千亿风口背后：TEE的前世今生

美国石油大亨约翰·D.洛克菲勒曾说过：“如果你要成功，你应该朝新的道路前进，不要跟随被踩烂了的成功之路。”

”

2020年，“隐私计算元年”。结合我国大数据产业规模来看，2020年至2021年间，隐私计算产品市场规模约为10亿元，未来基于隐私计算的数据交易应用模式市场或将达到千亿级，隐私计算开辟了数字时代下的新蓝海。很少有人知道，安恒信息是最早一批探索隐私计算技术的网络安全厂商，在风口到来之前，安恒信息就开始布局相关产品的研发工作。

2021年，安恒信息正式发布AiLand数据安全岛平台，其能通过综合应用安全多方计算，可信执行环境，同态加密，联邦学习，区块链算等多种前沿技术以实现共享数据的所有权和使用权分离，确保数据 “可用不可见”。而想要深入的了解安恒信息的技术前瞻，可以先从现代信息系统安全基础说起……

现代信息系统安全基础

一个提供了机密性，完整性，可用性，可认证性，以及抗抵赖性保证的信息系统才是安全的。除了可用性之外的所有安全特性都是通过密码系统提供的。因此，信息系统安全性的前提就是密码系统的安全性。

保障密码系统的安全性需要保证密码系统中的所有模块的安全性，包括：密钥的机密性、密码算法本身的安全性、以及密码库实现的正确性及完整性。

现代密码系统安全的六条原则

怎么样的密码系统是安全的呢？让我们回到十九世纪。在1883年，一位叫奥古斯特·科克霍夫的荷兰人给军用密码系统提出了六条原则（引用于维基百科）。当这六条均满足的时候，密码系统是安全的：

1.即便如果做不到数学上不可破解，系统也应在实质（实用）程度上无法破解。

2.系统内不应含任何机密物，即使落入敌人手中也不会造成困扰。

3.密匙必须易于沟通和记忆，而不须写下；且双方可以容易地改变密匙。

4.系统应可以用于电讯。

5.系统应可以携带，不应需要两个人或以上才能使用（应只要一个人就能使用）。

6.系统应容易使用，不致让用户的脑力过分操劳，也无需记得长串的规则。

从柯克霍夫原则被提出，之后的密码学的发展均依赖于这个原则。比如，20世纪初，二战时候被广泛应用的恩尼格码密码机。密码通过口述传播。密码机的使用者输入密钥和对应的明文或密文，恩尼格码密码机能进行相应的加密解密。

现代电子计算机的安全问题

为了适配各种各样的应用场景，信息系统的发展的重心在增加系统的计算性能。例如冯诺依曼体系结构的引入，多用户多任务的操作系统的诞生等等。但很不幸的是，伴随着性能的大幅度提升，这些技术的诞生也是降低现代信息系统安全性的源头。

1.存储器不安全

1945年，著名的冯诺依曼体系结构诞生了。相比于恩尼格码密码机，这种机械结构的计算机。冯诺依曼体系结构引入了存储器，用来存储计算的中间数据。从此，电子计算机替代了传统的计算机器，进入了高速发展的时代。

电子计算机中的存储器的存在与柯克霍夫假说中的第二条形成了本质上的冲突：“系统内不应含任何机密物，即使落入敌人手中也不会造成困扰”。因此，理论上，在冯诺依曼体系结构的计算机内运行的密码系统都是不安全的。就如阿喀琉斯那没有被冥河之水浸泡过的脚踵一样，电子计算机存在着天然的罩门。

2008年，一种名为冷启动的攻击方法被提了出来。攻击者先对运行中的内存进行降温，然后迅速将内存条拔下，在别的机器上尝试读取，可成功读取内存条中的密钥并解密密文数据。这个攻击的发现证实了存储器的存在无法保证密钥的机密性。

2.操作系统不安全

1964年，贝尔实验室研发了首个多用户多任务的操作系统Multics。为了保证不同用户之间的安全性，采用了多Rings的分级保护机制。之后的所有操作系统，包括如今常用的Windows，Linux，MacOS都沿用了这套分级保护机制。

现如今，面对复杂的应用场景，这套分级保护机制扩大了存储器的存在引入的安全风险。例如，多Rings的分级保护机制默认高权限的用户（比如Kernel）能够访问低权限的用户的内存空间。但是现如今，高权限用户的身份可能通过社会工程学攻击，偷窃等方法非法获取。普通用户也可以通过缓冲区溢出，控制流劫持等漏洞获得高权限用户的权限。

通过针对内存空间的攻击，攻击者可以破坏内存数据机密性的攻击，以及破坏内存数据完整性的攻击。对内存数据机密性的攻击会获得不属于攻击者内存空间范围内的内存数据（例如缓冲区溢出攻击），例如获得内存中的密钥。对内存数据完整性的攻击会改变运算逻辑（例如控制流劫持攻击），间接地达到攻击者的目的，例如破坏密码库的完整性。

可信执行环境（TEE）技术

为了缓解这些安全问题，一种叫可信执行环境（TEE）的技术诞生了。

那TEE是一种什么样的技术呢？

TEE是一种通过在CPU硬件上部署三个技术（内存加密，运行隔离，以及可信启动），以达到构建一块安全的执行区域的技术。这块区域对区域外的所有攻击者都是黑盒的状态。

其中，内存加密针对离线攻击进行了防御，执行隔离给运行中的黑盒环境提供了运行时的保护，可信启动保证了运行于黑盒环境中的内容的完整性。

内存加密保证了密钥等数据在内存中的机密性。针对的是类似冷启动攻击这种，对存储器的离线攻击。当攻击者通过物理方式获得存储器尝试读取数据的时候，读到的均为加密数据。加密的密钥被硬件CPU保护，确保无法被离线攻击提取。与恩尼格码密码机相比，将密码系统的密钥加密后，可以达到等效于密码通过口述传递的效果。

执行隔离保证了密钥等数据在硬件CPU内的机密性和完整性。针对的是利用多Rings的分级保护机制进行的攻击。假设，攻击者已经获取了最高级的操作系统权限，攻击者对黑盒内的攻击尝试（无论是针对数据机密性还是完整性），都会被硬件阻止。执行隔离达到的功能等效于保护了记着密码的使用者没有被攻击者抓捕，并通过严刑拷打获取密码。

可信启动使用硬件对运行于黑盒环境内的内容进行验证，确保TEE内运行的内容是正确的。与恩尼格码密码机相比，这个功能保证了恩尼格码密码机的结构没有被更改，密码机没有被替换。

而存储器存在而造成的安全问题，包括在TEE技术内的任何已知的技术都无法根治。那引入TEE之后，还留下什么攻击面呢？TEE很难抵抗针对硬件（CPU）内部数据的侧信道攻击。

什么是侧信道攻击呢？攻击者在黑盒外面收集黑盒子的信息（比如黑盒子的能耗、电磁波等），把看到的变化记录下来进行分析。若信息的变化规律能与黑盒子中运行的秘密具有强相关性，攻击者就能通过分析记录推测出黑盒子中运行的秘密，达到破坏黑盒子机密性的目的。

侧信道攻击虽然在理论上是具备成功可能性的，在实际应用中却是难以落地的。例如，由于存在难以定位攻击位置以及收集信息精度上的问题，侧信道攻击要么较难成功，要么易被检测。

安恒信息AiLand数据安全岛

AiLand数据安全岛平台是一个专注于保障数据安全流通，致力于解决数据共享过程中的安全、信任和隐私保护问题的隐私计算平台。综合应用可信执行环境技术，联邦学习，MPC等多种前沿技术，配合关键行为数字验签和区块链审计技术，实现共享数据的所有权和使用权分离，确保原始数据的“可用不可见”、“可用不可取”，保障多方数据联合计算过程的可靠、可控和可溯。

产品架构图

1、数据要素流通全生命周期安全防护：

包括平台安全、传输安全、计算安全、存储安全和审计安全。

2、支持多种隐私保护计算技术：

1) BDTee大数据可信执行环境

基于可信执行环境技术，可信环境与数据合约绑定，为每个计算任务创建独立的可信环境，不同合约之间的数据完全隔离；每个合约均包含调试环境和执行环境两个部分，调试环境供模型开发方进行业务模型的开发测试，执行环境负责调试完成的模型加载真实数据执行计算；可信执行环境内的计算任务和操作都会详细审计和记录，并保存在区块链上，实现操作监控和历史回放，方便后续事件溯源。最终实现数据的“可用不可见”、“可用不可取”，保障多源多方数据安全计算的可靠、可控和可溯。

2) MPC安全多方计算

安全多方计算解决的是一组相互不信任的参与方各自拥有秘密数据，协同计算一个既定函数的问题。参与方除了获得计算结果，无法获得之外的任何信息。在整个计算过程中，参与方拥有对自身数据的绝对控制权。

安全多方计算部署架构

3) FL联邦学习

“联邦学习”（Federated Learning），其核心是，本地进行AI模型训练，然后仅将模型更新的部分加密上传到数据交换区域，并与其他各方数据的进行整合。多个参与方参与计算的数据无需出本地，充分保障了各自数据的安全和用户隐私。

联邦学习部署架构

3、方便易用的数据开发平台：

安全岛平台集成了Hive、Spark、Python、云桌面等多种模型开发界面和工具，保障数据安全，保护用户隐私的同时，极大的提高了业务模型应用开发的效率，帮助数据价值更好的流转。

    AiLPHA大数据智能安全事业群在安恒信息首席科学家刘博博士带领下，以“智引新安全，数领大未来”为理念，打造行业引领的态势感知、数据安全、零信任、隐私计算系列产品。目前AiLPHA平台产品已经服务于全国200多家省市级监管单位，3000余家中大型政府、企业、金融、运营商等单位。产品和技术累计获得世界互联网大会领先科技成果、工信部示范试点项目、“携手构建网络空间命运共同体精品案例”等60多个奖项，团队拥有核心技术发明专利400余项，承担省部级重大课题10项，核心产品AiLPHA态势感知平台连续多年被第三方咨询机构评为国内综合排名第一。