安全屋—数据可信流通平台2018ThinkinCloud·Beijing夏虞斌·上海交通大学副教授START数据的汇集产生更大的价值1+1>22安全是云计算面临的首要挑战IDC-20083安全依然是云计算面临的主要问题IDC-20174"Recentlyenterprisesareincreasinglybecomingthetargetsofhackersasthedigitaltransformationbooststheirdigitalassetvalue,makingsecurityamajorconcernforpubliccloudservicetenants.
"https://www.
idc.
com/getdoc.
jspcontainerId=prCHE43003117云是否一定需要用户数据明文5云存储:Dropbox、百度盘等用户将加密后的数据发送至云服务商保存大数据分析、数据训练等对数据进行运算时,必须在内存中解密数不需要明文的例子需要明文的例子如何降低对云的安全依赖6依赖-1:所有管理员均为可信依赖-2:攻击者无法接触硬件设备依赖-3:云端的软件设计均为安全依赖-4:云端的硬件设备均为安全依赖-5:云端的CPU是安全的安全CPU7降低对云提供商的信任依赖不信任内存、硬盘、网卡等外部设备只信任安全处理器,可抵御物理攻击服务器无需数据明文,依然可管理资源CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2传统系统基于安全处理器的系统软件硬件可信不可信TEE8CPUVMMVM-1MemoryDiskBusDom-0NICOtherVM-2可信执行环境(TrustedExecutionEnvironment)基于CPU硬件安全扩展,且与外部完全隔离的执行环境通过远程认证进行身份识别,获取运行Key后加密执行软硬件结合的安全增强方案,抵御各类侧信道攻击TEE+安全屋9最小化对云端安全屋的信任依赖数据拥有方、算法提供方、结果使用方、计算提供方算法在TEE中完成对数据的访问与运算,明文不外泄上传登录获取统一安全防护数据拥有方结果使用方算法提供方数据管理结果存储安全屋计算环境审计模块TEE+区块链+安全屋10分布式的可信数据运算公有链平台的私有智能合约智能合约通过TEE保护执行基于硬件保护合约代码和数据可直接对接以太坊ShadowEth:PrivateSmartContractonPublicBlockchains,[JCST-18]数据拥有方结果使用方算法提供方数据加密存储算法加密存储数据地址算法地址合约上链获取合约地址获取数据算法结果加密计算方安全加密存储(无信任依赖)TBC:负责合约与交易上链公开上链上链公开四大特点11计算可扩展数据强安全任务可迁移全球任何计算节点均可接入计算框架信任去中心单一信任模型→分布式信任模型计算节点无法泄露计算数据TEE中运行计算可无缝在线迁移IntelSGX(SoftwareGuardExtensions)简介2018ThinkinCloud·Beijing王立刚Intel中国首席平台安全架构师STARTIntelSGX:面向所有开发者的应用级TEE13SGX为程序的敏感代码和数据提供了安全空间需要一个保险箱及相关防护恶意程序OSOS攻击目标程序保护模式不良代码攻击OKIntel硬件构成了SGX的底层基础SGX程序被分为了两部分:可信部分和不可信部分可信部分受加密内存保护恶意代码不能访问目标程序的敏感数据敏感数据受SGXenclave保护CPU封装CoresCacheSystemMemoryAMEX:3234-134584-26864SnoopSnoopJco3lks937weu0cwejpoi9987v80weIntelSGX:面向所有开发者的应用级TEE14IntelSGX使应用程序可以创建自己的TEE,并且决定把哪些代码和数据放入TEE保护,给与了应用开发者对应用安全直接的控制.
把可信计算基(TrustedComputingBase)减小到最小,从而把受攻击风险降到最低防止软件攻击,即使OS/drivers/BIOS/VMM/SMM层面已被攻破即使攻击者控制了整个系统,敏感数据依然受到保护防止内存总线监听、篡改、和冷启动攻击提供基于硬件的程序认证在主CPU上运行,充分利用Intel处理器的性能优势SGX应用开发与执行15Enclave.
objFileConfigInfo(metadata)SGXSignatureStructureSigningkey,ProdID,VersionIDConstructEnclaveImageMeasureEnclaveImageRSASignEnclaveDLL/so非可信部分SGX应用程序数据代码可信部分特权系统代码,OS,VMM,BIOS,SMM,…非可信部分可信部分(Enclave)创建Enclave调用可信接口函数执行返回(etc.
)可信接口SSN:999-84-2611m8U3bcV#zP49Q应用程序应用程序被分为可信和非可信两部分App程序首先进入非可信部分,创建enclave即可信部分,可信部分位于加密内存可信接口函数被调用;Enclave内的数据,Enclave内代码看到的是原文,而Enclave外对它的访问是禁止的函数返回;Enclave数据仍在加密内存中SGX在云/服务器端应用16云计算SSL服务器保护Per-host密钥管理Map/Reduce加固敏感大数据分析的隐私隔离电信Per-hostkey密钥管理NFV环境中保护管理白名单企业加密数据库操作,保护内存常驻数据和查询SSL服务器保护Per-host密钥管理敏感大数据分析的隐私隔离提供对嵌入式应用和设备的防篡改解决方案$成本安全性SWSGXHSM范例:SGXHSM纯硬件HSM价格昂贵,不适合扩大规模;基于SGX的方案降低成本、创造新商机专长:皮肤科数据样本:30000专长:肺科数据样本:20000专长:脑科数据样本:10000敏感数据是否会泄露是否违反隐私法规隐私数据分析处理SGX历史回顾及未来展望17项目起始于Intel研究院SGX1.
0:‐基于硬件的TEE‐Sealeddata‐远程认证IntelCore/Pentium/CeleronXeonE3v5SkyLakefamily(2015)IntelCoreKabyLakefamily(2016)IntelXeonE3v6Pentium/CeleronKabyLakefamily(2017)IntelClient&XeonE3/E5/E7(future)~10yearsago每一代都会带来安全特性的升级SGX1.
5/2.
0/…:‐Enclave动态内存管理‐更大的EPC‐灵活的程序启动控制‐4路处理器支持‐…优化支持‐更多操作系统‐可信库优化支持:‐多线程编程‐异常处理‐SDKENDTHANKS
pacificrack发布了7月最新vps优惠,新款促销便宜vps采用的是魔方管理,也就是PR-M系列。提一下有意思的是这次支持Windows server 2003、2008R2、2012R2、2016、2019、Windows 7、Windows 10,当然啦,常规Linux系统是必不可少的!1Gbps带宽、KVM虚拟、纯SSD raid10、自家QN机房洛杉矶数据中心...支持PayPal、...
弘速云怎么样?弘速云是创建于2021年的品牌,运营该品牌的公司HOSU LIMITED(中文名称弘速科技有限公司)公司成立于2021年国内公司注册于2019年。HOSU LIMITED主要从事出售香港vps、美国VPS、香港独立服务器、香港站群服务器等,目前在售VPS线路有CN2+BGP、CN2 GIA,该公司旗下产品均采用KVM虚拟化架构。可联系商家代安装iso系统。点击进入:弘速云官方网站地址...
VPSMS最近在做两周年活动,加上双十一也不久了,商家针对美国洛杉矶CN2 GIA线路VPS主机提供月付6.8折,季付6.2折优惠码,同时活动期间充值800元送150元。这是一家由港人和国人合资开办的VPS主机商,提供基于KVM架构的VPS主机,美国洛杉矶安畅的机器,线路方面电信联通CN2 GIA,移动直连,国内访问速度不错。下面分享几款VPS主机配置信息。CPU:1core内存:512MB硬盘:...
百度攻击为你推荐
已备案域名查询如何查询已备案的域名是否在万网备案的?便宜的虚拟主机哪儿有便宜的虚拟主机?空间域名服务器和空间域名什么意思香港虚拟空间香港空间,香港虚拟主机,香港虚拟空间推荐一家,公司要做一个网站,需要1G的,不限流量的,其它的空间不要免费网站空间有没有免费的网站空间推荐网站空间商网站空间商怎么查询1g虚拟主机想买个1G虚拟主机,不限流量的,但不知道哪个建站网站靠谱,求推荐!论坛虚拟主机最适合做论坛的虚拟主机是什么?云南虚拟主机大家觉得云南天成科技服务器租用给力吗?成都虚拟主机成都唯度科技有限公司怎么样?
网站空间域名 深圳域名空间 美国vps推荐 阿里云os zpanel 天猫双十一秒杀 512m内存 本网站在美国维护 52测评网 vip购优汇 isp服务商 傲盾官网 个人免费主页 360云服务 视频服务器是什么 英国伦敦 智能dns解析 帽子云排名 iki 服务器防御 更多