安全屋—数据可信流通平台2018ThinkinCloud·Beijing夏虞斌·上海交通大学副教授START数据的汇集产生更大的价值1+1>22安全是云计算面临的首要挑战IDC-20083安全依然是云计算面临的主要问题IDC-20174"Recentlyenterprisesareincreasinglybecomingthetargetsofhackersasthedigitaltransformationbooststheirdigitalassetvalue,makingsecurityamajorconcernforpubliccloudservicetenants.
"https://www.
idc.
com/getdoc.
jspcontainerId=prCHE43003117云是否一定需要用户数据明文5云存储:Dropbox、百度盘等用户将加密后的数据发送至云服务商保存大数据分析、数据训练等对数据进行运算时,必须在内存中解密数不需要明文的例子需要明文的例子如何降低对云的安全依赖6依赖-1:所有管理员均为可信依赖-2:攻击者无法接触硬件设备依赖-3:云端的软件设计均为安全依赖-4:云端的硬件设备均为安全依赖-5:云端的CPU是安全的安全CPU7降低对云提供商的信任依赖不信任内存、硬盘、网卡等外部设备只信任安全处理器,可抵御物理攻击服务器无需数据明文,依然可管理资源CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2传统系统基于安全处理器的系统软件硬件可信不可信TEE8CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2可信执行环境(TrustedExecutionEnvironment)基于CPU硬件安全扩展,且与外部完全隔离的执行环境通过远程认证进行身份识别,获取运行Key后加密执行软硬件结合的安全增强方案,抵御各类侧信道攻击TEE+安全屋9最小化对云端安全屋的信任依赖数据拥有方、算法提供方、结果使用方、计算提供方算法在TEE中完成对数据的访问与运算,明文不外泄上传登录获取统一安全防护数据拥有方结果使用方算法提供方数据管理结果存储安全屋计算环境审计模块TEE+区块链+安全屋10分布式的可信数据运算公有链平台的私有智能合约智能合约通过TEE保护执行基于硬件保护合约代码和数据可直接对接以太坊ShadowEth:PrivateSmartContractonPublicBlockchains,[JCST-18]数据拥有方结果使用方算法提供方数据加密存储算法加密存储数据地址算法地址合约上链获取合约地址获取数据算法结果加密计算方安全加密存储(无信任依赖)TBC:负责合约与交易上链公开上链上链公开四大特点11计算可扩展数据强安全任务可迁移全球任何计算节点均可接入计算框架信任去中心单一信任模型→分布式信任模型计算节点无法泄露计算数据TEE中运行计算可无缝在线迁移IntelSGX(SoftwareGuardExtensions)简介2018ThinkinCloud·Beijing王立刚Intel中国首席平台安全架构师STARTIntelSGX:面向所有开发者的应用级TEE13SGX为程序的敏感代码和数据提供了安全空间需要一个保险箱及相关防护恶意程序OSOS攻击目标程序保护模式不良代码攻击OKIntel硬件构成了SGX的底层基础SGX程序被分为了两部分:可信部分和不可信部分可信部分受加密内存保护恶意代码不能访问目标程序的敏感数据敏感数据受SGXenclave保护CPU封装CoresCacheSystemMemoryAMEX:3234-134584-26864SnoopSnoopJco3lks937weu0cwejpoi9987v80weIntelSGX:面向所有开发者的应用级TEE14IntelSGX使应用程序可以创建自己的TEE,并且决定把哪些代码和数据放入TEE保护,给与了应用开发者对应用安全直接的控制.
把可信计算基(TrustedComputingBase)减小到最小,从而把受攻击风险降到最低防止软件攻击,即使OS/drivers/BIOS/VMM/SMM层面已被攻破即使攻击者控制了整个系统,敏感数据依然受到保护防止内存总线监听、篡改、和冷启动攻击提供基于硬件的程序认证在主CPU上运行,充分利用Intel处理器的性能优势SGX应用开发与执行15Enclave.
objFileConfigInfo(metadata)SGXSignatureStructureSigningkey,ProdID,VersionIDConstructEnclaveImageMeasureEnclaveImageRSASignEnclaveDLL/so非可信部分SGX应用程序数据代码可信部分特权系统代码,OS,VMM,BIOS,SMM,…非可信部分可信部分(Enclave)创建Enclave调用可信接口函数执行返回(etc.
)可信接口SSN:999-84-2611m8U3bcV#zP49Q应用程序应用程序被分为可信和非可信两部分App程序首先进入非可信部分,创建enclave即可信部分,可信部分位于加密内存可信接口函数被调用;Enclave内的数据,Enclave内代码看到的是原文,而Enclave外对它的访问是禁止的函数返回;Enclave数据仍在加密内存中SGX在云/服务器端应用16云计算SSL服务器保护Per-host密钥管理Map/Reduce加固敏感大数据分析的隐私隔离电信Per-hostkey密钥管理NFV环境中保护管理白名单企业加密数据库操作,保护内存常驻数据和查询SSL服务器保护Per-host密钥管理敏感大数据分析的隐私隔离提供对嵌入式应用和设备的防篡改解决方案$成本安全性SWSGXHSM范例:SGXHSM纯硬件HSM价格昂贵,不适合扩大规模;基于SGX的方案降低成本、创造新商机专长:皮肤科数据样本:30000专长:肺科数据样本:20000专长:脑科数据样本:10000敏感数据是否会泄露是否违反隐私法规隐私数据分析处理SGX历史回顾及未来展望17项目起始于Intel研究院SGX1.
0:‐基于硬件的TEE‐Sealeddata‐远程认证IntelCore/Pentium/CeleronXeonE3v5SkyLakefamily(2015)IntelCoreKabyLakefamily(2016)IntelXeonE3v6Pentium/CeleronKabyLakefamily(2017)IntelClient&XeonE3/E5/E7(future)~10yearsago每一代都会带来安全特性的升级SGX1.
5/2.
0/…:‐Enclave动态内存管理‐更大的EPC‐灵活的程序启动控制‐4路处理器支持‐…优化支持‐更多操作系统‐可信库优化支持:‐多线程编程‐异常处理‐SDKENDTHANKS
新网好不好?新网域名便宜吗?新网怎么样?新网是国内老牌知名域名注册商,企业正规化运营,资质齐全,与阿里云万网和腾讯云DNSPOD同为国内服务商巨头。近日新网发布了最新的七月放价季优惠活动,主要针对域名、云主机、企业邮箱、SSL证书等多款云产品推送了超值的优惠,其中.com顶级域名仅19.9元/首年,.cn域名仅16元/首年,云主机1核心2G内存3Mbps带宽仅9.9元/月,企业邮箱更是免费送1年,...
zji怎么样?zji最近新上韩国BGP+CN2线路服务器,国内三网访问速度优秀,适用8折优惠码zji,优惠后韩国服务器最低每月440元起。zji主机支持安装Linux或者Windows操作系统,会员中心集成电源管理功能,8折优惠码为终身折扣,续费同价,全场适用。ZJI是原Wordpress圈知名主机商:维翔主机,成立于2011年,2018年9月启用新域名ZJI,提供中国香港、台湾、日本、美国独立服...
青果云香港CN2_GIA主机测评青果云香港多线BGP网络,接入电信CN2 GIA等优质链路,测试IP:45.251.136.1青果网络QG.NET是一家高效多云管理服务商,拥有工信部颁发的全网云计算/CDN/IDC/ISP/IP-VPN等多项资质,是CNNIC/APNIC联盟的成员之一。青果云香港CN2_GIA主机性能分享下面和大家分享下。官方网站:点击进入CPU内存系统盘数据盘宽带ip价格购买地...
百度攻击为你推荐
云主机租用云主机服务器租用费用怎么算美国vps服务器美国VPS服务器哪家的速度快域名注册网注册域名上哪个网站最好php虚拟空间普通网站需要多大空间?本人新手php学习者,想买个虚拟空间用来放自己做的一些企业站,只是练习用途asp网站空间说ASP空间是做网站的空间是啥意思?网站空间价格1M网站空间是多少钱100m虚拟主机100元虚拟主机100m虚拟主机100M虚拟主机有多大,能放多少东西新加坡虚拟主机新加坡虚拟主机无法访问,Godaddy回邮件说是域名的问题?域名停靠“域名停靠”怎么挣钱啊?
虚拟主机申请 免费域名注册网站 双线vps google电话 softlayer rak机房 美国主机代购 42u标准机柜尺寸 美国php空间 日本空间 php免费空间 华为4核 智能骨干网 工信部icp备案号 域名和空间 息壤代理 酷番云 网游服务器 免费私人服务器 视频服务器是什么 更多