可信计算(Trusted Computing)是在计算和通信系统中应用基于硬件安全模块支持的可信计算平台,以提高系统的安全性。随着可行计算研究的不断深入,大众视线逐渐由传统硬件芯片安全模式转向了可信执行环境(TEE)TEE是由Global Platform提出的概念,目前TEE有着多样化的实现方案,其中基于Intel芯片的SGX以及基于ARM开源框架的TrustZone是可信执行环境技术实现中最被广泛认知且应用的。
可信执行环境是一种由多种计算机相关技术组合而成的安全技术,以下5个技术概念是可信执行环境的核心规范:
1、Endorsement key 签注密钥
签注密钥必须随机生成并且不能被改变。其中私有密钥必须被安全保存,除了指定接口调用,无法通过任何方式获得。而公共密钥用来认证及加密待发送的敏感数据。
2、Secure input and output 安全输入输出
输入输出是指用户与系统之间的交互,其途径包括键盘、外设、网络接口等。安全输入输出是指,从系统用户到访问的进程间存在一条受保护的路径。
3、Memory curtaining 储存器屏蔽
储存器屏蔽拓展了一般的储存保护技术,提供了完全独立的储存区域。即便是操作系统自身也没有屏蔽区的去完全访问权限,因此入侵者即便控制了操作系统,运行时(Run Time)的数据也是安全的。
4、Sealed storage 密封存储
密封存储通过把私有信息和用户使用的平台环境配置信息捆绑在一起来保护私有信息。意味着被密封存储的数据只能在相同的安全环境下读取。
5、Remote attestation 远程认证
远程认证是指,由签注密钥生成当前系统的软件证明书,系统上的任何改变可以通过证明书被远程授权方感知和校验,从而使得系统的执行逻辑安全可信。
以上5个关键技术是一个完备的TEE技术方案所应该拥有的。相比于复杂的算法层面解决方案,TEE在实现逻辑上更加简单有效。在技术发展方面,TEE拥有快速发展的技术生态,并且有着持续发展的强劲动力。在功能方面,TEE支持复杂计算逻辑的可信执行。
YPOOL瑶池
YPOOL瑶池致力于区块链基础设施建设与提供综合性解决方案,团队深耕区块链软硬件研发,自有云计算/云存储存储服务器生产线,专业运维团队。主营区块链技术研发、矿场建设、矿机销售、矿机托管、矿池运营等业务。