Bootstrap

机密计算|暴雨加入兆芯星绽开源社区

“近年来,全球系统安全漏洞频发,网络攻击和黑灰产业的事件频发,传统的技术路线难以高效应对新的安全挑战。安全可信的新技术已成为推动产业可持续发展和技术持续创新的关键。同时,随着人工智能技术深入落地产业,保障安全的数据流通更需要从基础软硬件层面进行安全适配的可靠软件栈来进行支撑。”

10月22日,聚焦安全可信底层技术的开源系统软件栈 ——“星绽”(Asterinas),由中关村实验室、蚂蚁集团、北京大学、南方科技大学等产学研机构联合对外发布,并向全球开发者开源。兆芯销售副总经理出席活动并参与发布启动环节。“星绽”系统软件栈包含星绽OS和星绽机密计算两大项目,分别面向通用执行环境和可信执行环境提供安全原生的系统软件,为云计算、数据可信流通、人工智能等计算场景,构建安全可信的技术底座。

目前,星绽OS支持x86和RISC-V等CPU体系架构,兼容Linux,支持超过170个Linux系统调用,可以运行Web服务应用,预计将于2025年在云计算和机密计算等数据中心场景率先投入工业应用。在业界公认的LMbench基准测试上,星绽OS对齐全球主流开源操作系统Linux的性能水平。

星绽机密计算聚焦可信执行环境,包括HyperEnclave、Occlum和TrustFlow三大核心组件,从底层安全虚拟化环境到上层可信服务软件栈,提供支撑大规模复杂数据流转场景的密算能力,着力解决可信根CPU依赖、CPU侧信道攻击防护缓解、复杂数据分析处理的全链路密态保障等行业痛点。

目前,暴雨基于兆芯高性能处理器打造的服务器/桌面终端已经完成适配星绽机密计算方案,实现将信任根筑建于国家金融信息安全基础设施(CFCA),支持机密容器,直接运行现有Linux应用。通过基于处理器端的可信执行环境(TEE) 构建隔离“安全飞地”,保护数据在处理过程中的安全性和隐私性,可以为实现密态计算所要求的数据流转全链路安全保障能力提供关键技术支撑。

星绽机密计算打造了以底层安全技术为基石的信任体系。目前已经积累了丰富的产业落地经验,获得了金融科技产品认证(2022-2024),支持在阿里云、百度云等公有云上“开箱即用”,在蚂蚁集团、美团、京东等大型科技企业的业务中落地。

蚂蚁集团副总裁兼首席技术安全官、蚂蚁密算董事长韦韬表示,当前全球正处在历史性的技术变革期,大数据和人工智能等新兴技术深入产业应用,同时网络黑灰产已经形成庞大、完整且有细致分工的国际产业链条,全球严重安全事件频频爆发。系统软件作为信息技术系统的基石技术,要以大规模工业级可用为导向,创新技术安全范式。“两年前,我们面向全球开发者开源了隐语可信隐私计算技术栈。今天,我们联合产学研合作伙伴一起发布星绽开源系统软件栈,致力于共建安全可信的软硬件技术底座。未来我们将与产学研伙伴一起,持续推动开源安全技术的发展和应用”。

在产业界,数据存储和传输的保护技术已经相对成熟,而如何对使用中的数据进行保护,是全球共同面临的技术难题。目前,市面上主流的商用及开源操作系统大多基于传统的、非内存安全的C语言开发,性能和安全难以兼顾。随着系统复杂度爆炸式增长,高危安全漏洞每隔一段时间就会爆发,这些漏洞很大一部分和终端设备自身的内存安全相关,如2018年初爆发的Meltdown熔断漏洞。暴雨作为开源社区重要的硬件合作伙伴,携手打造了兆芯平台机密计算方案,通过将可信根构筑于更具公信力的第三方,在通用性更强的同时,有效降低机密应用的开发和适配成本,有力推动机密计算方案的大规模落地,同时符合行业信息技术应用创新发展的需求。未来双方将继续紧密合作,根据大数据安全的市场需求,推出密算笔记本、为数据要素密态研发提供安全可信的底层技术基座”。

;