首次实现芯片级安全！天翼云×海光推出新一代机密云主机

随着数据生产要素在“智能经济新形态”中广泛流动，如何保障用户的全生命周期数据安全成为关键议题。从传统的政务、金融行业应用，到方兴未艾的智能体浪潮，数据“可用不可见”以及计算过程“可验证”的迫切需求，正倒逼底层算力基础设施进行一场安全体系重构。

近日，国产芯片领军企业海光信息与云服务商国家队天翼云深度联手，精准击中这一痛点。依托海光自主研发的第三代机密计算技术（CSV3.0），天翼云正式推出新一代国产化机密计算云主机，成为业内首家搭载海光CSV3.0技术的云服务商。

01 从“外挂”补丁到“内生”免疫

在传统的云计算安全模型中，防护措施多集中于网络边界、虚拟化层或应用层，如同一座戒备森严的城池，城墙高筑，但一旦攻破城门，内部的数据便极易失守。
尤其是在虚拟化环境中，主机操作系统和虚拟机管理器拥有极高权限，攻击者可利用其漏洞窃取虚拟机内存数据，这种传统的“防御思维”在面对物理攻击、内部超权限访问时，往往力不从心。

海光与天翼云给出的破题思路是：将安全能力下沉到芯片最底层。通过海光CPU内置的安全处理器（PSP）与内存控制器加密引擎共同构建独立的安全域，让安全能力从芯片内部“生长”出来。此次落地的CSV3.0（安全加密虚拟化技术），正是这一理念的集大成者。

与上一代技术相比，CSV3.0不仅延续了硬件级别的内存加密与隔离，更进一步强化了完整性保护。它能够有效抵御针对虚拟机嵌套页表的重映射攻击，这意味着即便主机操作系统权限被突破，恶意代码也无法读取或篡改虚拟机的内存数据与嵌套页表。

这种从“被动防御”到“主动免疫”的跃迁，让云端虚拟机真正拥有了一个物理级隔离的“保险箱”。

02 重塑云端“可信计算”四大维度

天翼云此次推出的机密计算云主机，并非简单地将CSV3.0技术进行封装移植，而是深度融合了海光CPU的硬件能力，在关键技术维度上实现了对传统云主机的代际领先。

1）内存加密与隔离。数据在CPU中运行时被实时加密，写入内存时以密文形态存储，读取时自动解密。这种透明加解密过程对上层应用零感知，性能损耗控制在1%以下，却能从根源上杜绝冷启动攻击、物理探测等手段导致的数据泄露。

2）可信验证的远程认证。在分布式计算场景中，用户需要保障计算环境是“干净”的。为此，CSV3.0支持基于芯片唯一签名密钥的远程认证。用户可远程验证应用是否运行于真实、未被篡改的海光硬件隔离环境中，构建起跨界信任链条。

3）完备的兼容性。对于大多数用户而言，高阶安全往往伴随着复杂的应用改造。而基于硬件级别的可信执行环境（TEE）最大的优势在于，现有应用无需修改代码，即可零成本获得芯片级的机密计算防护，极大降低了金融、政务等高安全领域的上云门槛。

03 信创深水区的“价值释放”

基于海光CPU底层安全基座，天翼云将在典型高安全场景中为用户带来增强型数据保护与合规支撑，进一步实现扫清信创业务上云的安全障碍。

比如在金融领域，跨机构的风控建模和信用评估常因数据隐私壁垒而难以开展。天翼云机密计算云主机构建的“数据保险箱”，能让多方数据在安全状态下完成融合计算，实现“数据不动价值动”。

在政务领域，数据开放共享是释放要素价值的前提，但隐私泄露风险不容忽视。基于CSV3.0的“安全沙箱”机制，可有力保障政务数据在可控、可审计的环境下安全开放。

而在当前火热的AI赛道，该方案可面向大模型与相关数据资产提供硬件级加密保护，有效防止数据泄露与模型窃取，为AI创新打造既符合国产化要求，又不妥协性能的安全底座。

从芯片级底层安全到云端机密计算防线，国产厂商正基于全栈式协同创新，构建起覆盖数据全生命周期的可信安全底座。当数据资产和算力资源经过云端安全风险检验，云计算深水区也将迎来新一轮价值释放。

声明：如以上内容有误或侵犯到你公司、机构、单位或个人权益，请联系我们说明理由，我们会配合，无条件删除处理。