五分钟了解
安全万亿赛道
【机密计算】
01
什么是机密计算
想象一下,你有一份重要的文件,你希望在云端进行处理,但又担心这份文件的内容会被别人看到。传统的加密技术可以在文件传输和存储的时候保护它,但一旦文件到了云端,为了处理它,文件会被解密,这就意味着云服务商可以看到文件的内容。
机密计算就像是给文件加了一个特别的保险箱。当你把文件放到云端时,它会被放在一个特殊的硬件环境中,这个环境就像是一个锁得非常严实的保险箱。即使文件在保险箱里被打开并处理,外面的人也无法看到文件里面的内容。这样,即使云服务商想要查看文件的内容,也无法做到,因为文件始终处于加密状态。
机密计算的关键特点:
1) 数据在使用时保持加密:即使在处理过程中,数据也保持加密状态,保护数据免受未经授权的访问。
2) 可信执行环境:使用硬件级别的安全区域(如Intel SGX、AMD SEV等)来创建一个安全的环境,确保数据的安全性。
3) 隔离:数据在可信执行环境中与其他数据隔离,即使在同一台物理服务器上的其他租户也无法访问。
通过这种方式,机密计算为数据处理提供了一个更加安全的环境,特别是对于那些处理敏感数据的应用程序和服务来说,这是一个非常有价值的特性。
02
机密计算发展历史回顾
1
机密计算的起源
机密计算的概念最早可以追溯到20世纪80年代,当时硬件安全研究已经开始萌芽。最初的研究集中在开发安全内核和保护内存区域,这些技术为后来的机密计算奠定了基础。美国政府资助了相关的研究项目,诞生了最早的硬件安全解决方案。
2
苹果的安全飞地
2014年,苹果公司在其新款iPhone 5s中引入了一项革命性的安全功能——安全飞地处理器。这款处理器是专门为保护设备的安全而设计的,它与主系统分离,用于存储最敏感的数据,如Apple Pay的信息、iCloud密钥链中的密码、Face ID和Touch ID数据。安全飞地处理器不仅加密了数据,更重要的是,它将这部分敏感数据的存储与主系统的其余部分物理隔离,防止了潜在的安全漏洞被利用。这意味着即使第三方应用程序获得了设备的最高权限,也无法访问这些敏感数据。
3
Intel的SGX
2015年,Intel推出了Software Guard Extensions (SGX),这是机密计算领域的一项重大突破。SGX是一组内置在Intel现代处理器中的安全相关指令,它允许用户创建安全的执行环境(即enclave),在此环境中数据和代码可以加密存储并在加密状态下运行。这意味着即使系统管理员也无法访问这些加密的数据。SGX的出现极大地增强了数据处理过程中的安全性和隐私保护。
4
机密计算联盟的成立
2019年,包括Google、Microsoft、IBM和Intel在内的几家科技巨头联合成立了Confidential Computing Consortium(机密计算联盟),该联盟旨在推动机密计算技术的发展和普及,并建立统一的数据安全标准。这个联盟的成立标志着机密计算技术进入了快速发展阶段。
5
ISLET项目
2024年,Confidential Computing Consortium启动了一个名为ISLET的项目,该项目旨在为基于ARM架构的设备提供机密计算支持。ISLET的目标是提供一个安全的平台,让敏感数据能够在用户的设备上得到保护,并在本地进行处理。该项目利用了ARMv9 Confidential Compute Architecture (CCA),这是一个专门为机密计算设计的架构,为ARM架构的设备带来了类似Intel SGX的功能。
6
Nvidia的Blackwell架构
2024年3月,Nvidia推出了全球第一款支持机密计算的GPU架构——Blackwell。其为数据中心提供了一个可信执行环境(TEE),确保数据在处理过程中保持加密状态,从而保护数据的隐私性和完整性。Blackwell architecture提供了物理隔离的可信执行环境,确保数据和应用在使用过程中的安全性和隐私性,同时还支持从边缘到云端的虚拟机完全隔离,维持高性能和合规性。此外,Blackwell architecture 通过设备验证服务验证计算资产的可信度,确保数据和应用在可信环境中运行,并利用 NVIDIA GPU 优化的软件加速端到端 AI 工作负载,无需对现有代码进行修改即可享受机密计算的好处。
03
机密计算发展前景
根据Fortune Business Insights的报告,全球机密计算市场预计在2024年至2032年间将以39.9%的复合年增长率增长,市场规模将从2024年的141.4亿美元增长到2032年的2080.6亿美元。北美地区在2023年的市场份额最大,达到35.5亿美元,预计将继续保持较高的增长率。
04
机密计算发展前景
1
云侧机密计算
作为云侧机密计算的典型方案Azure 的机密计算基于云服务,利用硬件根信任来提供可信执行环境(TEE),确保数据在处理过程中不被未经授权的实体访问或篡改。这种云侧方案的特点在于它不仅利用了硬件隔离技术,还结合了云服务的优势,比如灵活的资源分配、按需扩展能力和集中管理的安全服务。通过这种方式,Azure 的机密计算能够为企业提供一个既安全又高效的平台,用于处理敏感数据和运行关键业务应用,特别是在多租户的云环境中。
2
端侧机密计算
作为Confidential Computing Consortium发起的机密计算开源软件项目,其旨在通过 ARMv9 保密计算架构 (CCA) 在基于 ARM 架构的设备上实现保密计算。该项目的主要目标是在终端设备上提供一个安全的环境以处理敏感数据,从而保护用户的隐私。其包括两大组件:1)领域管理监控器 (RMM):运行在一个特权级别 (EL2),用于管理保密虚拟机 (称为“领域”),确保它们的安全运行;2)硬件强制安全性 (HES):确保设备启动过程的完整性,生成平台认证报告,并在与主应用处理器分离的安全硬件区域内管理密封密钥功能。Islet 支持标准的 SDK,便于与其他保密计算框架集成,并已完成一个机器学习场景示例,展示了一个聊天机器人应用程序如何安全地与机器学习服务器交互。总的来说,Islet 项目将极大降低ARMv9机密计算应用的复杂度。
3
AI机密计算
随着AI技术应用浪潮的全面爆发,AI运算的机密性已成为一类典型应用场景,Nvidia正试图抓住这一业务增长点,其在Blackwell架构上给出了全球首个GPU机密计算方案,将信任执行环境 (TEE)内置于GPU,使大型语言模型被高性能处理的同时,也提供数据保护支持。同时,Nvidia生成该项技术支持安全多方计算,促成多个组织间的数据合作。
05
机密计算发展前景
展望未来,机密计算技术已从技术试探,走向成熟市场,各路技术寡头已完成了产品布局,这些产品能否如Fortune Business Insights所说掀起万亿市场,让我们拭目以待。
06
参考文献
1. Azure confidential computing Overview | Microsoft Learn — Azure的机密计算概述。
2. Securing Data, Protecting Privacy: The Role of Confidential Computing (intel.com) — Intel关于机密计算的作用和重要性的说明。
3. End-User Devices for Confidential Computing: Exploring Islet – Confidential Computing Consortium — 关于Islet项目的详细介绍。
4. Confidential Computing Market Size | Forecast Analysis, 2032 (fortunebusinessinsights.com) — 全球机密计算市场的预测分析。
5. Confidential Computing: A History (mithrilsecurity.io) — 机密计算的历史概述。
6. Confidential Computing | NVIDIA — NVIDIA关于机密计算的技术介绍。