当前位置: 首页 > news >正文

OpenEuler Sec-Select:揭秘基于鲲鹏/昇腾的机密计算安全解决方案

OpenEuler Sec-Select:揭秘基于鲲鹏/昇腾的机密计算安全解决方案

【免费下载链接】sec-selectThe repo aims to provide security-related best practices such as confidential computing solutions etc, based on Kunpeng and Ascend related hardware platforms.项目地址: https://gitcode.com/openeuler/sec-select

前往项目官网免费下载:https://ar.openeuler.org/ar/

OpenEuler Sec-Select 是一个基于鲲鹏和昇腾硬件平台的安全解决方案仓库,旨在提供机密计算等安全相关的最佳实践。该项目通过多种创新技术和工具,为用户打造安全可靠的计算环境,保护敏感数据和应用程序免受未授权访问和攻击。

什么是机密计算?

机密计算是一种新兴的安全技术,它通过在硬件层面创建一个受保护的执行环境(通常称为安全飞地或可信执行环境),确保数据在处理过程中的机密性和完整性。即使操作系统或 hypervisor 被攻破,安全飞地内的数据和代码也能保持安全。

OpenEuler Sec-Select 项目正是围绕这一核心概念,提供了一系列基于鲲鹏和昇腾平台的机密计算解决方案。

核心解决方案:CCA / VirtCCA 机密计算支持

在 OpenEuler Sec-Select 中,一个重要的解决方案是 CCA(Confidential Compute Architecture)和 VirtCCA 机密计算支持。该方案的详细实现可以在src/rsi.rs(CCA)和src/tsi.rs(VirtCCA)中找到。

RSI(Realm Services Interface)实现

RSI 是 CCA 架构中的一个关键组件,它定义了安全飞地(Realm)与安全监控器(Realm Manager)之间的接口。OpenEuler Sec-Select 实现了以下 RSI 函数:

RSI 函数SMC FID功能
rsi_request_version0xC4000190请求 RSI ABI 版本
rsi_features0xC4000191查询 RSI 特性
rsi_measurement_read0xC4000192读取 Realm 测量值
rsi_measurement_extend0xC4000193扩展 Realm 测量值
rsi_attestation_token_init0xC4000194初始化认证令牌请求
rsi_attestation_token_continue0xC4000195继续获取认证令牌
rsi_get_realm_config0xC4000196获取 Realm 配置
rsi_ipa_state_set0xC4000197设置 IPA 状态(接受/共享/销毁)
rsi_ipa_state_get0xC4000198获取 IPA 状态
rsi_host_call0xC4000199主机调用

CCA 内存管理

在 CCA Realm 环境中,内存有两种状态:

  • Protected (加密):Realm 私有内存,hypervisor 不可访问
  • Shared (解密):与 hypervisor 共享的内存,用于 I/O 通信

内存状态转换通过 RSI 调用实现:

  • accept_memory(start, end)rsi_set_memory_range_protected:将内存标记为 Realm 受保护
  • mark_shared(start, end)rsi_set_memory_range_shared:将内存标记为共享(解密)
  • mark_private(start, end)rsi_set_memory_range_protected:将共享内存恢复为受保护

OpenClaw-CCA:基于 CCA 的安全解决方案

除了基础的 CCA 支持外,OpenEuler Sec-Select 还提供了 OpenClaw-CCA 解决方案,这是一个基于 CCA 的完整安全架构。

OpenClaw-CCA 架构主要包含以下几个部分:

  1. 外部信任基础设施:包括管理员、GTA(Global Trust Authority)和 RBS(Resource Broker Service),负责生成和验证信任证据,管理策略和敏感资源。

  2. CCA 机密 VM(Realm):基于鲲鹏 950 + openEuler 24.03-SP4 构建的安全执行环境,包含 openClaw LLM 网关和 LUKS 加密卷。

  3. 受保护数据:包括 API 密钥、长期内存、会话状态以及日志和审计记录等敏感数据。

OpenClaw-CCA 的工作流程

OpenClaw-CCA 的工作流程可以概括为以下几个步骤:

  1. CCA Realm 启动,测量关键组件(如 cryptsetup、openclaw、shadow hash 等)。
  2. 收集 TEE REM3 值,初始化挑战请求。
  3. 提交证据,请求远程认证。
  4. RBS 转发证据进行远程认证。
  5. GTA 验证远程节点完整性,返回验证结果。
  6. 验证成功后,释放密码。
  7. cryptsetup 将密码传递给 LUKS 解锁。
  8. 卷解锁后,openclaw 读取服务 LLM 网关。

如何开始使用 OpenEuler Sec-Select?

要开始使用 OpenEuler Sec-Select 项目,您可以按照以下步骤操作:

  1. 克隆仓库:git clone https://gitcode.com/openeuler/sec-select
  2. 浏览解决方案目录,了解各个安全解决方案的详细信息。
  3. 参考各个解决方案的文档,如solutions/confidential-migvm/docs/solutions/openclaw-cca/docs/,了解具体的部署和使用方法。

总结

OpenEuler Sec-Select 为基于鲲鹏和昇腾平台的机密计算提供了全面的解决方案。通过 CCA/VirtCCA 支持和 OpenClaw-CCA 等创新技术,该项目为用户提供了安全可靠的计算环境,保护敏感数据和应用程序的安全。无论是企业用户还是个人开发者,都可以从这些安全最佳实践中受益,构建更加安全的系统和应用。

如果您对机密计算感兴趣,或者正在寻找基于鲲鹏/昇腾平台的安全解决方案,OpenEuler Sec-Select 绝对值得一试!

【免费下载链接】sec-selectThe repo aims to provide security-related best practices such as confidential computing solutions etc, based on Kunpeng and Ascend related hardware platforms.项目地址: https://gitcode.com/openeuler/sec-select

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

http://www.jsqmd.com/news/1115711/

相关文章:

  • 2026 实战 GEO 与 SEO 的核心差异:面向 AI 搜索的下一代优化体系全解析
  • Java毕业设计-面向动漫爱好者的互动分享论坛平台的设计与实现 基于 SpringBoot 的漫画收藏与交流讨论系统(源码+LW+部署文档+全bao+远程调试+代码讲解等)
  • 7.1 PyTorch Transformer模块详解
  • 拯救消失的文字:novel-downloader如何成为数字阅读的守护者
  • 丙午年五月十九忙理忧愁绪
  • 4-20mA电流环技术与DAC161S997工业应用解析
  • MoA:Mixture-of-Agents Enhances Large Language ModelCapabilities混合智能体(Mixture-of-Agents)提升大语言模型能力
  • 如何快速上手openEuler/seccom-tee?零基础入门指南与核心功能解析
  • 机器学习工程师必备的12个高信噪比技术博客
  • 如何在3分钟内解锁Twitch订阅限制:终极免费观看指南
  • STM32与PCF8591的硬件协同设计与信号处理实战
  • PowerAPI部署实战:从编译到运行的完整流程
  • 新的伙伴,新的能量,新的故事,正式开启。
  • 如何利用openEuler Compiler-docs中的反馈优化技术提升数据库性能:完整指南
  • Navicat试用期重置:3种方法实现Mac版永久免费使用
  • bash shell
  • MC6470与TM4C1294NCZAD在运动控制中的硬件集成与算法实现
  • BLDC电机FOC控制方案与dsPIC30F实现
  • iSulad Rust扩展社区贡献指南:如何参与开源项目并提交高质量代码
  • PCF8591与PIC18F57K42的硬件协同设计与I2C优化
  • 【数字体验设计实战】07:生成式AI与内容创作——技术原理、工具实践与商业落地
  • 深度解析:元链生活模式底层逻辑与高并发系统架构设计
  • 如何用开源工具h5maker在10分钟内创建专业级移动端页面?
  • OpenAI 发布了 GPT-5.6 Sol、Terra 和 Luna 模型
  • 5分钟彻底告别Figma英文界面:设计师必备的中文汉化神器
  • oeAware-manager常见问题解答:新手必知的10个实用技巧
  • 如何快速上手OpenEuler Sec-Select:5分钟搭建机密计算环境
  • 三月七小助手:星穹铁道自动化助手的终极完整指南
  • MAX9744与PIC18F2525构建高效D类音频放大系统
  • 框架v5来了本体语义开启新纪元