1引言中央处理器(CentralProcessingUnit,CPU)是信息系统不可缺少的基础部件。计算机系统由5部分组成,即运算器、控制器、存储器、输入设备、输出设备。其中,运算器和控制器合起来称为中央处理器,所有的软件都是在CPU上运行,如图1所示。【摘要】CPU是信息系统的基础部件,CPU的安全性对整个信息系统有关键影响。本文对信息系统中与CPU相关的安全功能进行分析,从指令系统、密码算法、可信计算、漏洞规避等方面阐述了CPU硬件层面可以采用的安全防护机制和实现方案。【关键词】硬件安全防护机制指令系统可信计算漏洞【中图分类号】TP309;TP332【文献标识码】ACPU的安全性对信息系统有关键影响[1],包括以下方面:CPU的指令系统是软件的二进制编码规范,采用国外授权的指令系统研制CPU存在供应链风险;CPU上运行的软件执行密码算法时,存在攻击风险;计算机采用可信计算体系时,CPU是关键环节;国外CPU近年曾经暴露安全相关的漏洞,在很大范围内造成用户数据信息泄露的风险。CPU硬件安全防护机制靳国杰/龙芯中科技术股份有限公司22|保密科学技术|2022年12月特别策划2CPU硬件安全防护机制2.1指令系统指令系统[2](InstructionSystemArchitecture,ISA)是CPU运行的软件的二进制编码格式,是一种指令编码的标准规范。由于硬件电路都是由晶体管组成的,只能识别0、1(二进制),因此CPU上运行的软件必须有一种编码格式来让CPU识别。国内信息系统使用的CPU多数基于国外指令系统,例如在桌面计算机、服务器上大量使用Intel公司的X86指令系统,在移动计算设备上大量使用Arm指令系统。国外指令系统设定了较高的授权门槛,包括授权的时间范围、研制CPU的种类、应用的范围等。如果使用国外指令系统研制自主CPU,虽然在一定时间内可以做出CPU产品,但是软件生态的主导权仍然无法自主掌握,也难以绕开专利壁垒。总体看来,基于国外指令系统存在可持续发展的风险,用于建设安全可控的信息技术体系和产业生态存在隐患。在指令系统环节消除安全风险,需要做以下工作:自主定义指令编码格式,形成独立发展的指令系统;同时要完成配套编译器的开发,为开发者提供建设软件生态的底层工具。2.2密码算法加密、解密是保护计算机信息安全的常用方法。加密(Encryption)是以某种算法改变原有的信息,使得未授权的用户即使获得了已加密的信息,但因为不知道解密的方法,仍然无法了解信息的原始内容。解密(Decryption)是加密的逆运算,是把密文还原为原始信息。常用的...
