冲量网络 | 浅谈SGX
随着互联网的发展愈来愈快,也愈来愈完善,咱们一方面享受着互联网科技带来的便利,另外一方面, 由网络和信息系统构成的网络空间也面临着日益严峻的安全问题。web
所以因特尔推出了他们的可信硬件安全技术SGX,其不依赖于软件和整个固件的安全状况,经过隔离出一块可信执行环境,其能够在彻底安全的状况下,保护用户关键代码和数据的机密性与完整性不受恶意软件的破坏。算法
SGX(Software Guard Extensions)在原有架构上增长了一组新的指令集和内存访问机制,其是一组CPU指令,能够隔离代码和数据,并造成一块特定的可信区域,保护敏感数据和代码免受外部干扰和篡改。安全
SGX也是可信执行环境TEE的解决方案之一,使用SGX构建可信执行环境,使得在其中受保护代码在应用程序内生成签名,并进行身份验证。其将建立一个“容器”,在应用程序的地址空间中划分出一块被保护的区域, 为容器内的代码和数据提供机密性和完整性的保护, 免受拥有特殊权限的恶意软件的破坏。网络
SGX的实现须要处理器、内存管理部件、BIOS、驱动程序、运行时环境等软硬件协同完成.除了提供内存隔离与保护安全属性。架构
Enclave则是SGX最关键的技术,能够理解为一个盒子,在运行过程当中,只能外部读取,当权限拥有者从外部写入后,非权限拥有者便没法对其更改,所以加载到enclave中去的代码和数据必须被检查。并发
当应用程序须要保护的部分加载到enclave后,,SGX保护它们不被外部软件所访问。Enclave能够向远程认证者证实本身的身份,并提供必需的功能结构用于安全地提供密钥.用户也能够请求独有的密钥,这个密钥经过结合enclave身份和平台的身份作到独一无二,能够用来保护存储在enclave以外的密钥或数据。分布式
而在实际应用中,应用程序在建立一个enclave时,将会进行页面分配、复制程序代码与数据和度量操做,建立过程的最后一步须要对enclave的完整性进行验证,判断在建立过程当中是否被篡改了程序数据,如分配了多余的页、将恶意代码复制进来,或是篡改了复制的数据等。svg
-
受权限制:须要保护的敏感数据除非有更高的权限,不然没法对敏感数据和代码修改工具
-
功能保留:装入“容器”不会中断这些资源被合法程序和系统调度、使用和管理的能力性能
-
兼容性:可信应用程序的开发过程当中可以使用原来的工具和流程
-
扩展性:可信应用程序的性能可以随着处理器的能力加强而获得扩展
-
迭代保留:依然保留更新可信应用程序的能力
-
安全:即便外部硬件全被控制或者对内存的直接攻击的状况下,也能够有效抵御防护。
SGX有两种身份验证方式,一种是enclave间的认证,其能够验证本身和enclave是否还在同一个平台上,而另外一种则是不一样平台之间的认证,通常都采用远程的方式。
当enclave向平台上其余enclave报告身份时, 先获取当前的enclave的身份信息、属性和平台硬件信息,并将建立一个报告结构。接着,其将获取目标enclave的报告密钥,并加入本身的签名(标签),并发给目标enclave。最后,目标enclave验证请求报告身份的enclave跟本身是否运行于同一平台。
远程验证中,因为同一平台enclave之间的验证通常使用的是对称密钥,不适用于远程认证,因此,在远程认证中通常会采用非对称加密,由enclave建立平台认证的签名密钥,这个密钥不只表明平台,还表明着底层硬件的可信度,而且绑定处理器固件的版本,当enclave系统运行时, 只有enclave才能访问到对应密钥。
SGX在云安全、可信计算等领域拥有着普遍的引用,其将为云计算环境下的可信环境提供基础技术,例如在不一样行业的云协做中,借助SGX技术,双方便不用再担忧相关的数据泄露及数据被篡改的危险。
而在大数据领域,因为大数据计算一般会租用公共计算设施,,如公有云系统,而再同态加密或者多方安全计算中,效率和实现成本每每不尽如人意,而基于SGX技术构建大数据安全可信计算环境即可以确保数据在计算和存储中的安全,并能最大限度地增长效率和下降成本。
在将来,冲量网络将借助SGX技术建设全球最大规模的可信计算网络,网路提供了大量支持可信执行环境(TEE)技术的算力节点,提供Intel SGX的可信算力服务。
冲量网络经过TEE技术将可信与不可信的区域进行隔离,利用包括Intel SGX在内的TEE,安全地将云用户的数据和代码执行隔离、加密起来,即便云计算环境里的操做系统、虚拟机管理器(VMM)、或相邻的其余虚拟机被攻破或做恶,这些数据代码的完整性和保密性都能获得保障。
冲量网络将经过SGX技术创建起安全硬件TEE资源集群,其将从硬件、软件、算法、共识等多维度保障了安全。将安全传输通道覆盖到全网络,并经过SGX硬件打造完善链上链下的计算能力。
冲量网络隶属于上海冲量网络科技有限公司,致力于打造全球区块链可信计算网络,为商业场景提供可信计算、安全存储和区块链网络解决方案和PaaS服务。冲量网络经过汇聚多样化的可信计算资源创建全球最大的可信算力网络,支持企业、政务大数据中心的数据联合计算、联合建模、区块链外可信存储、可信供应链金融、可信跨链服务等场景的分布式计算。同时,冲量网络为企业提供一系列的基于区块链+X技术的产品和解决方案,打造下一代的分布式可信计算平台,支持区块链的边界无限扩展,是Web3.0时代的重要基础设施。
详见:www.impulse.top