真正的神出鬼沒之功:微軟研究院開發(fā)出安全技術(shù),能在云里保障客戶數(shù)據(jù)的安全。
新技術(shù)名為可驗證保密云計算(Verifiable Confidential Cloud Computing),微軟的加密專家稱之為“VC3”。VC3利用英特爾指令集建立一個“保密箱”(Lockbox),供運行MapReduce的客戶在云里使用。保密箱可在未修改的Hadoop上運行。
一篇介紹VC3的文章指,VC3的目的是“將操作系統(tǒng)Hadoop和管理程序置于TCB以外”(TCB:英語Trusted computing base可信計算基礎的縮寫)。
文章指,這樣做以后“即便在這些大型部件受到損害時”也可以維持客戶保密性和完整性。
微軟的一個貼有如下的解釋:
“打個比方,一家金融服務公司要訪問很多客戶的個人財務記錄,然后在云里進行一系列復雜的計算。這些數(shù)據(jù)就存儲在上述的一個保密箱里,只有VC3管理的硬件才能對其進行安全訪問。
“進行計算時,客戶端的數(shù)據(jù)被加載到云中的安全硬件里,在安全硬件里被解密、處理和重新加密。其他人不可以查看或訪問這些數(shù)據(jù),就連那些在云公司工作的人也不可以。”
客戶分析的數(shù)據(jù)、客戶用來分析數(shù)據(jù)的程序代碼都是云公司的壞人看不到的,那些成功黑進供應商系統(tǒng)的人也看不到。
打造VC3的研究人員由Felix Schuster領導,他同時任職微軟研究院和德國波鴻的Ruhr大學。他們認為運行VC3不至于削弱系統(tǒng)性能。他們的說法是,“VC3的平均實時運作開銷百分比相對于其基礎安全保障而言是微不足道的,VC3提供寫入完整性時的開銷百分比為4.5%,提供讀/寫完整性時的開銷百分比為8%。”
微軟研究人員在加州圣何塞市召開的IEEE安全與隱私研討會上發(fā)言,對VC3做了介紹。