一文了解什么是可信执行环境

什么是可信执行环境（TEE）

Web3 Cloud Service

数据是当今社会的重要资源，也是推动科技进步和经济发展的强大动力。然而，数据的流通和利用也面临着诸多的安全风险和挑战，如数据泄露、数据篡改、数据滥用等。隐私计算便是解决这个问题的技术之一，其包含多方安全计算、联邦学习、可信执行环境（TEE）三种主流技术路径，其中TEE是唯一可以兼并隐私安全和性能优势的技术。

TEE译为可信执行环境，全称为Trusted Execution Environment，是一种具有运算和储存功能，并且能提供安全性和完整性保护的独立处理环境。其基本原理是在硬件中为敏感数据单独分配一块隔离的内存，所有敏感数据的计算均在这块内存中进行，并且除了经过授权的接口外，硬件中的其他部分不能访问这块隔离内存中的信息。

如何保证TEE本身不被攻击或篡改

Web3 Cloud Service

TEE本身的安全性是基于硬件的隔离和验证机制，以及软件的规范和认证机制。具体来说，TEE有以下几种方式来保证自身不被攻击或篡改：

• 硬件隔离：TEE运行在与常规操作系统（Rich OS）分离的硬件环境中，拥有独立的内存空间和处理器模式，可以防止Rich OS或其他恶意软件访问或修改TEE中的数据和代码。TEE还可以利用硬件虚拟化技术，如Intel的SGX2，来创建一个安全的执行区域，并在其中实现敏感数据的加密、解密、计算等操作。

• 硬件验证：TEE在启动时会进行安全启动（Secure Boot）过程，通过验证TEE的可信根（Root of Trust），确保TEE的完整性和正确性。TEE还可以利用硬件支持的可信度量和可信证明机制，来向第三方证明TEE的身份和状态，以及TEE中运行的应用的合法性和可靠性。

• 软件规范：TEE遵循一些国际或国内的标准规范，如GlobalPlatform组织制定的TEE系统架构和接口规范，银联发布的TEEI规范等。这些规范对TEE的功能、性能、安全等方面提出了要求和指导，使得TEE能够满足不同应用场景的安全需求，并且提高了TEE的互操作性和兼容性。

• 软件认证：TEE本身以及在TEE中运行的应用都需要经过一定级别的认证，以保证它们没有安全漏洞或恶意代码。TEE还需要有一个可信管理机制，来控制应用的安装、更新、删除等操作，并且对其进行签名和加密，防止出现篡改或伪造的情况。

目前，TEE技术已经取得了一些进展和成果，当下全球头部的计算芯片公司都已经大规模商用了TEE架构方案，国内主流芯片厂商也在2019年前后开始参与TEE的实现和创新。但它仍然面临着一些挑战和问题，如硬件成本、兼容性、可扩展性、标准化等。

未来，TEE技术还需要持续地创新和完善，以适应不断变化的安全需求和应用场景。同时，TEE技术也需要与其他隐私计算技术进行有效的融合和协作，以实现更高效、更强大、更灵活的隐私计算能力。

此时快讯

【余伟文：香港稳定币监管框架最快拟于2024年初呈交立法会审议】金色财经报道，香港金融管理局总裁余伟文今日公布已完成稳定币监管框架进行第一次市场咨询，会根据所得意见再优化，并会非常快进行第二次市场咨询，预计明年年初呈交立法会审议。余伟文表示当香港有一个清晰的稳定币监管框架，市场自然会有稳定币出现，金管局职责主要确保市场发行稳定币时，接受高规格监管，令投资者得到适当保障。