鲲鹏iTrustee介绍

鲲鹏BoostKit机密计算TrustZone套件是基于ARM TrustZone技术的一个机密计算软件套件,包含华为自研TEE(Trusted Execution Environment,可信执行环境)安全操作系统iTrustee,鲲鹏服务器iBMC和BIOS等,结合开源的操作系统驱动以及SDK,旨在帮助伙伴更便捷地为行业客户构建机密计算解决方案,从而为用户的关键数据提供完整性、机密性保护和可信使用。

普通鲲鹏服务器默认不带有机密计算TrustZone完整套件,需要在购买鲲鹏服务器时明确带有TEE功能,支持TEE功能的服务器会在出厂阶段完成TrustZone套件预置安装。

iTrustee基于TrustZone技术实现了整套安全解决方案,包含正常模式的客户端应用(Client Application,CA)、安全模式的可信应用(Trusted Application,TA)、安全模式下的可信操作系统。

软件架构

图1-1 鲲鹏BoostKit机密计算TrustZone套件架构
鲲鹏iTrustee介绍
  • iTrustee SDK:

    提供机密计算REE(Rich Execution Environment,富执行环境)侧和TEE的接口、TA /CA加密和签名工具、参考代码和接口说明等,方便用户快速构建应用。

  • REE Patch:

    操作系统的驱动,包括内核模块以及用户接口库。

  • TEE OS:

    华为自研安全操作系统,为可信应用提供加解密、安全存储等服务,并确保TA的完整性和机密性。

  • BIOS:

    完成对TEE OS的解密以及验证,确保TEE OS的机密性以及完整性。

  • iBMC:

    支持对TEE OS的升级维护。

特性价值

基于开放架构构建的软硬件结合解决方案,针对数据中心场景适配和优化,由华为以套件方式提供并演进。

  • 安全可靠 :

    基于华为自研的微内核实现,安全OS已在手机侧商用近10年,用户数已过亿。

  • 第三方认证:

    安全性获得CC EAL4+认证;兼容性获得GlobalPlatform认证。

  • 规格灵活:

    TEE侧安全内存支持按需配置,最大可配128GB,可支持大数据、AI等大型应用运行。

实现原理

图1-2 ARM TrustZone实现原理
鲲鹏iTrustee介绍

主要原理通过硬件安全扩展提供额外的安全执行环境:

  • 通过CPU的分时复用机制,扩展出一个安全执行环境。
  • 基于硬件扩展,为安全世界提供隔离的硬件资源。
  • 标记两个世界的资源以及访问来源,由硬件过滤器控制资源访问权限。
  • 通过Monitor实现对CPU的运行模式切换。

两个世界分别部署、运行各自的系统。

应用场景

  • 金融大数据

    金融大数据数据挖掘,保证数据处理过程中的机密性。

  • 一体化大数据中心

    一体化大数据中心数据可信交易。

  • 行业隐私计算

    行业隐私计算认证,计算过程中避免泄漏个人隐私信息。

本文来源于华为官网鲲鹏计算相关介绍文档,https://support.huawei.com/enterprise/zh/kunpeng-computing/kunpeng-boostkit-pid-253662285

 

相关新闻

联系我们

联系我们

18055100335

在线咨询:点击这里给我发消息

邮件:support@anyong.net

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信
关注微信
分享本页
返回顶部