近日,龙蜥大会安全闭门会正式在北京召开,来自业内的40+位安全领域专家聚首,共同探讨软硬件安全生态建设。会上,海光全方位展示了CPU密码安全技术,凭借低成本、高安全、高效率等优势,成功打破计算加密的“不可能三角”,再次刷新了国产硬件安全水平。
“过去我们在进行信息处理的过程中,主要采用软加密或者专用加密设备等解决方案”。海光信息安全技术专家何良杰指出,这两种加密方式各有其优势,但也同时存在着成本、安全和效率之间的矛盾。
比如采用软加密方案时,采购成本相对较低,但是安全性和运行效率都很难达标;而采用加密卡、加密机等专用设备时,成本又会变得很高,并且还会面临密码运算瓶颈,无法实现弹性扩容等问题,在云端计算场景中很难直接应用。
“所以我们在CPU安全设计中引入了一种新型解决方案”,何良杰透露,海光CPU在内部集成了密码学协处理器 (CCP),底层C86指令集可支持密码学指令,同时通过密码运算加速、密钥管理和HCT等技术,为云上和大数据加密等场景带来更先进的解决方案。
据何良杰介绍,相较于传统加密方式,海光CPU的密码技术具备六大核心优势:
第一,适用性强。海光在信创安全领域具备丰富的技术应用经验,并且在项目推进过程中对国密等技术能力进行了统筹升级,这让海光CPU可适配于信创全场景需求;
第二,性能卓越。海光可信密码模块签名验签功能的性能,达到了传统加密卡的3倍左右,在SM3、SM4等算法场景中运算优势明显;
第三,安全稳定。传统加密卡多采用外挂形式,在一些场景运行下存在稳定性问题,海光可信密码模块直接内置于CPU内部,让使用过程变得更安全、更稳定;
第四,兼容性好。海光CPU支持容器和虚拟机等部署场景,且兼容K8S、OpenStack等云平台管理工具,可实现快速灵活的动态扩容;
第五,软件生态良好。海光CPU提供标准SDF接口,并通过HCT engine封装了密码协处理器的用户接口,可支持主流的密码套件,实现无缝迁移;
第六,采购成本低。海光CPU用户可以盘活当前已有的国密计算资源,无需额外采购密码卡等基础硬件,可直接进行方案升级。
根据业内反馈,海光密码技术方案的应用价值,不仅已经在用户场景中充分显现,并且还得到了产业上下游的广泛认可。
此次大会上,格尔软件的与会代表还分享了基于海光平台的商用密码应用与实践。他介绍,通过海光CPU与国产操作系统的完美兼容,双方在项目中达到了高安全性标准,并展现出绝佳的性能优势,整体运行效果受到客户团队的一致好评。
目前,海光CPU凭借安全、性能、生态等方面的综合优势,已广泛应用于交通运输、互联网、金融、能源和通信等各大主流行业,出货量占比稳居市场前列。
据悉,海光作为龙蜥社区安全联盟成员单位,后续将重点参与到硬件合作计划中,为驱动行业创新发展、共建硬件安全生态贡献力量。