1.背景

TEE全名为可信执行环境(Trusted Execution Environment)是计算平台上由软硬件方法构建的一个安全区域,可保证在安全区域内加载的代码和数据在机密性和完整性方面得到保护。其目标是确保一个任务按照预期执行,保证初始状态的机密性、完整性,以及运行时状态的机密性、完整性。  作用

TEE保护enclave免受不可信软件的attack TEE包含安全的硬件资源 

 快速了解什么是可信执行环境TEE技术_数据

2.主流的基于硬件TEE技术

目前最有代表性的基于硬件TEE技术包括:

ArmTrustZone

AMDSEV (Secure Encrypted Virtualization)

IntelSGX (Software Guard eXtensions)

AppleSEP(Secure Enclave Processor)

 快速了解什么是可信执行环境TEE技术_数据_02

2.1Intel SGX

  1.      Intel SGX是 Intel 架构新的扩展,在原有架构上增加了一组新的指令集和内存访问机制。
  2.     这些扩展允许应用程序实现一个被称为安全区(enclave)的容器,在应用程序的地址空间中划分出一块被保护的区域,为容器内的代码和数据提供机密性和完整性的保护,免受拥有特殊权限的恶意软件的破坏,即使底层的高特权系统软件(例如OS或虚拟机管理程序)是恶意的或已被破坏,SGX仍可抵抗物理内存访问类的attack。  
  3.      SGX 的实现需要处理器、内存管理部件、BIOS、驱动程序、运行时环境等软硬件协同完成。除了提供内存隔离与保护安全属性,SGX 架构还支持远程认证和密封的功能,可用于安全软件应用和交互协议的设计。

 快速了解什么是可信执行环境TEE技术_TEE_03

2.2 ARM TrustZone

     TrustZone技术将中央处理器(CPU)的工作状态分为了正常世界状态(Normal World Status,NWS)和安全世界状态(Secure World Status,SWS)。支持TrustZone技术的芯片提供了对外围硬件资源的硬件级别的保护和安全隔离。当CPU、处于正常状态时,任何应用都无法访问安全硬件设备,也无法访问属于安全世界状态下的内存、缓存(Cache)以及其他外围安全硬件设备。 

    下图中左边蓝色部分Rich OS Application Environment(REE)表示用户操作环境,可以运行各种应用,如电视或手机的用户操作系统,右边绿色部分Trusted Execution Envrionment(TEE)表示系统的安全环境,运行Trusted OS,在此基础上执行可信任应用,包括身份验证、授权管理、DRM认证等,这部分隐藏在用户界面背后,独立于用户操作环境,为用户操作环境提供安全服务。 

 快速了解什么是可信执行环境TEE技术_数据_04

2.3 AMD SEV

 SEV是由AMD提出的安全虚拟化Secure Encrypted Virtualization技术。主要有三个核心技术:

  1. SVM,虚拟化技术。
  2. SME,内存加密技术。
  3. SEV,虚机内存保护技术。
  •  SVM即AMD Secure Virtual Machine的缩写。这是由AMD提供的虚拟化技术,用来X86上支持基于硬件的虚拟化技术,通过硬件 提供的辅助加速功能,可以有效提高虚拟化性能。
  • SME是Secure Memory Encryption的缩写。AMD在DRAM的控制器中添加了加解密模块,用来控制内内存数据的加密和解密。
  • SEV(Secure Encrypted Virtualization)是在SVM、SME的基础上对虚拟机进行保护提供的安全增加功能,主要完成对虚拟机内存数据的保护。 

 快速了解什么是可信执行环境TEE技术_虚拟化技术_05


3.可信执行环境开源介绍

可信执行环境(Trusted Execution Environment, TEE)通过在硬件设备上构建一个安全区域,保证其内部加载的程序和数据在计算全过程中的机密性、完整性 和准确性。与纯软件的密码学隐私保护方案相比,在可信区域内执行的计算逻辑与在明文设备上运行并无差别,所以没有可用性方面的限制,计算表达能力很强, 计算效率很高。但在安全性上,TEE技术本身依赖硬件环境,所以必须确保芯片厂商可信,而且与密码学中以数学困难问题保证安全不同,其硬件安全还存在侧信道 attack等其他安全问题。目前,TEE的硬件支持主要基于Intel的SGX以及ARM的TrustZone等技术,主要掌握在国外芯片厂商手里,近两年国内计算芯片厂商海光、 飞腾、鲲鹏等也在积极推出自主实现的TrustZone功能。

 快速了解什么是可信执行环境TEE技术_虚拟化技术_06

 快速了解什么是可信执行环境TEE技术_执行环境_07