写点什么

全球科技巨头扎堆的机密计算,迎来了中国“黑马”

  • 2024-10-25
    北京
  • 本文字数:3945 字

    阅读完需:约 13 分钟

全球科技巨头扎堆的机密计算,迎来了中国“黑马”

当今数字经济时代,数据已成为新的“石油”。然而,如何在利用数据的同时,保障其安全和隐私,始终是业界关注的焦点。随着数据上云的趋势加速,数据在使用(计算)过程中的安全性挑战日益凸显。

数据安全挑战与机密计算的崛起


在数据上云的时代,越来越多的企业和个人将数据存储和处理迁移到云端。然而,数据在使用(计算)过程中的安全性一直是个挑战。传统的数据安全主要关注数据在存储和传输过程中的保护,通过加密技术已经取得了较好的效果。但当数据被解密后在内存和 CPU 中处理时,如何确保其不被窃取或滥用,成为了新的焦点。


机密计算正是为了解决这一问题而诞生的技术,它利用可信执行环境(TEE),通过硬件隔离和可信验证机制,确保敏感数据在 CPU 和内存使用过程中的机密性和完整性。


2022 年 IEEE 的技术预测评选了 16 项将在未来几年(短期)产生重大影响的技术,机密计算技术作为唯一的安全技术入选其中。业界认为,机密计算有望成为 AI 计算的基础设施之一。


近些年,全球主流的云服务商和芯片厂商如亚马逊、谷歌、微软、Intel、AMD 等,纷纷布局机密计算领域,推出了各自的 TEE 方案。例如,亚马逊 AWS 推出了基于 Nitro Enclaves 的机密计算服务;微软 Azure 提供了基于 Intel SGX 和 AMD SEV 的机密计算实例;英特尔的 SGX 技术和 AMD 的 SEV 技术成为许多云服务商的基础。这一趋势背后,是数据上云带来的安全需求,以及对数据隐私保护的日益重视。


在此背景下,10 月 22 日,中关村实验室、蚂蚁集团、北京大学、南方科技大学等多家产学研机构联合发布了聚焦安全可信底层技术的开源系统软件栈——星绽(Asterinas)。其中,作为星绽旗下的重要项目,星绽机密计算有望成为数据安全领域的一匹“黑马”。

星绽机密计算:自主可控的全栈式方案


蚂蚁集团副总裁兼首席技术安全官、蚂蚁密算科技董事长韦韬指出,之前机密计算在国内没有真正做起来,是因为它的可信根在 CPU 里面,而国外厂商的可信根无法在国内建立。他说:“如何能够通过软件层面把它打通,让它成为各个国家能够被行业信任的可信根,是此前大家觉得做不到的事情,我们是做了非常多的技术工作才把它建立起来。”


据悉,星绽机密计算方案通过引入国内自主的可信模块(TCM),将信任根从 CPU 厂商解耦,实现了真正的自主可控。


在发布会上,蚂蚁密算科技 CTO 闫守孟详细介绍了星绽机密计算的技术架构:“星绽机密计算是面向机密计算场景的一套全栈式系统软件栈。从底层的可信执行环境 HyperEnclave,到中间的轻量级 TEE 库操作系统 Occlum,再到上层的可信数据流通和计算框架 TrustFlow,形成了完整的密态计算解决方案。”


以下是星绽机密计算的三大核心组件:

  • HyperEnclave:一个跨平台的可信执行环境(TEE)技术,支持国内外主流 CPU 硬件平台。其独特之处在于:

    信任根可以托管于国家权威机构(如中国金融认证中心 CFCA),将信任根从 CPU 厂商解耦,实现自主可控。

    采用虚拟化技术实现 TEE 和常规执行环境(REE)的隔离,并支持内存加密等安全特性。

  • Occlum:一款轻量级 TEE 库操作系统,也是全球首个由中国公司发起并进入国际机密计算联盟(CCC)的开源项目。

    采用内存安全语言 Rust 开发,提供了更高的安全性。

    兼容 Linux 生态,使得应用程序无需修改或仅需少量修改即可在 TEE 环境中运行。

    减少与外部交互的接口,缓解侧信道攻击。

  • TrustFlow:一个可信的数据流通和计算框架。

    确保数据在流转过程中的隐私性和安全性,提供丰富的开箱即用应用。

    支持大模型、机器学习、数据分析等多种场景,使得密态计算能够适用于广泛的业务需求。


闫守孟强调,这三大组件相互协作,形成了从底层到上层的完整密态计算框架,为数据的安全可信流通提供了全方位的技术支撑。


蚂蚁集团机密计算总监刘双在受访时表示,星绽机密计算的使命是将通用计算和智能计算升级为密态计算,降低使用门槛和成本。他强调,机密计算的核心在于自证清白,即通过技术手段,平台可以向用户证明数据在计算过程中是安全的,没有被窃取或滥用。

从冷板凳到聚光灯,机密计算的市场机遇

谈及星绽机密计算项目的研发历程,刘双坦言,机密计算领域的技术门槛极高,需要深入理解硬件、系统、安全等多方面知识。最初,团队在没有现成经验的情况下,从零开始研发,困难重重。


“当时业务场景尚不明确,很多人不理解我们在做什么,”刘双回忆道。从一开始摸着石头过河,坐了很长时间的“冷板凳”,但团队始终坚信这项技术能够成功,相信它的价值和前景。


事实上也是如此。市场需求在不断上升,数据流通成为大势所趋。国家数据局局长刘烈宏曾明确指出,数据需要“供得出、流得动、用得好、保安全”。在这样的背景下,能够保障数据在流通过程中安全和隐私的机密计算技术,正迎来前所未有的机遇。


刘双也提到,近年来,市场对机密计算的接受度正迅速提升,越来越多的业务方主动了解机密计算,询问技术进展,寻求合作。此外,业务场景的落地进度也在加速。“最初,我们向业务方介绍机密计算时,他们并不了解,也缺乏相关的业务场景。但随着我们不断地进行概念验证(POC),机密计算在性能、兼容性和改造成本上展现出明显的优势。”


从最初的无人问津,到现在的门庭若市,机密计算的市场机遇已经显现。过去,星绽机密计算接触的业务方可能需要一年时间完成 POC,然后项目就处于搁置状态。但在最近两年,POC 的完成时间缩短到了三个月,半年内即可落地,产生显著的业务效果。

开源与商业化双轮驱动


为进一步推动机密计算技术的普及,蚂蚁集团选择了开源和商业化双轮驱动的战略。

开源战略:“自证清白”,共建生态


于蚂蚁而言,开源一直是关键的战略选择。据悉,星绽机密计算的三个核心组件最初是各自独立的开源项目。“一开始,我们的项目是分散的,每个组件都有自己独特的生态系统。后来,我们意识到将它们整合起来,形成一个完整的机密计算生态,会发挥更大的作用。”刘双说道。


为了实现这一目标,如今蚂蚁将这些组件进行了整合,构成更加完整的机密计算生态系统,增强整体的效能。


至于星绽机密计算项目选择开源的初衷和意义,一方面如前文所述,为了“自证清白”,将全部软件栈开源后,用户就可以审查、编译和部署,亲自验证软件的安全性。


另一方面,开源也降低了技术门槛,使更多的开发者和企业能够了解并使用机密计算,共同构建机密计算的社区。刘双表示,他们相信,只有开放合作,才能真正推动机密计算技术的普及和发展。


除了开源生态上的合作,与云计算厂商的合作也是生态建设的重要一环。韦韬在被问及与云计算厂商的关系时解释道:“密算生态在总体上跟云厂商有一个分工,云厂商提供算力 IaaS 基础设施,我们密算主要是做 PaaS 层,提供基于技术信任的通用密态计算服务层,各个行业服务在做 SaaS 层。即 SaaS 是贴近业务的,我们提供通用的运算能力,云提供算力基础设施,是这样一个结合。”


他强调,密态计算因为数据一定是跨主体、跨行业、跨地区、跨流动的,它一定不是一家云厂商的问题。数据可信流通本质上是应该跨云的,整个信任应该基于技术的,而不是基于对运营者的。因此,密态计算从业者和云厂商是很好配合的关系。

商业化应用:赋能产业,创造价值


在开源的基础上,蚂蚁也在积极探索星绽机密计算的商业化路径,以满足不同行业和企业的实际需求。


今年,蚂蚁集团成立了“浙江蚂蚁密算科技有限公司”,推出了“隐语云”商业化产品系列,包括大数据密算平台和大模型密算平台,主要是为企业提供即开即用的机密计算服务,降低使用门槛,加速技术落地。


通过商业化,星绽机密计算得以赋能更多的产业应用。例如,在金融领域,帮助银行和金融机构实现数据安全共享和联合分析;在医疗领域,支持多方医学数据的安全协同研究;在政务领域,保障敏感数据的安全处理和流转。


其中,与网商银行和农业农村部大数据发展中心的合作,就是机密计算技术成功应用的典型案例。


2022 年底,农业农村部大数据发展中心与网商银行达成合作,在蚂蚁集团机密计算技术的支持下,推出了“农户秒贷”服务。通过引入农业大数据和卫星遥感风控系统,为小农户提供“秒贷秒批、随借随还”的普惠金融服务,超 600 万农户获得贷款额度。


为了保障数据安全,双方引入蚂蚁集团的机密计算技术,搭建了一个安全的“智能大脑”。用户的数据受到两重保护:

  • 第一层是专有一体机坚固的外层,相当于真实的保险柜。

  • 第二层是机密计算技术,利用密码学手段将多源数据加密,保障原始数据不泄露的情况下,在可信执行环境(TEE)中安全的被融合,分析与使用。


通过这种方式,实现了“数据不出域,可用不可见”,在保护数据隐私的同时,充分发挥数据价值。该项目还入选了国家数据局首批“数据要素×”典型金融案例。截至今年 5 月,已有超过 600 万农户获得贷款额度,其中约 80% 的农户种植面积不到 10 亩。除金融领域外,机密计算在交通、保险等多个行业也有广泛的应用前景。


韦韬举例,在新能源车的车险领域,新能源车的保险赔付率一度高达 108%。通过密态计算技术,保险公司可以在保护用户隐私的前提下,获取车辆驾驶数据,评估风险,降低保险费用。


他表示:“安全保障数据能够供给出来,便能够推动数据做有效融合。现在头部的保险公司全部参与进来,非常快地做规模化的扩展。这件事情我们用密态计算来做,由于是基于技术信任的,不依赖于运营主体,这样很快就能在全国范围推广,甚至在全球范围推广。”

写在最后


在数字经济时代,数据的价值不可估量,而其安全和隐私保护也变得至关重要。机密计算作为解决数据使用过程中安全挑战的关键技术,正迎来前所未有的发展机遇。


正如韦韬所言:“当真正地解决好安全问题以后,大家非常乐意把数据供给出来,真正把数据价值验证好以后,数据流通是水到渠成的事情。”


同样地,一旦我们看到机密计算的价值,便可期待星绽机密计算能为数据安全建立更牢的防线,赋能更多产业,实现数据要素的价值最大化。

2024-10-25 17:528144

评论

发布
暂无评论

2022世界互联网大会 | VoneCredit为中小企业纾困解忧

旺链科技

区块链 产业区块链 世界互联网大会 企业号十月PK榜

字节跳动开源数据集成引擎BitSail的演进历程与能力解析

字节跳动数据平台

数据库 开源 数据开发 数据集成 企业号十月 PK 榜

分布式锁实战:基于Zookeeper的实现

小小怪下士

Java zookeeper 分布式

扒官方文档学Ts类型编程(二)

GFE

typescript 前端

3层结构+7大特点,带你认识华为云IoTEdge

华为云开发者联盟

云计算 物联网 华为云 企业号十月 PK 榜

NFTScan 与 Bitizen 钱包达成战略合作,双方将在 NFT 数据层面进行深度合作

NFT Research

NFT 数据基础设施

图数据 3D 可视化在 Explorer 中的应用

NebulaGraph

可视化 图数据库 3D

EMQ《物联网平台大规模数据接入和处理性能评测方法》成功入选“可信边缘计算推进计划”

EMQ映云科技

物联网 IoT 边缘计算 边云协同 11月月更

Go语言躲坑经验总结

百度Geek说

Go 企业号十月 PK 榜

三位技术大咖的「研发效能」实践干货

万事ONES

研发效能 课程笔记

详解AQS中的condition源码原理

华为云开发者联盟

开发 华为云 企业号十月 PK 榜

【重磅】Serverless Devs 进入 CNCF 沙箱,成首个入选的 Serverless 工具项目!

阿里巴巴云原生

阿里云 Serverless 云原生

NGINX Sprint 年度线上会议:报名通道已开启,立即预定您的 NGINX 深潜之旅

NGINX开源社区

nginx

堡垒机按什么收费?大概多少钱?有一个标准吗?

行云管家

网络安全 堡垒机 IT安全

【愚公系列】2022年11月 Go教学课程 040-字符串处理

愚公搬代码

11月月更

软件测试面试真题 | 面试时被问到知识盲区,该怎么办呢?

测试人

软件测试 面试题 测试开发

详解 Serverless 架构的 6 大应用场景

阿里巴巴云原生

阿里云 Serverless 云原生

7k字,12张图,从零到一带你详解Redis

Java永远的神

数据库 nosql redis 程序员 面试

「文本检测与识别白皮书-3.2」第三节:常用的文本识别模型

合合技术团队

人工智能 机器学习 深度学习 模型 文字识别

软件测试面试真题 | 说一下常用的控件定位方法

测试人

软件测试 面试题 web测试 元素定位

量化合约对冲挖矿app软件开发案例(支持测试)

开发微hkkf5566

网络爬虫技术及应用

郑州埃文科技

网络安全 IP地址资源 爬虫技术

扒官方文档学Ts类型编程

GFE

typescript 前端

IM消息ID技术专题(七):网易严选分布式ID的技术选型、优化、落地实践

JackJiang

网络编程 即时通讯 IM 开源im

平均110万个漏洞被积压,企业漏洞管理状况堪忧

SEAL安全

DevSecOps 漏洞修复 软件供应链安全 漏洞管理 漏洞优先级匹配

云转售是什么意思?哪家好?理由是什么?

行云管家

云计算 企业上云 云资源 云转售

python小知识-classmethod类方法

AIWeker

Python 人工智能 python小知识 11月月更

Go语言入门12—异常

良猿

Go golang 后端 11月月更

SOFARegistry | 大规模集群优化实践

SOFAStack

开源 SOFA SOFARegistry'

拥抱“大信创”浪潮,优博讯开启成长新曲线

Geek_2d6073

Spring Boot「22」使用 Hibernate & JPA 持久化 Java 对象

Samson

Java hibernate Spring Boot 学习笔记 11月月更

全球科技巨头扎堆的机密计算,迎来了中国“黑马”_云安全_罗燕珊_InfoQ精选文章