浪潮信息KeyarchOS机密计算实践及解决方案|龙蜥大讲堂108期

本文涉及的产品
云原生大数据计算服务MaxCompute,500CU*H 100GB 3个月
数据安全中心,免费版
云原生大数据计算服务 MaxCompute,5000CU*H 100GB 3个月
简介: 浪潮信息KeyarchOS机密计算实践及解决方案在龙蜥大讲堂第108期中进行了详细分享。主要内容包括:1. **KeyarchOS机密计算实践**2. **KeyarchOS机密计算解决方案**3. **应用案例**4. **共建生态**:呼吁合作伙伴共同构建KeyarchOS解决方案生态,推动软硬件一体化发展,为客户提供更优质的服务。更多学习内容可访问阿里云培训平台,课程链接:<https://developer.aliyun.com/live/254037>。

浪潮信息KeyarchOS机密计算实践及解决方案|龙蜥大讲堂108期


内容介绍:

一、浪潮信息KeyarchOS机密计算实践

二、浪潮信息KeyarchOS机密计算解决方案

 

一、浪潮信息KeyarchOS机密计算实践

本次分享的主题是浪潮信息KeyarchOS机密计算实践,由浪潮信息的麻付强分享。

来源:浪潮信息KeyarchOS机密计算实践及解决方案|龙蜥大讲堂108期

课程链接:https://developer.aliyun.com/live/254037

更多学习内容可跳转阿里云培训中https://edu.aliyun.com/

image.png

本次分享的是浪潮信息KeyarchOS机密计算实践。

image.png

安全论坛介绍了很多机密计算

1、机密计算现状与挑战

1.1、数据泄露事件

image.png

大数据发展的条件是隐私计算,用户因为担心个人数据或敏感信息泄露不愿意分享数据到云端或其他地方企业不愿意进行数据共享或者数据交易对数据流通造成阻碍。国家政策为数据流转数据共享提供了平台,目前出台数据安全法网络安全法个人信息保护法密码法。数据安全法要求在流通过程中的合规要采用加密。网络安全法在传输过程中或存储采用相应的技术。个人信息保护法是保个人信息不被泄露。密码法采用相应的合规密码。关于数据泄露事件23年全球前9个月就有3.6亿人敏感数据遭到泄露,大概有80%的数据已经被泄露,比22年全年高出20%。在21年和22年全球个人信息泄露达到了26亿条。这是一个非常高的数据,现在比较火的区块链技术基本上每年都会有区块链遭到攻击或发生倒闭事件,区块链的安全非常严重。

1.2数据安全模型

image.png

传统主流安全模型主要采用加密技术进行数据传输和数据存储。数据传输采用DRS或HTPS协议存储在硬盘加密或文件级别加密是主流的安全模型但是传统安全模型没有考虑数据使用时的安全。目前隐私计算技术为数据使用安全提供可能从而实现端到端全生命周期的数据安全。

1.3、数据安全与隐私保护技术

image.png

隐私计算包含很多技术。主要的技术联邦学习、同态加密、多方计算可信执行环境,还有其他的辅助技术,秘密共享安全信道零知识证明可信执行环境重要技术是基于硬件TEE机密计算。关于机密计算的定义有很多,包括学术界工业界厂商基于不同的角度定义不同。基于硬件的可信执行环境,执行计算保护使用数据的一种技术。最终目的是实现数据可用不可见隐私计算机密计算可信计算有什么区别呢?如图,可信计算更多偏TPM发展脉络认为,机密计算第一个阶段是从可信计算引起,把可信计算认为机密计算的前身。隐私计算不是一种技术是面向隐私信息全生命周期保护的计算理论和方法。机密计算是其中的一种解决方案。

1.4机密计算发展现状

image.png

机密计算每年都达到了数据安全曲线。但是它还处在萌芽期,技术快速发展阶段。他主要解决三个问题一个是数据孤岛共享问题流通第二个是数据安全与隐私泄露风险。最后实现社会经济价值的释放。它的缺点是使用不方便。第一个是跨平台硬件兼容的问题,每家芯片厂商制作出来的机密计算的时间方式是不一样的不同的平台导致,它很难用。第二个是构建统一的框架和大规模落地,现在落地场景很少,都是隐私计算场景,真正的大规模落地还是很远的。软硬件支持方面,硬件有了,但是软件需要改造。

1.5隐私计算国内发展情况

image.png

国内主要从多方安全计算可行执行环境联邦学习联邦学习进行隐私数据分析可信知环境比较少,要有机密计算硬件,但采购成本很高,很多时候客户不愿意买新的设备。通过国内的隐私计算平台应用情况可以看出,研发阶段在下降实施阶段在上升。通过机密计算联盟预测,到26年机密计算的产业前景全球将达到540亿美元,国内的隐私计算机密计算进入到蓬勃发展阶段我国数据要素市场在26年时,居民隐私计算将达到500多亿元的规模。十三五期间增长速度会超过30%,预计在十四五期间将达到1700多亿元,大概80%的企业将会采用这种隐私计算技术。

1.6、机密计算已经成为各种CPU的共性需求

image.png

机密计算已经成为各种CPU共性需求,包括英特尔的SGX,有SDX1,SDX2是基于进程级的机密计算发展到虚拟机级VM、TDXARM从V8开始就集成了task twoV9有CCA技术,相当于是可信它基于虚拟机的CCA,AMD的SEV发展了几代SEV就是一步步的迭代,从开始只保护内存保护相应的保护内存即保护数据和代码但是一些catchche寄存器没有保护,保护只是加密没有对完整性进行校验,导致可以篡改因此进行了完整性访问控制支持远程证明功能。

2、KeyarchOS机密计算解决方案

image.png

KOSKeyarchOS的简写。机密计算解决方案中,KeyarchOS基于不同的处理器制造了很多机密计算服务器,在服务器上安装KeyarchOS可以创建进程级容器及虚拟机级的可信执行环境来满足客户机密计算应用开发及机密计算解决方案的构建需求。为了让客户对机密计算应用修改可以装开源的Occlum。也可以直接用SGX的开发组件SDK进行手动开发,这样比较复杂。第二是进一步对用户容器级的可行执行环境它可以支持进程级虚拟机。它最重要的功能是驱动机密容器。最后是机密虚拟机级别的可信执行环境。在宿主机KOShypervisor,只要宿主机开启机密计算功能虚拟机开启的都是精密虚拟机这样应用就不需要修改了而相应的内存也是加密的。

image.png

浪潮服务器是具有机密计算功能NF5280M6是基于英特尔至强系列第三代可扩展的双路处理器最多支持1到2个CPU。最大支持的SGX能力是1TB,因为它两颗CPU,一颗型号最大支持512GB一颗cpu最小只支持4GB的内存装上KeyarchOS的驱动是4.18的话就能内置SGX驱动用户就可以直接使用。

3、机密计算应用案例

3.1、基于SGX的密钥管理系统

image.png

基于密钥管理系统做了很多机密计算应用案例。第一个是密钥管理系统它在各个场合都有使用,包括云计算存储系统还有个人的线下的私有云等。密钥安全是很重要的目标,密钥管理系统的用户管理、密钥管理密钥使用日志管理等功能放到机密计算环境中就可以实现密钥安全。这时可以有外置的硬件加密机。机密计算可以自己进行密钥派生功能,就可以把硬件加密去掉密钥机密计算最重要的工作是实现数据的机密性和完整性如果对性能没有要求就不需要外置加密机。

3.2、大数据AI场景下的机密计算应用

image.png

在大数据AI场景下的机密计算应用中,把英特尔的KPML开源组件集成到KR、AR、OSICKS和In said中其中ICKS容器的编排工具In said是大数据的编排工具,这四个工具一集成可以提供端到端的隐私计算解决方案。从而实现数据安全包括计算上、网络上、存储上都可以进行安全防护。

3.3、区块链场景下隐私计算应用探索

image.png

在区块链场景下的隐私计算中,传统的区块链联盟链更多采用PTFP共识算法。PTFP的通信节点是三阶段,至少有3F+1,通信的复杂度上,预准备阶段的复杂度是RN方。机密计算应用到PTFP中是1基于密钥派生在通信过程中共识的私钥不是在外产生的,无法获得私钥私钥是在机密计算环境中加上单件计数器软件可以使公时节点降为2F+1中期阶段减少到两阶段可以实现安全性吞吐量和效率之间的均衡。

另一个组件是智能合约。智能合约缺乏有效的隐私保护手段,更多人探索时都是采用多方或同态加密,它的实践比较复杂。将智能合约虚拟机运行在可见执循环中来确保隐私的安全。

最后是基于KOS的机密计算为AIDC赋能可信执行环境可以提供硬件级别的可控。支持多方联合训练在医疗场景政务分析场景还有大模型。最主要的是在微调和推理阶段提供数据和模型参数保护。由于机密计算受到计算性能、速度、内存大小的影响在训练阶段不建议放在CPU中。CPU中如果采用英特尔伟达H100,这种机密计算CPU可以在训练阶段放在机密计算环境中。


二、浪潮信息KeyarchOS机密计算解决方案

本次分享的主题是浪潮信息KeyarchOS机密计算解决方案,由浪潮信息KeyarchOS操作系统团队的张宇分享。

来源:浪潮信息KeyarchOS机密计算实践及解决方案|龙蜥大讲堂108期

课程链接:https://developer.aliyun.com/live/254037

更多学习内容可跳转阿里云培训中https://edu.aliyun.com/

  image.png

本次主题为浪潮信息的服务器操作系统KeyarchOS作为浪潮的战略性产品是非常重要的是一个非常独立的产品线。KeyarchOS的解决方案很多,今天分享和介绍一小部分。

image.png

今天分享三个议题。

议题一:账号信息的产品线

主要介绍产品线以及操作系统解决方案的产生背景原因。

议题二:解决方案。

这些解决方案结合了浪潮信息的优势和KeyarchOS的产品优势,形成了一个整体化的解决方案。

议题三:共建生态、共创未来

希望线上的合作伙伴能够加入浪潮信息KeyarchOS解决方案的生态

1.业内最全产品线

image.png

浪潮信息的产品线也是业内最全的产品线底层的硬件有各种各样的服务器有2路到32路还有全部服务器作用类型包括存储网络一体机,各种各样的上层的大数据平台都是浪潮信息各个产品线中的一部分。这也是浪潮的优势更是KeyarchOS解决方案的重点。

image.png

KeyarchOS诞生也是非常关键因为所有的硬件都需要操作系统,如果一个硬件不跑操作系统或做别的是不现实的。所以KeyarchOS要承担这个责任就要把浪潮信息内部所有的产品线所有的软硬件能力,都在操作系统上进行支撑。因此KeyarchOS浪潮信息内部最重要的角色。Centos现在已经停更了没有免费的Centos,至少8已经停更了,7可能马上就要停更了。以前的产品需要用操作系统的时候可能都是Centos,但是KeyarchOS必须做到能和Centos平滑替代,同时具备Centos兼容能力性能要求,这是诞生的使命。所有产品只要需要操作系统为底座,都以KeyarchOS进行替换硬件产品不是操作系统的强需求浪潮信息所有服务器硬件只要出货。除非客户有明确要求不装操作系统,都会以KeyarchOS作为预装去给客户提供。因为KeyarchOS有能力和自信能够给浪潮信息作为中国第一出货量的服务器提供上层操作系统有信心能够确保客户用到操作系统效率、兼容性、稳定性同时好。保证整体性、软硬协同性运维能力都能够提供给客户最好的服务。

image.png

KeyarchOS有各种各样软件和硬件能够同时提供所以各行各业都能以KeyarchOS为底座提供业务支撑。本次解决方案不局限于某一个行业或某一个领域

2. 解决方案简介

1KeyarchOS低延迟网络通信解决方案

image.png

金融行业操作系统是一个非常重要的环节操作系统一旦不稳定可能会带来很多问题。如券商行业要的就是性能在量化交易时,如果能比竞争对手第一数据包传输的快几微秒,就能够拿到第一手的买卖单信息。这个时候就能够快速的做量化交易时延性在量化交易领域是最关键的。KeyarchOS在整体调优情况下,海光的操作系统平台以及国产网卡进行了整体协同性的调优协同调优不只是操作系统层面调优。调优的是内核参数内核参数只是一小部分,包括硬件的调优,如biOS的各种参数,BMC,还有操作系统的内核参数都会做。

2全国产量化交易解决方案

image.png

通过各种各样的操作协同整体调优后达成的效果性能够提高40%以上。传统的硬件平台加基础的软件进行测试的时候,能够提升40%以上。

3)Centos操作系统迁移方案

image.png

Centos停更后,要做到Centos的平滑替代,挑战是比较大的,因为Centos太稳定太好了。KeyarchOS做到和centos一样好是基础。同时还要提供更好的服务借助龙溪的平台去建筑更稳的底座,同时还要提供一套迁移工具,让客户的业务更好的、更平滑的、更稳定的迁移到新的操作系统这样的挑战是非常大的。

image.png

基于四步走的可视化迁移。可视化迁移其实就是能够批量支持可视化。并且通过远程的shell,可以在web上连起shell,基于shell直接连到终端,去看迁移日志迁移成果等,这是迁移方案。

4智能化的运维方案

image.png

智能化的运维方案中,操作系统和硬件或软件运维是非常重要的。运维直接跑起来看一下系统数据CPU使用率那样是远远不够的。因为面临的集群,如工商银行或农行集群,一个集群就是几千个物理服务器的节点上面还要跑云这么多节点的情况下尤其是金融业务一旦出问题那就是崩溃致命的问题运维方面提供软件和硬件同时的运维能力。

5KeyarchOS软件工具大全

image.png

还提各种各样的运维工具。首先是一些基础的运维,包括各种调优安全转换等。只要运维中遇到问题就需要工具配合,工具永远是不够的。大规模运维场景的情况下,能够提供真正批量化大量的用户场景,我们有一套完整的软硬件一体化运维方案。以上是这个方案的简介

3.共建生态、共创未来

image.png

操作系统的解决方案不是技术难度有多难,更多的是面向业务面向客户面向场景。基于不同的场景需要有不同的合作伙伴包括硬件合作伙伴软件合作伙伴上层业务合作伙伴和分销需要搭建操作系统的解决方案平台更好的为客户提供服务。

现在的浪潮信息包括KeyarchOS在各个行业到各个云数字领域都有自己的合作伙伴以及解决方案期待大家能够和浪潮信息KeyarchOS携手共建一个解决方案生态,让龙溪的生态软硬件一体化的生态,能够做的更大更强从而更好的为客户提供服务。

目录
打赏
0
13
13
1
1006
分享
相关文章
龙蜥白皮书精选:机密计算平台技术
龙蜥社区为推动机密计算技术的应用,提供若干机密计算创新项目,目的是降低机密计算技术的使用门槛。
浪潮信息-龙蜥技术认证上线,培训专场圆满召开
龙蜥社区“人才培养计划”欢迎更多企业参与课程共建,助力行业发展。
浪潮信息分论坛回顾来啦!共商开源开放、赋能智算之道 | 2023 龙蜥操作系统大会
在龙蜥操作系统大会上,浪潮信息首次展示以云峦 KeyarchOS 为基础底座的系统软件全栈能力。
浪潮信息分论坛回顾来啦!共商开源开放、赋能智算之道 | 2023 龙蜥操作系统大会
创新奋进,共筑国产基础软硬件的美好未来 | 2023 龙蜥操作系统大会
从初心使命、贡献模式、建设成果、未来展望等四个方向分享龙芯中科在社区实践和思考。
创新奋进,共筑国产基础软硬件的美好未来 | 2023 龙蜥操作系统大会
议程剧透!产学研专家齐聚北京,共话 AI 驱动的智能化运维和可观测 | 2023龙蜥操作系统大会
信通院及产学研等多方联合,全面建设健康有序的运维生态。不容错过的专场,欢迎报名。
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等