机密计算的核心在于其能够在数据处理的各个环节中,将敏感信息隔离在安全的CPU区域内。这种隔离不仅通过加密签名验证硬件和固件的正确配置,还防止了未经授权的访问或篡改数据和应用代码。因此,机密计算不仅能保护正在使用的数据,还能确保数据和代码的隐私与完整性。
其工作原理主要包括三个关键步骤。首先,处理器会检查固件的正确性,确保在一个安全且可测量的启动环境下运行。其次,构建一个可信的执行环境(TEE),与用户应用程序系统的其余部分隔离。最后,应用程序将加密数据加载到TEE中,解密后执行程序,并对生成的数据进行再次加密后发送。这样,即使云服务器或计算机所有者也无法查看或修改用户的代码和数据。
机密计算的优势不仅体现在数据处理的即时保护上,还覆盖了数据的整个生命周期。传统的加密技术主要保护传输中和静态存储的数据,但在处理器或主内存中运行时,数据仍易受攻击。机密计算则填补了这一空白,确保数据在任何状态下都不会暴露。
随着云计算和边缘计算的普及,机密计算的重要性愈发凸显。它将保护重点从用户自有的计算机转向了非托管设备上的数据安全。通过机密计算,云服务提供商无法读取或修改用户分配的内存中的数据,从而极大地提升了数据安全性。
在实际应用中,机密计算已展现出广泛的潜力。例如,医院可以利用联邦学习安全地共享临床知识,金融机构可以合作开展反洗钱工作,个人在边缘设备上保护个人信息,软件供应商在保护知识产权的同时交付产品。
机密计算的发展也日新月异。AMD的SEV-SNP技术扩展了CPU级别的保护范围,英伟达的Hopper架构GPU则为VM式机密计算提供了强大的加速支持。这些进步不仅推动了机密计算技术的成熟,也为未来的应用场景打开了更多可能性。
展望未来,随着对HPC性能和隐私保护需求的不断增长,机密计算将成为不可或缺的隐私工具。行业标准和指南的逐步完善,将进一步推动机密计算在各个领域的广泛应用,确保数据安全与隐私的双重保障。在HPC应用中,数据隐私是一个重要关注问题。在计算模型训练过程中,特别是在联邦学习等分布式学习场景中,云数据可能分布在不同的地方,包括用户设备、边缘服务器和云服务。机密计算是为HPC开发中的安全和隐私保护提供基础的不二选择。 什么是机密计算? 机密计算是一种云计算技术,可在处理过程中将敏感数据存储在隔离的CPU区域中。该安全网络空间经过加密签名的演示,证明硬件和固件已正确配置,以防止未经授权的访问或更改其数据或应用程序代码。因此,机密计算可以保护正在使用的数据,同时保障数据和代码的隐私和完整性。 机密计算如何工作? 在应用程序处理数据之前,数据必须在内存中解密。因此,云数据在整个数据生命周期中都容易受到攻击。幸运的是,机密计算将采取以下主要步骤来避免这一危机: 1.检查固件:处理器检查固件的正确性,确保芯片可以在安全、可测量的启动环境下开始运行。 2.构建TEE:处理器建立一个可信的执行环境(TEE),该环境与运行用户应用程序系统的其余部分隔离。 3.接收和发送数据:应用程序将加密数据加载到TEE中,对其进行解密,执行用户的程序,对生成的数据进行加密,然后发送。 因此,云服务器或计算机所有者无法检查或修改用户的代码或数据。
机密计算如何尽可能地保护数据?
机密计算可在整个生命周期内保护数据
长期以来,计算机系统一直使用加密技术来保护通过网络传输的数据以及静态存储在驱动器或非易失性存储芯片上的数据。然而,缺乏对加密数据执行可行的计算方法给用户带来了巨大的风险,可能会使他们的数据在处理器或主内存中运行时受到未经授权的访问、更改或盗窃。
机密计算允许系统覆盖数据生命周期的三个方面,确保云数据永远不会被暴露。
机密计算优先考虑云提供商的数据保护
传统上,计算机安全主要侧重于保护用户拥有的计算机上的数据。在这种情况下,系统软件访问用户的数据和代码是可以接受的。
随着云计算和边缘计算的兴起,越来越多的客户选择在非托管的设备上运行工作负载。因此,机密计算将重点转移到保护用户数据免受任何控制系统的人的攻击上。使用机密计算,工作仍由在云或边缘计算机上运行的软件进行管理。但是,它无法读取或修改用户分配的内存中的数据。
机密计算使用案例
机密计算促进了不同组织之间的数据共享,支持以前具有挑战性或不切实际的使用案例,并使广泛的企业受益。主要案例如下:
专业临床知识共享:医院现在可以安全地使用联邦学习,这使他们能够将来自世界各地的专业临床知识汇集到一个单一的计算模型中。
交易数据共享:金融机构可以通过建立一个治理网络来共享交易数据,从而合作开展反洗钱工作。
边缘个人信息保护:网络边缘上的每个人都可以在可以物理访问计算机的地方保护个人信息。
知识产权保护:软件供应商可以在保护其知识产权的同时交付包含计算模型和专有算法的商品。
机密计算是如何发展的?
机密计算已经从一个概念性的想法演变成一个具体的技术框架。这种演变将机密计算推向了网络安全的关键组成部分,为云和边缘环境中的敏感数据提供了增强的保护。以下两个事件展示了机密计算的快速发展:
AMD推出的SEV-SNP
在CPU级别,AMD推出了具有安全嵌套分页(SEV-SNP)的安全加密虚拟化。这一发展扩大了英特尔(Intel)SGX中的进程级保护,包括完整的虚拟机,使客户能够无缝地采用保密计算而无需进行程序重写。
VM式机密计算
在GPU级别,英伟达(NVIDIA)的Hopper架构GPU将为VM式机密计算提供GPU加速。H100 Tensor Core GPU为各种高性能计算应用程序提供机密计算,为这些安全服务的消费者提供更快的处理能力。
机密计算的未来
随着对HPC功能和加强隐私措施的需求不断增长,利用当代隐私工具包中的所有组件对于成功至关重要。行业指南和标准将出现并逐渐涵盖机密计算的各个方面。尽管保密计算是隐私工具中相对较新的一种,但其强大能力可以在保护代码和数据的同时确保机密性,具有重要意义。汇鑫科服隶属于北京通忆汇鑫科技有限公司, 成立于2007年,是一家互联网+、物联网、人工智能、大数据技术应用公司,专注于楼宇提供智能化产品与服务。致力服务写字楼内发展中的中小企业 ,2009年首创楼宇通信BOO模式,以驻地网运营模式为楼宇提供配套运营服务;汇鑫科服始终以客户管理效率为导向,一站式 ICT服务平台,提升写字楼办公场景的办公效率和体验;
