在電子數(shù)據(jù)管理剛出現(xiàn)的時候，數(shù)據(jù)還是相對比較安全的。但如今，數(shù)據(jù)世界已經(jīng)發(fā)生了變化，現(xiàn)在的數(shù)據(jù)環(huán)境互聯(lián)且相互依賴，比以前復雜多了。以前從沒想過的安全漏洞現(xiàn)在層出不窮，所以軟硬件保護必須兩手都要抓。

現(xiàn)在越來越多的開發(fā)者選擇把作業(yè)放到超大規(guī)模數(shù)據(jù)中心的服務(wù)器上來運行。但部署大量服務(wù)器的超大規(guī)模數(shù)據(jù)中心也存在一定的風險，并不能完全保障數(shù)據(jù)的安全。首先數(shù)據(jù)中心上會有大量客戶的作業(yè)，他們各自使用不同的設(shè)備，數(shù)據(jù)中心會根據(jù)每位客戶的業(yè)務(wù)量來分配特定數(shù)量的內(nèi)存和處理器內(nèi)核，以供客戶完成所需的作業(yè)和任務(wù)。

其次，這些運作并不由開發(fā)者們本人直接控制，所以不能確定數(shù)據(jù)中心內(nèi)是否會有人使用示波器和邏輯分析儀來探測大家所用服務(wù)器的內(nèi)部信號，也無法得知是否有人窺探客戶的硬件和虛擬機。

因此，虛擬服務(wù)器內(nèi)部需要硬件加密，即利用安全加密密鑰交換來在虛擬機和硬件之間進行通信。這樣一來，任何第三方便都無法訪問加密設(shè)備了，即便是擁有、管理和日常運行數(shù)據(jù)中心的第三方也無法訪問。

TEE設(shè)備接口安全協(xié)議（TDISP）是一種用于保護I/O虛擬化的新框架和架構(gòu)，它通過工程變更通知（ECN）引入最新的PCI Express（PCIe）6.0規(guī)范當中。雖然PCIe 6.0規(guī)范引入了新的64GT/s信號傳輸速度，但TDISP可以在任何速度下使用。無論數(shù)據(jù)中心建在哪里，也不管誰可以訪問其中的服務(wù)器，該標準化接口框架都定義了如何保護虛擬主機和設(shè)備之間的互連。

網(wǎng)絡(luò)攻擊目標

從軟件拓展到硬件

網(wǎng)絡(luò)攻擊目標現(xiàn)在已經(jīng)不再局限于軟件，硬件現(xiàn)在也容易出現(xiàn)安全漏洞。要對此進行防范，關(guān)鍵在于：每臺設(shè)備都需要執(zhí)行功能并進行加密，以便與數(shù)據(jù)中心中的虛擬機交換密鑰。但這個過程其實相當復雜。

比如說，A公司是家CPU供應(yīng)商，而數(shù)據(jù)中心的虛擬機硬件已經(jīng)與該CPU兼容。這種情況下虛擬機已經(jīng)知道該CPU的硬件加密了，因此無需安全接口框架，但如果使用的是共享虛擬服務(wù)器，插接的設(shè)備可能來自A公司、B公司、C公司……在這種情況下就需要讓軟件了解每種設(shè)備，才能確保正確加密。

過去如果想要確保正確加密，就必須以專有的方式進行，而企業(yè)通常在這方面做得都不太好。那么問題來了，如何讓保護接口防范攻擊的能力實現(xiàn)標準化，而又不必為每種設(shè)備構(gòu)建獨特的接口呢？

借助TDISP實現(xiàn)

安全的密鑰交換

TDISP的主要作用是密鑰管理。它就像一個控制面板，能夠打開和關(guān)閉加密，這樣就可以在接下來1小時、10分鐘或任何其他時間段刷新密鑰。TDISP框架使得該過程實現(xiàn)標準化，并能夠管理整個密鑰交換，開發(fā)者無需為每種不同的設(shè)備構(gòu)建獨特的接口。

在硬件方面，當連接完成并安全建立鏈路后，如果發(fā)現(xiàn)存在TDISP之外的寄存器操作，開發(fā)者便可以確定連接已經(jīng)不再安全了。通過TDISP，開發(fā)者可以檢測企圖攔截通信的行為，從而向軟件發(fā)送信號，讓它知道出現(xiàn)了問題，以便在出現(xiàn)安全漏洞之前修復鏈路。

TDISP是一種先進的框架，可以作為整體安全戰(zhàn)略的一部分，通過將IO互連安全方案實現(xiàn)標準化來防范攻擊，降低風險。

業(yè)界首個支持TDISP

的控制器和IDE模塊

新思科技一直在安全相關(guān)領(lǐng)域保持領(lǐng)先，現(xiàn)已推出了首個支持TDISP的控制器與可靠性和數(shù)據(jù)加密（IDE）安全IP模塊，該模塊適用于PCIe和CXO.io。它包含在設(shè)備上實現(xiàn)TDISP所需的所有硬件掛鉤和構(gòu)建模塊，是完整的PCIe安全解決方案的一部分。

PCIe TDISP（也適用于CXO.io）包括以下功能：

• PCIe控制器與IDE功能以及其他寄存器

• T位數(shù)據(jù)包支持（TX和RX）

• 針對入站請求和完成情況的規(guī)則檢查

• 針對TEE限流附加檢查

• 讓設(shè)備安全管理器（DSM）能夠跟蹤TEE-Device-Interface-owned（TDI-owned）配置更改的接口

• TDISP特定的錯誤狀況更新

• 以避免配置寄存器更新的信號鎖定

▲TDISP 全面支持將虛擬功能中的可信分配與可信虛擬機 (TVM) 的互相交互

新思科技的IP解決方案可以幫助開發(fā)者實現(xiàn)此框架來抵御攻擊和降低相關(guān)風險。

掃描下方二維碼，進一步了解TDISP框架如何幫助保護數(shù)據(jù)。

PCI Express 6.0的IDE安全IP模塊

PCIe Express 6.0的控制器IP

? ?