StackWarp漏洞无效！一文读懂海光自研CSV虚拟化技术

最近，AMD处理器曝出的StackWarp漏洞余波未平，海光凭借自研的CSV3虚拟化技术，提前给国产C86上了一道保险。显然，这不仅反映出本土厂商的自主化程度，同样也意味着国产CPU在安全性上真正获得主动权，细分技术能力甚至已经跑在全球前列。

根据StackWarp漏洞攻击路径，AMD最大的破绽在于SEV-SNP（安全加密虚拟化-安全嵌套分页），该漏洞可基于此允许恶意的VM主机操控客户虚拟机的堆栈指针。这使得攻击者能够劫持控制流和数据流，从而在机密虚拟机内部实现远程代码执行和权限提升。

SEV-SNP对应的正是海光的CSV技术。在架构设计层面，海光CPU因其CSV3虚拟化技术与SEV-SNP存在本质差异，所以该语境下的漏洞威胁基本无效。当然，从机密计算实现角度来说，海光的安全体系构建自有其先进性，非常值得云计算等敏感性用户复盘研究。

先来明确一个概念，机密计算是指利用处理器的可信执行环境保护计算机系统最终用户的数据安全，让用户保存于可信执行环境中的数据具有机密性和完整性。

简单来说，传统计算是使用加密技术保护存储和传输中的数据，而机密计算是使用加密、隔离技术保护使用中的数据。

而海光CPU的机密计算技术逻辑是，CPU允许以虚拟机为单元对硬件资源隔离，结合运行于处理器上的安全固件，实现基于安全虚拟化的可信执行环境，用以保证用户数据安全。

这里涉及的云计算底层基础技术虚拟化技术非常关键。

由于虚拟机的全部资源被主机操作系统和虚拟机管理器控制，此前的虚拟机本身就存在一定安全隐患。在普通虚拟化基础上，海光CPU进一步升级了安全加密虚拟化，安全保护得到大幅增强，这种模式非常适用于云计算和隐私计算等场景。

从用户角度来看，海光CPU安全加密虚拟机的缓存等资源独立，与其他安全加密虚拟机和主机程序隔离，这一架构下严格保护了用户的应用数据不被窃取或者篡改。

并且，安全加密虚拟机支持启动度量和运行时远程身份认证，度量和认证结果由处理器签名，主机操作系统和虚拟机管理器无法伪造，进而也保证了安全加密虚拟机身份的合法性。

另外就是安全加密虚拟机支持内存实时加密，主机操作系统和虚拟机管理器根本无法解密，密钥则由处理器随机生成并管理，可以说是永不外泄。

这里也能看出，海光CPU的安全加密虚拟机不仅保证了虚拟机数据机密性，更维护了虚拟机数据的完整性，主机操作系统和虚拟机管理器无法通过改写虚拟机嵌套页表对虚拟机实施重映射攻击，所以StackWarp漏洞基于AMD SEV-SNP的攻击路径根本不可能实现。

值得注意的是，机密计算正处于百家争鸣繁荣发展阶段，市场和商业化潜力非常巨大，但在云原生场景中，部分用户对这项新技术的认知度仍然不足，甚至由于技术门槛高，需要对业务进行改造，很多开发者对此望而生畏。

据龙蜥社区报道，在商业化方面，海光CSV技术是目前唯一规模商业化的国产CPU机密计算技术，此前已联合合作伙伴发布了10余款隐私计算一体机。

可能正应了那句“墙里开花墙外香”，没有AMD SEV-SNP在StackWarp漏洞下的溃败，很难感知到国产CPU已经在安全技术领域开辟出崭新天地。相信随着信息安全体系建设不断提速，海光CSV等先进技术的“含金量”将被更多国产化用户认可。