基于可信执行环境的隐私计算白皮书

基于可信执行环境的隐私计算白皮书中国联通研究院、中国联通广东省分公司2022年5月 基于可信执行环境的隐私计算白皮书目录概述2（一）多方协作中数据安全要素凸显（二）运营商打造全方位的数据安全防护能力（三）隐私计算成为数据安全流通关键技术二、TEE隐私计算技术与生态，（一）发展背景.9（二）技术分类101.ARM TrustZone102.Intel SGX113.AMD SEV12(三）产业生态...121.标准现状..122.开源生态...143.产业布局....16三、TEE隐私计算技术方案18（一）基于可信执行环境的隐私计算业务框架18（二）TEE隐私计算可信应用191.计算时数据保护19 基于可信执行环填的隐私计算白皮书2.密钥保护.203.计算模型保护4.数据加密存储225.隐私查询，23四、TEE隐私计算应用场景24（一）边缘计算24二）智慧社区，25（三）5G异常流量联合建模分析27（四）联合金融风控..29五、总结与展望..中国联通研究院 基于可信执行环境的隐私计算白皮书前言本白皮书围绕当前TEE隐私计算的产业背景、技术生态进行深入分析，提出基于TEE隐私计算的技术方案和主流应用场景。本白皮书的版权归中国联通所有，未经授权，任何单位或个人不得复制或拷贝本建议之部分或全部内容。本白皮书起草单位：中国联通研究院、中国联通广东省分公司。编写组成员：研究院侯乐、徐雷、潘桂新、贾宝军、胡慧、杨双仕、李文彬、彭健、张曼君、谢泽铖、陶冶、刘伟、郭新海、丁攀、徐舒、刘子建、聂勋坦、陆懿、王蕴实、王娜姗姗、程筱彪、姚戈、俞播、曹咪、边林、智晓欢、陈璐、王智明、史金雨、张立彤、高泽恺、张小梅、刘安、蓝鑫冲、苏俐竹-1- 基于可信执行环境的隐私计算白皮书一、概述（一）多方协作中数据安全要素凸显1、数据要素赋能数字经济发展，数据协同成为未来发展趋势。随着数字化浪潮的到来，数字产业化和产业数字化正加速重构产业的创新生态，数字驱动型创新创业成为产业升级和创新发展的重要引擎。在数学经济发展过程中，数据发挥着越来越突出的作用，并始替代传统生产要素，成为提高和发展生产力的新型要素。2020年，中共中央、国务院颁布了《关于构建更加完善的要素市场化配置体制机制的意见》，提出要“加快培育数据要素市场”。由于数据具有关然的割裂性，产生过程是分散的，不同类型企业提供不同的业务和服务，产生的数据类型也是不同的，因此，数据作为生产要素，在数据流通和交易领域，需要产业链上下游合作企业进行深度合作，只有通过各方数据协同计算，才能更好地释放数据价值。2022年1月12日，国务院印发了《“十四五”数字经济发展规划》持系统推进、协同高效。充分发挥市场在资源配置中的决定性作用，构建经济社会各主体多元参与、协同联动的数字经济发展新机制”。2、数据安全持续成为立法焦点，数据使用安全性和合规性备受关注。在数据安全立法领域，自前全球超过100多个国家和地区已制-2- 基于可信执行环境的隐私计算白皮书定数据安全和隐私保护法律，如欧盟、美国、中国、俄罗斯、日本、新加坡等，数据安全保护专项立法已成为国际惯例。在国外，欧盟于2018年5月25日正式颁布《通用数据保护条例》（GeneralDataProtectionRegulation，GDPR），条例对数据使用的透明度、身份数据的保存期限、企业和组织在对个人数据的操作流程均有限制。新泄露通知制度，并对数据泄露处以更严厉的罚款。在国内，我国于2021年6月正式发布了数据领域的基础性法律《数据安全法》，数据分类分级保护、风险评估、安全审查等相关工作机制也逐步出台。2021年8月，《个人信息保护法》审议通过，推动开启我国个人信息立法保护的新格局，为产业发展指明方向。国家通过立法促进数据安全合规性、规范性，这些法规给企业带来了巨大的数据合规压力与挑战。企业如何在保障数据安全、满足合规性的前提下，实现数据共享和协同，从而体现出数据价值，这是一个关键性问题。（二）运营商打造全方位的数据安全防护能力运营商作为数字信息基础设施的建设者和运营者，掌管着大量的关键基础设施，运营数以亿计的用户，保管着超大规模的网络数据。运营好和使用好这些数据，是运营商的使命和必然要求。中国联通将自身定位为“数学信息基础设施运营服务国家队、网-3- 基于可信执行环境的隐私计算白皮书络强国数学中国智慧社会建设主力军、数学技术融合创新排头兵”，标志着中国联通吹响了面向数学经济的号角。在社会和经济数学化转型浪潮中，运营商处在核心地位，上游连接着政府和企业，下游连接看用户和各类型终端设备，保障着整个信息链条的正常运转。对社会对用户，运营商是保有强大公信力的中间环节，拥有雄厚的网资源和能力，具有构建可信共享平台的强大基础，是数字运营的主导力量。在数字化转型大潮中，数据成为关键生产要素，中国联通发布了大数据战略，做活大数据，赋智数学能力。充分发挥自身通信大数据优势，推动多层级、跨业务的数据资源共享，打造数据治理、数据安全、数据应用等全新产品，激发数据要素倍增效应，发挥出数字治理国家队作用。中国联通致力于完善数据产品体系，打造重点行业数据平台和数据应用产品，探素安全可信的实现方式，深化大数据融合应用创新，提升产业供给能力和行业赋能。中国联通要成为值得信赖的国家网络空间安全守护者和具有网络安全生态引领能力的领航企业，需要建立起数据保护和数据利用的可信架构，需要形成全公司有效数据流通体系和外部数据协作氛围，努力构建数学经济“国家首席、政府首选、人民首信”的“安全第一盾。（三）隐私计算成为数据安全流通关键技术隐私计算主要是解决多个参与方数据不出本地，在保护数据安全-4- 基于可信执行环填的隐私计算白皮书的同时实现多源数据跨域合作的问题。利用隐私计算技术保障多方协业界共识。从技术实现原理上看，隐私计算主要技术选型分两类，第一类是以多方安全计算为代表的基于密码学的隐私计算技术；第二类是以可信执行环境为代表的基于硬件的隐私计算技术。1、基于密码学的隐私计算技术提供更加安全的多方联合计算能力。密码学技术众多，包括多方安全计算、同态加密、差分隐私和联邦学习等，自前主要以多方安全计算为代表的。多方安全计算（SecureMulti-PartyComputation，简称MPC）主要是解决多个互不信任的参与方各自持有隐私数据，通过分布式加密网络协同计算一个既定函数的问题。在保证参与方获得正确计算结果的同时，无法获得计算结果之外的任何信息。整个计算过程中，参与方对其所拥有的数据始终拥有绝对的控制，在保证原始数据安全隐私性的同时，对数据进行计算和分析，实现了数据可用而不可见。如下图所示：-5- 基于可信执行环境的隐私计算白皮书参与方1返回统计结果加密处理速图绽计结果加密处理加密处理与方返回计结果加密处理返回统计结果图1-1多方安全计算示意图人联邦学习（FederatedLearning，简称FL）作为隐私计算的另一个主流路径，主要是解决不聚合参与方原始数据的前提下，进行多方数据联合机器学习的问题，实现保护终端数据隐私的联合建模。在进行机器学习的过程中，各参与方可借助其他方数据进行联合建模。各方无需共享数据资源，即数据不出本地的情况下，进行数据联合训练，建立共享的机器学习模型。-6- 基于可信执行环境的隐私计算白皮书中8加密训练相型A模型B加密样本对齐图1-2联邦学习示意图2、基于硬件的隐私计算技术助力计算服务安全高效运行。基于硬件的隐私计算技术主要指可信执行环境（TrustedExecutionEnvironment，TEE），其核心思想是构建一个硬件隔离的安全区域，在这个安全区域内对隐私数据进行计算。数据参与方可以通过远程证明的方式对TEE环境可信度进行验证，从而保证计算环境安全。在数据传输时通过加密传输来保障数据的安全，在数据运算过程时通过TEE环境中执行加解密等保证安全。计算结束后，在TEE环境内销毁原始数据，确保原始数据不被泄露。-7- 基于可信执行环填的隐私计算白皮书计算结果需求方可信热行环理TEE远程证明TEE本地鉴证TEE数据密封TEE计算设件数据提供方A数据提供方B图1-3基于硬件的隐私计算技术架构3、两类技术的对比由于技术路径的不同，各类隐私计算技术均有其更加适用的场景，主要对比如表1所示。表1隐私计算相关技术主要对比技术基于密码学的隐私计算基于硬件的隐私计算引入可信硬件，需要信任硬件的信任机制基于密码学原理对数据加密提供方灵活性受限于基本的算子、近通过隔离的方式实现隐私和安灵活性似计算，可能存在计算误差全，对通用计算和复杂算法友好参与方一般比较有限，适用于可实现通用计算，支持多达几百适应场景有限参与方的某些特定场景几干万计算的场景，适合计算量的计算，性能较差大、复杂、需求变动快的场景，-8- 基于可信执行环填的隐私计算白皮书性能较高纯软件实现方式，包含复杂的依靠硬件芯片能力构建，实现方密码学操作，电路设计、多项式跟具体技术相关，可以基于实现难度式近似、数据打包等，需要对SDK也可以在安全虚拟机中构代码进行重构，实现难度相对建应用，实现难度相对较小较大总体上，与密码学相比较，可信执行环境在性能上具有较大优势，并且适用的安全隐私保护场景较多。TEE是隐私计算中更受业内追捧的一项技术。二、TEE隐私计算技术与生态（一）发展背景隐私计算是多种技术的统称，目的是为了让多个数据拥有者，在不暴露数据本身的前提下，实现数据的共享、互通、计算、建模，最终产生超出自身数据的价值，同时保证数据不泄露给其他参与方。隐私计算技术最早可以追溯到1982年，计算机科学家、图灵奖得主姚期智院士提出了著名的百万富翁问题，开创了多方安全计算这一密码学的新分支。从软硬件实现方式来看，隐私计算技术逐渐发展成为两大分支：基于硬件的隐私计算技术（可信执行环境）和基于密码学的隐私计算技术（同态加密、多方安全计算、联邦学习等）。TEE隐私计算技术源于2006年开放移动终端平台（Open-9- 基于可信执行环填的隐私计算白皮书MobileTerminalPlatform，以下简称OMTP）提出的一个针对移动终端的双系统安全解决方案。在OMTP方案的基础上，ARM公司提出了一种硬件虚拟化技术TrustZone及其相关的硬件实现方案，并于2008年第一次发布了TrustZone技术白皮书。2010年7月，GlobalPlatform组织正式提出了TEE的概念，并从2011年开始起草制定相关的TEE规范标准。2015年Intel发布首款商业化支持TEE方案的CPU，即IntelSGX。2O16年AMD提出了基于TEE技术的SEV方案，次年AMD又提出了SEV-ES方案。（二）技术分类TEE技术主流的实现方案是在硬件设备上提供一个独立的区域进行存储和运算，以保证在该区域内的代码和数据安全可信。所以TEE功能与各个芯片厂商的芯片紧密相关，各大芯片厂商都在其主流芯片中提供了TEE的功能。目前比较主流的可信执行环境技术产品主要有三种：ARM公司的TrustZone、Intel公司的SGX(SoftwareGuardExtensions）和AMD公司的SEV(SecureEncryptedVirtualization)。1.ARMTrustZoneTrustZone是ARM公司的一种CPU安全架构，采用TrustZone的ARM处理器可将其每个物理内核拆分成“安全区”和“非安全区”-10- 基于可信执行环填的隐私计算白皮书两个区域，两个区域通过时分复用的方式相互隔离并占用物理内核。TrustZone提供在两个区域之间的上下文切换机制。非安全区的代码不能直接访问安全区的代码，需要通过Monitor模式来进行切换，安全区可以直接访问非安全的代码。TrustZone的安全区构建在物理安全资源之上，并包含了多种可信系统组件，可信系统组件符合GP的TEE标准，并且提供了可以被每个可信应用调用的内部APIS。ARMTrustZone主要应用于移动终端设备中，应用主要包括了手机中的版权信息保护、指纹信息保护、身份认证授权、交易保护等等。2.IntelSG