10月12日，在2017杭州·云棲大會上，阿里云發(fā)布了全新一代的計算類服務(wù)器產(chǎn)品–神龍云服務(wù)器（X-Dragon Cloud Server）。

神龍云服務(wù)器是一種可水平彈性伸縮的高性能計算服務(wù)，融合了物理機與云服務(wù)器的各自優(yōu)勢，實現(xiàn)超強、超穩(wěn)的計算能力。

神龍服務(wù)器的核心亮點之一就是加密計算。本文特別邀請到阿里云安全首席架構(gòu)師李曉寧特別撰文解讀，神龍服務(wù)器中的加密計算背后的技術(shù)實現(xiàn)。

第一部分：加密計算是什么，和它所帶來的改變

阿里云加密計算是一種高等級的數(shù)據(jù)保護技術(shù)。通過“芯片級”的可信執(zhí)行環(huán)境，可以讓數(shù)據(jù)所有者最大程度地對云上數(shù)據(jù)進行保護。

對于客戶來說，阿里云加密計算可確保客戶云主機上只存有加密過的數(shù)據(jù)，任何其他人包括云廠商都無法接觸到明文數(shù)據(jù)?？蛻艨梢宰杂傻剡x擇適合自己的加密計算方案，并在云上使用。當(dāng)需要數(shù)據(jù)明文時，也可通過阿里云加密計算，在硬件層可信執(zhí)行環(huán)境中，將數(shù)據(jù)安全解密和計算。

阿里云加密計算，目前基于芯片級”可信執(zhí)行環(huán)境作為基礎(chǔ)。 該技術(shù)可以提供最高強度的關(guān)鍵數(shù)據(jù)和代碼運行保護（其設(shè)計模型如下圖所示），默認可信執(zhí)行環(huán)境之外的所有計算環(huán)境，都是不可信的，所有加密信息只能在可信執(zhí)行環(huán)境中運算。其中，“不需要信任”的部分包括了系統(tǒng)硬件，系統(tǒng)固件比如BIOS系統(tǒng), 虛擬機底層管理器，操作系統(tǒng)內(nèi)核，其他高權(quán)限客戶進程，以及本進程內(nèi)除了可信執(zhí)行環(huán)境以外的所有代碼。這些不可信系統(tǒng)部分的隔離是基于高強度的芯片保護，任何屬于非信任環(huán)境的代碼都無法讀取數(shù)據(jù)可信執(zhí)行環(huán)境內(nèi)部的關(guān)鍵數(shù)據(jù)。

阿里云加密計算技術(shù)和以往的加密保護相比，有以下區(qū)別：

加密計算技術(shù)基于處理器芯片，直接提供硬件可信執(zhí)行環(huán)境，其信任根是基于處理器芯片，而不是基于底層軟件保護，比如虛擬機管理器或者操作系統(tǒng)內(nèi)核。 加密計算技術(shù)通過硬件可信執(zhí)行環(huán)境，給客戶提供足夠靈活的加密方案，由客戶自己來定義和控制，確?？蛻舻募咏饷苊荑€以及算法，都在自己的控制下。 加密計算技術(shù)不需要信任除了硬件可信執(zhí)行環(huán)境以外的任何代碼的數(shù)據(jù)，從而提供更高等級的安全保護。 加密計算技術(shù)最大化地復(fù)用了處理器的計算能力，這樣加密計算本身的計算處理性能充分發(fā)揮了處理器的性能。

阿里云加密計算是在硬件層面的“芯片級”數(shù)據(jù)保護方案。除了加密計算之外，阿里云也提供了全鏈路的數(shù)據(jù)加密方案確?？蛻魯?shù)據(jù)安全及隱私，覆蓋物理安全，硬件安全，存儲安全，密鑰管理，傳輸加密相關(guān)的各個環(huán)節(jié)。

數(shù)據(jù)安全和隱私保護是阿里云的第一原則。目前，阿里云自身也在逐步采用加密計算技術(shù)保護內(nèi)部的敏感數(shù)據(jù)，比如關(guān)鍵密鑰，敏感配置信息等，提升云平臺的安全度和強韌度。同時，阿里云也將加密計算能力輸出給客戶?？蛻艨梢酝ㄟ^購買特定的神龍云服務(wù)器以獲取加密計算服務(wù)，具體的神龍云服務(wù)器原型將很快在官網(wǎng)發(fā)布。

第二部分：阿里云加密計算技術(shù)原理，以及客戶如何用好它

1、加密計算基本架構(gòu)和使用實例

下面讓我們看看加密計算的基本架構(gòu)。

 1/3    1 2 3 下一頁 尾頁