機(jī)密計(jì)算是什么？機(jī)密計(jì)算的作用機(jī)理是什么？

導(dǎo)語

可信工業(yè)數(shù)據(jù)空間是在現(xiàn)有信息網(wǎng)絡(luò)上搭建數(shù)據(jù)集聚、共享、流通和應(yīng)用的分布式關(guān)鍵數(shù)據(jù)基礎(chǔ)設(shè)施，通過體系化的技術(shù)安排確保數(shù)據(jù)流通協(xié)議的確認(rèn)、履行和維護(hù)，解決數(shù)據(jù)要素提供方、使用方、服務(wù)方等主體間的安全與信任問題，進(jìn)而實(shí)現(xiàn)數(shù)據(jù)驅(qū)動(dòng)的數(shù)字化轉(zhuǎn)型。

★可信工業(yè)數(shù)據(jù)空間★

系列科普

Q1機(jī)密計(jì)算是什么？

機(jī)密計(jì)算面向云計(jì)算應(yīng)用，在數(shù)據(jù)處理過程中將敏感數(shù)據(jù)隔離在受保護(hù)的CPU區(qū)域中，該區(qū)域稱為飛地(enclave),當(dāng)前更為通常的是將受保護(hù)的區(qū)域稱為可信執(zhí)行環(huán)境TEE(TrustedExecutiveEnvironment)。在TEE中處理的數(shù)據(jù)以及處理方法只有授權(quán)的代碼才能訪問，包括云服務(wù)提供商在內(nèi)的任何其他程序、設(shè)備或者人都無法知道。

Q2機(jī)密計(jì)算的作用機(jī)理是什么？

隨著企業(yè)越來越多的使用公共云和混合云服務(wù)，云中的數(shù)據(jù)安全成為最受關(guān)注的問題。機(jī)密計(jì)算的主要目標(biāo)是向云計(jì)算的使用者提供更大的數(shù)據(jù)安全保證確保數(shù)據(jù)所有者在云中的數(shù)據(jù)受到保護(hù)和保密。與存儲(chǔ)加密和傳輸加密不同的是機(jī)密計(jì)算通過保護(hù)正在處理或運(yùn)行時(shí)的數(shù)據(jù)，消除了許多系統(tǒng)層面的數(shù)據(jù)安全漏洞。目前TEE的主要實(shí)現(xiàn)技術(shù)包括IntelSGX和ARM的TrustZone技術(shù)。

IntelSGX

Intel公司發(fā)布了基于其公司處理器架構(gòu)的可信執(zhí)行環(huán)境IntelSGX(如圖2-4)，是一組增強(qiáng)應(yīng)用程序代碼和數(shù)據(jù)安全性的指令，為它們提供更強(qiáng)的保護(hù)以防泄漏或修改。SGX將應(yīng)用程序分為了可信區(qū)域和非可信區(qū)域，其中可信區(qū)域被稱為enclave。調(diào)用可信區(qū)域中的程序時(shí)，需要定義ecall借口，聲明傳遞的數(shù)據(jù)的結(jié)構(gòu)和大小。英特爾提供了包括本地證明、遠(yuǎn)程證明。數(shù)據(jù)密封等多個(gè)基礎(chǔ)組件，并提供了豐富的軟件開發(fā)包供開發(fā)者使用。

SGX允許用戶態(tài)及內(nèi)核態(tài)代碼定義將特定內(nèi)存區(qū)域，設(shè)置為私有區(qū)域，此區(qū)域也被稱為飛地(Enclave)。其內(nèi)容受到保護(hù)，不能被本身以外的任何進(jìn)程存取，包括高權(quán)限級(jí)別運(yùn)行的進(jìn)程(例如操作系統(tǒng)內(nèi)核進(jìn)程)。

圖2-4 IntelSGX系統(tǒng)架構(gòu)

IntelSGX實(shí)現(xiàn)過程中應(yīng)用程序分為安全部分和非安全部分：

應(yīng)用程序啟動(dòng)enclave，它被放置在受保護(hù)的內(nèi)存中。

當(dāng)enclave函數(shù)被調(diào)用時(shí)，只有enclave內(nèi)的代碼可以看到它的數(shù)據(jù)，外部訪問總是被拒絕；當(dāng)它返回時(shí)，enclave數(shù)據(jù)保留在受保護(hù)的內(nèi)存中。

21 ARMTrustZone

ARM公司提出的TrustZone技術(shù)實(shí)現(xiàn)硬件隔離機(jī)制，主要針對(duì)嵌入式移動(dòng)終端 處 理 器 。T r u s t Z o n e 在 概 念 上 將 S o C 的 硬 件 和 軟 件 資 源 劃 分 為 安 全(SecureWorld)和非安全(NormalWorld)兩個(gè)世界。所有需要保密的操作在安全世界執(zhí)行(如指紋識(shí)別、密碼處理、數(shù)據(jù)加解密、安全認(rèn)證等)，其余操作在非安全世界執(zhí)行 (如用戶操作系統(tǒng)、各種應(yīng)用程序等)，安全世界和非安全世界通過一個(gè)名為MonitorMode的模式進(jìn)行轉(zhuǎn)換，如圖2-5：

圖2-5Trustzone架構(gòu)

處理器架構(gòu)上，TrustZone將每個(gè)物理核虛擬為兩個(gè)核，一個(gè)非安全核(Non-secureCore, NSCore)，運(yùn)行非安全世界的代碼；另一個(gè)安全核(SecureCore)，運(yùn)行安全世界的代碼。

兩個(gè)虛擬核以基于時(shí)間片的方式運(yùn)行，根據(jù)需要實(shí)時(shí)占用物理核，并通過MonitorMode在安全世界和非安全世界之間切換，類似同一CPU下的多應(yīng)用程序環(huán)境，不同的是多應(yīng)用程序環(huán)境下操作系統(tǒng)實(shí)現(xiàn)的是進(jìn)程間切換，而Trustzone下的MonitorMode實(shí)現(xiàn)同一CPU上兩個(gè)操作系統(tǒng)間的切換。

審核編輯：湯梓紅