Dengan perkembangan teknologi Internet yang berterusan, semakin banyak data disimpan dalam awan Data ini mengandungi maklumat privasi peribadi pengguna, rahsia perniagaan dan maklumat penting lain. Walau bagaimanapun, dengan pemusatan penyimpanan dan pemprosesan data, isu keselamatan data pengguna telah menjadi semakin ketara. Untuk menyelesaikan masalah ini, Intel mencadangkan teknologi pemproses bersama keselamatan SGX (Software Guard Extensions), yang boleh melindungi data pengguna pada peringkat perkakasan. Artikel ini akan berkongsi cara melaksanakan pengkomputeran sulit dalam Intel SGX.
1. Gambaran keseluruhan seni bina SGX
SGX ialah teknologi sambungan perkakasan selamat yang dilancarkan oleh Intel, yang boleh menyediakan persekitaran pelaksanaan yang dipercayai untuk aplikasi, supaya aplikasi boleh berjalan dengan selamat dalam persekitaran yang tidak dipercayai sambil melindungi kod dan data aplikasi. Teknologi SGX membahagikan sebahagian daripada memori dalam CPU kepada persekitaran pelaksanaan yang selamat (Enclave) Hanya aplikasi yang melaksanakan dalam Enclave dibenarkan untuk mengakses data dalam Enclave, dan memori dalam Enclave tidak boleh diakses secara luaran, walaupun oleh OS (sistem pengendalian) Data dalam Enklaf tidak boleh diakses terus.
2. Konsep asas pengkomputeran selamat
Pengiraan Selamat ialah penyelidikan tentang algoritma yang memproses maklumat peribadi dengan pasti Matlamatnya adalah untuk mengekalkan kerahsiaan data semasa proses pengiraan . Bentuk umum pengkomputeran sulit ialah berbilang peserta melakukan pengiraan tanpa mendedahkan maklumat input peribadi mereka, dan akhirnya memperoleh hasil pengiraan.
Sebagai contoh, dalam senario data perubatan, satu hospital perlu berkongsi data peribadi pesakitnya dengan hospital lain untuk menjalankan penyelidikan pencegahan penyakit yang lebih baik, tetapi data masing-masing mempunyai atribut privasi dan tidak boleh Berkongsi secara terbuka. Pada masa ini, adalah perlu untuk menggunakan teknologi pengkomputeran sulit untuk melindungi data kedua-dua hospital semasa proses pengiraan, dan melengkapkan pengiraan tanpa mendedahkan data peribadi. SGX boleh digunakan sebagai pelaksanaan persekitaran pelaksanaan yang dipercayai dalam pengkomputeran sulit.
3. Asas pengkomputeran sulit dalam SGX
Perkara pertama yang perlu dilakukan ialah membuat Enklaf dan memindahkan Logik Perniagaan aplikasi diletakkan di Enklaf untuk memastikan keselamatan kod dan data. Semasa proses penciptaan, enklaf disulitkan dan hanya boleh dilaksanakan oleh CPU tertentu. Untuk data sensitif dalam aplikasi, ia perlu disimpan dalam memori Enklaf untuk memastikan data sensitif tidak akan bocor. Pada masa yang sama, Enklaf juga mesti diasingkan dengan selamat daripada aplikasi lain dan kernel untuk menghalang program serangan luaran daripada memusnahkan Enklaf dan memastikan keselamatan dalaman Enklaf.
SGX SDK menyediakan beberapa antara muka pengaturcaraan dan alatan pembangunan untuk membantu aplikasi melaksanakan pengkomputeran sulit. Pustaka yang disediakan oleh SGX SDK termasuk sejumlah besar fungsi yang melakukan pengiraan secara sulit, seperti penjanaan nombor rawak, penyulitan algoritma dan pengesahan Aplikasi boleh menghubungi terus fungsi ini untuk pengiraan penyulitan. Pada masa yang sama, SGX SDK juga menyediakan pelbagai algoritma pengesahan dan penyulitan, serta pengurusan kunci dan perkhidmatan asas yang lain.
Dalam aplikasi pengkomputeran sulit, Enklaf biasanya digunakan pada berbilang komputer, dengan beberapa Enklaf bertindak sebagai pelayan dan Enklaf lain bertindak sebagai pelanggan. Setiap kali pelanggan perlu memanggil fungsi atau alamat yang disediakan oleh pelayan, panggilan jauh Enclave dibuat. Dalam SGX, panggilan jauh dianggap sebagai isu keselamatan khas dan memerlukan satu siri pertimbangan keselamatan, seperti melindungi penunjuk, pemetaan memori, dll. dengan cara yang sama seperti pepohon direktori.
4. Petua untuk melaksanakan pengkomputeran selamat menggunakan SGX
Untuk melindungi keselamatan kod aplikasi dalam Enklaf, adalah perlu Gunakan alat yang disediakan dalam SGX SDK untuk penyulitan dan pengesahan. Secara khusus, adalah amalan terbaik untuk menyusun dan menandatangani aplikasi dan persekitaran pelaksanaan yang dipercayai di SGX secara berasingan untuk memastikan pengesahan yang diperlukan dan logik perlindungan data dilaksanakan dengan betul. Hanya dengan cara ini data dan kod dalam aplikasi boleh dilindungi sepenuhnya, memastikan keselamatan proses pengkomputeran.
Untuk melindungi data sensitif dalam aplikasi, ia perlu disimpan dalam Enklaf untuk mengelakkan kebocoran. Pada masa yang sama, penyulitan mesti dilakukan untuk memastikan data sensitif dilindungi. Jika data dalam Enklaf perlu diakses oleh aplikasi lain, API dalam SGX SDK harus digunakan untuk penghantaran data rangkaian. Secara umumnya, proses ini ialah proses panggilan prosedur jauh (RPC), yang kini tersedia untuk pemindahan dan perlindungan data selamat melalui Enklaf.
Pada masa yang sama, apabila logik komunikasi rumit, pengoptimuman kod juga sangat penting. Sebagai contoh, dalam senario aplikasi penerokaan minyak, tekanan dan perubahan suhu seluruh medan minyak perlu dikira, tetapi pengiraan memerlukan banyak masa dan sumber pengkomputeran. Pada masa ini, kod boleh dioptimumkan untuk meminimumkan masa pelaksanaan kod segerak, dengan itu meningkatkan kecekapan pengkomputeran dan menjimatkan sumber pengkomputeran.
5. Kesimpulan
Pengkomputeran sulit adalah teknologi yang sangat penting Dalam era maklumat, kerahsiaan dan integriti data adalah sangat penting untuk hubungan kepercayaan antara penyedia perkhidmatan dan pelanggan. Teknologi Intel SGX menyediakan sokongan teknikal yang sangat baik untuk pengkomputeran sulit, membantu pembangun mencipta persekitaran pelaksanaan yang dipercayai dan melindungi keselamatan maklumat penting. Atas dasar memastikan keselamatan data, kecekapan perkhidmatan dan keberkesanan keseluruhan sistem dipertingkatkan. Diharapkan dengan perkembangan teknologi, akan lebih banyak inovasi dan senario aplikasi dalam aplikasi pengkomputeran sulit dan teknologi SGX.
Atas ialah kandungan terperinci Bagaimana untuk melaksanakan pengkomputeran sulit dalam Intel SGX?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!