近日，國(guó)芯科技超高性能云安全芯片CCP917T通過(guò)了商用密碼檢測(cè)認(rèn)證中心的商用密碼檢測(cè)認(rèn)證，獲得《商用密碼產(chǎn)品認(rèn)證證書(shū)》（二級(jí)），這標(biāo)志著公司在該芯片的商業(yè)化應(yīng)用上又邁出了重要的一步。

隨著《網(wǎng)絡(luò)安全法》、《密碼法》、《數(shù)據(jù)安全法》等一系列法律法規(guī)的深入實(shí)施，商用密碼技術(shù)在政務(wù)、金融、能源、通信等關(guān)鍵領(lǐng)域的應(yīng)用日益廣泛，云密碼服務(wù)和網(wǎng)絡(luò)安全應(yīng)用對(duì)高性能、高可靠、全自主的密碼芯片提出了迫切需求。在此背景下，國(guó)芯科技堅(jiān)持自主創(chuàng)新，率先擁抱開(kāi)放指令集架構(gòu)RISC-V，成功研發(fā)出超高性能云安全芯片CCP917T。該芯片不僅在性能上實(shí)現(xiàn)突破，更在架構(gòu)自主性、場(chǎng)景適應(yīng)性、生態(tài)開(kāi)放性等方面樹(shù)立了行業(yè)新標(biāo)桿。

CCP917T是基于國(guó)芯自研64位RISC-V處理器（CRV7）的高性能安全芯片。芯片包含4組高性能SEC（Security engine），支持對(duì)稱、非對(duì)稱、散列等密碼算法；支持PCI-E 4.0、DDR4、USB3.0等高速接口；支持TD/VD/FD/LD/PGD等異常檢測(cè)；芯片具有以下特點(diǎn)：

開(kāi)放的RISC-V內(nèi)核：64位自主RISC-V CRV7 四核，主頻可達(dá)1.4GH，集成了神經(jīng)網(wǎng)絡(luò)處理單元（NPU），為復(fù)雜的密碼協(xié)議處理和任務(wù)調(diào)度提供了充沛的算力保障。

業(yè)界領(lǐng)先的算法性能：非對(duì)稱算法SM2簽名性能高達(dá)100萬(wàn)次/秒，驗(yàn)簽性能達(dá)40萬(wàn)次/秒；對(duì)稱算法SM4加解密吞吐量高達(dá)80Gbps，AES性能達(dá)80Gbps，能夠輕松應(yīng)對(duì)大數(shù)據(jù)塊的實(shí)時(shí)加密需求。摘要算法SM3雜湊運(yùn)算性能達(dá)85Gbps，為數(shù)據(jù)完整性校驗(yàn)提供了高速保障。

高速PCI-E接口：芯片支持PCI-E 4.0 x16高速接口，支持RC或者EP，支持 x16/x8/x4/x2/x1,單 lane 吞吐可達(dá) 16.0GT/s,提供了極高的數(shù)據(jù)吞吐帶寬，確保系統(tǒng)I/O不會(huì)成為密碼運(yùn)算的瓶頸。此外還支持豐富的低速接口（如GMAC、SPI、I2C等）為其在各種硬件形態(tài)中的集成提供了便利。

支持256路硬件虛擬化：CCP917T支持SR-IOV（Single Root I/O Virtualization）技術(shù)，可支持多達(dá)256個(gè)虛擬功能（VF）。這意味著一顆物理芯片可以被虛擬化成256個(gè)獨(dú)立的、安全的虛擬密碼模塊，分別分配給云環(huán)境中的不同虛擬機(jī)使用。

隨著云計(jì)算、大數(shù)據(jù)和人工智能等技術(shù)的不斷發(fā)展，海量數(shù)據(jù)快速增長(zhǎng)和流動(dòng)，我國(guó)云計(jì)算、數(shù)據(jù)中心、金融、電信、政府、視頻監(jiān)控等關(guān)鍵領(lǐng)域?qū)?shù)據(jù)安全的要求極高，需要確保數(shù)據(jù)的機(jī)密性、完整性和抗抵賴性。云服務(wù)密碼機(jī)對(duì)硬件虛擬化技術(shù)的需求，網(wǎng)絡(luò)協(xié)議（SSL/IPsec）卸載應(yīng)用對(duì)高速密碼和高速接口的需求，CPU內(nèi)生安全對(duì)RISC-V內(nèi)核融合密碼技術(shù)的需求，一個(gè)個(gè)擺在行業(yè)從業(yè)者的面前，對(duì)于國(guó)芯科技來(lái)說(shuō)是挑戰(zhàn)也是機(jī)遇。CCP917T成功獲得《商用密碼產(chǎn)品認(rèn)證證書(shū)》（二級(jí)），意味著產(chǎn)品已經(jīng)可以為云安全、網(wǎng)絡(luò)數(shù)據(jù)卸載、可信計(jì)算、安全CPU主控等應(yīng)用場(chǎng)景提供國(guó)芯科技解決方案。

云服務(wù)密碼應(yīng)用

云計(jì)算是對(duì)信息資源的整合，實(shí)現(xiàn)共享資源的平臺(tái)化的服務(wù)。用戶可以不用關(guān)心信息平臺(tái)建設(shè)的細(xì)節(jié)，只按照自己的需求，隨時(shí)從云計(jì)算平臺(tái)獲得信息資源。云密碼服務(wù)是一種全新的密碼功能交付模式，是云計(jì)算技術(shù)與身份認(rèn)證、授權(quán)訪問(wèn)、傳輸加密、存儲(chǔ)加密等密碼技術(shù)的深度融合，用戶不再“購(gòu)買”密碼硬件或密碼系統(tǒng)等密碼產(chǎn)品，而是以“租用” 的方式使用云中提供的各種密碼功能，因此云密碼服務(wù)也是一種新的商業(yè)模式。

《GM/T 0104-2021云服務(wù)器密碼機(jī)技術(shù)規(guī)范》指出，云服務(wù)器密碼機(jī)應(yīng)具備密鑰隔離功能，防止虛擬密碼機(jī)的密鑰被盜用、防止虛擬密碼機(jī)之間交叉使用密鑰、防止宿主機(jī)管理員獲取虛擬密碼機(jī)密鑰，因此云服務(wù)密碼機(jī)硬件虛擬化技術(shù)是關(guān)鍵技術(shù)。CCP917T支持5個(gè)PF，最大支持256個(gè)VF，最多可支持256個(gè)虛擬機(jī)同時(shí)訪問(wèn)，支持多卡可疊加，虛擬機(jī)算法資源可以靈活劃分，可以為公有云服務(wù)商、私有云數(shù)據(jù)中心提供KMS（密鑰管理）、加解密、簽名驗(yàn)簽，證書(shū)生成與管理等功能。

近年來(lái)云密碼服務(wù)正在由“云服務(wù)器中配置支持虛擬化的硬件密碼模塊（芯片或 PCI-E 接口的密碼卡）”向“獨(dú)立的云密碼機(jī)資源池(云中的虛擬主機(jī)通過(guò)網(wǎng)絡(luò)連接云密碼資源池中的硬件密碼模塊)”的解決方案轉(zhuǎn)變，市場(chǎng)前景可期。

網(wǎng)絡(luò)協(xié)議加速應(yīng)用

計(jì)算機(jī)操作系統(tǒng)使用分層體系結(jié)構(gòu)，使得數(shù)據(jù)包在各層之間傳遞時(shí)都需要相當(dāng)數(shù)量的CPU和存儲(chǔ)資源，例如應(yīng)用于VPN、SD-WAN中建立安全的加密傳輸通道的IPsec協(xié)議；應(yīng)用于Https網(wǎng)頁(yè)協(xié)議，SMTP/POP3郵件協(xié)議中的SSL (Secure Sockets Layer）安全套接層協(xié)議；這些功能對(duì)CPU資源的占用極大地影響了計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)轉(zhuǎn)發(fā)的性能。針對(duì)上述影響CPU計(jì)算瓶頸的相關(guān)運(yùn)算，通常將一些運(yùn)算或協(xié)議處理卸載到外部卸載卡上，例如Intel QAT（Quick Assist Technology）卡技術(shù)。

國(guó)芯科技CCP917T芯片可應(yīng)用于研發(fā)網(wǎng)絡(luò)協(xié)議卸載卡，同時(shí)支持國(guó)際算法和國(guó)密算法，解決了國(guó)外產(chǎn)品雖然國(guó)際算法性能高，但是不支持國(guó)密算法的問(wèn)題。通過(guò)SM3+SM4計(jì)算級(jí)聯(lián)模式降低帶寬要求，Scatter-Gather DMA方式提升網(wǎng)絡(luò)小包數(shù)據(jù)處理性能。在IPSEC的SM3+SM4組合算法運(yùn)算中，如果使用Scatter-Gather DMA方式，數(shù)據(jù)處理性能可達(dá)到80Gbps，1KB小包數(shù)據(jù)包處理性能可達(dá)65Gbps。

根據(jù)Dell’Oro Group的網(wǎng)絡(luò)設(shè)備附加卡市場(chǎng)分析以及英特爾財(cái)報(bào)中“數(shù)據(jù)中心事業(yè)部（DCG）細(xì)分收入”分析推測(cè)，全球網(wǎng)絡(luò)協(xié)議加速卸載卡主要廠商有Intel QAT 8960/8970等，Marvell的OCTEON卡，NVIDIA的 BlueField卡等。年出貨規(guī)模在百萬(wàn)張量級(jí)，國(guó)產(chǎn)化趨勢(shì)和國(guó)密算法替代的需求為CCP917T網(wǎng)絡(luò)協(xié)議卸載卡提供了廣闊的市場(chǎng)空間。

安全CPU應(yīng)用

目前，業(yè)界的密碼設(shè)備的主流方案是采用分立式的“CPU+密碼卡”，尤其是通用CPU為了支持國(guó)密，單獨(dú)使用密碼卡非常靈活。同時(shí)在CPU中內(nèi)置加密計(jì)算模塊產(chǎn)業(yè)界已經(jīng)開(kāi)始技術(shù)探索，例如英特爾、ARM都在其CPU中內(nèi)置了相關(guān)模塊，國(guó)內(nèi)的CPU廠商飛騰、海光、海思等也開(kāi)始推出CPU+密碼協(xié)處理器 (CCP)的產(chǎn)品，同時(shí)支持國(guó)際算法和商密算法。

CCP917T擁有64位自主RISC-V CRV7 四核，主頻可達(dá)1.4GH，為復(fù)雜的密碼協(xié)議處理和控制平面任務(wù)提供了充沛的算力保障。同時(shí)具有PCI-E RC/EP，DDR，EMMC控制器，千兆網(wǎng)絡(luò)GMAC，USB3.0、SPI、I2C等豐富的接口資源?？梢宰鳛橐活w安全主控CPU使用，應(yīng)用于密碼機(jī)，簽名驗(yàn)簽服務(wù)器，VPN網(wǎng)關(guān)等設(shè)備中。

國(guó)芯科技超高性能云安全芯片CCP917T通過(guò)國(guó)家商用密碼檢測(cè)認(rèn)證，是國(guó)芯科技在核心信息技術(shù)領(lǐng)域堅(jiān)持自主創(chuàng)新、勇于向更高峰攀登的一個(gè)縮影。公司將繼續(xù)以開(kāi)源開(kāi)放的RISC-V架構(gòu)，服務(wù)國(guó)家數(shù)字安全，以從芯片架構(gòu)到算法實(shí)現(xiàn)的完整技術(shù)鏈，從根本上筑牢數(shù)字中國(guó)的安全底座。