《中國聯通研究院:2023機密計算共享數據價值白皮書(19頁).pdf》由會員分享,可在線閱讀,更多相關《中國聯通研究院:2023機密計算共享數據價值白皮書(19頁).pdf(19頁珍藏版)》請在三個皮匠報告上搜索。
1、機密計算共享數據價值白皮書機密計算共享數據價值白皮書中國聯通研究院中國聯通網絡安全研究院下一代互聯網寬帶業務應用國家工程研究中心2023 年 11 月機密計算共享數據價值版權聲明版權聲明本報告版權屬于中國聯合網絡通信有限公司研究院,并受法律保護。轉載、摘編或利用其他方式使用本報告文字或者觀點的,應注明“來源:中國聯通研究院”。違反上述聲明者,本院將追究其相關法律責任。機密計算共享數據價值目錄目錄一 背景.2二 業務及技術需求.4三 云機密計算平臺.63.1 平臺介紹.63.2 架構和功能.73.2.1 平臺架構.73.2.2 平臺功能.83.3 SGX 測試驗證.103.3.1 測試范圍.10
2、3.3.2 功能測試.103.3.3 性能測試.12四 展望.14機密計算共享數據價值-1-前 言本白皮書圍繞數據安全的發展與產業需求,介紹中國聯通云機密計算平臺實踐案例。本白皮書的版權歸中國聯通所有,未經授權,任何單位或個人不得復制或拷貝本建議之部分或全部內容。本白皮書起草單位:中國聯合網絡通信有限公司研究院(中國聯通網絡安全研究院、下一代互聯網寬帶業務應用國家工程研究中心)、英特爾(中國)有限公司。編寫組成員編寫組成員:侯樂、徐雷、王瑩、賈寶軍、楊雙仕、胡慧、陶冶、曹咪、胡自強、馬建偉、田莉。機密計算共享數據價值-2-一 背景一 背景隨著數字經濟發展和數字技術變革,數據成為繼土地、勞動、資
3、本等之后人類又一重要生產要素。數據流通帶來的價值越來越受到重視,與此同時,數據流通暴露出的安全風險問題也備受關注。2023年 1 月,工信部等十六部門聯合發布了關于促進數據安全產業發展的指導意見,進一步明確要加強隱私計算、數據流轉分析等關鍵技術攻關。在政策扶持、需求刺激、應用升級等多方因素的驅動下,我國網絡安全產業呈現高速發展態勢,上中下游都有相關企業提供產品和服務,產業鏈逐步完善。在數據流通和交易領域,產業鏈上中下游企業需要深度合作,通過各方數據協同計算,更好地釋放數據價值。面對跨機構、跨行業的聯合分析、聯合建模等應用,需要頻繁的數據共享和數據融合,要求數據安全高效協作,這對多方數據系統的全
4、鏈條安全可控提出了更高要求。中國聯通作為數字信息基礎設施的建設者和運營者,擁有大規模的網絡和 IT 基礎設施資源,運營著海量高價值數據。如何高效發揮數據資源價值,是運營商面對的最大挑戰。中國聯通高度重視數據安全治理工作,不斷創新安全產品,沉淀服務能力,縱深推進數字化轉型。本文介紹了中國聯通研究院項目團隊研發的云機密計算平臺及機密計算共享數據價值-3-其安全算力供給功能,分析了當前機密計算技術的主要需求與挑戰。簡要介紹了中國聯通云機密計算平臺的研發進展與階段性成果,以及聯合英特爾開展的功能驗證和性能測試分析。文末對機密計算應用于商業生產的前景和社會價值進行了展望。機密計算共享數據價值-4-二 業
5、務及技術需求二 業務及技術需求當前,在金融、互聯網、工業互聯網及汽車等領域,數據協作與數據融合的需求越來越普遍,但伴隨而來的數據竊取、隱私泄露等事件也顯著增多,數據安全引起政府和各行業的關注。面對數據安全問題,各數據所有方普遍采取了相對保守的策略,對數據共享使用顧慮很多。數據生產方為了自身的數據安全,主動或被動地限制數據的流動和使用,使得數據價值變現變得困難重重。如何穩妥地處理好數據保護和數據利用之間的關系,是業內共同面對的難題。近些年,行業專家們開展了如多方安全計算、聯邦學習等隱私計算數據處理技術的研究,取得了一定進展,同時也遇到一些使用問題,如性能問題、業務可用性問題等。在平衡數據安全性和
6、性能兩方面考量中,業內需要尋找一種性能損失較少,能提供較高安全性的解決方案??v觀數據在整個生命周期中的保護,在處于靜態(At-Rest)和傳輸態(In-Transit)時的保護措施較多,而在使用態(In-Use)保護措施相應不足?,F有安全防護技術如 HTTPS、IPSec、TLS、FTPS、磁盤加密等數據加密技術,大多是針對網絡傳輸和靜態數據存儲階段的數據安全保護,可以對傳輸中和靜態的數據提供有效的保護手段。而在核心數據和隱私數據使用、運行階段,不管是傳統基礎設施還是云計算基礎設施,對計算環境都缺乏有效的安全可信保護能力。需要特別強調的是,公有云作為云計算的主流型態,其開放的運行模型勢必會增加
7、風險暴露面,會帶來更多的安全隱患。由此,解決數據運算機密計算共享數據價值-5-過程中的安全問題迫在眉睫。面對產業發展需求和數據安全挑戰,中國聯通研究院安全研發團隊聚焦云化機密計算及可信驗證能力提升,創新研發了基于硬件可信執行環境(TEE)的云機密計算平臺,為數據運算過程提供隔離、加密和可信計算度量等功能,為數據計算提供可信安全底座,彌補了云平臺機密計算算力的安全短板,助力中國聯通推出更優秀的數據保護行業解決方案,服務行業企業數據共享與協作,促進數據價值持續釋放。機密計算共享數據價值-6-三 云機密計算平臺三 云機密計算平臺3.1 平臺介紹平臺介紹中國聯通云機密計算平臺是在通用云平臺基礎上,基于
8、硬件可信執行環境(TEE),實現機密計算虛擬機和虛擬容器提供的能力。平臺實現了機密計算虛擬機、機密計算容器的生命周期管理,完成了對主機 TEE 計算能力的適配。目前平臺構建了基于 Intel SGX 技術架構的資源池,用戶可以很便利地使用機密計算虛擬機和容器,建立起基于TEE 的數據運行環境。平臺也考慮了多種架構的適配能力,后續還規劃適配中科海光 CSV 的技術架構,也逐步對其他架構做進一步擴展。在管理門戶中,用戶可自主創建機密計算虛擬機和虛擬容器,搭建所需的算力單元,目前支持 Intel SGX 和中科海光 CSV 兩種架構模式。管理頁面如下圖所示:圖 3-1 云機密計算平臺界面圖機密計算共
9、享數據價值-7-3.2 架構和功能架構和功能3.2.1 平臺架構3.2.1 平臺架構云機密計算平臺架構基于支持 TEE 的底層硬件基礎設施,根據應用環境可劃分為兩部分,第一部分是容器層面的應用支持(如圖 3-2所示),該部分基于 Gramine 等開源框架實現針對容器應用的安全隔離。圖 3-2 云機密計算平臺容器資源池第二部分是虛擬化層對隱私計算應用能力支持(如圖 3-3 所示),該部分基于 KVM、Libvirtd 等技術對底層 TEE 進行適配,實現在虛擬機中機密計算的調用能力。機密計算共享數據價值-8-圖 3-3 云機密計算平臺虛擬機資源池3.2.2 平臺功能3.2.2 平臺功能云機密計
10、算平臺支持可視化創建TEE機密虛擬機環境和TEE機密容器環境,支持基于 TEE 的任務管理、環境驗證、密鑰管理、數據加密存儲、多方聯合計算、隱私查詢等。具體功能示意圖如圖 3-4 所示。圖 3-4 云機密計算平臺功能示意圖機密計算共享數據價值-9-任務管理模塊任務管理模塊支持創建 TEE 機密計算環境,如 TEE 機密虛擬機、TEE 機密容器等,用于密鑰管理、數據加密存儲、多方聯合計算、隱私查詢。支持設置物理機及容器相關加密內存參數,通過腳本一鍵自動生成環境。環境驗證模塊環境驗證模塊支持通過靜態度量方式對 TEE 機密計算環境進行可信驗證。密鑰管理模塊密鑰管理模塊支持創建 TEE 密鑰管理能力
11、,在 TEE 環境中實現密鑰生命周期管理功能和機密虛擬機遠程證明?;?TEE 的數據加密存儲模塊基于 TEE 的數據加密存儲模塊支持對 TEE 數據的加解密功能,支持數據加密存儲于 TEE 環境內或將加密的數據存儲在外部存儲介質中,可消除內存泄漏等造成的數據安全隱患。多方聯合計算模塊多方聯合計算模塊支持創建 TEE 多方聯合計算任務,通過各參與方分發加密密鑰與接口方式,實現多方數據匯交,根據相應算法執行計算任務,有效保護數據的安全性,防止原始數據泄露,同時,也可以滿足企業間數據高效協作、聯合計算的需求。隱私查詢模塊隱私查詢模塊機密計算共享數據價值-10-支持創建 TEE 隱私查詢任務,通過在
12、 TEE 內部移植標準的數據庫管理系統,支持基于 SQL 的數據查詢功能,實現多方安全數據查詢。系統管理模塊系統管理模塊支持用戶管理功能,實現用戶在系統操作期間支持日志記錄功能,在系統運行過程中,系統會對當前機密計算環境中各項指標實時監控,若出現指標異常情況會及時告警通知。3.3 SGX 測試驗證測試驗證3.3.1 測試范圍3.3.1 測試范圍為了驗證云機密計算平臺數據保密性和機密計算對性能的影響,項目團隊與 Intel 技術團隊開展合作,圍繞以下兩方面開展了功能驗證和性能測試:(1)功能測試(1)功能測試針對普通環境與云機密計算平臺機密實例環境,分別部署敏感應用(Redis 數據庫),對比驗
13、證對內存數據的保密。(2)性能測試(2)性能測試針對普通方式部署與云機密計算平臺部署,分別測試以創建 TEE機密虛擬機和 TEE 機密容器方式進行 AI 數據集運算的性能損失比。3.3.2 功能測試3.3.2 功能測試(1)測試過程(1)測試過程機密計算共享數據價值-11-a.普通環境下部署并運行 Redis,在 Gramine 機密容器中部署并運行 Redis;其中 Gramine 是輕量級的 LibOS,用戶業務代碼無需修改即可在其環境中運行,方便用戶業務應用 SGX 特性;b.通過redis-cli工具向普通Redis和Gramine Redis寫入鍵值;c.從上述對應的進程中拷貝內存數
14、據至文件中;d.在內存文件中搜索步驟 b 中寫入的鍵值信息。圖 3-5 機密計算實例功能測試記錄(2)測試結果(2)測試結果如圖 3-5,在普通容器 Redis 內存中可以搜索到先前存入的鍵值字符串,而在 Gramine 容器中則搜索不到存入的數據。(3)結果分析(3)結果分析由于 SGX 的優勢是對內存加密,存入 Redis 的數據是加密狀態,因此,在內存密文中無法搜索到存入的字符串。機密計算共享數據價值-12-3.3.3 性能測試3.3.3 性能測試在機密計算平臺上的實例,分別進行虛擬機和容器性能測試。針對虛擬機,分別在普通虛機和 Gramine 虛機中運行機器學習的推理程序,并同等的限制
15、 CPU 使用核數。對于虛擬機,分別在普通容器和 Gramine 容器中運行機器學習的推理程序,并同等的限制 CPU使用核數。測試環境的硬件配置為 Intel(R)Xeon(R)Gold 6330 CPU 2.00GHz,操作系統為 Ubuntu 20.04,數據集為 150 萬條數據,特征維度為 39 維。(1)虛擬機(1)虛擬機表 3-1 虛機運行程序對比通過運行上述程序對比,SGX 虛機推理耗時較普通虛機耗時增加6.98%;上表中其常規內存使用較低,原因是運行中的程序使用了 SGXEnclave 內存。(2)容器(2)容器Within VMWithin VMCPU CoreNumberC
16、PU CoreNumberSGX EnclaveSizeSGX EnclaveSizeInferencetimeInferencetimeMemoryMemoryNormal2 coreN/A172s2.1GGramine-sgx2 core32G184s0.6G機密計算共享數據價值-13-表 3-2 容器運行程序對比通過運行上述程序對比,SGX 容器推理耗時較普通容器耗時增加10.90%。(3)結果分析(3)結果分析對比性能測試結果,虛擬機和容器場景的性能損失在7-10%左右,因此,在一些處理重要數據,且性能敏感度需求不高的數據業務場景,基于硬件 TEE 的機密計算是一種可行的技術方案。Wi
17、thinContainerWithinContainerCPU CoreNumberCPU CoreNumberSGX EnclaveSizeSGX EnclaveSizeInferencetimeInferencetimeMemoryMemorydocker2 coreN/A220s2.1GGramine-docker2 core32G244s0.6G機密計算共享數據價值-14-四 展望四 展望目前,機密計算技術和應用仍處于產業發展早期,數據保護理念和技術體系成熟還需要市場的磨合。在公有云場景中,機密計算已得到落地應用,主要源于公有云的開放特性,用戶對于數據保護的需求更為迫切。實際上,在私有
18、云場景中也同樣存在安全隱患,基于邊界的安全防護已經不能滿足當下的安全要求,很多安全事件都是由內部系統或管理缺陷引起的,在內部數據泄露問題上尤為突出。因此,私有云中處理重要數據的算力環境也需要安全加固,防范可能存在的數據竊取問題。雖然機密計算不能解決所有的安全問題,但是在數據防泄漏、防竊取方面,它是目前比較有效的一種安全技術。同時,芯片架構的加解密計算性能在逐步增強,這也將加快機密計算技術的應用落地。隨著跨企業、跨行業、跨國別合作日益深入,數據的協作共享越來越普遍,數據安全與治理日趨重要。在金融、互聯網、工業互聯網及汽車等行業,已經開啟了小規模的協作和共享,同時也伴隨出現了隱私數據泄露的危機。這
19、就需要產業界共同尋求解決方案,探索包括機密計算在內的數據安全技術的應用,建立行業數據協作規范,完善立法和管理制度,共同激發數據價值,促進社會智能化發展和生產力水平的提高。中國聯通研究院已完成了云機密計算平臺的初步研發,后續將持續完善平臺功能,針對多方聯合計算、隱私查詢、邊緣計算、人工智機密計算共享數據價值-15-能等業務場景開展應用實踐,研究機密計算的行業解決方案。同時聯合 Intel 等業界頭部合作伙伴,發揮先進安全技術優勢,進一步豐富機密計算應用場景,夯實數據安全治理能力,促進政府和各行業數據融合和數據價值實現。機密計算共享數據價值-16-戰略決策的參謀者技術發展的引領者產業發展的助推者戰
20、略決策的參謀者技術發展的引領者產業發展的助推者態度、速度、氣度有情懷、有格局、有擔當中國聯通研究院是根植于聯通集團(中國聯通直屬二級機構),服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、產業發展助推者,是原創技術策源地主力軍和數字技術融合創新排頭兵。聯通研究院致力于提高核心競爭力和增強核心功能,緊密圍繞聯網通信、算網數智兩大類主業,按照 4+2+X 研發布局,開展面向 C3 網絡、大數據賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研發,承擔高質量決策報告研究和專精特新核心技術攻關,致力于成為服務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部
21、,多方位參與網絡強國、數字中國建設,大力發展戰略性新興產業,加快形成新質生產力。聯通研究院現有員工 700 余人,85%以上為碩士、博士研究生,以“三度三有”企業文化為根基,發展成為一支高素質、高活力、專業化、具有行業影響力的人才隊伍。是根植于聯通集團(中國聯通直屬二級機構),服務于國家戰略、行業發展、企業生產的戰略決策參謀者、技術發展引領者、產業發展助推者,是原創技術策源地主力軍和數字技術融合創新排頭兵。聯通研究院以做深大聯接、做強大計算、做活大數據、做優大應用、做精大安全為己任,按照 4+1+X 研發布局,開展面向C3 網絡、大數據賦能運營、端網邊業協同創新、網絡與信息安全等方向的前沿技術研發,承擔高質量決策報告研究和專精特新核心技術攻關,致力于成為服務國家發展的高端智庫、代表行業產業的發言人、助推數字化轉型的參謀部,多方位參與網絡強國、數字中國、智慧社會建設。聯通研究院現有員工近 700 人,平均年齡 36 歲,85%以上為碩士、博士研究生,以“三度三有”企業文化為根基,發展成為一支高素質、高活力、專業化、具有行業影響力的人才隊伍。中國聯合網絡通信有限公司研究院地址:北京市亦莊經濟技術開發區北環東路 1 號電話:010-87926100郵編:100176