芯耀
与非AI
691
当人工智能开始以“一个晚上挖出10个漏洞”的速度冲击传统软件防线,当量子计算的威胁从理论推演变为“先存储、后解密”的现实风险,信息安全领域正面临一个根本性的拷问:建立在软件补丁和外挂设备之上的防御体系,还能撑多久?
图 | 海光信息副总裁应志伟在2026内生安全技术论坛上演讲
图源:海光
海光信息副总裁应志伟在2026内生安全技术论坛上分享了一串数字:过去挖一个较深层次的漏洞需要一到两年,而如今Anthropic的实验表明,一个晚上用AI就能挖出10个漏洞。更严峻的是,修复这样的漏洞通常需要六个月起步。
因此,传统的软件防御模式——发现漏洞、报告、修复、打补丁——依靠行业自律和法律法规争取时间的逻辑,在AI时代正在失效。防线必须下沉,下沉到最底层的硬件机制里。
这就是“芯片内生安全”命题的起点。
从“外挂”到“内生”,安全范式的根本位移
理解内生安全,可以借用一个类比。过去拍照需要一台单独的照相机,现在手机内置了摄像头,照相机就成了“外挂”,而手机摄像头就是“内生”。密码技术的演进正在经历同样的轨迹。传统的安全方案依赖软件补丁或外置加密设备,但在海量数据并发的AI时代,性能损耗大、密钥易泄露等短板愈发明显。外置加密卡最大的问题在于升级——卡与系统耦合不紧密,一旦密码体系需要迭代,对上游应用的影响是致命的。
国泰海通证券首席信息官俞枫对此深有体会。2022年,他的团队在海光CPU里发现了内置的密码模块,“当时你们也没怎么宣传,是我们自己发现的。”尝试应用在网上交易系统后,效果出奇地好——成本降低,性能反而提升。但更大的价值在于可演进性:CPU的迭代速度远快于传统密码设备,而且这种演进在底层就完成了,对上层应用基本无感。
对于金融系统而言,核心系统的生命周期往往长达五六年甚至十年。架构不仅要服务今天,更要服务明天和后天。内生密码体系带来的,正是这种面向未来的适应能力。
抗量子迁移是一场无法“推倒重来”的体系重构
量子计算的威胁已经不再遥远。俞枫表示,他去年在合肥参观“九章”时,其控制的量子态数量还未达到今天的规模,而一年后已突破3000个光子。更令人警惕的是,“先获取、后解密”的攻击方式正在成为现实——攻击者先盗取加密数据存储起来,等待量子计算成熟的那一天再行破解。对攻击者而言,赌输了无非是白干,赌赢的则是海量数据。而对于金融机构来说,这个赌局没有选择权。
但抗量子密码迁移绝非简单的算法替换。国泰海通证券在实践中的体会是,这是一场涉及基础设施、性能架构与生态协同的全系统密码体系重构。三重障碍相互耦合,使迁移难度呈指数级上升。传统密码体系中的算法位置识别、迁移优先级评估、性能优化等问题交织在一起,任何一环掉链子都可能导致系统不可用。
图 | 全球首个抗量子密码平滑迁移解决方案
图源:海光
海光与国泰海通证券、格尔软件联合发布的全球首个抗量子密码平滑迁移解决方案,其核心价值正在于此。方案采用了“商密+抗量子密码”的混合架构,支持传统国密、混合密码、纯抗量子密码三种模式的一键平滑切换。这种“双保险”设计既保障了核心交易业务的连续性,又为全面迁移筑起了安全缓冲。
在算法选择上,方案引入了高安全强度的ML-KEM768(即Kyber算法),将其全面嵌入SSL通信握手和数据库加密存储全流程。实测数据令人信服:密钥封装性能达80万次/秒,解封装性能超62万次/秒,系统可稳定支撑10000-30000TPS的高并发连接,业务平均时延控制在48至61毫秒之间。这个性能水平完全满足证券交易对低延迟、高并发、快响应的严苛要求。
图 | 国泰海通抗量子密码迁移方案应用与成效
图源:与非网摄制
密码技术的形态变革与产业机遇
芯片内生安全带来的不仅是技术路径的变化,更是整个密码产业形态的深刻重构。格尔软件副总裁叶枫从两个维度解读了这一变革:
- 向内看,CPU自带安全模块改变了密码交付的形态和成本。过去需要单独的加密卡、密码机,现在直接内嵌在CPU里,运维效率和成本结构都得到了根本性优化。
- 向外看,CPU中密码能力的覆盖范围远超当前密码设备和服务所及,这相当于给了产业一次更广泛拥抱新应用场景的机会。
这种变革正在加速落地。叶枫透露,格尔软件上个月已经正式完成了首套基于抗量子密码的全体系出海案例,为“一带一路”国家输出中国方案。这标志着中国在抗量子密码领域的探索已经开始走向全球。
这一成功试验的背后,是海光内生安全技术体系的全面支撑:融合密码技术、机密计算、可信计算、漏洞防御四大核心技术,以海光 CPU+DCU 双芯为底座,覆盖数据采集、传输、存储、使用、销毁全链路加密与硬件级防护,构建从芯片到应用的全栈安全能力。
图 | 以海光 CPU+DCU 双芯为底座,打造面向AI时代的内生安全体系
图源:海光
此外,为了构建长期的安全防线,应志伟进一步揭示了海光的分阶段演进蓝图:
- 2025至2026年为筑基阶段,快速支持NIST抗量子密码标准,完成ML-KEM、ML-DSA、SLH-DSA等算法的软件生态全覆盖。
- 2027至2028年进入硬件重构阶段,推出抗量子CCP硬件与专用指令集,从协处理器到原生指令集,释放芯片级的抗量子算力。
生态共创,是唯一可行的路径
图 | 2026内生安全技术论坛圆桌环节
图源:与非网摄制
创新的落地从来不是一家企业能够独立完成的。俞枫坦言,做这个创新最大的挑战不是技术本身,而是生态的协同。虽然国泰海通的应用都是自研的,但对CPU内生安全的底层认知需要海光的深度支持,上层的应用适配需要格尔软件的配合,后续还引入了OceanBase、SmartX等基础软件和基础设施厂商。
这种生态共创的格局,正在结出成果。OceanBase依托海光CCP协处理器的硬件加速能力打造的加密数据库,基本实现了TDE加密后性能无损的严苛指标。SmartX将海光HCT芯片级加密能力与虚拟化技术深度融合,在业内率先实现了“芯片级内生加密+虚拟化高可用”的一体化交付。
据悉,海光信息构建的“光合组织”已经汇聚了超过6000家企业,涵盖上下游各类软硬件厂商。抗量子这件事早晚得做,而通过这样一个开放的生态体系来推动技术落地,显然比任何一家企业的单打独斗都更具可持续性。
防线下沉,信任上移
回看这场内生安全技术论坛的核心议题,可以梳理出一个逻辑:当攻击者的能力被AI和量子计算以指数级放大,防御者唯一的选择就是让防线尽可能下沉。下沉到芯片层面,下沉到指令集层面,下沉到任何攻击者难以触及的物理底层。
但有趣的是,防线的下沉带来了信任的上移。当上层应用不再需要为密码实现和安全隔离操心,当业务部门不再担心加密会拖慢系统响应,当最终用户的敏感数据获得从芯片到应用的全链路保护,整个数字生态的信任基础反而变得更加坚实。
这或许就是“内生安全”最大的价值:它不是在一栋已经建好的房子外面再加一道篱笆,而是把安全写进了房子的每一块砖瓦、每一根梁柱之中。当AI一夜之间能挖出10个漏洞的时候,这样的“房子”,才是真正值得托付的。
来源: 与非网,作者: 夏珍,原文链接: https://www.eefocus.com/article/2017527.html
