安全飞地 on 办公AI智能小助手

安全飞地新攻击：TEE.fail漏洞威胁现代云安全架构

Sun, 16 Nov 2025 22:21:56 +0800

新攻击威胁安全飞地

加密技术可以保护静态数据和传输中的数据，但对使用中的数据无能为力。这时就需要安全飞地。我此前曾对此进行过论述：

几乎所有云服务都需要对我们的数据进行某些计算。即使是最简单的存储提供商，也需要代码来从内部存储系统复制字节并传递给用户。在这种狭窄场景下，端到端加密已经足够。但通常我们希望云提供商能够对我们的原始数据执行计算：搜索、分析、AI模型训练或微调等。如果不采用昂贵且深奥的技术（如安全多方计算协议或可对加密数据执行计算的全同态加密技术），云服务器需要访问未加密数据才能执行任何有用操作。

PSL核心技术解析：密钥管理、沙箱隔离与安全飞地实现

Thu, 16 Oct 2025 14:13:32 +0800

VI. PSL与SCL集成

我们讨论了使用SCL实现PSL的经验和实施工作。每个PSL工作器都在SCL中通过工作器飞地启动，并由飞地内FaaS领导者进行认证。PSL的代码直接在沙箱化的JavaScript引擎上执行。我们的密钥分发和管理协议通过FaaS领导者从主密钥派生出唯一私钥，为每个工作器飞地提供专属密钥。这些密钥可以轻松生成、验证和轮换，以防止潜在的密钥泄漏。

异构安全原语应对供应链攻击的安全飞地架构

Thu, 18 Sep 2025 13:28:51 +0800

安全飞地架构用于异构安全原语应对供应链攻击

设计安全的系统级芯片（SoC）平台架构是一项高度复杂且耗时的任务，通常需要数月的开发和细致的验证。即使微小的架构疏忽也可能导致关键漏洞，从而破坏整个芯片的安全性。为应对这一挑战，我们引入了CITADEL，一种模块化安全框架，旨在简化SoC的健壮安全架构的创建。CITADEL提供了一个可配置的即插即用子系统，由定制知识产权（IP）块组成，能够构建针对特定威胁的多样化安全机制。