峰會回顧第18期 | 基于可信的機密計算

演講嘉賓 | 趙 波

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

趙波，博士，教授，武漢大學國家網(wǎng)絡安全學院黨委書記，國家網(wǎng)絡安全先進個人，國家網(wǎng)絡安全優(yōu)秀教師，武漢大學珞珈特聘教授，中國密碼學會理事，中關村可信計算聯(lián)盟副理事長，CCF（中國計算機學會）高級會員，CCF 信息安全與保密專委會、容錯計算專委會委員。TCG（國際可信計算組織）組織個人會員。主要研究方向為密碼學應用、信息系統(tǒng)安全、可信計算、嵌入式系統(tǒng)及云計算安全、網(wǎng)絡安全技術等。參與多項重點工作，發(fā)表七十余篇學術論文，獲得國家發(fā)明授權十余項。并出版《可信計算》等學術專著。

內容來源

第一屆開放原子開源基金會OpenHarmony技術峰會——安全及機密計算分論壇

視頻回顧

正 文 內 容

可信計算引領的整體安全架構和主動免疫安全體系，已經成為網(wǎng)絡空間安全技術版圖中不可或缺的重要一環(huán)；機密計算提供硬件級的系統(tǒng)隔離，在數(shù)據(jù)安全領域起到了重要的作用。兩者能夠碰撞出什么火花呢？武漢大學國家網(wǎng)絡安全學院黨委書記、二級教授趙波在第一屆OpenHarmony技術峰會上分享了幾點思路。

01?

可信計算及發(fā)展歷程

1.1??

可信計算

什么是可信計算呢？根據(jù)ISO/IEC定義：參與計算的組件、操作或過程在任意的條件下都是可預測的，并能夠抵御病毒和一定程度的物理干擾；根據(jù)IEEE定義：計算機所提供的服務的可信賴性是可論證的。趙波教授所在團隊認為可信可以理解為可靠與安全的結合體：如果一個實體的行為總是以預期的方式，達到預期的目的，那么其就是可信的。

可信計算如何實現(xiàn)呢？可信計算是通過硬件層、應用層以及基礎平臺層三者共同實現(xiàn)的。可信計算技術是保障信息系統(tǒng)安全的關鍵技術，特點是從底層做起、從PC終端做起，強調信任關系傳遞的可信計算平臺適合作為軟硬件軟硬件安全的基準度量平臺。利用可信計算技術，能夠從芯片層面、主板層面、系統(tǒng)軟件層面、應用軟件層面以及網(wǎng)絡層面綜合考慮，構建起可信的計算體系。

1.2??

技術落地

在可信技術落地的實踐上，趙波教授所在團隊實現(xiàn)了可信計算機和可信嵌入式平臺：（1）可信計算機搭載了內置可信根芯片，從可信根出發(fā)對BIOS、OS、APP逐級度量并與可信存儲中的度量值進行對比來建立可信鏈，在通用計算機的基礎上實現(xiàn)了基于可信的安全功能；（2）可信嵌入式平臺搭載了ETPM，不僅作為可信平臺模塊，而且主動控制系統(tǒng)I/O。此外，該嵌入式平臺還使用了一種帶數(shù)據(jù)恢復功能的星型信任結構, 利用可信根分別對引導程序、操作系統(tǒng)內核、文件系統(tǒng)等分別度量，采用星型度量方法，相較于傳統(tǒng)鏈式可信啟動模型具有降低信任損失，方便增刪組件以及版本升級開銷小的優(yōu)勢。

趙波教授所在團隊也實現(xiàn)了面向云存儲的可信計算環(huán)境技術落地。什么是可信計算環(huán)境呢？可信計算環(huán)境即利用可信計算的思想，從信任根出發(fā)，基于信任度量建立信任鏈，構建一種運算與防護并存的運行環(huán)境，保證了計算的行為與預期一致，同時保證全程可檢測可監(jiān)控。

在云存儲領域，由于云存儲環(huán)境本身并無任何可信機制，缺乏信任源頭，無法滿足數(shù)據(jù)存儲的安全，在云內外部攻擊者的威脅下，云內存儲的數(shù)據(jù)面臨被窺探的風險?；谠撏袋c，趙波教授所在團隊以外置硬件可信根，將可信從客戶機延伸至云端，構建可信計算環(huán)境，保護數(shù)據(jù)安全。該云儲存產品以外置可信硬件為支撐，將“服務商提供安全”轉變?yōu)椤皞€人掌握安全”，將可信從用戶處延申至云端，構建了面向安全存儲的可信計算環(huán)境，以用戶可感知的方法解決了軟件和數(shù)據(jù)的隱私保護問題。

02?

從可信到機密計算

2.1??

機密計算

什么是機密計算呢？機密計算是在基于硬件的可信執(zhí)行環(huán)境（TEE）中保護軟件及數(shù)據(jù)運行態(tài)安全的安全范式。相比于多方安全計算和同態(tài)加密，TEE效率高，適應數(shù)據(jù)量大，交互頻繁，響應時間快的交互需求。在計算機和大數(shù)據(jù)技術飛速發(fā)展的新場景下，各領域都越來越注重數(shù)據(jù)安全需求，例如：（1）云計算業(yè)務越來越依賴公共云和混合云服務，數(shù)據(jù)在第三方提供的環(huán)境中存儲，運行。云中的數(shù)據(jù)隱私保護勢在必行；（2）機器學習依賴模型訓練，機構間共享數(shù)據(jù)可大幅度提升模型性能，機器學習中的數(shù)據(jù)隱私需要得到保障；（3）區(qū)塊鏈用戶之間數(shù)據(jù)一致性的驗證需要基于歷史數(shù)據(jù)的運算，該數(shù)據(jù)通常以明文方式進行運算，歷史數(shù)據(jù)的隱私需要得到保護。機密計算能夠有效滿足這些場景的數(shù)據(jù)安全訴求。

機密計算的目標是什么呢？機密計算主要實現(xiàn)以下三方面能力：

• 可用不可見：通過對TEE在運算過程中所使用的系統(tǒng)資源的隔離，使得數(shù)據(jù)在計算的過程中不被惡意竊?。?/li>
• 可算不可識：對TEE中運行程序所使用的數(shù)據(jù)和代碼進行加密存儲，使敏感數(shù)據(jù)在使用過程中達到匿名化要求；
• 專數(shù)專用：通過用戶證書在創(chuàng)建TEE時確定其所有權，加密數(shù)據(jù)僅在授權的TEE中解密、運算，確保數(shù)據(jù)專數(shù)專用。

2.2??

現(xiàn)狀與不足

機密計算還處在發(fā)展初期，2019年由Linux基金會宣布由多家巨頭企業(yè)組成的機密計算聯(lián)盟成立，旨在推進機密計算的標準化和商業(yè)化發(fā)展進程。目前，Intel、ARMt等已經推出了各自的機密計算產品。

然而，當前已有的機密計算產品還存在較多不足，例如：

• Intel通過對CPU一組指令的擴展，使得用戶可以創(chuàng)建名為Enclave的TEE環(huán)境，系統(tǒng)為其分配專用的內存地址進行隔離。但當數(shù)據(jù)和代碼被拷貝至環(huán)境中解碼運行時，任何來自于Enclave外的訪問都會被拒絕，對于Enclave而言，只有Intel的CPU是可信的；

• ARM將系統(tǒng)運行態(tài)分為兩類：安全世界、普通世界，并通過總線上的一位來區(qū)分運行態(tài)完成環(huán)境隔離。但任何來自普通世界的請求都無法訪問安全世界運行的進程和數(shù)據(jù)。盡管CPU是可信的，但只能分別被兩個運行態(tài)的環(huán)境分時使用。

03?

基于可信的機密計算

可信計算環(huán)境與機密計算是兩個不同的概念，但兩者能夠在硬件基礎、技術架構、安全側重點、數(shù)據(jù)安全以及云網(wǎng)段端應用等維度在一定程度上實現(xiàn)優(yōu)勢互補?？偟膩碚f，可信計算環(huán)境有信任根可以保證從硬件、軟件、網(wǎng)絡的整體安全，但對數(shù)據(jù)的動態(tài)安全保護能力較弱；機密計算可以保護數(shù)據(jù)運行態(tài)安全，但缺乏從下至上的信任環(huán)境，攻擊面過大。趙波教授所在團隊將二者結合，優(yōu)勢互補即構建可信的機密計算環(huán)境來保護系統(tǒng)安全。

基于可信的機密計算可以定義為：從硬件可信基出發(fā)，構造一個可信計算環(huán)境，并將可信向上延伸至機密計算環(huán)境，從而得到一個從啟動到運行全方位安全的基于可信的機密計算環(huán)境。

與傳統(tǒng)機密計算不同，可信機密計算將機密計算的底層技術擴大到了可信計算基，利用可信計算加密、度量等服務支撐機密計算的運行環(huán)境，同時解決了原有可信計算環(huán)境無法保證數(shù)據(jù)運行態(tài)安全的盲點。得益于可信計算的良好適用性，能夠將機密計算的應用場景從云計算擴大到嵌入式系統(tǒng)。

構建基于可信的機密計算過程主要有以下幾個步驟：

1. 首先構建可信根，如果設備本身沒有可信組件，則需要使用嵌入式可信根，可信根需要對上層提供認證，加密、安全存儲等基礎可信服務的支撐；
2. 再基于可信根實現(xiàn)可信計算環(huán)境，通過對計算機系統(tǒng)代碼和狀態(tài)的度量等技術，構建自底向上的信任鏈，為機密計算提供可信的系統(tǒng)服務；
3. 最后構建基于可信根的機密計算環(huán)境，為運行程序構造隔離環(huán)境，并對運行在隔離環(huán)境內的應用程序提供度量、判定、控制、報告與審計等服務，確保其運行態(tài)安全。

目前，趙波教授所在團隊研究了安卓環(huán)境下基于TF卡的半機密計算環(huán)境以及基于PCI的可信軟件保護構建的機密計算環(huán)境兩方面內容。

研究內容1：安卓環(huán)境下基于TF卡的半機密計算環(huán)境

構建可信計算根：基于加密TF卡構建信任基，內置加解密引擎，獨立的運算單元，能夠保證較高的加解密效率，同時由于密鑰不出卡，能夠保證安全性。通過TF卡提供的安全存儲、加解密引擎、可信度量等服務，將信任從底部硬件通過信任鏈傳遞向上延伸，在不改變設備原本硬件構成的基礎上，建立了可信計算環(huán)境，為后續(xù)機密運算環(huán)境的建立提供度量與判定的支撐功能。相比于通過硬件芯片構建信任基的方式，該方法效率更高，適應性更強。

基于可信根實現(xiàn)可信計算環(huán)境：可信基礎軟件基TSB是系統(tǒng)運行過程中可信度量、判定、控制、報告與審計功能的實際執(zhí)行部件。TSB通過身份認證機制度量主客體身份的合法性，通過靜態(tài)度量機制度量系統(tǒng)啟動環(huán)境的可信性與文件的可信性，通過動態(tài)度量機制度量系統(tǒng)運行環(huán)境和應用的可信性，通過保密存儲的支撐機制對系統(tǒng)和用戶的數(shù)據(jù)進行私密保護，從而構建可信計算環(huán)境。

構建基于可信的機密計算環(huán)境：TSB通過基于可信根實現(xiàn)的安全存儲、加解密、可信度量等服務，向運行于REE下的可信基礎軟件模塊提供動態(tài)度量與判定的支撐功能，完成了對運行數(shù)據(jù)的保護，實現(xiàn)了機密計算功能。但由于應用程序并未運行在TEE中，而是運行在受到保護和監(jiān)控的REE中，所以稱之為半機密計算環(huán)境。

研究內容2：基于PCI的可信軟件保護構建的機密計算環(huán)境

以FPGA芯片等可信組件構成的硬件保護板通過PCI總線與工控機進行通信，基于其提供的加密、解密等服務，能夠構建可信計算環(huán)境。通過可信根提供的硬件加密服務的支撐對運行在軟件平臺中的APP進行加殼保護，使敏感數(shù)據(jù)在使用過程中達到匿名化要求，實現(xiàn)了機密計算“可算不可識”的目標；通過文件過濾驅動，實現(xiàn)敏感數(shù)據(jù)的訪問控制功能，實現(xiàn)了機密計算“專數(shù)專用”的目標；同時使用雙進程保護和時間戳保護對其進行動態(tài)安全防護，實現(xiàn)了機密計算“可用不可見”的目標。軟件平臺基于可新環(huán)境構建，減小了攻擊面，保證了程序從啟動到運行的全方位數(shù)據(jù)安全，完成了可信的機密計算環(huán)境的構建。

研究展望

基于RISC-V的研究展望：作為一種新興的精簡指令集架構，RISC-V已經成為和X86、ARM并列的三大主流處理器架構之一。在缺乏硬件生產商信任的環(huán)境下，通過這一新興架構實現(xiàn)自主可控的機密計算環(huán)境有兩個思路：（1）利用Trustzone的思想，在可信根創(chuàng)建的可信計算環(huán)境內，復用RISC-V現(xiàn)有的PMP寄存器，為RISC-V提供獨立物理機抽象，每個區(qū)域都能運行獨立的OS和受保護的應用，實現(xiàn)可信機密計算環(huán)境；（2）利用SGX的思想，在可信硬件支持的計算環(huán)境中提供用戶態(tài)的Enclave抽象，確保App在可信隔離環(huán)境中運行，實現(xiàn)可信機密計算環(huán)境。

04?

總結

未來，基于可信的機密計算需要進一步與計算機硬件、密碼和隱私機制相結合，以進一步實現(xiàn)基于硬件的內存隔離、資源劃分等功能機制，同時在AI態(tài)勢感知、漏洞挖掘、VM和OS安全、容器和微服務安全的協(xié)同支持下進一步提升體系安全能力；基于可信的機密計算在PC、嵌入式系統(tǒng)、IoT、移動網(wǎng)絡等方面的也將會有進一步的應用。此外，國內開源運動的逐漸成熟也為機密計算相關技術的研究提供了良好的助力。

歡迎大家加入到機密計算相關的研究中來，利用開源平臺構建可信的機密計算環(huán)境，打破機密計算環(huán)境目前所面臨的黑盒子的瓶頸，共同為自主可控的機密計算技術貢獻智慧。

E N D

點擊下方閱讀原文獲取演講PPT。

關注我們，獲取更多精彩。