【华为云技术分享】Intel SGX和ARM TrustZone浅析

最新推荐文章于 2025-12-07 22:12:36 发布
原创 最新推荐文章于 2025-12-07 22:12:36 发布 · 157 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#华为云

我们先理解一下业界具有统一认识的一些概念:

安全启动:启动过程中,前一个部件验证后一个部件的数字签名,验证通过后,运行后一个部件,否则就中止或复位系统。因此它是一个防恶意篡改的手段。

可信启动:启动过程中,前一个部件度量(计算HASH值)后一个部件(通常在后一个部件被签名校验过之后),然后把度量安全的保存下来,比如扩展到TPM的PCR中。后续接入平台后,部件的度量会上报到认证平台,认证平台会有配置一个可信白名单,如果某个部件的版本信息不在白名单里,则认为此设备是不受信任的,因为它可能使用了一个虽然有签名,但可能BUG的版本。因此它是一个可信版本的管理手段。

安全启动/可信启动 是确保系统级别的安全手段,适用于有可信诉求的整机系统,终端设备如手机、STB、路由器等,当然也适用于通用服务器设备。

以上安全启动和可信启动的概念,网上以及公司W3有许多专家在讨论,可以自行进一步理解。然而,如果仅从字面要求试图实施时,我们又会发现许多新的问题,举个例子:安全启动时,确实每一级都被签名校验了,但确定安全吗? 某一级如操作系统1分钟前刚刚被校验过,1分钟后还是可信的吗?不见得,这个过程中,操作系统完全有可能已经被非法修改过了。

要做到相对更安全,要么能够做到Runtime的实时校验,即每次使用那一刻都要校验。如果做不到Runtime校验,那就想办法将校验过的数据安全保存起来…相关实现方案和技术其实在有前提的情况下已具备,这是另一个课题。

这个前提是指系统需要是不开放的嵌入式系统,因为不开放,可定制,提供特定的功能/服务,因此整机系统的保护是可行的,并且方案都是很成熟的。

那对于通用计算设备比如服务器产品是个什么样的情况呢? 基本上就是这么个事实:

  1. 系统“全局保护”越来越难以实现,且不切实际

原因是当前开源共享,并且是自由的大环境

最低0.47元/天 解锁文章
A_F_O
关注
一文搞定可信执行环境Arm TrustZone
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
08-20 527
即使操作系统内核受损,也需要特殊的硬件支持来确保数据安全。在Arm上运行的设备,如智能手机,可以使用TrustZone执行硬件级别的隔离,以确保TEE的安全。Armv8-A配置文件提供可用于集成V6或更高MMU的SoC的TrustZone扩展。受TrustZone保护的代码数据与恶意外围设备TrustZone代码隔离。它可用于构建功能齐全的可信执行环境(TEE),包括运行在S-EL1上的TEE操作系统、与外围设备安全交互的可信驱动程序(TD),甚至运行在S-EL0上的可信应用程序(TA)
virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone
baron-周贺贺-代码改变世界ctw
08-01 758
ARM最近推出了机密计算架构(CCA),作为即将发布的ARMv9-A架构的一部分。CCA支持在一个名为Realm世界的独立世界中运行机密虚拟机(cVMs),从而保护其免受不可信的普通世界的影响。尽管CCA为机密计算提供了一个有前景的未来,但根据ARM的路线图,CCA硬件在近期内不太可能广泛可用。为了解决这个问题,我们提出了virtCCA,这是一种利用TrustZone的虚拟化CCA架构,该架构是现有ARM平台上成熟的硬件特性。
数据安全无小事:揭秘华为云GaussDB(openGauss)全密态数据库
华为云官方博客
10-22 5047
摘要:全密态数据库,专门处理密文数据的数据库系统,数据以加密形态存储在数据库服务器中,数据库支持对密文数据的检索与计算。 1、云数据库安全现状及问题 伴随着云基础设施的快速增长成熟,与之对应的云数据库服务也层出不穷。一方面,受益于云服务的便捷性传统企业加速业务上云,通过充分发挥云数据库特有的轻松部署、高可靠、低成本等优势降低企业运营成本,加速企业应用创新;另一方面,以苹果iCloud服务为代表的存储服务云计算服务为移动消费者带来应用便捷性,利用云侧的数据库服务存储海量消费者的个人数据。 云数据库俨
Intel SGX技术详细解释(非常棒)
热门推荐
kouryoushine的博客
05-08 12万+
http://www.jos.org.cn/html/2018/9/5594.htm#b18 随着信息技术的迅速发展与广泛应用, 人类社会已经进入了一个崭新的互联网时代.一方面, 人们享受着互联网科技带来的便利; 另一方面, 由网络信息系统构成的网络空间也面临着日益严峻的安全问题.信任是网络空间中安全交互的基础, 但随着软件复杂度攻击水平的提高, 移动环境云平台的安全对硬件平台安全机制的...
ARM系列之ARM Trustzone 技术浅析(一)—— TEE概述&ARM Trustzone硬件架构基础介绍
ZP1015
03-28 2万+
TEE系列之ARM Trustzone 技术浅析(一) 背景TEETEE的必要性TEE术语操作实现TEE的硬件支持TEE产业格局ARM TrustZone 2017年换手机之后,中途尝试登录结果被告知需要验证手机号,但是没有验证码,之后就再也没有登录过优快云了。近期通过邮件方式,终于找回优快云的账号密码,开心的不行!!给牛年的自己,立个Flag,“每个月更新一篇博文”,希望自己能够做到!哈哈哈~ 本文主要介绍TEE、ARM TrustZone由来、以及实现ARM TrustZone技术硬件基础。 背景
ARM TrustZone
qq_41483419的博客
11-16 860
ARM TrustZone
一篇了解TrustZone
洛奇看世界
09-18 8万+
这篇文章源于老板想了解TrustZone,要求我写一篇文章简单介绍TrustZone的原理。既然是给领导看的,只介绍原理哪里够,因此也添加了公司自己现有TEE环境的设计、实现发展,也顺带加入了一些题外话。也是因为要给领导看,所以文章也不能涉及太多技术细节,包括TrustZone模块的详细设计以及示例代码等,所以只从总体上讲解了什么是TrustZoneTrustZone是如何实现安全隔离的、Tr...
了解TrustZone,读了这篇就够了
XtremeDV
11-01 1万+
了解TrustZone,读了这篇就够了 这篇文章源于老板想了解TrustZone,要求我写一篇文章简单介绍TrustZone的原理。既然是给领导看的,只介绍原理哪里够,因此也添加了公司自己现有TEE环境的设计、实现发展,也顺带加入了一些题外话。也是因为要给领导看,所以文章也不能涉及太多技术细节,包括TrustZone模块的详细设计以及示例代码等,所以只从总体上讲解了什么是TrustZone,T...
云主机安全防护全景指南:基于阿里云,华为云的中小型企业安全落地实践
杜哥无敌的博客
06-21 1123
云安全本质是持续对抗过程。​​基础水位​​:云平台原生防护(安全组/HSS/云防火墙)必须启用​​能力水位​​:开源工具填补检测盲区(如Suricata替代基础IDS)​​成本水位​​:商业服务用于核心业务(如支付系统用高防IP)​​安全不是一次部署,而是持续运营的马拉松​​。定期执行攻防演练(如模拟Redis未授权入侵),才能验证防护体系有效性。中小型企业可参考本文的分层加固策略,在控制成本的同时建立企业级安全纵深。​​注​。
基于 TrustZone 的系统安全防护技术研究综述
weixin_70923796的博客
08-22 229
摘 要:嵌入式应用系统在互联网时代得到了蓬勃发展,但是网络应用安全问题也随之而来。TrustZone 技术ARM 公司在此场景下特意为电子消费产品构建的一个能够抵御各种可能的攻击的系统级安全框架,是 ARM 处理器特有的一种安全技术。围绕 ARM TrustZone 的原理特点,重点分析了基于 TrustZone 的系统安全防护技术,将该技术与其他系统安全防护技术进行对比分析,进一步探讨了其优势与不足之处。最后结合当前可信执行环境领域存在的安全问题,对该技术的未来发展进行了展望。内容目录:1 Trus
华为云 DevUI 微前端实战:基于 Module Federation 的多团队协作架构落地
2501_93573294的博客
12-07 515
华为云 DevUI 微前端实战:基于 Module Federation 的多团队协作架构落地
华为云 DevUI 低代码平台集成实战:从可视化搭建到企业级扩展
最新发布
2501_93573294的博客
12-07 566
华为云 DevUI 低代码平台集成实战:从可视化搭建到企业级扩展
华为云DevUI开发实战】
博文致力于人工智能算法的探索研究;前后端分离项目的技术分享交流;专升本计算机基础课程内容讲解;各种中间件技术分享
12-04 814
华为云DevUI开发实战指南摘要:本文详细介绍基于华为云DevUI组件库的企业级应用开发流程。主要内容包括:1) DevUI核心优势与云服务集成特性;2) Vue3项目初始化与组件库配置方法;3) 智能表格、拓扑图等核心组件开发示例;4) DevCloud流水线自动化部署实践;5) 性能优化与安全合规要点。特别涵盖AI服务集成方案,如对话机器人嵌入生成式UI实验功能。适用于需要快速构建符合华为云规范的控制台应用或企业后台系统的开发者,提供从环境搭建到生产部署的全流程指导。(148字)
华为云 DevUI 高级实战:构建可扩展的企业级中后台系统架构
2501_93573294的博客
12-07 795
华为云 DevUI 高级实战:构建可扩展的企业级中后台系统架构
华为云 DevUI 实战开发指南:构建现代化前端应用的最佳实践
2501_93573294的博客
12-07 692
华为云 DevUI 实战开发指南:构建现代化前端应用的最佳实践
AutoSystemClean
12-07
虽然已经是win11了,这款绿色垃圾清理软件还在用,绿色不占内存自动清理,避免C盘变红,绿色无广告。
无人机基于改进粒子群算法的无人机路径规划研究[遗传算法、粒子群算法进行比较](Matlab代码实现)
12-07
【无人机】基于改进粒子群算法的无人机路径规划研究[遗传算法、粒子群算法进行比较](Matlab代码实现)内容概要:本文围绕基于改进粒子群算法(PSO)的无人机路径规划展开研究,重点探讨了如何利用改进的粒子群算法优化无人机在复杂环境下的飞行路径,并将其与传统粒子群算法遗传算法进行对比分析。研究通过Matlab代码实现仿真,验证了改进PSO在收敛速度、路径最优性避障能力方面的优势,旨在提升无人机路径规划的效率与安全性。; 适合人群:具备一定Matlab编程基础优化算法背景的科研人员、自动化与人工智能方向的研究生及工程技术人员。; 使用场景及目标:①应用于无人机自主导航、智能巡检、应急救援等实际场景中的路径规划问题;②为优化算法研究者提供改进PSO算法的设计思路与Matlab实现参考,促进智能优化技术在无人系统中的应用发展; 阅读建议:建议读者结合提供的Matlab代码进行仿真实验,深入理解算法改进机制,并尝试在不同环境地图中测试算法性能,进一步开展算法对比与参数敏感性分析。
优化调度基于改进遗传算法的公交车调度排班优化的研究与实现(Matlab代码实现)
12-07
【优化调度】基于改进遗传算法的公交车调度排班优化的研究与实现(Matlab代码实现)内容概要:本文研究了基于改进遗传算法的公交车调度排班优化问题,旨在通过Matlab代码实现优化调度方案,提升公交系统运营效率。文中详细介绍了改进遗传算法的设计与实现过程,包括编码方式、适应度函数构建、选择、交叉、变异等操作的优化策略,并将其应用于实际公交调度场景中,解决发车频率、车辆分配、司机排班等关键问题。通过仿真实验验证了该方法在降低运营成本、提高服务质量方面的有效性,同时与其他传统算法进行了对比分析,展现了改进遗传算法在复杂调度问题中的优越性。; 适合人群:具备一定Matlab编程基础,从事智能优化、交通运输规划、城市公交系统管理等相关领域的科研人员及研究生。; 使用场景及目标:①解决城市公共交通系统的发车调度与司乘人员排班优化问题;②研究遗传算法在复杂组合优化问题中的改进策略与工程实现;③为智慧交通系统提供可复用的调度优化模型与代码参考。; 阅读建议:建议读者结合文中提供的Matlab代码进行实践,重点关注算法参数设置与实际调度约束条件的建模方法,同时可扩展应用于其他类型的车辆调度问题,如地铁、班车或物流配送等场景。
基于SSM框架与Bootstrap前端技术构建的开源视频内容管理系统_支持视频上传分类管理用户权限控制多维度搜索排序在线编辑与数据可视化统计的智能后台管理平台_适用于中小型.zip
12-07
基于SSM框架与Bootstrap前端技术构建的开源视频内容管理系统_支持视频上传分类管理用户权限控制多维度搜索排序在线编辑与数据可视化统计的智能后台管理平台_适用于中小型.zip
华为G700移动版官方Recovery刷机包
MT6589平台采用ARM Cortex-A7架构,集成PowerVR SGX544 GPU,支持双卡双待功能,在当时的千元机市场中颇具竞争力。由于该平台使用eMMC作为主要存储介质,“emmc”标签说明此recovery镜像是针对eMMC NAND闪存进行编译...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值