國產CPU的安全性到底有多重要？

回答這個問題之前，我先給大家分享一條重磅消息↓

本月，我國研制的“九章四號”量子計算機打破世界紀錄，求解高難數學問題只需要25微秒，而解同一道題，世界上最快的超算需要1042年。

【來源：新華社視頻號】

網友直呼，太夸張了吧！

技術革新太快，以前很多我們不敢想、覺得不可能的事兒，都被顛覆了。

接下來，就有搞安全的吃瓜群眾開始「杞人憂天」了：

量子計算機這么快，用來破解密碼豈不是很厲害，以前那些牢不可破的密碼，是不是不安全了。

網友們的擔心并非“杞人憂天”，自從量子計算機大發展，整個密碼圈都方了，因為傳統密碼真有可能扛不住！

既然“魔”高一尺，那必須“道”高一丈，自從有了用量子計算機破解密碼這種風險，就有了專門對抗量子密碼破解的技術，這就是抗量子密碼。

因為傳統密碼學都是建立在數學難題基礎上的，比如RSA是基于大數分解難題，但量子計算機很擅長數學難題，所以傳統密碼就存在被破風險（雖然現在還沒有被攻破的先例，但必須防患未然）。

抗量子密碼其實就是用量子計算機不擅長的手段，重新定義密碼算法。

具體方案怎么搞呢？近在眼前，抗量子密碼方案就來了。

5月19日，在2026內生安全技術論壇上，海光信息聯合國泰海通證券、格爾軟件，正式發布全球首個抗量子密碼平滑遷移解決方案。

這套方案采用了「商密+抗量子密碼」混合架構，部署時可以三模無縫切換。

核心交易跑原有商密保障低延遲，高敏感數據通信則自動疊加抗量子「金鐘罩」，既平滑，又高效，還安全。

有人問，抗量子就抗量子唄，這跟海光有什么關系？

不僅有關系，而且關系很大。

首先，海光CPU自帶的硬件安全加速能力，保證這套抗量子方案安全不減速，提供高性能保障。

第二，海光芯片級安全底座，為抗量子算法提供硬件安全保障，這種內生安全能力，就好比是安全堡壘的堅不可摧的地基。

其實，“抗量子”這個方案，只是海光處理器內生安全能力的一個應用。

接下來，我給大家看看，具備內生安全能力的海光CPU，到底是怎么回事、都能干啥。

如上圖所示，海光CPU在C86通用處理器的基礎上，原生內嵌了兩個安全協處理器，一個是密碼協處理器CCP，一個是平臺安全處理器PSP。

這兩個內嵌的處理器，是實現內生安全的關鍵。

密碼協處理器（CCP），主要負責加密算法的硬件加速，可支持SM2、SM3、SM4或ECC、SHA2、AES等多種算法，性能出眾。

CCP還內置真隨機數發生器，為密鑰生成和安全協議提供高質量隨機數源。

有了CCP這個小跟班，C86通用處理器就能解放出來，專心干大事，不必為加解密操心費力。

平臺安全處理器（PSP），這家伙簡直是上帝視角，擁有系統最高權限，占用專門的ROM、RAM、密碼協處理器、安全內存，不跟C86通用處理器摻和。

作為最后一道安全大閘，PSP負責提供絕對安全的執行環境。

也就是說，即便系統中招或者C86通用處理器被拿下了，也沒法從PSP套取信任。

PSP內部支持密鑰管理、機密計算、可信計算等安全功能，并作為PCI設備對操作系統可見，通過Mailbox寄存器對外提供安全服務調用接口。

那么海光這種內生安全的架構有啥價值？

我再舉個例子，不具備內生安全的CPU，就好比傳統綠皮車，所有的活兒都靠CPU這一個車頭拉。

而有了內生安全加持的海光CPU，就像動車組，每節車廂都有動力，甚至海光DCU也可以參與進來，大家一起使勁，又快又安全。

這樣的高效率「動車組」可太能干了，都能扛哪些活兒呢？具體有四大類↓

① 密碼技術應用

基于自家CPU原生安全能力，海光提供了一套密碼算法加速開發套件——HCT。

其實就是海光CPU里的密碼算法加速和密鑰管理能力封裝出來，讓上層需要加密的業務通過OpenSSL、tongsuo、SDF等標準接口調用。

上層應用只管提需求，不管是VPP、nginx、數據庫，還是密碼機、應用網關，甚至是磁盤加密，HCT都能把相應的密碼使用請求交給底層CPU里兩個內嵌的硬件小伙伴來處理。

各種應用不需要重新造密碼輪子，不必考慮加解密性能，直接上車，又快又省。

② 機密計算應用

前面的密碼技術應用，主要解決數據存儲和傳輸時候的保密問題。

而機密計算是指數據「正在被計算」的時候，也能受到保護，這個時候數據通常要解密成明文，放進內存交給程序計算，這就存在被竊取或篡改的風險。

海光依托原生安全能力，采用CSV安全虛擬化方案來落地機密計算，這套方案的核心是內存加密技術（更進一步的還有狀態加密、內存隔離）。

基于海光CPU內存控制器中集成SM4密碼引擎，重點保護虛擬機運行時內存，這種方式對上層應用透明，性能開銷小。

再配合PSP平臺安全處理器進行密鑰獨立管理、啟動安全度量、磁盤加密、遠程認證等一系列手段，保障運行環境的安全。

這就好比以前數據一計算就得“脫衣服”，但海光的機密計算方案建起來一個個獨立更衣室，還把燈關了。

在實際落地中，海光DCU還可以直通給CSV虛擬機使用，為機密計算程序提供異構加速服務。

③ 可信計算應用

跟機密計算相比，可信計算主打一個從根兒上肅清風險。

先確認一臺機器從底層到上層都是可信的，見面就查你三代，根紅苗正才能運行關鍵業務。

海光可信計算方案具體是這么干的，從開機那一刻就驗明正身：從底層硬件到應用，一路驗證、一路度量、一路保護。

具體流程我不啰嗦了，大家看圖吧，這里面最重要的那個硬件可信根，正是海光CPU中PSP模塊所提供的。

④ 漏洞防御方案

萬一芯片本身出現漏洞怎么辦？如何進一步提升安全防護能力呢？

打鐵還需自身硬，作為獨立演進的C86架構，海光原生免疫熔斷、幽靈等重危漏洞。

同時，海光內生安全也把自己的防御能力武裝到了牙齒，從漏洞響應、硬件機制，再到軟件防護、攻擊緩解，形成一套完整組合拳。

首先，針對硬件漏洞，海光建立了完善的應急響應機制，并持續構建芯片漏洞庫，對潛在風險進行快速分析、精準研判并提供針對性防護方案。

第二，針對軟件漏洞，海光會啟動CPU級安全機制，配合系統和編譯器防護，比如利用CET（控制流強制保護技術），緩解緩沖區溢出類的高級內存攻擊。

最終，軟硬結合，形成立體防護。

好了，海光內生安全的那些黑科技就給大家嘮叨完了，來一張圖，讓大家看看內生安全體系的全貌吧↓

看完這個圖，我發現海光還有個比較厲害的點↓

它不光自己把安全底子打好，覆蓋數據“采傳存用銷”全流程，還把生態搞得極好。

海光跟廣大云服務商、操作系統廠商、安全廠商一起共建生態，讓內生安全在各大重點行業遍地開花。

從抗量子密碼到關鍵基礎設施國密改造，從密態數據庫到分布式密碼服務，從云上機密實例到各種可信方案落地……

這些看得見的安全成果，離不開看不見的安全底座。

數據在哪里加密，密鑰在哪里保護，程序在哪里運行，可信鏈從哪里開始，機密環境由誰支撐，最終都要落到芯片和底層架構上。

這，就是海光內生安全體系的價值，它不在聚光燈下，而是藏在芯片深處，默默托底。

正所謂：事了拂衣去，深藏功與名。