前几天在全国各地如火如荼开展的国家网络安全周,再度掀起了社会大众对数据安全的重视。全球的科技企业最近也围绕数据安全有了大动作,在圣地亚哥举办的一场开源峰会上,宣布成立了一个叫“可信计算联盟(Confidential Computing Consortium,CCC)”的组织。
腾讯、微软、谷歌、ARM、IBM、英特尔、红帽等来自全球的科技企业都是CCC的创始成员。联盟成立的目的就是为了推进“可信计算”的研究,从而保护云端数据安全。
可信计算基于硬件安全模块,创建了一个完全隔离的可信执行环境,主机操作系统和云服务提供商都无法接触到这些安全区的敏感信息,从而防止任何第三方对正在执行中的数据进行篡改,从根本上解决了用户对数据运行时安全问题的担忧。
中国工程院沈昌祥院士也在网络安全周上提出,要主动为网络信息系统培育免疫能力,实施主动免疫可信计算,在计算运算的同时进行安全防护,以密码为基因实施身份识别、状态度量、保密存储等功能,及时识别“自己”和“非己”成分,从而破坏与排斥进入机体的有害物质。
数据的存储和传输的安全保护,目前业界已有非常成熟的解决方案,而数据在使用过程中的安全保护,则是业界的一个难题。可信计算联盟的成立正是致力于推动可信计算技术在全球的普及和发展,以解决数据安全保护中最薄弱的一个环节。
目前,可信计算联盟已经吸收了微软Open Enclave SDK开源项目、英特尔Software Guard Extensions SDK、红帽Enarx等开源项目,后续还将汇集硬件供应商、云提供商、开发人员、开源专家和学者,加速推进可信计算研究。
举个栗子。
两个富翁在街上相遇,看对方都珠光宝气的,当时就想比比谁更有钱。但是两个人又都不想告诉对方自己的家底具体有多少,更不想告诉街上正在吃瓜的你,咋个整?
这个由“图灵奖”获得者姚期智提出的“姚氏百万富翁难题”,就是如何保障数据使用过程中安全性的一个缩影。
在这个问题上,我们在加入“可信计算联盟(Confidential Computing Consortium,CCC)”之前,就已经进行了广泛的研究,成功在“数盾”产品线下,新研发了一款多方安全计算产品,基于这个产品提供的平台能力,多个公有云用户可以将数据保存在平台上进行联合运算,而不用担心数据被云管理员和外部黑客非法访问。
“数盾”还在数据安全领域发明了一种效率更高的方案并申请了专利,以更优的方法,显著降低了联合营销推广、征信查询、联合建模等场景下的数据泄露风险。
这其实也是目前产业需求中一类特殊的数据安全场景——密文交集计算:双方的合作中,需要知道交集的信息,但不希望对方知道非交集部分的数据。
如何计算这个交集?在“数盾”获得的发明专利中,基于一种能满足交换律的加密算法,从而实现客户A和B先用自己的密钥对数据集进行加密,随后将密文交给对方进行二次加密,公有云使用二次加密的数据来求交集。这样一来,除了双方交集的数据,彼此非交集的部分对方都不会知悉。当然,云平台这个过程中进行计算的都是密文数据,保证数据安全。目前,这个技术已在腾讯内部的跨部门合作中得到应用。
基于这些研究成果,并结合在安全领域数十年的其他技术积累,目前我们已经打造了端到端的云数据全生命周期安全体系——“腾讯安全”通过数据安全审计(CDS-AUDIT)、数据安全网关(DASB)、敏感数据处理(CDS-MASK)、数据安全治理中心(DSGC)、数据加密软硬件服务(HSM/SEM)、数据加密和秘钥服务(KMS)以及身份凭据与授权(Secret Manager)等能力,保障数据在传输、存储及计算过程中的安全。