揭祕遠端證明架構EAA:機密容器安全部署的最後一環 | 龍蜥技術
但是在雲環境中,依舊存在如下的問題:
-
怎麼證明使用者的機密容器確實執行在雲上真實 HW-TEE 環境中? -
怎麼證明執行在雲上 HW-TEE 環境中的程式或者容器內容是符合預期的或者沒有被篡改? -
更進一步,如果需要在雲上 HW-TEE 環境裡啟動一個加密容器,如何在啟動過程中獲取容器的解密金鑰?
EAA設計
RATS 參考架構
EAA 架構
因此 EAA 的架構設計遵循了 RATS 參考架構,EAA 架構如下:
其主要元件和功能:
-
Attestation Agent(Attester):執行在 HW-TEE 中的元件。作用是獲取 HW-TEE 中執行程式的度量值資訊,該度量值資訊由 HW-TEE 進行簽名。 -
Chip Manufacturer Specific Attestation Service(Endorser):執行在公有網路中,由晶片廠商提供的服務。作用是驗證度量值資訊的簽名,以確定度量值資訊確實是由真實 HW-TEE 生成的。 -
Verdict & Reproducible Build Infrastructure(Reference Value Provider):執行在使用者可信環境中的服務。作用是生成 HW-TEE 中執行程式的度量值的參考值,以判定在 HW-TEE 環境中的執行程式是符合預期的或者程式是沒有被篡改過的。 -
Verdictd(Relying Party + Relying Party Owner + Verifier Owner):執行在使用者可信側環境中的服務。職責是呼叫 Chip Manufacturer Specific Attestation Service 和 Verdict & Reproducible Build Infrastructure 檢查度量值資訊的簽名和其內容,以完成整個遠端證明流程。 -
KMS:執行在使用者可信側環境或者公有網路中的金鑰管理服務。作用是進行金鑰的管理。
EAA工作原理
1、當需要進行遠端證明時,執行在雲上 HW-TEE 環境中的 Attestation Agent 獲取當前 HW-TEE 執行環境的度量值資訊併傳送給 Verdictd 服務進行相關驗證。
2、當 Verdictd 收到度量值資訊後會把它傳送給 Chip Manufacturer Specific Attestation Service 來檢查度量值資訊的簽名,以驗證生成度量值資訊的 HW-TEE 是一個真實的 HW-TEE。目的是防止黑客偽造一個 TEE 環境來騙取使用者的信任。
3、如果度量值資訊的簽名驗證成功,Verdictd 會檢查度量值的具體資訊。目的是確定雲上HW-TEE環境中的執行程式是符合預期的或者程式是沒有被篡改過的。
4、如果上述檢查都成功,則遠端證明流程已經成功完成,使用者可以確定雲上 HW-TEE 環境是一個真實的 HW-TEE,並且執行在 HW-TEE 環境中的程式滿足:
-
是使用者自己部署的程式,並且該程式沒有被黑客篡改。 -
是第三方部署的程式,但這些程式是符合預期的,比如這些程式是經過程式碼稽核並確定是沒有漏洞的。
貢獻
EAA 致力於通過和開源社群貢獻和合作以實現落地實踐能力,它作為首個支援 Intel TDX 遠端證明的 Key Broker Service(KBS),是 confidential-containers 首個支援 TDX HW-TEE 的 E2E demo 的 KBS 服務,併成功地完成了 confidential-containers V0 階段 E2E Demo 關鍵節點。
結束
EAA 填補了基於 HW-TEE 的機密容器在雲原生場景下應用的最後一環,為機密容器在雲環境中的安全部署和啟動提供了必要的基礎。
目前 EAA 作為 Inclavare Containers(CNCF 專案)的子模組,支援的 HW-TEE 環境包括 Intel SGX 和 Intel TDX,支援的機密容器包括 Inclavare Containers 和 Kata CC。未來,EAA 將持續演進,以支援新的不同的機密容器方案,並支援新的 HW-TEE 環境,讓 EAA 成為機密容器領域內真正的通用遠端證明架構。
網址連結:
加入微信群:新增社群助理-龍蜥社群小龍(微信:openanolis_assis),備註 【龍蜥】拉你入群;加入釘釘群:掃描下方釘釘群二維碼。歡迎開發者/使用者加入龍蜥社群(OpenAnolis)交流,共同推進龍蜥社群的發展,一起打造一個活躍的、健康的開源作業系統生態!
龍蜥社群(OpenAnolis)是由 企事業單位、高等院校、科研單位、非營利性組織、個人等按照自願、平等、開源、協作的基礎上組成的非盈利性開源社群。龍蜥社群成立於 2020 年 9 月,旨在構建一個開源、中立、開放的Linux上游發行版社群及創新平臺。
短期目標是開發龍蜥作業系統(Anolis OS)作為 CentOS 替代版,重新構建一個相容國際 Linux 主流廠商發行版。中長期目標是探索打造一個面向未來的作業系統,建立統一的開源作業系統生態,孵化創新開源專案,繁榮開源生態。
龍蜥OS 8.4 已釋出,支援 x86_64 、ARM64、LoongArch 架構,完善適配 Intel、飛騰、海光、兆芯、鯤鵬、龍芯等晶片, 並提供全棧國密支援。
歡迎下載:
加入我們,一起打造面向未來的開源作業系統!
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70004278/viewspace-2848800/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- PingCode 技術架構揭祕GC架構
- 一文解讀機密容器的崛起和發展 | 龍蜥技術
- PingCode Flow技術架構揭祕GC架構
- 安全利器!龍蜥推出機密計算遠端證明服務—OAAS 誠邀廣大使用者測試
- 技術門檻高?來看 Intel 機密計算技術在龍蜥社群的實踐 | 龍蜥技術Intel
- 後端架構師技術圖譜後端架構
- 揭祕.NET Core剪裁器背後的技術
- 如何保證 Java 應用安全?標準答案來了 | 龍蜥技術Java
- 凹凸技術揭祕 · 基礎服務體系 · 構築服務端技術中樞服務端
- 揭祕阿里Java架構師背後的技術體系支撐(詳細分層,建議收藏)阿里Java架構
- 龍蜥LoongArch架構研發全揭秘,龍芯開闢龍騰計劃技術合作新正規化架構
- 微服務架構之「 容器技術 」微服務架構
- 助力Koordinator雲原生單機混部,龍蜥混部技術提升CPU利用率達60%|龍蜥技術
- 多年錘鍊,邁向Kata 3.0 !走進開箱即用的安全容器體驗之旅| 龍蜥技術
- 成熟級端點安全技術築牢最後一道防線
- 首次揭祕!阿里無人店系統背後的技術阿里
- 後端技術雜談8:OpenStack架構設計後端架構
- 如何透過 open-local 玩轉容器本地儲存? | 龍蜥技術
- Docker Machine遠端部署docker主機環境DockerMac
- MySQL底層架構大揭祕,遠不止寫SQL那麼簡單!MySql架構
- 通過容器化技術RestCloud ETL支援大規模的分散式部署架構RESTCloud分散式架構
- 【技術】MediumKube- 快速部署容器雲的開發環境開發環境
- 最硬核、最大咖、最火爆…百度首次揭祕春晚紅包背後的技術細節
- Taro 技術揭祕:taro-cli
- Ceph儲存後端ObjectStore架構和技術演進後端Object架構
- VMware的雲原生應用技術揭祕
- 揭祕 Netflix 後端工程師面試後端工程師面試
- 螞蟻安全科技 Nydus 與 Dragonfly 映象加速實踐 | 龍蜥技術Go
- 美團容器平臺架構及容器技術實踐架構
- 從編譯到可執行,eBPF 加速容器網路的原理分析 | 龍蜥技術編譯eBPF
- ATC'22頂會論文RunD:高密高併發的輕量級 Serverless 安全容器執行時 | 龍蜥技術Server
- 一文解讀智慧遠端監考方案的技術架構與應用實景架構
- 面向OpenHarmony終端的密碼安全關鍵技術密碼
- 一張圖解釋清楚大資料技術架構,堪稱阿里的核心機密圖解大資料架構阿里
- 遊戲反外掛技術揭祕遊戲
- Taro 技術揭祕之taro-cli
- 跨語言程式設計的探索 | 龍蜥技術程式設計
- 百度技術開放日即將開啟 揭祕春晚紅包背後的技術