安全屋—数据可信流通平台2018ThinkinCloud·Beijing夏虞斌·上海交通大学副教授START数据的汇集产生更大的价值1+1>22安全是云计算面临的首要挑战IDC-20083安全依然是云计算面临的主要问题IDC-20174"Recentlyenterprisesareincreasinglybecomingthetargetsofhackersasthedigitaltransformationbooststheirdigitalassetvalue,makingsecurityamajorconcernforpubliccloudservicetenants.
"https://www.
idc.
com/getdoc.
jspcontainerId=prCHE43003117云是否一定需要用户数据明文5云存储:Dropbox、百度盘等用户将加密后的数据发送至云服务商保存大数据分析、数据训练等对数据进行运算时,必须在内存中解密数不需要明文的例子需要明文的例子如何降低对云的安全依赖6依赖-1:所有管理员均为可信依赖-2:攻击者无法接触硬件设备依赖-3:云端的软件设计均为安全依赖-4:云端的硬件设备均为安全依赖-5:云端的CPU是安全的安全CPU7降低对云提供商的信任依赖不信任内存、硬盘、网卡等外部设备只信任安全处理器,可抵御物理攻击服务器无需数据明文,依然可管理资源CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2传统系统基于安全处理器的系统软件硬件可信不可信TEE8CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2可信执行环境(TrustedExecutionEnvironment)基于CPU硬件安全扩展,且与外部完全隔离的执行环境通过远程认证进行身份识别,获取运行Key后加密执行软硬件结合的安全增强方案,抵御各类侧信道攻击TEE+安全屋9最小化对云端安全屋的信任依赖数据拥有方、算法提供方、结果使用方、计算提供方算法在TEE中完成对数据的访问与运算,明文不外泄上传登录获取统一安全防护数据拥有方结果使用方算法提供方数据管理结果存储安全屋计算环境审计模块TEE+区块链+安全屋10分布式的可信数据运算公有链平台的私有智能合约智能合约通过TEE保护执行基于硬件保护合约代码和数据可直接对接以太坊ShadowEth:PrivateSmartContractonPublicBlockchains,[JCST-18]数据拥有方结果使用方算法提供方数据加密存储算法加密存储数据地址算法地址合约上链获取合约地址获取数据算法结果加密计算方安全加密存储(无信任依赖)TBC:负责合约与交易上链公开上链上链公开四大特点11计算可扩展数据强安全任务可迁移全球任何计算节点均可接入计算框架信任去中心单一信任模型→分布式信任模型计算节点无法泄露计算数据TEE中运行计算可无缝在线迁移IntelSGX(SoftwareGuardExtensions)简介2018ThinkinCloud·Beijing王立刚Intel中国首席平台安全架构师STARTIntelSGX:面向所有开发者的应用级TEE13SGX为程序的敏感代码和数据提供了安全空间需要一个保险箱及相关防护恶意程序OSOS攻击目标程序保护模式不良代码攻击OKIntel硬件构成了SGX的底层基础SGX程序被分为了两部分:可信部分和不可信部分可信部分受加密内存保护恶意代码不能访问目标程序的敏感数据敏感数据受SGXenclave保护CPU封装CoresCacheSystemMemoryAMEX:3234-134584-26864SnoopSnoopJco3lks937weu0cwejpoi9987v80weIntelSGX:面向所有开发者的应用级TEE14IntelSGX使应用程序可以创建自己的TEE,并且决定把哪些代码和数据放入TEE保护,给与了应用开发者对应用安全直接的控制.
把可信计算基(TrustedComputingBase)减小到最小,从而把受攻击风险降到最低防止软件攻击,即使OS/drivers/BIOS/VMM/SMM层面已被攻破即使攻击者控制了整个系统,敏感数据依然受到保护防止内存总线监听、篡改、和冷启动攻击提供基于硬件的程序认证在主CPU上运行,充分利用Intel处理器的性能优势SGX应用开发与执行15Enclave.
objFileConfigInfo(metadata)SGXSignatureStructureSigningkey,ProdID,VersionIDConstructEnclaveImageMeasureEnclaveImageRSASignEnclaveDLL/so非可信部分SGX应用程序数据代码可信部分特权系统代码,OS,VMM,BIOS,SMM,…非可信部分可信部分(Enclave)创建Enclave调用可信接口函数执行返回(etc.
)可信接口SSN:999-84-2611m8U3bcV#zP49Q应用程序应用程序被分为可信和非可信两部分App程序首先进入非可信部分,创建enclave即可信部分,可信部分位于加密内存可信接口函数被调用;Enclave内的数据,Enclave内代码看到的是原文,而Enclave外对它的访问是禁止的函数返回;Enclave数据仍在加密内存中SGX在云/服务器端应用16云计算SSL服务器保护Per-host密钥管理Map/Reduce加固敏感大数据分析的隐私隔离电信Per-hostkey密钥管理NFV环境中保护管理白名单企业加密数据库操作,保护内存常驻数据和查询SSL服务器保护Per-host密钥管理敏感大数据分析的隐私隔离提供对嵌入式应用和设备的防篡改解决方案$成本安全性SWSGXHSM范例:SGXHSM纯硬件HSM价格昂贵,不适合扩大规模;基于SGX的方案降低成本、创造新商机专长:皮肤科数据样本:30000专长:肺科数据样本:20000专长:脑科数据样本:10000敏感数据是否会泄露是否违反隐私法规隐私数据分析处理SGX历史回顾及未来展望17项目起始于Intel研究院SGX1.
0:‐基于硬件的TEE‐Sealeddata‐远程认证IntelCore/Pentium/CeleronXeonE3v5SkyLakefamily(2015)IntelCoreKabyLakefamily(2016)IntelXeonE3v6Pentium/CeleronKabyLakefamily(2017)IntelClient&XeonE3/E5/E7(future)~10yearsago每一代都会带来安全特性的升级SGX1.
5/2.
0/…:‐Enclave动态内存管理‐更大的EPC‐灵活的程序启动控制‐4路处理器支持‐…优化支持‐更多操作系统‐可信库优化支持:‐多线程编程‐异常处理‐SDKENDTHANKS
Moack怎么样?Moack(蘑菇主机)是一家成立于2016年的商家,据说是国人和韩国合资开办的主机商家,目前主要销售独立服务器,机房位于韩国MOACK机房,网络接入了kt/lg/kinx三条线路,目前到中国大陆的速度非常好,国内Ping值平均在45MS左右,而且商家的套餐比较便宜,针对国人有很多活动。不过目前如果购买机器如需现场处理,由于COVID-19越来越严重,MOACK办公楼里的人也被感染...
近日快云科技发布了最新的夏季优惠促销活动,主要针对旗下的香港CN2 GIA系列的VPS云服务器产品推送的最新的75折优惠码,国内回程三网CN2 GIA,平均延迟50ms以下,硬件配置方面采用E5 2696v2、E5 2696V4 铂金Platinum等,基于KVM虚拟架构,采用SSD硬盘存储,RAID10阵列保障数据安全,有需要香港免备案CN2服务器的朋友可以关注一下。快云科技怎么样?快云科技好不...
速云怎么样?速云,国人商家,提供广州移动、深圳移动、广州茂名联通、香港hkt等VDS和独立服务器。现在暑期限时特惠,力度大。广州移动/深圳移动/广东联通/香港HKT等9折优惠,最低月付9元;暑期特惠,带宽、流量翻倍,深港mplc免费试用!点击进入:速云官方网站地址速云优惠码:全场9折优惠码:summer速云优惠活动:活动期间,所有地区所有配置可享受9折优惠,深圳/广州地区流量计费VDS可选择流量翻...
百度攻击为你推荐
注册域名注册域名要提交什么资料?英文域名中文域名和英文域名的区别? 越详细越好虚拟主机申请在哪里可以申请到虚拟主机呢个人虚拟主机个人建网站用哪一种虚拟主机???php虚拟空间普通网站需要多大空间?本人新手php学习者,想买个虚拟空间用来放自己做的一些企业站,只是练习用途免费网站空间那里有免费网站空间网站空间商哪有好一点的网站空间商?欢迎友友们给我推荐下,网站空间商网站空间商的选择??云南虚拟主机大家觉得云南天成科技服务器租用给力吗?成都虚拟主机个人申请网址如何申请。
云南服务器租用 金万维动态域名 2019年感恩节 堪萨斯服务器 美国翻墙 免费主机 优惠码 缓存服务器 12306抢票助手 轻量 嘟牛 嘉洲服务器 警告本网站美国保护 天互数据 idc是什么 91vps 域名和空间 cn3 台湾谷歌 yundun 更多