<p><span>Arm今日发表全新Arm</span><span>®</span><span>v9架构的安全性功能Arm 机密计算架构(Arm Confidential Compute Architecture, Arm CCA)的初步技术规格。Arm年初推出的Armv9</span><span>架构</span><span>将是未来3,000亿颗基于Arm架构芯片的技术先驱,而Arm CCA将成为改变行业在应用程序中构建计算环境信任模型的</span><span>处理</span><span>方式。除了揭示第一批技术规格,通过赋能所有开发者使用机密计算的好处,Arm也分享释放数据的力量与潜</span><span>力</span><span>的愿景。</span></p>
<p><strong>机密计算:</strong><strong>下一个</strong><strong>安全处理的时代</strong></p>
<p><span>当今,</span><span>各种</span><span>应用程序与虚拟机对于监管软件(内核或虚拟机管理器)赋予相当大的信任</span><span>,</span><span>监管软件可以访问应用程序为其代码和数据所使用的资源</span><span>,而</span><span>利用监管软件的漏洞</span><span>则</span><span>可能造成存放在应用内的机密数据或算法</span><span>产生</span><span>泄露。</span></p>
<p><span>通过移除监管软件访问应用程序使用资源的权限,同时保有管理的权限,机密计算将彻底改变应用程序与监管软件之间的传统信任关系。移除访问权限至关重要,因为目前的设备处理了数量庞大的机密数据。云系统可能运行来自许多不同用户的</span><span>负载</span><span>,而移动设备存储了从医疗数据到公司的电子邮件,包含各种个人与商业的信息。在所有的计算环境下,机密计算都能降低需要信任看不到的技术的需求。</span></p>
<p><strong>Arm CCA:随时随地保护数据与代码 </strong></p>
<p><span>Arm作为横跨传感器、智能手机到超级计算机等应用的首选计算架构,其独特的定位可为行业实现稳固的安全基础,同时确保开发者以最简便、快速的方式,实</span><span>施</span><span>Arm的安全技术。</span></p>
<p><span>Arm CCA 扩展了工作负载隔离,使服务提供商能够从</span><span>“</span><strong>不会</strong><span>访问客户数据</span><span>”</span><span>转变为</span><span>“</span><strong>无法</strong><span>访问客户数据</span><span>”</span><span>,从而减少必须信任的软件数量、黑客的攻击面,以及客户数据或算法泄露的可能性。Arm CCA导入了全新类型的机密计算环境</span><span>——</span><span>机密领域(Realm),可以保护即便是正在使用中的数据与代码。</span></p>
<p><span>Arm专注于四个关键的领域:</span></p>
<ul>
<li><span>机密领域管理扩充 (Realm Management Extension, RME):定义机密领域的硬件架构</span></li>
<li><span>动态TrustZone®技术:由RME促成的TrustZone</span><span>扩展功能</span><span>,可以移除TrustZone对专用内存的需求,并让TrustZone可被应用于占据大</span><span>容</span><span>量动态内存的应用程序</span></li>
<li><span>一套软件与固件架构:与操作系统厂商及行业合作,通过定义一套机密领域管理监控器(RMM)及其扩展</span><span>功能</span><span>,推进与RME固件交互的标准接口,为机密领域提供架构</span></li>
<li><span>与trustedfirmware.org等开源项目合作,提供Arm CCA固件的标准实</span><span>现</span><span>,并为机密计算创建新项目,如Project Veraison将为构建</span><span>鉴证核查</span><span>服务提供开源软件</span></li>
</ul>
<p><span>机密领域的代码或数据位于分配给该机密领域的内存中,任何从创建</span><span>该</span><span>机密领域的监管软件(内核或虚拟机管理器)、或 TrustZone代码、其他不被该机密领域所信任的其他领域或设备,试图访问该内存的行为都将被阻止并</span><span>导致错误</span><span>异常。为此,Arm为此架构新增一个数据结构</span><span>——</span><span>Granule Protection Table。这个结构会追踪页面是用于机密领域、TrustZone</span><span>、</span><span>或目前正在运行现有应用程序、内核或虚拟机管理器的常规环境。硬件在每次进行访问时都会检查这个表格,并封锁所有的非法访问。虚拟机管理器或内核可以间接更新这个表格,让页面能在常规环境与机密领域之间迁移使用,甚至也能在常规环境与TrustZone之间迁移使用。这种可以在不同的安全环境下动态</span><span>迁移</span><span>内存资源的能力,是这项架构的重大改变。</span></p>
<p><span>更多有关机密领域的细节,及其运作方式,请访问</span><a href="https://community.arm.com/developer/ip-products/processors/b/processors…;。</span></p>
<p><strong>赋能所有开发者访问一流的安全功能</strong></p>
<p><span>Arm CCA关键目标之一就是为每一位开发者提供机密计算的能力,不论他们正在开发何种应用程序。随着硬件规格的就绪,Arm将持续与其广大的软件生态系</span><span>统</span><span>密切合作,这对Arm CCA的下一步发展相当重要。</span></p>
<p><span>在6月23日Linaro和Arm合办的 CCA 技术研讨会中,Arm也推出可用的硬件与软件架构及相关资源,以促成开源软件的开发与</span><span>上传社区</span><span>,其中包括编译器的支持、开源的Trusted Firmware A(TF-A)监控器代码,以及Project Veraison。未来,Arm也将提供RMM的参考实作,并与工具链及操作系统厂商密切合作,确保广大的应用开发者都</span><span>能</span><span>访问机密领域。</span></p>
<p><strong>放眼未来:广泛适用于所有工作负载</strong></p>
<p><span>在任何有计算需求的地方,</span><span>Arm CCA 将提供所需的下一层安全。在数据中心,云服务商可以利用</span><span><span> </span></span><span>Arm CCA</span><span>在</span><span>数据路径</span><span>中移除更多的基础设施</span><span>,以降低数据泄露的风险,而云服务用户则可以把更加敏感的工作负载从本地系统迁移到云。</span></p>
<p><span>此外,如同其他的云计算转向边缘一般,机密计算也将如此。随着移动设备与可穿戴设备</span><span>贯穿</span><span>人</span><span>们的</span><span>生活与工作,这些设备的数据保护能力也备受重视。例如,为了推进健康服务与科学,就需要安全地以匿名方式</span><span>收集</span><span>数据。智能城市与自动驾驶汽车需要更高层级的互信,而企业也必须确认这些数据放在个人设备中是安全无虞的。</span></p>
<p><span>Arm高级副总裁、首席架构师兼技术院士Richard Grisenthwaite表示,</span><span>“</span><span>我们预测在不久的将来,无论是在终端、数据网络还是云端,全球</span><span>所有</span><span>的共享数据</span><span>都</span><span>将会通过Arm技术进行处理。</span><span>A</span><span>rm</span><span>技术的应用普遍性让</span><span>我们责无旁贷</span><span>地</span><span>必须</span><span>交付</span><span>更高的安全性,并在目前已用在全球数十亿个</span><span>设备</span><span>中的Arm TrustZone隔离技术的坚实基础上继续发展。Arm CCA的愿景是</span><span>在有</span><span>计算</span><span>处理的任何地方保护好</span><span>所有</span><span>的</span><span>数据与代码,同时</span><span>赋能</span><span>开发</span><span>者实施</span><span>强大的隐私管控功能。今天是Arm朝向此愿景向前迈出的令人兴奋的第一步。</span><span>”</span></p>
<p><span>更多有关Arm CCA信息,请</span><span>访问</span><a href="https://www.arm.com/why-arm/architecture/security-features/arm-confiden…;。</span></p>
<p><strong>合作伙伴证言:</strong></p>
<p><span>“为了真正释放数据的潜力和力量,我们需要不断地推进安全性的发展,才能保护这些不仅是在闲置和传输中、甚至正在使用中的数据和代码的安全。面对这个前所未有的关键时刻,Arm<span> </span></span><span>CCA<span> </span></span><span>是将机密计算能力交付到更多的开发者的重要一步</span><span>,从而</span><span>通过行业的协作,在每一个应用程序上提供一流的安全性,并推动新的强大和开放的标准。”</span></p>
<p><span>Fortanix 客户解决方案总监</span><span>,</span><span>机密计算联盟管理委员会成员代表兼最终用户咨询委员会主席Richard Searle</span></p>
<p><span>“</span><span>Google Cloud 和我们的客户亲眼目睹了机密计算的采用如何提高安全性、隐私性、信任度,并促使最敏感的工作负载能够迁移到云。Arm</span><span><span> </span></span><span>CCA</span><span>将为</span><span>企业组织在</span><span>选择如何与在何处部署这种转型技术提供更多选项,以确保关键资产的安全。”</span></p>
<p><span>Google<span> </span></span><span>云</span><span>安全</span><span>事业部团队</span><span>产品经理Nelly Porter</span></p>
<p><span>“</span><span>Armv9机密计算功能是</span><span>由A</span><span>rm与微软密切合作</span><span>所开发</span><span>。我们</span><span>深信</span><span>,</span><span>将机密计算尽可能赋能给更多的开发者,对于实现下一个安全计算时代至关重要。 通过机密领域的使用,Arm</span><span><span> </span>CCA</span><span>有机会提高所有开发者的安全门槛,在保护计算和使用中的数据方面能为整个生态系统带来巨大的好处,从而让使用各种应用程序的所有人都能受机密计算的保护。”</span></p>
<p><span>微软杰出工程师Leendert van Doorn博士</span></p>
<p><span>“在自动化日益提高的世界,数据隐私和机密性是必不可少的,Arm CCA 为集成安全功能添加一个补充安全层,这项功能一直是我们面向物联网、工业和汽车市场的处理器产品组合的基础。基于智能边缘设备所生成、处理和发送的数据必须受到保护,这让我们朝着所需的安全完整性和机密性的目标向前迈出一步。”</span></p>
<p><span>恩智浦半导体执行副总裁兼边缘处理事业部总经理 Ron Martino</span></p>
<p><strong>关于Arm</strong></p>
<p><span>作为计算及数据革命的核心,Arm技术正改变着人们生活及企业运行的方式。Arm低功耗处理器设计和软件平台已应用于超过1,900亿颗芯片的高级计算,Arm的技术安全地为电子设备提供支持,覆盖从传感器到智能手机乃至超级计算的多样化应用。Arm携手超过1,000家技术合作伙伴,为从芯片到云端的AI增强型互联计算的所有领域提供设计、安全和管理方面的技术,并在该技术领域处于业界领先地位。</span></p>