写点什么

中国银联对机密计算的理解与探索

2021 年 1 月 04 日

中国银联对机密计算的理解与探索

数字化转型是整个金融行业的命题。2020 年 12 月 25 日,中国银联技术部总监祖立军在 openEuler Summit 2020 会议上发表了《金融数字化转型:机密计算的理解与探索》的主题演讲,分享了他作为金融工作者和社区工作者的所见所闻。

 

演讲实录如下


中国银联是交易额全球最大的银行卡组织,目前银联的业务已经拓展到了 179 个国家,涵盖了 5600 个商户,总共发行了 86 亿张卡。现在整个金融行业都在探索数字化转型,中国银联也不例外,其目标是面向行业成为金融数字化服务提供底座的技术平台。

金融科技的数字化转型


针对金融数字化转型,我认为有两点很重要:一是在强隐私保护的情况下,如何更好地实现挖掘数据的潜能,实现多场景的融合服务;二是融通业务的场景,通过物联网技术能够推动多模态,尤其是场景化、沉浸式的服务企业。


而实现这两点最重要的就是金融科技的应用。金融科技的应用有两大平台,一个是金融云平台,第二是金融物联网,这两大平台恰恰是操作系统 openEuler 一体两翼的生态。金融云提供多租户、数据共享等服务,这就存在数据泄漏的问题。而在物联网方面,由于物联网金融服务终端是在开放环境下部署的,所以也存在开放环境中被恶意攻击的情况。由此看来,无论是云端还是物联网端,金融科技的发展都需要一项新的技术去实现金融应用的安全与引擎计算的服务能力。我个人认为机密计算可能是比较好的解决方案。


基于此,我对未来技术趋势发展有以下几个判断:



第一个判断:机密计算应是操作系统的基础安全能力


机密计算是通过基于硬件的可信执行环境(TEE)对使用中的数据进行保护。TEE 被定义为提供一定级别的数据完整性、数据机密性和代码完整性保证的环境。目前苹果或者华为手机里使用的指纹或者是人脸都是在 TEE 环境运行的。在这种情况下,我认为未来 TEE 计算能力会像操作系统操作管理 CPU、内存、网络乃至存储资源一样,成为操作系统的原生能力。


第二个判断:不同的机密计算软硬件环境需要统一的接口


由于机密计算硬件架构的不同,所以我们需要一个统一的接口。而 openEuler 拥有统一机密计算框架,统一的 API,统一的开发体验,这使得我们一次开发就能够兼容不同的软硬件环境,使得我们拥有相应的统一服务企业。

机密计算的能力规划与应用


机密计算的能力规划可以分为三层:底层安全能力、中层可信服务、上层可信应用。


  • 底层安全能力:包括应用安全系统、设备的安全系统、安全环境本身自检的能力、安全存储,相关的密钥体系能力、基础的密钥的服务能力等等。

  • 中层可信服务:包括可信设备的认证服务、可信 TUI 服务、可信时钟/位置服务、可信加解密服务等等。

  • 上层可信应用:包括手机 POS、凭证服务、基于隐私计算的数据交互、可信数据处理与交互等等。


中国银联电子支付研究院团队加入了 openEuler 机密计算 sig 组,参与了 secGear 框架开发,聚焦国密套件计算服务能力的研发。今年,该项目组开源了第一个模块,未来项目组希望所有的安全计算服务能力都能够得到安全的保护,能够得到安全的机密计算环境。


除了规划,我再和大家分享一个具体场景中的应用——充电桩支付。如果使用二维码支付,现在很多充电桩都是露天的,太阳光很热,二维码显示不清晰或者反光,使用体验并不好;如果使用刷卡支付,充电站卡片不通用;如果使用 ETC&车牌支付,会发现一个充电桩往往有几个墙,至少两个墙,发现停在 A 车位的车用 B 车位的桩充电,也存在逃费的情况或者不准确的情况。


基于此,我们提出了一个解决方案,通过充电口去识别车架号信息,我们在充电桩侧、云端、服务器侧全部采用机密能力,让金融安全数据、物联网数据都在机密的环境里实现相应的数据保护和相应的计算,完成自动扣款。


(以上内容由 InfoQ 编辑根据现场演讲内容进行整理,未经本人确认)

2021 年 1 月 04 日 11:04870
用户头像
田晓旭 InfoQ 编辑

发布了 448 篇内容, 共 205.0 次阅读, 收获喜欢 1382 次。

关注

评论

发布
暂无评论
发现更多内容

训练营第四周总结

大脸猫

极客大学架构师训练营

腾讯强推Redis大神之路成长手册!原理+应用+集群+拓展+源码五篇齐飞

Java架构追梦

Java 数据库 redis 架构 面试

《身边的金钱心理学》

石云升

【Mycat】Mycat核心开发者带你轻松掌握Mycat路由转发!!

冰河

分布式 微服务 分库分表 中间件 mycat

高交会:高新企业源中瑞在此出展区块链BAAS技术

WX13823153201

苏州崛起为我国区块链产业高地

CECBC区块链专委会

区块链 社区矫正

架构师训练营第 1 期第 8 周作业

好吃不贵

极客大学架构师训练营

ebay支付核心账务系统架构演进之路

贾奇 (Jacky)

支付系统 共识机制 系统稳定高可用 Event Sourcing 异地多活容灾

架构师训练营 - 第 8 周课后作业(1 期)

阿甘

推荐好书:《使用Python进行图像处理和采集》第二版(附下载方式)

计算机与AI

Python 图像处理

“懂行”的价值循环与蝴蝶风暴

脑极体

成为架构师 - 架构师训练营第 04周

陈永龙Vincent

分分钟玩转SpringBoot自定义注解

比伯

Java 大数据 编程 架构 编程语言

区块链治理的真实价值在哪里

CECBC区块链专委会

区块链 治理 治理机制

Java8引入新的日期和时间库,你应该知道

Silently9527

java8

极客时间架构师培训 1 期 - 第 8 周作业

Kaven

家谱链亮相高交会,点亮“区块链+文化”融合发展之路

13530558032

训练营第四周作业

大脸猫

极客大学架构师训练营

网络时间协议介绍以及服务器同步网络时间

MySQL从删库到跑路

ntp 时间同步

架构作业--相交链表

Nick~毓

LeetCode题解:169. 多数元素,哈希表,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

极客时间架构师训练营 1 期 - 第 8 周总结

Kaven

高交会:高新企业源中瑞在此出展区块链BAAS技术

13530558032

“区块链+营销”:科技力量助力行业前行

CECBC区块链专委会

市场营销

年轻人的第一个MyBatis项目就要这样来学习,不走弯路

小Q

Java 学习 架构 面试 mybatis

四、应用系统探讨

Geek_28b526

架构师训练营 week4 学习总结

花果山

极客大学架构师训练营

架构师训练营 第四周作业

文江

脱钩!打工人不配拥有Java程序员306道面试秘笈吗?真香

996小迁

Java 学习 架构 面试 笔记

架构师训练营 week4 课后作业

花果山

极客大学架构师训练营

Architecture Phase1 Week8:Summarize

phylony-lu

极客大学架构师训练营

中国银联对机密计算的理解与探索-InfoQ