基于海光TEE的数据安全解决方案正式发布(附详细方案)
密钥安全为根,数据要素为本
数字经济是继农业经济、工业经济之后的主要经济形态,事关国家发展大局,数据安全作为促进数据开发利用和产业发展的基础支撑,是推动以数据为关键要素的数字经济高质量发展的基石。
随着数据资产入表的推进,数据要素保护需求不断增加。保护数据安全的核心要素是密钥。因此,保护密钥的安全是数据安全的前提。以数据为主要对象、以密钥为抓手的数据安全策略,是未来数据安全领域的主要方向,也是需求的出发点。
安永信息基于海光TEE的数据加密安全解决方案,充分发挥TEE技术优势,面向数据要素保护需求和数据安全领域痛点问题,实现对数据高安全保护。该方案已获得光合组织光合组织解决方案大赛堡垒计划(安全技术应用)优秀奖。
一、海光TEE技术及优势
可信执行环境(Trusted Execution Environment, 简称TEE)是一种新兴的安全技术,旨在为敏感数据和代码提供一个隔离和保护的执行环境。通过在硬件设备上构建一个安全区域,保护运行在其中的代码和数据免受外部攻击,包括来自操作系统、硬件和其他应用程序的攻击。TEE为当下的隐私安全提供了一条安全性和经济性平衡的实现路径。
随着该项技术发展与成熟,国内主流芯片企业均推出相应的TEE技术架构。作为国产先进微处理器产业引领者,芯片企业海光自主研发了基于国密算法、可信计算等多种先进安全技术的解决方案,推出了以安全加密虚拟机为基础的可信执行环境CSV(China Secure Virtualization)。
CSV虚拟机通过内置专用安全硬件、构建具有主动防御能力的新一代可信计算平台,具有计算资源被隔离、启动过程可度量、虚拟机身份可认证等特点。
CSV虚拟机采用国密算法实现,提供芯片级信任根,在写内存数据时CPU硬件自动加密,读内存数据时硬件自动解密,每个CSV虚拟机使用不同的密钥,可解决各类潜在安全漏洞,很好地满足了各项关键信息基础设施对数据安全的需求。
二、基于海光TEE的数据安全解决方案
为解决数据安全行业需求和痛点问题,合肥安永信息科技有限公司(简称“安永信息”),依托海光TEE技术架构,联合研发了基于海光TEE的数据安全解决方案。
方案以“数据”为核心要素、以“密钥”为安全抓手,充分发挥海光TEE的底层技术优势,将密钥置于海光自带安全域中,确保密钥本身安全;同时,基于HMAC、BloomFilter、LSH算法提出了新一代可工程化的可搜索加密技术,可实现前缀、模糊搜索,实现检索效率与安全防护的平衡。
图1、基于海光TEE的数据安全解决方案示意图
本方案技术架构如图1所示,主要包含两个部分,一是安永数据库加密系统,为数据库提供加解密服务;二是基于海光TEE所提供的密钥保障能力,为数据加密所用的密钥,提供芯片级的安全保护。
1、安永数据库加密系统
系统以数据库前置代理形式,置于数据库服务器与业务服务器之间,主要包括数据库连接模块、数据加密模块及其他辅助模块。
数据库连接模块负责响应业务服务器的数据库查询请求,并在解析处理之后将请求转发给数据库。
加密模块负责对数据进行加密、解密,例如数据字段的加密、可搜索加密等、使用信创加密算法,包括SM3、SM4,以及基于SM3的HMAC算法。
图2、安永数据库加密代理功能示意图
2、基于海光处理器TEE加密模块的密钥保护
如图3所示,应用海光处理器自带的TEE,运行加密所需的加密模块,对密钥进行加密存储,确保密钥处于加密状态,在整个业务系统中无明文密钥暴露。
主要包括:
① 使用海光处理器的可信存储功能来存储数据库加密系统的主密钥和HMAC密钥。
② 使用海光处理器的密码协处理器来实现高效的加解密。
③ 利用海光处理器的安全内存加密(SME)来保证加解密密钥使用安全。
图3、基于海光处理器TEE加密模块的密钥保护方案示意图
在海光TEE加密模块,如图4所示,主要包括加密引擎、加密、解密,以及密钥的生成和管理等。
图4、海光TEE加密模块示意图
三、方案优势和价值
本方案充分发挥海光底层TEE的安全性,通过“密钥安全性”和“数据保密性”两个方面保护数据安全性,安全防护深度、强度都有大幅度提升,为关键信息基础设施保护提供了一条新的技术方案。确保国家数据安全。
基于先进的可搜索加密技术,实现数据加密后的高效索引,确保数据加密后的可用性,达到“安全性”和“可用性”的平衡。其良好的兼容性,能快速赋能海光生态和各类应用,提升底层数据安全。
作为业内首个将TEE技术应用到数据加密领域的方案,尤其是在信创领域的应用,有助于发挥国产厂家底层硬件安全模块的价值,让以“安全”为目标的信创产品更安全。
未来,安永信息将携手海光,面向数据安全防护的需求,打造更安全、更可靠、更完善的信创数据安全防护体系,为社会经济数字化转型中关键信息基础设施安全保驾护航。
欢迎有需要的用户联系我们咨询合作。