芯片安全事件頻發，這家國產芯片向漏洞Say No

自處理器問世以來，其設計的主流方向一直聚焦于提升性能和降低功耗，而對硬件自身安全性的關注相對較少。近些年的研究揭示了各種處理器中存在的多種漏洞，這些漏洞對當前的網絡信息安全構成了重大威脅。尤其是在當前復雜的國際環境下，處理器等核心芯片已成為影響國家信息安全和產業發展的關鍵。

面對當前局勢，強化技術積累、提升自主研發能力，推動國產處理器的安全性創新，全面鞏固國家網絡安全的根基已迫在眉睫。

芯片安全事件頻發，國產芯片應防患于未然

提及芯片安全事件，估計業內最先想到的就是中國網絡空間安全協會近期建議對英特爾產品進行全面網絡安全審查。據該協會發文內容顯示，英特爾產品漏洞頻發、故障率高。盡管英特爾方面在回應中，反復強調其對產品安全和質量的堅定承諾。但該事件還是引發了業內對于芯片安全的高度擔憂。

無獨有偶，今年10月，高通公司（Qualcomm）也發布安全警告稱，其多達64款芯片組中的數字信號處理器（DSP）服務中存在一項潛在的嚴重的“零日漏洞”—CVE-2024-43047，且該漏洞已出現有限且有針對性的利用跡象。據高通公告，CVE-2024-43047源于使用后釋放（use-after-free）錯誤，可能導致內存損壞。

而AMD在2024年也被曝光Heckler（CVE-2024-25743）漏洞，該漏洞是一種新的針對加密虛擬機進行攻擊的漏洞。Hypervisor通過注入中斷的方式破壞了包括AMD SEV-SNP、INTEL TDX在內的加密虛擬機的機密性和完整性。

具體到國內，2023年一些安全研究團隊披露，小米智能設備中使用的芯片存在安全隱患，可能被利用來竊取用戶數據或控制設備。小米迅速響應并發布了安全更新，但事件也引發了用戶對國內芯片安全的關注；而在時間更早些的2021年，研究人員在紫光展銳（Unisoc）的芯片中發現了一個關鍵漏洞。該漏洞允許攻擊者通過短信發送特定指令，從而讓設備崩潰或被完全控制。此問題影響了一些低成本智能手機，雖然補丁隨后發布，但事件暴露出國產芯片在安全上的不足。

上述這些案例表明，隨著芯片應用的普及和復雜度的增加，芯片，特別是國產芯片面臨著技術突破和安全保障的雙重挑戰。尤其是安全更應防患于未然。

做對的事，這家國產廠商跑在國際前列

如上述，隨著網絡攻擊和數據泄露事件的頻發，芯片安全成為全球半導體產業，尤其是中國半導體產業的關鍵課題。而隨著安可、信創、國產化等趨勢的加速，諸多芯片企業紛紛加大在安全方面的創新和應用，有的甚至已然走在了業內和市場的前列。

這里我們以國內芯片企業海光信息為例，其通過技術創新，特別是以“密碼技術”、“機密計算”、“可信計算”、“漏洞防御”四大核心技術為基礎，形成系統化解決方案，在業內，尤其是與其他同類產品相比，均彰顯出其獨特的優勢。

以密碼技術為例，眾所周知，在現代芯片的安全設計中，硬件加密成為一種基礎設施和手段，能夠有效防止外部攻擊者對數據的篡改和泄露。海光信息在其自主設計的芯片中，深度集成了密碼運算模塊（即CCP密碼協處理器，其獨立于CPU核心的硬件模塊，專門用于高效的密碼運算），特別支持了國密算法（如SM2、SM3、SM4等）。與國際主流廠商的加密技術相比，海光信息的密碼技術具有更高的適應性和更強的防護能力。

與國內其他產品不同，海光芯片通過將密碼加速引擎、密鑰管理（TKM）等安全模塊直接集成到CPU內核中，避免了對外部加密卡或獨立硬件的依賴，從而降低了成本、簡化了硬件部署，并提供了更高的安全性和性能，尤其是在大數據處理和高頻交易等場景下表現突出。相比之下，其他廠商的產品往往需要額外的硬件設備進行加密運算，這可能帶來額外的運維和性能瓶頸。

值得一提的是，海光信息的芯片不僅支持國密算法，還根據國家安全政策的要求，針對性地增加了額外的防護措施。例如，在數據存儲和傳輸的過程中，其采用了具有高抗干擾性的加密通道和信息溯源功能，這在當前國際標準無法完全涵蓋的情況下，無疑提供了額外的安全保障。

總體而言，海光CPU的密碼技術具有六大優勢：適用性廣，兼容國產化全場景需求；性能強，簽名驗簽性能是傳統加密卡的數倍；安全可靠，內置于CPU，提高穩定性；兼容性強，支持容器、虛擬機和主流云平臺；軟件生態完善，提供標準接口，支持主流密碼套件；成本效益高，無需額外硬件采購，可直接升級。

而在機密計算方面，隨著云計算的廣泛應用，數據管理者和數據使用者分離的模式成為新常態。這意味著在云上存儲和處理的數據可能面臨被惡意訪問的風險。

針對于此，海光信息通過構建可信執行環境（TEE），確保云上數據的安全。通過硬件層面的安全加固，海光的機密計算技術能夠在不信任的環境中實現數據的保密性、完整性和可用性，進一步提升了云計算應用的安全性。

這里，海光信息機密計算的核心是CPU硬件可信執行環境（TEE），通過硬件加密和密鑰管理，確保虛擬機和容器資源在運行過程中的數據和代碼不受外部篡改或竊取。相比傳統解決方案，海光的CSV（China SecureVirtualization）技術具備提供獨立的密鑰管理與虛擬機加密功能、支持大數據量處理和AI場景下的異構加速和滿足云計算場景下的數據安全需求的優勢。

至于可信計算，是指通過建立可信環境以確保計算設備和數據的安全性。從技術路徑來看，可信計算體系最重要的是底層的硬件信任根，信任根是可信的基礎和源頭。目前國內部分CPU產品，采用的傳統實現信任根的方式多是依賴于主板上專門的硬件模塊，在成本、安全性及易用性上存在一定的缺陷。

針對于此，海光信息可信計算的核心是通過建立硬件信任根（Root of Trust），實現系統從硬件到軟件的全鏈條信任傳遞。例如硬件信任根是借助芯片內置的硬件安全模塊（TPM）通過加密技術驗證系統啟動的完整性，來防止未經授權的硬件和軟件介入，而動態可信傳遞則是在系統運行過程中，海光芯片能夠動態檢測并報告系統的安全狀態，實現實時的安全性保障。

海光芯片可做到安全啟動，以及動態度量保護。其中安全啟動是保障設備在啟動過程中，可以基于硬件的可信根，驗證平臺的相關部件，保證平臺部件的完整性。而動態度量保護更多的是要保證系統在運行過程中的持續監控，通過動態度量相關的手段，來防止設備在運行過程中的非法操作。

最后在漏洞防御方面，海光也同樣做了大量自主創新的工作。不可否認，抵御底層硬件漏洞的攻擊是所有芯片廠商都需要面對的嚴峻挑戰。為此，海光信息芯片構建了全面、立體的漏洞防御體系。

芯片內置的漏洞檢測模塊能夠實時監控潛在的緩沖區溢出、代碼注入等攻擊行為，并在第一時間觸發防御機制；而自動化漏洞修復則通過與操作系統和應用軟件的深度集成，確保漏洞修復的時效性和全面性。

海光信息的漏洞防御手段主要是兩類，一類是基于硬件的防御，海光信息會建立完善的應急響應機制，構建芯片漏洞庫。而另外一類針對軟件的漏洞，海光信息應用了新興的技術，例如通過比較影子棧以及程序棧之間的反饋，有效應對一些基于程序執行控制流的攻擊，來防御基于緩沖區溢出的軟件類漏洞的攻擊。

為了支持上述四大核心能力，海光通過自主研發創新，在芯片中添加安全密鑰、安全處理器、安全啟動、安全存儲、密鑰管理及使用、動態度量保護、內存加密、機密計算、密碼計算、可信計算標準支持、芯片安全防護等功能，實現了芯片安全系統化、綜合化的防御，實現的是從底層固件到上層應用軟件的全方位保護，恐怕這才是其芯片安全有別于國內同類產品最大的競爭優勢。

應用中不斷精進，未來可期

所謂實踐是檢驗真理的惟一標準。對于芯片安全也是如此，惟有在市場中得到應用和檢驗才是安全價值的真體現。

我們這里還是以前述的海光信息為例，來證明芯片安全給市場和行業帶來的價值。

眾所周知，在金融行業中，信息安全是至關重要的。目前海光信息已與多家金融機構合作，推出了一系列基于海光CPU的安全加密產品。例如，某證券公司基于海光CPU的加密能力，成功地對其證券交易系統進行了國密改造。改造后的系統不僅符合國家的安全合規要求，還能夠在高并發的交易環境中保持較高的處理效率。

又如在對數據敏感性和私密性要求極高的醫療行業，海光芯片的機密計算技術可確保醫療數據在云端存儲和共享的過程中始終處于加密狀態。而某省級醫院通過部署海光芯片，在實現醫療數據共享的同時，確保了患者隱私不被泄露。

而在多租戶的云計算環境中，用戶數據的隔離和加密是服務商的重要競爭力。通過海光芯片的機密計算和虛擬機加密技術，國內某頂級云服務商成功推出了基于機密計算的云實例，為用戶提供高安全等級的云服務。

除了上述行業和應用場景外，海光信息還與許多業內廠商建立了多種不同層次的合作。

例如麒麟軟件與海光的合作主要體現在操作系統對海光處理器的適配上。銀河麒麟操作系統從項目立項初期，就將海光處理器的安全技術作為重要組成部分，確保安全技術的早期和全面適配。在此過程中，麒麟軟件通過充分利用海光處理器的國密加速能力，在加密領域做出了突破，減少了對外部密碼卡的依賴，降低了成本，同時確保了合規性。

此外，麒麟還與海光共同推動在銀行、證券、公安、政府等多個領域的安全創新應用，特別是在加密和服務器密碼技術方面，推動了數字安全技術的實踐落地。

對此，麒麟軟件安全產品專家魏剛評價稱，麒麟軟件和海光的合作不僅提升了操作系統的安全性，還通過深度整合安全生態，促進了整個產業鏈的協同創新，同時，通過與海光的緊密合作，麒麟軟件推動了國產操作系統和處理器的普及，進一步實現了國產化替代，降低了對外部技術的依賴。

相較于麒麟軟件，沖量在線則從基礎的海光CPU+GPU硬件平臺開始，逐步推出了AI隱私計算相關的硬件、軟件產品，如AI pass、隱私計算一體機等。通過這些產品，用戶可以快速部署基于海光芯片的AI安全推理和隱私計算環境。目前，沖量在線的技術在多個行業中得到了應用，包括銀行、通信、公安等領域。例如，浦發銀行使用沖量在線與海光的技術組合，開展AI模型開放服務，在保護數據隱私的同時，實現了合同和票據的自動識別。

對此，沖量在線創始人劉堯稱，沖量在線的解決方案在技術上對標了國際領先的產品，如英偉達的H100，尤其在AI計算和可信執行環境的結合上，沖量在線與海光的合作已達到國際主流技術水平。

站在現在看未來，海光信息除了持續創新外，還要借助國產化，在2+8+N的體系里，把海光信息的安全賦能到各行各業，維護基礎行業的安全，打造一個安全的體系。

為此，強化芯片安全生態、推動技術標準化和探索更多行業場景無疑將是海光信息芯片安全的發展方向。

寫在最后：回望芯片安全，其實早在2017年，海光信息就成立了安全技術部，截至目前已接近8年的時間，期間在安全方面投入了大量研發，并做出了很多成果，而正是源于這種積淀，使海光信息在自身多維度實施安全保障的理念之下，目前能以其領先的密碼技術、機密計算能力、可信計算功能和漏洞防御體系，為用戶提供全方位的數據安全保障，加之其始終堅持的自主可控的技術路線，不僅滿足了國家對信息安全的戰略需求，也為各行業的信息化建設注入了強大動力，占據國產芯片安全C位自在情理之中。