除了對外部總線的依賴。這一創(chuàng)新顯著縮小了物理暴露面，進一步降低了潛在的安全風險，相較于外置專用TPM芯片，提供了更為堅實的防護屏障。

此外，海光還是國內首個內置TCM2.0可信計算方案的廠商。從海光C86-3G起，海光CPU便開始支持TCM2.0。這一技術與TPM2.0相似，均基于CPU的安全處理器，并以固件形式實現(xiàn)。（海光CPU的固件以BIOS PI的形式提供給OEM廠商，因此在使用TCM2.0時，用戶需與OEM廠商確認該功能已在BIOS中啟用。）

不僅如此，海光CPU還支持國內最先進的可信計算3.0 TPCM標準。與TPM和TCM相比，TPCM引入了系統(tǒng)主動監(jiān)視和控制的能力。這一標準的實施，使海光能夠為眾多下游用戶提供等保2.0資質，進一步增強了在主動防御、安全啟動和動態(tài)度量等方面的技術支持。

【獨創(chuàng)TSB+TDM模塊，從啟動到運行都安全無虞】

值得一提的是，海光的安全處理器中有兩個獨創(chuàng)的可信功能模塊——TDM模塊（Trusted Dynamic Measuring）和TSB模塊（Trusted Secure Boot）。

下圖中展示了C86處理器在可信計算機制下，從啟動到加載操作系統(tǒng)內核的流程，而TPCM安全處理器是整個流程的核心。

首先TSB 主要關注于在系統(tǒng)啟動階段驗證BIOS的完整性和安全性。如果BIOS的數字簽名與預設的可信簽名匹配，則BIOS被視為安全的，系統(tǒng)可以繼續(xù)啟動。TSB 保證從系統(tǒng)啟動的第一步開始，BIOS和引導環(huán)節(jié)的安全性，建立了一個可信的啟動環(huán)境。

而啟動度量模塊用于對系統(tǒng)啟動過程中的各個關鍵階段（如UEFI、Grub、內核等）進行度量。度量請求從啟動流程中發(fā)出，度量模塊通過對比預設的安全值，生成度量結果并存儲。

TDM（動態(tài)度量模塊）則用于在系統(tǒng)運行過程中持續(xù)監(jiān)控內核和系統(tǒng)服務的行為，確保它們未被惡意篡改。在系統(tǒng)啟動后，安全處理器通過內部的TDM動態(tài)度量不斷監(jiān)控操作系統(tǒng)的運行情況，特別是關鍵組件，如進程管理、網絡通信和文件系統(tǒng)等；同時TDM通過獨有的雙重授權保護方式確保非授權用戶無法篡改TDM內的度量任務設定，極大的增強了模塊的安全性。

通過TPCM安全處理器的TSB啟動度量和TDM動態(tài)度量模塊，系統(tǒng)能夠在從UEFI啟動到操作系統(tǒng)加載以及后續(xù)運行的每個階段進行度量，確保系統(tǒng)的安全性。通過結合硬件加速，度量結果可以快速計算并安全存儲，最終保證系統(tǒng)在啟動和運行過程中的可靠性和可信性。

安全加密虛擬化隔離，構筑機密計算銅墻鐵壁

所謂“機密計算”，指的是在CPU硬件可信執(zhí)行環(huán)境中進行計算，保護計算時CPU使用的數據，即使在計算過程中，也能保護用戶的敏感數據安全。假設在云端進行數據分析，其中包括敏感的用戶信息等，機密計算技術允許在不暴露用戶信息的情況下進行計算。因此，云服務提供商可以在不訪問用戶原始數據的情況下執(zhí)行分析任務。

虛擬化技術是云計算的核心技術之一，但在以前，虛擬機的資源（比如內存、存儲等）都被主機的操作系統(tǒng)和虛擬機管理程序（Hypervisor）控制，這樣一來，虛擬機數據就存在被主機非法訪問或者篡改的安全風險。海光CPU在傳統(tǒng)虛擬化技術的基礎上進行了升級，推出了“安全加密虛擬化”技術——CSV（China Security Virtualization），大大增強了虛擬機的安全性，特別適用于需要高度隱私保護的云計算和隱私計算場景。

更具體來說，海光的“安全加密虛擬機”讓每個虛擬機的資源都是獨立的，并且與其他虛擬機和主機程序完全隔離，這樣可以防止數據被竊取或篡改。此外，這種虛擬機支持啟動時的安全檢查和運行時的遠程身份認證，認證的結果由處理器密鑰簽名，主機操作系統(tǒng)和虛擬機管理程序無法偽造，因此可以確保虛擬機的身份是合法的。

另外，安全加密虛擬機還具備實時內存加密功能，主機操作系統(tǒng)和虛擬機管理程序無法解密這些數據。密鑰是由處理器自動生成并管理的，不會外泄。同時，除了保證虛擬機內存數據的機密性，安全加密虛擬機還確保了內存數據的完整性，主機操作系統(tǒng)無法通過修改虛擬機的內存來對其進行攻擊。

最后，海光的安全加密虛擬機還支持“機密容器”，它符合標準的容器接口規(guī)范，可以和常見的云管理平臺（如Kubernetes）無縫對接。機密容器運行在安全加密虛擬機中，容器中的數據會自動被加密，確保數據安全。

據何良杰介紹，海光CSV技術已經發(fā)展到了第三代。其中海光2號支持的是CSV1，能夠實現(xiàn)內存加密；海光C86-3G技術迭代到了CSV2，能夠在內存加密基礎上實現(xiàn)狀態(tài)加密；目前海光C86-4G處理器已經達到了CSV3的級別，實現(xiàn)了訪問權限隔離。此外特別值得一提的是，海光的C86 CPU和自家的DCU產品融合，能夠助力客戶實現(xiàn)云上異構加速。

根據市場反映，海光“安全加密虛擬化”技術在國內廠商中廣受歡迎。阿里云已經推出了采用海光CSV技術的機密虛擬機實例。而在隱私計算領域最具影響力的前十家公司中，海光與其中90%的企業(yè)建立了合作關系，當前已有十多款基于海光CPU的一體機投入市場。

信創(chuàng)市場前景廣闊，自主安全加密CPU意義重大

根據中國信息通信研究院發(fā)布的《中國信息技術應用創(chuàng)新發(fā)展白皮書（2023年）》，信創(chuàng)市場規(guī)模在近年來保持高速增長，預計到2025年，中國信創(chuàng)產業(yè)的市場規(guī)模將突破2萬億元人民幣。這一數據反映了隨著國家政策的強力推動，信創(chuàng)行業(yè)在金融、能源、政府、醫(yī)療等多個關鍵領域的廣泛應用和持續(xù)擴展。

而在這些領域中，安全加密技術扮演著至關重要的角色。它是保護數據安全、保障信息完整性和防止信息泄露的關鍵技術。隨著數字化轉型的推進，各行業(yè)對數據安全的需求急劇上升，特別是在云計算、隱私計算和關鍵基礎設施的應用場景中，安全加密技術提供了不可或缺的保障。

在這一背景下，海光的安全加密CPU意義重大。它從指令集和微架構底層創(chuàng)新出發(fā)，構筑了一個自下而上的完整安全加密軟硬件生態(tài)，確保了數據在存儲、傳輸和使用中的安全性。憑借硬件級的加密保護和卓越的性能，海光安全加密芯片為各行業(yè)提供了高安全性和高性能且更具性價比的解決方案，是信創(chuàng)生態(tài)中推動信息安全和自主創(chuàng)新的重要力量。