en

深度解读!龙芯cpu何以铸就信息领域安全边疆?-网上捕鱼网络版

loongson news

栏目导航

深度解读!龙芯cpu何以铸就信息领域安全边疆?

发布时间:2020-08-24    已阅读:次

8月5日,龙芯中科联合卫士通发布了龙芯安全模块及sdk,今天我们为大家带来深度技术解读,带您从技术角度走进最新产品,深度了解龙芯cpu内生安全体系!

1. 自主和安全的深度结合

龙芯是自研cpu标杆企业,有20年的研发和产业推广历史。龙芯坚持“从每一行源代码设计”的自主研发路线,掌握cpu核心设计能力。经过近20年的积累,龙芯基本完成技术“补课”。现有产品龙芯3a4000/3b4000基于28nm工艺,与amd公司28nm工艺最后产品“挖掘机”性能相当。在研的3a5000/3c5000将达到目前amd市场主流产品水平。

信息安全是创新发展的重要保障,cpu成为构建网络信息系统安全防护体系的起点和根基。2020年8月5日,龙芯中科联手网上捕鱼网络版的合作伙伴发布了龙芯安全模块及sdk,并推出了龙芯cpu芯片级内生安全体系,代表我国在安全方面的两支队伍——“自主设计”队伍和“安全可信”队伍的会师。两支队伍经过几年的交流达成共识,自主的不一定安全,但不自主一定不安全。正确的做法是在自主设计的基础上,加上从可信根开始的可信机制与安全保密机制。

龙芯3a4000/3b4000在cpu芯片内集成了漏洞防范设计、硬件国密算法、安全可信模块与安全访问控制机制,已初步实现“自主设计”和“安全可信”的深度融合。

2. 龙芯cpu安全体系

龙芯cpu安全体系的基础是龙芯芯片级的内生安全机制,包括四个方面,分别是漏洞防范设计、硬件国密算法、安全可信模块、安全访问控制。

基于龙芯芯片级的内生安全机制,建立起上层的安全生态。基础安全体系包括安全固件、可信计算支撑体系、工控安全支撑体系。基础硬件设施包括各种终端电脑、服务器、网络安全设备(例如堡垒机、vpn、防火墙、交换机等)、密码设备(例如密码机、密码卡、usbkey、密码ca等)。安全操作系统为应用程序提供运行环境,制定应用安全审核、内核安全接口、以及自主访问控制等标准规范。安全平台软件是信息网络安全等级保护规范要求的产品,种类繁多,包括安全浏览器、防病毒软件、安全电子邮件、电子文档管理、安全网络会议、视频监控系统、安全登录、以及各类审计管理系统。

3. 漏洞防范设计

龙芯掌握cpu核心设计能力,芯片设计源代码全部自主研发,在设计过程中主动防范芯片漏洞、消除后门隐患。

cpu是复杂巨系统,只有通过自主研发的实践才能真正把握核心技术。2016年发现的“熔断”和“幽灵”漏洞影响全球大量intel、arm处理器。“熔断”和“幽灵”漏洞属于芯片硬件设计缺陷,无法通过软件打补丁或者操作系统升级的方法修复。即使intel、arm自己对cpu的复杂性引起的漏洞都难以完全把握,到2020年仍然发现多款引进的arm处理器型号存在幽灵漏洞。

龙芯3a4000/3b4000及后续型号都实现对“熔断”和“幽灵”漏洞免疫。龙芯走自研cpu的路线,看得懂、改得动,能够从流水线、缓存、转移猜测等关键机理上分析漏洞、规避问题。龙芯是国内处理器中最早发布免疫cpu型号的厂商。龙芯通过硬件的方式防范漏洞,性能没有明显降低。

4. 硬件国密算法

密码是国家重要战略资源,是保障网络与信息安全的核心技术和基础支撑。《中华人民共和国密码法》于2020年1月1日正式施行,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。

龙芯3a4000/3b4000是目前唯一通过国家商密二级型号认证的cpu。龙芯3a4000/3b4000内置安全模块,集成硬件加解密算法。安全模块独立于处理器核工作,提供硬件密码引擎、密钥管理、安全存储与随机数发生等功能。安全模块支持国密算法sm2/sm3/sm4,可以取代外置密码卡。相比于使用软件进行加解密的方式,cpu硬件的加解密性能有数量级的提高,实际测试超过2gbps。

安全模块的开发库(sdk)可以提供给厂商做定制开发。基础sdk提供最基础的密码能力;通用密码中间件基于安全模块提供统一的密码运算接口,满足多种应用对密码功能的调用需求;国密ssl基于安全模块提供符合openssl框架的国密算法和国密协议。

龙芯在商用密码领域具有高安全、低成本、易使用、轻改造和强合规等特点。龙芯cpu与密码融合设计,可以在确保安全的前提下发挥最大效能。在商密、等保领域,龙芯安全性有明显优势。

5. 安全可信模块

安全可信是囯家网络安全法律、战略和等保制度的明确要求。计算机结构无防护机理及部件的先天性缺陷,导致传统的“封堵查”老三样被动防御难以应对严峻的安全形势。主动免疫可信计算是指计算运算的同时进行安全防护。

龙芯3a4000/3b4000内部集成安全可信管理功能,可以在硬件层面实现基于国密算法进行可信计算,取代外置可信芯片。龙芯支持可信管理功能内置于cpu芯片的整机设备,操作系统层部署可信软件基,由可信节点和可信管理中心共同组建可信系统。

基于龙芯cpu芯片的可信计算网上捕鱼网络版的解决方案已经在桌面电脑、服务器、工业控制等领域构建了实际案例,在各行业广泛应用。

6. 安全访问控制

龙芯支持流水线级别的安全访问控制环境,实现cpu本质安全的新型安全防御机制。

龙芯3a4000/3b4000在cpu核内增加安全功能,可以监督内部模块行为、上层bios/操作系统行为。例如,“影子栈”机制可以防范内核栈溢出攻击,独立的内存防护单元可以保护敏感内存区间不被修改,i/o防护机制可以对外设的访问进行监管。

龙芯安全访问控制环境相当于“把纪检组派到办公室”,实现了cpu注重效率和增强本质安全的有机融合,安全性进一步提高,性能也进一步提高,同时大幅度降低整机成本。龙芯在自主研发过程中形成“听党指挥”的技术能力,成为确保信息安全“枪杆子”。

7. 龙芯安全网上捕鱼网络版的解决方案

龙芯致力于建设生态体系,联合安全固件、网安/密码设备、安全操作系统、安全浏览器、等级保护2.0等产品厂商共同研发网上捕鱼网络版的解决方案。

安全固件为龙芯计算平台提供安全引导和运行环境。安全固件可实现六方面功能,包括安全引导、数据保护、身份认证、可信度量、可信恢复、配置管理。

安全操作系统在安全扫描与攻防、应用商店签名与审核、终端安全中心建设、安全性测试标准制定、漏洞跟踪与报告流程等方面形成了自己的技术能力和体系,在保持良好使用体验和性能的条件下捍卫用户系统安全。

龙芯平台浏览器已完成国密改造,支持国密证书,可以访问国密网关、国密web服务器。浏览器调用龙芯硬件国密算法,相比以前采用软件的计算方式,sm3散列性能提升14倍,sm4性能提升20倍。

网络安全设备可以采用龙芯1a、1b、2h、2k、3a系列处理器,满足低、中、高不同档次需求。国内一线安全设备厂商所提供的龙芯产品包括交换机、路由器、vpn、防火墙、堡垒机、网闸、负载均衡等。

密码设备可以采用龙芯cpu研制密码服务器、通讯加密机、ca服务器等,利用龙芯硬件密码功能实现加解密运算,已批量应用于多个领域。

工控安全领域采用龙芯实现可信方案,基于龙芯2k1000、3a4000等实现安全可信plc控制器,是实现制造业数字化、网络化、智能化的关键设备。

龙芯全线适配等级保护2.0安全产品。龙芯已经与国内超过50家专业安全软件厂商合作,龙芯平台上已经适配的产品超过500种,类型覆盖防病毒软件、漏洞扫描系统、网络审计系统、网页防篡改系统、数据防泄漏系统等,可以全面满足等级保护2.0要求。

8. 筑造信息安全边疆

龙芯实现自主和安全的深度融合。龙芯处理器核心的微结构和物理设计全部自主研发,取得数百项专利,知识产权自主掌握,有能力从根源上规避漏洞。龙芯研发团队全部在国内,核心骨干有二十年研发背景,是真正掌握cpu设计技术的科技队伍。龙芯有长远的处理器、桥片、显卡等核心设备发展战略和蓝图。龙芯坚持建设“从端到云”的开放生态,带动产业链厂商共同提高技术和服务能力,带动行业和区域产业链广泛合作。

发展自主cpu、建立自主信息技术体系和产业生态,是国家的需要、时代的需要。信息技术应用创新面临前所未有的机遇,龙芯将与安全厂商相向而行,共同筑造信息安全边疆!