金融、证券等交易系统的安全,关乎国计民生和国家安全。随着网络攻击手段日益专业化、复杂化,构建自主可控、主动免疫且持续演进的技术防御体系已刻不容缓。
目前,金融、证券各大网上交易系统的国产密码改造方案,通常是使用支持国密算法的应用综合安全网关、数字证书系统以及硬件加密卡配合完成通讯链路的安全加固。但与此同时,也带来了新的安全隐患。
▍CPU内嵌密码模块,破局传统密码卡安全隐患
一方面,传统密码卡需要CPU通过PCI-E总线接口访问密码卡外设,这种完全通过外部总线与CPU相连的方式,由于增加了物理暴露面,容易受总线类物理攻击,如侧信道攻击等。
另一方面,传统密码卡采用集中式密码运算服务(类似加密机),密码运算和密钥管理通常需要借助网络进行传输,增加了数据泄露和被篡改风险。
在此背景下,海光信息凭借领先的芯片研发设计能力,开创性地在通用CPU内部集成专用安全硬件,实现CPU内嵌密码模块,全面运用商用密码算法,进一步实现了芯片级的可信计算-整机防护技术和机密计算-虚拟化防护技术,为数据资产的传输、存储、使用过程提供全生命周期的安全保障。
(海光可信密码模块方案)
▍服务国家战略,为自主可控的安全体系提供重要支撑
落地层面,海光助力某头部证券机构,在每一个应用服务站点之前部署支持国密的应用综合安全网关,包括国密SSL模块、协同签名服务端模块、国密算法模块和海光可信密码模块(内置基于海光芯片的硬件服务器),替代传统硬件密码卡方案。
基于海光内置可信密码模块的网上交易系统改造方案,将密钥管理和密码运算放到本地进行,避免网络数据传输中数据泄露和被篡改的风险,同时无需经过网络和主板上的总线通信,整个密码运算过程在CPU内部即可完成,进而提升系统整体性能。
凭借技术的先进性,海光此前已入选《2026年中国密评密改产业全景图》的“设备和计算安全产品”“应用和数据安全产品”厂商图谱,并荣获“2024-2025年度商用密码行业最具影响力产品”。
海光凝“芯”聚力,致力于构建自主可控的安全防御体系,积极联合生态伙伴,对外通过Tongsuo、OpenSSL、SDF和Kernel Crypto API等标准接口规范提供符合商用密码产品认证的密码服务,携手解决传统商用密码方案面临的兼容性、扩展性及云计算场景下商用密码改造难等痛点,共推数据安全进入新纪元。
