文︱郭紫文
“当前对大数据量的需求,以及数据融合、数据联合计算的需求,与数据安全和数据隐私保护之间的矛盾愈加激烈。”腾讯Blade Team技术负责人张博表示,为了调和这个矛盾,腾讯云与英特尔共同发布了腾讯云数链通产品,该产品结合了机密计算和区块链技术,依赖于英特尔CPU提供的SGX技术,实现了合作双方技术的融合与创新,为解决数据共享和安全隐私保护问题提供了完善的解决方案。
为区块链打造硬件安全壁垒
“软件保护扩展(SGX)是一个基于硬件的可信执行环境,也是英特尔第三代至强可扩展处理器中的重要系统功能。”据英特尔技术专家介绍,今年发布的第三代可扩展至强处理器融入了SGX技术,这也是英特尔第一次在芯片上实现了机密计算。“我们在服务器中使用,最大可以实现1TB的内存隔离效果。”
SGX的特点是在计算过程中保证数据安全,而腾讯云正寻求机密计算或隐私计算技术,旨在数据共享和融合的情况下,同时保证融合计算和数据安全隐私。在腾讯云数链通产品负责人刘江看来,与英特尔的合作是经过多方调研和考察的正确选择。“数链通产品采用了基于英特尔SGX技术,结合腾讯云区块链技术,通过区块链的分布式共识能力,解决用户在交互、共享过程当中的授权和融合。在计算过程当中,通过SGX的可信计算能力,保护我们在计算过程当中的安全和隐私,从而更好实现用户业务数据价值的发挥和挖掘。”
基于SGX技术,腾讯云数链通产品构建了从底层硬件自下而上的软件技术栈,在“数据生态构建、数据治理延展、数据价值挖掘”等层面为客户提供助力。张博介绍,数链通产品利用SGX技术搭建了TEE计算集群,进行数据安全计算,并通过区块链技术追溯数据源。机密计算可分配512G内存,能够满足海量数据的计算需求,解决大数据量联合分析的难题,为用户提供低成本、高性能、安全可靠、灵活可扩展的区块链数据平台。
“通过SGX技术,可以更好地保证区块链在合约、计算相关方面的安全。”刘江补充道,腾讯云数链通产品将用户业务相关智能合约的执行放到SGX环境中,进一步保证合约运算的安排,实现整个区块链业务协同过程中,关于业务数据、算法模型及合约本身的安全防护。
SGX更新与优化方向
英特尔SGX技术跟随着第6代酷睿处理器开始发布,为主机DRM、密码保护、电子支付签名等轻量化应用提供安全防护。随着海量数据迁移至云端,内存安全隔离成为企业亟需解决的问题,机密计算的概念借此提出,旨在保护使用中的数据。英特尔技术专家指出,作为芯片厂商,英特尔看到了机密计算的发展趋势,也顺应客户需求将SGX技术融入服务器、虚拟机等领域中。
可支持内存的提升成为SGX技术最重要的发展方向。首先,如何高效地为某个虚拟机动态分配可支持的物理内存。以腾讯云为例,用户在申请了虚拟产品之后,虚机便可以支持SGX技术。英特尔SGX技术将会有1T SGX保护的虚拟物理内存,这些内存需要按照一定调度分配到虚拟机,而当前静态分配的调度方法已经无法满足市场需求。因此,物理内存的高效动态分配成为SGX完善和优化的方向之一。
其次,远程认证是另一个SGX优化方向。远程认证是工作负载加载至远端的重要一环。例如在联邦学习中将算法加载到数据拥有者,应当先确认加载的工作负载是否受到SGX保护,利用SGX技术的远程认证功能在远端机器上分配合法内存,这样才能真正实现数据的加载和传输。
“在可信执行环境领域,英特尔是业界研究最广泛、发现问题最及时、实现修复也是最高效的。随着技术的发展,我们也在不断优化我们的技术。”英特尔技术专家表示,未来,英特尔将与业界紧密合作、良好互动,持续保证CPU、尤其是SGX信任根的提前感知和防护。
打通数据孤岛
“通过区块链的共识机制、分布式存储以及网络技术,能够打通在原先各个应用闭环当中存在的数据孤岛问题。”刘江表示,从区块链发展的角度来看,区块链是一个可信任的基础设施,腾讯云基于区块链联盟链技术,落地了供应链金融、食品溯源、可信凭证及电子发票、财务票据等大量应用场景。“区块链最大的价值就是在多方应用集成中,提供更好的地城技术和可信任的基础。”
从芯片厂商角度来看,英特尔技术专家认为,随着区块链应用越来越广泛和深入,在CPU、软件及生态上的优化也越来越重要。针对区块链特定工作负载的优化,以及区块链标准规范制定等方面,英特尔也在持续布局和规划,希望与腾讯云密切合作,为区块链实际落地问题提供有力的底层技术支持。