国产可信计算 —— TCM、TPCM、海光 CSV、鲲鹏

中国可信计算 1990 年代起步,2000 年后形成”沈昌祥院士”主导的”可信计算 2.0”路线——和国际 TCG 路线有差异。本文盘点国产可信硬件、软件、标准全景。

中国可信计算的”两条线”

graph TB
  CN[国产可信计算]
  CN --> L1[国际兼容路线
TPM 2.0 + 国密扩展]
  CN --> L2[国密自主路线
TCM + TPCM 主动可信]
  
  L1 --> H1[多数 OEM 主板带 TPM]
  L1 --> H2[海光 CSV / 鲲鹏 iTrustee]
  
  L2 --> H3[TCM 芯片 主板加]
  L2 --> H4[TPCM 主控可信芯片]
  L2 --> H5[等保 2.0 / 关基要求]

TCM:可信密码模块

国密版 TPM:

1
2
3
4
5
6
7
8
9
10
11
12
13
TCM(Trusted Cryptography Module):     
  - 国家密码管理局主导
  - GB/T 29827-2013("信息安全技术 可信计算规范 TCM")
  - 算法:     SM2 / SM3 / SM4
  - 接口:     LPC / SPI

与 TPM 1.2 类比:     
  - TPM SHA-1 → TCM SM3
  - TPM RSA → TCM SM2
  - TPM AES → TCM SM4

商用:     兆芯 / 海光 / 龙芯主板都可选 TCM 芯片
厂家:    国民技术、华大半导体、海泰方圆、瑞达等

TPCM:可信平台控制模块

中国”主动可信”路线的核心创新:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
TPCM(Trusted Platform Control Module):     
  - "可信计算 3.0"概念
  - 沈昌祥院士主推
  - 不同于 TPM / TCM 的"被动度量"
  - TPCM 主动控制系统启动
  
区别于 TPM:     
  TPM:     CPU 调它,被动响应
  TPCM:    自身有控制权,可主动启动 / 阻断

物理形态:     
  - 主板上独立模块
  - 上电时优先启动
  - 控制 BIOS 是否被允许执行
  - 持续监督系统运行

TPCM 工作流程

graph TB
  POW[上电] --> TPCM[TPCM 优先启动]
  TPCM --> CHECK[校验 BIOS 完整性]
  CHECK -- 通过 --> RUN[允许 BIOS 执行]
  CHECK -- 不通过 --> BLK[阻止系统启动 / 告警]
  RUN --> MON[运行时持续监督
主动度量]
  MON -- 发现异常 --> ACTION[报警 / 隔离 / 重启]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
关键差异:     
  - TPM 等"度量后请求"的方式:     CPU 主动询问 TPM 是否 OK
  - TPCM 等"主动控制":     TPCM 自己决定 CPU 能不能跑
  
理论上 TPCM 比 TPM 更安全——硬件级"看门狗"。

实际部署:     
  - 政府 / 国央企 / 关基系统
  - 等保 2.0 / 3.0 三级及以上
  - 部分电网 / 银行 / 军方
  
争议:     
  - 与国际 TCG 标准不同
  - 国际生态较弱
  - 但在国内信创市场是确定的需求

海光 CSV(China Secure Virtualization)

8.3 已介绍——海光 EPYC 衍生 CPU 的 SEV 国密版:

graph LR
  S1[CSV1
2020
仅内存加密] --> S2[CSV2
2021
+ 寄存器加密]
  S2 --> S3[CSV3
2023
+ 完整性 + 防回滚]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
CSV 系列:     
  CSV1:    SM4 加密 DRAM,对应 SEV
  CSV2:    + 寄存器加密,对应 SEV-ES
  CSV3:    + 完整性 + 嵌套页表保护,对应 SEV-SNP

用 SM4 不是 AES:     
  - DRAM 内存加密用 SM4-128
  - 满足国密要求
  - 性能与 AES 相当(硬件实现)

应用:     
  - 海光 + 麒麟 / 欧拉 / UOS:信创机密计算
  - 与海光 DCU 配合做 GPU TEE
  - 阿里 / 腾讯云国产化区域使用

待补充:海光 CSV 实际部署规模和案例。

鲲鹏 iTrustee

华为 / 海思系:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
鲲鹏 iTrustee:     
  - ARM TrustZone 上的 Secure World OS
  - 华为自研
  - 与昇腾 / 鲲鹏 / 麒麟深度集成
  
secGear SDK:     
  - 华为开源 confidential computing 编程框架
  - 抽象 Intel SGX / TrustZone / 鲲鹏 / 海光
  - 跨 TEE 应用编程
  
应用:     
  - 华为云机密计算服务
  - 政企 / 金融 / 运营商
  - 鲲鹏 + 麒麟 V10 标配

飞腾 PSPA

1
2
3
4
5
飞腾 PSPA(Phytium Security Processing Architecture):     
  - 飞腾自家"可信路线"
  - 基于 ARM TrustZone
  - 与麒麟 / UOS 配套
  - PSPA 协处理器集成在 SoC 内

待补充:飞腾 PSPA 详细规格和成熟度。

龙芯安全方案

1
2
3
4
5
6
7
8
龙芯(LoongArch 架构):     
  - 自研可信计算扩展
  - 与中科方德 / 麒麟适配
  - GUKI 安全 OS(中科方德)
  - 国产可信芯片

特点:     从指令集到 OS 全栈自主
应用:     军方 / 关基核心系统

待补充:龙芯可信计算具体实现细节。

申威 / 兆芯

1
2
3
4
5
6
7
8
申威(SW64):     
  - 国防 / 关基
  - 全自主指令集
  - 自带可信扩展

兆芯(x86):     
  - 通过 VIA x86 授权
  - 部分通用 + 国密扩展

国产可信计算的标准体系

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
GB/T 29827-2013:     可信计算规范——TCM
GB/T 29828-2013:     可信连接架构(TCA)
GB/T 29829-2013:     TCM 服务模块(TSM)
GB/T 36639-2018:     可信计算规范——服务器可信支撑平台
GB/T 41388-2022:     机密计算技术框架
GB/T 39786-2021:     信息系统密码应用基本要求

等保 2.0 / 3.0:     
  - 三级以上要求"可信验证"
  - 启动时验证 BIOS / Bootloader
  - 运行时验证关键应用
  - 可信验证记录留存

关键信息基础设施保护条例(2021):     
  - "关基"必须有可信验证
  - 涵盖电力 / 金融 / 交通 / 政务等

信创可信计算栈

graph TB
  L1[硬件层]
  L1 --> H1[CPU:海光 / 鲲鹏 / 飞腾 / 龙芯]
  L1 --> H2[TCM / TPCM 芯片]
  L1 --> H3[GPU:海光 DCU / 昇腾]
  
  L2[固件层]
  L2 --> F1[国产 BIOS / UEFI]
  L2 --> F2[Secure Boot 国密签名]
  
  L3[OS 层]
  L3 --> O1[麒麟 V10 / openEuler / UOS / 龙蜥]
  L3 --> O2[IMA + 国密验证]
  
  L4[应用层]
  L4 --> A1[国密 OpenSSL(GmSSL)]
  L4 --> A2[国产数据库 / 中间件]
  
  L5[监管面]
  L5 --> M1[CCRC 认证]
  L5 --> M2[国密局认证]
  L5 --> M3[等保测评]

国密算法在可信计算

1
2
3
4
5
6
7
8
9
10
11
12
13
SM2:     椭圆曲线公钥(256-bit),对应 ECDSA
SM3:     哈希(256-bit),对应 SHA-256
SM4:     对称加密(128-bit),对应 AES-128
SM9:     标识密码(基于双线性对),无国际等价

可信启动用法:     
  - SM3 哈希 PCR Extend
  - SM2 签名 attestation
  - SM4 加密 LUKS / DRAM

TPM 2.0 标准支持自定义 hash 算法:     
  → TPM 厂家可以做"国密版 TPM"(也叫 TCM 升级版)
  → 同一颗芯片支持 SHA-256 + SM3 双 PCR bank

国产 OS 中的可信适配

openEuler

1
2
3
4
5
6
7
8
9
10
openEuler 22.03 LTS:     
  - secGear(机密计算 SDK)
  - shimx64.efi 国密签名
  - GRUB / kernel 适配 SM2/SM3
  - IMA + EVM 国密版本
  - 与海光 CSV / 鲲鹏 iTrustee 集成
  
工具链:     
  - tpm2-tss + 国密扩展
  - keylime 国密版

麒麟 V10

1
2
3
4
5
6
7
8
9
10
银河麒麟 V10 SP3:     
  - 默认启用国密 Secure Boot
  - TCM / TPCM 标配
  - 等保 3 级合规
  - 国密 OpenSSL(GmSSL)
  - 国密 SSH

与 PKI 集成:     
  - SM2 数字证书
  - 与中国电子签名服务对接

统信 UOS

1
2
3
4
UOS Server V20 / V21:     
  - 部分支持 TCM
  - 与海光 / 鲲鹏 / 飞腾全适配
  - 等保 / 国密合规

应用场景

党政信息系统

1
2
3
4
5
6
7
8
9
要求:     
  - 等保 3 级及以上
  - TCM / TPCM 启用
  - 全栈国产 + 国密
  
典型部署:     
  - 海光 + 麒麟 V10 + TPCM
  - openEuler + 鲲鹏 + iTrustee
  - 飞腾 + UOS + TCM

央国企生产系统

1
2
3
4
5
6
7
8
9
10
银行核心系统:     
  - 国密 SSL(OpenSSL → GmSSL)
  - 数据库国密(GaussDB / OceanBase 国密版)
  - HSM 用国密
  - 部分用 TEE(海光 CSV / 鲲鹏)
  
电力调度系统:     
  - TPCM 主动可信
  - 电网信创目录
  - 边界网关国密

军方 / 关基

1
2
3
4
5
6
7
8
9
要求:     
  - 等保 4 级
  - 自主可控(指令集 + 全栈)
  - 龙芯 / 申威优先
  - 自研可信芯片
  
典型部署:     
  - 龙芯 + 中科方德 + 自研可信
  - 申威 + 凝思 / 麒麟信安

国产可信计算的挑战

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1. 国际生态弱:     
   - TCM / TPCM 与 TCG 不完全兼容
   - 跨厂家工具少
   - 学术研究少
   
2. 应用兼容:     
   - 国密 OpenSSL 替代国际版
   - 国产中间件 / 数据库适配
   - 应用层移植成本

3. 性能:     
   - SM2 / SM4 性能稍逊 RSA / AES(差距小)
   - SM3 与 SHA-256 相当
   - 国密硬件加速覆盖度不如 AES-NI

4. 工具链:     
   - 调试 / profiling 工具少
   - 与开源社区互动有限
   - 标准更新慢

5. 主动可信路线分歧:     
   - TPCM 仅国内推
   - 国际厂家不实现
   - 跨国企业落地难

国产可信计算的优势

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
1. 监管确定性:     
   - 信创目录 / 等保 2.0 / 关基保护条例
   - 一定数量的政企采购"必带"
   
2. 全栈自主:     
   - 从指令集到 TEE 全栈自研
   - 不被外部"卡脖子"

3. 与国密深度结合:     
   - SM2 / SM3 / SM4 / SM9 硬件加速
   - 国密合规直接达成

4. 主动可信创新:     
   - TPCM 是国内创新点
   - 未来可能反向输出

工具与命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# 看 TCM 支持
ls /dev/tcm*
cat /sys/class/tcm/tcm0/version

# 国密 OpenSSL(GmSSL)
gmssl version
gmssl sm3 -in file.txt
gmssl sm2sign -in file.txt -inkey sm2.pem

# 海光 CSV 检测
dmesg | grep -i csv
ls /dev/csv-guest

# 鲲鹏 iTrustee(OP-TEE 衍生)
optee-supplicant status

# secGear(华为机密计算 SDK)
secgear-cli list-tee

一些查询

1
2
3
4
5
6
7
8
9
10
11
12
# 看 CPU 是否支持国密扩展
grep -E "sm3|sm4|sm9" /proc/cpuinfo

# 看 TPM 是否双 bank(SHA-256 + SM3)
tpm2_pcrread sha256:0,1,2
tpm2_pcrread sm3_256:0,1,2

# 安装国密支持
# openEuler:     
dnf install GmSSL openssl-gmssl
# 麒麟 V10:     
yum install GmSSL kysec

业界进展

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
2022-2024:     
  - 信创采购爆发期
  - TCM / TPCM 上量
  - 海光 CSV 商用化
  - 鲲鹏 iTrustee 进入华为云

2024-2026:     
  - 万节点级国产可信集群
  - 与机密计算 / 多方计算结合
  - GPU TEE(海光 DCU + CSV)

2026+:     
  - 全栈机密计算(海光 / 鲲鹏 + 国密)
  - 国密 + 国际标准互认
  - 信创 + 关基的可信网络(TNC)

待补充:实际项目国产可信计算选型经验。

与国际方案对比

国际 国产对应 现状
TPM 2.0 TCM 2.0(GB/T 29827-2024 进化中) TCM 已成熟
Intel TDX 海光 CSV3 海光 CSV 已商用
AMD SEV-SNP 海光 CSV3 兼容 SEV
Intel SGX 鲲鹏 iTrustee(不同模型) 进程级 vs VM 级
ARM TrustZone 鲲鹏 iTrustee / 飞腾 PSPA 同根 ARM
ARM CCA 鲲鹏 + 国密版 CCA(探索) 未量产
TPM Quote 国密 attestation 标准化进行中

一些”国产可信”的真实落地

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
国家电网调度系统:     
  - 全栈国产 + TPCM 主动可信
  - 等保 4 级
  - 千节点级

中国银联:     
  - 海光 + 麒麟 + 国密
  - 部分核心系统

某省级政务云:     
  - 鲲鹏 + 麒麟 + iTrustee
  - 与机密计算结合

军工 / 国防系统:     
  - 龙芯 / 申威 + 自研可信
  - 全脱网部署

待补充:你公司或项目的国产可信选型实际情况。

一些数字直觉

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
TPCM 启动:     
  +1-3 秒(主动验证 BIOS)
  
海光 CSV 启动:     
  类似 SEV,+2-3 秒

国密 vs 国际:     
  SM2 签名 vs ECDSA:    几乎相同
  SM3 哈希 vs SHA-256:    几乎相同
  SM4 加密 vs AES-128:    硬件加速后接近

实际部署成本:     
  TCM 芯片:    单颗几十元 RMB
  TPCM 模块:    数百元 RMB
  海光 CSV:    随海光 CPU 免费
  鲲鹏 iTrustee:    随 SoC 免费

小结

  • 国产可信计算分两条路线:TPM 2.0 + 国密 / TCM-TPCM 主动可信
  • TCM 是国密版 TPM,TPCM 是”主动可信”创新
  • 海光 CSV 是国密版 SEV,鲲鹏 iTrustee 基于 ARM TrustZone
  • 国密算法 SM2/3/4/9 全栈替换 RSA/SHA/AES
  • 信创 / 等保 / 关基是主要驱动力
  • 全栈自主优势 + 国际生态弱势是当前现状
  • 应用: 党政、央国企、银行、电力、军方

下一篇是第八章收口——可信计算选型与第八章小结。