




版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
eBPF專場(chǎng)eBPF與私密計(jì)算的生態(tài)結(jié)合鄭振宇2022年05月28日機(jī)密計(jì)算是由機(jī)密計(jì)算聯(lián)盟(CCC)定義的一個(gè)行業(yè)術(shù)通過(guò)在基于硬件的受信任執(zhí)行環(huán)境(TEE)中執(zhí)行計(jì)算來(lái)將業(yè)務(wù)運(yùn)行在商業(yè)軟件、開(kāi)源軟件、或就地部署軟件上意味著信任軟件提供者業(yè)務(wù)最終會(huì)運(yùn)行在硬件上,意味著信任硬件提供者業(yè)務(wù)云基礎(chǔ)設(shè)施提供商,意味著信任云基礎(chǔ)設(shè)施提供者?與靜態(tài)數(shù)據(jù)加密和傳輸中數(shù)據(jù)加密一起使用時(shí),機(jī)密計(jì)算可以在安全的公有云平臺(tái)中保護(hù)敏感或嚴(yán)格監(jiān)管的數(shù)據(jù)集和應(yīng)用程序工作負(fù)載,以此消除了加密的唯一最大難題-使用中數(shù)據(jù)的加密從而超越了常規(guī)數(shù)據(jù)保護(hù)?TEE還可用于保護(hù)專有業(yè)務(wù)邏輯、分析函數(shù)、機(jī)器學(xué)習(xí)算法或整個(gè)應(yīng)用程序?訪問(wèn)控制驗(yàn)證:對(duì)內(nèi)存區(qū)域的訪問(wèn)僅限于特定的進(jìn)程/上下文。?地址轉(zhuǎn)換:內(nèi)存的分段區(qū)域不能直接從TEE的邊界之外進(jìn)行尋址。?分頁(yè)控制:非TEE進(jìn)程不會(huì)與TEE數(shù)據(jù)同時(shí)在CPU中活動(dòng)。?內(nèi)存加密:對(duì)內(nèi)存中的數(shù)據(jù)進(jìn)行加密,防止黑客或惡意軟件竊取敏感信息各銀行之間不會(huì)互相訪問(wèn)數(shù)據(jù)。通過(guò)機(jī)密計(jì)算,這些金融機(jī)構(gòu)可以提高欺詐景,減少誤報(bào),并持續(xù)從較大數(shù)據(jù)集中學(xué)習(xí)。聯(lián)邦學(xué)習(xí):相互合作的醫(yī)療保健機(jī)構(gòu)提供專用醫(yī)療保用該模型并收到有用的結(jié)果?!癳BPF是一種跨平臺(tái)技術(shù),可以運(yùn)行沙盒程序來(lái)擴(kuò)展特權(quán)系統(tǒng)組件”?在可信執(zhí)行環(huán)境(TEE)中的代碼是特權(quán)系統(tǒng)組件?設(shè)計(jì)時(shí)場(chǎng)景:設(shè)計(jì)一個(gè)擴(kuò)展程序,將其部署到現(xiàn)有的保密虛擬機(jī)/容器/進(jìn)程/庫(kù)中;?運(yùn)行時(shí)場(chǎng)景:根據(jù)管理員輸入即時(shí)創(chuàng)建一個(gè)擴(kuò)展程序,以在現(xiàn)有的保密虛擬機(jī)/容器/進(jìn)程/庫(kù)中運(yùn)行。?可能已經(jīng)存在于TEE中(例如,在TEE中的Linux虛擬機(jī)中)。?與WASM相比,可以在內(nèi)核模式下工作,支持更多語(yǔ)言類型(例如Rust)。?驗(yàn)證器提供了比許多其他方法更強(qiáng)的安全性和可靠性(例如,代碼在有限時(shí)間內(nèi)終止)。AttestedTrustedApp2communicationTAdeploymentprogrameBPFprogramdeploymentAttestedTrustedApp2communicationTAdeploymentprogrameBPFprogramdeploymentAppDataNormalappNormalappApp<otherprog>”App<otherprog>”“LoadRuntimeOtherhookOtherprogramLoad/attachhook(singleton)Gatekeeperprogram?對(duì)eBPF程序進(jìn)行簽名校驗(yàn),僅允許授信程序執(zhí)行Manypotentialscenariosexist1.eBPF應(yīng)用部署證明:A.僅在可靠的TEE上部署可靠的eBPF應(yīng)用B.TEE僅接受來(lái)自可靠源的eBPF應(yīng)用2.eBPF擴(kuò)展實(shí)現(xiàn)可信通信:A.將數(shù)據(jù)或代碼部署到可信TEE(可被eBPF擴(kuò)展)B.僅接受來(lái)自可靠TEE的數(shù)據(jù)請(qǐng)求(可被eBPF擴(kuò)展)3.eBPF應(yīng)用通過(guò)API訪問(wèn):A.eBPF在數(shù)據(jù)流量中校驗(yàn)B.eBPF在API調(diào)用時(shí)校驗(yàn)C.使用eBPF程序作為校驗(yàn)工具內(nèi)核架構(gòu)優(yōu)化、用戶模式協(xié)議棧Gazelle和HCK解耦控制和計(jì)算架構(gòu)可實(shí)現(xiàn)最佳性能(提升5%至20%混合存儲(chǔ)加速套件HASK顯著提高了Ceph存儲(chǔ)的IOPS。引擎、容器OS、安全容器混合部署,夯實(shí)云原生基礎(chǔ),資源利用率提升15%~40%A-OPS智能運(yùn)維,A-tune智能調(diào)優(yōu)效率倍級(jí)提升機(jī)密計(jì)算框架secGear:軟硬件協(xié)同打造1、服務(wù)層:提供完整的基于機(jī)密計(jì)算的安全服務(wù),用戶直接使用相關(guān)服務(wù),享受機(jī)密計(jì)算帶來(lái)的安全性。2、中間件層:提供常見(jiàn)的安全協(xié)議組件以及各種安全函數(shù)庫(kù),用戶可以直接在安全及非安全側(cè)調(diào)用相關(guān)接口,不必從頭造輪子。3、基礎(chǔ)層:提供豐富的enclave開(kāi)發(fā)接口或工代碼生成工具和enclave聲明周期管理等接口,并且在安全側(cè)支持POSIXAPIs和標(biāo)準(zhǔn)OpenSSL接口,用戶基于這些接口可以自由開(kāi)發(fā)安全應(yīng)用程序。 提升5倍關(guān)鍵技術(shù):將內(nèi)核能力、硬件加速能力服務(wù)化、集市化,惠及更多的社區(qū)用戶?eBPFruntime:負(fù)責(zé)提供具備可移植性管理等能力。?eBPFDevelopmentK
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 高中語(yǔ)文第四冊(cè)林黛玉進(jìn)賈府 同步練習(xí)3舊人教版基礎(chǔ)知識(shí)及其運(yùn)用
- 高中語(yǔ)文必修5六國(guó)論 同步練習(xí)加線詞與例句中加線詞用法相同
- 勞務(wù)合同工作合同范例
- 企業(yè)文員勞務(wù)合同范例
- 農(nóng)機(jī)維修合同范例
- 前期開(kāi)辦合同范例
- ps租房合同范例
- 公司賣水果訂購(gòu)合同范例
- 買賣珠寶文玩合同范例
- 住宿出租房屋合同范例
- 公司壓力容器明細(xì)臺(tái)賬
- 乳腺癌改良根治術(shù)
- 新版(七步法案例)PFMEA
- 臨床護(hù)理重點(diǎn)??平ㄔO(shè)項(xiàng)目評(píng)審標(biāo)準(zhǔn)
- 二倍角的三角函數(shù)說(shuō)課稿
- 《頸椎病的護(hù)理》PPT課件(完整版)
- 新蘇教版科學(xué)五年級(jí)下冊(cè)全套教學(xué)課件
- GB_T 41377-2022菊粉質(zhì)量要求(高清-最新)
- VFS5210-4DB-06 SMC電磁閥
- 400V電纜分支箱生產(chǎn)實(shí)用工藝流程
- 實(shí)驗(yàn)實(shí)訓(xùn)室使用申請(qǐng)表
評(píng)論
0/150
提交評(píng)論