机密计算简介与现状
机密计算概览
机密计算旨在保护数据在使用过程中的机密性和完整性。它通过基于硬件的可信执行环境(Trusted Execution Environment,TEE)对数据进行加密处理,确保即使数据被窃取到内存中,未经授权的实体也无法访问或篡改数据。
机密计算的关键功能
- 数据机密性:保护正在使用的数据不被未经授权的实体访问。
- 数据完整性:防止数据在使用过程中被篡改。
- 可验证性:提供证据证明TEE的可信状态,确保代码和数据的原始性。
机密计算的现状与挑战
- 用户认知不足:用户对机密计算技术的认知尚浅,难以将其与实际业务需求关联。
- 技术门槛较高:主流机密计算技术的编程模型复杂,增加了学习和使用成本。
- 应用场景局限:当前机密计算主要应用于特定行业,缺乏广泛的通用应用场景。
- 信任模型与自主可控:存在对CPU TEE的信任根自主可控的需求,同时也存在对云服务商和第三方解决方案的不信任问题。
云原生机密计算SIG
为应对上述挑战,云原生机密计算SIG应运而生,旨在:
- 推广机密计算技术:通过社区活动和合作,增加技术的曝光度和理解度。
- 提高技术可用性:支持多种硬件平台,提供多样化的运行时底座和编程框架。
- 提升技术泛用性:为典型应用场景打造解决方案,加速技术创新的落地。
- 澄清误解:发布技术白皮书,建立信任体系,增加用户信心。
案例与技术栈
- 海光CSV机密容器:提供虚拟机内存加密和状态加密能力。
- Intel Confidential Computing Zoo:提供基于Intel TEE技术的端到端安全解决方案。
- Intel HE Toolkit:为同态加密应用提供平台和加速库。
- Occlum:一个轻量级TEE LibOS,支持Intel SGX等TEE技术。
- Apache Teaclave Java TEE SDK:面向Java生态的机密计算编程框架。
- Gramine:轻量级LibOS,支持Linux和Intel SGX环境。
- TDX机密容器与机密虚拟机:基于Intel TDX技术的机密计算解决方案。
龙蜥社区概况
- 创立背景:由阿里云、ARM、统信软件等24家国内外头部企业共同成立。
- 影响力:社区成员众多,覆盖企业、高校、科研机构等,获得多项行业奖项。
- 运营模式:拥有多个SIG工作组,涵盖操作系统核心领域。
- 产品与生态:推出多个社区版本,提供长期稳定支持,兼容CentOS生态,支持多种架构和芯片。
- 生态发展:推出“生态发展计划”,鼓励商业合作和落地实践。
- 开源影响力:龙蜥操作系统下载量高,装机量大,合作伙伴众多,服务用户广泛。
总结
机密计算作为一种新兴技术,正逐步解决数据在使用过程中的安全问题。通过硬件TEE技术,它为数据提供了额外的保护层。然而,该技术仍面临用户认知、技术复杂性、应用场景局限和信任模型等方面的挑战。云原生机密计算SIG的成立,旨在推动技术普及、提升可用性和泛用性,同时解决信任问题,加速机密计算技术在云原生环境的应用和发展。龙蜥社区作为国内领先的开源社区之一,不仅提供了丰富的操作系统版本和资源,还积极促进了开源生态的建设与发展。
