KubeTEE云原生大規(guī)模集群化機(jī)密計(jì)算框架

KubeTEE 是一個(gè)云原生大規(guī)模集群化機(jī)密計(jì)算框架，旨在解決在云原生環(huán)境中 TEE 可信執(zhí)行環(huán)境技術(shù)特有的從開發(fā)、部署到運(yùn)維整體流程中的相關(guān)問題。

KubeTEE 是云原生場景下如何使用 TEE 技術(shù)的一套整體解決方案，包括多個(gè)框架、工具和微服務(wù)的集合。顧名思義，KubeTEE 基于 docker 容器、Kubernetes 編排和其他云原生技術(shù)。其目標(biāo)是幫助開發(fā)人員實(shí)現(xiàn)基于 TEE 的應(yīng)用程序，并更輕松、順暢地部署 TEE 服務(wù)。

架構(gòu)圖：

KubeTEE 當(dāng)前主要基于 Intel (R) SGX。SGX 是 Intel 提供的基于 CPU 的硬件安全技術(shù)。它使用加密的內(nèi)存來保護(hù)運(yùn)行時(shí)代碼和數(shù)據(jù)免于被盜和惡意篡改。

目前，KubeTEE已經(jīng)開源的組件包括：

• sgx-device-plugin：sgx 容器插件，讓容器支持 sgx 特性，由螞蟻與阿里云團(tuán)隊(duì)共同開發(fā)；
• trusted-function-framework：TFF 可信應(yīng)用開發(fā)框架，簡化可信函數(shù)實(shí)現(xiàn)過程，屏蔽 SGX 相關(guān)細(xì)節(jié)；
• enclave-configuration-service：AECS，基于遠(yuǎn)程認(rèn)證的 enclave 配置服務(wù)；
• protobuf-sgx：經(jīng)修改以支持 Enclave 內(nèi)部使用的 protobuf 協(xié)議。