“安全芯”开启PC安全之门
来源:中国计算机报 更新时间:2012-04-13

 

随着网络安全概念的深入,未来的终端都会考虑到安全芯片的应用,植入安全芯的安全PC将成为下一代PC, 这不仅为处于蓝海中的PC带来全新应用,也必将因此引发巨大商机。


联想研制成功的“恒智”安全芯片

“恒智”是一款联想上百名研发人员经两年时间研发成功的安全芯片,它内置32位RISC处理器,内部有高速路线和低速路线,其中S模块和对应接口是芯片中最为关键的部分。“恒智”采用达到国际水平的0.25微米工艺,芯片数据应用嵌入式Flash,可保存长达10年以上,它可以安装在计算机主板上,成为安全PC的基石,能提供从软件到硬件级的、全方位的单机安全保护。


“恒智”安全芯片体系架构

让一系列过千亿的惊人数字描述着,中国的集成电路产业让人着实兴奋,然而不可回避的是,在相当长的一段时间内,它却遭遇着缺“芯”少“魂”的尴尬。

2005年4月11日,是行业为之振奋的一天。这一天,由国家密码管理局立项,联想攻关的安全芯片“恒智”宣告问世,这意味着国内企业在可信计算领域掌握了芯片级核心技术,“恒智”成为为国人安心的“安全芯”。

两年图破壁

2002 年底,第一款带有嵌入式安全子系统的笔记本电脑面市,标志着“可信赖计算”开始由软件向硬件延伸。据IDC预测,到2007 年,全球70%的 PC 将装有安全芯片和可信软件。更有专家预言,未来安全芯片将成为计算机的标准配置之一,而且今后所有联网的智能设备上都将需要安全芯片。作为世界最重要的 PC 市场之一,中国届时将迎来“安全PC时代”。然而,在2005年“恒智”问世前,安全芯片还是我国尚未掌握的技术短板。

由于安全芯片关系到国家信息安全,联想只能从没有资料和经验借鉴的情况下独立摸索。2002年12月,联想研究院正式确定开展安全芯片的研发项目。“软件产品在上市之后还可以通过打补丁来修正BUG,但硬件芯片必须在设计时就完全设计好功能和性能指标。否则,所有做过的设计、验证、流片生产等环节都要重新再来,相当于研发费用翻一番,项目组承诺要一版成功。”联想研究院硬件与SOC设计中心主任谢巍博士回忆说。

据联想研究院的技术人员介绍,“恒智”包含了联想一系列核心技术:从芯片系统设计到软硬件协同设计,联想已经能提供包括芯片硬件(TPM1.1/1.2)、Firmware、驱动程序、软件协议栈、配套管理工具、信任链软件等在内的全套技术和产品,这表明联想已经突破了从硬件到软件、从底层固件到上层软件的众多技术难题,研发能力从板卡级跃至芯片级。

赶超同类芯

从实现的功能来看,目前“恒智”安全芯片主要有三大技术特性:首先,预装“恒智”的PC可以实现平台的完整性度量,通过搜集硬件、部件以及操作系统信息,提交一份完整性报告,基于这份报告,用户可以了解本机当前的状况,从而建立起自身免疫系统,自动恢复被破坏的系统;其次,预装“恒智”的PC将存有唯一标识该PC终端的身份识别号,“恒智”通过标识主机平台提供可信性身份,从而提供不可否认的唯一的身份标识。比如在网上银行、网上交易,即使用户密码被他人窃取,但如果不在本人的PC上操作,不法用户也无法假借名义登录用户的网络账号,这无疑极大提高了电子交易的安全性;第三,“恒智”可以提供硬件芯片级的数据安全保护,它把私钥保存在芯片内部,而不是以明文形式保存在硬盘或其他介质上,这一特性可以有效防止对密钥的软件破译和黑客攻击,通过提供安全生成和保护密钥的机制,提供比软件加密更高的安全级别。

“除联想以外,目前全球只有四家公司掌握安全芯片的技术。”谢巍介绍说,“‘恒智’的研制成功打破了国外的技术壁垒,目前‘恒智’的主要性能可以达到国外同类产品的两到三倍。”谈及安全芯片的研发现状,谢巍表示,“恒智”芯片已经正式通过了国家密码管理局、公安部以及安全部的鉴定。目前正在按计划推进将“恒智”芯片用于形成完整的安全解决方案,包括安全主板,安全笔记本,安全解决方案,安全平台信任链软件等。当前正在进行的工作包括进一步完善Firmware和TSS以及稳定完善应用软件。