1为什么 AI 芯片需要安全认证
人工智能已经深入政务、金融、国防、医疗等关键基础设施领域。当 AI 模型在自动驾驶中做出毫秒级决策、在银行风控系统中判定贷款资格、在国防指挥系统中辅助作战分析时,支撑这些模型的底层硬件——AI 训练推理芯片——的安全性就不再是技术问题,而是国家安全问题。
2026 年 5 月 26 日,中国信息安全测评中心与国家保密科技测评中心联合发布《安全可靠测评结果公告(2026 年第 2 号)》,首次将 AI 训练推理芯片纳入国家级安全可靠认证体系,9 款国产芯片全部获评最高等级 I 级认证。这一事件标志着 AI 算力基础设施正式进入「持证上岗」时代。
在 AI 成为关键基础设施的今天,芯片安全就是算力安全,算力安全就是国家安全。 没有安全认证的 AI 芯片,就像没有安全认证的航空零件——没有人敢用。
本文将从认证框架、测评维度、芯片分析、企业策略四个层面,全面拆解 AI 芯片安全认证体系。
如果你从事 AI 芯片选型、信创采购或 AI 系统安全评估,这篇文章能帮你理解国家级认证的实际含义和选型逻辑。
本文涉及的认证标准可能随政策更新而变化,请以中国信息安全测评中心官网(itsec.gov.cn)发布的最新公告为准。
2安全可靠测评体系概述
安全可靠测评是中国信息技术产品安全评估的最高权威认证体系。它不同于国际上的 Common Criteria(CC)认证,也不等同于 ISO 27001 信息安全管理体系认证,而是专门面向中国信息技术产品(CPU、操作系统、数据库、AI 芯片等)的自主可控安全评估体系。
2.1 法律依据与政策框架
安全可靠测评的法律基础是《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》。具体执行依据包括:
- 《安全可靠测评工作指南 V3.0》(2025 年发布):在原有 CPU、操作系统、数据库测评基础上新增 AI 芯片和打印机主控芯片测评
- 《人工智能加速芯片安全功能技术规范》(2025 年 11 月征求意见稿):由全国网络安全标准化技术委员会发布,围绕七大安全维度明确指标与流程
- 《信息安全技术 人工智能芯片安全要求》(草案阶段):面向未来强制性安全标准的预研
2.2 认证等级划分
安全可靠认证分为三级体系:I 级(最高)、II 级(中等)、III 级(基础)。首批 9 款 AI 芯片全部获评 I 级(最高等级),这意味着它们通过了最严格的安全审查,核心技术自主可控、供应链完全可信。
了解认证等级差异有助于理解「I 级」的含金量——首批全部通过 I 级,说明国家对首批入围芯片的安全要求是「非 I 级不入」,不是「按实际水平分级」。
安全可靠认证不同于性能基准测试。I 级认证的核心是安全可控,不代表芯片性能排名最高。选型时需结合认证等级和实际性能需求综合评估。
3九大测评维度详解
AI 芯片的安全可靠测评不是单一指标考核,而是全生命周期、全维度的综合评估。测评通过材料核验、人员访谈、代码审查、环境审查、现场测试、现场考核、样品测试等七个环节开展。
根据《人工智能加速芯片安全功能技术规范(征求意见稿)》的要求,九大测评维度具体如下:
维度 1:硬件安全 — 芯片物理安全设计(防篡改、防探测)、安全启动链(Secure Boot)完整性验证、硬件随机数发生器(HRNG)质量测试、物理不可克隆函数(PUF)实现评估。硬件安全是所有其他维度的基础,如果硬件层面的安全机制缺失,上层的软件安全将无从谈起。
维度 2:接口安全 — 外部通信接口加密(PCIe、NVLink、以太网等高速互联接口的数据加密保护)、调试接口安全隔离(JTAG、SWD 调试端口的访问控制和权限管理)、侧信道攻击防护(针对功耗分析、电磁分析、时序分析等物理攻击的防御措施)。接口安全的核心是防止攻击者通过物理接口获取芯片内部敏感信息。
维度 3:固件安全 — 固件签名验证机制(确保固件来源可信,防止恶意固件刷入)、固件回滚保护(防止攻击者利用旧版本固件中的已知漏洞)、安全更新机制(固件升级过程中的安全验证)、固件漏洞修复响应时间(从发现漏洞到发布补丁的时间要求)。
维度 4:安全存储单元 — 密钥安全存储(HSM 硬件安全模块集成或专用安全区域实现)、敏感数据加密存储(训练数据和模型参数的加密保护)、存储介质物理销毁机制(芯片报废时的数据安全处理)。
维度 5:密码技术机制 — 国密算法支持(SM2 非对称加密、SM3 哈希算法、SM4 对称加密的硬件级实现)、密码模块合规性(符合 GM/T 0028《密码模块安全技术要求》或等效的 FIPS 140-2 Level 2+ 标准)、密钥生命周期管理(密钥的生成、分发、轮换、销毁全流程管理)。
维度 6:故障检测与诊断 — 运行时异常检测(芯片在运行过程中对硬件故障和异常行为的实时监测)、故障恢复与降级策略(故障发生后的安全降级方案)、安全日志完整性与防篡改(安全事件日志的不可篡改性保障)。
维度 7:数据保护 — 训练数据隐私保护(TEE 可信执行环境和联邦学习等技术的支持)、推理数据隔离(不同用户推理请求之间的数据隔离)、模型参数加密保护(模型权重和架构参数的加密存储和传输)。
维度 8:供应链可信 — 芯片设计工具来源自主性(EDA 工具链的国产化和多元化)、制造工厂可控性(晶圆厂和封装厂的供应链安全评估)、第三方 IP 核安全审查(外购 IP 核的安全漏洞排查)、原材料供应多元化(关键原材料的多源采购策略)。
维度 9:持续发展能力 — 研发投入与团队规模(安全团队的技术实力和投入保障)、技术路线规划(长期安全技术的演进方向)、产品迭代周期(安全功能更新的频率)、漏洞响应与补丁发布能力(安全事件的应急响应机制)。
企业在准备安全认证时,应优先从硬件安全和固件安全入手——这是最基础的维度,也是后续所有维度的前提。建议在项目立项阶段就对照九大维度做差距分析。
九大维度中「供应链可信」是最容易被忽视的。很多芯片企业技术能力很强,但因为 EDA 工具依赖境外授权、晶圆代工缺乏备选方案,导致供应链维度评分不足。
4首批认证芯片分析
2026 年 5 月 26 日公告的 9 款通过 I 级认证的芯片,覆盖了中国 AI 芯片产业的主流技术路线和头部企业。
4.1 认证芯片全景
| 序号 | 产品名称 | 送测单位 | 认证等级 | 有效期 |
|---|---|---|---|---|
| 1 | 昇腾 310 | 深圳市海思半导体有限公司 | I 级 | 三年 |
| 2 | 昇腾 910 | 深圳市海思半导体有限公司 | I 级 | 三年 |
| 3 | 真武 M530 | 平头哥(上海)半导体技术有限公司 | I 级 | 三年 |
| 4 | 真武 M890 | 平头哥(上海)半导体技术有限公司 | I 级 | 三年 |
| 5 | 壁砺 166 | 上海壁仞科技股份有限公司 | I 级 | 三年 |
| 6 | DCU-3G | 海光信息技术股份有限公司 | I 级 | 三年 |
| 7 | KCC-V100X 芯片 | 上海天数智芯半导体股份有限公司 | I 级 | 三年 |
| 8 | MXC600 | 沐曦集成电路(上海)股份有限公司 | I 级 | 三年 |
| 9 | PH100 | 摩尔线程智能科技(北京)股份有限公司 | I 级 | 三年 |
4.2 技术路线分类
这 9 款芯片代表了三种不同的 AI 芯片技术路线:
GPU 架构路线(沐曦、摩尔线程): 追求通用 GPU 能力,兼容主流编程模型(CUDA/OpenCL),适合通用 AI 训练和推理场景。
ASIC 定制路线(华为昇腾、阿里平头哥): 针对 AI 负载定制硬件架构,昇腾系列配合 CANN 软件栈,平头哥真武配合 T-Head AI 软件生态,软硬一体化程度最高。
类 GPU 兼容路线(海光、天数智芯、壁仞): 在架构设计上兼顾通用性和 AI 加速能力,海光 DCU 系列基于 x86 生态延伸,天数智芯和壁仞则走自研指令集路线。
4.3 缺席企业分析
值得注意的是,寒武纪、燧原科技、百度昆仑芯等国内知名 AI 芯片企业的产品未出现在首批名单中。可能的原因包括:送测批次安排(测评分批次进行,一年固定两个受理期)、技术路线差异(燧原采用自研指令集 GCU-CARA)、商业策略考量。
未上榜不等于安全能力不足。安全可靠认证是主动送测制,不是强制覆盖制。企业何时送测是商业决策。
关注下一批次的受理期。测评机构表示一年有两次受理窗口,如果当前批次未送测,可提前准备材料,赶下一个窗口。
对于信创采购而言,「未认证」状态可能影响采购决策。即使未上榜企业的产品在技术性能上更优,但缺乏认证可能在政企采购中成为合规障碍。
5安全认证的技术标准体系
AI 芯片安全认证不是孤立的评价体系,而是建立在多层次技术标准基础之上的。
国密算法标准:AI 芯片必须支持 SM2(非对称加密)、SM3(哈希)、SM4(对称加密)算法,这是通过认证的最低要求。
密码模块标准:芯片中的密码模块需符合 GM/T 0028《密码模块安全技术要求》或等效国际标准(FIPS 140-2 Level 2+)。
安全功能技术规范:2025 年 11 月发布的《人工智能加速芯片安全功能技术规范(征求意见稿)》是首个专门针对 AI 芯片安全的国家标准,涵盖七大安全维度:硬件安全、接口安全、固件安全、安全存储单元、密码技术机制、故障检测与诊断、数据保护。
国密算法支持是硬性门槛。如果你的芯片项目只支持 AES/RSA 等国际算法,需要在设计初期就规划国密算法的硬件实现路径。
标准体系仍在快速演进中。《人工智能加速芯片安全功能技术规范》目前仍是征求意见稿,正式发布后可能对测评维度和评分标准产生影响。企业需持续关注标准动态。
6与国际认证体系的对比
了解中国安全可靠认证体系,需要放在全球安全认证体系的大背景下审视。
6.1 主要国际认证体系对比
| 认证体系 | 适用范围 | 评估重点 | 与中国体系关系 |
|---|---|---|---|
| Common Criteria (CC) | 全球通用 | 信息安全功能保证 | 独立体系,但可参考 |
| FIPS 140-2/3 | 美国政府 | 密码模块安全 | 中国国密认证有对应关系 |
| NIST AI RMF | 美国 AI 系统 | AI 风险治理框架 | 理念可借鉴,标准独立 |
| 中国安全可靠认证 | 中国信创 | 自主可控 + 安全 | 独立体系,政策导向更强 |
6.2 核心差异分析
中国安全可靠认证的最大特点是政策导向与市场准入的强绑定。获得认证不仅是技术能力的证明,更是进入政企信创市场的「入场券」。这与国际认证体系中「技术认证自愿、市场自由选择」的模式有本质区别。
如果你的企业同时面向国内和国际市场,建议同时规划中国安全可靠认证和国际 CC 认证,两者虽然独立但有不少技术重叠,可以合并准备部分材料。
切勿将国际认证(如 FIPS 140-2)等同于中国安全可靠认证。两者评估主体、标准体系、法律效力完全不同,不能互相替代。
7企业如何准备安全认证
对于 AI 芯片企业而言,通过安全可靠认证是一个系统性工程,通常需要提前 6-12 个月准备。
阶段一:内部差距分析(1-2 个月) — 对照九大测评维度逐项自评,邀请第三方安全机构预审,识别高风险差距项
阶段二:技术整改(3-6 个月) — 补齐硬件安全设计(PUF、Secure Boot 等),固件安全加固,供应链合规整改
阶段三:材料准备(1-2 个月) — 编写完整技术文档,准备安全自评报告,整理送测样品和测试环境
阶段四:认证执行(3-4 个月) — 提交送测申请,配合材料核验和人员访谈,配合现场测试和样品测试
值得注意的是,测评机构明确表示测评分批次进行,一年固定两个受理期。企业需要提前规划送测时间,错过一个窗口就要再等半年。建议企业关注中国信息安全测评中心的官方公告,及时了解最新的受理期安排。
认证准备中最耗时的是「供应链合规整改」。如果你的芯片依赖境外 EDA 工具或晶圆代工,需要提前规划替代方案。建议将供应链安全作为项目立项的第一优先级。
不要等到送测前才开始准备。材料核验、代码审查、环境审查等环节需要大量文档和测试数据支持,临时准备往往来不及。至少提前 6 个月启动准备工作。
8行业影响与市场趋势
AI 芯片安全认证体系的建立,对整个 AI 产业链产生了深远影响。
政企采购门槛提高:安全可靠认证将成为政企 AI 算力采购的前置条件。没有认证的产品即使性能更优,也难以进入信创采购清单。
产业格局重塑:首批 9 款芯片全部获评 I 级,意味着这些企业的产品在「安全可控」维度上获得了官方认可,在政府采购中具有显著优势。
市场规模预测:摩根士丹利预测,到 2030 年中国 AI 芯片市场规模将达到 670 亿美元,国产芯片自给率预计达到 76%。安全认证体系的建立将进一步加速国产替代进程。
关注认证芯片的软件生态。安全认证只是第一步,真正决定芯片能否广泛使用的是软件工具链的完善程度。选择认证芯片时,同时评估其 SDK、编译器、调试工具的成熟度。
认证有效期为三年。三年后芯片需要重新测评,标准可能已经升级。企业在规划长期产品路线图时,需预留重新认证的时间和预算。
9扩展阅读与学习资源
如果你想深入了解 AI 芯片安全认证体系,以下资源值得进一步研究:
9.1 官方文档
- 中国信息安全测评中心官网:https://www.itsec.gov.cn
- 《安全可靠测评工作指南 V3.0》
- 《人工智能加速芯片安全功能技术规范(征求意见稿)》
9.2 相关技术知识
- 国密算法:了解 SM2/SM3/SM4 算法原理和实现方式
- 硬件安全模块(HSM):学习密钥安全存储和密码运算保护
- 可信执行环境(TEE):了解 SGX、TrustZone 等 TEE 技术在 AI 芯片中的应用
- 侧信道攻击与防御:学习功耗分析、时序分析等侧信道攻击原理和防护方法
9.3 行业报告
- 摩根士丹利:《中国 AI 芯片市场展望》(2026 年)
- 国盛证券:《安全可靠测评对信创行业的影响分析》
- 中国信通院:《AI 芯片安全白皮书》(年度报告)
建议从《人工智能加速芯片安全功能技术规范(征求意见稿)》入手,这是最直接的技术参考文档。虽然仍是征求意见稿,但已经明确了 AI 芯片安全测评的具体维度和指标。
行业标准更新频繁。本文引用的标准版本号和时间点可能在发布后有更新,请以官方最新发布为准。
10实战:AI 芯片安全合规性自检脚本(更新于 2026-05-31)
对于正在准备安全认证的 AI 芯片企业,以下自检脚本可以帮助快速评估当前产品与九大测评维度的差距。
这个 Python 脚本实现了安全评分计算器,基于测评指南 V3.0 的权重模型,对九大维度进行打分并生成差距报告。每个维度的满分不同——硬件安全和固件安全是基础维度(各 15 分),密码技术和数据保护是核心维度(各 15 分),供应链可信和持续发展能力是战略维度(各 10 分)。
以下第二个代码示例展示了如何自动化检测芯片的国密算法支持情况。国密算法(SM2/SM3/SM4)是安全认证的硬性要求,芯片必须在硬件层面实现这些算法才能通过测评。
# AI 芯片安全合规性自检工具
from dataclasses import dataclass, field
from typing import Optional
@dataclass
class DimensionScore:
"""单个维度的评分"""
name: str
max_score: int
self_score: int = 0
checklist: list[dict] = field(default_factory=list)
notes: str = ""
@property
def pass_rate(self) -> float:
return self.self_score / self.max_score if self.max_score > 0 else 0
def grade(self) -> str:
rate = self.pass_rate
if rate >= 0.9: return "优秀"
if rate >= 0.7: return "良好"
if rate >= 0.5: return "及格"
return "不及格"
@dataclass
class ChipSecurityAssessment:
"""AI 芯片安全合规性完整评估"""
chip_name: str
dimensions: list[DimensionScore] = field(default_factory=list)
def add_dimension(self, name: str, max_score: int) -> DimensionScore:
d = DimensionScore(name=name, max_score=max_score)
self.dimensions.append(d)
return d
def total_score(self) -> int:
return sum(d.self_score for d in self.dimensions)
def total_max(self) -> int:
return sum(d.max_score for d in self.dimensions)
def overall_rate(self) -> float:
return self.total_score() / self.total_max() if self.total_max() > 0 else 0
def predict_level(self) -> str:
rate = self.overall_rate()
if rate >= 0.85: return "预计 I 级(最高)"
if rate >= 0.65: return "预计 II 级(中等)"
return "预计 III 级(基础)或 未达标"
def generate_report(self) -> str:
report = f"\n{'='*50}\n"
report += f"AI 芯片安全合规性自检报告\n"
report += f"芯片: {self.chip_name}\n"
report += f"{'='*50}\n"
for d in self.dimensions:
bar = '#' * int(d.pass_rate * 10) + '.' * (10 - int(d.pass_rate * 10))
report += f"{d.name:10s} [{bar}] {d.self_score}/{d.max_score} {d.grade()}\n"
for item in d.checklist:
status = '✅' if item.get('passed') else '❌'
report += f" {status} {item['check']}\n"
report += f"\n总分: {self.total_score()}/{self.total_max()} \n"
report += f"评级预测: {self.predict_level()}\n"
return report
# 使用示例
assess = ChipSecurityAssessment(chip_name="示例 AI 芯片")
# 添加九大维度
d1 = assess.add_dimension("硬件安全", 15)
d1.checklist = [
{"check": "安全启动链完整", "passed": True},
{"check": "物理防篡改设计", "passed": True},
{"check": "硬件随机数发生器", "passed": False},
]
d1.self_score = 12
d2 = assess.add_dimension("固件安全", 15)
d2.checklist = [
{"check": "固件签名验证", "passed": True},
{"check": "固件回滚保护", "passed": True},
{"check": "安全更新机制", "passed": True},
]
d2.self_score = 14
d3 = assess.add_dimension("供应链可信", 10)
d3.checklist = [
{"check": "EDA 工具自主可控", "passed": False},
{"check": "晶圆厂备选方案", "passed": True},
]
d3.self_score = 6
print(assess.generate_report())自检脚本只能作为初步评估工具。正式认证需要中国信息安全测评中心的官方审核,脚本结果仅供参考。
脚本中的评分权重基于征求意见稿的公开信息推导,不代表官方最终评分标准。实际测评以测评中心公布的评分细则为准。
11国密算法硬件支持检测(更新于 2026-05-31)
国密算法(SM2 非对称加密、SM3 哈希、SM4 对称加密)是 AI 芯片安全认证的硬性要求。芯片必须在硬件层面实现这些算法才能通过测评,软件模拟实现虽然功能上可行,但性能和安全性都无法满足认证要求。
在实际芯片开发中,国密算法的硬件实现需要考虑多个因素:指令集设计(是否为 SM2/SM3/SM4 设计专用硬件指令)、驱动层适配(Linux 内核加密框架的国密模块对接)、上层应用调用接口(OpenSSL 引擎或国密 SDK 的集成)。
以下脚本展示了如何在 Linux 系统中检测国密算法的支持情况,包括内核层和 OpenSSL 层的检查结果。
# 国密算法硬件支持检测工具
import subprocess
def check_kernel_crypto():
"""检查 Linux 内核是否支持国密算法"""
results = {}
try:
with open('/proc/crypto', 'r') as f:
crypto_info = f.read()
for algo, desc in [('sm2','SM2 非对称加密'), ('sm3','SM3 哈希'), ('sm4','SM4 对称加密')]:
results[algo] = {'desc': desc, 'supported': algo.upper() in crypto_info}
except FileNotFoundError:
return results
return results
def check_openssl_sm():
"""检查 OpenSSL 是否支持国密算法"""
try:
result = subprocess.run(
['openssl', 'list', '-cipher-algorithms'],
capture_output=True, text=True, timeout=5
)
output = result.stdout.lower()
return {
'sm2': 'sm2' in output,
'sm3': 'sm3' in output,
'sm4': 'sm4' in output or 'sm4-cbc' in output,
}
except (FileNotFoundError, subprocess.TimeoutExpired):
return {'sm2': False, 'sm3': False, 'sm4': False}
def generate_sm_report():
"""生成国密算法支持报告"""
print("=" * 50)
print("国密算法硬件支持检测报告")
print("=" * 50)
kernel = check_kernel_crypto()
openssl = check_openssl_sm()
for algo in ['sm2', 'sm3', 'sm4']:
k = kernel.get(algo, {}).get('supported', False)
o = openssl.get(algo, False)
status = "✅ 支持" if (k or o) else "❌ 不支持"
desc = kernel.get(algo, {}).get('desc', algo.upper())
print(f"{desc:15s} {status} (内核:{'✅' if k else '❌'} / OpenSSL:{'✅' if o else '❌'})")
print("=" * 50)
if __name__ == "__main__":
generate_sm_report()如果你的芯片项目计划支持国密算法,建议在设计初期就参考《信息安全技术 人工智能芯片安全要求》标准中的具体要求,避免后期返工。
国密算法的硬件实现需要经过国家密码管理局的认证。即使你的芯片在技术上支持 SM2/SM3/SM4,也需要通过官方的密码模块安全认证才能在信创市场销售。