Confidential Computing Architecture(保密计算架构,CCA)

已于 2024-04-01 18:42:36 修改
阅读量665 收藏 6
点赞数 4
CC 4.0 BY-SA版权
文章标签: 安全
于 2024-04-01 18:32:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Zaczc/article/details/137210090

        保密计算架构(Confidential Computing Architecture)是一种专注于保护数据在处理时的安全性的技术。传统的数据保护措施通常集中在数据的传输和存储阶段,例如使用加密技术保护数据在网络上传输时不被截获,以及确保数据在存储时不被未授权访问。然而,当数据需要被处理或分析时,它必须在处理器的内存中解密,这使得数据在“使用中”时可能暴露给操作系统、虚拟机监控程序或管理员等潜在的威胁。保密计算旨在解决这一问题,通过提供技术手段保护数据在使用过程中的隐私和安全。

核心概念

        1. 执行环境加密:创建可信执行环境,在这个环境中,数据可以安全地被处理,即使在包含的系统中存在恶意软件或其他潜在威胁。

       2.  硬件级安全:许多保密计算解决方案是基于硬件的,如英特尔的SGX(Software Guard Extensions)或AMD的SEV(Secure Encrypted Virtualization),它们提供了硬件级别的数据加密和隔离保证。

        3. 远程认证:通过远程认证,使用者可以验证数据处理环境的安全性,确信其计算任务是在预期的安全环境中执行。

实现技术

        Intel SGX(Software Guard Extensions):一种在CPU中创建安全隔离区域的技术,可以用来保护选定的代码和数据

        AMD SEV(Secure Encrypted Virtualization):提供对虚拟化环境中数据的加密支持,保护VM之间的数据隔离。

        ARM TrustZone在ARM架构中提供了一种创建TEE的方法,用于移动设备和某些类型的嵌入式设备

15-Arm-Confidential-Compute-Software-Stack
baron-周贺贺-代码改变世界ctw
10-07 479
目录1 Overview1.1 Before you begin1.2 Goals1.3 Hardware-software split2 Software components2.1 Monitor2.2 Realm Management Monitor3 Realm management3.1 Resource management3.2 Realm creation and attestation3.3 Realm memory management3.4 Realm context switchin
ARM 之十四 ARMv9 架构前瞻
技术干货
04-07 2984
  在 2021 年的 Arm Vision Day 上(2021年 3 月 30,对应的北京时间应该是 2021 年 3 月 31 日),ARM 展示了其最新的架构:ARMv9。ARMv9 被 ARM 冠以未来 10 年愿景的称号,并将其称为 10 年以来最重要的创新。声称可以将 ARM 生态系统中超 1000 家合作伙伴的直接带入 2030 年。过去的 10 年是 ARMv8 的时代,未来的 10 年则是 ARMv9 的天下。   目前,ARM 并没有放出太多关于 ARMv9 的资料。目前从官网能找到
机密计算Confidential Computing
ciscojianguo的专栏
10-08 2367
云端运行时安全技术 机密计算 Confidential Computing机密计算什么是机密计算机密计算是如何工作的为什么要使用机密计算?机密计算和IBM云机密计算联盟 机密计算 Confidential computing technology protects data during processing. Exclusive control of encryption keys delivers stronger end-to-end data security in the cloud. 机密
GCP IAM : Confidential Computing(谷歌云-机密计算)
★【World Of Moshow 郑锴】★
12-11 962
(机密计算)是Google Cloud Platform(GCP)提供的一项安全技术,旨在保护在计算过程中处理的数据。它通过将数据处理封装在“可信执行环境”(TEE)中,确保即使是在云环境中,数据也不会被未授权访问。通过这种方式,Confidential Computing可以防止云服务提供商、管理员或恶意软件访问数据,从而提高数据在云中的安全性。
[PaperNote] Confidential Computing Direction
treblez's blog
05-30 953
用来记录Confidential Computing方向论文的阅读笔记。 文章目录occlum前置知识lib os组成安全性分析实现 occlum 前置知识 SGX(software guard extensions)创建一个用户私有的空间存储隐私数据,叫做enclaves(飞地) 将库操作系统libos引入到SGX中,从而应用程序能够使用很少的更改就能够获得足够的安全性。 SGX应该能够支持多线程,但是现存的SGX libos不能兼顾效率和安全。occlum是一种兼顾效率与安全的sgx libos
【TEE论文】Confidential Computing within an AI Accelerator
qq_43543209的博客
01-16 1384
我们推出了IPU可信扩展(ITX),这是一组硬件扩展,可在Graphcore的AI加速器中实现可信执行环境。ITX 能够以较低的性能开销执行具有强大机密性和完整性保证的 AI 工作负载。ITX 将工作负载与不受信任的主机隔离开来,并确保其数据和模型在加速器的芯片外始终保持加密状态。ITX 包括一个硬件信任根,可提供证明功能并编排可信执行,以及用于在 PCIe 带宽下对代码/数据进行身份验证加密的片上可编程加密引擎。
Protect data in use with Azure Confidential Computing
cnbird's blog
09-26 387
https://azure.microsoft.com/en-us/updates/protect-data-in-use-with-azure-confidential-computing/
Arm CCA赋能开发者拥有机密计算能力.pdf
09-21
Arm CCA的机密计算架构可以分为三个主要部分:机密领域(Realm)、机密计算单元(Confidential Computing Unit , CCU)和安全管理单元(Security Management Unit , SMU)。机密领域是 Arm CCA 的核心组件之一,负责...
ARM TrustZone、ARM CCA技术以及TEE(受信执行环境)的深入分析
hua920844899的博客
12-03 1477
ARM TrustZone是一种硬件隔离机制,能够在单个芯片上创建两个独立的执行环境——安全世界和普通世界。通过这种机制,敏感操作和数据可以在安全世界中执行,而普通世界则执行常规操作。TrustZone的架构设计允许嵌入式系统、智能设备等利用这一技术保护关键任务免受未经授权的访问。根据ARM的官方文档,TrustZone允许开发者在芯片上实现**“安全世界”和“普通世界”之间的逻辑隔离。这种硬件支持使得设备安全启动**成为可能,进一步增强了在高风险环境中的保护能力。ARM Confidential Comp
ARM CCA机密计算硬件架构之认证Attestation
卢鸿波-security²-安全二次方
12-27 660
Realms内运行的代码将管理机密数据或运行机密算法。因此,该代码需要确保它在运行真正的Arm CCAConfidential Compute Architecture)平台,而不是某种模拟。代码还需要知道它已经被正确加载且没有被篡改。最后,代码还需要知道整个平台或领域是否处于可能泄漏其机密信息的调试状态。建立这种信任的过程称为认证(Attestation)。
Cisco认证架构师(CCA)
weixin_34292959的博客
08-04 355
多年以来,CCIE(Cisco认证互联网专家)认证一直是网络职业人士梦寐以求的最高级别认证,目前全球获得该认证殊荣的人也很少。不过,现在这种情况出现了变化。Cisco在周一又发布了一种比CCIE级别更高的新认证--Cisco认证架构师(CCA)。Cisco试图通过CCA认证将CCIE的网络工程技能与MBA的商业才干结合起来。   在Cisco的CCA认证...
ARM CCA机密计算架构软件栈(下)
卢鸿波-security²-安全二次方
01-08 1266
该博客描述了Arm机密计算架构(Arm CCA)的固件和软件组件。 在这个博客中,将学到如何: 列出组成Arm CCA软件栈的组件集 了解Arm CCA引入新软件组件的原因 了解Monitor和领域管理监视器(RMM)的角色 了解如何创建和管理领域
Confidential Compute Architecture - Arm构架的TEE新模式
baron-周贺贺-代码改变世界ctw
09-22 594
如今,云计算在分布式计算资源按需使用方面起着重要的作用。许多公司,如亚马逊、谷歌或微软都提供云服务,但使用这些服务需要信任服务提供商。这意味着一方面依赖提供商对抗攻击者,但另一方面也要信任提供商本身。恶意的提供商可能最终滥用其客户的敏感数据。使用可信执行环境(TEE)可以帮助增加对提供商的信任。在传输过程中,通常通过数据加密来进行保护,但在目标设备上,数据会被解密,因此暴露于通常被称为Rich执行环境(REE)的不可信环境中。在REE里运行的是设备的操作系统(OS)和应用程序。
【机密计算技术】ITEF 远程证明架构 RATS
最是书香能致远,腹有诗书气自华
07-18 909
A 通常想要使用 B 提供的服务时,B 会要求 A 证明其处于正常、健康的状态下,A 即是 证明方(Attester),而 B 称为依赖方(Relying Party)。 这个和身份认证模型类似,但是证明涉及的会更多一些;如果以生活中以进出某些场所核验身份证进行身份认证外,还需要核对本人的状态是否正常,比如是否醉酒、是否发烧、精神是否正常等等。 通常依赖方 B 并不能直接验证证明者 A 提供的证据(表明其正常),需要依赖C 来对证据进行核验并将核验结果告知 B,C 即是验证方(Verifier)。
Arm v9“机密计算架构(CCA)” 能实现什么?
ZP1015
12-07 2078
ARM V9机密计算 机密计算:下一个安全处理的时代Arm CCA:随时随地保护数据与代码赋能所有开发者访问的安全功能放眼未来:广泛适用于所有工作负载 在过去的几年里,我们已经看到安全性和硬件安全漏洞成了科技新闻中最受关注的内容之一。许多漏洞,例如 Spectre、Meltdown 以及它们所有的同级侧信道攻击,都表明了业界对于解决安全漏洞有着“刚需”。 2021年6月24日,Arm发布全新Arm®v9架构的安全性功能Arm 机密计算架构(Arm Confidential Compute Architect
华为汽车的“计算+通信”电子电气架构
Mr.Cssust的博客
04-06 4097
整车EEA(电子电气架构),按照博世提出的演进路径,大致可以划分为四个阶段:分布式模块阶段、区域控制阶段、中央计算阶段、云计算阶段。本文选取国内一流的汽车研发公司——华为,看一下他的电子电气架构。
操作系统研究:面向软硬件协同的车载操作系统驶入快车道
qq_41854911的博客
04-29 2126
在国内,广义操作系统面向信息娱乐和智能座舱,更注重生态资源的丰富性、服务和应用的多样性,满足用户个性化需求,构建生态圈。Fusion SOA软件平台,涵盖中间件层、服务层、操作系统和硬件层,云端、工具链、服务插件六大解决方案,提供具有量产化经验的全栈SOA技术能力,已适配高通、瑞萨、芯驰等多家车规级芯片的最新座舱平台,支持QNX、Android、Linux等多种操作系统,还提供全面优化的图形系统、AI Orchestra Engine中间件和最新的语音算法引擎AM Acoustic Engine等。
第十一章:Armv9-CCA 和 RME 技术
底层软件设计内幕
11-22 1048
随着云计算和边缘计算的兴起,数据安全性和隐私保护的重要性日益增加。CCA 和 RME 的设计初衷是通过硬件隔离的方式,为关键数据和任务提供更高的安全性,同时保留传统虚拟化的高性能。它负责创建、管理和销毁 Realm 的运行环境,并提供隔离的内存管理机制。CCA 是 Armv9 架构中针对机密计算场景设计的一套扩展,通过硬件实现计算环境的隔离和保护,为云端和边缘设备提供高度安全的执行环境。是 Armv9 架构的核心创新技术,旨在提供硬件级的机密计算环境和更加灵活的资源管理机制。
机密计算 CCA
最是书香能致远,腹有诗书气自华
12-11 1326
CCA 硬件架构引入两种新的状态 Realm 和 Root,Realm 状态下运行机密计算程序,Root 运行 EL3 firmware。Armv9 硬件架构分为 4 种特权模式和 4 种状态:特权模式分别为EL3,EL2,EL1,EL0;状态分别为 Root,Realm,Secure, Non-Secure。状态控制寄存器位于 SCR_EL3 的 NS 和 NSE位,状态关系如图。图 3 系统状态控制寄存器Root 状态包含 EL3 模式Realm 状态包含 EL2,EL1,EL0 模式。
qemu_cca_efi
最新发布
07-23
CCAConfidential Computing Architecture)指机密计算架构,如 AMD SEV(Secure Encrypted Virtualization)或 Intel SGX(Software Guard Extensions),用于保护虚拟机内存的机密性。EFI(Extensible Firmware ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值