机密计算白皮书（2024版）

$POEFOUJBM
$PNQVUJOH8IJUF
1BQFS 指导专家组组长 冯登国院士 指导专家 姚相振刘林超秦宇张侃王骏超张亚光张磊金意儿吴烨夏虞斌王小航谢秋华刘静王惠莅 编写专家 葛小宇张瑞李振李博文黄江严志超虞刚牛博强李光辉张亮司兵松庞婷严敏瑞于攀胡科开唐文刘钢许小兵鲍鹏李煳桦华佳烽张尧刘敬彬李向锋王琼霄陶立峰张振永王吾冰陈浩栋宋雨筱黄淼马姚李莹威陈小春孙亮傅瑜王莹张殷乾李帜王龑涂长茂彭晓川肖军罗翀王震任彤谭琳张磊贾宝军俞锦浩孙琪王帅朱琙牛健宇糜泽羽李鼎基李明煜陈世武马威肖波熊毅惠静苗福友羡喻杰陈凌潇周建平黄梓锋赵宇航 编写单位 华为技术有限公司中国科学院软件所北京国家金融科技认证中心中国工商银行南湖实验室中国民生银行天翼云科技有限公司抖音集团有限公司北京数字认证股份有限公司杭州安恒信息技术股份有限公司北京冲量在线科技有限公司北京信安世纪科技股份有限公司昆仑太科（北京）技术股份有限公司中国联合网络通信集团有限公司南方科技大学杭州锘崴信息科技有限公司北京天融信网络安全技术有限公司希奥端（深圳）计算技术有限公司上海交通大学飞腾信息技术有限公司超聚变数字技术有限公司麒麟软件有限公司统信软件技术有限公司安谋科技（中国）有限公司 （以上排名不分先后） 版权声明 本白皮书版权属于全球计算联盟。使用说明：未经全球计算联盟事先的书面授权，不得以任何方式复制、抄袭、影印、翻泽本文档的任何部分。凡转载或引用本文的观点、数据，请注明“来源：全球计算联盟”。 序言 数据是数字时代的基础性战略资源与关键性生产要素，其安全问题受到国际社会的广泛关注。数据安全威胁总体呈现出事件频度密集化、攻击损失扩大化、威胁类型多样化的态势。 总体来讲，数据保护涉及数据的三种不同状态： 一是传输时的数据（data in transit），其安全保护措施主要有加密、信息隐藏、SSL/TLS、IPSec、VPN和HTTPS等。 二是存储时的数据（data at rest），其安全保护措施主要有加密、访问控制、安全数据库、数据容灾备份等。 三是使用中的数据（data in use），其安全保护包括其在内存、处理器中进行计算时的机密性和完整性保护。数据使用安全问题的本质是安全计算问题，这就要求CPU、GPU、DPU等能够支撑安全计算功能。 当前，数据使用安全问题需求迫切。例如，针对云应用的每种攻击模式（包括虚拟机逃逸、容器逃逸、固件损坏和内部威胁）都使用了不同的攻击技术，但它们的共性是被攻击对象都是使用中的代码或数据。而传统的保护数据在传输或存储中的安全措施无法处理云场景下敏感数据在使用中的数据安全。机密计算是目前为止最为现实的一种数据使用安全技术，本质上是一种密态计算技术。 我之所以非常关注机密计算，主要原因有四： 一是机密计算可视为可信计算发展的新阶段。可信计算重点以TPM/TCM为基础，建立一种信任传递体系以保证系统实体按照预期的行为执行。这样的机制无法防御数据在运行时受到的攻击，因此，需要一个与外界隔离的安全容器对敏感数据进行处理，避免攻击者读取其所使用的内存空间，机密计算中的可信执行环境（TEE）就是这样的容器。TEE通过软硬件协同既能保护敏感数据，又能保留与常规执行环境之间的算力共享。 二是机密计算是实现内生安全（也称为本原安全）的一种新途径。内生安全是指系统固有的安全能力，在系统建设时就从底层同步考虑其具备的安全能力。机密计算是一种从体系结构层面解决安全问题的技术，可从硬件、系统和应用等不同层面解决安全问题，从而实现内生安全。 三是机计算是解决数据使用安全的一种现实方法。目前除了机密计算之外，还有很多其他数据使用安全技术，如同态加密、安全多方计算、联邦学习等，有的安全性高而性能低，有的安全性低而性能高。例如，同态加密尤其是全同态加密是一种理想的数据使用安全技术，但离实用化还有距离；联邦学习的实用化程度较高但安全性仍有待提高。 四是机密计算是实现高性能安全技术的重要支撑。很多安全技术的性能不能满足实际应用需求，可通过机密计算大大提升其性能，使其实用化。例如，基于TEE可设计并快速实现全同态加密、安全多方计算、函数加密和零知识证明等安全机制。 为了推动机密计算产业高质量发展、标准化、生态繁荣并加速应用落地，2024年9月19日，全球计算联盟机密计算专业委员会正式成立。这个委员会成立之初，就力争推出一本高质量的《机密计算白皮书（2024）》，旨在简明揭示机密计算的本质，分析机密计算的发展现状，展望机密计算的未来发展趋势，为机密计算研发人员、行业用户等提供参考。我相信，随着专业委员会的发展壮大，人们对机密计算认识水平的提高，《机密计算白皮书》的质量会越来越高、内容会越来越丰富。 冯登国中国科学院院士2024年10月于北京 目 录 contents 引言… ………………………………………………………………………………………………………1 第一章机密计算概述 1.1产业背景… ……………………………………………………………………………………………31.2概念及属性… …………………………………………………………………………………………41.3参与角色… ……………………………………………………………………………………………4 第二章机密计算发展现状及趋势 2.1代际演进… ……………………………………………………………………………………………72.2标准现状… ……………………………………………………………………………………………92.3发展趋势… …………………………………………………………………………………………… 12 第三章机密计算参考框架 3.1…参考框架… …………………………………………………………………………………………… 143.2…部署模式… …………………………………………………………………………………………… 15 目 录 contents 第四章机密计算应用案例 4.1…可信算力服务… ……………………………………………………………………………………… 184.2…密码服务… …………………………………………………………………………………………… 214.3…数据可信流通… ……………………………………………………………………………………… 244.4…AI模型与数据保护… ………………………………………………………………………………… 30 第五章机密计算评测体系 5.1…评测流程… …………………………………………………………………………………………… 345.2…评测对象… …………………………………………………………………………………………… 345.3…评测指标… …………………………………………………………………………………………… 345.4…评测方法… …………………………………………………………………………………………… 355.5…评测结果应用… ……………………………………………………………………………………… 36 附录A缩略语……………………………………………………………………………………………… 39 参考文献… ………………………………………………………………………………………………… 41 引 言 在数字化浪潮的席卷之下，数据已成为推动社会进步与经济发展的不可或缺的力量。然而，数据的广泛流通与深度应用也伴随着前所未有的安全风险。传统的数据安全技术主要作用于数据存储和传输阶段，而对于使用中的数据缺乏保护。这一缺口在处理敏感数据时尤为明显，亟需一种新的技术来解决数据使用过程中的安全性问题，实现数据安全与数据价值利用的平衡。 机密计算是一种基于硬件保护使用中数据的安全技术，2019年Gartner首次将机密计算纳入云安全技术曲线，并将其视为重点关注的技术领域。机密计算生态飞速发展，已广泛应用于金融、政务、医疗等各行各业。 本白皮书旨在阐明机密计算技术本质，分析机密计算发展现状及趋势，为机密计算研发人员、行业用户等提供机密计算技术框架和评测体系参考，并给出典型场景中的机密计算应用案例，加强技术落地信心。通过对机密计算技术的全面了解，读者将能够认识其在数据安全领域的潜力，并在实际应用中实现更高水平的安全保障。 机密计算概述第 一 章 1.1产业背景 在数字化浪潮席卷全球的今天，随着云计算、大数据、人工智能等前沿技术的深度融合与广泛应用，数据已成为驱动数字经济及社会发展的关键生产资料。全球多个国家和地区对数据安全与隐私保护给予高度重视，纷纷出台相关法律法规及政策要求，明确指示数据安全与发展并重，依法保障数据的可信流通与数据价值的充分利用，主要的法律法规政策文件要求总结如表1所示。 而诸如数据加解密等传统的数据安全技术主要作用在数据的传输和存储环节，偏向于静态数据的保护，难以抵御数据在使用过程中面临的安全威胁。面对这一严峻挑战，产业界迫切需要一种创新的技术方案，在保障数据高效流通与利用的同时，筑起坚不可摧的安全防线，保护使用中数据的机密性和完整性。 正是在这样的产业背景下，机密计算技术应运而生，它以独特的理念与先进的技术架构，保障数据在被处理和分析的过程中仍能保持机密性和完整性，不仅为数据的可信流通和价值挖掘提供了有力保障，也为数字经济的发展注入了新的活力。 机密计算白皮书（2024） 1.2概念及属性 机密计算是一种保护使用中数据安全的计算范式，其核心原理是利用可信执行环境硬件，构建出具备安全隔离、内存加密、远程证明、数据封装等的计算环境，使得机密计算环境内运行的代码和数据免于非可信特权软件（包括操作系统和虚拟机监控器等）的窥探和篡改，保护使用中数据的机密性与完整性。 机密计算大多具备以下属性： 1.隔离：机密计算使用硬件TEE技术保护数据，通过硬件的强安全隔离限制任何特权软件对TEE内数据的直接访问或篡改。 2.内存加密：对内存数据加密保护，防止未经授权的访问。 3.远程证明：允许验证者通过可信度量及远程证明，对机密计算环境的初始状态进行验证，确保状态正确性和完整性。 4.数据封装（sealing）：基于硬件根密钥及应用程序的完整性度量值等生成封装密钥，基于封装密钥加密保护应用程序的数据，使得数据的机密性与应用程序自身的完整性产生关联。 1.3参与角色 机密计算的参与角色如图1所示，具体包括： 算力提供方：提供机密计算算力环境。 服务提供方：提供机密计算环境分布式管理、机密计算应用批量部署及资源监测等服务。 应用提供方：提供在机密计算环境中运行的应用程序。 数据提供方：向机密计算环境传递计算任务所需要的数据。 结果需求方：提供具体的计算需求，包括需运行的程序、程序运行时所需计算的数据等，并获取相应的计算结果。 注：实际业务场景中可能是一个参与方承担上述多种角色。 机密计算发展现状及趋势第 二 章 2.1代际演进 近二十年来，机密计算技术蓬勃发展，多家芯片厂商分别提出了基于其处理器体系架构的机密计算技术方案，机密计算发展历程如图2所示。 2002年，ARM提出TrustZone技术，被普遍认为是第一代机密计算技术。TrustZone通过分时复用将处理器区分为两种运行状态，即Secure World和Normal World，每种运行状态有物理隔离的寄存器、缓存、内存页表等，并在Secure World内运行可信操作系统和可信应用。Secure World拥有更高的权限，Secure World可以访问Normal World的代码及数据，而Normal World无法直接访问Secure World的代码及数据。 2013年，英特尔提出了基于x86架构的安全扩展SGX，提供用户空间的TEE。通过一组新的指令集扩展与内存加密机制，SGX实现了程序之间的隔离运行，保障了用户关键代码和数据的机密性与完整性。 2016年，AMD推出了支持SEV技术的EPYC