導(dǎo)語

可信工業(yè)數(shù)據(jù)空間是在現(xiàn)有信息網(wǎng)絡(luò)上搭建數(shù)據(jù)集聚、共享、流通和應(yīng)用的分布式關(guān)鍵數(shù)據(jù)基礎(chǔ)設(shè)施，通過體系化的技術(shù)安排確保數(shù)據(jù)流通協(xié)議的確認、履行和維護，解決數(shù)據(jù)要素提供方、使用方、服務(wù)方等主體間的安全與信任問題，進而實現(xiàn)數(shù)據(jù)驅(qū)動的數(shù)字化轉(zhuǎn)型。

★可信工業(yè)數(shù)據(jù)空間★

系列科普

Q1機密計算是什么？

機密計算面向云計算應(yīng)用，在數(shù)據(jù)處理過程中將敏感數(shù)據(jù)隔離在受保護的CPU區(qū)域中，該區(qū)域稱為飛地(enclave),當前更為通常的是將受保護的區(qū)域稱為可信執(zhí)行環(huán)境TEE(TrustedExecutiveEnvironment)。在TEE中處理的數(shù)據(jù)以及處理方法只有授權(quán)的代碼才能訪問，包括云服務(wù)提供商在內(nèi)的任何其他程序、設(shè)備或者人都無法知道。

Q2機密計算的作用機理是什么？

隨著企業(yè)越來越多的使用公共云和混合云服務(wù)，云中的數(shù)據(jù)安全成為最受關(guān)注的問題。機密計算的主要目標是向云計算的使用者提供更大的數(shù)據(jù)安全保證確保數(shù)據(jù)所有者在云中的數(shù)據(jù)受到保護和保密。與存儲加密和傳輸加密不同的是機密計算通過保護正在處理或運行時的數(shù)據(jù)，消除了許多系統(tǒng)層面的數(shù)據(jù)安全漏洞。目前TEE的主要實現(xiàn)技術(shù)包括IntelSGX和ARM的TrustZone技術(shù)。

IntelSGX

Intel公司發(fā)布了基于其公司處理器架構(gòu)的可信執(zhí)行環(huán)境IntelSGX(如圖2-4)，是一組增強應(yīng)用程序代碼和數(shù)據(jù)安全性的指令，為它們提供更強的保護以防泄漏或修改。SGX將應(yīng)用程序分為了可信區(qū)域和非可信區(qū)域，其中可信區(qū)域被稱為enclave。調(diào)用可信區(qū)域中的程序時，需要定義ecall借口，聲明傳遞的數(shù)據(jù)的結(jié)構(gòu)和大小。英特爾提供了包括本地證明、遠程證明。數(shù)據(jù)密封等多個基礎(chǔ)組件，并提供了豐富的軟件開發(fā)包供開發(fā)者使用。

SGX允許用戶態(tài)及內(nèi)核態(tài)代碼定義將特定內(nèi)存區(qū)域，設(shè)置為私有區(qū)域，此區(qū)域也被稱為飛地(Enclave)。其內(nèi)容受到保護，不能被本身以外的任何進程存取，包括高權(quán)限級別運行的進程(例如操作系統(tǒng)內(nèi)核進程)。

圖2-4 IntelSGX系統(tǒng)架構(gòu)

IntelSGX實現(xiàn)過程中應(yīng)用程序分為安全部分和非安全部分：

應(yīng)用程序啟動enclave，它被放置在受保護的內(nèi)存中。

當enclave函數(shù)被調(diào)用時，只有enclave內(nèi)的代碼可以看到它的數(shù)據(jù)，外部訪問總是被拒絕；當它返回時，enclave數(shù)據(jù)保留在受保護的內(nèi)存中。

21 ARMTrustZone

ARM公司提出的TrustZone技術(shù)實現(xiàn)硬件隔離機制，主要針對嵌入式移動終端 處 理 器 。T r u s t Z o n e 在 概 念 上 將 S o C 的 硬 件 和 軟 件 資 源 劃 分 為 安 全(SecureWorld)和非安全(NormalWorld)兩個世界。所有需要保密的操作在安全世界執(zhí)行(如指紋識別、密碼處理、數(shù)據(jù)加解密、安全認證等)，其余操作在非安全世界執(zhí)行 (如用戶操作系統(tǒng)、各種應(yīng)用程序等)，安全世界和非安全世界通過一個名為MonitorMode的模式進行轉(zhuǎn)換，如圖2-5：

圖2-5Trustzone架構(gòu)

處理器架構(gòu)上，TrustZone將每個物理核虛擬為兩個核，一個非安全核(Non-secureCore, NSCore)，運行非安全世界的代碼；另一個安全核(SecureCore)，運行安全世界的代碼。

兩個虛擬核以基于時間片的方式運行，根據(jù)需要實時占用物理核，并通過MonitorMode在安全世界和非安全世界之間切換，類似同一CPU下的多應(yīng)用程序環(huán)境，不同的是多應(yīng)用程序環(huán)境下操作系統(tǒng)實現(xiàn)的是進程間切換，而Trustzone下的MonitorMode實現(xiàn)同一CPU上兩個操作系統(tǒng)間的切換。

審核編輯：湯梓紅