前言
在云计算与 AI 技术飞速发展的今天,服务器硬件安全已成为数字基建的基石。面对固件篡改、漏洞利用、供应链攻击、内部运维风险等多重威胁,传统安全方案已难以应对复杂场景下的纵深防御需求。2025 云栖大会上,阿里云首次公开其自研平台安全芯片(PRoT810)以及平台可信根模块(AliPRoT),通过构建硬件级安全底座,为数据中心提供“不可穿透”的防护体系。本文将深度解析阿里云如何以技术创新重塑服务器安全范式。
一、
数据中心服务器硬件安全的挑战
随着云计算和人工智能的快速发展,服务器硬件系统面临着前所未有的安全挑战。例如,固件、操作系统、软件等被攻击篡改;芯片、固件、Hypervisor 等漏洞被恶意利用;在供应链场景中,如生产、制造、组装、运输等环节的攻击面暴露;以及,在运维场景中,运维人员的一些不当操作甚至是恶意行为。这些都会给底层的硬件基础设施带来非常大的安全隐患。面对这些安全挑战,需要在硬件层面建立更完备、更主动的安全防护机制。
二、
从 TPM 信任根到芯片信任根,再到平台信任根,分层安全与纵深防御
目前,传统服务器广泛使用 TCM/TPM 作为硬件可信根,它为系统提供了可信存储和可信报告的能力,但也存在明显的短板。例如,TCM/TPM 不支持主动度量,需要适配外部 CRTM 实现可信度量;缺乏主动保护机制,针对攻击只能事后发现并响应,无法事前防御。这使得传统的 TCM/TPM 难以应对数据中心复杂的硬件安全风险。
近年来,主流芯片厂商开始支持内置的可信根(通常称为 Silicon Root of Trust 或 Internal Root of Trust),它们通常支持启动校验、启动度量、密钥保护等功能。业界的开源项目如 Caliptra、OpenTitan 等也在推动相关技术的发展。然而,不同芯片厂商有的采用自研方案,有的采用开源方案,还有的基于开源方案做一些定制化设计,这导致了最终的方案差异和安全能力不同。此外,Internal Root of Trust 主要面向芯片内部的安全,缺乏对外部平台部件的可信度量和保护能力。
为了弥补上述短板,阿里云提出了服务器 PRoT(Platform Root of Trust)安全架构。通过在传统服务器架构下增加一层平台级的硬件安全防护,实现分层安全和纵深防御。PRoT 安全架构具备清晰的安全边界,兼容不同的 CPU 平台,整体安全能力不依赖于 BMC 或 CPU 等芯片自身的安全设计,属于额外的一层防护。
![]()
PRoT 应该具备以下核心能力:
自身应具备安全可信的能力,要有最小化的 TCB 设计;
支持平台固件的主动度量和校验,支持恢复能力;
支持平台固件的主动防御和实时保护能力;
支持平台可信信息的动态度量与上报;
支持 TCM/TPM 的功能,提供可信服务。
三、
阿里云自研平台安全芯片和模块,强化数据中心服务器硬件安全和纵深防御
自研芯片:阿里云自主研发了平台安全芯片(PRoT810)和平台安全模块(AliPRoT),作为服务器的平台可信根,结合 CIPU 构建了全新的 CIPU 硬件安全架构,有效应对云数据中心的各种硬件安全风险。PRoT810 是一颗专为数据中心平台安全而生的芯片。它采用了玄铁内核、自研关键 IP,内置硅信任根和物理防护。PRoT810 还提供了平台级的安全防护功能(比如 SPI 和 SMBUS 的 Filter 功能,实时过滤非法指令),同时也集成了 TPM 功能。
![]()
自研模块:基于 PRoT810 安全芯片,阿里云研发了服务器的平台可信根——AliPRoT 安全模块,AliPRoT 不仅支持平台固件的主动度量、保护、恢复和上报,还能够提供平台级别的可信服务。然后,通过与 CIPU 联动,构建全新的 CIPU 硬件安全架构,以此来更好的满足云数据中心的定制化强安全需求。
![]()
从源头开始的安全设计:从芯片的第一行 ROM 代码开始,到芯片上运行的安全固件,都是由阿里云安全团队自主研发,并且安全固件通过阿里云固件签名平台签名发布,确保其可信性。同时,通过使能芯片的安全启动特性,支持从芯片硬件到固件的逐级校验,确保防篡改;通过使能 TCG DICE 特性,实现对芯片内部每层固件的安全度量,使能芯片自证的可信能力。
![]()
生产阶段使能PRoT硬件可信身份:生产时为每个 PRoT 设备颁发唯一的硬件身份证书(一芯一证),确保其硬件身份可识别且不可伪造,从而为后续的可信服务提供更高安全的可信的硬件身份。
![]()
在服务器上电前主动度量与校验:在服务器上电之前,AliPRoT 会先于其他组件启动,而 BMC 和 CPU 保持复位状态。AliPRoT 会对 BMC Flash 和 BIOS Flash 的内容按照 PFM 格式定义的规则进行度量和校验,只有被校验的内容符合预期后,才允许系统继续启动;校验失败的则根据策略恢复。AliPRoT 还提供私有的可信存储区,存放用于恢复的 Golden Image,避免主板 Flash 的冗余设计。通过上电前的主动度量与校验,确保平台固件处于符合预期的 Golden 状态。
![]()
服务器运行时主动防御:PRoT 会在解复位 BMC 和 CPU 之前,按照 PFM 定义的规则对 BMC Flash 和 BIOS Flash 进行写保护,实时防止运行时的非授权写操作。同时还会开启 CPLD 的升级管控以及 VR、PSU 等的实时保护。通过运行时的主动防御和实时保护,保护底层硬固件不会因漏洞利用等攻击造成相应的安全风险。
![]()
服务器运行时动态度量:AliPRoT 作为平台的升级可信根,负责平台固件升级过程中的重新度量和校验。同时,它还会定时对服务器上的各个组件的 iRoT 做 Attestation,收集度量信息,确保平台的动态可信。通过及时的度量值刷新和动态收集,为系统提供具有时效性的可信报告。
![]()
服务器运行时平台可信管理和可信服务,AliPRoT 对接阿里云的可信管理平台,实现对平台固件升级的可信管控,仅接受合法的升级请求。这样能够从技术上杜绝非预期的平台运维行为,即使被升级的对象是带有签名的,也需要通过额外的合法升级请求进行验证。同时,AliPRoT 集成了传统的 TCM/TPM 硬件可信根,为平台提供相应的可信服务,支持云零信任安全架构。此外,CIPU 通过专用接口和安全协议对接 AliPRoT,实时获取平台的可信度量信息,并统一上报给阿里云的可信管理平台,形成闭环的安全管理流程。
![]()
四、
AliPRoT的落地成果与展望
总的来说,阿里云通过自研安全芯片和解决方案,构建了硬件级别的纵深防御体系,有效应对以下关键问题:
固件完整性校验,只允许经过验证的固件运行,杜绝篡改或后门植入;
固件实时防护,即使 CPU 或操作系统被攻破,也能保证底层固件安全;
可信度量与上报,以可信技术应对供应链攻击风险,实现全平台可信;
平台安全运维,从技术上防止内部运维的风险,保障平台固件的运维安全。
目前,AliPRoT 已经在 Intel、AMD 多个主流芯片上实现产品化,也支持 ARM 和 RISCV 架构。在云场景下,AliPRoT 与 CIPU 实现深度联动,通过保护底层硬件系统,为云计算、AI 大模型推理和训练等场景提供硬件级的安全底座,为客户数据安全和平台稳定运行提供坚实的保障。
AliPRoT 的推出,不仅重新定义了数据中心服务器安全标准,更标志着服务器硬件安全从被动防御走向主动防护的范式转变。
来源:阿里云基础设施
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.