文/云原生机密计算 SIG
机密计算是一种依赖于硬件的使用中数据保护技术。芯片厂商通过提供特殊的硬件指令、受保护的加密内存区域等手段,辅以基于硬件的密钥管理和密码学操作,为使用中的数据提供了一个受保护的可信编程环境,通常称之为可信执行环境(Trusted Execution Environment,简称 TEE)。
利用最底层硬件所能提供的安全性,在保持最小信任依赖的情况下,机密计算技术可以将操作系统和设备驱动程序供应商、平台和设备供应商、服务提供商及系统管理员从用户需要信任的实体列表中移除,从而大大降低了可信计算基(TCB, Trusted Computing Base)的大小。龙蜥社区为推动机密计算技术的应用,提供若干机密计算创新项目,目的是降低机密计算技术的使用门槛。
技术方案
JavaEnclave
JavaEnclave(Teaclave Java TEE SDK)是一个面向 Java 生态的 Host-Enclave 机密计算编程框架,与 Intel SGX SDK 和 OpenEnclave 具有相同的编程模型。它提供了一个 Pure Java 的机密计算开发界面和构建工具链;创新性地采用 Java 静态编译技术,将 Java 敏感代码编译成 native 包并在 SGX 环境下运行。在保证机密计算极致安全的同时,将机密计算开发生态从 C/C++ 扩展到 Java,极大降低了机密计算应用的开发与编译构建门槛,提升了开发效率与用户体验。
目前 JavaEnclave 已经在 Apache 开源社区开源并更名为 Teaclave Java TEE SDK,作为 ApacheTeaclave 孵化项目的一个子项目继续发展。JavaEnclave 将立足龙蜥社区云原生机密计算 SIG 生态,支持更多操作系统和 TEE 硬件平台,吸收社区广大开发者的反馈意见和贡献,持续改进并不断完善功能特性。
Occlum
Occlum 是基于 Intel SGX 实现的一套轻量级的具有内存安全的 LibOS,大大简化了 SGX 应用开发的难度。使用 Occlum 后,用户的工作负载只需要修改极少量(甚至无需修改)源代码即可在 Intel SGX 上运行,以高度透明的方式保护用户数据的机密性和完整性。
今年年底即将发布的 Occlum v1.0 版本应用了 SGX 的 EDMM (Enclave 动态内存管理)特性,大大降低了应用运行于 Enclave 的适配难度,以及提升了 Enclave 里应用的启动速度和内存相关性能。
RATS-TLS
RATS-TLS 设计了一种支持异构硬件机密计算技术的双向传输层安全协议,它在 TLS 的基础上增加了将 TLS 中的公钥与 TEE 远程证明 Evidence 绑定的能力,解决了不同 TEE 之间难以通过安全可信的方式传输数据的问题。
从 RATS-TLS 项目衍生出的新项目 librats 已经支持多家主流芯片厂商的远程证明认证格式,并允许异构 TEE 之间进行双向远程证明认证。librats 已经支持最新定义的 TCG DICE Evidence 扩展,并计划捐赠给 CCC(机密计算联盟,Confidential Computing Consortium)。
SGX 虚拟化
SGX 虚拟化允许将 SGX 硬件能力透传给虚拟机和容器,以允许用户将敏感工作负载运行在基于 Intel SGX Enclave 的 TEE 中。
目前 SGX 虚拟化已支持 Anolis OS 8,可为云上用户提供基于 Intel SGX Enclave 技术的应用级安全防护能力。
CCZoo
Intel 发起并开源了 Confidential Computing Zoo (CCZoo)。CCZoo 提供了不同场景下各种典型端到端安全解决方案的参考案例,增强用户在机密计算方案实现上的开发体验,并引导用户结合参考案例快速设计满足自己需求的机密计算解决方案。
CCZoo 目前提供了基于 LibOS Gramine + Intel SGX + OpenAnolis 容器的 E2E 安全解决方案参考案例,其中包括在线推理服务和横向联邦学习等。后续,CCZoo 计划基于 OpenAnolis,提供更多的机密计算参考案例,为用户提供相应的容器镜像,实现敏捷部署。
Intel HE
Intel 提供了对于同态加密技术的全栈式支持,包括一系列工具套件和加速库,如 Intel HE Toolkit、Intel HE Acceleration Library (Intel HEXL) 、Intel Paillier Cryptosystem Library (IPCL),以及标准的性能测试基准 Homomorphic Encryption Benchmarking Framework (HEBench)。
更多龙蜥白皮书精选内容,点击这里查看。
相关链接:
云原生机密计算 SIG 主页:
https://openanolis.cn/sig/coco
更多龙蜥技术特性解析可移步《龙蜥特性百科》:
https://anolis.gitee.io/anolis_features/
2022 龙蜥社区全景白皮书(或关注公众号【OpenAnolis龙蜥】回复关键字“白皮书”获取)
https://openanolis.cn/openanoliswhitepaper
—— 完 ——
加入龙蜥社群
加入微信群:添加社区助理-龙蜥社区小龙(微信:openanolis_assis),备注【龙蜥】与你同在;加入钉钉群:扫描下方钉钉群二维码。
关于龙蜥
龙蜥社区是立足云计算打造面向国际的 Linux 服务器操作系统开源根社区及创新平台。龙蜥操作系统(Anolis OS)是龙蜥社区推出的 Linux 发行版,拥有三大核心能力:提效降本、更加稳定、更加安全。
目前,Anolis OS 23 已发布,全面支持智能计算,兼容主流 AI 框架,支持一键安装 nvidia GPU 驱动、CUDA 库等,完善适配 Intel、兆芯、鲲鹏、龙芯等芯片,并提供全栈国密支持。
加入我们,一起打造面向云时代的操作系统!
