腾讯云数链通采用英特尔SGX技术,为数据流动与共享“护航”

芯东西(公众号:aichip001)
作者 |  ZeR0
编辑 |  漠影

芯东西11月8日报道,在11月4日举行的2021腾讯数字生态大会上,英特尔与腾讯共同宣布了一系列深化创新合作成果,包括共同打造可信协同共享,加码数据安全。

在区块链赋能下,腾讯云打造了数据要素共享平台腾讯云数链通,并在可信执行环境中采用英特尔SGX技术,能为用户提供建立起可信且可溯源的数据交互机制,打破数据壁垒,实现数据融合应用。

大会期间,腾讯Blade Team技术负责人张博、腾讯云数链通产品负责人刘江及英特尔技术专家分享了英特尔技术与腾讯在多领域的合作细节。

一、在内存中构建一个安全“飞地”

软件保护扩展(SGX)是英特尔第三代至强可扩展处理器中一个非常重要的系统功能,是一个基于硬件的可信执行环境。

SGX的特点是在计算过程中保证数据安全,可将数链通产品中受保护的数据做融合,然后在SGX系统可信执行环境当中进行安全计算,随后将计算结果反馈给用户,从而挖掘数据中的价值。

经过在业界十几年的摸索,SGX具备持续增强的安全能力,能在内存等硬件中构建一个安全“飞地”,帮助保护代码和数据,防止数据在处理期间遭受恶意软件攻击和权限提升型攻击。

腾讯云数链通产品即采用SGX技术。腾讯云数链通产品负责人刘江回忆道,在做封闭或ToB的区块链行业时,很多客户想要做多方的数据融合共享,这就先要通过区块链实现多方业务的合作,由此引发出新的问题——如何在保护各参与方的数据所有权、数据不出域的情况下,更好的实现多方之间的业务协同?

在这样的情况下,腾讯云探索了多方机密计算或隐私计算的技术,经多方调研和考察后,采用了基于英特尔的SGX技术,结合其区块链技术,通过区块链的分布式共识能力,解决用户在交互、共享过程当中的授权和融合。

腾讯Blade Team技术负责人张博谈道,腾讯云数链通产品的底层架构即基于英特SGX技术来构建一个从底层硬件、自下而上的软件技术栈,比如底层是英特尔CPU提供的SGX技术,中间有操作系统的适配,上有可信计算的软件层,再往上有各个方面的应用层。

“在计算过程当中,通过SGX的可信计算能力,保护我们在计算过程当中的安全和隐私,从而更好实现用户业务数据价值的发挥和挖掘。”刘江说。

区块链本身作为分布式的专门技术,其实在本身协作过程当中,也会面临包括像一些密码的安全、交易的安全、共识的安全等等。和区块链相结合的网络发送、密钥签发以及一些智能合约运算中的保护等,只要是与CPU内存进行交互,都有机会利用SGX的能力,对相应不同层级的工作负载进行保护。

“通过SGX技术,可以更好的保证我们区块链在合约,在计算相关方面的安全。”刘江提到腾讯云数链通产品将与用户业务相关的智能合约执行放到SGX环境当中,以此来实现整个区块链业务协同过程当中,关于业务数据、算法模型、合约本身的安全防护。

二、顺应机密计算需求,向两个重要方向优化

据英特尔技术专家分享,SGX技术从第6代酷睿处理器开始发布,当时是为了主机上做DRM和密码的保护、指纹保护及一些电子支付的电子签名等一系列较轻量化的应用。

后来业界发展出机密计算这一概念,即要保护使用中的数据,和CPU交互的内存数据一般被理解为使用中的数据。看到这一趋势后,英特尔顺应客户机密计算的需求,将SGX的能力带到服务器中。最新发布的面向单路和双路的第三代英特尔至强可扩展处理器上,最高已可支持1TB的保留加密内存区域。

SGX技术目前有两个重要发展方向。一是腾讯云在其公有云上虚拟机层面可支持SGX的功能特性。腾讯云的用户在申请了一个虚拟机产品之后,其中会相应有SGX能力的展现,如何将SGX保护的物理内存高效动态分配给数百个虚拟机,这是SGX架构正在研究和完善的功能。

另一方面,很多客户部署SGX时,很重要的一个功能就是远程认证,因为如果没有认证远端机器已经分配了一个合法的内存,很难将真正的工作负载加载过去。这需要应用侧提出具体要求,然后由英特尔SGX实现必要的个性化。

关于持续优化安全机制,英特尔技术专家称,英特尔与业界很多研究机构一起合作,对其CPU不断测试,保证CPU,特别是SGX信任根能够有一个提前地感知和防护。“我们是目前在可信执行环境领域中,是业界研究最广泛、发现问题及时得到修复、也是最高效实现的,随着技术发展,我们也在不断优化我们的技术。”

结语:构建可信数据交互机制,打通数字经济桥梁

刘江认为,区块链最大的价值就是在多方应用集成中,可以提供更好的底层技术、可信任的基础,通过区块链的共识机制,分布式存储以及网络技术,更好地打通在原先各个应用闭环当中所存在的数据孤岛问题,构建一个数据价值传输介质,以此来助力实体行业的发展。

目前腾讯区块链已落地50家的应用场景,比如供应链金融、食品溯源、可信凭证、电子发票、财务票据以及基于区块链的数据共享等等,覆盖政府、医疗、金融、司法、教育等多个行业。

基于腾讯云与英特尔技术融合,腾讯云数链通产品的可信数据共享治理机制有望打通数字经济桥梁,更好地解决真实问题。作为产业链上游,英特尔技术专家表示希望能够对腾讯区块链实际落地中发现和反馈的问题做持续地支持。