沐“安”之澤暉，創(chuàng)“芯”之華章

1   信息安全決定于可靠的“芯”

當(dāng)前的數(shù)字信息產(chǎn)業(yè)構(gòu)建在半導(dǎo)體之上，且依賴(lài)度越來(lái)越強(qiáng)，如果芯片安全得不到保證，則任何形式的信息安全都無(wú)從談起，這對(duì)行業(yè)發(fā)展舉足輕重，并且覆蓋和滲透到各類(lèi)信息網(wǎng)絡(luò)體系及產(chǎn)品的方方面面。隨著信息安全深入人心，安全芯片正在成為一個(gè)特殊的產(chǎn)業(yè)，成為越來(lái)越多從事解決方案公司的關(guān)注焦點(diǎn)和標(biāo)準(zhǔn)配置。

出于對(duì)安全芯片最新概念和演進(jìn)的興趣，在北京上地海淀創(chuàng)業(yè)園，筆者與無(wú)錫沐創(chuàng)集成電路設(shè)計(jì)有限公司總經(jīng)理朱敏博士進(jìn)行了交流。作為網(wǎng)絡(luò)安全芯片領(lǐng)域的領(lǐng)跑者，沐創(chuàng)致力于以可重構(gòu)計(jì)算技術(shù)作為打造網(wǎng)絡(luò)安全的基石。他首先談到，人們?nèi)粘＝佑|的門(mén)禁卡、IC 卡、U 盾等加密技術(shù)在十多年前已經(jīng)成熟，而當(dāng)前與云計(jì)算、大數(shù)據(jù)和區(qū)塊鏈息息相關(guān)的信息安全使安全芯片形態(tài)發(fā)生了重大改變。中國(guó)需要有專(zhuān)門(mén)公司來(lái)研發(fā)安全芯片，從而改變國(guó)際公司壟斷的局面，所以沐創(chuàng)定位為高端安全芯片提供者，不僅實(shí)現(xiàn)國(guó)產(chǎn)化，還要有效解決行業(yè)內(nèi)各種安全應(yīng)用的痛點(diǎn)。

既然芯片硬件安全問(wèn)題無(wú)法單獨(dú)通過(guò)軟件方法解決，只有抓住硬件方法的根本，才能系統(tǒng)構(gòu)建基于芯片的安全體系。如圖1 所示，正如由CPU 芯片對(duì)應(yīng)虛擬機(jī)和云計(jì)算，芯片安全問(wèn)題一定會(huì)帶來(lái)系統(tǒng)軟件、應(yīng)用軟件、互聯(lián)網(wǎng)絡(luò)等的安全問(wèn)題。涉及互聯(lián)網(wǎng)、重要系統(tǒng)基礎(chǔ)設(shè)施、國(guó)產(chǎn)化替代及國(guó)家安全，必須通過(guò)安全芯片建立與軟件、系統(tǒng)和網(wǎng)絡(luò)的功能支撐關(guān)系，從最底層的硬件功能確保上層功能安全。

網(wǎng)絡(luò)安全是互聯(lián)網(wǎng)安全領(lǐng)域的剛需，隨大數(shù)據(jù)和互聯(lián)網(wǎng)的增長(zhǎng)而劇增，重要系統(tǒng)基礎(chǔ)設(shè)施安全領(lǐng)域的需求與整個(gè)“十三五計(jì)劃”相伴隨，并將跨越到新的五年計(jì)劃，于是涉及國(guó)家安全領(lǐng)域的各種需求也緊隨國(guó)家網(wǎng)絡(luò)安全建設(shè)而穩(wěn)步增長(zhǎng)。

2020 年是中國(guó)密碼法元年，密碼作為國(guó)家重要的戰(zhàn)略資源，已經(jīng)成為保障網(wǎng)絡(luò)空間安全的核心技術(shù)和基礎(chǔ)支撐，推動(dòng)商用密碼在各個(gè)領(lǐng)域的廣泛應(yīng)用則是國(guó)家和企業(yè)的新發(fā)展路徑。高性能密碼技術(shù)是其中非常關(guān)鍵的環(huán)節(jié)，沐創(chuàng)面向高速場(chǎng)景的密碼處理器芯片研發(fā)的便立足于此，任重而道遠(yuǎn)。

2   全新安全性來(lái)自可重構(gòu)計(jì)算的“芯”

加密和解密是一對(duì)長(zhǎng)期存在的矛盾，正所謂“道高一尺，魔高一丈”。計(jì)算機(jī)運(yùn)算平臺(tái)不斷加速的結(jié)果，使雙方攻防策略也在針?shù)h相對(duì)地較量，唯有從芯片入手。以往多種通用高速嵌入式處理器芯片雖然可以提供支持，但唯有采用特殊可定制化手段，才可實(shí)現(xiàn)堅(jiān)不可摧的安全保證，可重構(gòu)安全技術(shù)正是誕生在這樣的背景下。

清華大學(xué)硬件安全與密碼芯片實(shí)驗(yàn)室成立于2009年，歷經(jīng)5 年，開(kāi)發(fā)出首款采用可重構(gòu)計(jì)算技術(shù)的安全芯片，并以“一種動(dòng)態(tài)可重構(gòu)陣列處理器的構(gòu)令流工作方法”獲得中國(guó)專(zhuān)利金獎(jiǎng)。之后推出ZORO 系列可重構(gòu)安全系統(tǒng)芯片，并不斷升級(jí)。沐創(chuàng)作為清華團(tuán)隊(duì)科技成果轉(zhuǎn)化成立于2018 年底，隨后即推出RSP 系列高性能安全芯片，即可重構(gòu)安全處理器（reconfigurable security processor）平臺(tái)。

可重構(gòu)計(jì)算技術(shù)兼具高能效和高靈活性，其芯片能量效率是目前通用處理器的1 000 倍以上，是可編程邏輯器件的100 倍以上。信息安全領(lǐng)域定制的可編程性也是其優(yōu)勢(shì)之一，支持硅后的功能重定義，其特點(diǎn)如圖2所示。

圖2 可重構(gòu)芯片優(yōu)于其他處理器的特色

可重構(gòu)計(jì)算用于安全芯片設(shè)計(jì)至關(guān)重要，賦予安全芯片更快、更省電、更安全的特點(diǎn)，圖3 所示為其內(nèi)部機(jī)理。應(yīng)用的每個(gè)運(yùn)算都可在運(yùn)算陣列中找到對(duì)應(yīng)的單元，單元間的互連與任務(wù)一一對(duì)應(yīng)，由此獲得類(lèi)比專(zhuān)用電路的高能效。芯片以運(yùn)算單元陣列為核心部件，由配置流和數(shù)據(jù)流共同驅(qū)動(dòng)，而不使用指令，從而實(shí)現(xiàn)軟硬件雙編程。

可重構(gòu)計(jì)算帶來(lái)全新的安全性理念，顯著優(yōu)于行業(yè)現(xiàn)有密碼芯片的架構(gòu)，并且具有在設(shè)計(jì)和制造過(guò)程中不泄露算法的功能，所呈現(xiàn)的是“白片”，而無(wú)泄露隱患。只有在使用階段，依據(jù)用戶(hù)配置，才產(chǎn)生特定密碼功能。其所特有的信息冗余計(jì)算資源通過(guò)適當(dāng)配置后，具有顯著抵御旁路攻擊的能力。

從生態(tài)上看，國(guó)密上云已成為打造密碼產(chǎn)業(yè)生態(tài)的重要手段，在云管邊端的網(wǎng)絡(luò)生態(tài)鏈上，都要內(nèi)生支持國(guó)家認(rèn)可的密碼技術(shù)。沐創(chuàng)將可重構(gòu)計(jì)算技術(shù)應(yīng)用到服務(wù)器的智能安全網(wǎng)卡架構(gòu)上，使密碼和網(wǎng)絡(luò)進(jìn)行融合，實(shí)現(xiàn)高效且靈活的國(guó)密和國(guó)際標(biāo)準(zhǔn)算法加速及網(wǎng)絡(luò)報(bào)文預(yù)處理和分發(fā)。芯片集成了豐富的硬件計(jì)算資源與SRIOV 硬件虛擬化能力，成為支撐國(guó)產(chǎn)化自主可控服務(wù)器發(fā)展的重要硬件安全方案。在軟件生態(tài)上支持并適配主流Linux 分發(fā)版本和國(guó)產(chǎn)化操作系統(tǒng)。秉承開(kāi)放的理念在生態(tài)方面始終保持開(kāi)放、緊跟、主導(dǎo)的模式，確保在硬件、軟件協(xié)同方面與世界一流先進(jìn)技術(shù)同步。

3   全“芯”全意的一體化安全方案

信息安全行業(yè)的很多服務(wù)方式都是定制化開(kāi)發(fā)，沐創(chuàng)在銷(xiāo)售芯片的同時(shí)也提供參考設(shè)計(jì)解決方案，包括系統(tǒng)設(shè)計(jì)、軟件構(gòu)建和配置等。已有30 Gbit/s 的高性能安全芯片產(chǎn)品RSP S20 應(yīng)用到數(shù)據(jù)中心、網(wǎng)安設(shè)備、加密機(jī)市場(chǎng)中。沐創(chuàng)RSP 系列安全芯片簡(jiǎn)單易用，改變了以往復(fù)雜的信息安全開(kāi)發(fā)體系，用戶(hù)只需運(yùn)行應(yīng)用層軟件即可，芯片可以看作“安全磚塊”，接口簡(jiǎn)單且標(biāo)準(zhǔn)化，便于搭建信息安全大廈。

RNP芯片是40 G領(lǐng)域的一款輕量級(jí)智能網(wǎng)卡芯片，隨著技術(shù)的積累，后續(xù)將推出100G 智能網(wǎng)卡芯片以及100 G DPU 解決方案，進(jìn)一步填補(bǔ)國(guó)產(chǎn)化智能網(wǎng)卡芯片和國(guó)產(chǎn)化DPU 解決方案的空白。基于RNP 的可重構(gòu)網(wǎng)絡(luò)安全網(wǎng)卡系列，其中RNP N10 為國(guó)產(chǎn)服務(wù)器系統(tǒng)提供1/10/25/40 G 國(guó)產(chǎn)網(wǎng)絡(luò)控制器方案，可以完美融合安全、智能、網(wǎng)絡(luò)一體化。圖4 所示為其所面向支持的應(yīng)用領(lǐng)域。圖4RNP 系列產(chǎn)品展示沐創(chuàng)五大技術(shù)能力：①高性能網(wǎng)絡(luò)40 G 小包線(xiàn)速轉(zhuǎn)發(fā)能力和DPDK 全面支持；②內(nèi)生安全支持可信計(jì)算和可信根，支持動(dòng)態(tài)度量；③高性能密碼適用各種安全網(wǎng)絡(luò)應(yīng)用；④ SDN 應(yīng)用加速可重構(gòu)內(nèi)核實(shí)現(xiàn)多元組、flow 加速功能、配合國(guó)產(chǎn)CPU 性能提升；⑤報(bào)文分流過(guò)濾。

展望未來(lái)，朱博士描繪了“國(guó)密融合安全，安全融合網(wǎng)絡(luò)，網(wǎng)絡(luò)融合智能”的公司發(fā)展理念。沐創(chuàng)公司起步于創(chuàng)新型國(guó)密安全芯片融合網(wǎng)絡(luò)安全市場(chǎng)的朝陽(yáng)產(chǎn)業(yè)，服務(wù)于金融與電子政務(wù)、互聯(lián)網(wǎng)安全、云端互聯(lián)、網(wǎng)絡(luò)安全以及工業(yè)等主流行業(yè)。抓住國(guó)產(chǎn)化替代市場(chǎng)契機(jī)，以可重構(gòu)賦能信息安全芯片，力爭(zhēng)3 年內(nèi)在國(guó)密安全芯片行業(yè)名列前茅，為成為領(lǐng)先的網(wǎng)絡(luò)安全控制器芯片供應(yīng)商，譜寫(xiě)華彩樂(lè)章。

（本文來(lái)源于《電子產(chǎn)品世界》雜志2021年7月期）