8月5日，龍芯中科聯合衛士通發布了龍芯安全模塊及SDK，今天我們為大家帶來深度技術解讀，帶您從技術角度走進最新產品，深度了解龍芯CPU內生安全體系！

1. 自主和安全的深度結合

龍芯是自研CPU標桿企業，有20年的研發和產業推廣歷史。龍芯堅持“從每一行源代碼設計”的自主研發路線，掌握CPU核心設計能力。經過近20年的積累，龍芯基本完成技術“補課”。現有產品龍芯3A4000/3B4000基于28nm工藝，與AMD公司28nm工藝最后產品“挖掘機”性能相當。在研的3A5000/3C5000將達到目前AMD市場主流產品水平。

信息安全是創新發展的重要保障，CPU成為構建網絡信息系統安全防護體系的起點和根基。2020年8月5日，龍芯中科聯手合作伙伴發布了龍芯安全模塊及SDK，并推出了龍芯CPU芯片級內生安全體系，代表我國在安全方面的兩支隊伍——“自主設計”隊伍和“安全可信”隊伍的會師。兩支隊伍經過幾年的交流達成共識，自主的不一定安全，但不自主一定不安全。正確的做法是在自主設計的基礎上，加上從可信根開始的可信機制與安全保密機制。

龍芯3A4000/3B4000在CPU芯片內集成了漏洞防范設計、硬件國密算法、安全可信模塊與安全訪問控制機制，已初步實現“自主設計”和“安全可信”的深度融合。

2. 龍芯CPU安全體系

龍芯CPU安全體系的基礎是龍芯芯片級的內生安全機制，包括四個方面，分別是漏洞防范設計、硬件國密算法、安全可信模塊、安全訪問控制。

基于龍芯芯片級的內生安全機制，建立起上層的安全生態。基礎安全體系包括安全固件、可信計算支撐體系、工控安全支撐體系。基礎硬件設施包括各種終端電腦、服務器、網絡安全設備（例如堡壘機、VPN、防火墻、交換機等）、密碼設備（例如密碼機、密碼卡、USBKey、密碼CA等）。安全操作系統為應用程序提供運行環境，制定應用安全審核、內核安全接口、以及自主訪問控制等標準規范。安全平臺軟件是信息網絡安全等級保護規范要求的產品，種類繁多，包括安全瀏覽器、防病毒軟件、安全電子郵件、電子文檔管理、安全網絡會議、視頻監控系統、安全登錄、以及各類審計管理系統。

3. 漏洞防范設計

龍芯掌握CPU核心設計能力，芯片設計源代碼全部自主研發，在設計過程中主動防范芯片漏洞、消除后門隱患。

CPU是復雜巨系統，只有通過自主研發的實踐才能真正把握核心技術。2016年發現的“熔斷”和“幽靈”漏洞影響全球大量Intel、ARM處理器。“熔斷”和“幽靈”漏洞屬于芯片硬件設計缺陷，無法通過軟件打補丁或者操作系統升級的方法修復。即使Intel、ARM自己對CPU的復雜性引起的漏洞都難以完全把握，到2020年仍然發現多款引進的ARM處理器型號存在幽靈漏洞。

龍芯3A4000/3B4000及后續型號都實現對“熔斷”和“幽靈”漏洞免疫。龍芯走自研CPU的路線，看得懂、改得動，能夠從流水線、緩存、轉移猜測等關鍵機理上分析漏洞、規避問題。龍芯是國內處理器中最早發布免疫CPU型號的廠商。龍芯通過硬件的方式防范漏洞，性能沒有明顯降低。

4. 硬件國密算法

密碼是國家重要戰略資源，是保障網絡與信息安全的核心技術和基礎支撐。《中華人民共和國密碼法》于2020年1月1日正式施行，旨在規范密碼應用和管理，促進密碼事業發展，保障網絡與信息安全，提升密碼管理科學化、規范化、法治化水平，是我國密碼領域的綜合性、基礎性法律。

龍芯3A4000/3B4000是目前唯一通過國家商密二級型號認證的CPU。龍芯3A4000/3B4000內置安全模塊，集成硬件加解密算法。安全模塊獨立于處理器核工作，提供硬件密碼引擎、密鑰管理、安全存儲與隨機數發生等功能。安全模塊支持國密算法SM2/SM3/SM4，可以取代外置密碼卡。相比于使用軟件進行加解密的方式，CPU硬件的加解密性能有數量級的提高，實際測試超過2Gbps。

安全模塊的開發庫（SDK）可以提供給廠商做定制開發。基礎SDK提供最基礎的密碼能力；通用密碼中間件基于安全模塊提供統一的密碼運算接口，滿足多種應用對密碼功能的調用需求；國密SSL基于安全模塊提供符合OpenSSL框架的國密算法和國密協議。

龍芯在商用密碼領域具有高安全、低成本、易使用、輕改造和強合規等特點。龍芯CPU與密碼融合設計，可以在確保安全的前提下發揮最大效能。在商密、等保領域，龍芯安全性有明顯優勢。

5. 安全可信模塊

安全可信是囯家網絡安全法律、戰略和等保制度的明確要求。計算機結構無防護機理及部件的先天性缺陷，導致傳統的“封堵查”老三樣被動防御難以應對嚴峻的安全形勢。主動免疫可信計算是指計算運算的同時進行安全防護。

龍芯3A4000/3B4000內部集成安全可信管理功能，可以在硬件層面實現基于國密算法進行可信計算，取代外置可信芯片。龍芯支持可信管理功能內置于CPU芯片的整機設備，操作系統層部署可信軟件基，由可信節點和可信管理中心共同組建可信系統。

基于龍芯CPU芯片的可信計算解決方案已經在桌面電腦、服務器、工業控制等領域構建了實際案例，在各行業廣泛應用。

6. 安全訪問控制

龍芯支持流水線級別的安全訪問控制環境，實現CPU本質安全的新型安全防御機制。

龍芯3A4000/3B4000在CPU核內增加安全功能，可以監督內部模塊行為、上層BIOS/操作系統行為。例如，“影子棧”機制可以防范內核棧溢出攻擊，獨立的內存防護單元可以保護敏感內存區間不被修改，I/O防護機制可以對外設的訪問進行監管。

龍芯安全訪問控制環境相當于“把紀檢組派到辦公室”，實現了CPU注重效率和增強本質安全的有機融合，安全性進一步提高，性能也進一步提高，同時大幅度降低整機成本。龍芯在自主研發過程中形成“聽黨指揮”的技術能力，成為確保信息安全“槍桿子”。

7. 龍芯安全解決方案

龍芯致力于建設生態體系，聯合安全固件、網安/密碼設備、安全操作系統、安全瀏覽器、等級保護2.0等產品廠商共同研發解決方案。

安全固件為龍芯計算平臺提供安全引導和運行環境。安全固件可實現六方面功能，包括安全引導、數據保護、身份認證、可信度量、可信恢復、配置管理。

安全操作系統在安全掃描與攻防、應用商店簽名與審核、終端安全中心建設、安全性測試標準制定、漏洞跟蹤與報告流程等方面形成了自己的技術能力和體系，在保持良好使用體驗和性能的條件下捍衛用戶系統安全。

龍芯平臺瀏覽器已完成國密改造，支持國密證書，可以訪問國密網關、國密Web服務器。瀏覽器調用龍芯硬件國密算法，相比以前采用軟件的計算方式，SM3散列性能提升14倍，SM4性能提升20倍。

網絡安全設備可以采用龍芯1A、1B、2H、2K、3A系列處理器，滿足低、中、高不同檔次需求。國內一線安全設備廠商所提供的龍芯產品包括交換機、路由器、VPN、防火墻、堡壘機、網閘、負載均衡等。

密碼設備可以采用龍芯CPU研制密碼服務器、通訊加密機、CA服務器等，利用龍芯硬件密碼功能實現加解密運算，已批量應用于多個領域。

工控安全領域采用龍芯實現可信方案，基于龍芯2K1000、3A4000等實現安全可信PLC控制器，是實現制造業數字化、網絡化、智能化的關鍵設備。

龍芯全線適配等級保護2.0安全產品。龍芯已經與國內超過50家專業安全軟件廠商合作，龍芯平臺上已經適配的產品超過500種，類型覆蓋防病毒軟件、漏洞掃描系統、網絡審計系統、網頁防篡改系統、數據防泄漏系統等，可以全面滿足等級保護2.0要求。

8. 筑造信息安全邊疆

龍芯實現自主和安全的深度融合。龍芯處理器核心的微結構和物理設計全部自主研發，取得數百項專利，知識產權自主掌握，有能力從根源上規避漏洞。龍芯研發團隊全部在國內，核心骨干有二十年研發背景，是真正掌握CPU設計技術的科技隊伍。龍芯有長遠的處理器、橋片、顯卡等核心設備發展戰略和藍圖。龍芯堅持建設“從端到云”的開放生態，帶動產業鏈廠商共同提高技術和服務能力，帶動行業和區域產業鏈廣泛合作。

發展自主CPU、建立自主信息技術體系和產業生態，是國家的需要、時代的需要。信息技術應用創新面臨前所未有的機遇，龍芯將與安全廠商相向而行，共同筑造信息安全邊疆！