隱私計算是使數(shù)據(jù)“可用不可見”的技術(shù)，它包括了密碼學(xué)、人工智能、安全硬件等眾多領(lǐng)域交叉的學(xué)科體系。對于隱私計算而言，業(yè)界通常分為三大路徑技術(shù)：以安全多方計算為代表的密碼學(xué)路徑、以可信任執(zhí)行環(huán)境為代表的硬件路徑和以聯(lián)邦學(xué)習(xí)為代表的人工智能路徑。

可信執(zhí)行環(huán)境

可信執(zhí)行環(huán)境的核心思想是構(gòu)建一個獨立于操作系統(tǒng)而存在的可信的、隔離的機(jī)密空間，數(shù)據(jù)計算僅在 該安全環(huán)境內(nèi)進(jìn)行，通過依賴可信硬件來保障其安全?？尚艌?zhí)行環(huán)境的概念源于 Open Mobile TerminalPlatform( OMTP) 于 2006 年提出的一種保護(hù)移動設(shè)備上敏感信息安全的雙系統(tǒng)解決方案，在傳統(tǒng)系統(tǒng)運行環(huán)境( Ｒich Execution Environment，REE) 之外，提供一個隔離的安全系統(tǒng)用于處理敏感數(shù)據(jù)。2010 年 7 月，Global Platform( 致力于安全芯片的跨行業(yè)國際標(biāo)準(zhǔn)組織，簡稱 GP) 起草制定了一整套可信執(zhí)行環(huán)境系統(tǒng)的體系標(biāo)準(zhǔn)，成為當(dāng)前許多商業(yè)或開源產(chǎn)品定義其各種功能接口的規(guī)范參考。

根據(jù)全球平臺國際標(biāo)準(zhǔn)組織 （GlobalPlatform）的定義，一個可信執(zhí)行環(huán)境體系主要包括 ：

（1）普通執(zhí)行環(huán)境（REE）。普通執(zhí)行環(huán)境是指那些有著豐富功能的環(huán)境，如 Android、Windows、iOS 等。這些系統(tǒng)由于廣泛使用，功能不斷增加，結(jié)構(gòu)也越來越復(fù)雜，相應(yīng)地導(dǎo)致安全性普遍不高。

（2）可信執(zhí)行環(huán)境（TEE）?？尚艌?zhí)行環(huán)境主要指那些與普通執(zhí)行環(huán)境相隔離，用于執(zhí)行高安全性操作的環(huán)境。與普通執(zhí)行環(huán)境相比，可信執(zhí)行環(huán)境的功能相對較少，只保留一些與安全相關(guān)的機(jī)制，如密鑰管理等，同時提供一些必要的系統(tǒng)功能。 

（3）客戶端應(yīng)用（CA）。所有運行在普通執(zhí)行環(huán)境中的應(yīng)用都被稱作客戶端應(yīng)用，其中一些可能需要與可信執(zhí)行環(huán)境通信并要求服務(wù)。 

（4）可信應(yīng)用（TA）?？尚艖?yīng)用是指那些運行在可信執(zhí)行環(huán)境里的應(yīng)用。這些應(yīng)用一般用來為客戶端應(yīng)用提供特定的安全服務(wù)，或處理一些安全任務(wù)，如密鑰生成和密鑰管理等。

可信執(zhí)行環(huán)境體系結(jié)構(gòu)的構(gòu)建方法有多種，總體可以歸結(jié)為 3 種 ：擴(kuò)展協(xié)處理器、嵌入式協(xié)處理器和處理器安全環(huán)境。擴(kuò)展協(xié)處理器和嵌入式協(xié)處理器都需要額外的處理器作為安全核來處理安全和完整性保護(hù)任 務(wù)，不同之處在于擴(kuò)展協(xié)處理器將安全核放置在片外，不與主處理器共享任何資源，而嵌入式協(xié)處理器將安全核嵌入片內(nèi)，一般與主處理器共享部分資源。

可信執(zhí)行環(huán)境的最本質(zhì)屬性是隔離，通過芯片等 硬件技術(shù)并與上層軟件協(xié)同對數(shù)據(jù)進(jìn)行保護(hù)，且同時 保留與系統(tǒng)運行環(huán)境之間的算力共享。目前，可信執(zhí)行環(huán)境的代表性硬件產(chǎn)品主要有 Intel 的 TXT、AＲM 的 TrustZone 等，由此也誕生了很多基于以上產(chǎn)品的商 業(yè)化實現(xiàn)方案，如百度 MesaTEE、華為 iTrustee 等。下圖為基于可信執(zhí)行環(huán)境的數(shù)據(jù)計算平臺技術(shù)架構(gòu)。 

嚴(yán)格來講，可信執(zhí)行環(huán)境并不屬于“數(shù)據(jù)可用不可見”，但其通用性高、開發(fā)難度低，在通用計算、復(fù)雜算法的實現(xiàn)上更為靈活，使得其在數(shù)據(jù)保護(hù)要求不是特別嚴(yán)苛的場景下仍有很多發(fā)揮價值的空間。 

Intel 的可信執(zhí)行技術(shù)

可信執(zhí)行技術(shù)(Trusted Execute Technology，TXT)是Intel公司的可信計算技術(shù)，主要通過改造芯片組和CPU，增加安全特性，通過結(jié)合一個基于硬件的安全設(shè)備—可信平臺模塊(Trusted Platform Module，TPM)，提供完整性度量、密封存儲、受保護(hù)的I/O、以及受保護(hù)的顯示緩沖等功能，主要用于解決啟動進(jìn)程完整性驗證和提供更好的數(shù)據(jù)保護(hù)。

英特爾稱，TXT技術(shù)具備以下保護(hù)功能：處理器執(zhí)行內(nèi)存、處理器事件處理、系統(tǒng)內(nèi)存、內(nèi)存和芯片組路徑、存儲子系統(tǒng)、人為輸入設(shè)備和顯卡輸出等。

可信執(zhí)行技術(shù)給硬件平臺增加了許多關(guān)鍵功 能?這些功能包括： 

（1） 程序執(zhí)行保護(hù)：保護(hù)程序執(zhí)行和存放敏感 數(shù)據(jù)的內(nèi)存空間。這項特性允許某個應(yīng)用程序在一個相對獨立的環(huán)境中運行，與平臺上的其他程序不 能互相干擾。沒有任何其他程序能夠監(jiān)視或讀取在 保護(hù)環(huán)境中運行的程序數(shù)據(jù)。每個運行在保護(hù)環(huán)境 中的程序?qū)奶幚砥骱托酒M那里獲得獨立的系統(tǒng) 資源。 

（2） 加密存儲：密封的存儲密鑰和其他在使用 和存儲中易受攻擊的數(shù)據(jù)。TPM 芯片將可以把密 鑰加密并存儲在硬件中。而集成了 TPM 芯片的系 統(tǒng)將具備解密密鑰的能力。任何企圖從 TPM 系統(tǒng) 中未經(jīng)授權(quán)的拷貝操作都只能得到一堆毫無意義的 亂碼。 

（3） 證明系統(tǒng)能夠正確調(diào)用可信執(zhí)行技術(shù)?同 時也確保一個運行在保護(hù)空間的軟件的校驗值。 

（4） 減少由于改進(jìn)的服務(wù)而所需的技術(shù)支持費 用；支持分散或遠(yuǎn)程計算；鑒別有更高級別保證的平 臺配置。 

（5） 內(nèi)存保護(hù)：能夠加強(qiáng)系統(tǒng)資源的保護(hù)?增強(qiáng) 了數(shù)據(jù)機(jī)密性和完整性?改進(jìn)了數(shù)據(jù)傳輸?shù)陌踩?和敏感數(shù)據(jù)的保護(hù)性。

TXT 技術(shù)的這些特性使計算平臺在遇到越來越頻繁和越來越復(fù)雜的軟件攻擊時更安全。為了實現(xiàn)可信執(zhí)行技術(shù)?計算平臺需要一些硬 件組成部分?主要的硬件元件有：處理器?芯片集?鍵 盤和鼠標(biāo)?圖形設(shè)備?TPM 設(shè)備。IA-32架構(gòu)處理器的擴(kuò)展允許創(chuàng)建多操作環(huán)境? 比如標(biāo)準(zhǔn)區(qū)域和保護(hù)區(qū)域的并存?這樣應(yīng)用軟件就 可以獨立的被允許在一個受隔離的保護(hù)區(qū)域。擴(kuò)展的芯片組加強(qiáng)內(nèi)存保護(hù)機(jī)制?加強(qiáng)了訪問內(nèi)存的數(shù)據(jù)保護(hù)?保護(hù)圖形設(shè)備和 I/O 設(shè)備的通道?并提供了 TPM 的接口。

此外，Intel TXT 需要系統(tǒng)內(nèi)建 Trusted Computing Group 定義的 TPM v1.2 和特定軟件滿足供部分用途，在部分國家的供貨可能受到當(dāng)?shù)胤ㄒ?guī)限制。

ARM 的Trust Zone

TrustZone 技術(shù)的主要方法是將設(shè)備的硬件和軟件資源全部劃分成安全區(qū)域和非安全區(qū)域，兩個區(qū)域之間不能隨意進(jìn)行數(shù)據(jù)交換，非安全區(qū)域的進(jìn)程禁止訪問安全區(qū)域，以保證存儲在安全區(qū)域的資源不被竊取。下面從硬件和軟件兩個層面進(jìn)行分析。

在硬件層面上，TrustZone 將物理處理器核虛擬成兩個核，一個稱為非安全核（Non-secure，NS），另一個稱為安全核（Secure，S），通過 CP15 的 SCR 寄存器中的 NS 位來表明當(dāng)前所處的狀態(tài)。非安全核只能訪問自己的系統(tǒng)資源，安全核可以訪問所有資源 。在安全核和非安全核之間切換的機(jī)制稱為監(jiān)視器模 式。非安全核的進(jìn)程可以通過 SMC 指令或者硬件異常機(jī)制進(jìn)入監(jiān)視器模式，由此獲得安全核的服務(wù)。需要注意的是，非安全核的進(jìn)程只能獲得安全核的服務(wù)，并不能訪問安全核的數(shù)據(jù)。此外，TrustZone 技術(shù)在虛擬內(nèi)存管理、Cache、外圍總線等方面 都做了努力來保證安全核的數(shù)據(jù)信息不被泄露。

在軟件層面上，TrustZone 實現(xiàn)了安全可信啟動，即在引導(dǎo)加載過程中先啟動安全區(qū)域并對啟動狀態(tài)做完整性驗證，驗證無誤后再啟動非安全區(qū)域，這樣能夠保證系統(tǒng)啟動過程的安全。

目前市面上存在一些基于 TrustZone 的安全技術(shù)，如華為 Mate7 手機(jī)中使 用的 指 紋識 別 技 術(shù)、 蘋果 公司的Secure Enclave 技術(shù)、三星公司的 Knox 系統(tǒng)等。但到目前為止，這些技術(shù)并沒有挖掘出 TrustZone 的全部潛力，原因在于 ：

（1）結(jié)構(gòu)簡單，導(dǎo)致功能比較單一，難以擴(kuò)展 ；

（2）平臺并不開源，很多開發(fā)者不能基于這些安全平臺設(shè)計新的可信應(yīng)用。

因此，搭建一個基于 TrustZone 技術(shù)的完善的可信執(zhí)行環(huán)境對于平臺和應(yīng)用的開發(fā)和研究都是非常有利的 。

小結(jié)

信任機(jī)制是隱私計算廣泛應(yīng)用的關(guān)鍵，隱私計算技術(shù)自誕生以來的重要使命便是保證隱私數(shù)據(jù)在被利用的過程中不被泄露，以 TEE 為代表 的可信硬件也主要應(yīng)用于個人移動用戶的數(shù)據(jù)安全保護(hù)中?；?ARM TrustZone 實現(xiàn)的可信執(zhí)行環(huán)境是一種硬件隔離安全機(jī)制，以物理方式將系統(tǒng)劃分為安全和非安全組件，確保在正常操作下的軟件無法直接訪問安全區(qū)域的數(shù)據(jù); 而基于 Intel TXT 實現(xiàn) 的可信執(zhí)行環(huán)境是一種算力和內(nèi)存隔離的安全機(jī)制。而從開源的視角來看，隱私計算的開源項目還是大多集中在聯(lián)邦學(xué)習(xí)領(lǐng)域。