文︱郭紫文

“當前對大數(shù)據(jù)量的需求，以及數(shù)據(jù)融合、數(shù)據(jù)聯(lián)合計算的需求，與數(shù)據(jù)安全和數(shù)據(jù)隱私保護之間的矛盾愈加激烈�！彬v訊Blade Team技術(shù)負責人張博表示，為了調(diào)和這個矛盾，騰訊云與英特爾共同發(fā)布了騰訊云數(shù)鏈通產(chǎn)品，該產(chǎn)品結(jié)合了機密計算和區(qū)塊鏈技術(shù)，依賴于英特爾CPU提供的SGX技術(shù)，實現(xiàn)了合作雙方技術(shù)的融合與創(chuàng)新，為解決數(shù)據(jù)共享和安全隱私保護問題提供了完善的解決方案。

為區(qū)塊鏈打造硬件安全壁壘

“軟件保護擴展（SGX）是一個基于硬件的可信執(zhí)行環(huán)境，也是英特爾第三代至強可擴展處理器中的重要系統(tǒng)功能�！睋�(jù)英特爾技術(shù)專家介紹，今年發(fā)布的第三代可擴展至強處理器融入了SGX技術(shù)，這也是英特爾第一次在芯片上實現(xiàn)了機密計算。“我們在服務(wù)器中使用，最大可以實現(xiàn)1TB的內(nèi)存隔離效果。”

SGX的特點是在計算過程中保證數(shù)據(jù)安全，而騰訊云正尋求機密計算或隱私計算技術(shù)，旨在數(shù)據(jù)共享和融合的情況下，同時保證融合計算和數(shù)據(jù)安全隱私。在騰訊云數(shù)鏈通產(chǎn)品負責人劉江看來，與英特爾的合作是經(jīng)過多方調(diào)研和考察的正確選擇。“數(shù)鏈通產(chǎn)品采用了基于英特爾SGX技術(shù)，結(jié)合騰訊云區(qū)塊鏈技術(shù)，通過區(qū)塊鏈的分布式共識能力，解決用戶在交互、共享過程當中的授權(quán)和融合。在計算過程當中，通過SGX的可信計算能力，保護我們在計算過程當中的安全和隱私，從而更好實現(xiàn)用戶業(yè)務(wù)數(shù)據(jù)價值的發(fā)揮和挖掘。”

基于SGX技術(shù)，騰訊云數(shù)鏈通產(chǎn)品構(gòu)建了從底層硬件自下而上的軟件技術(shù)棧，在“數(shù)據(jù)生態(tài)構(gòu)建、數(shù)據(jù)治理延展、數(shù)據(jù)價值挖掘”等層面為客戶提供助力。張博介紹，數(shù)鏈通產(chǎn)品利用SGX技術(shù)搭建了TEE計算集群，進行數(shù)據(jù)安全計算，并通過區(qū)塊鏈技術(shù)追溯數(shù)據(jù)源。機密計算可分配512G內(nèi)存，能夠滿足海量數(shù)據(jù)的計算需求，解決大數(shù)據(jù)量聯(lián)合分析的難題，為用戶提供低成本、高性能、安全可靠、靈活可擴展的區(qū)塊鏈數(shù)據(jù)平臺。

“通過SGX技術(shù)，可以更好地保證區(qū)塊鏈在合約、計算相關(guān)方面的安全�！眲⒔�補充道，騰訊云數(shù)鏈通產(chǎn)品將用戶業(yè)務(wù)相關(guān)智能合約的執(zhí)行放到SGX環(huán)境中，進一步保證合約運算的安排，實現(xiàn)整個區(qū)塊鏈業(yè)務(wù)協(xié)同過程中，關(guān)于業(yè)務(wù)數(shù)據(jù)、算法模型及合約本身的安全防護。

SGX更新與優(yōu)化方向

英特爾SGX技術(shù)跟隨著第6代酷睿處理器開始發(fā)布，為主機DRM、密碼保護、電子支付簽名等輕量化應(yīng)用提供安全防護。隨著海量數(shù)據(jù)遷移至云端，內(nèi)存安全隔離成為企業(yè)亟需解決的問題，機密計算的概念借此提出，旨在保護使用中的數(shù)據(jù)。英特爾技術(shù)專家指出，作為芯片廠商，英特爾看到了機密計算的發(fā)展趨勢，也順應(yīng)客戶需求將SGX技術(shù)融入服務(wù)器、虛擬機等領(lǐng)域中。

可支持內(nèi)存的提升成為SGX技術(shù)最重要的發(fā)展方向。首先，如何高效地為某個虛擬機動態(tài)分配可支持的物理內(nèi)存。以騰訊云為例，用戶在申請了虛擬產(chǎn)品之后，虛機便可以支持SGX技術(shù)。英特爾SGX技術(shù)將會有1T SGX保護的虛擬物理內(nèi)存，這些內(nèi)存需要按照一定調(diào)度分配到虛擬機，而當前靜態(tài)分配的調(diào)度方法已經(jīng)無法滿足市場需求。因此，物理內(nèi)存的高效動態(tài)分配成為SGX完善和優(yōu)化的方向之一。

其次，遠程認證是另一個SGX優(yōu)化方向。遠程認證是工作負載加載至遠端的重要一環(huán)。例如在聯(lián)邦學習中將算法加載到數(shù)據(jù)擁有者，應(yīng)當先確認加載的工作負載是否受到SGX保護，利用SGX技術(shù)的遠程認證功能在遠端機器上分配合法內(nèi)存，這樣才能真正實現(xiàn)數(shù)據(jù)的加載和傳輸。

“在可信執(zhí)行環(huán)境領(lǐng)域，英特爾是業(yè)界研究最廣泛、發(fā)現(xiàn)問題最及時、實現(xiàn)修復(fù)也是最高效的。隨著技術(shù)的發(fā)展，我們也在不斷優(yōu)化我們的技術(shù)�！庇⑻貭柤夹g(shù)專家表示，未來，英特爾將與業(yè)界緊密合作、良好互動，持續(xù)保證CPU、尤其是SGX信任根的提前感知和防護。

打通數(shù)據(jù)孤島

“通過區(qū)塊鏈的共識機制、分布式存儲以及網(wǎng)絡(luò)技術(shù)，能夠打通在原先各個應(yīng)用閉環(huán)當中存在的數(shù)據(jù)孤島問題�！眲⒔�表示，從區(qū)塊鏈發(fā)展的角度來看，區(qū)塊鏈是一個可信任的基礎(chǔ)設(shè)施，騰訊云基于區(qū)塊鏈聯(lián)盟鏈技術(shù)，落地了供應(yīng)鏈金融、食品溯源、可信憑證及電子發(fā)票、財務(wù)票據(jù)等大量應(yīng)用場景�！皡^(qū)塊鏈最大的價值就是在多方應(yīng)用集成中，提供更好的地城技術(shù)和可信任的基礎(chǔ)�！�

從芯片廠商角度來看，英特爾技術(shù)專家認為，隨著區(qū)塊鏈應(yīng)用越來越廣泛和深入，在CPU、軟件及生態(tài)上的優(yōu)化也越來越重要。針對區(qū)塊鏈特定工作負載的優(yōu)化，以及區(qū)塊鏈標準規(guī)范制定等方面，英特爾也在持續(xù)布局和規(guī)劃，希望與騰訊云密切合作，為區(qū)塊鏈實際落地問題提供有力的底層技術(shù)支持。