OpenEuler Sec-Select:揭秘基于鲲鹏/昇腾的机密计算安全解决方案

OpenEuler Sec-Select:揭秘基于鲲鹏/昇腾的机密计算安全解决方案
OpenEuler Sec-Select揭秘基于鲲鹏/昇腾的机密计算安全解决方案【免费下载链接】sec-selectThe repo aims to provide security-related best practices such as confidential computing solutions etc, based on Kunpeng and Ascend related hardware platforms.项目地址: https://gitcode.com/openeuler/sec-select前往项目官网免费下载https://ar.openeuler.org/ar/OpenEuler Sec-Select 是一个基于鲲鹏和昇腾硬件平台的安全解决方案仓库旨在提供机密计算等安全相关的最佳实践。该项目通过多种创新技术和工具为用户打造安全可靠的计算环境保护敏感数据和应用程序免受未授权访问和攻击。什么是机密计算机密计算是一种新兴的安全技术它通过在硬件层面创建一个受保护的执行环境通常称为安全飞地或可信执行环境确保数据在处理过程中的机密性和完整性。即使操作系统或 hypervisor 被攻破安全飞地内的数据和代码也能保持安全。OpenEuler Sec-Select 项目正是围绕这一核心概念提供了一系列基于鲲鹏和昇腾平台的机密计算解决方案。核心解决方案CCA / VirtCCA 机密计算支持在 OpenEuler Sec-Select 中一个重要的解决方案是 CCAConfidential Compute Architecture和 VirtCCA 机密计算支持。该方案的详细实现可以在src/rsi.rsCCA和src/tsi.rsVirtCCA中找到。RSIRealm Services Interface实现RSI 是 CCA 架构中的一个关键组件它定义了安全飞地Realm与安全监控器Realm Manager之间的接口。OpenEuler Sec-Select 实现了以下 RSI 函数RSI 函数SMC FID功能rsi_request_version0xC4000190请求 RSI ABI 版本rsi_features0xC4000191查询 RSI 特性rsi_measurement_read0xC4000192读取 Realm 测量值rsi_measurement_extend0xC4000193扩展 Realm 测量值rsi_attestation_token_init0xC4000194初始化认证令牌请求rsi_attestation_token_continue0xC4000195继续获取认证令牌rsi_get_realm_config0xC4000196获取 Realm 配置rsi_ipa_state_set0xC4000197设置 IPA 状态接受/共享/销毁rsi_ipa_state_get0xC4000198获取 IPA 状态rsi_host_call0xC4000199主机调用CCA 内存管理在 CCA Realm 环境中内存有两种状态Protected (加密)Realm 私有内存hypervisor 不可访问Shared (解密)与 hypervisor 共享的内存用于 I/O 通信内存状态转换通过 RSI 调用实现accept_memory(start, end)→rsi_set_memory_range_protected将内存标记为 Realm 受保护mark_shared(start, end)→rsi_set_memory_range_shared将内存标记为共享解密mark_private(start, end)→rsi_set_memory_range_protected将共享内存恢复为受保护OpenClaw-CCA基于 CCA 的安全解决方案除了基础的 CCA 支持外OpenEuler Sec-Select 还提供了 OpenClaw-CCA 解决方案这是一个基于 CCA 的完整安全架构。OpenClaw-CCA 架构主要包含以下几个部分外部信任基础设施包括管理员、GTAGlobal Trust Authority和 RBSResource Broker Service负责生成和验证信任证据管理策略和敏感资源。CCA 机密 VMRealm基于鲲鹏 950 openEuler 24.03-SP4 构建的安全执行环境包含 openClaw LLM 网关和 LUKS 加密卷。受保护数据包括 API 密钥、长期内存、会话状态以及日志和审计记录等敏感数据。OpenClaw-CCA 的工作流程OpenClaw-CCA 的工作流程可以概括为以下几个步骤CCA Realm 启动测量关键组件如 cryptsetup、openclaw、shadow hash 等。收集 TEE REM3 值初始化挑战请求。提交证据请求远程认证。RBS 转发证据进行远程认证。GTA 验证远程节点完整性返回验证结果。验证成功后释放密码。cryptsetup 将密码传递给 LUKS 解锁。卷解锁后openclaw 读取服务 LLM 网关。如何开始使用 OpenEuler Sec-Select要开始使用 OpenEuler Sec-Select 项目您可以按照以下步骤操作克隆仓库git clone https://gitcode.com/openeuler/sec-select浏览解决方案目录了解各个安全解决方案的详细信息。参考各个解决方案的文档如solutions/confidential-migvm/docs/和solutions/openclaw-cca/docs/了解具体的部署和使用方法。总结OpenEuler Sec-Select 为基于鲲鹏和昇腾平台的机密计算提供了全面的解决方案。通过 CCA/VirtCCA 支持和 OpenClaw-CCA 等创新技术该项目为用户提供了安全可靠的计算环境保护敏感数据和应用程序的安全。无论是企业用户还是个人开发者都可以从这些安全最佳实践中受益构建更加安全的系统和应用。如果您对机密计算感兴趣或者正在寻找基于鲲鹏/昇腾平台的安全解决方案OpenEuler Sec-Select 绝对值得一试【免费下载链接】sec-selectThe repo aims to provide security-related best practices such as confidential computing solutions etc, based on Kunpeng and Ascend related hardware platforms.项目地址: https://gitcode.com/openeuler/sec-select创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考