公司

首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2022 > 正文

安恒信息聯(lián)手英特爾深度適配基于Intel^® SGX的大數(shù)據(jù)隱私計(jì)算平臺(tái)

閱讀量：次 文章來(lái)源：安恒信息

白皮書獲取可點(diǎn)擊文末“閱讀原文”獲取

安恒信息與英特爾強(qiáng)強(qiáng)聯(lián)合，基于Intel^® Software Guard Extensions （Intel^® SGX）針對(duì)大數(shù)據(jù)應(yīng)用層面完成了深度適配，優(yōu)化了安恒隱私計(jì)算平臺(tái)和隱私計(jì)算一體機(jī)，提供了高效、穩(wěn)定、安全、方便、快捷的基于機(jī)密計(jì)算技術(shù)的海量數(shù)據(jù)市場(chǎng)化解決方案，助力數(shù)據(jù)要素流通、賦能數(shù)據(jù)價(jià)值釋放。

有別于傳統(tǒng)的對(duì)存儲(chǔ)和傳輸中的數(shù)據(jù)進(jìn)行加密的技術(shù)，機(jī)密計(jì)算技術(shù)是一種通過具有通用計(jì)算能力的硬件提供的可信執(zhí)行環(huán)境對(duì)使用中的數(shù)據(jù)提供安全保護(hù)的計(jì)算模式。作為應(yīng)用最廣泛的機(jī)密計(jì)算方案之一，Intel^® SGX能夠幫助用戶構(gòu)建基于硬件的數(shù)據(jù)中心可信執(zhí)行環(huán)境 (TEE)，通過將特權(quán)代碼排除在受信任的范圍之外，Intel^® SGX 能夠更有效地抵御多種類型的攻擊。它可顯著加強(qiáng)數(shù)據(jù)安全，滿足對(duì)于機(jī)密計(jì)算的廣泛需求。

Intel^® SGX提供了一種基于硬件的內(nèi)存加密機(jī)制，將內(nèi)存中的特定應(yīng)用代碼和數(shù)據(jù)隔離開來(lái)。它允許為用戶級(jí)代碼分配專用內(nèi)存區(qū)域?— 飛地 (Enclave)，以免受到擁有更高權(quán)限的進(jìn)程的影響。除了有助于防御基于軟件的攻擊外，Intel^® SGX的驗(yàn)證機(jī)制還能夠幫助用戶確保應(yīng)用程序所在的飛地是一個(gè)真正的Intel^® SGX 環(huán)境，沒有受到相關(guān)攻擊。

為了增加大規(guī)模部署的靈活性，Intel基于當(dāng)前業(yè)內(nèi)典型的云基礎(chǔ)架構(gòu)管理平臺(tái)OpenStack以及Kubernetes等，全面集成了Intel^® SGX 的安全功能，推出了基于Intel^® SGX 的安全云管理解決方案Intel^® Secured Cloud Management Stack，幫助云計(jì)算用戶更好地防范云端安全風(fēng)險(xiǎn)并實(shí)現(xiàn)快速部署。該方案能夠支持用戶在云端以簡(jiǎn)單靈活的方式使用Intel^® SGX 功能，更有效地保護(hù)云端的實(shí)例（包括虛擬機(jī)，裸金屬服務(wù)器以及Kubernetes集群中的Pod），使運(yùn)行于上述實(shí)例中的應(yīng)用獲得芯片級(jí)的數(shù)據(jù)安全保護(hù)能力。

此外，這一方案還實(shí)現(xiàn)了對(duì)整個(gè)安全云基礎(chǔ)架構(gòu)的自動(dòng)化部署，支持在云端對(duì)Intel^® SGX進(jìn)行完備的資源管理，并提供相應(yīng)實(shí)例的生命周期管理能力?；谏鲜瞿芰?，該方案能夠賦能大數(shù)據(jù)、聯(lián)邦學(xué)習(xí)、安全多方計(jì)算、安全密鑰管理等應(yīng)用，幫助用戶更好地保護(hù)云端數(shù)據(jù)。

安恒隱私計(jì)算平臺(tái)基于第三代Intel^®?至強(qiáng)^® 可擴(kuò)展處理器，通過Intel^®?Secured?Cloud Management Stack與Intel^®?SGX可信執(zhí)行環(huán)境進(jìn)行了深度融合，完成了英特爾和安恒信息解決方案的驗(yàn)證并聯(lián)合發(fā)布。在方案中，利用Intel^® SGX技術(shù)將可信執(zhí)行環(huán)境與安全島隱私計(jì)算應(yīng)用系統(tǒng)的計(jì)算任務(wù)、數(shù)據(jù)合約綁定，給用戶提供了從硬件到軟件的，數(shù)據(jù)全生命周期的安全保護(hù)；Intel處理器豐富的擴(kuò)展功能，更為安恒隱私計(jì)算平臺(tái)提供高安全性、高運(yùn)行效率、高穩(wěn)定性的支撐。

如圖所示，安恒隱私計(jì)算平臺(tái)包括安全支撐系統(tǒng)、性能支撐系統(tǒng)和大數(shù)據(jù)平臺(tái)支撐系統(tǒng)，給安全島機(jī)密計(jì)算中臺(tái)及上層應(yīng)用平臺(tái)提供了性能、安全性及穩(wěn)定性上的支撐。

基于Intel^®?Secured?Cloud Management Stack提供的硬件機(jī)密計(jì)算功能所構(gòu)建的安全支撐系統(tǒng)，通過支持SGX的機(jī)密虛機(jī)、機(jī)密裸機(jī)、機(jī)密容器等給程序和數(shù)據(jù)提供安全的執(zhí)行環(huán)境?；谟布?strong>安全啟動(dòng)功能構(gòu)建的系統(tǒng)可信模塊，給安恒隱私計(jì)算平臺(tái)上運(yùn)行的系統(tǒng)提供了系統(tǒng)層面的可信保證?；谟布?strong>遠(yuǎn)程證明、安全隔離的合約可信模塊，可以給安恒隱私計(jì)算平臺(tái)上運(yùn)行的應(yīng)用程序與數(shù)據(jù)提供可信保障?；谟布?strong>安全存儲(chǔ)、安全通信、密碼運(yùn)算、數(shù)據(jù)封裝的數(shù)據(jù)全生命周期加密模塊，可以給應(yīng)用系統(tǒng)中的數(shù)據(jù)提供硬件級(jí)別的數(shù)據(jù)安全保護(hù)?；谟布?strong>密鑰管理的密鑰管理和身份認(rèn)證模塊，可以給業(yè)務(wù)系統(tǒng)提供安全、靈活的用戶管理功能。

在性能支撐系統(tǒng)中，安恒隱私計(jì)算平臺(tái)的架構(gòu)設(shè)計(jì)中包含兩個(gè)部分：首先，對(duì)于密碼計(jì)算任務(wù)，使用Intel的密碼加速能力組件，如AES-NI指令集、Intel^® QAT加速卡等，給密碼算法與基于密碼算法的各種應(yīng)用提供加速服務(wù)。其次，對(duì)于普通計(jì)算任務(wù)，特別是大數(shù)據(jù)、深度學(xué)習(xí)相關(guān)的任務(wù)，可以采用Intel下一代至強(qiáng)平臺(tái)內(nèi)置的Intel^® AMX加速引擎為業(yè)務(wù)系統(tǒng)的性能提供優(yōu)化。

大數(shù)據(jù)平臺(tái)支撐系統(tǒng)構(gòu)建在安全支撐系統(tǒng)和性能支撐系統(tǒng)之上，為上層安全島隱私計(jì)算中臺(tái)提供大數(shù)據(jù)計(jì)算、存儲(chǔ)的能力。其中大數(shù)據(jù)平臺(tái)的核心組件運(yùn)行時(shí)的安全性由基于Intel^® SGX的安全支撐系統(tǒng)保障，性能支撐系統(tǒng)與大數(shù)據(jù)平臺(tái)結(jié)合以提升大數(shù)據(jù)處理過程中的性能與穩(wěn)定性。

該方案構(gòu)建安全支撐系統(tǒng)，給安恒隱私計(jì)算平臺(tái)的應(yīng)用中臺(tái)提供安全保證。安全保證從以下幾個(gè)方面實(shí)現(xiàn)：

基于Intel的機(jī)密計(jì)算技術(shù)SGX，最小化了可信執(zhí)行環(huán)境的攻擊面、最大化了芯片算力，給各種應(yīng)用領(lǐng)域提供了可信的底層支撐。

結(jié)合硬件及軟件，保證了數(shù)據(jù)全生命周期的安全。硬件層面基于Intel芯片，軟件層面使用有安恒信息獨(dú)立開發(fā)的安全島數(shù)據(jù)互聯(lián)平臺(tái)，安全層面由安恒信息多維度的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)進(jìn)行保障，滿足了企業(yè)對(duì)IT設(shè)施和軟件嚴(yán)格的安全性要求。

機(jī)密計(jì)算技術(shù)與密鑰管理與身份認(rèn)證綁定，為每個(gè)用戶的身份驗(yàn)證及數(shù)據(jù)安全保護(hù)提供安全保護(hù)功能。

機(jī)密計(jì)算技術(shù)與數(shù)據(jù)合約綁定，為每個(gè)計(jì)算任務(wù)創(chuàng)建獨(dú)立的可信環(huán)境，使不同合約之間的數(shù)據(jù)完全隔離，最終實(shí)現(xiàn)數(shù)據(jù)的“可用不可見”、“可用不可取”，保障多源多方數(shù)據(jù)安全計(jì)算的可靠、可控和可溯。

機(jī)密計(jì)算技術(shù)與其他隱私計(jì)算平臺(tái)結(jié)合，提供安全、可信、快速執(zhí)行計(jì)算任務(wù)的基礎(chǔ)，可為安全島其他隱私計(jì)算平臺(tái)提供底層支撐。其他隱私計(jì)算平臺(tái)包括安全多方計(jì)算平臺(tái)、聯(lián)邦學(xué)習(xí)平臺(tái)。

可信執(zhí)行環(huán)境內(nèi)的操作被詳細(xì)審計(jì)和記錄，并保存在區(qū)塊鏈上，實(shí)現(xiàn)操作監(jiān)控和歷史回放，方便后續(xù)事件溯源。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>