简介
机密计算是一种基于可信硬件,保护数据处理安全的一种技术,对应的ARM架构处理器应用的是TrustZone技术。
传统TrustZone可信执行环境仅面向终端设备,TA应用必须经过终端设备厂商认证后才可以在TEE(Trusted Execution Environment,可信执行环境)OS侧运行,不支持通用计算场景。TEE套件则是基于虚拟机的下一代机密计算技术,能够兼容已有的应用生态,并将机密计算的载体从应用层扩展到操作系统层。本文主要介绍了基于鲲鹏920新型号处理器的机密计算TEE套件的软件架构和特性规格约束,以及搭建TEE套件环境和使用机密虚拟机的方法。
特性名称 |
特性介绍 |
适用场景 |
|---|---|---|
远程证明 |
可向用户证明机密虚拟机和机密计算平台的可信程度,包括:
|
机密云主机、数据库黑匣子 |
全盘加密 |
通过加密整个磁盘分区实现机密虚拟机镜像敏感信息保护。 |
磁盘加密、数据库加密 |
密钥封印 |
支持机密虚拟机内生成一个与虚拟机绑定的密钥,且机密虚拟机重启后该密钥值保持不变。 |
磁盘加密、数据库加密 |
机密设备直通 |
支持PCIe设备切换到机密计算运行环境,且支持设备直通机密虚拟机内实现数据链路全保护。 |
AI数据模型保护、机密云主机、数据库黑匣子 |
机密容器 |
基于机密虚拟机的核心能力,通过复用Kata/Coco社区的基础功能,使能机密容器的加解密、签名验签以及远程证明的整套能力,实现对容器的端到端保护。 |
AI数据模型保护、Serverless、PaaS |
安全内存加密 |
基于硬件根密钥实现对机密计算可执行环境实现无感内存加密保护。 |
防近端攻击 |
国密加速 |
机密虚拟机内使能鲲鹏处理器KAE加速器能力,提供国密加速性能提升以及算法卸载能力。 |
数据库黑匣子、密态计算 |
DPDK-OSV网络加速 |
机密虚拟机支持挂载vhost-user设备,实现网络加速功能。 |
机密云主机 |
云化平台纳管 |
机密虚拟机支持OpenStack云化平台纳管,满足计算虚拟化、存储虚拟化以及网络虚拟化的一系列能力。 |
机密云主机 |
虚拟机热迁移 |
机密虚拟机支持非直通场景跨节点热迁移能力。 |
机密云主机 |