主动的恶意后门可以通过自主设计来实现，只要CPU功能由自己人设计、芯片由自己人实现，就做到了知根知底，避免了恶意后门的植入。

■张承义

自主可控是实现国家网信安全的必要条件，但自主可控不等价于安全。中央处理器（CPU）安全设计可以从三个方面来看：一个是防后门，一个是堵漏洞，一个是CPU级的可信设计。

主动的恶意后门可以通过自主设计来实现，只要CPU功能由自己人设计、芯片由自己人实现，就做到了知根知底，避免了恶意后门的植入。

非主观的漏洞则来自于设计能力的不足，或者由于芯片日益复杂不可避免引入的缺陷，需要我们练内功、长经验。2018年年初被曝光的“熔断”“幽灵”漏洞本质上是设计缺陷，而不是后门。这一类攻击方式就像是打开了一个潘多拉魔盒，针对CPU旁路信息的攻击和窃取方式一波接一波，直到前几天还曝出新的变种。这一漏洞直接影响的是现代CPU赖以提高性能的基本机制——推断执行和乱序执行，所以夸张一点说，如果这类漏洞得不到根本的解决，CPU单核的微体系结构研究将倒退回上世纪八九十年代。

这类非主观的CPU安全漏洞是由设计能力缺陷或者设计认识缺陷导致的，所以即便是自主设计的处理器也不能绝对避免。解决CPU的安全漏洞一方面需要雄厚的CPU设计技术积累，另一方面也需要与国际主流安全社区的紧密合作。

除了防止后门和漏洞之外，主动的CPU安全设计是信息系统安全可信设计的重要设计理念和重要环节。安全可信并不是一些孤立的技术点，必须在处理器设计的整个流程中贯穿相关设计思想，从架构上、从软硬件总体上去把握。同时，为了安全可信应用的真正落地，必须联合生态圈内各家企业一起，在一个稳定的、定义清晰规范的CPU架构平台上去推进，有了规范才能真正把生态圈的作用发挥出来。因此，飞腾定义了自己的安全处理器架构规范PSPA1.0（Phytium Security Platform Architecture）。

PSPA1.0规范涵盖了CPU的硬件、固件、OS、启动流程、量产管理、漏洞免疫等各个方面，对其中的关键安全特性都进行了定义，以此保障安全特性在设计的全流程中无遗漏地贯穿，并且为客户提供规范的标准接口，指导CPU设计以及客户的软硬件设计和可信软件栈的开发移植。PSPA覆盖了飞腾从嵌入式到高性能的所有应用，定义了对国产商密算法的支持，可以遵循国内的TPCM标准构建可信的系统。

飞腾目前已经实现了CPU设计的自主可控，下一步的目标就是从自主可控走向安全可信，将安全设计理念融入到国产CPU设计的方方面面，走出一条具有中国特色的独立的演进路线，为用户提供安全可信的CPU产品，为国产安全可控事业做出自己的贡献。

（作者系天津飞腾信息技术有限公司战略规划部总经理）