導語

可信工業數據空間是在現有信息網絡上搭建數據集聚、共享、流通和應用的分布式關鍵數據基礎設施，通過體系化的技術安排確保數據流通協議的確認、履行和維護，解決數據要素提供方、使用方、服務方等主體間的安全與信任問題，進而實現數據驅動的數字化轉型。

★可信工業數據空間★

系列科普

Q1機密計算是什么？

機密計算面向云計算應用，在數據處理過程中將敏感數據隔離在受保護的CPU區域中，該區域稱為飛地(enclave),當前更為通常的是將受保護的區域稱為可信執行環境TEE(TrustedExecutiveEnvironment)。在TEE中處理的數據以及處理方法只有授權的代碼才能訪問，包括云服務提供商在內的任何其他程序、設備或者人都無法知道。

Q2機密計算的作用機理是什么？

隨著企業越來越多的使用公共云和混合云服務，云中的數據安全成為最受關注的問題。機密計算的主要目標是向云計算的使用者提供更大的數據安全保證確保數據所有者在云中的數據受到保護和保密。與存儲加密和傳輸加密不同的是機密計算通過保護正在處理或運行時的數據，消除了許多系統層面的數據安全漏洞。目前TEE的主要實現技術包括IntelSGX和ARM的TrustZone技術。

IntelSGX

Intel公司發布了基于其公司處理器架構的可信執行環境IntelSGX(如圖2-4)，是一組增強應用程序代碼和數據安全性的指令，為它們提供更強的保護以防泄漏或修改。SGX將應用程序分為了可信區域和非可信區域，其中可信區域被稱為enclave。調用可信區域中的程序時，需要定義ecall借口，聲明傳遞的數據的結構和大小。英特爾提供了包括本地證明、遠程證明。數據密封等多個基礎組件，并提供了豐富的軟件開發包供開發者使用。

SGX允許用戶態及內核態代碼定義將特定內存區域，設置為私有區域，此區域也被稱為飛地(Enclave)。其內容受到保護，不能被本身以外的任何進程存取，包括高權限級別運行的進程(例如操作系統內核進程)。

圖2-4 IntelSGX系統架構

IntelSGX實現過程中應用程序分為安全部分和非安全部分：

應用程序啟動enclave，它被放置在受保護的內存中。

當enclave函數被調用時，只有enclave內的代碼可以看到它的數據，外部訪問總是被拒絕；當它返回時，enclave數據保留在受保護的內存中。

21 ARMTrustZone

ARM公司提出的TrustZone技術實現硬件隔離機制，主要針對嵌入式移動終端 處 理 器 。T r u s t Z o n e 在 概 念 上 將 S o C 的 硬 件 和 軟 件 資 源 劃 分 為 安 全(SecureWorld)和非安全(NormalWorld)兩個世界。所有需要保密的操作在安全世界執行(如指紋識別、密碼處理、數據加解密、安全認證等)，其余操作在非安全世界執行 (如用戶操作系統、各種應用程序等)，安全世界和非安全世界通過一個名為MonitorMode的模式進行轉換，如圖2-5：

圖2-5Trustzone架構

處理器架構上，TrustZone將每個物理核虛擬為兩個核，一個非安全核(Non-secureCore, NSCore)，運行非安全世界的代碼；另一個安全核(SecureCore)，運行安全世界的代碼。

兩個虛擬核以基于時間片的方式運行，根據需要實時占用物理核，并通過MonitorMode在安全世界和非安全世界之間切換，類似同一CPU下的多應用程序環境，不同的是多應用程序環境下操作系統實現的是進程間切換，而Trustzone下的MonitorMode實現同一CPU上兩個操作系統間的切換。

審核編輯：湯梓紅