真正的神出鬼没之功:微软研究院开发出安全技术,能在云里保障客户数据的安全。
新技术名为可验证保密云计算(Verifiable Confidential Cloud Computing),微软的加密专家称之为“VC3”。VC3利用英特尔指令集建立一个“保密箱”(Lockbox),供运行MapReduce的客户在云里使用。保密箱可在未修改的Hadoop上运行。
一篇介绍VC3的文章指,VC3的目的是“将操作系统Hadoop和管理程序置于TCB以外”(TCB:英语Trusted computing base可信计算基础的缩写)。
文章指,这样做以后“即便在这些大型部件受到损害时”也可以维持客户保密性和完整性。
微软的一个贴有如下的解释:
“打个比方,一家金融服务公司要访问很多客户的个人财务记录,然后在云里进行一系列复杂的计算。这些数据就存储在上述的一个保密箱里,只有VC3管理的硬件才能对其进行安全访问。
“进行计算时,客户端的数据被加载到云中的安全硬件里,在安全硬件里被解密、处理和重新加密。其他人不可以查看或访问这些数据,就连那些在云公司工作的人也不可以。”
客户分析的数据、客户用来分析数据的程序代码都是云公司的坏人看不到的,那些成功黑进供应商系统的人也看不到。
打造VC3的研究人员由Felix Schuster领导,他同时任职微软研究院和德国波鸿的Ruhr大学。他们认为运行VC3不至于削弱系统性能。他们的说法是,“VC3的平均实时运作开销百分比相对于其基础安全保障而言是微不足道的,VC3提供写入完整性时的开销百分比为4.5%,提供读/写完整性时的开销百分比为8%。”
微软研究人员在加州圣何塞市召开的IEEE安全与隐私研讨会上发言,对VC3做了介绍。
热门专题
