目前基于软件实现的Hadoop密钥管理服务(key management service,KMS)主密钥以配置文件的方式明文存储在系统中,存在严重的安全隐患,基于Intel SGX的Hadoop KMS主密钥保护方案通过SGX远程认证建立安全通信信道的方式向KMS设置主密钥,然后将主密钥密封存储在KMS服务器本地,并将主密钥的使用过程转移到SGX安全区中,来保证主密钥的使用过程受SGX硬件保护,通过测试和安全性评估,提出的方案解决了KMS主密钥的可信部署与使用问题,在密钥创建的测试中得到安全增强带来的性能损耗为10.08%.

• 单位
  北京工业大学