机密计算：原理与技术

本书系统介绍了机密计算的概念，总结了各类主流TEE硬件通用设计，帮助读者理解TEE硬件的工作原理。本书围绕安全模型、生命周期、证明模型、攻击方法和防范策略，系统介绍了TEE的设计原则和使用方法，并以业界常用的x86、ARM以及RISC-V架构提供的TEE为例，分析了硬件TEE的实现方法，帮助读者理解不同实现的利弊。全书分为三个部分，首先介绍机密计算的基础知识，包括隐私计算的概述和机密计算的定义、分类等；第二部分介绍机密计算中的TEE，主要内容包括机密计算模型、TEE的生命周期、TEE的证明模型、TEE的可选功能、机密计算的软件开发、TEE的攻击与防范；第三部分介绍机密计算中的TEE-IO，主要内容包括TEE-IO模型、TEE-IO的生命周期、TEE-IO的证明模型、TEE-IO机密计算的软件开发、TEE-IO的攻击和防范。本书体系清晰，内容先进，适合从事机密计算相关研究和技术开发工作的人员阅读，也适合作为高校学生的拓展读物。

姚颉文<br />现任Intel公司首席工程师，主要从事硬件、固件和系统软件的安全架构方面的工作，擅长领域为安全启动、可信计算和机密计算等。目前，参与分布式管理任务组(DMTF)、可信计算组织(TCG)、统一可扩展固件接口组织(UEFI)以及RISC-V联盟等业界技术组织的工作，主导相关规范的制定与推广，曾获TCG主要贡献奖和DMTF明星奖。同时，在EDKII、SPDM、CoCo、CCC等开源社区主导开发和维护OMVF、libspdm、td-shim和spdm-rs等安全相关软件项目。拥有专利50余篇。

目　录<br /><br />推荐序一<br />推荐序二<br />推荐序三<br />前　言<br />第一部分　机密计算基础<br />第1章　隐私计算概述2<br />1.1　隐私计算的目标2<br />1.2　隐私计算技术3<br />1.2.1　同态加密3<br />1.2.2　安全多方计算5<br />1.2.3　零知识证明9<br />1.2.4　差分隐私11<br />1.3　隐私计算的应用12<br />第2章　机密计算概述15<br />2.1　机密计算的概念15<br />2.2　机密计算中硬件TEE方案的分类19<br />2.3　机密计算的软件实现21<br />2.4　机密计算的应用22<br />第二部分　机密计算中的TEE<br />第3章　机密计算模型24<br />3.1　机密计算安全模型24<br />3.1.1　机密计算的通用架构模型25<br />3.1.2　关于TEE的权限问题27<br />3.1.3　关于TEE-TCB的范围问题29<br />3.1.4　关于RoT的问题32<br />3.2　机密计算的威胁模型33<br />3.2.1　需要考虑的威胁33<br />3.2.2　不需要考虑的威胁35<br />3.2.3　侧信道攻击与防范35<br />3.3　机密计算TEE实例的威胁模型35<br />3.3.1　Intel SGX的威胁模型35<br />3.3.2　Intel TDX的威胁模型38<br />3.3.3　AMD SEV的威胁模型42<br />3.3.4　ARM RME44<br />3.3.5　RISC-V CoVE47<br />第4章　TEE的生命周期51<br />4.1　TEE的内存布局51<br />4.2　TEE的启动和卸载53<br />4.3　机密计算TEE实例的生命周期58<br />4.3.1　Intel SGX的生命周期59<br />4.3.2　Intel TDX的生命周期61<br />4.3.3　AMD SEV的生命周期64<br />4.3.4　ARM RME的生命周期67<br />4.3.5　RISC-V CoVE的生命周期68<br />第5章　TEE的证明模型70<br />5.1　证明在生活中的运用70<br />5.2　证明过程的通用模型72<br />5.2.1　证据的生成和传递74<br />5.2.2　验证86<br />5.2.3　证明结果的传递92<br />5.3　其他议题93<br />5.3.1　运行时环境的非度量方案93<br />5.3.2　基于远程证明的安全通信协议95<br />5.4　机密计算TEE证明实例97<br />5.4.1　Intel SGX的TEE证明97<br />5.4.2　Intel TDX的TEE证明101<br />5.4.3　AMD SEV的TEE证明103<br />5.4.4　ARM RME的TEE证明106<br />5.4.5　RISC-V CoVE的TEE证明107<br />第6章　TEE的可选功能109<br />6.1　封装109<br />6.1.1　TPM密钥封装和DICE密钥封装111<br />6.1.2　TEE密钥封装112<br />6.2　嵌套114<br />6.2.1　Intel TDX的TD分区116<br />6.2.2　AMD SEV虚拟机特权等级117<br />6.3　vTPM117<br />6.3.1　基于TEE的vTPM118<br />6.3.2　基于TEE虚拟机嵌套的vTPM121<br />6.4　实时迁移122<br />6.4.1　实时迁移概述122<br />6.4.2　Intel TDX虚拟机迁移127<br />6.4.3　AMD SEV虚拟机迁移127<br />6.5　运行时更新128<br />第7章　机密计算的软件开发130<br />7.1　TEE软件的应用场景130<br />7.2　机密虚拟机中的软件133<br />7.2.1　虚拟机管理器133<br />7.2.2　虚拟固件133<br />7.2.3　客户机操作系统134<br />7.2.4　L1-VMM135<br />7.2.5　TSM136<br />7.3　安全飞地的软件支持137<br />7.3.1　库操作系统137<br />7.3.2　Enclave软件栈137<br />7.4　TEE远程证明相关软件140<br />7.4.1　vTPM140<br />7.4.2　证明和验证服务的软件143<br />7.4.3　策略引擎的相关软件146<br />7.5　TEE安全通信147<br />7.6　TEE数据安全148<br />7.6.1　密钥代理分发服务148<br />7.6.2　镜像管理代理148<br />第8章　TEE的攻击与防范150<br />8.1　攻击方法150<br />8.1.1　攻击软件150<br />8.1.2　攻击密码算法和协议150<br />8.1.3　侧信道与故障注入攻击156<br />8.1.4　简单物理攻击177<br />8.2　防护原则178<br />8.2.1　安全软件设计178<br />8.2.2　安全密码应用180<br />8.2.3　侧信道与故障注入保护183<br />8.2.4　简单物理攻击保护189<br />8.3　针对TEE特有的攻击和保护189<br />8.3.1　针对SGX的攻击和保护189<br />8.3.2　针对TDX的攻击和保护190<br />8.3.3　针对SEV的攻击和保护192<br />第三部分　机密计算中的TEE-IO<br />第9章　机密计算TEE-IO模型194<br />9.1　机密计算TEE-IO安全模型194<br />9.1.1　通用机密计算TEE-IO安全模型196<br />9.1.2　TEE-IO中的模块198<br />9.1.3　TEE-IO中的通信协议199<br />9.1.4　TEE-IO中的资源分类204<br />9.1.5　TEE-IO中的密钥208<br />9.2　机密计算TEE-IO威胁模型209<br />9.2.1　需考虑的威胁209<br />9.2.2　设备端的安全需求213<br />9.2.3　主机端的安全需求215<br />9.3　机密计算TEE-IO主机端实例216<br />9.3.1　Intel TDX Connect216<br />9.3.2　AMD SEV-TIO218<br />9.3.3　ARM RME-DA219<br />9.3.4　RISC-V CoVE-IO220<br />9.4　机密计算TEE-IO设备端实例221<br />第10章　TEE-IO的生命周期224<br />10.1　TEE-IO的生命周期概述224<br />10.1.1　系统和设备初始化224<br />10.1.2　SPDM安全会话建立225<br />10.1.3　IDE安全链路建立225<br />10.1.4　TDI锁定和分配227<br />10.1.5　TDI接受和运行227<br />10.1.6　IDE密钥更新229<br />10.1.7　SPDM密钥更新229<br />10.1.8　TDI移除230<br />10.1.9　IDE安全链路停止230<br />10.1.10　SPDM安全会话终止231<br />10.2　错误处理231<br />10.2.1　错误触发231<br />10.2.2　错误报告233<br />10.2.3　错误恢复233<br />10.3　机密计算TEE-IO设备端实例234<br />第11章　TEE-IO的证明模型237<br />11.1　TVM对设备的证明237<br />11.1.1　证据的生成和传递238<br />11.1.2　验证248<br />11.1.3　证明结果的传递252<br />11.2　第三方对绑定设备的TVM的证明255<br />11.2.1　证据的生成和传递255<br />11.2.2　第三方验证TVM257<br />11.3　设备与主机的双向证明257<br />11.4　机密计算TEE-IO设备端证明实例258<br />第12章　TEE-IO的特别功能263<br />12.1　TEE-IO设备的弹性恢复263<br />12.2　TEE-IO设备的运行时更新265<br />12.2.1　运行时更新策略265<br />12.2.2　更新策略的验证266<br />12.2.3　更新固件的证明266<br />12.3　PCIe设备间的对等传输270<br />12.4　CXL设备271<br />12.4.1　机密计算CXL HDM的安全模型272<br />12.4.2　机密计算CXL HDM的威胁模型278<br />第13章　TEE-IO机密计算软件的开发279<br />13.1　TEE-IO软件应用的场景279<br />13.2　机密虚拟机中支持TEE-IO的软件280<br />13.3　TEE-IO设备证明281<br />13.4　TEE-IO安全通信282<br />第14章　TEE-IO的攻击与防范283<br />14.1　攻击方法283<br />14.1.1　攻击TEE-IO主机端284<br />14.1.2　攻击TEE-IO设备的连接284<br />14.1.3　攻击TEE-IO设备端288<br />14.2　防护原则292<br />14.2.1　TEE-IO主机端防护292<br />14.2.2　TEE-IO设备的连接防护293<br />14.2.3　TEE-IO设备端防护294<br />