共计 2866 个字符,预计需要花费 8 分钟才能阅读完成。
随着通信、网络和计算技术的继续演进与广泛应用,数据资源的凋谢共享、替换流通成为推动“万物互联、智慧互通”的重要趋势。与此同时,近年来数据安全事件频发、数据安全威逼日趋严厉,数据的平安解决和流通受到了国内外监管部门的宽泛器重。如何在保障平安的前提下最大水平施展数据的价值,是以后面临的重要课题。
在日益严苛的隐衷爱护相干法律法规束缚下,作为以后数据处理基础设施的云计算也正在经验一次重大的范式转换,即从默认以 CSP 为信赖根底的计算范式走向信赖链与 CSP 解耦的新范式。咱们将此范式称为隐衷爱护云计算,而秘密计算是实现隐衷爱护云计算的必由之路。
为拥抱隐衷爱护云计算新范式,促成隐衷爱护云计算生态倒退,龙蜥社区成立了云原生秘密计算(以下简称“CNCC”)SIG。
CNCC SIG 地址:https://openanolis.cn/sig/coco
CNCC SIG 愿景
CNCC SIG 致力于通过开源社区单干共建的形式,为业界提供开源和标准化的秘密计算技术以及平安架构,推动云原生场景下秘密计算技术的倒退。工作组将围绕 SIG 下的外围我的项目构建云原生秘密计算开源技术栈,升高秘密计算的应用门槛,简化秘密计算在云上的部署和利用步骤,拓展应用场景及计划,晋升龙蜥社区的差异化竞争力。
CNCC SIG 的愿景是:
1)构建平安、易用的秘密计算技术栈
2)适配各种常见秘密计算硬件平台
3)打造典型云上秘密计算产品和利用案例
CNCC SIG 成员介绍
Owners
段然、冯浩、汪少军、张佳
Maintainer
段然(Occlum)
冯浩(CSV 秘密容器)
郝世荣 / 杨亮(Inclavare Containers)
汪少军(JavaEnclave)
肖俊贤(KubeTEE Enclave Services)
我的项目介绍
1、CSV 秘密容器
CSV 是海光研发的平安虚拟化技术。CSV1 实现了虚拟机内存加密能力,CSV2 减少了虚拟机状态加密机制,CSV3 进一步提供了虚拟机内存隔离反对。CSV 秘密容器可能为用户提供虚拟机内存加密和虚拟机状态加密能力,主机无奈解密获取虚拟机的加密内存和加密状态信息。CSV 虚拟机应用隔离的 TLB、Cache 等硬件资源,反对平安启动、代码验证、近程认证等性能。
2、Inclavare Containers
Inclavare Containers 是一种面向秘密计算场景的开源 Intel SGX LibOS 容器运行时技术栈和平安架构。Inclavare Containers 把秘密计算技术和容器技术完满地联合在一起,实现了第一个容器状态的秘密计算解决方案。用户的敏感利用能够部署和运行在由 Inclavare Containers 创立的秘密容器中,在保障平安的前提下,同时放弃与一般容器统一的应用体感。目前 Inclavare Containers 曾经是 CNCF 的 Sandbox 我的项目之一。
主页:https://inclavare-containers.io/
github 官网:https://github.com/inclavare-…
3、Intel SGX Platform Software and Datacenter Attestation Primitives
在龙蜥生态中为数据中心和云计算平台提供 Intel SGX 技术所需的平台软件服务,如近程证实等。
github 官网:https://github.com/intel/SGXD…
4、Intel SGX SDK
在龙蜥生态中为开发者提供应用 Intel SGX 技术所需的软件开发套件,帮忙开发者高效便捷地开发秘密计算程序和解决方案。
github 官网:https://github.com/intel/linu…
5、JavaEnclave
JavaEnclave 是一个面向 Java 生态的秘密计算编程模型,它继承了 Intel SGX SDK 所定义的 Host-Enclave 秘密计算宰割编程模型,提供 Pure Java 的秘密计算利用开发界面,并致力于最小化 Enclave TCB 攻击面,同时反对多 TEE 平台兼容。基于该编程模型,帮忙用户高效开发 Java 秘密计算业务,提供极致平安的秘密运行环境。(注:目前没有开源,还请关注龙蜥社区公众号不迷路,后续开源动静第一工夫把握)
6、KubeTEE Enclave Services
提供 TEE 无关的 Kubernetes 根底服务 (如集群规模的密钥散发和同步服务、集群近程证实服务等),使得用户能够不便地将集群中多台 TEE 机器当作一个更弱小的 TEE 来应用。
github 官网:https://github.com/SOFAEnclav…
7、Occlum
Occlum 是一个 TEE LibOS,是秘密计算联盟(CCC, Confidential Computing Consortium)的官网开源我的项目。目前 Occlum 反对 Intel SGX 和 HyperEnclave 两种 TEE。Occlum 在 TEE 环境中提供了一个兼容 Linux 的运行环境,使得 Linux 下的利用能够不经批改就在 TEE 环境中运行。Occlum 在设计时将安全性作为最重要的设计指标,在晋升用户开发效率的同时保障了利用的安全性。Occlum 极大地升高了程序员开发 TEE 平安利用的难度,晋升了开发效率。
主页:https://occlum.io/
github 官网:https://github.com/occlum/occlum
CNCC SIG 全年布局
1、CSV 秘密容器
Q2:CSV 秘密容器计划反对 Anolis OS
Q4:CSV2 秘密容器计划反对 Anolis OS
2、Inclavare Containers 秘密容器
Q2:Enclave-CC 实现 PoC
Q4:实现 Enclave-CC 过程级秘密容器计划(Occlum NGO + Inclavare Containers)
3、Intel SGX Platform Software and Datacenter Attestation Primitives
Q3:实现 SGX PSW / DCAPK 软件栈对 Anolis OS 的反对
Q4:正式在 Intel 软件仓库公布反对 Anolis OS 的 SGX PSW/DCAP 软件栈
4、Intel SGX SDK
Q3:实现 SGX SDK 软件栈对 Anolis OS 的反对
Q4:正式在 Intel 软件仓库公布反对 Anolis OS 的 SGX SDK 软件栈
5、JavaEnclave 编程模型
Q2:JavaEnclave 秘密计算我的项目开源
Q3:兼容 TDX/CSV 秘密容器状态 TEE 平台
Q4:多语言反对(Python)
6、Occlum
Q4:稳固 Rust-SGX-SDK 2.0.0 版本(TEE 侧全 Rust 语言实现)
Q4:Rust-SGX-SDK 反对 Anolis OS
Q4:Occlum NGO 反对 Enclave-CC 过程级秘密容器
欢送更多开发者或相干我的项目退出云原生秘密计算 SIG:网址:https://openanolis.cn/sig/coco
邮件列表:coco@lists.openanolis.cn
IRC:OpenAnolis-SIG-CoCo
—— 完 ——