可信計算(Trusted Computing)是在計算和通訊系統中應用基於硬體安全模組支援的可信計算平臺,以提高系統的安全性。隨著可行計算研究的不斷深入,大眾視線逐漸由傳統硬體晶片安全模式轉向了可信執行環境(TEE)TEE是由Global Platform提出的概念,目前TEE有著多樣化的實現方案,其中基於Intel晶片的SGX以及基於ARM開源框架的TrustZone是可信執行環境技術實現中最被廣泛認知且應用的。
可信執行環境是一種由多種計算機相關技術組合而成的安全技術,以下5個技術概念是可信執行環境的核心規範:
1、Endorsement key 簽註金鑰
簽註金鑰必須隨機生成並且不能被改變。其中私有金鑰必須被安全儲存,除了指定介面呼叫,無法透過任何方式獲得。而公共金鑰用來認證及加密待傳送的敏感資料。
2、Secure input and output 安全輸入輸出
輸入輸出是指使用者與系統之間的互動,其途徑包括鍵盤、外設、網路介面等。安全輸入輸出是指,從系統使用者到訪問的程序間存在一條受保護的路徑。
3、Memory curtaining 儲存器遮蔽
儲存器遮蔽拓展了一般的儲存保護技術,提供了完全獨立的儲存區域。即便是作業系統自身也沒有遮蔽區的去完全訪問許可權,因此入侵者即便控制了作業系統,執行時(Run Time)的資料也是安全的。
4、Sealed storage 密封儲存
密封儲存透過把私有資訊和使用者使用的平臺環境配置資訊捆綁在一起來保護私有資訊。意味著被密封儲存的資料只能在相同的安全環境下讀取。
5、Remote attestation 遠端認證
遠端認證是指,由簽註金鑰生成當前系統的軟體證明書,系統上的任何改變可以透過證明書被遠端授權方感知和校驗,從而使得系統的執行邏輯安全可信。
以上5個關鍵技術是一個完備的TEE技術方案所應該擁有的。相比於複雜的演算法層面解決方案,TEE在實現邏輯上更加簡單有效。在技術發展方面,TEE擁有快速發展的技術生態,並且有著持續發展的強勁動力。在功能方面,TEE支援複雜計算邏輯的可信執行。
YPOOL瑤池
YPOOL瑤池致力於區塊鏈基礎設施建設與提供綜合性解決方案,團隊深耕區塊鏈軟硬體研發,自有云計算/雲端儲存儲存伺服器生產線,專業運維團隊。主營區塊鏈技術研發、礦場建設、礦機銷售、礦機託管、礦池運營等業務。
