星綻操作系統(tǒng)和星綻機密計算開源 打造安全可信的技術(shù)底座

來源：數(shù)據(jù)觀 時間：2024-10-22 16:43:31 作者：

　　10月22日，聚焦安全可信底層技術(shù)的開源系統(tǒng)軟件棧 ——“星綻”（Asterinas），由中關(guān)村實驗室、螞蟻集團、北京大學、南方科技大學等產(chǎn)學研機構(gòu)聯(lián)合對外發(fā)布，并向全球開發(fā)者開源?！靶蔷`”系統(tǒng)軟件棧旗下包括星綻OS和星綻機密計算兩大項目，分別面向通用執(zhí)行環(huán)境和可信執(zhí)行環(huán)境提供安全原生的系統(tǒng)軟件，為云計算、數(shù)據(jù)可信流通、人工智能等安全攸關(guān)的計算場景，構(gòu)建安全可信的技術(shù)底座。

　　發(fā)布現(xiàn)場，中國工程院院士倪光南在致辭中表示：“近年來，全球系統(tǒng)安全漏洞頻發(fā)，網(wǎng)絡攻擊和黑灰產(chǎn)業(yè)的事件頻發(fā)，傳統(tǒng)的技術(shù)路線難以高效應對新的安全挑戰(zhàn)。安全可信的新技術(shù)已成為推動產(chǎn)業(yè)可持續(xù)發(fā)展和技術(shù)持續(xù)創(chuàng)新的關(guān)鍵。同時，隨著人工智能技術(shù)深入落地產(chǎn)業(yè)，保障安全的數(shù)據(jù)流通更需要適配安全可靠的系統(tǒng)軟件棧的支撐。”

　　在操作系統(tǒng)領(lǐng)域，一大技術(shù)挑戰(zhàn)是安全和性能難以兼顧。目前主流商用及開源操作系統(tǒng)，基于傳統(tǒng)的、非內(nèi)存安全的C語言開發(fā)，系統(tǒng)復雜度爆炸式增長，高危安全漏洞每隔一段時間就會爆發(fā)一次，這些漏洞很大一部分是由內(nèi)存安全問題引起的。星綻OS是一個兼顧性能和安全的工業(yè)級開源操作系統(tǒng)內(nèi)核，采用新興的Rust編程語言，首創(chuàng)框內(nèi)核OS架構(gòu)，最小化了可能引發(fā)內(nèi)存安全問題的“關(guān)鍵代碼”（其中包含非內(nèi)存安全的代碼），實現(xiàn)操作系統(tǒng)內(nèi)核的原生安全變革。

　　目前，星綻OS支持x86和RISC-V等CPU體系架構(gòu)，兼容Linux，支持超過170個Linux系統(tǒng)調(diào)用，可以運行Web服務應用，預計將于2025年在云計算和機密計算等數(shù)據(jù)中心場景率先投入工業(yè)應用。在業(yè)界公認的LMbench基準測試上，星綻OS對齊全球主流開源操作系統(tǒng)Linux的性能水平。星綻OS代碼托管在GitHub平臺，代碼全面開源；同時，它采用MPL開源許可，開源免費并商業(yè)友好，為高安全要求的應用場景提供了一個新的開源OS選項。

　　星綻OS聚焦通用執(zhí)行環(huán)境，星綻機密計算則聚焦可信執(zhí)行環(huán)境。在產(chǎn)業(yè)界，數(shù)據(jù)存儲和傳輸?shù)谋Ｗo技術(shù)已經(jīng)相對成熟，而如何對使用中的數(shù)據(jù)進行保護，是全球共同面臨的技術(shù)難題。機密計算技術(shù)，基于硬件的可信執(zhí)行環(huán)境（TEE） 構(gòu)建隔離的“安全飛地”，保護數(shù)據(jù)在處理過程中的安全性和隱私性，可以為實現(xiàn)密態(tài)計算所要求的數(shù)據(jù)流轉(zhuǎn)全鏈路安全保障能力提供關(guān)鍵技術(shù)支撐。全球主流芯片和云廠商也在積極布局，包括英特爾、AMD，以及亞馬遜、IBM、微軟和阿里云等。

　　星綻機密計算包括HyperEnclave、Occlum和TrustFlow三大核心組件，形成了從底層的安全虛擬化環(huán)境到上層的可信服務軟件棧，提供支撐大規(guī)模復雜數(shù)據(jù)流轉(zhuǎn)場景的密算能力，著力解決可信根CPU依賴、CPU側(cè)信道攻擊防護緩解、復雜數(shù)據(jù)分析處理的全鏈路密態(tài)保障等行業(yè)痛點，攜手開源社區(qū)構(gòu)建以技術(shù)為基石的信任體系。今年5月以來，螞蟻集團公布密態(tài)計算技術(shù)體系，陸續(xù)推出“隱語云”系列密算產(chǎn)品，星綻機密計算也是該密態(tài)計算體系的關(guān)鍵支撐技術(shù)之一。

　　星綻機密計算旗下的TEE庫操作系統(tǒng)Occlum入選了2021“科創(chuàng)中國”開源創(chuàng)新榜，并成為國內(nèi)首個加入國際機密計算聯(lián)盟（CCC）的開源項目，也得到阿里云、微軟云、英特爾等廠商的聯(lián)合推薦。此外，星綻機密計算積累了豐富的產(chǎn)業(yè)落地經(jīng)驗，獲得了金融科技產(chǎn)品認證（2022-2024），支持在阿里云、百度云等公有云上“開箱即用”，在螞蟻集團、美團、京東等大型科技企業(yè)的業(yè)務中落地。

　　在推動數(shù)據(jù)要素流通可信體系的建設(shè)上，星綻機密計算積極參與新的產(chǎn)業(yè)實踐。9月25日，杭州市宣布建成全國首個密態(tài)計算中心，應用星綻機密計算開源項目作為安全底座，為數(shù)據(jù)產(chǎn)業(yè)生態(tài)中的參與方等提供全生命周期的密態(tài)安全保障；今年5月，農(nóng)業(yè)農(nóng)村部大數(shù)據(jù)發(fā)展中心與網(wǎng)商銀行發(fā)起的“農(nóng)戶秒貸”項目，基于星綻機密計算構(gòu)建了密態(tài)時空計算平臺，入選了國家數(shù)據(jù)局首批“數(shù)據(jù)要素x”典型金融案例，目前超600萬農(nóng)戶獲得貸款額度。

　　螞蟻集團副總裁兼首席技術(shù)安全官、螞蟻密算董事長韋韜表示，當前全球正處在歷史性的技術(shù)變革期，大數(shù)據(jù)和人工智能等新興技術(shù)深入產(chǎn)業(yè)應用，同時網(wǎng)絡黑灰產(chǎn)已經(jīng)形成龐大、完整且有細致分工的國際產(chǎn)業(yè)鏈條，全球嚴重安全事件頻頻爆發(fā)。系統(tǒng)軟件作為信息技術(shù)系統(tǒng)的基石技術(shù)，要以大規(guī)模工業(yè)級可用為導向，創(chuàng)新技術(shù)安全范式。

　　另一方面，韋韜認為，當今技術(shù)發(fā)展到了一個關(guān)鍵拐點，不只是大模型有突破。例如，對網(wǎng)絡空間安全的認知逐漸趨向微觀本源，業(yè)界提出了原生安全范式；行業(yè)經(jīng)過幾十年的積累，實現(xiàn)了以Rust安全原生的編程語言，支持大規(guī)模工業(yè)級的系統(tǒng)軟件工程研發(fā)；同時，數(shù)據(jù)成為第五大生產(chǎn)要素，大規(guī)模數(shù)據(jù)可信流通的趨勢，對構(gòu)建技術(shù)信任體系提出了全新、急迫的高要求。

　　“兩年前，我們面向全球開發(fā)者開源了隱語可信隱私計算技術(shù)棧。今天，我們聯(lián)合產(chǎn)學研合作伙伴一起發(fā)布星綻開源系統(tǒng)軟件棧，致力于共建安全可信的技術(shù)底座。未來還有很多的工作要做，我們希望與產(chǎn)學研的伙伴一起，持續(xù)推動系統(tǒng)軟件技術(shù)的發(fā)展和應用，”韋韜說。

　　倪光南認為，開源已經(jīng)成為信息技術(shù)生態(tài)構(gòu)建的主流趨勢，成為全球協(xié)同創(chuàng)新推動信息技術(shù)發(fā)展的強大動力。今天，開源對開放科學精神傳播、科學技術(shù)創(chuàng)新、數(shù)字經(jīng)濟建設(shè)、全球開放合作、產(chǎn)業(yè)生態(tài)構(gòu)建等方面提供了有力的支撐。“未來希望星綻能不忘初心，踔厲奮進，持續(xù)推動社區(qū)發(fā)展，為產(chǎn)業(yè)發(fā)展和社會經(jīng)濟效益創(chuàng)造更大的價值，為數(shù)字經(jīng)濟建設(shè)提供堅實的技術(shù)底座”，他說。

責任編輯：張薇