德国科隆大学构建RAMSES超级计算机实现数据处理全程加密
2026-07-02 15:45
收藏

维度网讯,科隆大学(University of Cologne)研究团队构建了一款名为RAMSES的超级计算机,能在数据处理过程中保持数据加密,填补了数据存储和传输之外的安全缺口。

以往,计算机在处理敏感数据时,加密通常应用于硬盘存储和网络传输两个环节,但数据被调入内存进行处理时,保护便消失,信息暴露在内存中,任何有足够访问权限的人都能读取。这一问题长期存在,主要源于物理限制和成本。加密和解密需要计算资源,而超级计算机的核心任务是速度,为每次内存操作添加安全层可能导致性能显著下降。

最新芯片改变了这一局面。RAMSES系统集成了AMD处理器的内置功能,硬件本身会在数据流入流出时自动加密内存。加密在芯片的内存控制器层面完成,运行于其上的程序无需任何修改,整个过程中数据始终保持加密状态。启用保护后,即使是管理机器的管理员也无法读取用户作业在内存中的内容,管理虚拟机的软件层也无法读取。

RAMSES整合了多种现有工具:内存保护来自AMD,文件加密通过IBM存储软件实现,加密密钥保存在Thales(泰雷兹)公司的专用安全设备中,登录需通过Cisco Duo(思科双因素认证)进行二次验证。对普通用户而言,前端操作保持简单,只需在作业请求中添加一条简短指令,系统便会启动私有加密环境、获取密钥、运行作业并清理环境,最终只留下加密结果。安全作业与普通作业的用户体验几乎相同。

团队在两个基因组学工作负载上测试了该系统,包括扫描和比对DNA数据。测试结果显示:一个依赖磁盘活动的任务,在启用最强安全保护后速度降低约4.4%;另一个高度依赖内存的任务,速度降低了18%。开销分解显示,在没有任何加密的情况下运行于私有虚拟环境,约占速度降低的一半;内存加密本身贡献了剩余的大部分;文件加密几乎不增加开销。

技术文档显示AMD内存保护存在两个版本,早期版本和更新更强的版本。新版本增加了针对某些攻击的防御措施,免受被攻破管理员侵害的承诺正依赖于这些防御。RAMSES中的芯片可以运行更强版本,论文中同时使用了这两个名称,确切配置仍是一个开放问题。

整个项目的动机与法规要求相关。该机器处理人类基因组数据和医学影像,属于欧洲隐私法下最受保护的类别。将数据发送到商业云意味着将其转移到机构外部,并带来额外法律和审计负担。将超级计算机保留在校内,大学可将数据掌握在自己手中,进行自己的审计,并控制对硬件的物理访问。该中心免费向其研究人员提供服务,源代码可根据要求提供给其他学术机构。

本文来自全球互联网及战略合作伙伴信息的编译与转载,仅为读者提供交流,有侵权或其它问题请及时告之,本站将予以修改或删除,未经正式授权严禁转载本文。邮箱:news@wedoany.com