深度解读！龙芯CPU何以铸就信息领域安全边疆？

8月5日，龙芯中科联合卫士通发布了龙芯安全模块及SDK，今天我们为大家带来深度技术解读，带您从技术角度走进最新产品，深度了解龙芯CPU内生安全体系！

1. 自主和安全的深度结合

龙芯是自研CPU标杆企业，有20年的研发和产业推广历史。龙芯坚持“从每一行源代码设计”的自主研发路线，掌握CPU核心设计能力。经过近20年的积累，龙芯基本完成技术“补课”。现有产品龙芯3A4000/3B4000基于28nm工艺，与AMD公司28nm工艺最后产品“挖掘机”性能相当。在研的3A5000/3C5000将达到目前AMD市场主流产品水平。

信息安全是创新发展的重要保障，CPU成为构建网络信息系统安全防护体系的起点和根基。2020年8月5日，龙芯中科联手合作伙伴发布了龙芯安全模块及SDK，并推出了龙芯CPU芯片级内生安全体系，代表我国在安全方面的两支队伍——“自主设计”队伍和“安全可信”队伍的会师。两支队伍经过几年的交流达成共识，自主的不一定安全，但不自主一定不安全。正确的做法是在自主设计的基础上，加上从可信根开始的可信机制与安全保密机制。

龙芯3A4000/3B4000在CPU芯片内集成了漏洞防范设计、硬件国密算法、安全可信模块与安全访问控制机制，已初步实现“自主设计”和“安全可信”的深度融合。

2. 龙芯CPU安全体系

龙芯CPU安全体系的基础是龙芯芯片级的内生安全机制，包括四个方面，分别是漏洞防范设计、硬件国密算法、安全可信模块、安全访问控制。

基于龙芯芯片级的内生安全机制，建立起上层的安全生态。基础安全体系包括安全固件、可信计算支撑体系、工控安全支撑体系。基础硬件设施包括各种终端电脑、服务器、网络安全设备（例如堡垒机、VPN、防火墙、交换机等）、密码设备（例如密码机、密码卡、USBKey、密码CA等）。安全操作系统为应用程序提供运行环境，制定应用安全审核、内核安全接口、以及自主访问控制等标准规范。安全平台软件是信息网络安全等级保护规范要求的产品，种类繁多，包括安全浏览器、防病毒软件、安全电子邮件、电子文档管理、安全网络会议、视频监控系统、安全登录、以及各类审计管理系统。

3. 漏洞防范设计

龙芯掌握CPU核心设计能力，芯片设计源代码全部自主研发，在设计过程中主动防范芯片漏洞、消除后门隐患。

CPU是复杂巨系统，只有通过自主研发的实践才能真正把握核心技术。2016年发现的“熔断”和“幽灵”漏洞影响全球大量Intel、ARM处理器。“熔断”和“幽灵”漏洞属于芯片硬件设计缺陷，无法通过软件打补丁或者操作系统升级的方法修复。即使Intel、ARM自己对CPU的复杂性引起的漏洞都难以完全把握，到2020年仍然发现多款引进的ARM处理器型号存在幽灵漏洞。

龙芯3A4000/3B4000及后续型号都实现对“熔断”和“幽灵”漏洞免疫。龙芯走自研CPU的路线，看得懂、改得动，能够从流水线、缓存、转移猜测等关键机理上分析漏洞、规避问题。龙芯是国内处理器中最早发布免疫CPU型号的厂商。龙芯通过硬件的方式防范漏洞，性能没有明显降低。

4. 硬件国密算法

密码是国家重要战略资源，是保障网络与信息安全的核心技术和基础支撑。《中华人民共和国密码法》于2020年1月1日正式施行，旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平，是我国密码领域的综合性、基础性法律。

龙芯3A4000/3B4000是目前唯一通过国家商密二级型号认证的CPU。龙芯3A4000/3B4000内置安全模块，集成硬件加解密算法。安全模块独立于处理器核工作，提供硬件密码引擎、密钥管理、安全存储与随机数发生等功能。安全模块支持国密算法SM2/SM3/SM4，可以取代外置密码卡。相比于使用软件进行加解密的方式，CPU硬件的加解密性能有数量级的提高，实际测试超过2Gbps。

安全模块的开发库（SDK）可以提供给厂商做定制开发。基础SDK提供最基础的密码能力；通用密码中间件基于安全模块提供统一的密码运算接口，满足多种应用对密码功能的调用需求；国密SSL基于安全模块提供符合OpenSSL框架的国密算法和国密协议。

龙芯在商用密码领域具有高安全、低成本、易使用、轻改造和强合规等特点。龙芯CPU与密码融合设计，可以在确保安全的前提下发挥最大效能。在商密、等保领域，龙芯安全性有明显优势。

5. 安全可信模块

安全可信是囯家网络安全法律、战略和等保制度的明确要求。计算机结构无防护机理及部件的先天性缺陷，导致传统的“封堵查”老三样被动防御难以应对严峻的安全形势。主动免疫可信计算是指计算运算的同时进行安全防护。

龙芯3A4000/3B4000内部集成安全可信管理功能，可以在硬件层面实现基于国密算法进行可信计算，取代外置可信芯片。龙芯支持可信管理功能内置于CPU芯片的整机设备，操作系统层部署可信软件基，由可信节点和可信管理中心共同组建可信系统。

基于龙芯CPU芯片的可信计算解决方案已经在桌面电脑、服务器、工业控制等领域构建了实际案例，在各行业广泛应用。

6. 安全访问控制

龙芯支持流水线级别的安全访问控制环境，实现CPU本质安全的新型安全防御机制。

龙芯3A4000/3B4000在CPU核内增加安全功能，可以监督内部模块行为、上层BIOS/操作系统行为。例如，“影子栈”机制可以防范内核栈溢出攻击，独立的内存防护单元可以保护敏感内存区间不被修改，I/O防护机制可以对外设的访问进行监管。

龙芯安全访问控制环境相当于“把纪检组派到办公室”，实现了CPU注重效率和增强本质安全的有机融合，安全性进一步提高，性能也进一步提高，同时大幅度降低整机成本。龙芯在自主研发过程中形成“听党指挥”的技术能力，成为确保信息安全“枪杆子”。

7. 龙芯安全解决方案

龙芯致力于建设生态体系，联合安全固件、网安/密码设备、安全操作系统、安全浏览器、等级保护2.0等产品厂商共同研发解决方案。

安全固件为龙芯计算平台提供安全引导和运行环境。安全固件可实现六方面功能，包括安全引导、数据保护、身份认证、可信度量、可信恢复、配置管理。

安全操作系统在安全扫描与攻防、应用商店签名与审核、终端安全中心建设、安全性测试标准制定、漏洞跟踪与报告流程等方面形成了自己的技术能力和体系，在保持良好使用体验和性能的条件下捍卫用户系统安全。

龙芯平台浏览器已完成国密改造，支持国密证书，可以访问国密网关、国密Web服务器。浏览器调用龙芯硬件国密算法，相比以前采用软件的计算方式，SM3散列性能提升14倍，SM4性能提升20倍。

网络安全设备可以采用龙芯1A、1B、2H、2K、3A系列处理器，满足低、中、高不同档次需求。国内一线安全设备厂商所提供的龙芯产品包括交换机、路由器、VPN、防火墙、堡垒机、网闸、负载均衡等。

密码设备可以采用龙芯CPU研制密码服务器、通讯加密机、CA服务器等，利用龙芯硬件密码功能实现加解密运算，已批量应用于多个领域。

工控安全领域采用龙芯实现可信方案，基于龙芯2K1000、3A4000等实现安全可信PLC控制器，是实现制造业数字化、网络化、智能化的关键设备。

龙芯全线适配等级保护2.0安全产品。龙芯已经与国内超过50家专业安全软件厂商合作，龙芯平台上已经适配的产品超过500种，类型覆盖防病毒软件、漏洞扫描系统、网络审计系统、网页防篡改系统、数据防泄漏系统等，可以全面满足等级保护2.0要求。

8. 筑造信息安全边疆

龙芯实现自主和安全的深度融合。龙芯处理器核心的微结构和物理设计全部自主研发，取得数百项专利，知识产权自主掌握，有能力从根源上规避漏洞。龙芯研发团队全部在国内，核心骨干有二十年研发背景，是真正掌握CPU设计技术的科技队伍。龙芯有长远的处理器、桥片、显卡等核心设备发展战略和蓝图。龙芯坚持建设“从端到云”的开放生态，带动产业链厂商共同提高技术和服务能力，带动行业和区域产业链广泛合作。

发展自主CPU、建立自主信息技术体系和产业生态，是国家的需要、时代的需要。信息技术应用创新面临前所未有的机遇，龙芯将与安全厂商相向而行，共同筑造信息安全边疆！