演講嘉賓 | 趙 波

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

趙波，博士，教授，武漢大學國家網絡安全學院黨委書記，國家網絡安全先進個人，國家網絡安全優秀教師，武漢大學珞珈特聘教授，中國密碼學會理事，中關村可信計算聯盟副理事長，CCF（中國計算機學會）高級會員，CCF 信息安全與保密專委會、容錯計算專委會委員。TCG（國際可信計算組織）組織個人會員。主要研究方向為密碼學應用、信息系統安全、可信計算、嵌入式系統及云計算安全、網絡安全技術等。參與多項重點工作，發表七十余篇學術論文，獲得國家發明授權十余項。并出版《可信計算》等學術專著。

內容來源

第一屆開放原子開源基金會OpenHarmony技術峰會——安全及機密計算分論壇

視頻回顧

正 文 內 容

可信計算引領的整體安全架構和主動免疫安全體系，已經成為網絡空間安全技術版圖中不可或缺的重要一環；機密計算提供硬件級的系統隔離，在數據安全領域起到了重要的作用。兩者能夠碰撞出什么火花呢？武漢大學國家網絡安全學院黨委書記、二級教授趙波在第一屆OpenHarmony技術峰會上分享了幾點思路。

01?

可信計算及發展歷程

1.1??

可信計算

什么是可信計算呢？根據ISO/IEC定義：參與計算的組件、操作或過程在任意的條件下都是可預測的，并能夠抵御病毒和一定程度的物理干擾；根據IEEE定義：計算機所提供的服務的可信賴性是可論證的。趙波教授所在團隊認為可信可以理解為可靠與安全的結合體：如果一個實體的行為總是以預期的方式，達到預期的目的，那么其就是可信的。

可信計算如何實現呢？可信計算是通過硬件層、應用層以及基礎平臺層三者共同實現的。可信計算技術是保障信息系統安全的關鍵技術，特點是從底層做起、從PC終端做起，強調信任關系傳遞的可信計算平臺適合作為軟硬件軟硬件安全的基準度量平臺。利用可信計算技術，能夠從芯片層面、主板層面、系統軟件層面、應用軟件層面以及網絡層面綜合考慮，構建起可信的計算體系。

1.2??

技術落地

在可信技術落地的實踐上，趙波教授所在團隊實現了可信計算機和可信嵌入式平臺：（1）可信計算機搭載了內置可信根芯片，從可信根出發對BIOS、OS、APP逐級度量并與可信存儲中的度量值進行對比來建立可信鏈，在通用計算機的基礎上實現了基于可信的安全功能；（2）可信嵌入式平臺搭載了ETPM，不僅作為可信平臺模塊，而且主動控制系統I/O。此外，該嵌入式平臺還使用了一種帶數據恢復功能的星型信任結構, 利用可信根分別對引導程序、操作系統內核、文件系統等分別度量，采用星型度量方法，相較于傳統鏈式可信啟動模型具有降低信任損失，方便增刪組件以及版本升級開銷小的優勢。

趙波教授所在團隊也實現了面向云存儲的可信計算環境技術落地。什么是可信計算環境呢？可信計算環境即利用可信計算的思想，從信任根出發，基于信任度量建立信任鏈，構建一種運算與防護并存的運行環境，保證了計算的行為與預期一致，同時保證全程可檢測可監控。

在云存儲領域，由于云存儲環境本身并無任何可信機制，缺乏信任源頭，無法滿足數據存儲的安全，在云內外部攻擊者的威脅下，云內存儲的數據面臨被窺探的風險。基于該痛點，趙波教授所在團隊以外置硬件可信根，將可信從客戶機延伸至云端，構建可信計算環境，保護數據安全。該云儲存產品以外置可信硬件為支撐，將“服務商提供安全”轉變為“個人掌握安全”，將可信從用戶處延申至云端，構建了面向安全存儲的可信計算環境，以用戶可感知的方法解決了軟件和數據的隱私保護問題。

02?

從可信到機密計算

2.1??

機密計算

什么是機密計算呢？機密計算是在基于硬件的可信執行環境（TEE）中保護軟件及數據運行態安全的安全范式。相比于多方安全計算和同態加密，TEE效率高，適應數據量大，交互頻繁，響應時間快的交互需求。在計算機和大數據技術飛速發展的新場景下，各領域都越來越注重數據安全需求，例如：（1）云計算業務越來越依賴公共云和混合云服務，數據在第三方提供的環境中存儲，運行。云中的數據隱私保護勢在必行；（2）機器學習依賴模型訓練，機構間共享數據可大幅度提升模型性能，機器學習中的數據隱私需要得到保障；（3）區塊鏈用戶之間數據一致性的驗證需要基于歷史數據的運算，該數據通常以明文方式進行運算，歷史數據的隱私需要得到保護。機密計算能夠有效滿足這些場景的數據安全訴求。

機密計算的目標是什么呢？機密計算主要實現以下三方面能力：

• 可用不可見：通過對TEE在運算過程中所使用的系統資源的隔離，使得數據在計算的過程中不被惡意竊取；
• 可算不可識：對TEE中運行程序所使用的數據和代碼進行加密存儲，使敏感數據在使用過程中達到匿名化要求；
• 專數專用：通過用戶證書在創建TEE時確定其所有權，加密數據僅在授權的TEE中解密、運算，確保數據專數專用。

2.2??

現狀與不足

機密計算還處在發展初期，2019年由Linux基金會宣布由多家巨頭企業組成的機密計算聯盟成立，旨在推進機密計算的標準化和商業化發展進程。目前，Intel、ARMt等已經推出了各自的機密計算產品。

然而，當前已有的機密計算產品還存在較多不足，例如：

• Intel通過對CPU一組指令的擴展，使得用戶可以創建名為Enclave的TEE環境，系統為其分配專用的內存地址進行隔離。但當數據和代碼被拷貝至環境中解碼運行時，任何來自于Enclave外的訪問都會被拒絕，對于Enclave而言，只有Intel的CPU是可信的；

• ARM將系統運行態分為兩類：安全世界、普通世界，并通過總線上的一位來區分運行態完成環境隔離。但任何來自普通世界的請求都無法訪問安全世界運行的進程和數據。盡管CPU是可信的，但只能分別被兩個運行態的環境分時使用。

03?

基于可信的機密計算

可信計算環境與機密計算是兩個不同的概念，但兩者能夠在硬件基礎、技術架構、安全側重點、數據安全以及云網段端應用等維度在一定程度上實現優勢互補。總的來說，可信計算環境有信任根可以保證從硬件、軟件、網絡的整體安全，但對數據的動態安全保護能力較弱；機密計算可以保護數據運行態安全，但缺乏從下至上的信任環境，攻擊面過大。趙波教授所在團隊將二者結合，優勢互補即構建可信的機密計算環境來保護系統安全。

基于可信的機密計算可以定義為：從硬件可信基出發，構造一個可信計算環境，并將可信向上延伸至機密計算環境，從而得到一個從啟動到運行全方位安全的基于可信的機密計算環境。

與傳統機密計算不同，可信機密計算將機密計算的底層技術擴大到了可信計算基，利用可信計算加密、度量等服務支撐機密計算的運行環境，同時解決了原有可信計算環境無法保證數據運行態安全的盲點。得益于可信計算的良好適用性，能夠將機密計算的應用場景從云計算擴大到嵌入式系統。

構建基于可信的機密計算過程主要有以下幾個步驟：

1. 首先構建可信根，如果設備本身沒有可信組件，則需要使用嵌入式可信根，可信根需要對上層提供認證，加密、安全存儲等基礎可信服務的支撐；
2. 再基于可信根實現可信計算環境，通過對計算機系統代碼和狀態的度量等技術，構建自底向上的信任鏈，為機密計算提供可信的系統服務；
3. 最后構建基于可信根的機密計算環境，為運行程序構造隔離環境，并對運行在隔離環境內的應用程序提供度量、判定、控制、報告與審計等服務，確保其運行態安全。

目前，趙波教授所在團隊研究了安卓環境下基于TF卡的半機密計算環境以及基于PCI的可信軟件保護構建的機密計算環境兩方面內容。

研究內容1：安卓環境下基于TF卡的半機密計算環境

構建可信計算根：基于加密TF卡構建信任基，內置加解密引擎，獨立的運算單元，能夠保證較高的加解密效率，同時由于密鑰不出卡，能夠保證安全性。通過TF卡提供的安全存儲、加解密引擎、可信度量等服務，將信任從底部硬件通過信任鏈傳遞向上延伸，在不改變設備原本硬件構成的基礎上，建立了可信計算環境，為后續機密運算環境的建立提供度量與判定的支撐功能。相比于通過硬件芯片構建信任基的方式，該方法效率更高，適應性更強。

基于可信根實現可信計算環境：可信基礎軟件基TSB是系統運行過程中可信度量、判定、控制、報告與審計功能的實際執行部件。TSB通過身份認證機制度量主客體身份的合法性，通過靜態度量機制度量系統啟動環境的可信性與文件的可信性，通過動態度量機制度量系統運行環境和應用的可信性，通過保密存儲的支撐機制對系統和用戶的數據進行私密保護，從而構建可信計算環境。

構建基于可信的機密計算環境：TSB通過基于可信根實現的安全存儲、加解密、可信度量等服務，向運行于REE下的可信基礎軟件模塊提供動態度量與判定的支撐功能，完成了對運行數據的保護，實現了機密計算功能。但由于應用程序并未運行在TEE中，而是運行在受到保護和監控的REE中，所以稱之為半機密計算環境。

研究內容2：基于PCI的可信軟件保護構建的機密計算環境

以FPGA芯片等可信組件構成的硬件保護板通過PCI總線與工控機進行通信，基于其提供的加密、解密等服務，能夠構建可信計算環境。通過可信根提供的硬件加密服務的支撐對運行在軟件平臺中的APP進行加殼保護，使敏感數據在使用過程中達到匿名化要求，實現了機密計算“可算不可識”的目標；通過文件過濾驅動，實現敏感數據的訪問控制功能，實現了機密計算“專數專用”的目標；同時使用雙進程保護和時間戳保護對其進行動態安全防護，實現了機密計算“可用不可見”的目標。軟件平臺基于可新環境構建，減小了攻擊面，保證了程序從啟動到運行的全方位數據安全，完成了可信的機密計算環境的構建。

研究展望

基于RISC-V的研究展望：作為一種新興的精簡指令集架構，RISC-V已經成為和X86、ARM并列的三大主流處理器架構之一。在缺乏硬件生產商信任的環境下，通過這一新興架構實現自主可控的機密計算環境有兩個思路：（1）利用Trustzone的思想，在可信根創建的可信計算環境內，復用RISC-V現有的PMP寄存器，為RISC-V提供獨立物理機抽象，每個區域都能運行獨立的OS和受保護的應用，實現可信機密計算環境；（2）利用SGX的思想，在可信硬件支持的計算環境中提供用戶態的Enclave抽象，確保App在可信隔離環境中運行，實現可信機密計算環境。

04?

總結

未來，基于可信的機密計算需要進一步與計算機硬件、密碼和隱私機制相結合，以進一步實現基于硬件的內存隔離、資源劃分等功能機制，同時在AI態勢感知、漏洞挖掘、VM和OS安全、容器和微服務安全的協同支持下進一步提升體系安全能力；基于可信的機密計算在PC、嵌入式系統、IoT、移動網絡等方面的也將會有進一步的應用。此外，國內開源運動的逐漸成熟也為機密計算相關技術的研究提供了良好的助力。

歡迎大家加入到機密計算相關的研究中來，利用開源平臺構建可信的機密計算環境，打破機密計算環境目前所面臨的黑盒子的瓶頸，共同為自主可控的機密計算技術貢獻智慧。

E N D

點擊下方閱讀原文獲取演講PPT。

關注我們，獲取更多精彩。