华为发布算力基础设施安全技术白皮书（HCIST）

白皮书指出，AI产业已经从“技术可行”转入“商业可用”的确定性阶段，面向AI的算力基础设施必须同时满足用户智能化、高性能、数据安全隐私隔离的复合要求，并以可审计、可证明的方式通过合规审查与安全审计，帮助解决用户关注的隐私保护问题同时保障合规要求。HCIST围绕这一命题，提供一套既可整体落地、又可按场景可裁剪、可解耦、同时兼容第三方生态的安全架构——在同一技术底座下，既可通过云、管、端一体面向消费者提供安全服务体验，也可以结合不同行业的企业客户提供云、计算、管道差异化的解决方案。

在端侧，HCIST以可信执行环境（TEE）与设备级身份为信任锚点，将生物特征、支付凭证、私密指令等敏感数据固定在硬件隔离的可信域内处理，并通过分布式设备认证替代“默认信任”。在通信管道，系统化采用零信任设计原则，通过双向身份认证、端到端加密和可卸载的线速加解密能力，将安全与性能合二为一，必要时下沉到物理层实现比特级保护。在云侧，华为构建了覆盖机密计算、机密存储、机密云全方位计算体系，结合TPCM可信计算与支持国密的硬件可信根，使“我是谁、我在跑什么、是否按策略运行”成为可验证事实。

HCIST强调“统一与解耦并存”：一方面，以端—管—云的统一信任骨架与标准化证明体系，避免碎片化带来的合规与运维成本；另一方面，面向不同行业、不同场景与不同诉求，安全能力可以分层抽取、按需组合，既可“整包落地”，也可“精益切入”，在统一的工程范式下快速形成可复制、可运维的最佳实践。

HCIST从“使用态安全”出发重构计算与存储路径。在计算侧，鲲鹏处理器基于ARM体系的机密计算能力（如virtCCA/CCA）提供cVM级的硬件隔离与度量验证；昇腾处理器（NPU）通过“昇盾”机制将模型权重、KV缓存与中间张量固定在加速器的机密域中，主机侧特权不可触达明文；两者通过可信通道与统一的密钥与会话策略衔接，形成端到端的安全流水线。在异构设备接入方面，HCIST通过PCIPC/CoDA机密直通与安全SMMU映射实现“接近原生”的异构设备安全直通，兼顾SR-IOV场景下PF/VF的细粒度控制需求。在存储侧，将“加密磁盘”的概念升级为“计算—存储机密域”，以硬件可信根与双向认证为前提，结合RDMA/SR-IOV等高性能路径的端到端链路加密与远程证明，确保模型仓库—加载—运行全链路“可用不可见、可验可控”。

针对云原生工作负载，HCIST提出机密容器与机密云平台的协同路径：在容器侧，聚焦于平衡敏捷性与安全性。在保持开发者体验与持续交付效率的同时，通过底层可信执行环境（TEE）为容器提供运行时强隔离保护，并与容器镜像完整性度量、安全策略自动校验等能力联动，确保容器从构建、分发到运行的每一步都可信可溯。在虚拟化侧，则以擎天架构为核心，承载高强度多租户隔离与可远程证明的可信能力。擎天通过专用硬件加速卡、极简虚拟化层及安全控制器的协同，实现对计算、存储、网络资源的硬件级卸载与安全隔离，为虚拟机和容器提供统一、高性能的可验证环境。

白皮书精选了若干高价值应用镜头：1）在用户私有模型使用云服务进行机密部署场景，模型存于机密存储、在CPU/NPU可信域内加载与推理，调用链路全程加密与可证明，既满足监管要求，也保护知识产权并支撑规模化上线；2）在金融级可信数据流通场景，数据来源可验、算力环境可证、存储防篡改与强同步，使核心系统同时获得稳态可用性与极致恢复能力；3）在端管云协同场景，端侧最小化处理与加密，链路用户身份防追踪、云侧机密推理，“可用不可见”贯穿始终，用户体验与隐私保护不再互相牵制。

《华为算力基础设施安全技术白皮书》现已发布，面向产业伙伴与客户开放，欢迎通过点击阅读原文链接下载白皮书。我们也将面向重点行业开展系列技术介绍和研讨，携手生态伙伴共建“高安全、高可信的安全算力底座”。

点击“阅读原文”，了解更多华为网络安全解决方案！