隐私计算技术解读:可信执行环境(TEE)概要及应用

最新推荐文章于 2024-04-27 19:25:46 发布
VIP文章 最新推荐文章于 2024-04-27 19:25:46 发布
阅读量4.5k 收藏 27
点赞数 2
分类专栏: 隐私计算 可信执行环境TEE 文章标签: 云计算 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DJKJInsightOne/article/details/123052251
版权

本文阐释梳理了可信执行环境(TEE)的概念定义及发展脉络,剖析 TEE 与基于密码学的隐私保护技术的对比及其在联邦学习中的应用,最后介绍 TEE 的现有框架和相关应用。

作者 | 深圳市洞见智慧科技有限公司

随着移动互联网和云计算技术的迅猛发展,越来越多的数据在云环境下进行存储、共享和计算,云环境下的数据安全与隐私保护也逐渐成为学术界以及工业界关注的热点问题。目前阶段,隐私保护技术主要基于密码算法及协议(如安全多方计算、同态加密等)完成场景落地,其优点主要在于具有较高的安全性和可靠性,然而,由于这些算法或协议的实现依赖于大量复杂计算(如乘法循环群上的乘法、指数运算,Pairing 运算,格上的数学运算等),因此存在较大的性能瓶颈,难以在实际场景中大规模应用。

作为基于密码学的隐私保护技术的一种替代方案,可信执行环境(Trusted execution environment,TEE)基于硬件安全的 CPU 实现了基于内存隔离的安全计算,可在保证计算效率的前提下完成隐私保护的计算。

本文将阐释梳理 TEE 的概念定义及发展脉络,剖析 TEE 与基于密码学的隐私保护技术的对比及其在联邦学习中的应用,最后介绍 TEE 的现有框架和相关应用。

TEE 定义与发展脉络

概念及辨析:TEE 与 REE

TEE 是一种具有运算和储存功能,能提供安全性和完整性保护的独立处理环境。其基本思想是:在硬件中为敏感数据单独分配一块隔离的内存,所有敏感数据的计算均在这块内存中进行,并且除了经过授权的接口外,硬件中的其他部分不能访问这块隔离的内存中的信息。以此来实现敏感数据的隐私计算。

富执行环境 (Rich Execution Environment,REE) 指的是操作系统运行时的环境中,可以运行如 Android、IOS 等通用的 OS(Opreating System)。REE 是一个容易受到攻击的开放环境,如敏感数据的窃取、移动支付盗用等等。而 TEE 是中央处理器上的一个安全区域,能够保证敏感数据在隔离和可信的环境内被处理,从而免受来自 REE 中的软件攻击。此外,与其他的安全执行环境相比,TEE 可以端到端地保护 TA(Trusted Application)的完整性和机密性,能够提供更强的处理能力和更大的内存空间。在下图这一典型的可信执行环境架构中,TEE 内部为 REE 中的软件提供了接口,使得 REE 中的软件可以调用 TEE 对数据进行处理,但不会泄露敏感数据。

TEE 与 REE 关系图示

TEE 强大的数据安全和隐私保护能力,使其成为隐私计算主要技术流派之一,比 REE 得到了更广泛的应用。

TEE 的定义

论述完 TEE 的概念后,接下来进一步解析 TEE 的深层定义。目前对于 TEE 的

最低0.47元/天 解锁文章
洞见科技InsightOne
关注
  • 2
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于可信执行环境隐私计算白皮书
02-01
中国联通研究院2022年5月
optee 操作系统源代码 可信执行环境 TEE
07-21
OPTEE 是一个开源工程,完整的实现了一个可信执行环境。该项目最初由意法-爱立信所发起,是一个专门的解决方案,然后由ST半导体拥有和维护,2014年Linaro开始与意法半导体合作推出将这个专有的TEE解决方案转换成一个开源的TEE解决方案。 2015年9月,Linaro拥有了这个项目。今天它成为Linaro的一个关键的安全项目,Linaro的几个成员的支持和使用它。 OP-TEE is a Trusted Execution Environment (TEE) designed as companion to a non-secure Linux kernel running on Arm; Cortex-A cores using the TrustZone technology. OP-TEE implements TEE Internal Core 关于op-tee使用的license问题: 1,大部分遵循BSD 2-条款。 2,TEE kernel 驱动遵循GPLv2。 3,测试套件,在TEE侧代码(TA)遵循BSD 2-条款,在REE侧代码(CA)遵循GPLv2。
可信执行环境TEE):深入探讨安全计算的未来
qq_44005305的博客
03-08 1139
2.1 定义与概念可信执行环境TEE)是一个安全的计算环境,它能够保护运行在其中的代码和数据免受外部攻击,包括来自操作系统、硬件和其他应用程序的攻击。TEE通过在处理器内部创建一个隔离的执行环境来实现这一目标,这个环境被称为“保护容器”(securecontainer)或“信任区”(trust zone)。2.2 工作原理TEE的工作原理可以分为以下几个步骤:隔离:TEE在处理器内部创建一个独立的执行环境,与其他应用程序和操作系统隔离。加密:TEE通过硬件加密技术来保护数据和代码的安全
隐私计算可信执行环境的一知半解
我相信......
11-13 713
隐私计算是使数据“可用不可见”的技术,它包括了密码学、人工智能、安全硬件等众多领域交叉的学科体系。对于隐私计算而言,业界通常分为三大路径技术:以安全多方计算为代表的密码学路径、以可信执行环境为代表的硬件路径和以联邦学习为代表的人工智能路径。老码农在了解了《从隐私到隐私计算》之后,对《隐私计算之全同态加密》和《隐私计算中的联邦学习》学习之后,如果不再了解一下可信执行环境,总觉得有点怅然若失。尽管“...
TEE原理及应用举例
内核工匠
03-05 1万+
一、TEE介绍随着Face ID、指纹识别、5G、AI等技术的发展,移动互联网已经悄然根植于现代生活中,伴随着日常生活的移动化,移动终端中存储的各种敏感信息日益增多,移动终端自身的安全性面...
隐私计算是什么?有什么作用?
一个写湿的程序猿
04-26 9545
这01 隐私计算技术的起源02 隐私计算的概念03 隐私计算技术的发展脉络04 隐私计算技术应用场景1. 金融行业2. 医疗健康行业3. 政务行业 来源:大数据 01 隐私计算技术的起源 假设有两个百万富翁,他们都想知道谁更富有,但他们都想保护好自己的隐私,都不愿意让对方或者任何第三方知道自己真正拥有多少财富。那么,如何在保护好双方隐私的情况下,计算出谁更有钱呢? 这是2000年图灵奖得主姚期智院士在1982年提出的“百万富翁”问题。 这个烧脑的问题涉及这样一个矛盾,如果想比较两人谁更富有,两人似
tee命令详解
we chat:玩转测试开发
06-01 1351
tee是一个Unix/Linux命令,用于在从stdin读取数据时,将数据重定向到一个或多个文件,同时还将数据输出到stdout。这是一个非常实用的命令,特别是在管道操作中。将输出重定向到多个文件:以下命令将command1的输出同时保存到filename1和filename2中,同时也将其输出到屏幕。这将执行command1,将其输出既保存到filename中,又将其输出到屏幕(stdout)。
可信执行环境简介:ARM 的 TrustZone
谈论现实
10-17 1260
具有信任区的 ARM 处理器实现了架构安全性每个物理处理器内核提供两个虚拟的扩展 核心,一个被认为是不安全的,称为不安全的世界,另一个被认为是安全的 称为安全世界,以及两者之间的上下文切换机制,称为监视模式。来自 ARM 的架构:如图所示,TrustZone 由监视器、可选操作系统和可选应用程序组成,所有这些都在安全世界中运行。Trustzone实现可以是所有这些组件,例如在Qualcomm或Trustonic实现上, 或者像Nintendo Switch实现那样仅是一个监视器。
聊一聊可信执行环境
云水木石
04-30 3429
可信执行环境(TrustedExecution Environment, TEE)是一个与智能设备安全相关的话题。在开展这个话题之前,先看一个经济学上的话题:某个汽车公司生产的一款汽车,设...
可信执行环境TEE)介绍
热门推荐
braveheart95的专栏
05-03 2万+
可信执行环境TEE)是Global Platform(GP)提出的概念。针对移动设备的开放环境安全问题也越来越受到关注,不仅仅是终端用户,还包括服务提供者,移动运营商,以及芯片厂商。TEE是与设备上的Rich OS(通常是Android等)并存的运行环境,并且给Rich OS提供安全服务。它具有其自身的执行空间,比Rich OS的安全级别更高,但是比起安全元素(SE,通常是智能卡)的安全
trustonic-tee-driver:可信执行环境的Android驱动程序
05-06
Trustonic T恤司机 Trustonic可信执行环境的Android驱动程序 QEmu / Goldfish模拟器的版本 要构建内核模块: 将trustonic文件夹复制到Linux内核树的'drivers'目录中 相应地更新全局Kconfig和Makefile 构建模块
基于用户卡的可信执行环境初始化方案
01-19
在分析可信执行环境TEE)初始化架构和初始化方案的基础上,利用信任链技术,设计提出了将运营商用户卡作为可信根,进行智能终端可信执行环境初始化的方案,为电信运营商利用用户卡资源参与可信执行环境的产业链...
trustonic-tee-user-space:Trustonic可信执行环境的Android用户空间组件
05-06
trustonic-tee-用户空间 Trustonic可信执行环境的Android用户空间组件 QEmu / Goldfish模拟器的版本
深度解析:云计算的三宝——IaaS、PaaS和SaaS
weixin_62641226的博客
04-23 1097
因此,PaaS也是SaaS模式的一种应用。把服务器平台作为一种服务提供的商业模式,通过网络进行程序提供的服务称之为SaaS(Software as a Service),是云计算三种服务模式之一,而云计算时代相应的服务器平台或者开发环境作为服务进行提供就成为了PaaS。4月22日,腾讯宣布旗下协作SaaS产品全面接入腾讯混元大模型,除去企业微信、腾讯会议、腾讯文档等“一门三杰”产品,腾讯乐享、腾讯电子签、腾讯问卷、腾讯云AI代码助手等协作SaaS产品也都已实现智能化升级。大模型应用落地再加速。
Amazon云计算AWS之[2]弹性计算云EC2
缘友一世的博客
04-23 538
弹性负载平衡功能可以识别出应用实例的状态,当一个应用运行不佳时,它会自动将流量路由到状态较好的实例资源上,直到前者恢复正常才会重新分配流量到其实例上。EC2系统中包含多个地理区域,而每个地理区域中又包含多个可用区域。为了确保系统的稳定性,用户最好将自己的多个实例分布在不同的可用区域和地理区域中。弹性负载平衡功能允许EC2实例自动分发应用流量,从而保证工作负载不会超过现有能力,并且在一定程度上支持容错。,这样某个可用区域的供电或冷却系统错误就不会影响到其他可用区域,其中,地理区域是按照实际的地理位置划分的。
Amazon云计算AWS之[4]非关系型数据库服务SimpleDB和DynamoDB
最新发布
缘友一世的博客
04-27 560
非关系型数据库服务主要用于存储结构化的数据,并为这些数据提供查找、删除等基本的数据库功能。AWS中提供的非关系型数据库主要包括SimpleDB和DynamoDB。
OpenStack云计算(十四)——综合演练手动部署OpenStack,
WZY22502701的博客
04-27 446
(2)在控制节点上配置网络选项,包括安装网络组件、安装OVS、配置Neutron服务器组件、配置ML2插件、创建OVS提供者网桥并配置OVS代理、配置DHCP代理、配置L3代理。首先创建一个实例类型,添加ping和SSH访问的安全组规则,然后分别基于自服务网络和提供者网络创建虚拟机实例,并测试实例的网络访问。(6)在计算节点上配置OVS代理,此处与控制节点一样创建OVS提供者网桥。(2)掌握OpenStack计算服务的安装和配置方法。(1)掌握OpenStack网络服务的安装和配置方法。
阳光能源,创造永远:光模块的未来”:随着大数据、区块链、云计算和5G的发展,光模块成为满足不断增长的数据流量需求的关键技术
ADOP_BitRate的博客
04-24 1022
根据传输速率的不同,光模块可分为1G光模块(即千兆光模块)、10G光模块(即万兆光模块)、25光模块、40G光模块、100G光模块和400G光模块等。②兼容性光模块:好的兼容性光模块的质量性能和原装光模块几乎没有区别,价格低,质保期一般都有三年之久,能兼容各大品牌,但是现在兼容性光模块市场质量良莠不一,许多商家以次充好,鱼目混珠,导致了一些用户还是会担心质量问题,在挑选兼容性光模块的时候应当了解其各个具体的参数;📣📢光模块的各项指标几乎都会有相对应的标准,这也是为什么不同厂商的光模块看起来是一样的。
可信执行环境TCB是什么
11-17
可信计算基础(TCB)是指在计算机系统中,被信任的硬件、固件和软件组件的集合,这些组件共同工作以实现系统的安全策略。可信执行环境TEE)是一种安全执行环境,其中的应用程序可以在不受攻击的情况下运行。TCB是TEE的核心部分,它由硬件和软件组成,用于保护TEE中的应用程序和数据。TCB通常由操作系统内核、驱动程序、安全库和TEE管理程序等组成。在TEE中,TCB是最受保护的部分,因为它是TEE的核心,任何对TCB的攻击都可能导致TEE中的应用程序和数据被破坏。因此,TCB的安全性至关重要,需要采取各种措施来保护它。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

洞见科技InsightOne

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值