可信执行环境 TEE 技术因可支持多层次、高复杂度的算法逻辑实现、 运算效率高和可信度量的方式保证 TEE 的运行逻辑的可信及可度量性的特性，受到业界一致认可，越来越多开源框架和产品踊跃而出。

虽然 TEE 已经是一种相对成熟的商用技术，该技术的本身仍然存在着多种安全问题，例如硬件设计缺陷、瞬态执行漏洞，侧信道安全漏洞、内存安全漏洞和状态一致性漏洞等。

为了找到更安全的 TEE 技术，许多计算机安全学者前仆后继，南方科技大学教授张殷乾就是其中之一。

南方科技大学张殷乾的研究聚焦解决可信执行环境（TEE）的软硬件安全问题，为基于 TEE 的隐私计算技术打造安全底座。为了解决可信执行环境的软件安全问题，张殷乾和团队提出了针对可信执行环境的软件侧信道漏洞、瞬态执行漏洞、状态一致性漏洞、多线程安全漏洞的自动检测方法。

▲图 | 《麻省理工科技评论》中国 2022 年隐私计算科技创新人物入选者张殷乾

在 TEE 硬件安全方向，张殷乾团队探究了 Intel SGX 和 AMD SEV 的硬件设计，发现了多个设计缺陷和安全漏洞，有力地推动了主流 TEE 方案的安全强化和迭代升级。

在 TEE 软件安全方向，张殷乾团队研究了 TEE 的侧信道漏洞、状态一致性漏洞、多线程安全漏洞的自动检测和形式化验证方法。

特别的，在侧信道安全研究中，他的研究深入地分析 TEE 侧信道威胁及防护措施，系统地论证 TEE 所面临的的各类内存架构侧信道威胁，提出多种检测 TEE 侧信道漏洞及主动防御侧信道攻击的有效方法。

此外，张殷乾团队还实现了 Intel 和 AMD 的 TEE 架构在二进制层面的互通互联，提供了实现异构 TEE 通用平台的底层关键技术。同时，他的研究也致力于构建基于 TEE 的分布式计算架构，实现了 TEE、区块链和隐私计算的安全融合。

可信执行环境安全的“吹哨人”

“TEE 是一种前沿的隐私技术，但是围绕 TEE 构建安全的隐私计算生态，需要深入理解 TEE 安全的局限性。” 张殷乾解释道。在他看来，TEE 在大规模商业化之前，有许多安全问题和痛点需要进一步深入研究和解决。

首先， TEE 自身的安全性需要通过研究进一步验证，具体体现在 TEE 硬件的设计缺陷。张殷乾从瞬态执行漏洞威胁入手，深入研究了主流芯片厂商的 TEE 硬件设计缺陷。在此基础上，他和同事在 2018 年成功实现了 SgxPectre 攻击，是第一个针对 TEE 的幽灵攻击。

所谓的“幽灵攻击”，指的是该攻击手段利用了 2018 年初被公开的英特尔处理器“Spectre（幽灵）”漏洞。当时一同被公开的还有“Meltdown（熔断）”漏洞。

两个漏洞最初都被认为不会影响到 Intel SGX 可信执行环境，但张殷乾等人的研究成果证明了 SGX TEE 运行库存在漏洞，借助侧信道实现幽灵攻击是可行的，他们在论文中阐述了攻击手段并成功窃取了英特尔嵌入在 SGX 中的密钥信息。随后不久，该漏洞被英特尔修复。

此外，张殷乾团队还对另一家主流芯片厂商 AMD 的可信执行环境 AMD SEV 进行了深入研究，发现了一系列 AMD 硬件设计缺陷，例如不可信 I/O、ASID 滥用、TLB 滥用、密文侧信道漏洞等等。

这些漏洞对 AMD SEV 的硬件设计更新产生了重大影响，导致了一系列 SEV 安全升级。同时这些问题的发现和修复也为以 SEV 为核心技术的机密虚拟机的安全部署提供了安全保障。

“我们针对 AMD 难以修复的硬件问题提出的软件解决方案也在 WolfSSL 等开源社区得到了采纳。”张殷乾补充道。

其次，利用 TEE 进行隐私保护的计算平台面临着各种软件安全威胁。由于硬件设计无法根除侧信道威胁，如何在软件层面防御针对 TEE 的侧信道攻击成为了隐私计算平台面临的严峻挑战。

针对这一点，张殷乾系统地研究了 TEE 的侧信道威胁以及防护措施——侧信道攻击是 TEE 面临的最严重的安全威胁之一，它可以通过观察软件在 TEE 中对 CPU 资源的使用，进而推测出软件的秘密信息，比如加密系统的密钥等等。

张殷乾在 2017 年的研究成果系统论证了（Intel SGX）TEE 面临的各种内存架构的侧信道威胁，前瞻性极强，为后续的研究工作开拓了全新的研究方向。

为了应对侧信道威胁，张殷乾在 2017-2019 年间提出了多种方法，用来检测 TEE 侧信道漏洞并防止侧信道攻击。

状态一致性漏洞是 TEE 软件面临的另一个严重的安全威胁。由于 TEE 硬件无法提供可信的机制来保护 TEE 储存在外部存储器上的状态与 TEE 软件执行逻辑的一致性，恶意攻击者可以对 TEE 软件进行回滚攻击和分叉攻击。

张殷乾团队在 2020-2022 年间深入研究了基于 TEE 的分布式协议所面临的状态一致性威胁，设计了安全的“所用时间证明”（POET）共识算法 POETA、以及基于 TEE 的安全高效的拜占庭共识协议 ENGRAFT 等。

此外，他的研究还涉及利用形式化证明的方法自动地验证 TEE 设计中存在的状态一致性安全问题，利用 Tamarin 证明工具，为不安全的 TEE 设计自动地找到潜在的攻击路径，为安全的设计生成机器可验证的安全证明。

“我的研究的重点就是去验证 TEE 是否安全，包括硬件、系统软件和应用软件三个层面。如果不安全，（我们研究）如何从三个维度进行改进才能使得 TEE 变得安全。”张殷乾表示。

▲图 | 来源：张殷乾

构建异构 TEE 的统一应用框架

目前的三家主流芯片厂商英特尔、AMD 和 ARM 都推出了不同的 TEE 架构，各有所长。但从应用的角度来看，仍缺少支持异构 TEE 架构的统一软件框架，难以构建通用的隐私计算平台。

作为基础性研究，张殷乾团队针对 Intel SGX 远程验证流程的中心化架构的痛点，设计了开放性的远程验证平台 Opera。虽然 Opera 主要针对 SGX 平台，但它也是一种支持异构 TEE 远程验证的基础架构。

在后续研究中，张殷乾团队设计了 Mage 系统，实现了去中心化的异构 TEE 相互认证的关键问题。此外，他还首次实现了英特尔和 AMD 的 TEE 架构在二进制层面的互通互联，这是构建异构 TEE 通用平台的底层关键技术。

在近期的研究中，张殷乾与合作者们共同设计了 vSGX，一个利用 AMD SEV 虚拟化 Intel SGX 可信执行环境的新型系统架构。“vSGX 实现了 SGX 和 SEV 在二进制层面的互联互通。”张殷乾补充道。

“做一件事，就要把它做好”

在 2021 年回国加入南方科技大学之前，张殷乾在美国俄亥俄州立大学任副教授，属于终身教职。

谈到回国的决定，张殷乾表示，自己看到了中国目前对隐私和数据安全的重视，不仅有政府的政策推动，还有许多企业愿意投入资源。

▲图 | 来源：张殷乾

“在现在这个时代大背景下，我从事的计算机安全相关的研究对中国的发展很重要，而且中国的土壤里蕴藏了很多值得研究的问题和机会。”

这也在一定程度上影响了张殷乾的科研思路。接下来，他打算在自主可控 TEE 方向进行更深入的研究，不仅仅是设计，还包括硬件、软件、操作系统。他认为开源的 RISC-V 平台是一个很合适的机遇，尽管社区和技术上的成熟仍需要一段时间。

张殷乾的另一个研究方向是用 TEE 技术实现信任的去中心化。通过 TEE 技术打造一个可信、安全的跨平台执行环境架构，并且把计算平台的算力和信任剥离开来，让技术支撑信任，实现“可量化的可信”。

“无论未来是做 TEE 领域的哪个方向，我始终认为，要做一件事情，就要深入地做下去，把它做好，让所有人都能看见我们的成果。”张殷乾总结道。