機(jī)密計(jì)算是什么？

在云計(jì)算時(shí)代，云上數(shù)據(jù)按照數(shù)據(jù)所處狀態(tài)被分為三大類。它們分別是：

• Data in Transit，網(wǎng)絡(luò)傳輸過(guò)程中的數(shù)據(jù)，傳輸狀態(tài)
• Data at Rest，數(shù)據(jù)在磁盤(pán)和處于存儲(chǔ)過(guò)程中的數(shù)據(jù)，存儲(chǔ)狀體
• Data in use，處于內(nèi)存中，處于計(jì)算中的數(shù)據(jù)，其為使用狀態(tài)

對(duì)于數(shù)據(jù)的安全，專家和業(yè)界在過(guò)去幾十年的努力使得傳輸過(guò)程中的數(shù)據(jù)安全得到了保障，比如數(shù)據(jù)鏈路層加密，各種各樣的傳輸協(xié)議加密的使用，對(duì)于存儲(chǔ)中的數(shù)據(jù)安全，很多數(shù)據(jù)庫(kù)，文件系統(tǒng)或者磁盤(pán)也是可以直接加密的，但是不管數(shù)據(jù)是在傳輸狀態(tài)中還是在存儲(chǔ)的時(shí)候加密，數(shù)據(jù)在最終使用的時(shí)候，在CPU和內(nèi)存里的數(shù)據(jù)都是明文。這些使用中的明文要不要保護(hù)，答案是肯定的，而且是迫切的，因?yàn)獒槍?duì)網(wǎng)絡(luò)和存儲(chǔ)設(shè)備的安全威脅，越來(lái)越多的安全技術(shù)被開(kāi)發(fā)出來(lái)應(yīng)對(duì)和保護(hù)，基于這種阻礙，攻擊者已轉(zhuǎn)向以使用中的數(shù)據(jù)為目標(biāo)，機(jī)密計(jì)算就是針對(duì)這種威脅模型而來(lái)的，

來(lái)對(duì)數(shù)據(jù)在使用狀態(tài)中的保護(hù)。

隨著云計(jì)算的大規(guī)模部署，機(jī)密計(jì)算旨在允許將云提供商從可信計(jì)算基礎(chǔ)（TCB）中移除，以便只有硬件和受保護(hù)的應(yīng)用程序本身在可信邊界內(nèi)。這使得云客戶放心的，安全的把業(yè)務(wù)負(fù)載轉(zhuǎn)移到公有云上去。而機(jī)密計(jì)算正在迅速發(fā)展，為企業(yè)和最終用戶不斷提供新的工具以保護(hù)敏感數(shù)據(jù)和代碼免受執(zhí)行期間發(fā)生威脅。同時(shí)機(jī)密計(jì)算解決方案提供商為機(jī)密計(jì)算開(kāi)發(fā)了不同的方法，例如把應(yīng)用程序的代碼劃分為受信任和不受信任的組件，再到幾乎不做更改的情況下實(shí)現(xiàn)現(xiàn)有應(yīng)用程序的遷移。這些不同的方法支持不同的應(yīng)用場(chǎng)景，但最終目標(biāo)都是希望幫助確保敏感數(shù)據(jù)，代碼、工作負(fù)載的機(jī)密性，和完整性。

機(jī)密計(jì)算依賴硬件

實(shí)現(xiàn)機(jī)密計(jì)算，硬件輔助是必要的。

說(shuō)到機(jī)密計(jì)算（Confidential Computing）, 不得不先說(shuō)可信執(zhí)行環(huán)境（Trust Execution Environment）, 簡(jiǎn)稱TEE。TEE被定義為提供一定級(jí)別的數(shù)據(jù)完整性、數(shù)據(jù)機(jī)密性和代碼完整性保證的環(huán)境，具有運(yùn)算和儲(chǔ)存功能。其基本思想是：在硬件中為敏感數(shù)據(jù)單獨(dú)分配一塊隔離的內(nèi)存，確保敏感數(shù)據(jù)的計(jì)算在這塊內(nèi)存中進(jìn)行，并且除了經(jīng)過(guò)授權(quán)的接口訪問(wèn)之外，硬件中的其他部分并不能夠訪問(wèn)這塊內(nèi)存中的數(shù)據(jù)，以此來(lái)實(shí)現(xiàn)敏感數(shù)據(jù)的隱私計(jì)算。機(jī)密計(jì)算是通過(guò)在基于硬件的可信執(zhí)行環(huán)境中執(zhí)行計(jì)算來(lái)保護(hù)使用中的數(shù)據(jù)，對(duì)以下三個(gè)屬性提供一定程度的保證：

• 數(shù)據(jù)機(jī)密性：未經(jīng)授權(quán)的實(shí)體無(wú)法查看在TEE內(nèi)使用中的數(shù)據(jù)。
• 數(shù)據(jù)完整性：未經(jīng)授權(quán)的實(shí)體不能添加、刪除或更改在TEE中使用中的數(shù)據(jù)。
• 代碼完整性：未經(jīng)授權(quán)的實(shí)體不能添加、刪除或更改TEE中執(zhí)行的代碼。

根據(jù)具體TEE的技術(shù)實(shí)現(xiàn)情況，它還可以提供代碼機(jī)密性、經(jīng)過(guò)身份驗(yàn)證的啟動(dòng)、可編程性、可認(rèn)證性和可恢復(fù)性。在機(jī)密計(jì)算定義范疇中，未經(jīng)授權(quán)的實(shí)體可能包括主機(jī)（Host）上的其他應(yīng)用程序、主機(jī)操作系統(tǒng)（Host OS）和虛擬機(jī)監(jiān)控程序 (VMM)、系統(tǒng)管理員、云服務(wù)提供商、基礎(chǔ)設(shè)施所有者或?qū)τ布哂形锢碓L問(wèn)權(quán)限的任何其他人。

基于硬件的TEE使用硬件支持技術(shù)，為該環(huán)境中的代碼執(zhí)行和數(shù)據(jù)保護(hù)能夠提供更高的安全保障。構(gòu)建基于硬件的TEE，對(duì)其基本的硬件需求有三個(gè)方面：

其一，要實(shí)現(xiàn)基于硬件隔離的空間。隔離的目的有兩個(gè)，一個(gè)是保證數(shù)據(jù)的機(jī)密性，另一個(gè)是保證數(shù)據(jù)的完整性。要保證數(shù)據(jù)不能被他人獲取，同時(shí)也要保證數(shù)據(jù)不能被他人修改，而這兩種目的都是靠硬件來(lái)實(shí)現(xiàn)的。

其二，隔離之后，還必須要有硬件可信根。比如在硬件出廠的時(shí)候燒錄一些硬件的關(guān)鍵登記信息，唯一的設(shè)備密鑰和相應(yīng)證書(shū)，所有的安全啟動(dòng)和驗(yàn)證等過(guò)程都是從硬件可信根開(kāi)始的。如果沒(méi)有把信任根植入到受保護(hù)的硬件里面去，就達(dá)不到TEE的基本需求。

其三，驗(yàn)證（attestation ）, 在做完隔離和硬件可信根之后，對(duì)于系統(tǒng)部署在云上的，還需要把業(yè)務(wù)負(fù)載如代碼，數(shù)據(jù)等上傳到云上運(yùn)行，如何確保代碼和數(shù)據(jù)是運(yùn)行在TEE里面，是需要一個(gè)基于密碼學(xué)的證明方式的，必須通過(guò)獲取相關(guān)的證據(jù)去驗(yàn)證代碼和數(shù)據(jù)確實(shí)是運(yùn)行在TEE里的，這就是TEE驗(yàn)證的需求。

 基于硬件的TEE技術(shù)方案

基于硬件的虛擬機(jī)隔離技術(shù)要解決的是保護(hù)來(lái)自客戶機(jī)Guest 對(duì)云主機(jī)host的安全威脅，而機(jī)密計(jì)算要應(yīng)對(duì)的是來(lái)自云主機(jī)和基礎(chǔ)設(shè)施對(duì)客戶機(jī)Guest以及運(yùn)行在上面的容器業(yè)務(wù)的安全威脅。為此，Intel開(kāi)發(fā)了對(duì)應(yīng)的基于硬件的技術(shù)來(lái)滿足市場(chǎng)的需求，比如Intel虛擬化技術(shù)VT-x（Virtualization Technology）,應(yīng)用它可以讓一個(gè)物理的CPU工作起來(lái)像多個(gè)CPU在并行運(yùn)行，從而使得在一臺(tái)物理服務(wù)器內(nèi)可以同時(shí)運(yùn)行多個(gè)Guest，實(shí)現(xiàn)虛擬機(jī)之間的隔離。而對(duì)于基于硬件的TEE解決方案，Intel公司創(chuàng)新開(kāi)發(fā)了 Intel? Software Guard Extensions (Intel? SGX), Intel? Trust DomainExtensions (Intel? TDX) 等技術(shù)， 如下是一個(gè)完整的機(jī)密計(jì)算容器方案，如圖所示：

在此方案中，應(yīng)用安全容器kata containers 來(lái)支持容器業(yè)務(wù)的隔離，使用 Intel? SGX 來(lái)做基于硬件的TEE并支持整個(gè)kata containers虛擬機(jī)運(yùn)行其中。同時(shí)借助 Intel? TDX 的遠(yuǎn)程驗(yàn)證能力做TEE的驗(yàn)證。本文不打算花篇幅來(lái)解釋這個(gè)基于硬件的TEE完整方案，只介紹兩個(gè)基于硬件技術(shù)的TEE： Intel? SGX 和 Intel? TDX

• Intel軟件防護(hù)擴(kuò)展技術(shù)Intel? SGX

Intel? SGX 的設(shè)計(jì)主旨是為用戶應(yīng)用程序提供可信的執(zhí)行環(huán)境，使得應(yīng)用程序有能力在用戶地址空間中開(kāi)辟一段特別的，受保護(hù)的內(nèi)存空間，并對(duì)這段受保護(hù)的內(nèi)存空間實(shí)行嚴(yán)格的訪問(wèn)控制和加密操作來(lái)保障數(shù)據(jù)機(jī)密性和代碼完整性，確保即使是Hypervisor、BIOS，操作系統(tǒng)等特權(quán)應(yīng)用都不能隨意訪問(wèn)這段地址空間，這一段地址空間被稱之為Enclave（稱之為飛地）。

按照文章的前部分介紹，把應(yīng)用程序部署在云上，需要驗(yàn)證程序確實(shí)運(yùn)行在TEE里，具體更多的SGX技術(shù)細(xì)節(jié)，請(qǐng)參見(jiàn)Intel官方的技術(shù)文檔：??https://www.intel.com/content/dam/develop/external/us/en/documents/332680-002-600685.pdf?? 以及Intel架構(gòu)開(kāi)發(fā)者手冊(cè)。驗(yàn)證包括本地驗(yàn)證和遠(yuǎn)程驗(yàn)證。本地驗(yàn)證指在同一個(gè)平臺(tái)上，讓不同的Enclave互相驗(yàn)證Trusted Computing Base（TCB）。遠(yuǎn)程驗(yàn)證指讓一個(gè)平臺(tái)中運(yùn)行的Enclave向遠(yuǎn)端的信賴憑證者RelyingParty證明自己的TCB，證明自己運(yùn)行在SGX TEE中，并且沒(méi)有被篡改，同時(shí)證明當(dāng)前的CPU SGX 安全版本信息。

SGX應(yīng)用程序涉及兩部分：安全區(qū)和非安全區(qū)。開(kāi)發(fā)者或者用戶可以把涉及敏感數(shù)據(jù)的處理，Key的保護(hù)等都放在Enclave里面。從而將應(yīng)用程序的代碼，數(shù)據(jù)劃分為受信任和不受信任的組件，因此開(kāi)發(fā)者或者用戶需要決定哪些組件應(yīng)該置于 Enclave 內(nèi)部，哪些置于 Enclave 外部。

• Intel 信任域擴(kuò)展技術(shù) Intel? TDX

Intel? TDX  旨在將虛擬機(jī)（VM）與平臺(tái)上的虛擬機(jī)管理程序（VMM）和任何其他非信任域Trust Domain (TD) 的軟件隔離，以保護(hù) TD VM 免受各種軟件的安全威脅。TDX的設(shè)計(jì)思路是將整個(gè)虛擬機(jī)VM放在一個(gè)TEE可信執(zhí)行環(huán)境里，這樣不管應(yīng)用在私有云還是公有云上，不需要再對(duì)應(yīng)用程序和數(shù)據(jù)做受信任和不受信任的劃分和修改，只要操作系統(tǒng)支持就行。TDX基本思路就是引入新的CPU工作模式，然后通過(guò)對(duì)內(nèi)存加密技術(shù)，將兩個(gè)虛擬機(jī)用不同的key加密，同時(shí)key由CPU來(lái)直接進(jìn)行管理。本質(zhì)上講，TDX是通過(guò)兩種技術(shù)方式來(lái)配合實(shí)現(xiàn)，一種就是新的CPU模式，叫做安全仲裁模式Secure Arbitration Mode（SEAM），第二種是多密鑰內(nèi)存加密技術(shù)方式Multi-key Total-Memory-Encryption（MKTME）。SEAM模式使用新的指令，例如SEAMCALL,SEAMRET, SEAMOPS, TDCALL等來(lái)實(shí)現(xiàn)和TD OS，以及Host/VMM交互。同時(shí)提供特定區(qū)域的物理內(nèi)存來(lái)保護(hù)Intel TDX Module代碼模塊，通過(guò)Intel Authenticated Code Module (SEAMLDR)來(lái)裝載。多密鑰內(nèi)存加密MKTME技術(shù)中，MKTMEiengine通過(guò)PCONFIG 指令來(lái)分配和設(shè)置各個(gè)TD VM的內(nèi)存加密Keys。TDX將內(nèi)存分為兩個(gè)部分，私有和共享內(nèi)存。在TDX下還是需要在外部加固的，加固的時(shí)候需要共享內(nèi)存，這部分內(nèi)存外部是可以讀取的，因?yàn)橛行┨摂M化或半虛擬化設(shè)備需要和外部通信時(shí)，是需要host操作系統(tǒng)有能力訪問(wèn)來(lái)提供網(wǎng)絡(luò)等服務(wù)的。當(dāng)前的 Intel? TDX 認(rèn)證的本質(zhì)原理和SGX認(rèn)證類似，也需要提供遠(yuǎn)程證明來(lái)驗(yàn)證其運(yùn)行在TEE環(huán)境里。

更多詳細(xì)的TDX技術(shù)說(shuō)明，請(qǐng)參見(jiàn)Intel官方網(wǎng)站的 Intel? TDX 技術(shù)規(guī)范和白皮書(shū)：https://www.intel.com/content/www/us/en/developer/articles/technical/intel-trust-domain-extensions.html。

Intel? TDX 和 Intel? SGX 是用來(lái)解決不同問(wèn)題的。TDX是把整個(gè)軟件包不做修改直接放到虛擬機(jī)上就能實(shí)現(xiàn)安全，而SGX關(guān)注應(yīng)用層面，通過(guò)對(duì)飛地Enclave 來(lái)保障機(jī)密性和完整性的，用戶根據(jù)業(yè)務(wù)場(chǎng)景需求可以選擇不同的技術(shù)。

機(jī)密計(jì)算的使用場(chǎng)景

機(jī)密計(jì)算技術(shù)正在迅速發(fā)展，為企業(yè)和最終用戶提供新的工具，保護(hù)敏感數(shù)據(jù)和代碼免受數(shù)據(jù)執(zhí)行期間受到安全威脅，這些威脅以前很難得到保護(hù)，尤其伴隨公有云，云邊協(xié)同以及區(qū)塊鏈的規(guī)模應(yīng)用，機(jī)密計(jì)算的應(yīng)用場(chǎng)景也越來(lái)越多，如下是幾個(gè)比較常用用例：

• 密鑰（Keys）、秘密(Secrets)、憑證(Credentials)和令牌(Tokens )的安全存儲(chǔ)和處理

云計(jì)算關(guān)鍵信息資產(chǎn)的存儲(chǔ)和處理需要一個(gè)符合安全標(biāo)準(zhǔn)的硬件安全模塊如Hardware Security Module （HSM），但是傳統(tǒng)HSM硬件的專有性質(zhì)增加了它們的成本，限制了它的可擴(kuò)展性，并為在云計(jì)算和邊緣計(jì)算環(huán)境中部署帶來(lái)了成本和兼容性挑戰(zhàn)。不管是獨(dú)立軟件供應(yīng)商（ISV）云計(jì)算提供商（CSP），機(jī)密計(jì)算都已經(jīng)在被使用，在數(shù)據(jù)中心、私有云，公共/混合云中，甚至在物聯(lián)網(wǎng)用例的網(wǎng)絡(luò)邊緣存儲(chǔ)和處理加密和機(jī)密信息使用標(biāo)準(zhǔn)化的計(jì)算基礎(chǔ)設(shè)施。使得密鑰管理應(yīng)用程序在基于硬件的TEE中存儲(chǔ)和處理加密密鑰、機(jī)密和令牌，提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性和代碼完整性更加靈活。

• 公有云Public Cloud

在公有云場(chǎng)景中，信任必須放在云提供商的多個(gè)層面上：硬件，核心和外圍設(shè)備的固件；主機(jī)操作系統(tǒng)、虛擬機(jī)管理器程序和云編排系統(tǒng)本身。雖然公有云提供商在竭盡全力保護(hù)該堆棧的所有層，但機(jī)密計(jì)算提供了額外的保護(hù)保證，并通過(guò)基于硬件的TEE保護(hù)正在使用的應(yīng)用程序和數(shù)據(jù)，顯著減少了最終用戶必須信任的層數(shù)，對(duì)于未經(jīng)授權(quán)的參與者來(lái)說(shuō)，要獲得對(duì)受保護(hù)的應(yīng)用程序代碼和數(shù)據(jù)的訪問(wèn)權(quán)限變得更加困難，即使他們擁有對(duì)硬件的物理訪問(wèn)權(quán)限、對(duì)主機(jī)操作系統(tǒng)或虛擬機(jī)監(jiān)控程序的root訪問(wèn)權(quán)限，或?qū)幣畔到y(tǒng)的特權(quán)訪問(wèn)權(quán)限。機(jī)密計(jì)算旨在允許將云提供商從可信計(jì)算基礎(chǔ)中移除，以便只有硬件和受保護(hù)的應(yīng)用程序本身才在攻擊邊界內(nèi)。這使得許多工作負(fù)載能夠轉(zhuǎn)移到公共云上，而以前由于安全問(wèn)題或法規(guī)遵從性要求，這些工作負(fù)載無(wú)法轉(zhuǎn)移到公共云上。

• 區(qū)塊鏈Blockchain

區(qū)塊鏈?zhǔn)且粋€(gè)共享的、不變的分類賬，記錄參與者網(wǎng)絡(luò)之間的數(shù)據(jù)、數(shù)字資產(chǎn)或貨幣交換。區(qū)塊鏈提供了記錄和驗(yàn)證交易的基礎(chǔ)設(shè)施，而無(wú)需集中的第三方。區(qū)塊鏈可以為供應(yīng)鏈活動(dòng)提供透明度，促進(jìn)數(shù)字資產(chǎn)的交換，或支持合規(guī)流程，如實(shí)名認(rèn)證Know Your Customer（KYC）。區(qū)塊鏈的一個(gè)關(guān)鍵特征是，它確保應(yīng)該有一段共同數(shù)據(jù)的參與者確信他們看到的是相同的東西，并且一旦進(jìn)入?yún)^(qū)塊鏈，數(shù)據(jù)是不變的。應(yīng)由應(yīng)用程序開(kāi)發(fā)人員確保PII等敏感數(shù)據(jù)不存儲(chǔ)在不可變的區(qū)塊鏈上。機(jī)密計(jì)算可用于增強(qiáng)基于區(qū)塊鏈的系統(tǒng)的實(shí)施。通過(guò)結(jié)合機(jī)密計(jì)算和區(qū)塊鏈技術(shù)的能力，用戶可以利用基于硬件的TEE提供認(rèn)證和驗(yàn)證服務(wù)，優(yōu)化可擴(kuò)展性、隱私和安全性。區(qū)塊鏈用戶之間數(shù)據(jù)一致性的保證通常取決于各方獨(dú)立驗(yàn)證所有當(dāng)前數(shù)據(jù)有效性所依賴的歷史數(shù)據(jù)。這需要了解這些歷史數(shù)據(jù)集，這是一個(gè)潛在的可擴(kuò)展性或隱私問(wèn)題。用戶可以在基于硬件的TEE中執(zhí)行智能合約，而不是自己獨(dú)立訪問(wèn)和驗(yàn)證歷史數(shù)據(jù)和相關(guān)智能合約。一旦交易完成，TEE將提供認(rèn)證服務(wù)，以證明交易的可靠性，這意味著后續(xù)參與者無(wú)需再次為自己進(jìn)行驗(yàn)證?；赥EE的認(rèn)證服務(wù)還可以幫助解決協(xié)商一致協(xié)議帶來(lái)的一些計(jì)算和通信效率低下的問(wèn)題

• 邊緣云與物聯(lián)網(wǎng) Edge and IOT

在家庭路由器中進(jìn)行DDoS檢測(cè)的情況下進(jìn)行本地搜索和過(guò)濾，這些都是機(jī)密計(jì)算環(huán)境非常適合的例子。在大多數(shù)情況下，TCP/IP數(shù)據(jù)包元數(shù)據(jù)需要保密，因?yàn)榭赡軙?huì)推斷出敏感的用戶行為。其他示例包括邊緣機(jī)密機(jī)器學(xué)習(xí)處理，例如用于減少后端網(wǎng)絡(luò)延遲和/或帶寬的視頻元數(shù)據(jù)生成；攝像頭監(jiān)控，供應(yīng)商需要加載相關(guān)人員的模板，如果泄露可能會(huì)造成傷害；機(jī)密計(jì)算技術(shù)可用于幫助緩解依賴于對(duì)設(shè)備的物理訪問(wèn)的攻擊。