应用场景 24 openEuler 22.03 LTS SP2 技术白皮书 特性增强 kunpengsecl 软件包支持平台和 TEE 远程证明 鲲鹏安全库（kunpengsecl）是开发运行在鲲鹏处理器上的基础安全软件组件，先期主要聚焦在远程证明等可信计算 相关领域，使能社区安全开发者。 鲲鹏安全库的每个特性都可以由两大部分组成：组件和服务。组件部署在提供资源（计算、存储、网络）为用户运行 全可信设计的具体要求。 鲲鹏安全库的首个安全特性就是远程证明，目的就是帮助用户获取工作服务器节点的软硬件可信状态，支持端到端的 可信计算远程证明解决方案，让各种资源管理工具可以根据可信报告制定策略，对各种服务器资源进行差异化的调度和使用。 鲲鹏安全库的远程证明特性目前支持： 1. 基于 TPM 的通用平台远程证明。 2. 对鲲鹏服务器 TEE 的远程证明。 详情请参见项目 readme：https://gitee 针对平台远程证明 • 远程证明服务 RAS 通过 PCA 来为工作服务器上的 TPM 提供远程证明密钥证书，通过 TrustMgr 管理工作服务器可信 相关数据信息，通过 ClientAPI 来接收工作服务器的可信报告，通过 Verifier 验证目标的可信状态，通过 Cache 提供 可信状态缓存服务，通过 Config 管理策略等配置信息，最终通过 RestAPI 向用户提供远程证明服务。

键进程内存数据是否完整。在安全要求较高的场景下，用 户还可对接可信计算远程证明机制，通过 TPM 证明度量结 果的完整性。 应用场景 DIM 动态完整性度量特性支持如下功能： • 支持度量用户态进程、内核模块、内核内存代码段数据。 • 支持将度量结果扩展至 TPM 2.0 芯片 PCR 寄存器，用于对接远程证明。 • 支持配置度量策略，支持度量策略签名校验。 • 支持工具生成并导入度量基线数据，支持基线数据签名校验。 量策略和度量基线，获取内存中的度量目标数据并执行度量功能；dim_monitor 对 dim_core 的代码段和关键数据执 行度量保护，防止由于 dim_core 被篡改而导致度量功能失效。 功能描述 安全管理平台 ( 远程证明 ) 安全芯片 用户态进程代码段 内核模块代码段 内核代码段 业务组件 OS 组件 平台组件 ...... 业务系统 openEuler 上报 度量 DIM 静态基线数据文件

能、定位故障。 24 25 openEuler 21.03 技术白皮书 openEuler WHITE PAPER 社区治理 • 支持可信执行环境状态下的数据加密和持久化，支持本地和远程证明。 • 提供必要的代码辅助生成工具及机密计算二进制签名工具。 • 提供 C 编程语言支持。 • 支持 Intel SGX 和 ARM TrustZone。 应用场景 应用场景 1：多方计算 据，而且每个公司的数据只能自己公司可以访问，有一种情景， 三家公司的数据进行合并通过 AI 训练进行运算，如何避免数据 的泄露？ 这三家公司可以通过机密计算技术，将数据通过加密的通道传输给对方的可信执行环境，通过远程证明的方式保证可信 执行环境及运行的代码可信，保障各家公司共享数据做 AI 训练而不泄露各自的数据。 应用场景 2：密钥管理服务 目前公有云的密钥管理服务，一般会基于硬件 HSM 来实现秘钥的安全管理。这些服务可以基于

人还拿出各种论调来唱衰 Linux 系统，觉得开源厂商已经过了事业最高点，要在服务器领域 让步于 Windows 系统了。这些话其实并没必要去反驳，任何一个产品都会有其拥趸和黑粉， 时间会向所有人证明一切。我们现在只是来单纯地聊一聊这个 RHEL 8 系统。 在正式开聊之前，希望读者对 Linux 系统的特性和运维领域有基本的了解，知道 Linux 系统 在服务器领域中占据着不可小觑的市场份额，认识到 overruns 0 carrier 0 collisions 0 ………………省略部分输出信息……………… 如果启用 company 会话成功，但启用 house 会话失败且不能获取到动态地址，则证明您 的配置是正确的，问题出在了外部网络环境。有 3 种常见的情况，首先，您家中的设备没有 连接路由器，而是通过拨号网络或共享 WiFi 的方式上网；其次，还在上学或上班的读者在浏 览网页前必须 /org/freedesktop/NetworkManager/ ActiveConnection/4) 最后，对主机名执行 ping 命令，若能 ping 通，则证明上述操作全部正确。注意，在执行 ping 操作时，也会获得主机名对应的 IP 地址，证明上述操作全部正确： [root@linuxprobe~]# ping -c 4 mail.linuxprobe.com PING mail.linuxprobe

很可能需要对硬盘进行重新分区，来给 Debian 腾出安装的空间。不管使用什么程序，分区都会使硬盘上 的所有数据全部丢失。在我们的安装 Debian GNU/Linux 的过程中使用的分区程序经过多年使用，被证明 非常可靠，但它的功能也非常强大，您可能会为一次错误操作而付出代价。即使是已经备份过数据，也 要谨慎使用，最好在每次操作之前先认真考虑一下。两分钟的思考可能会为您节省几个小时的不必要的 恢复工作。 明，著作权人与／或其他提供程序之人，无论明示或默许，均是依「现况」提供本程序而并无任何形式 的担保责任，其包括但不限于，就适售性以及特定目的的适用性为默示性担保。有关本程序品质与效能 的全部风险均由您承担。如本程序被证明有瑕疵，您应承担所有服务、修复或改正的费用。 12. 非经法律要求或书面同意，任何著作权人或任何可能依前述方式修改与／或发布本程序者，对于 您因为使用或不能使用本程序所造成的一般性、特殊性、意外性或间接性损失，不负任何责任（包括但

很可能需要对硬盘进行重新分区，来给 Debian 腾出安装的空间。不管使用什么程序，分区都会使硬盘上 的所有数据全部丢失。在我们的安装 Debian GNU/Linux 的过程中使用的分区程序经过多年使用，被证明 非常可靠，但它的功能也非常强大，您可能会为一次错误操作而付出代价。即使是已经备份过数据，也 要谨慎使用，最好在每次操作之前先认真考虑一下。两分钟的思考可能会为您节省几个小时的不必要的 恢复工作。 明，著作权人与／或其他提供程序之人，无论明示或默许，均是依「现况」提供本程序而并无任何形式 的担保责任，其包括但不限于，就适售性以及特定目的的适用性为默示性担保。有关本程序品质与效能 的全部风险均由您承担。如本程序被证明有瑕疵，您应承担所有服务、修复或改正的费用。 12. 非经法律要求或书面同意，任何著作权人或任何可能依前述方式修改与／或发布本程序者，对于 您因为使用或不能使用本程序所造成的一般性、特殊性、意外性或间接性损失，不负任何责任（包括但

很可能需要对硬盘进行重新分区，来给 Debian 腾出安装的空间。不管使用什么程序，分区都会使硬盘上 的所有数据全部丢失。在我们的安装 Debian GNU/Linux 的过程中使用的分区程序经过多年使用，被证明 非常可靠，但它的功能也非常强大，您可能会为一次错误操作而付出代价。即使是已经备份过数据，也 要谨慎使用，最好在每次操作之前先认真考虑一下。两分钟的思考可能会为您节省几个小时的不必要的 恢复工作。 明，著作权人与／或其他提供程序之人，无论明示或默许，均是依「现况」提供本程序而并无任何形式 的担保责任，其包括但不限于，就适售性以及特定目的的适用性为默示性担保。有关本程序品质与效能 的全部风险均由您承担。如本程序被证明有瑕疵，您应承担所有服务、修复或改正的费用。 12. 非经法律要求或书面同意，任何著作权人或任何可能依前述方式修改与／或发布本程序者，对于 您因为使用或不能使用本程序所造成的一般性、特殊性、意外性或间接性损失，不负任何责任（包括但

很可能需要对硬盘进行重新分区，来给 Debian 腾出安装的空间。不管使用什么程序，分区都会使硬盘上 的所有数据全部丢失。在我们的安装 Debian GNU/Linux 的过程中使用的分区程序经过多年使用，被证明 非常可靠，但它的功能也非常强大，您可能会为一次错误操作而付出代价。即使是已经备份过数据，也 要谨慎使用，最好在每次操作之前先认真考虑一下。两分钟的思考可能会为您节省几个小时的不必要的 恢复工作。 明，著作权人与／或其他提供程序之人，无论明示或默许，均是依「现况」提供本程序而并无任何形式 的担保责任，其包括但不限于，就适售性以及特定目的的适用性为默示性担保。有关本程序品质与效能 的全部风险均由您承担。如本程序被证明有瑕疵，您应承担所有服务、修复或改正的费用。 12. 非经法律要求或书面同意，任何著作权人或任何可能依前述方式修改与／或发布本程序者，对于 您因为使用或不能使用本程序所造成的一般性、特殊性、意外性或间接性损失，不负任何责任（包括但

很可能需要对硬盘进行重新分区，来给 Debian 腾出安装的空间。不管使用什么程序，分区都会使硬盘上 的所有数据全部丢失。在我们的安装 Debian GNU/Linux 的过程中使用的分区程序经过多年使用，被证明 非常可靠，但它的功能也非常强大，您可能会为一次错误操作而付出代价。即使是已经备份过数据，也 要谨慎使用，最好在每次操作之前先认真考虑一下。两分钟的思考可能会为您节省几个小时的不必要的 恢复工作。 明，著作权人与／或其他提供程序之人，无论明示或默许，均是依「现况」提供本程序而并无任何形式 的担保责任，其包括但不限于，就适售性以及特定目的的适用性为默示性担保。有关本程序品质与效能 的全部风险均由您承担。如本程序被证明有瑕疵，您应承担所有服务、修复或改正的费用。 12. 非经法律要求或书面同意，任何著作权人或任何可能依前述方式修改与／或发布本程序者，对于 您因为使用或不能使用本程序所造成的一般性、特殊性、意外性或间接性损失，不负任何责任（包括但

很可能需要对硬盘进行重新分区，来给 Debian 腾出安装的空间。不管使用什么程序，分区都会使硬盘上 的所有数据全部丢失。在我们的安装 Debian GNU/Linux 的过程中使用的分区程序经过多年使用，被证明 非常可靠，但它的功能也非常强大，您可能会为一次错误操作而付出代价。即使是已经备份过数据，也 要谨慎使用，最好在每次操作之前先认真考虑一下。两分钟的思考可能会为您节省几个小时的不必要的 恢复工作。 明，著作权人与／或其他提供程序之人，无论明示或默许，均是依「现况」提供本程序而并无任何形式 的担保责任，其包括但不限于，就适售性以及特定目的的适用性为默示性担保。有关本程序品质与效能 的全部风险均由您承担。如本程序被证明有瑕疵，您应承担所有服务、修复或改正的费用。 12. 非经法律要求或书面同意，任何著作权人或任何可能依前述方式修改与／或发布本程序者，对于 您因为使用或不能使用本程序所造成的一般性、特殊性、意外性或间接性损失，不负任何责任（包括但