積極擁抱RISC-V技術國芯科技超高性能雲安全芯片通過國家商用密碼檢測認證

（來源：蘇州國芯科技）

隨着《網絡安全法》、《密碼法》、《數據安全法》等一系列法律法規的深入實施，商用密碼技術在政務、金融、能源、通信等關鍵領域的應用日益廣泛，雲密碼服務和網絡安全應用對高性能、高可靠、全自主的密碼芯片提出了迫切需求。在此背景下，國芯科技堅持自主創新，率先擁抱開放指令集架構RISC-V，成功研發出超高性能雲安全芯片CCP917T。該芯片不僅在性能上實現突破，更在架構自主性、場景適應性、生態開放性等方面樹立了行業新標杆。

CCP917T是基於國芯自研64位RISC-V處理器（CRV7）的高性能安全芯片。芯片包含4組高性能SEC（Security engine），支持對稱、非對稱、散列等密碼算法；支持PCI-E 4.0、DDR4、USB3.0等高速接口；支持TD/VD/FD/LD/PGD等異常檢測；芯片具有以下特點：

• 開放的RISC-V內核：64位自主RISC-V CRV7 四核，主頻可達1.4GH，集成了神經網絡處理單元（NPU），為複雜的密碼協議處理和任務調度提供了充沛的算力保障。

• 業界領先的算法性能：非對稱算法SM2簽名性能高達100萬次/秒，驗籤性能達40萬次/秒；對稱算法SM4加解密吞吐量高達80Gbps，AES性能達80Gbps，能夠輕松應對大數據塊的實時加密需求。摘要算法SM3雜湊運算性能達85Gbps，為數據完整性校驗提供了高速保障。

• 高速PCI-E接口：芯片支持PCI-E 4.0 x16高速接口，支持RC或者EP，支持 x16/x8/x4/x2/x1,單 lane 吞吐可達 16.0GT/s,提供了極高的數據吞吐帶寬，確保系統I/O不會成為密碼運算的瓶頸。此外還支持豐富的低速接口（如GMAC、SPI、I2C等）為其在各種硬件形態中的集成提供了便利。

• 支持256路硬件虛擬化：CCP917T支持SR-IOV（Single Root I/O Virtualization）技術，可支持多達256個虛擬功能（VF）。這意味着一顆物理芯片可以被虛擬化成256個獨立的、安全的虛擬密碼模塊，分別分配給雲環境中的不同虛擬機使用。

隨着雲計算、大數據和人工智能等技術的不斷發展，海量數據快速增長和流動，我國雲計算、數據中心、金融、電信、政府、視頻監控等關鍵領域對數據安全的要求極高，需要確保數據的機密性、完整性和抗抵賴性。雲服務密碼機對硬件虛擬化技術的需求，網絡協議（SSL/IPsec）卸載應用對高速密碼和高速接口的需求，CPU內生安全對RISC-V內核融合密碼技術的需求，一個個擺在行業從業者的面前，對於國芯科技來説是挑戰也是機遇。CCP917T成功獲得《商用密碼產品認證證書》（二級），意味着產品已經可以為雲安全、網絡數據卸載、可信計算、安全CPU主控等應用場景提供國芯科技解決方案。

雲服務密碼應用

雲計算是對信息資源的整合，實現共享資源的平臺化的服務。用户可以不用關心信息平臺建設的細節，只按照自己的需求，隨時從雲計算平臺獲得信息資源。雲密碼服務是一種全新的密碼功能交付模式，是雲計算技術與身份認證、授權訪問、傳輸加密、存儲加密等密碼技術的深度融合，用户不再「購買」密碼硬件或密碼系統等密碼產品，而是以「租用」 的方式使用雲中提供的各種密碼功能，因此雲密碼服務也是一種新的商業模式。

《GM/T 0104-2021雲服務器密碼機技術規範》指出，雲服務器密碼機應具備密鑰隔離功能，防止虛擬密碼機的密鑰被盜用、防止虛擬密碼機之間交叉使用密鑰、防止宿主機管理員獲取虛擬密碼機密鑰，因此雲服務密碼機硬件虛擬化技術是關鍵技術。CCP917T支持5個PF，最大支持256個VF，最多可支持256個虛擬機同時訪問，支持多卡可疊加，虛擬機算法資源可以靈活劃分，可以為公有云服務商、私有云數據中心提供KMS（密鑰管理）、加解密、簽名驗籤，證書生成與管理等功能。

近年來雲密碼服務正在由「雲服務器中配置支持虛擬化的硬件密碼模塊（芯片或 PCI-E 接口的密碼卡）」向「獨立的雲密碼機資源池(雲中的虛擬主機通過網絡連接雲密碼資源池中的硬件密碼模塊)」的解決方案轉變，市場前景可期。

網絡協議加速應用

計算機操作系統使用分層體系結構，使得數據包在各層之間傳遞時都需要相當數量的CPU和存儲資源，例如應用於VPN、SD-WAN中建立安全的加密傳輸通道的IPsec協議；應用於Https網頁協議，SMTP/POP3郵件協議中的SSL (Secure Sockets Layer）安全套接層協議；這些功能對CPU資源的佔用極大地影響了計算機系統和網絡轉發的性能。針對上述影響CPU計算瓶頸的相關運算，通常將一些運算或協議處理卸載到外部卸載卡上，例如Intel QAT（Quick Assist Technology）卡技術。

國芯科技CCP917T芯片可應用於研發網絡協議卸載卡，同時支持國際算法和國密算法，解決了國外產品雖然國際算法性能高，但是不支持國密算法的問題。通過SM3+SM4計算級聯模式降低帶寬要求，Scatter-Gather DMA方式提升網絡小包數據處理性能。在IPSEC的SM3+SM4組合算法運算中，如果使用Scatter-Gather DMA方式，數據處理性能可達到80Gbps，1KB小包數據包處理性能可達65Gbps。

根據Dell’Oro Group的網絡設備附加卡市場分析以及英特爾財報中「數據中心事業部（DCG）細分收入」分析推測，全球網絡協議加速卸載卡主要廠商有Intel QAT 8960/8970等，Marvell的OCTEON卡，NVIDIA的 BlueField卡等。年出貨規模在百萬張量級，國產化趨勢和國密算法替代的需求為CCP917T網絡協議卸載卡提供了廣闊的市場空間。

安全CPU應用

目前，業界的密碼設備的主流方案是採用分立式的「CPU+密碼卡」，尤其是通用CPU爲了支持國密，單獨使用密碼卡非常靈活。同時在CPU中內置加密計算模塊產業界已經開始技術探索，例如英特爾、ARM都在其CPU中內置了相關模塊，國內的CPU廠商飛騰、海光、海思等也開始推出CPU+密碼協處理器 (CCP)的產品，同時支持國際算法和商密算法。

CCP917T擁有64位自主RISC-V CRV7 四核，主頻可達1.4GH，為複雜的密碼協議處理和控制平面任務提供了充沛的算力保障。同時具有PCI-E RC/EP，DDR，EMMC控制器，千兆網絡GMAC，USB3.0、SPI、I2C等豐富的接口資源。可以作為一顆安全主控CPU使用，應用於密碼機，簽名驗籤服務器，VPN網關等設備中。

國芯科技超高性能雲安全芯片CCP917T通過國家商用密碼檢測認證，是國芯科技在覈心信息技術領域堅持自主創新、勇於向更高峰攀登的一個縮影。公司將繼續以開源開放的RISC-V架構，服務國家數字安全，以從芯片架構到算法實現的完整技術鏈，從根本上築牢數字中國的安全底座。