开源机密计算平台:蓬莱-OpenHarmony

这篇具有很好参考价值的文章主要介绍了开源机密计算平台:蓬莱-OpenHarmony。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

演讲嘉宾 | 杜   东

回顾整理 | 廖   涛

排版校对 | 李萍萍

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

嘉宾简介

杜东,上海交通大学助理研究员。中国计算机学会CCF会员,ACM会员。研究兴趣为操作系统与体系结构、服务器无感知(Serverless)计算、系统安全。在包括ASPLOS、ISCA、OSDI、SOSP、ACM SoCC、TOCS等国际著名会议和期刊发表/录用多篇学术论文。

内容来源

第一届开放原子开源基金会OpenHarmony技术峰会——安全及机密计算分论坛

视频回顾

视频链接:

峰会回顾第13期 | 开源机密计算平台:蓬莱-OpenHarmony(杜东)_哔哩哔哩_bilibili

正 文 内 容

OpenHarmony赋能万物互联,存在覆盖从端到云的安全能力需求。蓬莱-OpenHarmony是一个开源机密计算平台,提供了面向OpenHarmony的可信执行环境,赋能OpenHarmony安全能力。那么,蓬莱-OpenHarmony主要做了哪些安全增强方面的工作,有哪些关键技术呢?上海交通大学助理研究员、中国计算机学会CCF会员、ACM会员杜东在第一届OpenHarmony技术峰会上给大家带来了几点分享。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

01万物互联计算的安全挑战

当进入到万物互联的新场景后,存在哪些安全风险和挑战,又有哪些解决方案呢?

依靠软件本身提供系统安全能力是一种方案。但是,依赖形式化验证、类型安全语言等技术目前来加强系统安全,目前看来是较为困难的。在万物互联的场景中,开发者的背景和能力多样性倍增,各自所依靠开发软件本身处理安全风险的能力不尽相同。就算能够实现,也可能需要更多的辅助工具来配合开发者完成。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

通过软硬件配合,依赖于硬件提供的安全特性来加固系统,为其提供可信执行环境(TEE)是另一种可行的系统安全加固方案。可信执行环境能够有效增强边缘设备的安全能力,例如内存隔离、I/O隔离等。依赖该方案进行安全加固的代表系统有Intel SGX、ARM TrustZone和RISC-V蓬莱或Keystone等。目前,已经发布了多个安全特性扩展和完善的可执行环境方案,为什么还要定制化设计一个蓬莱-OpenHarmony呢?因为OpenHarmony所面临的万物互联场景是有不一样的挑战和风险,主要有以下3个方面:

第一,万物互联会导致需要面临复杂的硬件环境。在异构的硬件环境下,通过一套系统把OpenHarmony的安全特性和需求支撑起来,是非常复杂的一件事。例如,端侧可能存在非常小型的低配设备,没有页表和内存隔离,但是TEE很难跑在这种配置下;又例如,在较高配的手机场景,怎么能够让小型的、没有很多基础安全能力的环境和有安全能力的环境进行协同,也是一个较大的挑战。

第二,软件栈存在差异。面向云场景,软件主要基于Linux内核和虚拟机监控器等,必要时可引入如安全OS等组件;而面向边缘及IoT,软件栈较为简单,可能基于RTOS(如OpenHarmony小型内核)等构建整个软件栈。因此,如何使得二者进行协同,是软件异构所带来的问题。

第三,操作系统国产化问题。例如OpenHarmony目前在系统安全方面已经有所成果,如何保证它的安全能力自主可控呢?这也是需要思考的一个风险和挑战。

蓬莱-OpenHarmony能够有效解决上述问题,下图是蓬莱-OpenHarmony的logo。讨论一个有趣的话题:为什么新的系统命名为蓬莱?蓬莱是中国古代神话里面的一座仙岛,其被一片黑色的冥河所包围。我们希望提供一个可信执行环境,它是和外界隔离的,里面的东西不能出来,外面的东西也不能进去。一方面能够保证内部机密数据的安全,另一方面也能够避免内部不安全因素因其特殊的地位而对外部造成损害。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

02蓬莱-OpenHarmony

在蓬莱-OpenHarmony的项目中,开发了蓬莱可信执行环境并提供了通用的解决方案。目前主要做的四项工作有:(1)提出面向OpenHarmony的通用TEE架构和接口,明确架构和接口的定义,保证后续所有的TEE都能够满足某一个抽象或某一个核心接口而被纳入OpenHarmony体系中;(2)基于 RISC-V v1.10的指令集,开发了蓬莱安全硬件扩展;(3)开发固件层(M-mode) Monitor和TEE SDK的软件层;(4)提供含MMU平台和无MMU平台的两套系统支持。

2.1►►RISC-V生态

在RISC-V生态中,开发者可以自身需求定制化设计硬件而无需担心版权风险,如果硬件的特性足够好,还可以将其合入到RISC-V的官方指令集中。截至2022年,RISC-V处理器出货量达到100亿,Semico Research预测到2025年,RISC-V处理器出货量将达到800亿,构建了强大的影响力和生态。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

RISC-V设备的急剧增加,逐步形成了万物互联的端边场景,RISC-V的CEO Calista Redmond预测,到2030年将有500亿联网和物联网设备需要安全和定制处理器加持,需要有足够多的安全特性以保证身边的设备能够满足计算和处理器的需求。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

2.2►►面向OpenHarmony的通用TEE架构和接口

面向OpenHarmony的通用TEE架构和接口当前还处于草案的状态。如下图所示,架构本身和RISC-V无关,并未涉及到具体的架构和特性。我们认为,未来OpenHarmony的通用TEE架构和接口可能包含4层:最底层是所需要的硬件特性,其上层为安全固件;可信执行环境操作系统在安全固件的上层;最上层即用户应用层。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

2.3►►蓬莱-OpenHarmony:RISC-V指令集下的TEE系统架构

蓬莱-OpenHarmony的整体架构如下图所示。蓬莱-OpenHarmony基于上述定义的OpenHarmony TEE参考架构;在硬件上进行了创新,面向万物互联异构的场景,提出了细粒度的轻量隔离,其安全特性是可配置和可选的;在软件上也进行了创新,面向多元隔离的需求,支持安全OS和轻量安全应用;此外,蓬莱-OpenHarmony也支持OpenHarmony标准、小型、轻量等配置。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

2.4►►硬件异构应对案例

在硬件异构的场景中,如何实现内存隔离呢?RISC-V将整个软硬件分为硬件层、机器态、特权态以及用户态共4层。其中,硬件层RISC-V支持不同的特性及扩展;机器态即固件层,拥有比特权态更高的权限,通常负责加载操作系统或者实现安全特性;特权态运行操作系统内核,支持MMU和no-MMU平台;用户态则运行各类应用程序。可信执行环境的基础能力,要求内核和应用之间要内存隔离,云边场景可以通过内存管理模块 (MMU)/页表实现,但IoT和边缘RISC-V设备可能没有MMU,内核和应用之间缺乏隔离性。

怎么解决呢?如下图所示为一个临时解决方案,即将内核运行在机器态,机器态中有一套硬件机制PMP,可以通过PMP控制来隔离内核和用户态。例如,Linux在没有 MMU的时候,通过RISC-V机器态的PMP隔离机制实现粗粒度隔离。但随之而来出现一个问题,机器态固件和操作系统之间会存在机器态争抢,其问题根本是边缘设备硬件情况不同所导致,对于小型硬件经常存在这样的问题和风险。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

在蓬莱-OpenHarmony中,提出了新的RISC-V硬件扩展:sPMP。sPMP是轻量级的内存隔离机制,存在硬件资源开销低、访存性能好的优势。有sPMP和没有sPMP的区别在什么地方呢?当没有sPMP时,机器态是有内存隔离的,但是用户态和OS态之间没有任何隔离,很难在上面运行多个APP;有sPMP后,操作系统依赖sPMP寄存器就可以实现隔离,补齐了机制缺陷。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

2.5►►软件异构应对方案

在软件异构场景中,隔离域依赖于安全硬件的物理内存隔离机制,如RISC-V段隔离机制。其问题是隔离域与硬件强相关,比如PMP,最终的总体隔离数量与PMP个数是呈正相关。段隔离机制本身是有限的 (不超过16个),4组PMP寄存器现在最多只能划分出4个域,如图所示。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

那么可信执行环境如何提供可扩展的隔离域呢?在云场景中,可以利用软件隔离出更多隔离域,但在边端由于内存资源不足并不适用。针对此问题,蓬莱-OpenHarmony提供了滑动窗口的隔离域设计,使一组PMP (逻辑上) 保护多个隔离域,在上下文切换时滑动实际的保护范围。如图所示,当隔离域-1被执行时,PMP-2能够将隔离域收缩至隔离域-1的范围;反之,当隔离域-2被执行时,PMP-2也能够将隔离域收缩至隔离域-2的范围。如此一来,能够保证每一个隔离域执行时,其内存保护的范围是准确的。

开源机密计算平台:蓬莱-OpenHarmony,开源,OpenHarmony

03总结

总的来说,蓬莱-OpenHarmony项目为OpenHarmony在RISC-V架构下提供了安全基石,支持OpenHarmony面向万物互联的多场景安全需求。欢迎大家持续关注蓬莱-OpenHarmony项目,我们也期待更多的开发者能够加入其中,共同赋能OpenHarmony的安全底座。文章来源地址https://www.toymoban.com/news/detail-699287.html

到了这里,关于开源机密计算平台:蓬莱-OpenHarmony的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 云计算-平台架构-开源-OpenStack

    【个人小结】 OpenStack是开源项目,是云平台架构,是云操作系统组件,(一句话:OpenStack是由很多组件形成的开源项目云平台架构。) OpenStack组件按模块分类,核心模块是计算Nova、镜像Glance、存储Cinder、网络Neutron;辅助模块是访问Horizen、监控Ceilometer、权限KeyStone、对象存

    2024年01月16日
    浏览(47)
  • 【机密计算-大厂有话说】微软 Azure

            机密计算是由机密计算联盟 (CCC) 定义的一个行业术语,CCC 是专注于定义并加速机密计算落地的一个基金会。 CCC 给机密计算的定义是:通过在基于硬件的可信执行环境 (TEE) 中执行计算来保护使用中的数据。         TEE 是一个只能执行授权代码并对其进行保护的环

    2024年02月15日
    浏览(43)
  • 【机密计算标准解读】 基于TEE的安全计算(IEEE 2952)

            随着全球数据日益呈几何级数增长,数据共享和数据机密性要求的矛盾变得越来越严重。在数据挖掘和增值数据推导过程中对保护数据安全至关重要。基于可信执行环境的安全计算有助于防止在执行计算任务时泄露和滥用数据。         对安全计算的需求来自许多方

    2024年02月14日
    浏览(41)
  • ARM CCA机密计算架构详解(下)

    目录 五、Arm CCA软件架构 软件堆栈概述 领域管理监视器 领域管理接口

    2024年03月14日
    浏览(51)
  • ARM CCA机密计算架构详解(上)

    目录 一、概述 开始之前 二、什么是机密计算? Arm CCA要求 三、Arm CCA扩展 Realms

    2024年01月21日
    浏览(41)
  • ARM CCA机密计算架构软件栈简介

    本博客描述了Arm机密计算架构(Arm CCA)的固件和软件组件。 在这篇博客中,您将学到如何: 列出组成Arm CCA软件栈的组件集 了解Arm CCA引入新软件组件的原因 了解监视器和领域管理监视器(RMM)的角色 了解如何创建和管理领域 我们假设您熟悉AArch64异常模型、AArch64内存管理

    2024年02月03日
    浏览(54)
  • ARM CCA机密计算架构软件栈(下)

    本节描述软件组件中引入的软件组件如何在Realm的创建和执行期间进行交互。 领域资源管理的基本原则是主机保持控制。这意味着主机决定使用哪个物理内存来支持给定的领域中间物理地址(IPA),或者存储RMM使用的Realm元数据的给定片段。 主机始终可以重新获取此物理内存

    2024年02月02日
    浏览(41)
  • 机密计算能否阻止下一次加密抢劫?

    ©网络研究院 近几个月来,数十亿美元的加密货币被盗是可以避免的,而机密计算是安全修复的关键。 机密计算旨在隔离敏感数据,而不会将其暴露给系统的其余部分,因为它更容易受到入侵者的攻击。它通过使用基于硬件的安全飞地处理内存中的加密数据来实现这一点。

    2024年02月11日
    浏览(29)
  • ARM CCA机密计算架构软件栈(上)

    该博客描述了Arm机密计算架构(Arm CCA)的固件和软件组件。 在这个博客中,将学到如何: 列出组成Arm CCA软件栈的组件集 了解Arm CCA引入新软件组件的原因 了解Monitor和领域管理监视器(RMM)的角色 了解如何创建和管理领域 假设熟悉AArch64异常模型、AArch64内存管理、AArch64虚拟

    2024年01月20日
    浏览(42)
  • 机密计算如何引领AI开发的安全未来

    机密计算如何引领AI开发的安全未来 PrimiHub一款由密码学专家团队打造的开源隐私计算平台,专注于分享数据安全、密码学、联邦学习、同态加密等隐私计算领域的技术和内容。 先进的AI模型比如机器学习和生成式AI为加速医疗研究、促进业务增长和协助打击犯罪等领域带来了

    2024年02月05日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包