2016年4月19日，習總書記強調指出，要樹立正確的網絡安全觀，加快構建關鍵信息基礎設施安全保障體系，增強網絡安全防御能力和威懾能力。正確的網絡安全觀即總書記倡導的“總體國家安全觀”，是指網絡安全是整體的而不是割裂的，網絡安全對國家安全牽一發而動全身，沒有網絡安全就沒有國家安全。

眾所周知，安全已經是萬物互聯智能時代的核心需求，CPU作為無處不在的算力基石，其本身的安全性尤為重要，CPU自身不安全就無法實現網絡安全。正值習總書記“4 19”重要講話六周年之際，縱觀國內CPU廠商，對安全的重視程度、投入力度參差不齊。有的廠商已經開始積極探索系統化、全局化的CPU安全機制，開創性地提出了CPU安全的相關標準，從CPU層面實現了國產計算機系統自底向上的本質安全，宛如“疫苗”一樣為計算機構筑起一道牢固的安全屏障。

敢為人先謀CPU安全

國家互聯網應急中心(CNCERT)發布的《2021年上半年我國互聯網網絡安全監測數據分析報告》顯示，國家信息安全漏洞共享平臺(CNVD)收錄通用型安全漏洞13083個，同比增長18.2%。其中，零日漏洞收錄數量為7107個，占總收錄漏洞數量的54.3%，同比大幅增長55.1%。這些漏洞在披露時尚未發布補丁或相應的應急措施，嚴重威脅我國網絡空間安全。

嚴峻的網絡安全形勢，對國產CPU提出了更高的挑戰。而6年前，國產CPU的性能與國外廠商的整體差距還比較大，國內芯片廠商主要將研發重點放在性能的追趕上。

彼時，飛騰CPU在信創圈還是一個“新人”，知之者甚少。2016年4月19日習總書記的重要講話使飛騰CPU研發團隊意識到網絡安全責任重大，于是在后續產品的研發設計中除了注重性能突破之外，還把安全提升到了極其重要的位置。

“自主不等于安全，高性能也不代表高安全。”飛騰信息技術有限公司副總經理郭御風表示，CPU設計除了要自主正向設計封堵后門之外，還需要通過系統的主動安全設計對漏洞風險進行免疫，探索如何將安全設計理念融入到國產CPU設計的方方面面，在處理器設計的整個流程中貫穿安全設計的思想，從架構上、軟硬件總體上去把握，通過防后門、堵漏洞，真正將安全植入到“芯內”去。

凡事預則立，不預則廢。正是秉承這樣的安全理念，以“聚焦信息系統核心芯片，支撐國家信息安全與產業發展”為使命，從2016年到2019年，飛騰一直在謀劃、制定安全架構規范，設計研發主動免疫的可信計算CPU。飛騰安全技術團隊對處理器安全及其相關領域進行了廣泛研究與前沿探索，涉及處理器安全微架構設計、側信道攻擊與防御、固件安全和虛擬化安全等諸多方向。敢為人先謀安全，也為飛騰CPU在信創市場后來居上打下了扎實的根基。

PSPA“疫苗”筑牢安全屏障

作為信息系統的安全基石，CPU如何真正做到防后門、堵漏洞?

經過三年多的思考、設計、迭代，2019年12月19日，飛騰公司制定的國內首個處理器安全架構規范PSPA1.0(Phytium Security Platform Architecture)正式亮相，這也是國產CPU企業首次發布CPU層面的安全架構規范，從CPU層面實現了國產計算機系統自底向上的本質安全。可信計算3.0是我國網絡安全等保2.0標準確定的核心防御技術，飛騰PSPA實現了可信計算3.0的安全架構，真正將安全可信做到了“芯內”。

PSPA1.0從十個方面定義了安全處理器中涉及的軟硬件功能和屬性，包括密碼加速引擎、密鑰管理、可信啟動、可信執行環境、安全存儲、固件管理、量產注入、生命周期管理、抗物理攻擊和硬件漏洞免疫，涉及芯片的硬件設計、固件設計、量產等多個方面，對密碼算法、可信計算、全周期管理、抗攻擊、生產安全等方面均有全面的考慮和解決方案。

從國家互聯網應急中心(CNCERT)發布的報告可以看出，隨著網絡攻擊日益常態化、嚴峻化，安全已經成為各行各業的“強需求”。PSPA宛如“疫苗”一樣，為計算機構筑起一道牢固的安全屏障，守護數據安全。

值得注意的是，在PSPA1.0正式發布之前，飛騰就已經在高效能桌面芯片FT-2000/4的設計中貫穿了PSPA1.0的相關要求，進行了產品層面的實驗驗證。2019年9月首發的FT-2000/4在內置安全性方面擁有獨到創新，從CPU層面為可信計算提供了有效支撐。2020年12月推出的8核桌面CPU飛騰騰銳D2000也支持PSPA1.0規范。這兩款CPU已成為飛騰的“明星產品”，廣泛應用于政務、金融、交通、電力等重要領域。

“CPU疫苗”應用進行時

疫苗研究出來了，得讓大多數人用起來，才能增強身體免疫力。同理，“CPU疫苗”只有實現落地應用，才能發揮其真正價值，真正做到為網絡安全保駕護航。

飛騰高度重視可信計算產業的生態建設。依托自主定義的安全可信架構規范，以及日益豐富的安全CPU產品譜系，飛騰廣泛聯手合作伙伴壯大安全可信生態圈，共同打造本質安全的聯合解決方案，助推信創產業安全體系的構建和PSPA的落地應用。

為切實解決從設備硬件到固件、操作系統以及業務應用的整體可信安全問題，為政務、能源、交通、金融等行業的關鍵信息基礎設施提供端到端的安全可信計算解決方案，2021年飛騰攜手北京計算機技術及應用研究所、麒麟軟件、可信華泰、中電科技推出了PSPA可信計算聯合解決方案，并已經在相關部門的業務管理系統的計算機終端落地應用。該落地項目以飛騰可信核為基礎構建了片內可信根，實現了主動免疫的防御能力。北京計算機技術及應用研究所攜手生態伙伴，基于飛騰網安版FT-2000/4及PSPA1.0研發了符合可信計算3.0標準的可信計算機終端，內置在CPU中的安全機制得到了充分的應用。

該聯合解決方案代表了可信計算3.0新一代創新的軟硬件技術路線，由飛騰CPU等內置硬件提供支撐，減少對外部擴展的依賴，全面提升了計算性能、安全性、集成度以及兼容性，真正實現了最深層的內生免疫能力，使得可信計算3.0的軟硬件產品的可用性、易用性得到了大幅度提升，為可信計算產品大范圍應用推廣奠定了堅實的基礎。

此外，飛騰攜手大唐高鴻信安推出了基于PSPA安全架構標準的可信系統聯合解決方案，已榮獲由中國電子工業標準化技術協會“信創工委會”頒發的“信創安全優秀解決方案”獎。

“有了PSPA這個免疫系統，計算機終端的安全更有保障了。”飛騰某生態伙伴表示。

PSPA2.0即將發布

數字經濟將囊括經濟、社會、生活的方方面面，信息安全將面臨前所未有的挑戰。“十四五”規劃綱要指出，要維護新型領域安全，全面加強網絡安全保障體系和能力建設。

2022年是實施“十四五”規劃的關鍵之年，飛騰將進一步加強安全前沿技術的研究，包括處理器微架構安全一體化防護技術、面向虛擬化場景的輔助安全技術、高安全等級芯片的物理安全防護技術等;飛騰將推出PSPA2.0規范，擴展PSPA安全機制覆蓋范圍，提高PSPA安全機制支撐強度，進一步提升內生安全能力，有效護航信息安全。

據透露，PSPA2.0規范將率先用于即將發布的飛騰騰瓏E2000。飛騰后續的CPU設計，無論是面向服務器的(飛騰騰云S系列)、面向桌面的(飛騰騰銳D系列)，還是面向嵌入式的(飛騰騰瓏E系列)，都將全面支持PSPA2.0安全架構規范，使得內生安全技術的覆蓋面越來越廣。

毋庸置疑，隨著國產CPU的“疫苗”不斷推出加強版，自主算力系統的穩定運行必將堅如磐石。

原文標題：國產CPU的免疫系統是怎樣煉成的

文章出處：【微信公眾號：電子發燒友網】歡迎添加關注!文章轉載請注明出處。

審核編輯：湯梓紅