新書推薦:
《
我能把生活过得很好
》
售價:HK$
54.8
《
何以大明:历史的局内人与旁观者(一部充满人性温度与历史洞察的大明群像史诗;十八位人物,帝王、巨富、权宦、狂士、文人、英雄……他们是历史的书写者,也是历史的旁观者;明史学者章宪法最新力作。)
》
售價:HK$
97.9
《
新民说·管理者为何重要:无老板公司的险境
》
售價:HK$
96.8
《
宇宙(第二卷) 科学元典丛书
》
售價:HK$
107.8
《
了不起的创作者:保持创造力的10堂启发课
》
售價:HK$
64.9
《
爱得太多的父母:14组家庭,20年追踪的家庭教育调查实录
》
售價:HK$
65.8
《
人偶游戏(东野圭吾竟然写过这种惊悚悬疑之作)
》
售價:HK$
65.8
《
自然、权利与正义(重思古典自然法 探索人类生活的永恒根基)
》
售價:HK$
74.8
|
| 編輯推薦: |
|
本书特点 ·总结了各类主流TEE硬件的通用设计,通过总结共性,帮助读者理解TEE硬件的工作原理,方便用户通过一些抽象的共性来定义TEE的使用场景。 ·从安全模型、生命周期、证明模型、攻击方法和防范策略等方面介绍了TEE的设计原则和使用方法,帮助读者理解机密计算的安全属性和实现要点。 ·以业界常用的x86、ARM以及RISC-V架构提供的TEE为例,分析了硬件TEE的实现方法和其中的异同,帮助读者深刻理解不同实现的利弊,希望给未来的TEE软硬件设计者一些启示。
|
| 內容簡介: |
|
本书系统介绍了机密计算的概念,总结了各类主流TEE硬件通用设计,帮助读者理解TEE硬件的工作原理。本书围绕安全模型、生命周期、证明模型、攻击方法和防范策略,系统介绍了TEE的设计原则和使用方法,并以业界常用的x86、ARM以及RISC-V架构提供的TEE为例,分析了硬件TEE的实现方法,帮助读者理解不同实现的利弊。全书分为三个部分,首先介绍机密计算的基础知识,包括隐私计算的概述和机密计算的定义、分类等;第二部分介绍机密计算中的TEE,主要内容包括机密计算模型、TEE的生命周期、TEE的证明模型、TEE的可选功能、机密计算的软件开发、TEE的攻击与防范;第三部分介绍机密计算中的TEE-IO,主要内容包括TEE-IO模型、TEE-IO的生命周期、TEE-IO的证明模型、TEE-IO机密计算的软件开发、TEE-IO的攻击和防范。本书体系清晰,内容先进,适合从事机密计算相关研究和技术开发工作的人员阅读,也适合作为高校学生的拓展读物。
|
| 關於作者: |
|
姚颉文现任Intel公司首席工程师,主要从事硬件、固件和系统软件的安全架构方面的工作,擅长领域为安全启动、可信计算和机密计算等。目前,参与分布式管理任务组(DMTF)、可信计算组织(TCG)、统一可扩展固件接口组织(UEFI)以及RISC-V联盟等业界技术组织的工作,主导相关规范的制定与推广,曾获TCG主要贡献奖和DMTF明星奖。同时,在EDKII、SPDM、CoCo、CCC等开源社区主导开发和维护OMVF、libspdm、td-shim和spdm-rs等安全相关软件项目。拥有专利50余篇。
|
| 目錄:
|
|
目 录推荐序一推荐序二推荐序三前 言第一部分 机密计算基础第1章 隐私计算概述21.1 隐私计算的目标21.2 隐私计算技术31.2.1 同态加密31.2.2 安全多方计算51.2.3 零知识证明91.2.4 差分隐私111.3 隐私计算的应用12第2章 机密计算概述152.1 机密计算的概念152.2 机密计算中硬件TEE方案的分类192.3 机密计算的软件实现212.4 机密计算的应用22第二部分 机密计算中的TEE第3章 机密计算模型243.1 机密计算安全模型243.1.1 机密计算的通用架构模型253.1.2 关于TEE的权限问题273.1.3 关于TEE-TCB的范围问题293.1.4 关于RoT的问题323.2 机密计算的威胁模型333.2.1 需要考虑的威胁333.2.2 不需要考虑的威胁353.2.3 侧信道攻击与防范353.3 机密计算TEE实例的威胁模型353.3.1 Intel SGX的威胁模型353.3.2 Intel TDX的威胁模型383.3.3 AMD SEV的威胁模型423.3.4 ARM RME443.3.5 RISC-V CoVE47第4章 TEE的生命周期514.1 TEE的内存布局514.2 TEE的启动和卸载534.3 机密计算TEE实例的生命周期584.3.1 Intel SGX的生命周期594.3.2 Intel TDX的生命周期614.3.3 AMD SEV的生命周期644.3.4 ARM RME的生命周期674.3.5 RISC-V CoVE的生命周期68第5章 TEE的证明模型705.1 证明在生活中的运用705.2 证明过程的通用模型725.2.1 证据的生成和传递745.2.2 验证865.2.3 证明结果的传递925.3 其他议题935.3.1 运行时环境的非度量方案935.3.2 基于远程证明的安全通信协议955.4 机密计算TEE证明实例975.4.1 Intel SGX的TEE证明975.4.2 Intel TDX的TEE证明1015.4.3 AMD SEV的TEE证明1035.4.4 ARM RME的TEE证明1065.4.5 RISC-V CoVE的TEE证明107第6章 TEE的可选功能1096.1 封装1096.1.1 TPM密钥封装和DICE密钥封装1116.1.2 TEE密钥封装1126.2 嵌套1146.2.1 Intel TDX的TD分区1166.2.2 AMD SEV虚拟机特权等级1176.3 vTPM1176.3.1 基于TEE的vTPM1186.3.2 基于TEE虚拟机嵌套的vTPM1216.4 实时迁移1226.4.1 实时迁移概述1226.4.2 Intel TDX虚拟机迁移1276.4.3 AMD SEV虚拟机迁移1276.5 运行时更新128第7章 机密计算的软件开发1307.1 TEE软件的应用场景1307.2 机密虚拟机中的软件1337.2.1 虚拟机管理器1337.2.2 虚拟固件1337.2.3 客户机操作系统1347.2.4 L1-VMM1357.2.5 TSM1367.3 安全飞地的软件支持1377.3.1 库操作系统1377.3.2 Enclave软件栈1377.4 TEE远程证明相关软件1407.4.1 vTPM1407.4.2 证明和验证服务的软件1437.4.3 策略引擎的相关软件1467.5 TEE安全通信1477.6 TEE数据安全1487.6.1 密钥代理分发服务1487.6.2 镜像管理代理148第8章 TEE的攻击与防范1508.1 攻击方法1508.1.1 攻击软件1508.1.2 攻击密码算法和协议1508.1.3 侧信道与故障注入攻击1568.1.4 简单物理攻击1778.2 防护原则1788.2.1 安全软件设计1788.2.2 安全密码应用1808.2.3 侧信道与故障注入保护1838.2.4 简单物理攻击保护1898.3 针对TEE特有的攻击和保护1898.3.1 针对SGX的攻击和保护1898.3.2 针对TDX的攻击和保护1908.3.3 针对SEV的攻击和保护192第三部分 机密计算中的TEE-IO第9章 机密计算TEE-IO模型1949.1 机密计算TEE-IO安全模型1949.1.1 通用机密计算TEE-IO安全模型1969.1.2 TEE-IO中的模块1989.1.3 TEE-IO中的通信协议1999.1.4 TEE-IO中的资源分类2049.1.5 TEE-IO中的密钥2089.2 机密计算TEE-IO威胁模型2099.2.1 需考虑的威胁2099.2.2 设备端的安全需求2139.2.3 主机端的安全需求2159.3 机密计算TEE-IO主机端实例2169.3.1 Intel TDX Connect2169.3.2 AMD SEV-TIO2189.3.3 ARM RME-DA2199.3.4 RISC-V CoVE-IO2209.4 机密计算TEE-IO设备端实例221第10章 TEE-IO的生命周期22410.1 TEE-IO的生命周期概述22410.1.1 系统和设备初始化22410.1.2 SPDM安全会话建立22510.1.3 IDE安全链路建立22510.1.4 TDI锁定和分配22710.1.5 TDI接受和运行22710.1.6 IDE密钥更新22910.1.7 SPDM密钥更新22910.1.8 TDI移除23010.1.9 IDE安全链路停止23010.1.10 SPDM安全会话终止23110.2 错误处理23110.2.1 错误触发23110.2.2 错误报告23310.2.3 错误恢复23310.3 机密计算TEE-IO设备端实例234第11章 TEE-IO的证明模型23711.1 TVM对设备的证明23711.1.1 证据的生成和传递23811.1.2 验证24811.1.3 证明结果的传递25211.2 第三方对绑定设备的TVM的证明25511.2.1 证据的生成和传递25511.2.2 第三方验证TVM25711.3 设备与主机的双向证明25711.4 机密计算TEE-IO设备端证明实例258第12章 TEE-IO的特别功能26312.1 TEE-IO设备的弹性恢复26312.2 TEE-IO设备的运行时更新26512.2.1 运行时更新策略26512.2.2 更新策略的验证26612.2.3 更新固件的证明26612.3 PCIe设备间的对等传输27012.4 CXL设备27112.4.1 机密计算CXL HDM的安全模型27212.4.2 机密计算CXL HDM的威胁模型278第13章 TEE-IO机密计算软件的开发27913.1 TEE-IO软件应用的场景27913.2 机密虚拟机中支持TEE-IO的软件28013.3 TEE-IO设备证明28113.4 TEE-IO安全通信282第14章 TEE-IO的攻击与防范28314.1 攻击方法28314.1.1 攻击TEE-IO主机端28414.1.2 攻击TEE-IO设备的连接28414.1.3 攻击TEE-IO设备端28814.2 防护原则29214.2.1 TEE-IO主机端防护29214.2.2 TEE-IO设备的连接防护29314.2.3 TEE-IO设备端防护294
|
| 內容試閱:
|
|
前 言两个富翁希望能比一比谁的钱更多,但是他们又各有小心思,不想暴露自己财富的数额,该怎么办呢?这就是图灵奖得主姚期智院士在1982年提出的百万富翁难题。我们来看一个简化版本的方案。假设两个富翁的财富在1~10之间,那么可以按以下步骤处理。①富翁A找来10个一模一样的盒子,盒子外壳分别贴上标签1~10,然后在盒子里放入两种颜色的小球,白色小球代表财富值小于或等于A,灰色小球代表财富值大于A,之后锁上箱子交给富翁B。②富翁B打不开盒子,只能根据10个盒子外的标签选择和自己财富值对应的盒子,然后销毁其他9个盒子,再销毁唯一选定的盒子的标签,还给富翁A。③富翁A和富翁B一起打开选定的盒子,若是灰球,则富翁B的财富更多;若是白球,则富翁A的财富更多。由于富翁B不能打开盒子,因此富翁B不知道富翁A的财富值。由于富翁B销毁了其他盒子,并且撕去了选定盒子上的标签,因此富翁A不知道富翁B的财富。他们得到了比较结果,而且没有暴露自己的财富值。图0-1 展示了富翁A的财富为4,富翁B的财富为7的例子,灰球表示富翁B的财富更多。图0-1 百万富翁难题的简化版方案百万富翁难题只体现了隐私需求的一个方面。40多年之后,随着大数据和人工智能的应用,人们对隐私保护的需求也日益增加,隐私保护数据挖掘(Privacy Preserving Data Mining,PPDM)和隐私保护机器学习(Privacy Preserving Machine Learning,PPML)等概念渐渐被人熟知。我国的《数据安全法》、美国的《数据隐私和保护法》、欧盟的《通用数据保护条例》等都明确提出了数据隐私方面的要求。联合国大数据全球工作组的白皮书“隐私保护计算技术手册”中总结了五大技术方向:安全多方计算(Secure Multiparty Computation,MPC)、同态加密(Homomorphic Encryption,HE)、差分隐私(Differential Privacy,DP)、零知识证明(Zero Knowledge Proof,ZK Proof)和可信执行环境(Trusted Execution Environment,TEE)。其中只有TEE是关于计算机硬件体系结构的创新,而其他四项都是密码学相关的技术。作为隐私计算的一大分支,基于TEE的机密计算具有独特的性质。它提供了一个隔离的环境,直接保护数据的动态运行,只要数据在TEE内部,TEE外部的任何程序都无法感知数据的信息。相比于密码学方案,它具有通用性强、性能高等特点。2024年,冯登国院士发表了《网络空间安全科技应重点关注六个方面》,其中一个方面就是“零信任、机密计算、隐私计算与弹性安全等技术仍将蓬勃发展”。目前,Intel、AMD、ARM、RISC-V等各大CPU厂商或联盟都在布局TEE的机密计算,而且NVIDIA等GPU设备厂商也在支持并推出产品,微软、谷歌、蚂蚁集团、字节跳动等云服务提供商也开展了TEE机密计算相关的研发。在这一浪潮下,工程师需要深入了解TEE硬件的设计和工作原理,才能更好地使用TEE,选择合适的机密计算软件应用框架,保护隐私数据以及应用程序。本书的主要内容目前,很多公司都推出了自己的机密计算方案,这给用户带来了不小的挑战。本书总结了各类主流TEE硬件的通用设计,通过介绍它们的共性,帮助读者理解TEE硬件的工作原理,方便用户通过一些抽象的共性来定义TEE的使用场景。本书从安全模型、生命周期、证明模型、攻击方法和防范策略等方面介绍了TEE的设计原则和使用方法,帮助读者理解机密计算的安全属性和实现要点。同时,本书以业界常用的x86、ARM以及RISC-V架构提供的TEE为例,分析了硬件TEE的实现方法和其中的异同,帮助读者深刻理解不同实现所带来的利弊,希望给未来的TEE软硬件设计者一些启示。本书的目标读者本书的目标读者是对机密计算具有浓厚兴趣,希望了解深层次工作原理的程序员。初级程序员可以通过本书学习机密计算的原理,在使用各类机密计算软件时知其然更知其所以然;有经验的程序员可以通过本书了解机密计算不同实现的异同和利弊,在选择和设计机密计算方案时做到胸有成竹;研究人员可以通过本书了解机密计算的发展和现状,思考新的应用场景和未解决的难题,为机密计算和隐私计算的发展添砖加瓦。机密计算TEE是一个崭新的概念和架构,目前工业界也在起步阶段,希望读者可以通过本书理解TEE的软硬件设计理念,将来可以设计和实现自己的TEE硬件或者软件。本书的内容组织与架构本书分为三部分,第一部分包括第1章和第2章,旨在介绍隐私计算和机密计算的基础知识。第1章简单介绍隐私计算的目标和安全多方计算、同态加密、差分隐私以及零知识证明,并介绍包括联邦学习在内的隐私计算的应用。第2章根据机密计算联盟给出的定义,介绍机密计算的概念、硬件TEE方案的分类以及软件实现方法。第二部分包括第3~8章,旨在全面介绍TEE的各个方面。第3章介绍机密计算安全模型,帮助读者理解机密计算需要的安全属性,考虑抵御哪些威胁或不考虑哪些威胁。第4章介绍TEE的生命周期,包括TEE的内存布局、TEE的启动过程和卸载,并给出实例。因为证明是机密计算的基本安全需求,所以第5章介绍TEE的证明模型,包括TEE的可信启动过程、证据的生成和传递、证据的验证和证明结果的传递等,以及两个高级话题,并给出了TEE证明实例。第6章介绍TEE的可选功能,包括封装、嵌套、vTPM、实时迁移和运行时更新。第7章介绍机密计算的软件开发,包括机密虚拟机的各种模块、安全飞地的软件支持、TEE远程证明相关软件、TEE安全通信方法和TEE内保障数据安全的方法。第8章介绍TEE的攻击与防范,需要考虑的风险点有TEE的软件实现、TEE内部的密码应用、侧信道和故障注入,并设置简单物理攻击的保护,还介绍了针对TEE特有的攻击和保护。为了提高效率,计算过程中的工作负载(如AI负载)可能会被交给设备加速器运行。考虑到这类用例,TEE需要从主机端扩展到设备端。第三部分将介绍TEE-IO的各个方面,包括第9~14章。第9章介绍TEE-IO安全模型,以及TEE-IO威胁模型,包括设备端的安全需求和主机端的安全需求,并给出了实例。第10章介绍TEE-IO的生命周期,包括系统和设备初始化、与设备建立安全的管理通道、与设备建立安全数据通道、设备配置锁定、可信设备认证、安全会话的密钥更新、设备连接的终止和设备移除等,以及TEE-IO设备的错误处理,包括错误的触发、报告和恢复,并给出了相关实例。证明在TEE-IO中更加复杂,第11章介绍TEE-IO的证明模型,包括TVM对设备的证明和第三方对绑定设备的TVM的证明,会涉及证据的生成和传递、设备与主机的双向证明,并给出相关实例。第12章介绍TEE-IO的特别功能,包括TEE-IO设备的弹性恢复、设备的运行时更新、PCIe设备间的对等传输,以及CXL设备在机密计算中的使用。第13章介绍TEE-IO软件的开发,包括机密虚拟机对设备的支持、设备的证明,以及设备的安全通信。第14章介绍TEE-IO的攻击与防范,风险点包括TEE-IO的主机端、设备连接和设备端三方面。除了通用的软件安全、侧信道和故障注入之外,DMA和MMIO安全是需要重点考虑的。目前,业界已开始部署TEE机密计算部分,而TEE-IO是未来发展的方向。初级程序员可以优先关注本书的第一部分和第二部分,高级程序员或架构师则需要关注第三部分,以便为将来的机密计算研发工作做准备。机密计算涉及的技术极其广泛。横向来看,涉及威胁建模、可信计算、弹性安全、密码学、侧信道以及软硬件安全攻防等方面的技术和知识;纵向来看,涉及SOC硬件、设备总线、固件、虚拟机、操作系统和系统应用等软硬件协议栈。对于想全面了解机密计算的工程师来说,本书提供了一幅“地图”,可以帮助读者了解有哪些方面的知识需要学习。由于篇幅有限,本书不可能详细地描述所有方面,只能聚焦于与机密计算密切相关的部分。但是对于一个安全方案来说,面面俱到是必要的选择,不然就会有“千里之堤,溃于蚁穴”的风险。因此,坦率地说,仅仅通过本书学习是不够的。本书资源中附有延伸阅读的书籍和文献列表,想要深入掌握机密计算技术的读者可进一步进行研读,读者可以从出版社网站下载。另外,需要说明的是,由于机密计算领域发展迅速,很多术语或名词没有形成共识的译法。为避免引起理解错误,本书中的一些名词保留了英文名称或叫法。致谢作者从2003年开始参与EFI固件项目,从软件和硬件两方面接触计算机安全,并且在2017年开始参与Intel TDX机密计算的架构、设计与开发工作,见证了项目的启动、发展、成熟和落地应用。本书的完成得益于和其他优秀工程师的思想交流,与DMTF、PCI-SIG、RISC-V、TCG、UEFI等标准化组织的讨论,以及CCC、CoCo、EDK II、Linux、SPDM等开源社区的分享,在此特别感谢如下同行和老师(以公司和姓氏的英文字母排序):阿里集团的Jiang Liu、Shoumeng Yan、Jia Zhang,AMD公司的Abner Chang、Tom Lendacky、Michael Roth,Ampere公司的Vincent von Bokern、Dave Harriman、Chris Li,ARM公司的Samer El-Haj-Mahmoud,Dell公司的Amy Nelson,Google公司的Erdem Aktas,HPE公司的Jeff Hilland,Intel公司的Arie Aharon、Joseph Cihula、Eddie Dong、Mark Doran、Jiaqi Gao、Anas Hlayhel、Simon Johnson、Hormuzd Khosravi、Susie Li、Wei Liu、Ken Lu、Xiaoyu Lu、Krystian Matusiewicz、Dan Middleton、Alberto Munoz、Jun Nakajima、Ronald Perez、Makaram Raghunandan、Elena Reshetova、Xiaoyu Ruan、Vincent Scarlata、Ned Smith、Junli Sun、Dan Williams、Hao Wu、Haidong Xia、Min Xu、Longlong Yang、Andy Zhao、Peter Zhu、Vincent Zimmer,Microsoft公司的Jon Lange,NVIDIA公司的Steven Bellock、Joe Pennisi、Tim Prinz,RedHat公司的Paolo Bonzini、Laszlo Ersek、Gerd Hoffmann、David Gilbert,Rivos公司的Samuel Ortiz、Ravi Sahita、Vedvyas Shanbhogue等,字节跳动的Wenhui Zhang。最后,感谢华东师范大学的黄波教授牵线促成了本书,感谢机械工业出版社的各位编辑为本书出版所做的工作。机密计算技术的发展日新月异,在本书问世的同时,新的需求和用例可能会不断出现,作者提出的观点也可能会落后或有不妥,敬请各位专家和读者批评、指正。
|
|
購物車/收銀台(0) | 在線留言板
| 付款方式
| 運費計算
| 聯絡我們
| 幫助中心 |
加入書簽
HOME
新書上架
