StackWarp漏洞危機愈演愈烈背后：海光C86在X86生態中走出獨立安全路線

為了防個小偷，不得不把家里一半的房間門焊死，這種令人“智熄”的操作，最近卻在使用AMD處理器的云服務商身上上演了。

事情的起因是近期德國一家安全機構發現了一個名為StackWarp的芯片級漏洞，這個漏洞主要影響AMD的Zen系列處理器，導致云計算最核心的“隔離能力”出現了缺口。

什么意思？對于云服務平臺而言，作為平臺，是無權也無法觸碰用戶的數據，這就像房東不該進租客的臥室。

但StackWarp漏洞暴露出的問題是，攻擊者可以利用硬件設計的缺陷，獲得一種非法的“穿墻”能力，直接修改租戶正在運行的程序和數據，換句話來說，原本應該是保密的信息，在攻擊者面前變得透明且可被篡改。

如此嚴重的漏洞，必須馬上拿個解決方案出來，AMD給的解決方案很直接，既然是同步多線程（SMT）引起的問題，那把同步多線程禁用不就完了。

這一堪稱“甜菜”操作背后，直接導致了算力的縮水，同步多線程一旦禁用，處理器的并行處理能力會大幅下降。

對于云服務商而言，原本能支持100個虛擬服務實例的服務器，在執行防御措施后，支撐能力將直接減半，在算力需求激增的當下，這種折損背后的成本有多高，不言而喻。

但在中國市場，海光C86處理器的用戶不需要擔心這個問題。

因為從最底層的架構設計上，海光全系處理器就對StackWarp漏洞天然免疫，用戶無需升級固件，無需禁用超線程，更不需要犧牲任何計算性能，服務器可以保持滿負荷運轉，業務連續性不受影響。

在由StackWarp漏洞引發的危機背后，不難看出，海光C86架構雖然在應用層保持了對x86生態的兼容，但在底層的安全邏輯和微架構實現上，已經與X86技術路線完成了解耦，走出了一條獨立演進的道路。

通過對底層代碼的消化與重構，國產芯片廠商在同樣的指令集生態下，早已經構建出了完全不同的安全內核。

不同的架構邏輯

海光能夠防御StackWarp漏洞，根本原因在于其底層的虛擬化技術與AMD走的X86路線存在本質差異，海光通過自研的CSV3技術，在硬件層面打造了一套全新的防御機制。

要理解為什么海光能防住，首先得搞清楚攻擊者是怎么得逞的。

利用StackWarp漏洞展開攻擊的主要前提，是攻擊者必須強行讓虛擬機進入一種“走一步停一步”的狀態，在技術上，這叫“單步執行”，只有讓虛擬機停下來，攻擊者才有機會在間隙中動手腳，修改關鍵數據。

AMD的架構設計中保留了一個功能，允許主機（也就是云平臺管理方）去修改虛擬機的內存映射表（頁表），攻擊者正是鉆了這個空子，通過頻繁修改頁表，強行制造卡頓，從而實施精準攻擊。

而海光C86架構下，這個問題就不存在，因為主機本來就不該碰虛擬機的數據，在海光C86架構下，主機沒有修改頁表的權限。

海光自研的CSV3技術，鎖死了主機對虛擬機頁表的修改權，無論主機擁有多高的系統權限，都無法觸碰這一核心區域。

由于主機無法篡改頁表，攻擊者就無法制造出“單步執行”的環境，沒有了那個動手的間隙，后續的所有攻擊手段自然也就失效了。

從技術代際上看，海光的CSV3技術在功能上對標的是AMD Zen 3架構中的SEV-SNP技術。

對標自然不是照搬，如果技術路線不是自研，而是被動引入上游的新版本，那么上游架構中的每一個設計缺陷都會被同步繼承，這在ARM等其他技術體系的迭代中并不鮮見，引入新版本的同時，往往也引入了新的漏洞。

StackWarp攻擊的最終靶點是AMD的SEV-SNP技術模塊。

由于海光堅持底層自研，其處理器架構中根本不存在SEV-SNP這一模塊，攻擊者找不到預期的靶點，針對性的攻擊手段自然無法生效。

這種“原生免疫”能力，正是海光切斷了技術依賴、避免掉入上游研發陷阱的直接結果。

這種防御能力的差異，源于技術路線的分化。

海光C86架構雖然仍兼容X86生態，但在涉及安全的“信任根”（Root of Trust）層面進行了徹底重構，AMD架構的信任根是PSP（平臺安全處理器），而海光在C86架構中，將其替換為自研的HSC（海光安全處理器）。

海光C86處理器內部集成了通用的C86核心和專用的安全處理器。

安全處理器擁有獨立的ROM和RAM資源，且具有比通用核心更高的安全權限，上電時，芯片首先執行安全處理器內部固化的ROM代碼，這部分代碼在芯片生產時寫入，無法被外部篡改。

為了配合自研的信任根，海光還重寫了安全啟動的微碼，ROM代碼會使用內置的公鑰驗證加載固件的簽名，只有通過驗證的固件才能運行。

隨后，固件再驗證BIOS代碼的簽名，BIOS再驗證操作系統的簽名。這種鏈式驗證機制，從第一行代碼開始就確保了系統的純凈。

換言之，海光C86在處理虛擬化、內存加密、啟動驗證等關鍵任務時，調用的指令序列、微碼邏輯以及硬件電路，與X86架構完全不同，正是因為海光在自研安全處理器、重構虛擬化機制等領域多年的研發積淀，海光C86全系處理器才擁有了原生的StackWarp漏洞免疫能力。

對安全的重視，在海光的產品迭代中也在持續體現，海光每一代產品的微架構都在針對新的安全威脅進行調整。

例如，在應對Meltdown（熔斷）漏洞時，海光CPU在代碼執行過程中會嚴格檢查用戶訪問權限，一旦權限檢查失敗，數據訪問請求會立即失效，從硬件上免疫了熔斷攻擊。

針對Spectre（幽靈）漏洞，海光引入了IBPB（間接分支預測屏障）等指令，在進程切換時，系統會調用這些指令清除分支目標緩沖器中的條目，確保惡意代碼無法通過誘導預測執行來竊取數據。

海光C86架構的發展，實際上是一個與x86技術路線逐步解耦的過程。

在保持生態兼容的同時，海光已經將安全內核替換為自主可控的方案，這種基于底層重構的差異化，構成了應對未知硬件漏洞時的最大屏障。

算力大基建時代的安全有多重要？

StackWarp事件暴露了傳統架構在應對底層硬件漏洞時的局限性。

AMD用戶被迫在封堵漏洞和保留性能之間做選擇，海光解決這一問題的路徑是構建原生的安全體系，通過在處理器內部集成密碼技術、可信計算和機密計算三項核心能力，海光構建了一個無需犧牲性能的安全底座。

海光將這三項能力直接固化在處理器內部，形成了三層防御體系。

第一層是原生的密碼技術。

在數字化時代，密碼是保護數據隱私的第一道防線，傳統的服務器解決方案通常依賴兩種方式來實現加密，一種是純軟件加密，雖然靈活但會大量占用CPU算力，導致業務性能下降；另一種是外掛加密卡，雖然卸載了計算壓力，但增加了硬件采購成本，且受限于PCIe接口的傳輸帶寬，在高并發場景下容易成為瓶頸。

海光選擇了一條不同的路徑，在處理器內部直接集成密碼協處理器（CCP）。

這相當于在主計算單元旁邊，內置了一個專門負責加密的引擎，海光在指令集層面進行了深度定制，擴充了對國密SM2、SM3、SM4算法的原生支持。

當系統需要進行數據加密或簽名時，不需要經過慢速的外部總線，而是直接在CPU內部高速完成，根據實測數據，這種內置方案在加解密、簽名驗簽等關鍵指標上，性能表現優于高端商用密碼機。

為了讓這項硬件能力真正落地，海光還開發了HCT（Hygon Crypto Technology）軟件套件。

它向下對接底層的密碼協處理器，向上提供OpenSSL、Tongsuo等標準的開源接口。對于上層應用開發者來說，他們不需要修改代碼，也不需要關心底層使用的是軟加密還是硬加密，就能無感調用海光CPU的加密算力。

除了算得快，更重要的是密鑰本身的安全。

海光在處理器內部構建了可信密鑰管理模塊（TKM），在TKM的架構中，密鑰被嚴格區分為“內部密鑰”和“應用密鑰”，內部密鑰存儲在掉電不丟失的非易失性存儲中，負責保護其他密鑰；應用密鑰則在安全處理器內部動態生成。

整個過程中，密鑰的明文始終存儲在安全處理器內部，實現了“可用不可見”，即使攻擊者物理接觸到了服務器硬盤，也無法提取出解密數據的密鑰。

海光C86-4G處理器也因此通過了國家密碼管理局的嚴格檢測，獲得了商用密碼產品認證證書。

第二層是主動的可信計算。

如果說密碼技術是給數據上鎖，那么可信計算就是確保整個系統不被篡改，海光支持中國可信計算3.0標準（TPCM），并在此基礎上實現了獨有的TDM（可信動態度量）技術。

國際通用的TPM標準主要側重于“靜態度量”，即在系統啟動的瞬間，檢查BIOS、操作系統內核等關鍵組件的完整性。

這就像安檢員只在旅客進站時檢查證件，一旦旅客進入候車廳，傳統的TPM就失去了監控能力，如果惡意代碼在系統運行過程中通過漏洞注入內存，靜態防御往往無能為力。

海光的TDM技術填補了這一空白，將防御從“啟動時”延伸到了“運行時”。

利用內置的安全處理器，海光CPU可以在操作系統運行的同時，周期性地對內存中的關鍵目標（如內核代碼段、中斷向量表、系統調用表）進行掃描和度量。這種掃描獨立于操作系統之外，攻擊者很難繞過。

TDM還引入了雙重授權保護機制，確保只有經過授權的用戶才能修改度量策略。

一旦TDM發現內存中的數據與預設的基準值不符，它會立即觸發報警，根據用戶預設的策略，TDM甚至可以直接阻斷系統的運行，防止損失擴大。

這種主動免疫的能力，讓海光CPU在金融等高安全場景中獲得了廣泛應用。

目前，海光是國內首家內置TCM2.0可信計算方案的廠商，其產品在可信計算認證產品名單中的占比已達到50%。

第三層是隔離的機密計算。

針對云計算和虛擬化環境下的數據安全，海光通過CSV技術實現了內存實時加密。這也是防御類似StackWarp漏洞的最后一道防線。

在公共云環境中，多個租戶的虛擬機運行在同一臺物理服務器上，資源共享帶來了數據泄露的風險，CSV技術的核心邏輯是：給每一個虛擬機分配一把獨立的加密密鑰。

這些密鑰由處理器內部的隨機數發生器生成，并由安全處理器統一管理。

主機操作系統、虛擬機管理器（Hypervisor）甚至管理員都無法獲取這些密鑰。當數據離開CPU核心寫入內存條時，硬件會自動將其加密為密文；當數據從內存讀回CPU時，再自動解密。

整個加解密過程對操作系統完全透明，引入的性能開銷控制在1%以下。

這一機制不僅阻斷了軟件層面的越權訪問，也防御了物理層面的攻擊，即使攻擊者通過冷啟動攻擊或直接使用探針讀取DRAM內存條上的數據，獲得的也只是一堆無法破解的亂碼。

此外，海光還支持安全加密虛擬機的遠程身份認證。

在用戶向云端發送敏感數據之前，可以要求服務器生成一份由海光CPU簽名的“體檢報告”。這份報告包含了當前硬件環境、固件版本的度量值，用戶驗證通過后，才會建立連接。

海光第三代安全加密虛擬化技術（CSV3）進一步增強了安全性，實現了對虛擬機數據的完整性保護。

主機操作系統無法通過改寫虛擬機嵌套頁表對虛擬機實施重映射攻擊，也無法讀取和寫入安全虛擬機的密文，這也是海光能夠免疫StackWarp漏洞的原因之一。

目前，海光CSV技術已廣泛應用于隱私計算領域。

阿里云上線了基于海光CSV的機密虛擬機實例，在隱私計算影響力TOP10企業中，海光與90%的廠商建立了合作，推出了十余款基于海光CPU的一體機產品。海光安全加密虛擬機還支持機密容器，符合容器標準接口規范，能夠和Kubernetes等主流管理引擎無縫對接，保護容器內的數據安全。

這三層技術構成了海光C86架構的內生安全體系。

對于金融、電信、能源等關鍵行業而言，這種安全性提供了業務運行的確定性。海光C86-4G處理器等產品已通過國家相關部門的高級別安全認證，滿足了關鍵信息基礎設施對硬件安全的嚴苛要求。

此外，海光C86架構在提供安全保障的同時，保持了對x86生態的完整兼容。

原本運行在Intel或AMD服務器上的應用軟件，無需修改代碼即可遷移到海光平臺，并直接獲得底層的安全防護。這種“平滑遷移”的能力，極大地降低了國產化替代的成本。

從StackWarp漏洞危機背后不難看出，依賴外部技術路線需要承擔不可控的連帶風險。

當上游架構存在設計缺陷時，下游用戶卻需要支付昂貴成本，海光通過對x86架構的消化和再創新，掌握了核心技術的演進權，這種基于底層重構的獨立性，讓海光在面對波及全球的硬件漏洞時，能夠保持系統的安全與性能穩定。

在算力成為基礎設施的今天，海光C86架構的獨立演進，為中國的數字基礎設施建設提供了一個安全、可控且高效的選擇。

免責聲明：本文觀點僅代表作者本人，供參考、交流，不構成任何建議。