TEE介绍 零信任网络架构 区块链概念 零知识证明 高级加密 白盒密钥

一、TEE介绍

TEE(Trusted Execution Environment)可信执行环境，该环境可以保证不被常规操作系统的操作干扰，因此称为"可信"。概括来讲TEE是一个与Rich OS并行运行的独立执行环境，为Rich OS环境提供安全服务。TEE独立于Rich OS和其上的应用，来访问硬件和软件安全资源。

GlobalPlatform(全球最主要的智能卡多应用管理规范组织，简称为GP)从2011年起开始起草制定相关的TEE规范标准，并联合一些公司共同开发基于GP TEE标准的可信操作系统。因此，如今大多数基于TEE技术的Trust OS都遵循了GP的标准规范。

TEE是运行在设备中，提供介于Rich OS和SE(智能卡)之间的安全性框架。当前很多安全架构还是基于Rich OS + SE的方式，这在方便程度和成本上都不能提供"刚刚好"的契合。因为某些小额支付，DRM，企业VPN等，所需要的安全保护强度并不高，还不需要一个单独的SE来保护，但是又不能直接放在Rich OS中，因为后者的开放性使其很容易被攻击。所以对于这类应用，TEE提供了合适的保护强度，并且平衡了成本和易开发性。

二、零信任网络架构

零信任是一个安全概念，中心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。零信任打破旧式边界防护思维，旧有思维专注防御边界，假定边界内的任何事物都不会造成威胁，因而边界内部事物基本畅通无阻，全都拥有访问权限。安全专家和技术专家并不认同边界防御的效果，因为最严重的几起数据泄露事件都是因为黑客进入公司防火墙之后基本没遇到什么阻碍就能在内部系统中来去自如。

谷歌BeyondCorp(零信任架构)主要包括三大指导原则：
无边界设计，从特定网络连接，与你能获得的服务没有关系。
上下文感知，根据对用户与设备的了解，来授予所获得的服务。
动态访问控制，所有对服务的访问必须经过认证、授权和加密。

三、区块链概念

比特币的存储靠的是账本，全球人手一份，即所谓的分布式账本。账本说白了就是区块链，每一个比特币从产生到流通的过程产生的每一笔交易，都记录在上面，形成一个长长的链条。账本的每一页等于一个区块block，整个账本就是一个首尾相连的chain。

四、零知识证明

零知识，即在证明的过程中不透露任何内情。就是既证明了自己想证明的事情，同时透露给验证者的信息为零。

五、高级加密

1、同态加密对明文进行加法或乘法运算再加密，与加密后对密文进行相应运算的结果等价，通常是非对称加密算法；

2、ORE，Order Revealing Encryption，揭序加密，加密后的密文保持原来的排序特性，用于范围查询非常有效；

半同态加密：

1、Paillier算法，支持加法同态，类似RSA算法；

2、EC-Elgamal算法，支持加法同态，基于ECC算法；

全同态加密：

1、BGV算法，支持加法和乘法，开源实现HElib；
2、CKKS算法，支持加法和乘法，支持浮点数近似计算，开源实现HElib；

六、白盒密钥

1、白盒密钥极端情况就是将加密构造成一个巨大的查找表，输入是一段明文，输出是一段密文；

2、白盒密钥本质是对密钥进行衍生计算，拿走白盒代码和白盒密钥，跟拿走密钥效果是一样的；