8月18日,安恒信息聯合海光信息技術股份有限公司(以下簡稱“海光公司”)發布安全島隱私計算一體機,深度適配海光國產可信硬件底座,結合安恒AiLand安全島隱私計算應用系統,提供安全、方便、快捷的基于隱私計算一體機的數據可信安全流通產品,助力數據要素流通,賦能數據價值釋放。安恒信息首席科學家、高級副總裁劉博與海光公司副總裁應志偉出席聯合發布儀式。
海光信息技術股份有限公司成立于2014年,是一家致力于國產高性能處理器技術研究和芯片研發的高科技企業。通過幾年的努力,海光公司已成長為全球除美國Intel和AMD之外唯一可以獨立設計生產國際主流的通用高性能x86架構CPU產品的上市公司。2020年,海光獨立研發了以安全加密虛擬機為基礎的可信執行環境CSV(China Secure Virtualization)。CSV虛擬機使用國密SM4硬件引擎加密內存數據,使用獨立的Cache和TLB等資源,在CPU內構造出一個安全的TEE可信執行環境,保證主機管理員或其他用戶無法訪問TEE內的數據。CSV支持啟動度量和運行時遠程身份認證,保證運行的是合法的用戶程序。CSV加密內存的密鑰由硬件隨機數發生器生成,密鑰對軟件不可見,保證用戶的數據安全。
安全島隱私計算一體機基于海光自主研發的3000、5000、7000三個系列的CPU,與CSV可信執行環境進行了深度融合,獲得了海光CPU的TEE特性兼容性認證證書,與海光CPU硬件TEE生態兼容性認證。其中,海光可信執行環境CSV技術,將可信環境與計算任務、數據合約綁定,給用戶提供了從硬件到軟件的,數據全生命周期的安全保護;海光C86 處理器安全計算架構(CSCA)的各項安全功能,為業務系統提供更安全、更快速、更穩定的支撐。
如圖所示,海光CPU的架構設計包括安全支撐系統和性能支撐系統,給安全島隱私計算中臺及上層應用平臺提供了性能、安全性及穩定性上的支撐。
在安全支撐系統中,基于硬件機密計算功能構建的CSV機密計算模塊,給程序和數據提供了安全的執行環境。基于硬件安全啟動功能構建的系統可信模塊,給安全島隱私計算一體機上運行的系統提供了系統層面的可信保證。基于硬件動態度量的合約可信模塊,可以給安全島隱私計算一體機上運行的應用程序與數據提供可信保障。基于硬件安全存儲、安全密鑰、密碼計算的數據全生命周期加密模塊,可以給應用系統中的數據提供硬件級別的數據安全保護。基于硬件密鑰管理的密鑰管理和身份認證模塊,可以給業務系統提供安全、靈活的用戶管理功能。
在性能支撐系統中,安全島隱私計算一體機的架構設計中包含兩個部分:首先,對于密碼計算任務,使用基于海光硬件密碼計算的密碼計算模塊,給國密算法與基于國密算法的各種應用進行加速服務。然后,對于普通計算任務,特別是大數據、深度學習相關的任務,基于海光硬件DCU,給業務系統的性能與穩定性優化。
該方案構建安全支撐系統,給安全島隱私計算一體機的應用中臺提供安全保證。安全保證從以下幾個方面實現:
· 基于國產化硬件海光的可信執行環境CSV,保證了無硬件后門的存在,最小化可信執行環境技術的攻擊面,給政務、金融等高安全需求領域提供了可信的底層支撐。
· 結合硬件及軟件,保證了數據全生命周期的安全。硬件層面基于海光芯片,軟件層面使用有安恒信息獨立開發的安全島數據互聯平臺,安全層面由安恒信息多維度的網絡安全防護系統進行保障,滿足了政府機構對IT設施和軟件嚴格的安全性要求。
· 可信執行環境技術與密鑰管理與身份認證綁定,為每個用戶的身份驗證及數據安全保護提供安全保護功能。
· 可信執行環境技術與數據合約綁定,為每個計算任務創建獨立的可信環境,使不同合約之間的數據完全隔離,最終實現數據的“可用不可見”、“可用不可取”,保障多源多方數據安全計算的可靠、可控和可溯。
· 可信執行環境技術與其他隱私計算平臺結合,提供安全、可信、快速執行計算任務的基礎。其他隱私計算平臺包括安全多方計算平臺、聯邦學習平臺等。
· 可信執行環境內的操作被詳細審計和記錄,并保存在區塊鏈上,實現操作監控和歷史回放,方便后續事件溯源。
隱私計算技術已成為提升數據要素市場安全性的重要抓手。安恒信息與海光公司的強強聯手,充分融合了雙方的先進技術和行業經驗,通過軟硬件結合方式,提供一站式隱私保護計算解決方案,推動隱私計算在政府、電信、醫療、金融等關鍵領域的快速落地。
