随着通信、网络和计算技术的持续演进与广泛应用,数据资源的开放共享、交换流通成为推动“万物互联、智慧互通”的重要趋势。与此同时,近年来数据安全事件频发、数据安全威胁日趋严峻,数据的安全处理和流通受到了国内外监管部门的广泛重视。如何在保障安全的前提下最大程度发挥数据的价值,是当前面临的重要课题。
在日益严苛的隐私保护相关法律法规约束下,作为当前数据处理基础设施的云计算也正在经历一次重大的范式转换,即从默认以 CSP 为信任基础的计算范式走向信任链与 CSP 解耦的新范式。我们将此范式称为隐私保护云计算,而机密计算是实现隐私保护云计算的必由之路。
为拥抱隐私保护云计算新范式,促进隐私保护云计算生态发展,龙蜥社区成立了云原生机密计算(以下简称“CNCC”)SIG。
CNCC SIG 地址:https://openanolis.cn/sig/coco
CNCC SIG 愿景
CNCC SIG 致力于通过开源社区合作共建的方式,为业界提供开源和标准化的机密计算技术以及安全架构,推动云原生场景下机密计算技术的发展。工作组将围绕 SIG 下的核心项目构建云原生机密计算开源技术栈,降低机密计算的使用门槛,简化机密计算在云上的部署和应用步骤,拓展使用场景及方案,提升龙蜥社区的差异化竞争力。
CNCC SIG 的愿景是:
1)构建安全、易用的机密计算技术栈
2)适配各种常见机密计算硬件平台
3)打造典型云上机密计算产品和应用案例
CNCC SIG 成员介绍
Owners
段然、冯浩、汪少军、张佳
Maintainer
●段然(Occlum)
●冯浩(CSV 机密容器)
●郝世荣/杨亮(Inclavare Containers)
●汪少军(JavaEnclave)
●肖俊贤(KubeTEE Enclave Services)
项目介绍
1、CSV 机密容器
CSV 是海光研发的安全虚拟化技术。CSV1 实现了虚拟机内存加密能力,CSV2 增加了虚拟机状态加密机制,CSV3 进一步提供了虚拟机内存隔离支持。CSV 机密容器能够为用户提供虚拟机内存加密和虚拟机状态加密能力,主机无法解密获取虚拟机的加密内存和加密状态信息。CSV 虚拟机使用隔离的 TLB、Cache 等硬件资源,支持安全启动、代码验证、远程认证等功能。
2、Inclavare Containers
Inclavare Containers 是一种面向机密计算场景的开源 Intel SGX LibOS 容器运行时技术栈和安全架构。Inclavare Containers 把机密计算技术和容器技术完美地结合在一起,实现了第一个容器形态的机密计算解决方案。用户的敏感应用可以部署和运行在由 Inclavare Containers 创建的机密容器中,在保证安全的前提下,同时保持与普通容器一致的使用体感。目前 Inclavare Containers 已经是 CNCF 的 Sandbox 项目之一。
主页:https://inclavare-containers.io/
github官网:https://github.com/inclavare-containers/inclavare-containers
3、Intel SGX Platform Software and Datacenter Attestation Primitives
在龙蜥生态中为数据中心和云计算平台提供 Intel SGX 技术所需的平台软件服务,如远程证明等。
github 官网:https://github.com/intel/SGXDataCenterAttestationPrimitives
4、Intel SGX SDK
在龙蜥生态中为开发者提供使用 Intel SGX 技术所需的软件开发套件,帮助开发者高效便捷地开发机密计算程序和解决方案。
github 官网:https://github.com/intel/linux-sgx
5、JavaEnclave
JavaEnclave 是一个面向 Java 生态的机密计算编程模型,它继承了 Intel SGX SDK 所定义的 Host-Enclave 机密计算分割编程模型,提供 Pure Java 的机密计算应用开发界面,并致力于最小化 Enclave TCB 攻击面,同时支持多 TEE 平台兼容。基于该编程模型,帮助用户高效开发 Java 机密计算业务,提供极致安全的机密运行环境。(注:目前没有开源,还请关注龙蜥社区公众号不迷路,后续开源动态第一时间掌握)
6、KubeTEE Enclave Services
提供 TEE 有关的 Kubernetes 基础服务 (如集群规模的密钥分发和同步服务、集群远程证明服务等),使得用户可以方便地将集群中多台 TEE 机器当作一个更强大的 TEE 来使用。
github官网:https://github.com/SOFAEnclave/KubeTEE
7、Occlum
Occlum 是一个 TEE LibOS,是机密计算联盟(CCC, Confidential Computing Consortium)的官方开源项目。目前 Occlum 支持 Intel SGX 和 HyperEnclave 两种 TEE。Occlum 在 TEE 环境中提供了一个兼容 Linux 的运行环境,使得 Linux 下的应用可以不经修改就在 TEE 环境中运行。Occlum 在设计时将安全性作为最重要的设计指标,在提升用户开发效率的同时保证了应用的安全性。Occlum 极大地降低了程序员开发 TEE 安全应用的难度,提升了开发效率。
github官网:https://github.com/occlum/occlum
CNCC SIG 全年规划
1、CSV 机密容器
- Q2:CSV 机密容器方案支持 Anolis OS
- Q4:CSV2 机密容器方案支持 Anolis OS
2、Inclavare Containers机密容器
- Q2:Enclave-CC 完成 PoC
- Q4:实现 Enclave-CC 进程级机密容器方案(Occlum NGO + Inclavare Containers)
3、Intel SGX Platform Software and Datacenter Attestation Primitives
- Q3:完成 SGX PSW / DCAPK 软件栈对 Anolis OS 的支持
- Q4:正式在 Intel 软件仓库发布支持 Anolis OS 的 SGX PSW/DCAP 软件栈
4、Intel SGX SDK
- Q3:完成 SGX SDK 软件栈对 Anolis OS 的支持
- Q4:正式在 Intel 软件仓库发布支持 Anolis OS 的 SGX SDK 软件栈
5、JavaEnclave 编程模型
- Q2:JavaEnclave 机密计算项目开源
- Q3:兼容 TDX/CSV 机密容器形态 TEE 平台
- Q4:多语言支持(Python)
6、Occlum
- Q4:稳定 Rust-SGX-SDK 2.0.0 版本(TEE 侧全 Rust 语言实现)
- Q4:Rust-SGX-SDK 支持 Anolis OS
- Q4:Occlum NGO 支持 Enclave-CC 进程级机密容器
欢迎更多开发者或相关项目加入云原生机密计算 SIG:
网址: https://openanolis.cn/sig/coco
邮件列表: coco @lists.openanolis.cnIRC:OpenAnolis-SIG-CoCo
—— 完 ——
加入龙蜥社群
加入微信群:添加社区助理-龙蜥社区小龙(微信:openanolis_assis),备注【龙蜥】与你同在;加入钉钉群:扫描下方钉钉群二维码。欢迎开发者/用户加入龙蜥社区(OpenAnolis)交流,共同推进龙蜥社区的发展,一起打造一个活跃的、健康的开源操作系统生态!
关于龙蜥社区
龙蜥社区(OpenAnolis)由企事业单位、高等院校、科研单位、非营利性组织、个人等在自愿、平等、开源、协作的基础上组成的非盈利性开源社区。龙蜥社区成立于 2020 年 9 月,旨在构建一个开源、中立、开放的Linux 上游发行版社区及创新平台。
龙蜥社区成立的短期目标是开发龙蜥操作系统(Anolis OS)作为 CentOS 停服后的应对方案,构建一个兼容国际 Linux 主流厂商的社区发行版。中长期目标是探索打造一个面向未来的操作系统,建立统一的开源操作系统生态,孵化创新开源项目,繁荣开源生态。
目前,龙蜥OS 8.4已发布,支持 X86_64 、Arm64、LoongArch 架构,完善适配 Intel、兆芯、鲲鹏、龙芯等芯片,并提供全栈国密支持。
欢迎下载:https://openanolis.cn/download
加入我们,一起打造面向未来的开源操作系统!
