公司

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2022 > 正文

安恒信息聯(lián)手英特爾深度適配基于Intel^® SGX的大數(shù)據(jù)隱私計算平臺

閱讀量：次 文章來源：安恒信息

白皮書獲取可點擊文末“閱讀原文”獲取

安恒信息與英特爾強強聯(lián)合，基于Intel^® Software Guard Extensions （Intel^® SGX）針對大數(shù)據(jù)應用層面完成了深度適配，優(yōu)化了安恒隱私計算平臺和隱私計算一體機，提供了高效、穩(wěn)定、安全、方便、快捷的基于機密計算技術(shù)的海量數(shù)據(jù)市場化解決方案，助力數(shù)據(jù)要素流通、賦能數(shù)據(jù)價值釋放。

有別于傳統(tǒng)的對存儲和傳輸中的數(shù)據(jù)進行加密的技術(shù)，機密計算技術(shù)是一種通過具有通用計算能力的硬件提供的可信執(zhí)行環(huán)境對使用中的數(shù)據(jù)提供安全保護的計算模式。作為應用最廣泛的機密計算方案之一，Intel^® SGX能夠幫助用戶構(gòu)建基于硬件的數(shù)據(jù)中心可信執(zhí)行環(huán)境 (TEE)，通過將特權(quán)代碼排除在受信任的范圍之外，Intel^® SGX 能夠更有效地抵御多種類型的攻擊。它可顯著加強數(shù)據(jù)安全，滿足對于機密計算的廣泛需求。

Intel^® SGX提供了一種基于硬件的內(nèi)存加密機制，將內(nèi)存中的特定應用代碼和數(shù)據(jù)隔離開來。它允許為用戶級代碼分配專用內(nèi)存區(qū)域?— 飛地 (Enclave)，以免受到擁有更高權(quán)限的進程的影響。除了有助于防御基于軟件的攻擊外，Intel^® SGX的驗證機制還能夠幫助用戶確保應用程序所在的飛地是一個真正的Intel^® SGX 環(huán)境，沒有受到相關(guān)攻擊。

為了增加大規(guī)模部署的靈活性，Intel基于當前業(yè)內(nèi)典型的云基礎(chǔ)架構(gòu)管理平臺OpenStack以及Kubernetes等，全面集成了Intel^® SGX 的安全功能，推出了基于Intel^® SGX 的安全云管理解決方案Intel^® Secured Cloud Management Stack，幫助云計算用戶更好地防范云端安全風險并實現(xiàn)快速部署。該方案能夠支持用戶在云端以簡單靈活的方式使用Intel^® SGX 功能，更有效地保護云端的實例（包括虛擬機，裸金屬服務器以及Kubernetes集群中的Pod），使運行于上述實例中的應用獲得芯片級的數(shù)據(jù)安全保護能力。

此外，這一方案還實現(xiàn)了對整個安全云基礎(chǔ)架構(gòu)的自動化部署，支持在云端對Intel^® SGX進行完備的資源管理，并提供相應實例的生命周期管理能力。基于上述能力，該方案能夠賦能大數(shù)據(jù)、聯(lián)邦學習、安全多方計算、安全密鑰管理等應用，幫助用戶更好地保護云端數(shù)據(jù)。

安恒隱私計算平臺基于第三代Intel^®?至強^® 可擴展處理器，通過Intel^®?Secured?Cloud Management Stack與Intel^®?SGX可信執(zhí)行環(huán)境進行了深度融合，完成了英特爾和安恒信息解決方案的驗證并聯(lián)合發(fā)布。在方案中，利用Intel^® SGX技術(shù)將可信執(zhí)行環(huán)境與安全島隱私計算應用系統(tǒng)的計算任務、數(shù)據(jù)合約綁定，給用戶提供了從硬件到軟件的，數(shù)據(jù)全生命周期的安全保護；Intel處理器豐富的擴展功能，更為安恒隱私計算平臺提供高安全性、高運行效率、高穩(wěn)定性的支撐。

如圖所示，安恒隱私計算平臺包括安全支撐系統(tǒng)、性能支撐系統(tǒng)和大數(shù)據(jù)平臺支撐系統(tǒng)，給安全島機密計算中臺及上層應用平臺提供了性能、安全性及穩(wěn)定性上的支撐。

基于Intel^®?Secured?Cloud Management Stack提供的硬件機密計算功能所構(gòu)建的安全支撐系統(tǒng)，通過支持SGX的機密虛機、機密裸機、機密容器等給程序和數(shù)據(jù)提供安全的執(zhí)行環(huán)境。基于硬件安全啟動功能構(gòu)建的系統(tǒng)可信模塊，給安恒隱私計算平臺上運行的系統(tǒng)提供了系統(tǒng)層面的可信保證。基于硬件遠程證明、安全隔離的合約可信模塊，可以給安恒隱私計算平臺上運行的應用程序與數(shù)據(jù)提供可信保障。基于硬件安全存儲、安全通信、密碼運算、數(shù)據(jù)封裝的數(shù)據(jù)全生命周期加密模塊，可以給應用系統(tǒng)中的數(shù)據(jù)提供硬件級別的數(shù)據(jù)安全保護。基于硬件密鑰管理的密鑰管理和身份認證模塊，可以給業(yè)務系統(tǒng)提供安全、靈活的用戶管理功能。

在性能支撐系統(tǒng)中，安恒隱私計算平臺的架構(gòu)設(shè)計中包含兩個部分：首先，對于密碼計算任務，使用Intel的密碼加速能力組件，如AES-NI指令集、Intel^® QAT加速卡等，給密碼算法與基于密碼算法的各種應用提供加速服務。其次，對于普通計算任務，特別是大數(shù)據(jù)、深度學習相關(guān)的任務，可以采用Intel下一代至強平臺內(nèi)置的Intel^® AMX加速引擎為業(yè)務系統(tǒng)的性能提供優(yōu)化。

大數(shù)據(jù)平臺支撐系統(tǒng)構(gòu)建在安全支撐系統(tǒng)和性能支撐系統(tǒng)之上，為上層安全島隱私計算中臺提供大數(shù)據(jù)計算、存儲的能力。其中大數(shù)據(jù)平臺的核心組件運行時的安全性由基于Intel^® SGX的安全支撐系統(tǒng)保障，性能支撐系統(tǒng)與大數(shù)據(jù)平臺結(jié)合以提升大數(shù)據(jù)處理過程中的性能與穩(wěn)定性。

該方案構(gòu)建安全支撐系統(tǒng)，給安恒隱私計算平臺的應用中臺提供安全保證。安全保證從以下幾個方面實現(xiàn)：

基于Intel的機密計算技術(shù)SGX，最小化了可信執(zhí)行環(huán)境的攻擊面、最大化了芯片算力，給各種應用領(lǐng)域提供了可信的底層支撐。

結(jié)合硬件及軟件，保證了數(shù)據(jù)全生命周期的安全。硬件層面基于Intel芯片，軟件層面使用有安恒信息獨立開發(fā)的安全島數(shù)據(jù)互聯(lián)平臺，安全層面由安恒信息多維度的網(wǎng)絡(luò)安全防護系統(tǒng)進行保障，滿足了企業(yè)對IT設(shè)施和軟件嚴格的安全性要求。

機密計算技術(shù)與密鑰管理與身份認證綁定，為每個用戶的身份驗證及數(shù)據(jù)安全保護提供安全保護功能。

機密計算技術(shù)與數(shù)據(jù)合約綁定，為每個計算任務創(chuàng)建獨立的可信環(huán)境，使不同合約之間的數(shù)據(jù)完全隔離，最終實現(xiàn)數(shù)據(jù)的“可用不可見”、“可用不可取”，保障多源多方數(shù)據(jù)安全計算的可靠、可控和可溯。

機密計算技術(shù)與其他隱私計算平臺結(jié)合，提供安全、可信、快速執(zhí)行計算任務的基礎(chǔ)，可為安全島其他隱私計算平臺提供底層支撐。其他隱私計算平臺包括安全多方計算平臺、聯(lián)邦學習平臺。

可信執(zhí)行環(huán)境內(nèi)的操作被詳細審計和記錄，并保存在區(qū)塊鏈上，實現(xiàn)操作監(jiān)控和歷史回放，方便后續(xù)事件溯源。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>