阿里云自研平台安全芯片，重新定义数据中心服务器硬件安全新范式

前言

在云计算与 AI 技术飞速发展的今天，服务器硬件安全已成为数字基建的基石。面对固件篡改、漏洞利用、供应链攻击、内部运维风险等多重威胁，传统安全方案已难以应对复杂场景下的纵深防御需求。2025 云栖大会上，阿里云首次公开其自研平台安全芯片（PRoT810）以及平台可信根模块（AliPRoT），通过构建硬件级安全底座，为数据中心提供“不可穿透”的防护体系。本文将深度解析阿里云如何以技术创新重塑服务器安全范式。

一、

数据中心服务器硬件安全的挑战

随着云计算和人工智能的快速发展，服务器硬件系统面临着前所未有的安全挑战。例如，固件、操作系统、软件等被攻击篡改；芯片、固件、Hypervisor 等漏洞被恶意利用；在供应链场景中，如生产、制造、组装、运输等环节的攻击面暴露；以及，在运维场景中，运维人员的一些不当操作甚至是恶意行为。这些都会给底层的硬件基础设施带来非常大的安全隐患。面对这些安全挑战，需要在硬件层面建立更完备、更主动的安全防护机制。

二、

从 TPM 信任根到芯片信任根，再到平台信任根，分层安全与纵深防御

目前，传统服务器广泛使用 TCM/TPM 作为硬件可信根，它为系统提供了可信存储和可信报告的能力，但也存在明显的短板。例如，TCM/TPM 不支持主动度量，需要适配外部 CRTM 实现可信度量；缺乏主动保护机制，针对攻击只能事后发现并响应，无法事前防御。这使得传统的 TCM/TPM 难以应对数据中心复杂的硬件安全风险。

近年来，主流芯片厂商开始支持内置的可信根（通常称为 Silicon Root of Trust 或 Internal Root of Trust），它们通常支持启动校验、启动度量、密钥保护等功能。业界的开源项目如 Caliptra、OpenTitan 等也在推动相关技术的发展。然而，不同芯片厂商有的采用自研方案，有的采用开源方案，还有的基于开源方案做一些定制化设计，这导致了最终的方案差异和安全能力不同。此外，Internal Root of Trust 主要面向芯片内部的安全，缺乏对外部平台部件的可信度量和保护能力。

为了弥补上述短板，阿里云提出了服务器 PRoT（Platform Root of Trust）安全架构。通过在传统服务器架构下增加一层平台级的硬件安全防护，实现分层安全和纵深防御。PRoT 安全架构具备清晰的安全边界，兼容不同的 CPU 平台，整体安全能力不依赖于 BMC 或 CPU 等芯片自身的安全设计，属于额外的一层防护。

PRoT 应该具备以下核心能力：

• 自身应具备安全可信的能力，要有最小化的 TCB 设计；

• 支持平台固件的主动度量和校验，支持恢复能力；

• 支持平台固件的主动防御和实时保护能力；

• 支持平台可信信息的动态度量与上报；

• 支持 TCM/TPM 的功能，提供可信服务。

三、

阿里云自研平台安全芯片和模块，强化数据中心服务器硬件安全和纵深防御

自研芯片：阿里云自主研发了平台安全芯片（PRoT810）和平台安全模块（AliPRoT），作为服务器的平台可信根，结合 CIPU 构建了全新的 CIPU 硬件安全架构，有效应对云数据中心的各种硬件安全风险。PRoT810 是一颗专为数据中心平台安全而生的芯片。它采用了玄铁内核、自研关键 IP，内置硅信任根和物理防护。PRoT810 还提供了平台级的安全防护功能（比如 SPI 和 SMBUS 的 Filter 功能，实时过滤非法指令），同时也集成了 TPM 功能。

自研模块：基于 PRoT810 安全芯片，阿里云研发了服务器的平台可信根——AliPRoT 安全模块，AliPRoT 不仅支持平台固件的主动度量、保护、恢复和上报，还能够提供平台级别的可信服务。然后，通过与 CIPU 联动，构建全新的 CIPU 硬件安全架构，以此来更好的满足云数据中心的定制化强安全需求。

从源头开始的安全设计：从芯片的第一行 ROM 代码开始，到芯片上运行的安全固件，都是由阿里云安全团队自主研发，并且安全固件通过阿里云固件签名平台签名发布，确保其可信性。同时，通过使能芯片的安全启动特性，支持从芯片硬件到固件的逐级校验，确保防篡改；通过使能 TCG DICE 特性，实现对芯片内部每层固件的安全度量，使能芯片自证的可信能力。

生产阶段使能PRoT硬件可信身份：生产时为每个 PRoT 设备颁发唯一的硬件身份证书（一芯一证），确保其硬件身份可识别且不可伪造，从而为后续的可信服务提供更高安全的可信的硬件身份。

在服务器上电前主动度量与校验：在服务器上电之前，AliPRoT 会先于其他组件启动，而 BMC 和 CPU 保持复位状态。AliPRoT 会对 BMC Flash 和 BIOS Flash 的内容按照 PFM 格式定义的规则进行度量和校验，只有被校验的内容符合预期后，才允许系统继续启动；校验失败的则根据策略恢复。AliPRoT 还提供私有的可信存储区，存放用于恢复的 Golden Image，避免主板 Flash 的冗余设计。通过上电前的主动度量与校验，确保平台固件处于符合预期的 Golden 状态。

服务器运行时主动防御：PRoT 会在解复位 BMC 和 CPU 之前，按照 PFM 定义的规则对 BMC Flash 和 BIOS Flash 进行写保护，实时防止运行时的非授权写操作。同时还会开启 CPLD 的升级管控以及 VR、PSU 等的实时保护。通过运行时的主动防御和实时保护，保护底层硬固件不会因漏洞利用等攻击造成相应的安全风险。

服务器运行时动态度量：AliPRoT 作为平台的升级可信根，负责平台固件升级过程中的重新度量和校验。同时，它还会定时对服务器上的各个组件的 iRoT 做 Attestation，收集度量信息，确保平台的动态可信。通过及时的度量值刷新和动态收集，为系统提供具有时效性的可信报告。

服务器运行时平台可信管理和可信服务，AliPRoT 对接阿里云的可信管理平台，实现对平台固件升级的可信管控，仅接受合法的升级请求。这样能够从技术上杜绝非预期的平台运维行为，即使被升级的对象是带有签名的，也需要通过额外的合法升级请求进行验证。同时，AliPRoT 集成了传统的 TCM/TPM 硬件可信根，为平台提供相应的可信服务，支持云零信任安全架构。此外，CIPU 通过专用接口和安全协议对接 AliPRoT，实时获取平台的可信度量信息，并统一上报给阿里云的可信管理平台，形成闭环的安全管理流程。

四、

AliPRoT的落地成果与展望

总的来说，阿里云通过自研安全芯片和解决方案，构建了硬件级别的纵深防御体系，有效应对以下关键问题：

• 固件完整性校验，只允许经过验证的固件运行，杜绝篡改或后门植入；

• 固件实时防护，即使 CPU 或操作系统被攻破，也能保证底层固件安全；

• 可信度量与上报，以可信技术应对供应链攻击风险，实现全平台可信；

• 平台安全运维，从技术上防止内部运维的风险，保障平台固件的运维安全。

目前，AliPRoT 已经在 Intel、AMD 多个主流芯片上实现产品化，也支持 ARM 和 RISCV 架构。在云场景下，AliPRoT 与 CIPU 实现深度联动，通过保护底层硬件系统，为云计算、AI 大模型推理和训练等场景提供硬件级的安全底座，为客户数据安全和平台稳定运行提供坚实的保障。

AliPRoT 的推出，不仅重新定义了数据中心服务器安全标准，更标志着服务器硬件安全从被动防御走向主动防护的范式转变。

来源：阿里云基础设施