近日，國芯科技超高性能云安全芯片CCP917T通過了商用密碼檢測認(rèn)證中心的商用密碼檢測認(rèn)證，獲得《商用密碼產(chǎn)品認(rèn)證證書》（二級），這標(biāo)志著公司在該芯片的商業(yè)化應(yīng)用上又邁出了重要的一步。

隨著《網(wǎng)絡(luò)安全法》、《密碼法》、《數(shù)據(jù)安全法》等一系列法律法規(guī)的深入實(shí)施，商用密碼技術(shù)在政務(wù)、金融、能源、通信等關(guān)鍵領(lǐng)域的應(yīng)用日益廣泛，云密碼服務(wù)和網(wǎng)絡(luò)安全應(yīng)用對高性能、高可靠、全自主的密碼芯片提出了迫切需求。在此背景下，國芯科技堅持自主創(chuàng)新，率先擁抱開放指令集架構(gòu)RISC-V，成功研發(fā)出超高性能云安全芯片CCP917T。該芯片不僅在性能上實(shí)現(xiàn)突破，更在架構(gòu)自主性、場景適應(yīng)性、生態(tài)開放性等方面樹立了行業(yè)新標(biāo)桿。

CCP917T是基于國芯自研64位RISC-V處理器（CRV7）的高性能安全芯片。芯片包含4組高性能SEC（Security engine），支持對稱、非對稱、散列等密碼算法；支持PCI-E 4.0、DDR4、USB3.0等高速接口；支持TD/VD/FD/LD/PGD等異常檢測；芯片具有以下特點(diǎn)：

開放的RISC-V內(nèi)核：64位自主RISC-V CRV7 四核，主頻可達(dá)1.4GH，集成了神經(jīng)網(wǎng)絡(luò)處理單元（NPU），為復(fù)雜的密碼協(xié)議處理和任務(wù)調(diào)度提供了充沛的算力保障。

業(yè)界領(lǐng)先的算法性能：非對稱算法SM2簽名性能高達(dá)100萬次/秒，驗簽性能達(dá)40萬次/秒；對稱算法SM4加解密吞吐量高達(dá)80Gbps，AES性能達(dá)80Gbps，能夠輕松應(yīng)對大數(shù)據(jù)塊的實(shí)時加密需求。摘要算法SM3雜湊運(yùn)算性能達(dá)85Gbps，為數(shù)據(jù)完整性校驗提供了高速保障。

高速PCI-E接口：芯片支持PCI-E 4.0 x16高速接口，支持RC或者EP，支持 x16/x8/x4/x2/x1,單 lane 吞吐可達(dá) 16.0GT/s,提供了極高的數(shù)據(jù)吞吐帶寬，確保系統(tǒng)I/O不會成為密碼運(yùn)算的瓶頸。此外還支持豐富的低速接口（如GMAC、SPI、I2C等）為其在各種硬件形態(tài)中的集成提供了便利。

支持256路硬件虛擬化：CCP917T支持SR-IOV（Single Root I/O Virtualization）技術(shù)，可支持多達(dá)256個虛擬功能（VF）。這意味著一顆物理芯片可以被虛擬化成256個獨(dú)立的、安全的虛擬密碼模塊，分別分配給云環(huán)境中的不同虛擬機(jī)使用。

隨著云計算、大數(shù)據(jù)和人工智能等技術(shù)的不斷發(fā)展，海量數(shù)據(jù)快速增長和流動，我國云計算、數(shù)據(jù)中心、金融、電信、政府、視頻監(jiān)控等關(guān)鍵領(lǐng)域?qū)?shù)據(jù)安全的要求極高，需要確保數(shù)據(jù)的機(jī)密性、完整性和抗抵賴性。云服務(wù)密碼機(jī)對硬件虛擬化技術(shù)的需求，網(wǎng)絡(luò)協(xié)議（SSL/IPsec）卸載應(yīng)用對高速密碼和高速接口的需求，CPU內(nèi)生安全對RISC-V內(nèi)核融合密碼技術(shù)的需求，一個個擺在行業(yè)從業(yè)者的面前，對于國芯科技來說是挑戰(zhàn)也是機(jī)遇。CCP917T成功獲得《商用密碼產(chǎn)品認(rèn)證證書》（二級），意味著產(chǎn)品已經(jīng)可以為云安全、網(wǎng)絡(luò)數(shù)據(jù)卸載、可信計算、安全CPU主控等應(yīng)用場景提供國芯科技解決方案。

云服務(wù)密碼應(yīng)用

云計算是對信息資源的整合，實(shí)現(xiàn)共享資源的平臺化的服務(wù)。用戶可以不用關(guān)心信息平臺建設(shè)的細(xì)節(jié)，只按照自己的需求，隨時從云計算平臺獲得信息資源。云密碼服務(wù)是一種全新的密碼功能交付模式，是云計算技術(shù)與身份認(rèn)證、授權(quán)訪問、傳輸加密、存儲加密等密碼技術(shù)的深度融合，用戶不再“購買”密碼硬件或密碼系統(tǒng)等密碼產(chǎn)品，而是以“租用” 的方式使用云中提供的各種密碼功能，因此云密碼服務(wù)也是一種新的商業(yè)模式。

《GM/T 0104-2021云服務(wù)器密碼機(jī)技術(shù)規(guī)范》指出，云服務(wù)器密碼機(jī)應(yīng)具備密鑰隔離功能，防止虛擬密碼機(jī)的密鑰被盜用、防止虛擬密碼機(jī)之間交叉使用密鑰、防止宿主機(jī)管理員獲取虛擬密碼機(jī)密鑰，因此云服務(wù)密碼機(jī)硬件虛擬化技術(shù)是關(guān)鍵技術(shù)。CCP917T支持5個PF，最大支持256個VF，最多可支持256個虛擬機(jī)同時訪問，支持多卡可疊加，虛擬機(jī)算法資源可以靈活劃分，可以為公有云服務(wù)商、私有云數(shù)據(jù)中心提供KMS（密鑰管理）、加解密、簽名驗簽，證書生成與管理等功能。

近年來云密碼服務(wù)正在由“云服務(wù)器中配置支持虛擬化的硬件密碼模塊（芯片或 PCI-E 接口的密碼卡）”向“獨(dú)立的云密碼機(jī)資源池(云中的虛擬主機(jī)通過網(wǎng)絡(luò)連接云密碼資源池中的硬件密碼模塊)”的解決方案轉(zhuǎn)變，市場前景可期。

網(wǎng)絡(luò)協(xié)議加速應(yīng)用

計算機(jī)操作系統(tǒng)使用分層體系結(jié)構(gòu)，使得數(shù)據(jù)包在各層之間傳遞時都需要相當(dāng)數(shù)量的CPU和存儲資源，例如應(yīng)用于VPN、SD-WAN中建立安全的加密傳輸通道的IPsec協(xié)議；應(yīng)用于Https網(wǎng)頁協(xié)議，SMTP/POP3郵件協(xié)議中的SSL (Secure Sockets Layer）安全套接層協(xié)議；這些功能對CPU資源的占用極大地影響了計算機(jī)系統(tǒng)和網(wǎng)絡(luò)轉(zhuǎn)發(fā)的性能。針對上述影響CPU計算瓶頸的相關(guān)運(yùn)算，通常將一些運(yùn)算或協(xié)議處理卸載到外部卸載卡上，例如Intel QAT（Quick Assist Technology）卡技術(shù)。

國芯科技CCP917T芯片可應(yīng)用于研發(fā)網(wǎng)絡(luò)協(xié)議卸載卡，同時支持國際算法和國密算法，解決了國外產(chǎn)品雖然國際算法性能高，但是不支持國密算法的問題。通過SM3+SM4計算級聯(lián)模式降低帶寬要求，Scatter-Gather DMA方式提升網(wǎng)絡(luò)小包數(shù)據(jù)處理性能。在IPSEC的SM3+SM4組合算法運(yùn)算中，如果使用Scatter-Gather DMA方式，數(shù)據(jù)處理性能可達(dá)到80Gbps，1KB小包數(shù)據(jù)包處理性能可達(dá)65Gbps。

根據(jù)Dell’Oro Group的網(wǎng)絡(luò)設(shè)備附加卡市場分析以及英特爾財報中“數(shù)據(jù)中心事業(yè)部（DCG）細(xì)分收入”分析推測，全球網(wǎng)絡(luò)協(xié)議加速卸載卡主要廠商有Intel QAT 8960/8970等，Marvell的OCTEON卡，NVIDIA的 BlueField卡等。年出貨規(guī)模在百萬張量級，國產(chǎn)化趨勢和國密算法替代的需求為CCP917T網(wǎng)絡(luò)協(xié)議卸載卡提供了廣闊的市場空間。

安全CPU應(yīng)用

目前，業(yè)界的密碼設(shè)備的主流方案是采用分立式的“CPU+密碼卡”，尤其是通用CPU為了支持國密，單獨(dú)使用密碼卡非常靈活。同時在CPU中內(nèi)置加密計算模塊產(chǎn)業(yè)界已經(jīng)開始技術(shù)探索，例如英特爾、ARM都在其CPU中內(nèi)置了相關(guān)模塊，國內(nèi)的CPU廠商飛騰、海光、海思等也開始推出CPU+密碼協(xié)處理器 (CCP)的產(chǎn)品，同時支持國際算法和商密算法。

CCP917T擁有64位自主RISC-V CRV7 四核，主頻可達(dá)1.4GH，為復(fù)雜的密碼協(xié)議處理和控制平面任務(wù)提供了充沛的算力保障。同時具有PCI-E RC/EP，DDR，EMMC控制器，千兆網(wǎng)絡(luò)GMAC，USB3.0、SPI、I2C等豐富的接口資源?？梢宰鳛橐活w安全主控CPU使用，應(yīng)用于密碼機(jī)，簽名驗簽服務(wù)器，VPN網(wǎng)關(guān)等設(shè)備中。

國芯科技超高性能云安全芯片CCP917T通過國家商用密碼檢測認(rèn)證，是國芯科技在核心信息技術(shù)領(lǐng)域堅持自主創(chuàng)新、勇于向更高峰攀登的一個縮影。公司將繼續(xù)以開源開放的RISC-V架構(gòu)，服務(wù)國家數(shù)字安全，以從芯片架構(gòu)到算法實(shí)現(xiàn)的完整技術(shù)鏈，從根本上筑牢數(shù)字中國的安全底座。