海光信息应志伟:把安全“刻进”芯片里
随着量子计算技术不断发展,金融、政务等关键行业加速布局抗量子密码已刻不容缓。但抗量子迁移涉及基础设施与生态协同的全系统体系重构,技术跨度极大。
基于算力安全建设与系统性技术布局的紧迫性,海光信息近日与合作伙伴发布抗量子密码平滑迁移解决方案。该方案基于海光内生安全技术体系,采用“商密+抗量子密码”混合架构,支持传统密码、混合密码及纯抗量子密码的平滑切换,为金融、政务、能源等关键领域应对量子计算威胁提供了可落地、可复制的标杆方案。
为了探究背后的技术解法,中国证券报记者日前走进海光信息位于上海张江科学城内的上海科技投资大厦办公地,在与海光信息副总裁应志伟的交流中,探寻公司选择在当前节点强调内生安全技术的深层原因以及自身的技术储备。
防线须推向底层
在AI重塑数字经济底座的当下,安全能力已不再是算力竞争的附加项,而是决定产业体系韧性与未来边界的底层能力。基于此,把安全铸入芯片最底层,是应志伟在采访中多次提及的核心主张。
“在AI时代,攻击速度、自动化程度和漏洞挖掘能力发生了质变,传统软件层面的‘外挂式’防御已经失效。”应志伟表示,过去安全研究人员挖一个深度漏洞需要1至2年,但有些AI模型“一个晚上可以挖10个漏洞”,且这些漏洞很难被发现,导致别人可以随意攻击。
发现问题的时间从“年”压缩到“夜”,但修复这些漏洞的窗口期却仍以“月”起步。据应志伟介绍,漏洞被发现后,必须先分析风险逻辑、定位原理,再寻找解决方案,整个过程需要六个月起步。
这个时间差是致命的。“过去,传统模式是软件发现漏洞、报告、修复,有一个窗口期,靠行业自律和法律法规来保障。”应志伟告诉记者,现在有了AI,一个普通人搭一个模型,一个晚上就能攻破传统防线。
面对这种局面,应志伟给出的方案指向性非常明确。“最好的载体就是芯片。如果没有芯片做底层防御,操作系统一旦被攻破,所有的防御都将失效,所以必须把防线建在最底层的硬件机制里。”应志伟表示,之所以如此强调内生安全,是希望把安全做到最核心的领域,这是海光信息的初衷。
“海光内生安全体系最核心的部分,是解决‘安全与性能难以兼得、底层可控性不足’的痛点,我们要把安全能力‘刻进’芯片,而非仅停留在应用层面修补。”应志伟说。
聚焦内生安全
在采访中,应志伟向记者系统阐释了公司内生安全的技术路径,并首度公开内生安全技术全景图。 EBC交易平台
据介绍,依托CPU与DCU双芯架构,公司将密码技术、机密计算、可信计算与漏洞防御能力深度融合,形成覆盖芯片、系统、平台到应用的全栈安全体系,为大模型训练、云计算、关键行业核心业务提供底层可信支撑。
“过去大家用照相机拍照,现在手机内置了摄像头,照相机就是‘外挂’,手机摄像头就是‘内生’。我们把密码从设备外置变成芯片内置,就是这个逻辑。”应志伟说。
以往,传统的加密卡、密码机等产品在业务相对静态的时代尚能应对,但一旦面对AI时代海量数据并发的业务压力,“外挂式”方案的短板较为显著。
应志伟进一步将这个逻辑延伸到了密码技术迭代的速度上。他强调,过去密码技术迭代周期是5年甚至10年,而CPU迭代快得多。通过CPU的更新把密码技术同步往前推进,让密码迭代跟上芯片迭代的速度,真正融入算力基础设施的“出厂标配”之中。
抗量子密码应用成为趋势
应志伟认为,量子计算带来的安全挑战已迫在眉睫,抗量子密码应用将成为重要趋势。要保证未来升级的平滑过渡,必须在算法、架构、接口设计中坚持兼容共存原则。
“抗量子升级不是简单替换算法,而是从密码应用到硬件指令集的深度重构。坚持传统与抗量子密码兼容支持,才能从芯片层面避免升级‘推倒重来’。”应志伟表示,公司已基于自主安全架构实现抗量子算法兼容落地,为上层应用平滑迁移奠定了坚实硬件基础。
值得一提的是,目前,海光信息已经在密码模块中实现了抗量子密码和传统密码的共存。从芯片设计角度来看,做到这种兼容共存最大的技术难点在哪里?
“首先,要在芯片里同时跑两套算法,即国密算法和抗量子密码,两者算法结构不同、密钥长度不同,接口协议也不同。如何在硬件上保证它们高效共存,同时控制成本、保障性能,这对我们是一个考验;其次,除了协处理器,我们还在推进第一款基于抗量子的指令集。指令集如何让开发者用起来顺手并且性能又足够高,这对芯片设计是很大的课题。”应志伟说。
谈及抗量子密码的落地情况,应志伟介绍了海光分阶段全栈演进的蓝图。其中,2025至2026年为筑基阶段,快速支持NIST抗量子密码标准,完成相关算法落地,实现软件生态完整覆盖与密钥管理安全保障;2027至2028年进入硬件重构阶段,推出抗量子CCP硬件与专用指令集,通过协处理器到原生指令集的硬件加速,释放芯片级抗量子算力。
“抗量子这件事早晚得做,晚做不如早做。”在应志伟看来,海光信息虽然是芯片企业,但公司致力于为整个科技产业生态服务。