【华为云技术分享】Intel SGX和ARM TrustZone浅析

最新推荐文章于 2025-07-25 10:19:40 发布
最新推荐文章于 2025-07-25 10:19:40 发布
阅读量129 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 华为云
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/zhy_Learn/article/details/133051789

我们先理解一下业界具有统一认识的一些概念:

安全启动:启动过程中,前一个部件验证后一个部件的数字签名,验证通过后,运行后一个部件,否则就中止或复位系统。因此它是一个防恶意篡改的手段。

可信启动:启动过程中,前一个部件度量(计算HASH值)后一个部件(通常在后一个部件被签名校验过之后),然后把度量安全的保存下来,比如扩展到TPM的PCR中。后续接入平台后,部件的度量会上报到认证平台,认证平台会有配置一个可信白名单,如果某个部件的版本信息不在白名单里,则认为此设备是不受信任的,因为它可能使用了一个虽然有签名,但可能BUG的版本。因此它是一个可信版本的管理手段。

安全启动/可信启动 是确保系统级别的安全手段,适用于有可信诉求的整机系统,终端设备如手机、STB、路由器等,当然也适用于通用服务器设备。

以上安全启动和可信启动的概念,网上以及公司W3有许多专家在讨论,可以自行进一步理解。然而,如果仅从字面要求试图实施时,我们又会发现许多新的问题,举个例子:安全启动时,确实每一级都被签名校验了,但确定安全吗? 某一级如操作系统1分钟前刚刚被校验过,1分钟后还是可信的吗?不见得,这个过程中,操作系统完全有可能已经被非法修改过了。

要做到相对更安全,要么能够做到Runtime的实时校验,即每次使用那一刻都要校验。如果做不到Runtime校验,那就想办法将校验过的数据安全保存起来…相关实现方案和技术其实在有前提的情况下已具备,这是另一个课题。

这个前提是指系统需要是不开放的嵌入式系统,因为不开放,可定制,提供特定的功能/服务,因此整机系统的保护是可行的,并且方案都是很成熟的。

那对于通用计算设备比如服务器产品是个什么样的情况呢? 基本上就是这么个事实:

  1. 系统“全局保护”越来越难以实现,且不切实际

原因是当前开源共享,并且是自由的大环境

最低0.47元/天 解锁文章

200万优质内容无限畅学
A_F_O
关注
一文搞定可信执行环境Arm TrustZone
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
08-20 460
即使操作系统内核受损,也需要特殊的硬件支持来确保数据安全。在Arm上运行的设备,如智能手机,可以使用TrustZone执行硬件级别的隔离,以确保TEE的安全。Armv8-A配置文件提供可用于集成V6或更高MMU的SoC的TrustZone扩展。受TrustZone保护的代码数据与恶意外围设备TrustZone代码隔离。它可用于构建功能齐全的可信执行环境(TEE),包括运行在S-EL1上的TEE操作系统、与外围设备安全交互的可信驱动程序(TD),甚至运行在S-EL0上的可信应用程序(TA)
virtCCA: Virtualized Arm Confidential Compute Architecture with TrustZone
baron-周贺贺-代码改变世界ctw
08-01 559
ARM最近推出了机密计算架构(CCA),作为即将发布的ARMv9-A架构的一部分。CCA支持在一个名为Realm世界的独立世界中运行机密虚拟机(cVMs),从而保护其免受不可信的普通世界的影响。尽管CCA为机密计算提供了一个有前景的未来,但根据ARM的路线图,CCA硬件在近期内不太可能广泛可用。为了解决这个问题,我们提出了virtCCA,这是一种利用TrustZone的虚拟化CCA架构,该架构是现有ARM平台上成熟的硬件特性。
数据安全无小事:揭秘华为云GaussDB(openGauss)全密态数据库
华为云官方博客
10-22 4978
摘要:全密态数据库,专门处理密文数据的数据库系统,数据以加密形态存储在数据库服务器中,数据库支持对密文数据的检索与计算。 1、云数据库安全现状及问题 伴随着云基础设施的快速增长成熟,与之对应的云数据库服务也层出不穷。一方面,受益于云服务的便捷性传统企业加速业务上云,通过充分发挥云数据库特有的轻松部署、高可靠、低成本等优势降低企业运营成本,加速企业应用创新;另一方面,以苹果iCloud服务为代表的存储服务云计算服务为移动消费者带来应用便捷性,利用云侧的数据库服务存储海量消费者的个人数据。 云数据库俨
Intel SGX技术详细解释(非常棒)
热门推荐
kouryoushine的博客
05-08 11万+
http://www.jos.org.cn/html/2018/9/5594.htm#b18 随着信息技术的迅速发展与广泛应用, 人类社会已经进入了一个崭新的互联网时代.一方面, 人们享受着互联网科技带来的便利; 另一方面, 由网络信息系统构成的网络空间也面临着日益严峻的安全问题.信任是网络空间中安全交互的基础, 但随着软件复杂度攻击水平的提高, 移动环境云平台的安全对硬件平台安全机制的...
ARM系列之ARM Trustzone 技术浅析(一)—— TEE概述&ARM Trustzone硬件架构基础介绍
ZP1015
03-28 1万+
TEE系列之ARM Trustzone 技术浅析(一) 背景TEETEE的必要性TEE术语操作实现TEE的硬件支持TEE产业格局ARM TrustZone 2017年换手机之后,中途尝试登录结果被告知需要验证手机号,但是没有验证码,之后就再也没有登录过优快云了。近期通过邮件方式,终于找回优快云的账号密码,开心的不行!!给牛年的自己,立个Flag,“每个月更新一篇博文”,希望自己能够做到!哈哈哈~ 本文主要介绍TEE、ARM TrustZone由来、以及实现ARM TrustZone技术硬件基础。 背景
ARM TrustZone
qq_41483419的博客
11-16 791
ARM TrustZone
一篇了解TrustZone
洛奇看世界
09-18 8万+
这篇文章源于老板想了解TrustZone,要求我写一篇文章简单介绍TrustZone的原理。既然是给领导看的,只介绍原理哪里够,因此也添加了公司自己现有TEE环境的设计、实现发展,也顺带加入了一些题外话。也是因为要给领导看,所以文章也不能涉及太多技术细节,包括TrustZone模块的详细设计以及示例代码等,所以只从总体上讲解了什么是TrustZoneTrustZone是如何实现安全隔离的、Tr...
了解TrustZone,读了这篇就够了
XtremeDV
11-01 1万+
了解TrustZone,读了这篇就够了 这篇文章源于老板想了解TrustZone,要求我写一篇文章简单介绍TrustZone的原理。既然是给领导看的,只介绍原理哪里够,因此也添加了公司自己现有TEE环境的设计、实现发展,也顺带加入了一些题外话。也是因为要给领导看,所以文章也不能涉及太多技术细节,包括TrustZone模块的详细设计以及示例代码等,所以只从总体上讲解了什么是TrustZone,T...
华为云DRS实现Oracle到GaussDB数据库迁移的全流程技术方案
Gauss松鼠会
07-25 738
以下为使用华为云DRS(数据复制服务)实现Oracle到GaussDB数据库迁移的全流程技术方案,结合企业级实践案例及关键注意事项,为数据库迁移提供系统化指导
华为云中,列表中的镜像无法删除可能由多种原因导致
张晨光老师的播客
07-23 1125
华为云中,列表中的镜像无法删除可能由多种原因导致,以下是常见限制及解决方案:基于账号ID或组织URN共享的镜像基于项目ID共享的镜像状态为“已发布”的私有镜像整机镜像关联的备份镜像正在被使用权限不足系统锁定或后台任务云耀云服务器(HECS)的镜像跨区域或跨账号共享的镜像排查步骤:解决方法:注意事项:
华为云开发者空间 × DeepSeek-R1 智能融合测评:云端开发与AI客服的协同进化
风中追风
07-23 826
摘要: 华为云开发者空间为开发者提供终身免费的云主机资源(2核CPU/4GB内存/5GB存储),支持一键配置开发环境,集成CodeArts IDE等工具链,解决本地环境配置问题。通过场景化沙箱端云协同数据管理,开发者可快速部署如DeepSeek-R1大模型(逻辑推理与RAG优化),并搭建智能客服系统。实战案例展示了文本分割、向量化处理及Ollama工具链的集成,实现“开发-推理-部署”全流程云端闭环。 关键词:华为云、开发者空间、DeepSeek、Ollama、RAG
华为云ELB(弹性负载均衡)持续报异常
张晨光老师的播客
07-23 1077
华为云ELB(弹性负载均衡)持续报异常,需结合实例类型(共享型/独享型)异常代码进行针对性排查。若仍无法解决,建议提交华为云工单,提供ELB配置截图、健康检查结果及访问日志[
华为云搭建Calibre-Web云端书库全记录
2301_78938049的博客
07-24 627
摘要:为解决存储空间不足的问题,作者尝试搭建云端书库。从坚果云转向开源的Calibre-Web方案,通过Docker部署在2核2G服务器上。过程中解决了镜像下载慢、网络访问失败等问题,最终成功配置并优化了豆瓣API获取元数据的功能。同时为小服务器添加了2GB的Swap空间提升性能,最终实现"静读天下"APP的云端书库访问。整个部署过程涉及Docker基础操作、docker-compose配置环境调优,虽然耗时但收获颇丰。
BiTCN双向时间卷积神经网络多输入单输出回归预测(MATLAB完整源码数据)
07-27
BiTCN双向时间卷积神经网络多输入单输出回归预测(MATLAB完整源码数据) 1.Matlab实现BiTCN双向时间卷积神经网络多变量回归预测,多输入单输出; 2.运行环境为Matlab2023b; 3.data为数据集,输入多个特征,输出单个变量,多变量回归预测,main.m为主程序,运行即可,所有文件放在一个文件夹; 4.命令窗口输出R2、MSE、MAE、MAPEMBE多指标评价。
互联网+项目策划书(1).docx
最新发布
07-28
互联网+项目策划书(1).docx
电子商务概论课程标准(1).docx
07-27
电子商务概论课程标准(1).docx
通信基站塔桅维护培训(1).ppt
07-27
通信基站塔桅维护培训(1).ppt
【matlab】SOC估计算法比较及UI界面展示:BBDST、UDDS、ECE15、恒流模式下的6种算法比较
07-27
利用MATLAB进行SOC(荷电状态)估计算法的比较研究及其UI界面的设计。文中探讨了六种不同的SOC估计算法(安时积分法、KF、EKF、DEKF、UKFSRUKF),并在四种典型的工作模式(BBDST、UDDS、ECE15恒流模式)下进行了误差分析。通过构建交互式的UI界面,用户可以选择不同的算法组合并运行仿真测试,从而直观地比较各算法的最大误差、平均误差、误差以及均方根误差。此外,还提供了具体的算法实现细节,如安时积分法的简单实现UKF中Sigma点的生成方法。 适合人群:从事电池管理系统开发的技术人员,尤其是对SOC估算感兴趣的工程师研究人员。 使用场景及目标:帮助开发者在不同应用场景中选择最适合的SOC估计算法,提高电池管理系统的精度可靠性。同时,为希望深入了解SOC估计算法内部机制的研究人员提供有价值的参考资料。 其他说明:附有完整的代码片段详细的误差分析结果,便于读者理解应用。未来计划加入神经网络预估算法,进一步扩展研究范围。
海报实际尺寸与photoshop像素的对应问题------(1).pdf
07-27
海报实际尺寸与photoshop像素的对应问题------(1).pdf
我用的链是Fisco bcos,应该怎么操作
03-31
<think>好的,用户之前问的是在中继链上部署Intel的云可信执行环境,现在他提到自己用的是FISCO BCOS链,需要具体操作步骤。首先,我得确认FISCO BCOS是否支持TEE,尤其是Intel SGX。之前回答的是针对Substrate框架的中继链,比如Polkadot,但FISCO BCOS是另一个区块链平台,可能架构不同。 需要先查证FISCO BCOS的官方文档,看看有没有关于TEE或Intel SGX集成的资料。用户之前的问题已经涉及了硬件准备、SGX安装链上集成,现在要针对FISCO BCOS调整步骤。可能需要考虑FISCO BCOS的智能合约语言、节点结构以及是否有现成的TEE模块或例子。 用户可能是在构建一个需要隐私保护的区块链应用,比如金融或数据共享场景,利用TEE确保数据在处理过程中的机密性。FISCO BCOS作为国产联盟链,常用于企业级应用,所以用户可能是企业开发者,需要符合国内合规要求。 接下来,我需要整理FISCO BCOS集成TEE的步骤,可能包括环境准备、安装SGX驱动、开发TEE应用、编写智能合约调用TEE服务,以及部署测试。同时要确保提供的指南准确,参考官方文档,避免错误。 另外,用户可能需要具体的代码示例,比如如何用Solidity调用TEE服务,或者如何配置FISCO BCOS节点与SGX交互。还要注意FISCO BCOS的版本,不同版本可能有不同的配置方法,需要指明兼容性。 可能遇到的挑战包括FISCO BCOSSGX之间的兼容性问题,比如网络通信、数据格式转换,以及远程认证在联盟链中的实现方式。需要给出解决方案或建议,比如使用特定的中间件或库。 最后,确保推荐正确的官方文档链接,帮助用户进一步查阅。需要检查链接是否有效,并指向最新的资源。同时提醒用户测试环境的搭建实际部署中的安全注意事项,比如密钥管理Enclave的安全设计。</think>### FISCO BCOS链集成Intel SGX可信执行环境(TEE)分步指南 --- #### 1. **确认FISCO BCOS与TEE的兼容性** - **当前支持情况**:FISCO BCOS联盟链本身未原生集成TEE,但可通过**链下TEE服务+链上智能合约验证**实现隐私计算。需结合Intel SGX开发独立TEE模块,与链交互。 - **推荐架构**: ``` +-------------------+ +-------------------+ | FISCO BCOS节点 | <---> | TEE Worker节点 | | (智能合约验证) | | (运行SGX Enclave) | +-------------------+ +-------------------+ ``` --- #### 2. **硬件与云环境准备** - **SGX兼容服务器**: - 物理机:需Intel 6代以上CPU(支持SGX1/FLC) - 云服务(国内推荐): - 腾讯云[黑石物理机2.0](https://cloud.tencent.com/document/product/386/63407)(支持SGX) - 华为云[鲲鹏实例](https://www.huaweicloud.com/product/ecs.html)(需选配SGX型号) - **验证SGX支持**: ```bash # 安装检测工具 sudo apt install cpuid cpuid | grep -i sgx # 输出需包含"SGX: Software Guard Extensions supported = true" ``` --- #### 3. **部署Intel SGX环境** - **安装SGX驱动与SDK**(参考[FISCO隐私计算文档](https://fisco-bcos-documentation.readthedocs.io/zh_CN/latest/docs/design/privacy/index.html)): ```bash # 1. 安装DCAP驱动(适用于FLC机型) sudo apt-get install dkms wget https://download.01.org/intel-sgx/sgx-dcap/1.11/linux/distro/ubuntu20.04-server/sgx_linux_x64_driver_1.41.bin sudo chmod +x sgx_linux_x64_driver_1.41.bin sudo ./sgx_linux_x64_driver_1.41.bin # 2. 安装SGX SDK wget https://download.01.org/intel-sgx/sgx-linux/2.17/distro/ubuntu20.04-server/sgx_linux_x64_sdk_2.17.100.3.bin chmod +x sgx_linux_x64_sdk_2.17.100.3.bin sudo ./sgx_linux_x64_sdk_2.17.100.3.bin ``` --- #### 4. **开发TEE隐私计算服务** - **Enclave逻辑设计**(以数据加密计算为例): ```cpp // Enclave/enclave.cpp #include "sgx_tcrypto.h" ecall_encrypt_data(const uint8_t* input, size_t len, sgx_aes_gcm_128bit_tag_t* mac) { sgx_aes_gcm_128bit_key_t key = {0}; // 从安全渠道获取密钥 uint8_t encrypted[1024]; sgx_rijndael128GCM_encrypt( &key, input, len, encrypted, SGX_AESGCM_IV, SGX_AESGCM_IV_LEN, NULL, 0, mac ); // 返回加密数据到非安全内存 ocall_save_result(encrypted, sizeof(encrypted)); } ``` - **编译与签名Enclave**: ```bash # 生成签名密钥 sgx_edger8r Enclave/Enclave.edl sgx_sdk x64 --config Enclave/Enclave.config.xml ``` --- #### 5. **与FISCO BCOS智能合约交互** - **合约设计**(Solidity示例,验证TEE计算结果): ```solidity // TEEVerifier.sol pragma solidity ^0.6.0; contract TEEVerifier { mapping(bytes32 => bool) public proofs; function verify( bytes32 dataHash, bytes calldata signature, bytes32 enclaveQuote ) external { // 1. 验证SGX Quote(需预置Intel公钥) require(_checkSGXQuote(enclaveQuote), "Invalid quote"); // 2. 验证数据签名(由Enclave生成) address enclaveAddr = _recoverSigner(dataHash, signature); require(enclaveAddr == trustedEnclave, "Invalid signer"); proofs[dataHash] = true; } } ``` - **链下服务调用**(Python示例): ```python from web3 import Web3 from enclave_sdk import SGXClient # 假设已封装SGX调用SDK w3 = Web3(Web3.HTTPProvider('http://fisco-node:8545')) contract = w3.eth.contract(address=contract_addr, abi=abi) # 调用Enclave加密数据 client = SGXClient('tee_worker_ip:50051') encrypted_data, proof = client.encrypt(raw_data) # 提交到链上验证 tx_hash = contract.functions.verify( Web3.keccak(encrypted_data), proof.signature, proof.quote ).transact({'from': account.address}) ``` --- #### 6. **关键安全配置** - **远程认证(RA-TLS)**: - 使用[Intel DCAP库](https://github.com/intel/SGXDataCenterAttestationPrimitives)生成Quote,并在链上验证。 - **密钥管理**: - Enclave内部通过`sgx_get_key`派生密封密钥,避免硬编码。 - **FISCO BCOS权限控制**: - 在`node.dat`中配置TEE Worker节点的访问白名单。 --- #### 7. **官方文档与工具推荐** 1. **[FISCO BCOS隐私计算设计](https://fisco-bcos-documentation.readthedocs.io/zh_CN/latest/docs/design/privacy/index.html)** 2. **[Intel SGX FISCO适配示例](https://github.com/FISCO-BCOS/FISCO-BCOS-TEE)**(参考`sgx-demo`目录) 3. **[FISCO TEE Worker开发指南](https://fisco-bcos-documentation.readthedocs.io/zh_CN/latest/docs/manual/tee_usage.html)** --- > **注**:实际部署需在测试网验证SGX与FISCO节点的网络通信稳定性,建议使用[WeBASE管理平台](https://webasedoc.readthedocs.io/zh_CN/latest/)监控TEE服务状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值