安全屋—数据可信流通平台2018ThinkinCloud·Beijing夏虞斌·上海交通大学副教授START数据的汇集产生更大的价值1+1>22安全是云计算面临的首要挑战IDC-20083安全依然是云计算面临的主要问题IDC-20174"Recentlyenterprisesareincreasinglybecomingthetargetsofhackersasthedigitaltransformationbooststheirdigitalassetvalue,makingsecurityamajorconcernforpubliccloudservicetenants.
"https://www.
idc.
com/getdoc.
jspcontainerId=prCHE43003117云是否一定需要用户数据明文5云存储:Dropbox、百度盘等用户将加密后的数据发送至云服务商保存大数据分析、数据训练等对数据进行运算时,必须在内存中解密数不需要明文的例子需要明文的例子如何降低对云的安全依赖6依赖-1:所有管理员均为可信依赖-2:攻击者无法接触硬件设备依赖-3:云端的软件设计均为安全依赖-4:云端的硬件设备均为安全依赖-5:云端的CPU是安全的安全CPU7降低对云提供商的信任依赖不信任内存、硬盘、网卡等外部设备只信任安全处理器,可抵御物理攻击服务器无需数据明文,依然可管理资源CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2传统系统基于安全处理器的系统软件硬件可信不可信TEE8CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2可信执行环境(TrustedExecutionEnvironment)基于CPU硬件安全扩展,且与外部完全隔离的执行环境通过远程认证进行身份识别,获取运行Key后加密执行软硬件结合的安全增强方案,抵御各类侧信道攻击TEE+安全屋9最小化对云端安全屋的信任依赖数据拥有方、算法提供方、结果使用方、计算提供方算法在TEE中完成对数据的访问与运算,明文不外泄上传登录获取统一安全防护数据拥有方结果使用方算法提供方数据管理结果存储安全屋计算环境审计模块TEE+区块链+安全屋10分布式的可信数据运算公有链平台的私有智能合约智能合约通过TEE保护执行基于硬件保护合约代码和数据可直接对接以太坊ShadowEth:PrivateSmartContractonPublicBlockchains,[JCST-18]数据拥有方结果使用方算法提供方数据加密存储算法加密存储数据地址算法地址合约上链获取合约地址获取数据算法结果加密计算方安全加密存储(无信任依赖)TBC:负责合约与交易上链公开上链上链公开四大特点11计算可扩展数据强安全任务可迁移全球任何计算节点均可接入计算框架信任去中心单一信任模型→分布式信任模型计算节点无法泄露计算数据TEE中运行计算可无缝在线迁移IntelSGX(SoftwareGuardExtensions)简介2018ThinkinCloud·Beijing王立刚Intel中国首席平台安全架构师STARTIntelSGX:面向所有开发者的应用级TEE13SGX为程序的敏感代码和数据提供了安全空间需要一个保险箱及相关防护恶意程序OSOS攻击目标程序保护模式不良代码攻击OKIntel硬件构成了SGX的底层基础SGX程序被分为了两部分:可信部分和不可信部分可信部分受加密内存保护恶意代码不能访问目标程序的敏感数据敏感数据受SGXenclave保护CPU封装CoresCacheSystemMemoryAMEX:3234-134584-26864SnoopSnoopJco3lks937weu0cwejpoi9987v80weIntelSGX:面向所有开发者的应用级TEE14IntelSGX使应用程序可以创建自己的TEE,并且决定把哪些代码和数据放入TEE保护,给与了应用开发者对应用安全直接的控制.
把可信计算基(TrustedComputingBase)减小到最小,从而把受攻击风险降到最低防止软件攻击,即使OS/drivers/BIOS/VMM/SMM层面已被攻破即使攻击者控制了整个系统,敏感数据依然受到保护防止内存总线监听、篡改、和冷启动攻击提供基于硬件的程序认证在主CPU上运行,充分利用Intel处理器的性能优势SGX应用开发与执行15Enclave.
objFileConfigInfo(metadata)SGXSignatureStructureSigningkey,ProdID,VersionIDConstructEnclaveImageMeasureEnclaveImageRSASignEnclaveDLL/so非可信部分SGX应用程序数据代码可信部分特权系统代码,OS,VMM,BIOS,SMM,…非可信部分可信部分(Enclave)创建Enclave调用可信接口函数执行返回(etc.
)可信接口SSN:999-84-2611m8U3bcV#zP49Q应用程序应用程序被分为可信和非可信两部分App程序首先进入非可信部分,创建enclave即可信部分,可信部分位于加密内存可信接口函数被调用;Enclave内的数据,Enclave内代码看到的是原文,而Enclave外对它的访问是禁止的函数返回;Enclave数据仍在加密内存中SGX在云/服务器端应用16云计算SSL服务器保护Per-host密钥管理Map/Reduce加固敏感大数据分析的隐私隔离电信Per-hostkey密钥管理NFV环境中保护管理白名单企业加密数据库操作,保护内存常驻数据和查询SSL服务器保护Per-host密钥管理敏感大数据分析的隐私隔离提供对嵌入式应用和设备的防篡改解决方案$成本安全性SWSGXHSM范例:SGXHSM纯硬件HSM价格昂贵,不适合扩大规模;基于SGX的方案降低成本、创造新商机专长:皮肤科数据样本:30000专长:肺科数据样本:20000专长:脑科数据样本:10000敏感数据是否会泄露是否违反隐私法规隐私数据分析处理SGX历史回顾及未来展望17项目起始于Intel研究院SGX1.
0:‐基于硬件的TEE‐Sealeddata‐远程认证IntelCore/Pentium/CeleronXeonE3v5SkyLakefamily(2015)IntelCoreKabyLakefamily(2016)IntelXeonE3v6Pentium/CeleronKabyLakefamily(2017)IntelClient&XeonE3/E5/E7(future)~10yearsago每一代都会带来安全特性的升级SGX1.
5/2.
0/…:‐Enclave动态内存管理‐更大的EPC‐灵活的程序启动控制‐4路处理器支持‐…优化支持‐更多操作系统‐可信库优化支持:‐多线程编程‐异常处理‐SDKENDTHANKS
从介绍看啊,新增的HostYun 俄罗斯机房采用的是双向CN2线路,其他的像香港和日本机房,均为国内直连线路,访问质量不错。HostYun商家通用九折优惠码:HostYun内存CPUSSD流量带宽价格(原价)购买地址1G1核10G300G/月200M28元/月购买链接1G1核10G500G/月200M38元/月购买链接1G1核20G900G/月200M68元/月购买链接2G1核30G1500G/月...
ZJI发布了9月份促销信息,针对香港华为云线路物理服务器华为一型提供立减300元优惠码,优惠后香港华为一型月付仅450元起。ZJI是原来Wordpress圈知名主机商家:维翔主机,成立于2011年,2018年9月更名为ZJI,提供中国香港、台湾、日本、美国独立服务器(自营/数据中心直营)租用及VDS、虚拟主机空间、域名注册等业务,商家所选数据中心均为国内访问质量高的机房和线路,比如香港阿里云、华为...
georgedatacenter怎么样?GeorgeDatacenter是一家2017年成立的美国商家,正规注册公司(REG: 10327625611),其实是oneman。现在有优惠,有几款特价VPS,基于Vmware。支持Paypal付款。GeorgeDatacenter目前推出的一款美国vps,2核/8GB内存/250GB NVMe空间/2TB流量/1Gbps端口/Vmware/洛杉矶/达拉...
百度攻击为你推荐
企业虚拟主机一般的企业应该用什么样的虚拟主机?独立ip主机独立IP主机和CDN主机的详细区别?中文域名注册查询中文域名注册怎么查询网站域名怎么知道一个网站域名是什么啊!美国vps主机听说美国vps主机性能不错,没用过,想听听各位的意见~ip代理地址ip代理是什么?网站空间域名关于网站的域名和空间?香港虚拟空间香港虚拟主机空间哪家最好论坛虚拟主机做论坛-需要什么类型的虚拟主机?域名劫持怎么域名劫持一个网站?
新网域名 如何申请免费域名 edgecast directadmin java空间 免费个人网站申请 免费mysql 已备案删除域名 河南移动网 双线asp空间 独享主机 阿里云官方网站 徐州电信 创速 国外代理服务器 北京主机托管 双十二促销 hosting24 美国asp空间 phpwind论坛 更多