扒扒CPU系列7:国产CPU真正看不见的对手——不是Intel,是固件、BIOS与启动链

用户头像
有盒book
 · 上海  

$龙芯中科(SH688047)$ $海光信息(SH688041)$ $中国长城(SZ000066)$
开篇
上一期我们聊透了算力安全的本质:国产CPU的核心价值,从来不是跑分追上Intel,而是在命脉行业里实现“根可控”——从硬件行为到启动流程,每一行代码、每一个电路动作,都必须牢牢握在自己手里。
但今天我要把这个逻辑再往下扎一层,戳破一个绝大多数投资者、甚至很多行业人士都没看透的真相:
CPU就算100%自研、指令集完全自主、性能拉满,不代表你真的掌控了这颗芯片。
行业里一句扎心但绝对真实的话:
指令集是门面,微架构是肌肉,BIOS与固件才是灵魂。
你用着龙芯、飞腾、海光,以为实现了自主可控,可如果固件、BIOS、BMC、可信启动链是国外的、黑盒的、不可审计的,那你所谓的安全,不过是一层窗户纸——看上去坚固,一捅就破。
这一期,我们彻底跳出CPU本身,不聊性能、不聊生态、不聊指令集,只扒一个99%散户完全不懂、机构却极度看重、决定国产CPU能否真正“安全落地”的深水区:
BIOS、固件、BMC、启动链与可信根。
它们是国产CPU自主化的最后一公里,也是最容易被忽略、最容易被卡脖子、最容易决定生死的环节。
一、先讲透:BIOS/固件到底是什么?为什么它比CPU还致命?
1. 用最直白的话,讲透BIOS与固件
BIOS,全称基本输入输出系统,说白了就是CPU醒来后第一个见到的“管家”。
固件,则是藏在芯片、主板、控制器内部、永远在后台运行的“隐形系统”。
你可以把整个计算机系统想象成一栋大楼:
CPU是大楼的核心发动机,负责所有计算;
操作系统是大楼的物业管理系统,负责日常运营;
而BIOS与固件,就是大楼的门禁、消防、电力总控加上应急指挥中心。
它的权力,远超普通人的想象。
它比CPU更早“醒来”,上电一瞬间,CPU还没开始执行第一条指令,BIOS和固件已经接管全部硬件。
它比操作系统更底层,可以直接读写内存任何位置、接管所有硬件控制、绕过系统安全策略。
它永远在线,哪怕你关机、休眠、系统崩溃,BMC这类固件依然独立运行。
它更是完全隐形的,代码不开放、逻辑不透明、行为不可见,绝大多数用户一辈子都不知道它的存在。
2. 开机流程:谁先掌权,谁就是老大
现代计算机的开机流程,是一场严格的权力交接,顺序绝对不能乱。
第一步上电,固件和BIOS先运行,这是系统的第一权力。
第二步初始化CPU、内存、芯片组、硬盘、网卡等所有硬件。
第三步校验系统完整性、验证固件签名、建立可信根。
第四步引导操作系统内核加载。
第五步操作系统接管,最后才轮到用户使用电脑。
核心结论非常清晰:BIOS比操作系统更早掌权,比CPU更早说话。
它决定了硬件能不能正常工作,系统能不能安全启动,哪些代码可以被执行,甚至——这台电脑到底听谁的。
3. 为什么说固件比CPU还致命?
在电网、金融、能源、军工这类关键行业,固件的风险是真正致命级别的。
第一是后门风险,国外固件厂商可以在代码中预埋后门,远程窃取数据、控制硬件、甚至让系统直接瘫痪。
第二是黑盒风险,传统BIOS、BMC、EC固件代码不开放、漏洞不公开、行为不可审计,没人知道它在后台到底做了什么。
第三是控制权风险,谁掌握固件,谁就掌握这台设备的生死权,可以远程开机、关机、重启、锁死硬件。
第四是供应链风险,固件一旦被篡改、植入恶意代码,整个系统从根源上就不再安全,杀毒软件、防火墙完全没用。
更可怕的是,传统BIOS、BMC固件长期被国外少数几家厂商垄断。
全球服务器BIOS市场,美国与中国台湾少数几家厂商占据90%以上份额。
BMC固件长期依赖中国台湾厂商的芯片与方案,代码黑盒、完全不可控。
对国产CPU来说,这是一个极其尴尬的现实:
CPU是国产的,但固件是国外黑盒,等于算力安全形同虚设。
这,才是国产自主化真正的深水区,也是我们今天要扒开的核心。
二、三大国产CPU,在“启动链安全”上的真实差距
很多人看国产CPU,只看跑分、核心数、主频,觉得性能强就是好。
但内行看国产CPU,只看一件事:能不能从头到尾自己说了算。
我们把海光、飞腾、龙芯,放在固件、BIOS、启动链这把尺子下重新衡量,不谈情怀,只看技术事实、准入门槛、实际落地场景。
(一)海光信息:性能最强,但固件依赖最重,安全属于“合规级”
海光基于x86架构,兼容性、生态、性能都是国产第一,是目前商用算力替换的绝对主力。
但在固件与启动链层面,它的短板非常明显。
首先是核心依赖,BIOS主要依赖国外厂商,代码不开放、不可审计。
芯片组固件、平台控制器中枢固件完全是黑盒,来自外部授权,无法自主修改。
启动流程严格遵循x86传统规范,自主改造空间极小。
BMC基板管理控制器固件高度依赖外部方案,根控制权不在国内。
海光的安全,是合规级安全。
它拥有合法的架构授权,符合商用安全标准,支持国密算法、可信启动,能够满足金融、政企、云计算等行业的合规要求。
但它无法做到100%全链路自主,无法进入最高密级、强监管的核心控制域,比如电网调度、军工涉密、能源控制等场景。
一句话定位:海光是商用合规安全标杆,适合大规模商用替换,但不是底线安全的选择。
(二)飞腾信息:ARM体系下中度自主,偏向终端安全
飞腾走ARM架构,在固件层面比x86开放一些,主打嵌入式、终端、工控安全。
飞腾的固件自主程度属于中度自主,终端安全做得非常扎实。
它支持ARM可信固件、UEFI的国产化深度改造,自主代码占比高。
嵌入式固件、BMC自研程度较高,尤其是在嵌入式系列上,适配国产BMC方案。
终端BIOS、工控固件可控性强,支持国密、可信启动,适配国产可信根。
同时与中国长城深度绑定,长城BIOS是飞腾平台的主力固件方案,开机速度、稳定性在国内处于领先位置。
飞腾的安全定位是终端级安全。
在桌面PC、边缘终端、物联网网关、工业控制等场景,安全可控性极强。
但在高性能服务器、核心控制域,底座固件仍有部分外部依赖,无法做到龙芯级别的全链路无外部依赖。
一句话定位:飞腾是终端嵌入式安全主力军,稳、耐用、不掉链子,适合边缘与终端场景。
(三)龙芯中科:唯一从头到尾打通国产启动链的CPU
龙芯从一开始,打的就是全链条自主,从指令集到微架构,从固件到BIOS,从BMC到可信根,全部自研。
龙芯在固件自主程度上做到了100%全链路自主,没有任何外部依赖。
它完全自研LoongArch固件架构,不依赖x86或ARM的任何规范。
自主BIOS、自主UEFI、自主可信启动链,代码全部开源可审计,没有任何黑盒。
芯片内部固件包括微码、初始化代码完全自研,支持白盒验证。
自主BMC架构,适配国产BMC芯片,彻底摆脱外部方案依赖。
同时支持完整国产可信根,启动链全程可验、可审计、可追溯。
在安全层面,龙芯是真正的底线级安全,是最高密级准入的唯一选择。
从上电第一条指令开始,所有代码、所有流程、所有控制权全部在国内。
没有任何外部授权风险,没有任何黑盒代码,没有任何后门隐患。
它是目前唯一能进入军工、涉密、能源控制、关键基础设施等最高密级场景的国产CPU。
它的安全壁垒,比CPU本身的性能壁垒还要高、还要难以突破。
一句话定位:龙芯是底线安全唯一解,在极端安全场景下,不可替代。
三、BMC:真正的“隐形核弹”,99%散户没听过
如果你以为BIOS就是固件安全的终点,那还太浅。
在服务器领域,有一个东西叫BMC基板管理控制器,它的权力,比BIOS还要恐怖。
1. BMC到底是什么?
BMC是一颗独立于主CPU的嵌入式芯片,它最大的特点是永远在线。
不管你开不开机、进不进系统、系统崩不崩溃,BMC永远独立运行,有自己独立的电源、内存、处理器。
它采用带外管理模式,不依赖主系统,通过专用网络接口远程管理服务器。
它拥有全硬件控制权,可以直接读写CPU、内存、硬盘、电源等所有硬件状态。
2. BMC的权力:掌握服务器的灵魂
BMC可以做的事情,几乎等同于掌握整台机器的灵魂。
它可以远程开机、关机、重启、强制断电。
可以远程抓屏、监控硬件温度、电压、风扇转速。
可以直接读写CPU寄存器、内存数据,绕过所有系统安全策略。
可以远程安装操作系统、修复系统故障、甚至篡改系统数据。
哪怕主系统完全崩溃,BMC依然可以远程操作硬件。
一句话:谁掌握BMC,谁就掌握这台服务器的灵魂。
3. 传统BMC的致命风险
长期以来,全球服务器BMC市场被少数外部厂商高度垄断。
主流芯片占据服务器BMC市场90%以上份额,固件代码黑盒、不开放、不可审计。
存在大量未知漏洞、后门隐患,极端情况下可以被远程控制。
这就是为什么近几年,国产BMC加国产CPU成为政策强推方向。
BMC不自主,服务器安全就是空谈。
4. 国产BMC的突破
在国产BMC领域,龙芯自主BMC架构,适配国产BMC芯片,是最高密级场景的标配。
中国长城基于开放框架深度改造,推出国产BMC方案,全面适配飞腾、龙芯平台,摆脱传统依赖。
飞腾在嵌入式系列上深度适配国产BMC,在工控领域实现大量落地。
海光的商用BMC相对完善,但根依赖仍然存在,无法进入最高密级场景。
四、固件自主化的核心:可信启动链与国产可信根
固件安全的终极目标,是建立完整的国产可信启动链。
从“上电第一条指令”开始,每一个环节都经过验证、签名、审计,确保没有任何恶意代码、后门、篡改。
1. 可信启动链:从根到叶的信任传递
可信启动链的逻辑非常简单。
最底层是信任根,也就是最底层、最可信的硬件模块,存储唯一密钥、校验值。
固件验证环节,BIOS和固件加载前,先由信任根验证其签名,确保未被篡改。
然后逐级传递信任,BIOS验证操作系统内核,内核验证驱动,驱动验证应用,形成一条完整的信任链。
任何环节验证失败,系统直接拒绝启动,从根源上杜绝恶意代码。
2. 国产可信根TCM
传统可信根依赖国外可信平台模块芯片,存在授权风险、后门隐患。
国产替代方案是TCM可信密码模块。
它完全自主知识产权,支持国密算法,没有任何外部依赖,代码可审计。
它是国产CPU、固件、BIOS的真正安全钥匙。
3. 三大CPU的可信启动能力
海光支持国产可信根与国际可信根,但BIOS和BMC存在外部依赖,信任链并不完整。
飞腾深度支持国产可信根,终端可信启动完善,服务器端仍有优化空间。
龙芯100%支持国产可信根,全链路可信启动,信任链完整、可审计、可追溯。
五、谁在吃下“固件自主”的红利?
国产CPU的行情,炒完核心芯片,下一波一定炒底层安全,也就是固件、BIOS、BMC、可信根。
这些环节是国产CPU落地的最后一公里,也是政策强推、资金即将聚焦的方向。
(一)中国长城:国产BIOS/BMC绝对龙头
中国长城是国产BIOS龙头,其固件是国内最成熟、市占率最高的国产BIOS,全面适配飞腾、龙芯、海光平台,开机速度、稳定性国内领先。
同时它也是国产BMC龙头,推出自研国产BMC方案,基于开放架构深度改造,摆脱传统依赖。
作为整机龙头,它是飞腾整机主力供应商,多款服务器全面搭载国产固件加国产CPU。
在安全层面,它支持自主安全架构、可信计算、安全启动,是信创安全的核心底座。
投资逻辑非常清晰:政策强推关键行业服务器与PC搭载国产固件,中国长城是首选标的。
它深度绑定飞腾与龙芯,双轮驱动。
BIOS和BMC研发需要长期技术积累,国内玩家极少,竞争格局清晰。
信创采购、AI服务器国产化、工控自主化三重催化,业绩确定性强。
(二)龙芯中科:全链条固件自主,底线安全唯一标的
龙芯是目前唯一实现全链路固件自主的国产CPU,从LoongArch固件、自主BIOS、自主BMC到自主可信启动,没有任何外部依赖。
它拥有最高密级场景准入资质,是军工、涉密、能源控制等领域唯一可选的国产CPU。
它的固件生态壁垒极高,从指令集到固件形成完整生态,竞争对手无法短期复制。
投资逻辑在于战略价值,它是国之重器,是算力安全的底线,政策长期支持。
全链路自主需要十年以上技术积累,无法短期追赶,壁垒极高。
最高密级场景持续放量,业绩稳健增长,永续性极强。
(三)飞腾信息:终端固件安全龙头
飞腾在嵌入式领域优势明显,其系列芯片深度适配国产BMC与固件,在工控领域实现大量落地。
终端BIOS成熟度高,桌面PC、边缘终端固件自主化程度高,安全可控。
与中国长城深度绑定,形成从芯片到固件再到整机的一体化方案。
投资逻辑偏向稳健,场景分散在工控、物联网、边缘计算,需求稳定,周期性弱。
终端安全可控,符合信创终端采购要求,业绩稳健,波动小。
(四)中科创达:智能终端固件与嵌入式软件平台
中科创达在智能终端固件、嵌入式底层软件、智能终端解决方案上具备优势。
它覆盖手机、物联网、边缘计算设备的底层固件自主化,提供嵌入式软件平台,全面适配国产CPU与固件。
在边缘计算领域,边缘节点固件、安全、管理都是国产替代的核心方向。
投资逻辑受益于边缘计算爆发,AIoT、工业互联网带动边缘节点固件需求激增。
全面适配龙芯、飞腾、海光,是固件自主化核心供应商,技术门槛高。
(五)景嘉微:GPU+固件+可信计算
景嘉微的国产GPU全面适配国产CPU与固件,是涉密领域主力选择。
GPU固件自主化程度高,与国产CPU、BIOS深度协同。
同时支持可信计算与安全启动,在涉密领域形成底层安全闭环。
投资逻辑在于涉密场景放量,军工、航天、能源控制带动国产GPU与固件需求激增。
GPU加CPU加固件形成完整安全方案,协同壁垒高。
(六)国产TCM与安全芯片厂商
可信根是启动链的基石,相关安全芯片是下一轮细分核心。
包括国民技术、紫光国微兆易创新等,均在可信密码模块、安全芯片、固件存储芯片上深度受益于国产替代。
六、未来格局:三层市场彻底分化
未来三到五年,国产CPU市场将被性能、生态、安全三个维度彻底切割,形成三层清晰的市场格局。
第一层是高端商用算力层,由海光主导,吃下最大体量的订单。
核心需求是性能、生态、兼容性,主力场景是金融云、互联网、运营商、大企业数据中心。
固件现状以合规安全为主,依赖成熟商用方案。
投资逻辑以业绩优先、估值稳健为主,适合中线布局。
第二层是终端与嵌入式层,由飞腾主导,稳扎稳打。
核心需求是稳定、低功耗、安全,主力场景是信创PC、边缘终端、工业控制、物联网。
固件现状以中度自主为主,终端安全可控。
投资逻辑偏向低风险、长期配置、防守型机会。
第三层是核心安全与底线控制层,由龙芯加固件链主导,壁垒最深。
核心需求是100%自主、根可控、极端安全,主力场景是军工、涉密、电网调度、能源控制、关键基础设施。
固件现状是全链路自主,无任何外部依赖。
投资逻辑偏向长周期、战略价值、不可替代。
整体一句话总结:
比性能,海光领先,飞腾次之,龙芯侧重自主而有所取舍。
比商用生态,海光最完善,飞腾次之,龙芯仍在建设。
比根可控、固件安全、启动链自主,龙芯遥遥领先,飞腾次之,海光受架构限制相对薄弱。
性能可以迭代,生态可以追赶,制程可以突破,但从CPU到BIOS到BMC到启动链的完全自主,是十年都建不起来的壁垒。
七、结语
很多人还在争论,国产CPU什么时候能追上Intel,跑分什么时候能超过AMD
其实这场战争,早就换了战场。
未来决定国产CPU价值的,不再是多少核、多少GHz、跑分多少,不再是游戏卡不卡、软件兼容不兼容,不再是民用市场卖得好不好。
而是三个更本质、更致命的问题:
这颗CPU的固件是谁写的?
启动链能不能完全自主可控?
在极端安全场景下,能不能做到不可替代?
性能可以妥协,成本可以让步,兼容性可以慢慢完善,但控制权必须在自己手里。
这不是情怀,不是口号,是命脉行业的准入门槛,是国产CPU的终极价值,是中国算力自主化的最后一公里。