TC260-PG-20261A 网络安全标准实践指南——人工智能加速芯片安全功能技术规范

微信扫码，打开到小程序

TC260-PG-20261A 网络安全标准实践指南 ——人工智能加速芯片安全功能技术规范 V1.0-202601 全国网络安全标准化技术委员会秘书处 2026 年 01 月 本文档可从以下网址获得： www.tc260.org.cn/ I 前 言 《网络安全标准实践指南》（以下简称《实践指南》） 是全国网络安全标准化技术委员会（以下简称“网安标委”） 秘书处组织制定和发布的标准相关技术文件，旨在围绕网络 安全法律法规政策、标准、网络安全热点和事件等主题，宣 传网络安全相关标准及知识，提供标准化实践指引。 主要起草单位：中国电子技术标准化研究院、华为技术 有限公司、北京中关村实验室、上海燧原科技股份有限公司、 中国科学院信息工程研究所、北京航空航天大学、中科寒武 纪科技股份有限公司、上海天数智芯半导体股份有限公司、 平头哥半导体有限公司、阿里云计算有限公司、河南科技大 学、北京三快在线科技有限公司等。 主要起草人：郝春亮、张妍婷、吕飞霄、严敏瑞、邵萌、 梅敬青、刘栋、马梦娜、王蕊、关振宇、边松、王秉政、余 雪松、张志勇、胡奥迪、权高原、黄馨蓓、张翌维、王顺利、 胡铭珊、李小川、胡科开、张立尧、费凡芮、韦健、杨穷千、 王思善、宋文娣。 II 声 明 本《实践指南》版权属于网安标委秘书处，未经秘书处 书面授权，不得以任何方式抄袭、翻译《实践指南》的任何 部分。凡转载或引用本《实践指南》的观点、数据，请注明 “来源：全国网络安全标准化技术委员会秘书处”。 III 摘 要 本《实践指南》旨在为人工智能加速芯片提供系统性的 安全技术要求和评估方法，推动人工智能芯片产品在保障安 全可控基础上实现高质量发展。指南围绕人工智能加速芯片 构成与功能特性，聚焦七个安全维度：硬件安全、接口安全、 固件安全、安全存储单元、密码技术机制、故障检测与诊断、 数据保护，明确每类安全要求的具体指标与测评流程，构建 “要求—方法”一一对应的技术规范体系。本指南适用于相 关人工智能芯片研制单位、测评机构及使用方，为产业安全 发展提供技术支撑与合规参考。 IV 目 录 1 范围 ....................................................................... 1 2 规范性引用文件 ............................................................. 1 3 术语和定义 ................................................................. 1 4 概述 ....................................................................... 3 5 安全要求 ................................................................... 3 5.1 硬件安全 ............................................................... 3 5.2 接口安全 ............................................................... 4 5.3 固件安全 ............................................................... 4 5.4 安全存储单元 ........................................................... 5 5.5 密码技术机制 ........................................................... 5 5.6 故障检测与诊断 ......................................................... 5 5.7 数据保护 ............................................................... 6 6 测评方法 ................................................................... 6 6.1 硬件安全 ............................................................... 6 6.2 接口安全 ............................................................... 9 6.3 固件安全 .............................................................. 10 6.4 安全存储单元 .......................................................... 13 6.5 密码技术机制 .......................................................... 14 6.6 故障检测与诊断 ........................................................ 14 6.7 数据保护 .............................................................. 15 附录 A（规范性）安全要求与测评方法映射 .......................................18 参考文献 .................................................................... 20 1 人工智能加速芯片安全功能技术规范 1 范围 本文件规定了人工智能加速芯片在硬件安全、接口安全、固件安 全、安全存储单元、密码技术机制、故障检测与诊断和数据保护七个 方面的安全功能要求，并给出了相应的测评方法。 本文件适用于人工智能加速芯片的设计、开发和应用，也为开展 相应的安全评估和检测认证活动提供参考。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可 少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本 文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用 于本文件。 GM/T 0008—2012 安全芯片密码检测准则 3 术语和定义 下列术语和定义适用于本文件。 3.1 人工智能加速芯片 artificial intelligence accelerating chip 2 具备适配人工智能算法的运算微架构，能完成人工智能应用加速 运算处理的集成电路。 注：典型的人工智能加速芯片有图形处理器（GPU）、神经网络处理器（NPU） 和张量处理器（TPU）。 [来源：GB/T 41867—2022，3.1.5，有修改] 3.2 逻辑接口 logic interface 能够实现数据交换功能但在物理上不存在，需要通过配置来建立 的接口。 [来源：GM/T 0008—2012，3.1.19，有修改] 3.3 物理接口 physical interface 涉及各种传输介质或传输设备的接口。 [来源：GM/T 0008—2012，3.1.18] 3.4 硬件可信根 hardware root of trust 嵌入在硬件内部、受物理保护的安全模块或功能组件，作为建立 计算系统信任链的初始可信基点，能够防篡改，用于安全地生成、存 储和处理密钥及敏感数据，并提供可验证的信任度量功能。 3.5 侧信道攻击 side-channel attack 通过观测和分析系统运行过程中泄露的、与内部敏感操作或数据 相关的物理信息（如执行时间、功耗、电磁辐射、声音、缓存访问模 式等），而非直接攻击其算法或逻辑漏洞，从而推断出系统敏感信息 （例如，密钥）的攻击方法。 3.6 固件 firmware 3 存储在硬件设备中的非易失性存储器内，为设备特定功能提供底 层控制与支持的软件程序和数据。 3.7 可信执行环境 trusted execution environment 基于硬件级隔离及安全启动机制，为确保安全敏感应用相关数据 和代码的机密性、完整性、真实性和不可否认性目标构建的一种运算 环境。 [来源：GB/T 41388—2022，3.3，有修改] 4 概述 人工智能加速芯片的典型组成，包括加速计算核、控制单元、存 储单元和互联接口等,是人工智能应用系统中的算力根基。 本文件从芯片组成及功能作用等方面，将人工智能加速芯片安全 分为硬件安全、接口安全、固件安全、安全存储单元、密码技术机制、 故障检测与诊断和数据保护七个方面。 本文件将人工智能加速芯片安全功能要求分为基本级和增强级， 增强级新增要求采用“加粗”字体,具体的安全要求与测评方法映射关 系见附录 A。 5 安全要求 5.1 硬件安全 人工智能加速芯片硬件安全，满足如下要求： 4 a) 同一型号的不同芯片应具有唯一标识； b) 不应提供远程关闭、定位和与未声明的通信实体交互数据等 功能； c) 应基于硬件可信根生成身份证书，支撑实现安全接入认证等； d) 应确保在使用受硬件保护的根密钥加解密数据或派生密钥过 程中，能抵抗通过计时分析、能量分析或电磁分析等实施侧 信道攻击； e) 应确保在芯片上电启动校验过程中，能抵抗通过电压、频率 或温度等实施故障注入攻击。 5.2 接口安全 人工智能加速芯片接口安全，满足以下要求： a) 应提供逻辑或物理调试接口关闭机制； b) 不应对外提供绕过安全保护机制直接或间接访问芯片内部存 储单元的逻辑或物理接口； c) 应对调试接口、串口等接口调用提供鉴权机制，并且保护鉴 权信息的机密性和完整性。 5.3 固件安全 人工智能加速芯片固件安全，满足以下要求： 5 a) 固件不应存在权威漏洞库（例如，CNNVD、CNVD 或 CVE 等）六个月前已公布的高危漏洞,并且应建立漏洞响应和恢复 机制； b) 应具备固件备份和恢复机制，防止可能的篡改和损坏影响； c) 应提供固件升级校验机制，检验固件内容完整性、来源真实 性等，校验失败则停止升级； d) 应提供固件防回滚机制，防止固件版本回退； e) 芯片上电启动过程中，应采用密码技术校验固件、系统引导 程序等的内容完整性、来源真实性，校验不通过则停止启动； f) 应采用密码技术并基于硬件可信根进行完整性度量，支撑用 户验证固件完整性。 5.4 安全存储单元 人工智能加速芯片应提供片内安全存储单元（如，一次性烧写， 仅允许授权的进程读取），保护密钥等敏感参数的机密性、完整性。 5.5 密码技术机制 人工智能加速芯片包含的密码功能应符合 GM/T 0008—2012 标 准“安全等级 1”所述要求。 5.6 故障检测与诊断 人工智能加速芯片应支持检测芯片硬件掉电、链路中断和固件损 坏等故障，并产生告警或日志记录。 6 5.7 数据保护 人工智能加速芯片在数据保护方面，满足以下要求： a) 应预置受硬件保护的根密钥； b) 应支持基于受硬件保护的根密钥派生密钥，加密保护模型、 数据集等敏感数据； c) 应提供硬件可信执行环境，保护模型参数、用户数据或密钥 等加载到人工智能加速芯片内存中运算处理过程中的机密性 和完整性。 6 测评方法 6.1 硬件安全 6.1.1 唯一标识 人工智能加速芯片的唯一标识要求，测评方法如下： a) 测评指标：应符合 5.1 a) 的规定。 b) 测评步骤：检查芯片研制单位提供的芯片唯一标识举证文件， 或通过操作命令查询验证芯片唯一性标识，并验证该唯一性 标识是不可修改的。 c) 预期结果：举证文件或者芯片研制单位通过命令行实操演示 表明被测芯片具有唯一标识。 6.1.2 无法远程控制 7 人工智能加速芯片的无远程控制接口要求，测评方法如下： a) 测评指标：应符合 5.1 b) 的规定。 b) 测评步骤： 1) 通过专业设备扫描芯片是否插装定位装置； 2) 将芯片联通互联网后，检测是否存在可疑的进出流量。 c) 预期结果：被测芯片中，没有插装定位装置，不存在与未声 明实体通信的可疑流量。 6.1.3 设备硬件身份 人工智能加速芯片的设备硬件身份要求，测评方法如下： a) 测评指标：应符合 5.1 c) 的规定。 b) 测评步骤： 1) 向设备发起身份验证请求，能够获取设备身份证书链； 2) 获取生成的设备身份证书链，校验设备身份证书和证书链。 c) 预期结果： 1) 执行测评步骤 1)，能够获取设备身份证书； 2) 执行测评步骤 2)，能够验证设备身份证书的有效性。 6.1.4 防侧信道攻击 人工智能加速芯片的防侧信道攻击要求，测评方法如下： a) 测评指标：应符合 5.1 d) 的规定。 b) 测评步骤： 8 1) 审阅芯片研制单位的举证文件，包括但不限于具备国家主 管部门授予检测资质的第三方机构出具的测试报告等； 2) 使用侧信道分析仪器，包括功耗（电流）、电磁辐射分析 装置，芯片研制单位需提供准确的触发信号和硬件执行位 置等信息，支持准确的采样时空定位，采样次数不小于 100000 次，确认是否存在密钥或敏感信息泄露。 c) 预期结果：执行上述测评步骤 1)-2)，明确芯片研制单位已设 计、测试过防侧信道攻击相关能力，未发生密钥或敏感信息 泄露。 6.1.5 防故障注入 人工智能加速芯片的防故障注入要求，测评方法如下： a) 测评指标：应符合 5.1 e) 的规定。 b) 测评步骤： 1) 审阅芯片研制单位的举证文件，包括但不限于具备国家主 管部门授予检测资质的第三方机构出具的测试报告等； 2) 使用故障注入分析仪器，包括电压、频率或温度等实施故 障注入，芯片研制单位需提供准确的触发信号，支持准确 的注入时间定位、注入次数不小于 10000 次，确认在最优 注入条件下，是否存在安全启动绕过。 9 c) 预期结果：执行测评步骤 1)-2),明确芯片研制单位已设计、测 试过防故障注入相关能力，无法通过故障注入绕过安全启动 机制。 6.2 接口安全 6.2.1 接口关闭 人工智能加速芯片的接口关闭要求，测评方法如下： a) 测评指标：应符合 5.2 a) 的规定。 b) 测评步骤： 1) 审查芯片研制单位给出的技术方案，明确调试的串口、 JTAG 口等是以何种方式关闭； 2) 验证逻辑或物理调试接口关闭机制的有效性。 c) 预期结果：人工智能加速芯片的逻辑或物理调试接口均已提 供了有效的关闭机制。 6.2.2 无旁路接口 人工智能加速芯片的无旁路接口要求，测评方法如下： a) 测评指标：应符合 5.2 b) 的规定。 b) 测评步骤： 1) 扫描人工智能加速芯片，观测存在的逻辑或物理接口； 2) 尝试通过观测到的逻辑或物理接口，扫过接口鉴权机制， 获取系统数据或日志。 10 c) 预期结果：被测芯片中，无法通过其暴露的逻辑或物理接口 在旁路鉴权机制的条件下，获取芯片内部数据。 6.2.3 接口鉴权 人工智能加速芯片的接口鉴权要求，测评方法如下： a) 测评指标：应符合 5.2 c) 的规定； b) 测评步骤： 1) 审查芯片研制单位给出的技术方案，明确调用芯片调试接 口、串口调用是否存在鉴权机制； 2) 尝试绕过鉴权机制或暴力猜测接口鉴权信息调用芯片调 试接口和串口。 c) 预期结果：被测芯片中的调试接口、串口调用均需经过鉴权， 并且鉴权机制无法被绕过，鉴权信息有机密性和完整性保护 机制。 6.3 固件安全 6.3.1 漏洞扫描 人工智能加速芯片的固件漏洞扫描要求，测评方法如下： a) 测评指标：应符合 5.3 a) 的规定。 b) 测评步骤： 1) 使用软件工具扫描固件，查验是否存在 CNNVD、CNVD 或 CVE 等权威漏洞库中六个月前已公布的高危漏洞； 11 2) 审查芯片研制单位提供的漏洞响应与恢复制度文件，确认 已建立漏洞响应与恢复机制。 c) 预期结果：确认被测芯片固件不存在 CNNVD、CNVD 或 CVE 等权威漏洞库中六个月前已公布的高危漏洞，并且已建立漏 洞响应与恢复机制。 6.3.2 备份和恢复 人工智能加速芯片的固件备份和恢复要求，测评方法如下： a) 测评指标：应符合 5.3 b) 的规定。 b) 测评步骤：模拟固件包损坏或篡改，例如，在固件升级过程 中，突然断电，观测芯片能否自行恢复固件，正常启动运行。 c) 预期结果：被测芯片能够自行恢复固件并正常启动运行。 6.3.3 升级校验 人工智能加速芯片的固件升级校验要求，测评方法如下： a) 测评指标：应符合 5.3 c) 的规定。 b) 测评步骤： 1) 对固件进行篡改后，再进行升级，验证能否升级成功； 2) 查验固件发布时，是否带有数字签名与验签或其他有效机 制，支撑验证固件发布来源的真实性。 c) 预期结果： 1) 执行测评步骤 1)，结果为篡改后的固件，无法用于设备 升 12 级； 2) 执行测评步骤 2)，结果为固件发布时，附带有数字签名 与验签或其他有效机制，能够验证固件发布来源的真实性。 6.3.4 防回滚 人工智能加速芯片的固件防回滚要求，测评方法如下： a) 测评指标：应符合 5.3 d) 的规定。 b) 测评步骤：构建一个版本号低于当前的固件，尝试用该低版 本的固件升级。 c) 预期结果：低版本的固件无法在芯片中完成升级。 6.3.5 安全启动 人工智能加速芯片的安全启动要求，测评方法如下： a) 测评指标：应符合 5.3 e) 的规定。 b) 测评步骤： 1) 审查芯片研制单位给出的技术方案，了解芯片上电启动过 程中启动校验链上涉及的组件，查看芯片启动过程中是否 有对相应组件进行校验的日志记录； 2) 尝试篡改人工智能加速芯片相应的固件和系统引导程序 等，观测人工智能加速芯片能否正常启动； 3) 查验人工智能加速芯片相应的固件和系统引导程序等，是 否附带有数字签名或其他有效机制，能够用于验证其来源 13 真实性。 c) 预期结果： 1) 执行测评步骤 1)，结果为能够看到芯片启动过程中，记录 的有对固件、系统引导程序等的完整性校验相关日志记录； 2) 执行测评步骤 2)，结果为篡改人工智能加速芯片相应的固 件或系统引导程序后，人工智能加速芯片无法正常启动； 3) 执行测评步骤 3)，结果为人工智能加速芯片相应的固件和 系统引导程序等，均附带有数字签名或其他有效机制，能 够验证其来源真实性。 6.3.6 度量验证 人工智能加速芯片的固件度量验证要求，测评方法如下： a) 测评指标：应符合 5.3 f) 的规定。 b) 测评步骤： 1) 审查芯片研制单位提供的技