飞腾携手大唐高鸿信安推出安全计算联合解决方案

在新基建推进过程中，随着云计算、大数据、人工智能、物联网和区块链等新兴技术的发展和应用，各种网络安全事故频繁发生，安全威胁手段日益隐蔽，带来的危害愈加严重，传统以防火墙、入侵监测、防病毒 “ 老三样 ” 为主的安全防护手段难以应对新时期安全需求，政务、能源、交通、金融等新基建相关行业关键信息基础设施面临巨大的安全风险，一旦被恶意攻击，可能给国家、社会和企业带来不可估量的影响。

相关行业亟需构建自主创新、安全可信的业务系统，以满足网络安全空间建设的迫切要求。为有效应对相关安全挑战，飞腾与高鸿信安携手推出安全计算联合解决方案，以基于飞腾 PSPA 规范的安全处理器平台为基础，以高鸿信安系列安全计算软件为核心组件，应用可信（云）计算、机密计算和操作系统安全等技术，助力上下游合作伙伴解决从设备硬件到固件、操作系统、云计算平台及业务应用的整体安全可信问题，为政务、能源、交通、金融等行业关键信息基础设施提供端到端安全可信支撑。

PSPA（Phytium Security Platform Architecture）是飞腾公司制定的处理器安全架构标准，这也是国产 CPU 企业首次发布 CPU 层面的安全架构标准，从 CPU 层面实现了国产计算机系统自底向上的本质安全。

PSPA 从十个方面定义了安全处理器中涉及的软硬件功能和属性，包括密码加速引擎、密钥管理、可信启动、可信执行环境、安全存储、固件管理、量产注入、生命周期管理、抗物理攻击和硬件漏洞免疫，涉及芯片的硬件设计、固件设计、量产等多个方面，对密码算法、可信计算、全周期管理、抗攻击、生产安全等方面均有全面的考虑和解决方案。

飞腾已在 2019 年 9 月发布的 FT-2000/4 安全 CPU 的设计中贯穿了该规范的要求。FT-2000/4 安全 CPU 不仅在内置安全性方面拥有独到创新，而且从 CPU 层面为可信计算提供了有效支撑。其上可构建主动免疫的体系架构，能够识别和抵御病毒、木马以及利用漏洞所进行的攻击活动，有效护航信息安全。

平台硬件层面采用飞腾 PSPA 规范的安全处理器和支持中国商密算法的国产可信计算模块，确保信任起点的可信性。本方案支持基于飞腾平台的各类设备，包括计算设备（如服务器、终端等）、网络设备（如路由器、交换机等）、边界设备（如网闸、防火墙等）及其他各类设备的可信安全增强及管理。

高鸿信安可信支撑模块，为实现可信计算功能提供基础的驱动程序、可信启动模块和可信服务模块；操作系统可信增强系统对 Linux 等主流操作系统进行可信安全增强，增加主动免疫能力，具备等保 2.0 标准对 ” 安全计算环境 ” 要求的全部安全功能；可信安全管理套件具备等保 2.0 标准对 ” 安全管理中心 ” 要求的可信/安全功能，帮助用户对端到端系统进行统一可信安全管理；可信运行态保护平台/可信软件版权保护系统以可信计算技术及飞腾可信执行环境（TEE）技术等为基础，为应用程序提供高级别安全运行环境。

虚拟信任根模块利用硬件虚拟化、软件模拟等技术实现物理信任根功能，为虚拟环境提供与硬件信任根相同的安全功能；云计算可信安全增强模块提供云计算平台的可信及安全增强功能，符合等保 2.0 标准对云计算安全扩展要求的相关内容；云计算密钥管理系统为云计算平台的管理和业务提供集中的密钥管理功能，显著提升密钥保护强度。

可信云计算解决方案基于可信云基础设施，针对通用的云计算平台嵌入虚拟信任根模块、云计算可信安全增强模块和操作系统可信增强系统（支持 HostOS 和 GuestOS）等可信软件，构建具有完整可信（云）计算功能和全面云安全防护能力的可信云计算平台，支持标准 KVM/QEMU、OpenStack、Ceph 等架构，满足等保 2.0 标准安全通用要求和云计算安全扩展要求。基于软件定义的可信云基础设施架构如下图所示：

平台架构基于飞腾 PSPA 规范的安全处理器，基础设施包括服务器等计算设备、交换机等网络设备以及存储设备、边界设备等，并通过搭载国产可信计算模块，结合可信支撑模块和操作系统可信增强系统，对基础设施进行全面的可信安全增强；云资源层通过可信计算虚拟化系统、可信网络虚拟化系统和可信存储虚拟化系统，构建可信资源池；云可信管理层嵌入虚拟信任根模块、云计算可信安全增强模块、云计算密钥管理系统和可信安全管理套件，提供云计算平台的统一管理功能、可信安全管理功能等；云应用层提供云平台服务和应用接口，包括可信云管理门户和可信云开放接口等。

可信云计算解决方案可有效增强云用户数据隐私性，显著提高云用户数据与资源可感知性、可控性及云用户安全事件的可追溯性，全面提升云平台的安全性和合规性。

王彦宁

资深行业解决方案经理/架构师

聚焦信息系统核心芯片