openEuler 社区技术委员会:
各位好!
项目描述: secGear 是在 openEuler 社区发起的创新项目,面向计算产业的机密计算安全应用开发套件,屏蔽不同的 TEE ( Trusted Execution Environment ) SDK 差异提 供统一的开发框架,同时提供开发工具、通用安全组件等,帮助安全应用开发者聚焦业务,提升开发效率。近一年 secGear 持续关注客户诉求及痛点,新增了 switchless 、远程证明、安全通道、华为云擎天 Enclave 等特性,推动机密计算技术的落地及生态发展。
推荐人:
朱健伟
@zhujianwei001
zhujianwei7@huawei.com
openEuler security facility SIG Maintainer
刘忻
@ICC-NSG
xinl@lzu.edu.cn
兰州大学智能计算研究中心网络安全小组
杜东
@dongduResearcher
dd_nirvana@sjtu.edu.cn
openEuler RISC-V SIG Maintainer
侯明永
@houmingyong
houmingyong@huawei.com
openEuler confidential computing SIG Maintainer
项目代码仓库: https://gitee.com/openeuler/secGear
推荐奖项: openEuler 年度优秀项目
关键成果:
l 北京CA 密码服务 :客户基于 secGear 完成安全密码服务的开发,并通过 switchless 技术实现 SM2 签名性能 10 倍提升,解决安全应用拆分带来的性能损耗痛点。
l 金融行业百万人脸安全解决方案: openEuler 22.03 LTS SP2 上线远程证明、安全通道技术,落地金融行业百万人脸安全解决方案,在 xx 行内完成部署调试,并亮相 2023 开放原子开源峰会 展台 。
l 锘崴科技: secGear switchless 落地锘崴科技隐私计算一体机,帮助客户安全应用实现性能倍增。
l 擎天 Enclave : secGear 支持华为云擎天 Enclave 平台,简化华为云上机密计算应用开发。
1. 软件介绍 secGear 是面向计算产业的机密计算安全应用开发套件,屏蔽不同的 TEE ( Trusted Execution Environment ) SDK 差异提供统一的开发框架,同时提供开发工具、通用安全组件等,帮助安全应用开发者聚焦业务,提升开发效率。 技术挑战
随着机密计算技术的快速发展,各芯片厂商纷纷推出自己的机密计算解决方案,安全应用开发者面临以下几个难点:
• 生态隔离 :同一机密计算应用,想要部署到其他平台,需要基于不同平台 SDK 做二次开发。
• 难开发 :部分平台仅提供底层接口,使用困难,学习开发成本较高。
• 低性能 :机密计算应用需要拆分成 REE-TEE 两部分,频繁切换性能下降明显。 项目简介
secGear 的整体架构如图所示,主要提供三大能力:
• 跨架构 :屏蔽不同 SDK 接口差异,提供统一开发 接口,实现不同架构共源码。
• 易开发 :提供开发工具、通用安全组件等,帮助用户聚焦业务,开发效率显著提升。
• 高性能 :提供零切换特性,在 REE-TEE 频繁交互、 大数据交互等典型场景下提升 REE-TEE 交互性能 10 倍 + 。
2. 关键特性
l 代码生成工具 :帮助用户自动生成 REE-TEE 交互代码,聚焦业务,提升开发效率。
l switchless :在 REE-TEE 频繁交互、 大数据交互等典型场景下,通过共享内存技术减少切换开销,提升交互性能。
l 远程证明: 提供 TEE 侧安全应用的动态度量机制,使数据提供方随时可以发起验证安全应用的可信状态,仅状态可信时提供数据给安全应用处理。
l 安全通道 :保护用户数据安全传入 TEE 中进行处理,防止在 REE 侧数据泄露。
3. 社区大事件
l 2021 openEuler Summit - secGear 机密计算解 决方案亮相展台
l 2022 华为全连接大会 ?C 北京CA 与华为共推密码鲲鹏自主创新生态发展
l 2023 开发原子全球开源峰会 ?C 金融行业人脸识别解决方案亮相展台
l 2023 Open Source Summit Europe ?C secGear 首次亮相国际峰会
l openEuler 公众号
-
houmingyong