一种基于可信锚点的机密计算环境构建方法

机密计算环境的构建与使用,是保障信息数据安全的重要技术手段。然而,现有的机密计算环境的形成,其信任锚点来自硬件处理器,机密计算环境的构成依赖于缺乏可证明安全的软件栈实现。近年来包括各大主流CPU厂商的硬件安全漏洞频现,各种针对现有机密环境构造弱点的攻击频发,都给依赖机密计算环境的各种安全应用和数据带来严重威胁。可信计算是一种将可信根作为信任锚点,以可信度量为手段,用信任链方式构造可信执行环境的安全方法和技术,将可信计算技术用于机密计算环境构建,可以有效解决上述安全问题。文章从可信的角度提出了一种构造自主可控的机密计算环境的新思路。可信锚点的服务是保障机密计算环境安全的前提,在可信锚点之上建立具有内存隔离等特性的机密计算环境。文章研究的完成,将有效解决现有机密计算场景的安全威胁,提升具有自主可控关键基础设计的能力。