华为算力基础设施安全技术白皮书——端管云协同

——端管云协同 Huawei Computing Infrastructure SecurityTechnical White Paper (HCIST) ——From Device-Pipe-Cloud Perspective 文档版本V1.0发布日期2025-09-18 版权所有©华为技术有限公司2025。保留一切权利。 非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。 商标声明 和其他华为商标均为华为技术有限公司的商标。 本文档提及的其他所有商标或注册商标，由各自的所有人拥有。 注意 您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或暗示的声明或保证。 由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。 华为技术有限公司 地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：https://www.Huawei.comPSIRT邮箱：PSIRT@Huawei.com客户服务电话：80083083004008308300 当前，人工智能技术以前所未有的速度重塑全球产业格局，在深刻重构人类生活、学习与工作的底层逻辑的同时，也对全球数字化转型进程带来巨大影响。“算力+数据+网络联接”已经成为全球企业在数字化转型中的核心关注点。过去24个月里，全球GPU出货量激增，AI训练集群规模已从万卡集群迈向十万卡集群，算力基础设施建设正以“摩尔定律×云速度”快速扩张。 在算力成为企业数字化时代第一生产力的同时，算力已经成为网络攻击者的首要目标之一。算力一旦被降速或污染，会直接引发业务停摆；而针对算力集群的入侵，则可能导致AI训练模型被篡改、金融交易被延迟、制造执行系统乱序等一系列后果。“算力基础设施”作为数字化核心生产系统，已经被纳入到关键信息资产进行管理。以审计为例，数字化运营企业的审计已经从财务领域扩展到“全面风险管理”，审计既要通过经营数据看企业“做了什么”，也要关注计算完整性以保证这些经营结果的“真实可信”，目前部分国家监管机构会把“系统算法、参数、日志的完整性与可追溯性”列为必审内容。企业在算力基础设施上的合规治理能力将会直接反映在企业的股价、日常保费、融资费率等一系列核心经营指标上。如果不在算力基础设施规划、建设和运营的同时嵌入“安全基因”，企业最宝贵的数字化生产力将变成企业最大的风险敞口。 面对这些挑战，华为始终秉持“构建安全可信的算力基础设施”这一核心理念，深度融合端管云协 同 架 构 与 机 密 计 算 、 机 密 存 储 等 前 沿 技 术 ， 打 造 了 华 为 算 力 基 础 设 施 安 全 技 术 体 系（HCIST）。HCIST通过全栈内生安全能力，覆盖芯片、固件、软件、单节点、多节点、集群及云场景，严格遵循“数据可用不可见”原则，为用户数据与模型资产提供全生命周期的安全保护。在计算场景中，我们基于鲲鹏和昇腾处理器，构建了硬件级可信保障能力；在存储场景中，通过机密存储技术实现数据静态与传输中的端到端保护；在云场景中，依托擎天架构，提供了高安全、强隔离的机密计算环境。同时，HCIST通过远程证明与安全验证机制，确保平台身份与运行环境的真实可信。未来，华为将继续深化异构硬件级保护、跨设备安全通道协议及合规框架的研发，推动算力基础设施向更安全、更高效的方向演进。 HCIST将能够帮助数字化运营企业更好的将“计算完整性”纳入企业风险管理中，确保计算节点的可验证、可追溯，引入持续的安全监控措施，确保风险管控的有效闭环。我们相信，HCIST不仅能为AI时代的数据处理提供坚实底座，更将为全球数字经济的可持续发展注入新动能。 杨晓宁 华为网络安全与隐私保护官 人工智能正处于跨越式发展的新阶段，从基础大模型的快速迭代，到各行业智能化应用的广泛落地，我们正见证一场深刻的技术革命。这场革命不仅改变了人类的工作与生活方式，也在重塑全球产业格局。算力，作为人工智能的“发动机”，正日益成为数字经济的核心生产要素。 然而，随着智能化进程的加速，诸多挑战也逐渐显现。一方面，算力需求持续攀升，供需失衡已成为大模型规模化落地的重要瓶颈；另一方面，数据作为AI的关键生产要素，在跨组织、跨场景流转中面临安全与隐私挑战，如何在保障安全可信的前提下最大化释放数据价值，已成为产业共同面对的核心议题。 华为始终致力于为智能社会构建安全、可信、开放的算力基础设施。为此，我们构建了华为算力基础设施安全可信技术体系（HCIST）。该体系坚持开放的设计理念，既支持多元异构环境的适配，又确保各方资源能够按需集成、协同运作。纵向层面，HCIST构筑了从芯片、固件、操作系统、集群到云的全栈安全能力；横向层面，则充分发挥“端-管-云”协同优势，为数据和模型资产提供端到端的全生命周期保护。 通过内生安全机制与开放的架构，HCIST为各类AI应用提供高性能、可扩展、易迁移、可信赖的算力基础设施。在实际部署中，HCIST面向复杂异构算力场景，实现从CPU到NPU的全面安全防护；在数据管理方面，提供机密存储、隐私计算与远程证明等关键能力；在网络层面，支持跨设备、跨地域的安全协议和加密传输，构建可信任的数据流通环境。通过持续的技术创新和华为全栈软硬件能力，HCIST逐步发展成为体系化的安全框架，从单点设备到超大规模集群全面赋能，支撑多样化的安全与隐私需求。 展望未来，华为将继续与产业伙伴协同共进，不断推动异构、跨域协同的安全防护架构和标准体系的建设与演进，促进全球智能化走向可持续、可信赖的发展模式。 朱小勇华为2012实验室可信理论、技术与工程实验室主任 前言导读 人工智能（AI）正以前所未有的速度重塑全球产业格局，以ChatGPT为代表的技术浪潮，不仅推动了大模型的工业化应用，更将AI算力和数据安全推向全球科技竞争的战略高地。然而，这一进程伴随着两大结构性挑战：其一，算力供需的不平衡严重制约了大模型的规模化部署和普及；其二，数据资产在跨组织、跨地域流动过程中的安全风险阻碍了协同与创新。 为应对这一挑战，华为秉持“构建开放安全可信的算力基础设施”这一核心理念，依托端管云协同架构，融合机密计算、机密存储、可信网络等多维度安全能力，构建了华为算力基础设施安全技术体系（HCIST），实现数据与模型资产的全生命周期保护。 在计算安全方面，鲲鹏平台通过virtCCA/CCA技术实现ARM架构下的机密计算，配合国密算法加速与可信计算3.0满足高安全合规要求；昇腾NPU则通过昇盾、PMCC等技术，确保模型权重、用户数据和中间结果在推理、训练与微调始终处于机密域，防范恶意用户、恶意管理员等潜在威胁。 在存储安全方面，HCIST提出了机密存储（Confidential Storage）新理念，旨在从硬件层面构建可信根基，依托硬件身份、链路加密、双层认证和数据直通等核心技术，形成覆盖全链路的数据安全体系。该方案面向存算分离与智能存储深度融合的架构，不仅有效降低了跨节点、跨网络传输所带来的安全风险，还实现了高安全和高性能的兼顾。 在云安全方面，华为云基于擎天（Qingtian）架构构建了物理隔离、安全启动、硬件身份证明等机制，防御云平台内部威胁。擎天Enclave技术为租户提供高度隔离的执行环境，支持加密机、机密AI等敏感业务的安全运行，为多租户云环境下的关键业务部署提供可信基础。 在AI平台安全方面，HCIST推出的A+K异构机密计算加速平台，实现了CPU TEE与NPU TEE的深度协同，形成“双硬件信任根、端到端运行时隔离、任务级零信任验证”的整体架构。而机密容器技术的推出，更是将AI运行时与TEE安全保护相融合，兼顾大模型的安全与性能。 在通信安全方面，HCIST构建了端云协议安全以及Unisec安全通信体系，并通过可信群组密钥隔离、线速加密传输、PHYSec物理层安全加密等技术，覆盖包括Scale-Out与Scale-Up等计算网络新形态，保障跨节点、跨集群环境中的算力调度与数据传输安全。 HCIST既支持全栈一体化，也支持分层解耦的组合方式，可在不同硬件平台和不同应用场景中部署，满足端云协同大模型机密推理、金融行业的零丢失数据安全保护、私有模型的安全存储与使用、云原生密码应用等高安业务诉求。展望未来，HCIST将面向后量子安全、集群机密计算、分布式可信根与AI全生命周期保护持续演进。 1. AI时代背景与挑战 1.1大语言模型驱动的变革 人工智能技术正以前所未有的速度重塑人类社会运行范式，其中大语言模型（Large LanguageModel, LLM）作为核心驱动力，正在深刻重构人类生活、学习与工作的底层逻辑。以ChatGPT为代表的生成式AI引爆了LLM的工业化浪潮，2024年世界人工智能大会（WAIC）明确指出，大语言模型与产业场景的深度融合已成为全球科技竞争的战略制高点。2025年，WAIC进一步发布了《人工智能全球治理行动计划》，强调开展人工智能安全治理，包括构建具有广泛共识的安全治理框架，完善数据安全和个人信息保护规范，探索人工智能服务可追溯管理制度，并提倡在全球范围推动人工智能安全治理国际合作。然而这场变革面临双重结构性挑战： AI算力供需失衡的困局 大语言模型的规模化部署遭遇算力瓶颈的严重制约。现代LLM参数量已从千亿级迈向万亿规模，其推理过程需要执行海量矩阵运算，对计算资源需求产生指数级提升。算力供需矛盾在边缘场景尤为尖锐，端侧设备受限于功耗与体积，难以承载超过百亿参数模型的实时推理；云侧数据中心虽具备强大算力，但传统虚拟化架构无法满足低时延需求。更关键的是，算力资源与算力安全之间并不统一，大规模AI算力往往缺乏高效安全防护与可信执行保障，难以服务于对安全与隐私有较强需求的场景，进一步加剧了AI算力的供需失衡。 数据资产流动的安全鸿沟 产业智能化亟需高质量数据流通支撑，但现有基础设施难以保障数据要素的安全可信流动。在金融、医疗等敏感领域，机构间存在严格的“数据孤岛”：银行风控模型需要跨机构交易数据，却受制于金融监管合规要求；医疗AI研发依赖多中心病历，又面临敏感数据保护壁垒。传统解决方案如联邦学习、同态加密等虽尝试破解此困局，但在模型效果、通信开销与端到端可控性之间难以取得根本性平衡。更深层的矛盾在于跨主体交互中信任机制的缺失，数据提供方担忧数据主权失控与价值流失，应用和模型开发者顾虑核心算法知识产权保护。这种互信缺失导致数据价值链难以有效贯通，严重阻碍了跨组织协作的领域大模型构建与数据价值共创。 这些挑战的本质是传统计算架构与AI新范式间的结构性错配。端侧设备受物理限制无法承载复杂模型，而云端中心化处理又面临隐私泄露风险。因此，在以端侧单机计算为代表的第一代计算范式和以云侧分布式计算为核心的第二代计算范式的基础上，产业正在探索第三代计算范式——通过端管云协同架构将设备级安全与云侧高安全算力基础设施通过安全信道进行深度融合，在保障数据主权的前提下释放AI潜能，这不仅是技术演进的选择，更是推动智能产业规模化的关键突破口。第三代 计算范式的关键技术和重要前提是具备高安运算环境、高安存储环境、高性能链路安全的算力基础设施。 1.2云端AI隐私保护困境 传统云端AI服务在提供强大计算能力的同时，面临着严峻的隐私保护挑战，这些挑战主要源于其基础架构的安全局限性。在AI推理场景中，云端服务需要直接访问未加密的用户请求数据以执行复杂模型运算，这种架构特性导致传统云服务模式难以满足日益严格的隐私保护要求。其核心困境主要表现在三个相互关联的维度：承诺可验证性缺失、运行时透明度不足以及特权访问风险不可控。 传统云服务无法提供可靠的技术手段验证其隐私承诺的实际执行情况。云服务提供商虽可能承诺不记录特定用户