揭秘金融数据密码机:机密计算技术的新突破
揭秘金融数据密码机:机密计算技术的新突破
随着数据成为新的生产要素,金融数据的安全问题愈发重要。金融数据密码机作为关键设备,通过多种先进的密码技术为金融机构提供全方位的数据安全保障。而最新的机密计算技术则进一步提升了数据存储和计算过程中的安全性,借助硬件的安全能力,制定了更轻量化、高安全的解决方案。这些新技术的应用不仅能够有效保护金融敏感数据在计算状态和存储状态下的安全,还能够应对新的安全威胁和挑战,确保金融业务的安全稳定运行。
金融数据密码机概述
金融数据密码机是一种通过国家商用密码主管部门鉴定并批准使用的国内自主开发的主机加密设备。它主要通过使用密码学算法对数据进行加密和解密,以保护数据的机密性和完整性。密码机的主要功能包括:
- 数据加密与解密:使用密码学算法对数据进行加密,将数据转化为密文,以保护数据的机密性;使用相应的密钥对密文进行解密,将密文转化为明文,使得数据能够被正常使用。
- 密钥管理:负责生成、存储和管理密钥,确保密钥的安全性和可靠性。
- 安全协议处理:能够处理安全协议,如SSL/TLS、IPSec等,为网络通信提供安全保障。
- 数字签名:可以生成和验证数字签名,确保数据的完整性和真实性。
- 安全审计:能够记录和监控加密操作,提供安全审计功能,帮助企业遵守合规要求。
密码机的工作原理主要包括以下几个步骤:
- 数据输入:将需要加密的明文数据输入到加密机。
- 密钥选择:选择合适的密钥用于加密操作。
- 数据加密:加密机使用选定的密钥和加密算法对数据进行加密。
- 密文输出:加密机将加密后的数据输出为密文。解密操作与加密操作相反,遵循类似的步骤。
密码机在金融、电信、政府等领域得到广泛应用。这些领域往往涉及大量的敏感数据,如金融信息、个人身份信息等,需要高度保护数据的安全性和机密性。通过使用密码机,可以有效防止数据泄露和非法访问,保障网络系统的安全稳定运行。
机密计算技术新突破
机密计算(Confidential Computing,CC)是一种旨在保护使用中的数据安全的计算范式,通过硬件级系统隔离,实现对数据和代码的安全保障,尤其适用于多方协同的数据保护场景。机密计算的核心功能主要体现在两个方面:
- 机密计算基于硬件级的可信执行环境,在平台运行过程中对敏感数据和代码进行隔离保护。由于代码本质上也是数据,这种保护覆盖了数据及处理数据的代码,确保了平台的整体安全性。机密计算依托底层安全硬件,形成了一种软硬件协同的高级安全机制,为系统提供强有力的隔离保障。
- 机密计算提供了多种安全原语,包括可信执行环境安全启动和动态度量等。这些安全原语增强了系统各个层级的安全性和可信度,使系统能够在面对复杂威胁时依旧保持可靠性。
机密计算实现了数据、算法和平台三者相互独立的安全计算模式,不仅确保了各参与方的独立性和安全性,同时也减少了潜在的安全依赖,提高了数据处理的透明度。与此相辅相成的是,机密计算与可信计算、隐私计算形成了安全互补,共同为高层次的数据安全提供坚实支撑。作为一项高度跨学科的技术,机密计算涵盖了体系结构、基础软件、系统安全和密码技术等领域,促进了多学科的协同创新,为技术发展提供了广阔的空间。通过软硬件结合的方式,机密计算为多方参与者提供了一个安全隔离的计算环境,能够有效应对数据在使用过程中面临的多种风险,从而在保护数据使用安全方面展现出其独特的技术特点。
机密计算的发展历程大致分为三个阶段:
- 第一阶段(2003—2014年):可信平台模块(Trusted Platform Module,TPM)阶段。该阶段是机密计算的早期阶段,主要以可信计算思想为指导,通过将TPM/TCM(Trusted Cryptography Module,可信密码模块)等安全芯片嵌入计算机主板,把安全功能隔离在一个类协处理器上,这种方式在PC、服务器等平台上得到了广泛的部署使用。
- 第二阶段(2015—2018年):可信执行环境(Trusted Execution Environment,TEE)阶段。在该阶段,机密计算依赖的核心技术TEE不断发展演进。例如,英特尔推出了软件保护扩展(Software Guard Extensions,SGX)硬件技术,可以在用户进程空间中构建安全“飞地”(Enclave);AMD推出了安全加密虚拟化(Secure Encrypted Virtualization,SEV)硬件,为云平台提供虚拟机级别的隔离。与此同时,学术界在RISC-V上也提出了两个经典的TEE方案,即麻省理工学院的Sanctum架构和加州大学伯克利分校的Keystone架构。
- 第三阶段(2019年至今):机密计算阶段。2019年8月,Linux基金会成立了机密计算联盟(Confidential Computing Consortium,CCC),主要目标是统一规范TEE硬件和软件(如统一SDK或者API接口),并推进机密计算技术和标准快速落地。硬件可信执行环境技术已经相对成熟,AMD SEV-SNP、Intel TDX、ARM CCA等技术升级路线持续发展,机密计算的理念被广泛接受并开始得到快速商业化应用。机密计算、机器学习、数据安全等技术生态快速融合,形成了隐私保护机器学习等多种行业应用模式。
目前,机密计算研究主要包括机密计算硬件安全、机密计算架构、机密计算关键技术、机密计算应用和机密计算标准与测评。机密计算硬件安全主要围绕硬件TEE攻击技术和相应的防御机制两个方面展开。对TEE的攻击通常针对机密计算硬件架构设计或者管理机制的缺陷来实施。对TEE攻击的类型主要分为:系统软件攻击、内存攻击、侧信道攻击、瞬态执行攻击、微架构数据采样和错误注入攻击。针对不同的TEE架构,需要采用不同的防御机制缓解上述TEE各类攻击。机密计算架构通过硬件安全隔离和软件防护机制,构建了一个安全可信的计算环境。机密计算关键技术则涵盖了从硬件安全到软件防护的多个层面,包括安全启动、动态度量、内存加密等。机密计算的应用正在多个领域展开,尤其是在云计算、大数据处理和多方安全计算等场景中展现出巨大潜力。机密计算标准与测评则致力于建立统一的技术规范和测试方法,推动机密计算技术的规范化和标准化发展。
机密计算在金融领域的应用
在数据成为新生产要素的背景下,数据安全问题至关重要,重视数据安全已成为世界趋势。金融数据作为“关键信息基础设施”中的“国家关键数据资源”,守住安全的底线,不仅十分必要,而且迫在眉睫。国家“十四五”规划中明确提出了要着力强化数字经济安全体系,提升数据安全保障水平,并进一步要求研究推进数据安全标准体系建设,规范数据全生命周期管理。2021年人民银行发布《金融数据安全数据生命周期安全规范》,明确了金融数据生命周期的安全框架,要求金融机构构建涵盖数据采集、传输、存储、使用、销毁全生命周期的数据安全治理体系。在整个数据生命周期中,数据存储安全是数据安全的底线保障。在数据存储阶段面临着较大挑战,一方面数据由动态变为了静态,攻击者目标更明确且攻击技术难度较小;另一方面数据从分散汇集为集中,一旦被攻破,危害性大,影响范围更广。
前期人民银行提出了对敏感数据加密存储的要求,明确了重要系统需基于商用密码算法实施重要数据保护的要求。2023年人民银行在《中国人民银行业务领域数据安全管理办法(征求意见稿)》中,进一步明确了对数据存储保护的技术措施,并鼓励结合新技术研究更“细粒度加密方式”的数据安全存储创新方案。当前没有比较合适的解决方案能够兼顾安全和改造成本,在此背景下,基于机密计算技术的金融数据安全存储研究工作应运而生。借助机密计算基于硬件的安全能力,制定了机密计算安全存储方案,将重要数据、密钥及加解密计算放置在机密计算安全可信的运行环境中。同时,进一步开展了应用探索,为应用系统提供统一的安全存储基础服务组件,有效保障金融敏感数据在计算状态和存储状态下的安全。
当前业界进行存储加密的方案主要有两种:一是在应用层面实现数据加密,二是在数据落盘时进行磁盘加密。两种方案都能实现数据加密存储的效果,但在实际应用中仍存在一些问题。对于应用层加密方案,改造工作量大一直是影响其使用的首要问题,不论是结合加密机的硬加密方案,还是直接使用软件加密包的软加密方案,均需要对应用进行代码级的改造。其次,硬加密方案的安全性保障依赖硬件加密机,在进行大规模数据存储加密的情况下,增加硬件加密机会引起成本的大幅增加;而软加密方案的密钥明文暴露在内存中,密钥安全性存在一定的不足。对于磁盘加密方案,最主要的问题是安全防护力度问题,该方案防护粒度较粗,仅能防物理拔盘攻击,一旦内部环境被侵入后,恶意人员从应用或系统层面读取数据仍是明文形态的展现,防护能力仍存在较大不足。
针对上述问题,创新性地结合机密计算技术,制定了机密计算安全存储方案,为应用系统提供了一种轻量化、高安全的解决方案。机密计算是一种在受信任的硬件基础上构建加密、隔离、可验证的计算环境,保证环境内数据和运算过程安全的一种计算模式。机密计算主要目标是对使用中的数据进行保护,借助的是具有通用计算能力的可编程硬件可信执行环境。当前各大芯片厂商均相继推出了机密计算解决方案,主流的方案主要有Intel SGX、AMD SEV、海光CSV、Intel TDX、ARM TrustZone等,国内外一些大型厂商均在布局和探索机密计算技术及应用。
基于海光CSV机密计算技术路线,CSV是一种安全虚拟化技术,支持在物理节点上创建多个加密虚拟机,技术框架有以下几个特点:
- 资源隔离:CPU内部使用ASID(Address Space ID)来区分主机和不同的CSV虚拟机,每个加密虚拟机使用独立的Cache、TLB等CPU资源,实现加密虚拟机、主机之间的资源隔离。在SOC内部,ASID标签与数据保存在一起,以防止数据被其它虚拟机或主机访问。
- 内存加密:CSV具备安全内存加密能力,通过片内控制器中专用的高性能SM4加解密引擎来执行,加解密引擎使用的密钥通过集成在芯片中的安全处理器管理。数据写入内存时自动加密,从内存读取数据时自动解密,同时密钥也通过ASID与CSV虚拟机一一对应。未经授权的实体,即使是主机操作系统、Hypervisor等也无法查看机密虚拟机中的数据,有效保护CSV虚拟机中数据的机密性。
- 启动可度量:CSV虚拟机在启动的时候会对加载的文件进行动态度量,确保启动的CSV虚拟机符合预期,防止未经授权的实体篡改,保证CSV虚拟机数据的完整性。
机密计算安全存储服务方案基于数据安全相关要求,创新性地结合机密计算技术、代理网关等技术,制定了机密计算安全存储服务方案,在应用与数据库或文件系统之间增加前置加密模块(前置加密模块部署在机密计算环境),拦截、解析数据并匹配加密策略后,对敏感数据进行加密。机密计算安全存储服务技术框架主要包括前置加密模块和管理平台两大模块。前置加密模块包括加密代理和加解密模块。加密代理负责拦截、解析协议数据包,匹配应用预先设置好的加密策略,并对需要处理的数据进行转发。加解密模块负责对加密代理传输的敏感数据进行基于国密算法的加密或解密处理。管理平台包括策略管理和密钥管理。策略管理负责加解密策略的设置与管理,应用可根据数据加密需求定制化加密策略,可实现字段级细粒度数据加密。密钥管理负责密钥生成、存储、下发、更新等功能。
为满足应用系统加密存储需求,兼容现有应用功能和使用方式,提升应用系统使用体验,机密计算安全存储服务除实现基础的加解密功能外,还提供了加密策略设置、密钥更新、模糊查询、机密容器等功能。应用系统可定制化配置加解密策略,可根据自身需求配置需要加密的库、表、字段、加密算法等。本方案提供两种加密策略的配置方式。方式一是通过管理平台界面手动配置加密策略。应用提取表结构信息上传至管理平台,在管理平台策略管理页面,选择对应的加密策略信息。方式二是DDL语句自动拦截生成加密策略。为了灵活扩展和管理加密策略,支持通过在数据库DDL语句的字段备注中添加特定规则的标签来标记加密字段,前置加密模块可自动拦截、解析DDL语句,动态生成或更新加密策略,提供更为灵活和即时的响应能力,有效应对业务需求变化。支持数据密钥定期更新,并提供密钥更新批量处理工具。将密钥状态分为普通状态和过渡状态,普通状态的加密策略包含正在使用中的一个密钥信息,过渡状态下
总结与展望
机密计算技术作为新一代数据安全保护方案,正在金融领域展现出巨大的应用价值。通过硬件级的安全隔离和加密机制,机密计算不仅解决了传统加密方案的诸多痛点,还为金融机构提供了更高效、更安全的数据保护手段。随着技术的不断发展和完善,机密计算有望成为金融数据安全领域的关键技术,为构建更加安全可靠的金融生态系统奠定坚实基础。