騰訊和微軟Google等成立聯盟，讓客戶數據更安全！

• 2019 年 10 月 6 日
• 筆記

前幾天在全國各地如火如荼開展的國家網路安全周，再度掀起了社會大眾對數據安全的重視。全球的科技企業最近也圍繞數據安全有了大動作，在聖地亞哥舉辦的一場開源峰會上，宣布成立了一個叫「可信計算聯盟（Confidential Computing Consortium，CCC）」的組織。

騰訊、微軟、Google、ARM、IBM、英特爾、紅帽等來自全球的科技企業都是CCC的創始成員。聯盟成立的目的就是為了推進「可信計算」的研究，從而保護雲端數據安全。

可信計算

可信計算基於硬體安全模組，創建了一個完全隔離的可信執行環境,主機作業系統和雲服務提供商都無法接觸到這些安全區的敏感資訊，從而防止任何第三方對正在執行中的數據進行篡改，從根本上解決了用戶對數據運行時安全問題的擔憂。

中國工程院沈昌祥院士也在網路安全周上提出，要主動為網路資訊系統培育免疫能力，實施主動免疫可信計算，在計算運算的同時進行安全防護，以密碼為基因實施身份識別、狀態度量、保密存儲等功能，及時識別「自己」和「非己」成分，從而破壞與排斥進入機體的有害物質。

數據的存儲和傳輸的安全保護，目前業界已有非常成熟的解決方案，而數據在使用過程中的安全保護，則是業界的一個難題。可信計算聯盟的成立正是致力於推動可信計算技術在全球的普及和發展，以解決數據安全保護中最薄弱的一個環節。

目前，可信計算聯盟已經吸收了微軟Open Enclave SDK開源項目、英特爾Software Guard Extensions SDK、紅帽Enarx等開源項目，後續還將彙集硬體供應商、雲提供商、開發人員、開源專家和學者，加速推進可信計算研究。

為什麼保障數據使用安全是業界難題？

舉個栗子。

兩個富翁在街上相遇，看對方都珠光寶氣的，當時就想比比誰更有錢。但是兩個人又都不想告訴對方自己的家底具體有多少，更不想告訴街上正在吃瓜的你，咋個整？

這個由「圖靈獎」獲得者姚期智提出的「姚氏百萬富翁難題」，就是如何保障數據使用過程中安全性的一個縮影。

在這個問題上，我們在加入「可信計算聯盟（Confidential Computing Consortium，CCC）」之前，就已經進行了廣泛的研究，成功在「數盾」產品線下，新研發了一款多方安全計算產品，基於這個產品提供的平台能力，多個公有雲用戶可以將數據保存在平台上進行聯合運算，而不用擔心數據被雲管理員和外部黑客非法訪問。

一個小突破

「數盾」還在數據安全領域發明了一種效率更高的方案並申請了專利，以更優的方法，顯著降低了聯合營銷推廣、徵信查詢、聯合建模等場景下的數據泄露風險。

這其實也是目前產業需求中一類特殊的數據安全場景——密文交集計算：雙方的合作中，需要知道交集的資訊，但不希望對方知道非交集部分的數據。

如何計算這個交集？在「數盾」獲得的發明專利中，基於一種能滿足交換律的加密演算法，從而實現客戶A和B先用自己的密鑰對數據集進行加密，隨後將密文交給對方進行二次加密，公有雲使用二次加密的數據來求交集。這樣一來，除了雙方交集的數據，彼此非交集的部分對方都不會知悉。當然，雲平台這個過程中進行計算的都是密文數據，保證數據安全。目前，這個技術已在騰訊內部的跨部門合作中得到應用。

基於這些研究成果，並結合在安全領域數十年的其他技術積累，目前我們已經打造了端到端的雲數據全生命周期安全體系——「騰訊安全」通過數據安全審計（CDS-AUDIT）、數據安全網關（DASB）、敏感數據處理（CDS-MASK）、數據安全治理中心（DSGC）、數據加密軟硬體服務（HSM/SEM）、數據加密和秘鑰服務（KMS）以及身份憑據與授權（Secret Manager）等能力，保障數據在傳輸、存儲及計算過程中的安全。