云原生机密计算最佳实践白皮书.pdf

1、机密计算简介与现状Introduction And Status Of Confidential Computing04OpenAnolis 龙蜥社区OpenAnolis Community011122云原生机密计算SIG概述Overview Of The Cloud Native Confidential Computing SIG07海光CSV：海光安全虚拟化技术Intel SGX:Intel安全防护扩展Intel TDX:Intel安全虚拟化技术AMD SEV:AMD安全加密虚拟化技术ARM CCA:Arm安全加密虚拟化技术机密计算平台Confidential Computing Pla

2、tform1214161820编程框架Programming FrameworkIntel SGX SDK/PSW/DCAP:Intel SGX 软件开发套件和平台软件服务232931Intel Homomorphic Encryption:Intel 平台同态加密加速框架Intel_HE_Toolkit 开发指南RATS-TLS:跨机密计算平台的双向传输层安全协议35374346113Apache Teaclave Java TEE SDK:面向Java生态的机密计算编程框架Apache_Teaclave_ Java_TEE_SDK 最佳实践运行时底座Runtime Foundation海光

3、CSV机密容器4747566168基于runtime-attestation使用机密容器基于pre-attestation使用机密容器基于runtime-attestation使用签名容器海光CSV机密虚拟机72Intel TDX机密容器解决方案SolutionOcclum:基于Intel SGX的轻量级LibOS818291102107109111Intel SGX虚拟机最佳实践Intel vSGX：Intel SGX虚拟化AMD SEV机密容器AMD SEV机密虚拟机Inclavare Containers:面向机密计算场景的开源容器运行时技术栈Enclave-CC:进程级机密容器Inte

4、l Confidential Computing Zoo:Intel机密计算开源解决方案114115121126133部署TensorFlow Serving在线推理服务部署TensorFlow横向联邦学习部署隐私集合求交方案PPML:端到端隐私保护机器学习解决方案01认识龙蜥龙蜥社区（OpenAnolis）成立于 2020 年 9 月，由阿里云、ARM、统信软件、龙芯、飞腾、中科方德、Intel 等 24 家国内外头部企业共同成立龙蜥社区理事会，到目前有超过 300 家合作伙伴参与共建，是是国内领先的开源社区之一，具备较为领先的产业和技术影响力。目前，龙蜥操作系统下载量已超240万，整体装机

5、量达300多万，100余款企业产品完成与龙蜥操作系统的适配。同时，统信软件、中科方德、中国移动云、麒麟软件、中标软件、凝思软件、浪潮信息、新支点、阿里云基于龙蜥开源操作系统推出各自商业版本及产品，在政务、金融、交通、通信等领域累计服务用户超过30万。龙蜥开源影响力龙蜥社区及龙蜥操作系统也获得了一定的行业认可，工信部电子标准院首批开源项目成熟度评估，成为唯一获得“卓越级”认证的开源项目、龙蜥社区荣登 2022 科创中国“开源创新榜”、荣获“中国开源云联盟年度优秀开源项目奖”、“OSCAR 开源尖峰案例奖”等 25 项行业奖项。龙蜥项目运作模式龙蜥社区已成立 50+个 SIG 工作组，围绕芯片、内

6、核、编译器、安全、虚拟化及云原生等操作系统核心领域进行技术创新，已发布龙蜥 Anolis OS 7、Anolis OS 8.x 系列、Anolis OS 23 公测版、Lifsea OS 等多个社区版本，为应对即将停服的 CentOS，官网已上线CentOS 停服专区为用户提供迁移方案及长期稳定支持，致力于成为 CentOS 的更佳替代。龙蜥运营管理“为更好地运营和治理社区，龙蜥社区定期召开月度运营委员会会议、技术委员会会议，理事大会。关于理事大会：龙蜥社区第二届理事大会圆满召开！理事换届选举、4 位特约顾问加入关于运营委员会会议：龙蜥社区第15次运营委员会会议顺利召开欢迎更多企业加入共建，龙

7、腾计划可参看：“龙腾计划”启动！邀请 500 家企业加入，与龙蜥社区一起拥抱无限生态。”龙蜥开放的生态为了鼓励合作伙伴在社区探索出更多的商业合作方式，真正牵引企业在龙蜥社区的合作落地，社区推出龙腾计划的升级版生态发展计划，更聚焦在产品和商业合作本身。关于龙蜥操作系统（Anolis OS）龙蜥操作系统（Anolis OS）搭载了 ANCK 版本的内核，性能和稳定性经过历年“双 11”历练，能为云上典型用户场景带来 40%的综合性能提升，故障率降低 50%，兼容 CentOS 生态，提供平滑的 CentOS 迁移方案，并提供全栈国密能力。最新的长期支持版本 Anolis OS 8.6 已发布，更多

8、龙蜥自研，支持 X86_64、RISC-V、Arm64、LoongArch 架构，完善适配 Intel、飞腾、海光、兆芯、鲲鹏、龙芯等主流芯片。下载体验链接：https:/ 年 12 月 31 日，龙蜥开源社区（OpenAnolis）上线CentOS 停服专区，为受 CentOS 停服影响的用户提供迁移方案及长期稳定支持。此次停服，龙蜥操作系统（Anolis OS）产品优势包括：打造系统化解决方案 AOMS、提供多款配套工具、承诺10年技术支持、兼容 CentOS 生态、具备差异化核心技术优势、历经丰富场景验证、沉淀用户迁移案例实践。反馈与共创OpenAnolis是一个开放包容的社区，因此我们

9、也欢迎志同道合之士参与我们的文档修订。对于文档中您认为不足之处，欢迎到我们的官方仓库 Whitebook ConfidentialComputing 新开issue，我们会第一时间进行响应。另外，若您想更新文档，也同样欢迎在 Whitebook ConfidentialComputing 提PR详情可参看：https:/ And Status Of Confidential Computing机密计算简介与现状机密计算简介与现状数据安全与机密计算数据在整个生命周期有三种状态：At-Rest（静态）、In-Transit（传输中）和 In-Use（使用中）。At-Rest 状态下，一般会把数据存

10、放在硬盘、闪存或其他的存储设备中。保护 At-Rest 状态的数据有很多方法，比如对文件加密后再存放或者对存储设备加密。In-Transit 是指通过公网或私网把数据从一个地方传输到其他地方，用户可以在传输之前对文件加密或者采用安全的传输协议保证数据在传输中的安全，比如HTTPS、SSL、TLS、FTPS 等。In-Use 是指正在使用的数据。即便数据在传输过程中是被加密的，但只有把数据解密后才能进行计算和使用。也就意味着，如果数据在使用时没有被保护的话，仍然有数据泄露和被篡改的风险。在这个世界上，我们不断地存储、使用和共享各种敏感数据：从信用卡数据到病历，从防火墙配置到地理位置数据。保护处于

11、所有状态中的敏感数据比以往任何时候都更为重要。如今被广泛使用的加密技术可以用来提供数据机密性（防止未经授权的访问）和数据完整性（防止或检测未经授权的修改），但目前这些技术主要被用于保护传输中和静止状态的数据，目前对数据的第三个状态“使用中”提供安全防护的技术仍旧属于新的前沿领域。机密计算指使用基于硬件的可信执行环境（Trusted Execution Environment，TEE）对使用中的数据提供保护。通过使用机密计算，我们现在能够针对“使用中”的数据提供保护。机密计算的核心功能有：保护 In-Use 数据的机密性。未经授权的实体（主机上的应用程序、主机操作系统和Hypervisor、系统

12、管理员或对硬件具有物理访问权限的任何其他人。）无法查看在TEE中使用的数据，内存中的数据是被加密的，即便被攻击者窃取到内存数据也不会泄露数据。保护 In-Use 数据的完整性。防止未经授权的实体篡改正在处理中的数据，度量值保证了数据和代码的完整性，使用中有任何数据或代码的改动都会引起度量值的变化。可证明性。通常 TEE 可以提供其起源和当前状态的证据或度量值，以便让另一方进行验证，并决定是否信任 TEE 中运行的代码。最重要的是，此类证据是由硬件签名，并且制造商能够提供证明，因此验证证据的一方就可以在一定程度上保证证据是可靠的，而不是由恶意软件或其他未经授权的实体生成的。机密计算的现状与困境业

13、界内的诸多厂商就已经开始关注并投入到机密计算中。各大芯片厂家和云服务提供商（Cloud Service Provider，简称 CSP）都在机密计算领域投入研发资源，并组建了“机密计算联盟”。该联盟专门针对云服务及硬件生态，致力于保护计算时的数据安全。目前机密计算正处于百花齐发和百家争鸣的阶段，市场和商业化潜力非常巨大。但机密计算在云原生场景中还有一些不足：1、用户心智不足。用户普遍对机密计算这项新技术的认知感不足，难以将其与自己的业务直接联系起来，导致需求不够旺盛。2、技术门槛高。目前，相比传统开发方式，主流的机密计算技术的编程模型给人们对机密计算技术的印象是学习和使用门槛高，用户需要使用机

14、密计算技术对业务进行改造，令很多开发者望而生畏。3、应用场景缺乏普适性。目前，机密计算主要被应用于具有特定行业壁垒或行业特征的场景，如隐私计算和金融等。这些复杂场景让普通用户很难触达机密计算技术，也难以为普通用户打造典型应用场景。同时，不0405同厂商的CPU TEE虽各自具有自身的特点，但都无法解决异构计算算力不足的问题，限制了机密计算的应用领域。4、信任根和信任模型问题。在信创、数据安全和安全合规等政策性要求对CPU TEE的信任根存在自主可控的诉求；与此同时，虽然有部分用户愿意信任云厂商和第三方提供的解决方案，但多数用户对云厂商和第三方不完全信任，要求将机密计算技术方案从租户TCB中完全

15、移除。总之，目前已有的机密计算技术方案存在以上困境，不能够完全满足用户不同场景的安全需求。为了解决以上四个问题，云原生机密计算SIG应运而生，主要可概括为四点：1、推广机密计算技术。邀请参与方在龙蜥大讲堂介绍和推广机密计算技术与解决方案。与芯片厂商合作，未来可以通过龙蜥实验室让外部用户体验机密计算技术，对机密计算有一个更深入化的了解。2、提高机密计算技术的可用性。支持多种机密计算硬件。提供多种运行时底座和编程框架供用户选择。3、提升机密计算技术的泛用性 为最有代表性的通用计算场景打造解决方案和案例（特性即产品）。积极拥抱并参与到机密计算前沿技术领域的探索与实践，加速创新技术的落地。4、澄清误会

16、并增加用户信心 发布机密计算技术白皮书。与社区和业界合作，未来提供结合了软件供应链安全的远程证明服务体系。Overview Of The Cloud Native Confidential Computing SIG云原生机密计算SIG概述0607云原生机密计算SIG概述随着通信、网络和计算机技术的持续演进与广泛应用，数据资源的开放共享、交换流通成为推动“万物互联、智慧互通”的重要趋势。与此同时，近年来数据安全事件频发、数据安全威胁日趋严峻，数据的安全处理和流通受到了国内外监管部门的广泛重视。如何在保障安全的前提下最大程度发挥数据的价值，是当前面临的重要课题。在日益严苛的隐私保护相关法律法规约

17、束下，作为当前数据处理基础设施的云计算也正在经历一次重大的范式转换，即从默认以 CSP 为信任基础的计算范式走向信任链与 CSP 解耦的新范式。我们将此范式称为隐私保护云计算，而机密计算是实现隐私保护云计算的必由之路。为拥抱隐私保护云计算新范式，促进隐私保护云计算生态发展，云原生机密计算SIG应运而生：愿景云原生机密计算SIG致力于通过开源社区合作共建的方式，为业界提供开源和标准化的机密计算技术以及安全架构，推动云原生场景下机密计算技术的发展。工作组将围绕下述核心项目构建云原生机密计算开源技术栈，降低机密计算的使用门槛，简化机密计算在云上的部署和应用步骤，拓展使用场景及方案。云原生机密计算SI

18、G的愿景是：1）构建安全、易用的机密计算技术栈2）适配各种常见机密计算硬件平台3）打造典型机密计算产品和应用案例项目介绍海光 CSV 机密容器CSV 是海光研发的安全虚拟化技术。CSV1 实现了虚拟机内存加密能力，CSV2 增加了虚拟机状态加密机制，CSV3 进一步提供了虚拟机内存隔离支持。CSV 机密容器能够为用户提供虚拟机内存加密和虚拟机状态加密能力，主机无法解密获取虚拟机的加密内存和加密状态信息。CSV 虚拟机使用隔离的 TLB、Cache 等硬件资源，支持安全启动、代码验证、远程认证等功能。主页：https:/ Confidential Computing ZooIntel 发起并开源

19、了 Confidential Computing Zoo(CCZoo)，CCZoo 基于 Intel TEE（SGX,TDX）技术，提供了不同场景下各种典型端到端安全解决方案的参考案例，增加用户在机密计算方案实现上的开发体验，并引导用户结合参考案例快速设计自己特定的机密计算解决方案。CCZoo 目前提供了基于 Libos+Intel TEE+OpenAnolis 容器的 E2E 安全解决方案参考案例，后续，CCZoo 计划基于 OpenAnolis，提供更多的机密计算参考案例，为用户提供相应的容器镜像，实现敏捷部署。主页：https:/cczoo.readthedocs.io 代码库：http

20、s:/ HE ToolkitIntel HE Toolkit 旨在为社区和行业提供一个用于实验、开发和部署同态加密应用的平台。目前 Intel HE Toolkit 包括了主流的 Leveled HE 库，如 SEAL、Palisade和 HELib，基于使能了英特尔最新指令集加速的的 Intel HEXL 库，在英特尔至强处理器平台上为同态加密业务负载提供了卓越的性能体验。同时，Intel HE Toolkit即将集成半同态 Paillier 加速库 IPCL，为半同态加密应用提供加速支持。此外，Intel HE Toolkit 还提供了示例内核、示例程序和基准测试 HEBench。这些示例

21、程序演示了利用主流的同态加密库构建各种同态加密应用保护用户隐私数据的能力。HEBench 则为各类第三方同态加密应用提供了公允的评价基准，促进了同态加密领域的研究与创新。主页：https:/ HE Toolkit:https:/ HEXL:https:/ Paillier Cryptosystem Library(IPCL):https:/ Bench:https:/ SGX Platform Software and Datacenter Attestation Primitives在龙蜥生态中为数据中心和云计算平台提供 Intel SGX 技术所需的平台软件服务，如远程证明等。RPM包：h

22、ttps:/download.01.org/intel-sgx/latest/linux-latest/distro/Anolis86/代码库：https:/ SGX SDK在龙蜥生态中为开发者提供使用 Intel SGX 技术所需的软件开发套件，帮助开发者高效便捷地开发机密计算程序和解决方案。RPM包：https:/download.01.org/intel-sgx/latest/linux-latest/distro/Anolis86/代码库：https:/ 是一个 TEE LibOS，是机密计算联盟（CCC,Confidential Computing Consortium）的官方开源项

23、目。目前 Occlum 支持 Intel SGX 和 HyperEnclave 两种 TEE。Occlum 在 TEE 环境中提供了一个兼容 Linux 的运行环境，使得 Linux 下的应用可以不经修改就在 TEE 环境中运行。Occlum 在设计时将安全性作为最重要的设计指标，在提升用户开发效率的同时保证了应用的安全性。Occlum 极大地降低了程序员开发 TEE 安全应用的难度，提升了开发效率。主页：https:/occlum.io/代码库：https:/ CCZoo(TensorFlowGramine/CSV/CSV/Inclavare Containers/KubeTEE Encla

24、ve Services/Occlum/SEV/SEV/SGX/TDX&Apache Teaclave Java TEE SDK/Intel HE Toolkit/Intel SGX&PSW&DCAPAnolis 8+ANCK 5.10AMD SEV(-ES)/CSV 1+2/Intel SGX 2.0/Intel TDX 1.0OS提供 TEE 有关的 Kubernetes 基础服务(如集群规模的密钥分发和同步服务、集群远程证明服务等），使得用户可以方便地将集群中多台 TEE 机器当作一个更强大的 TEE 来使用。代码库：https:/ Teaclave Java TEE SDKApache

25、Teaclave Java TEE SDK(JavaEnclave)是一个面向 Java 生态的机密计算编程框架，它继承Intel SGX SDK所定义的Host-Enclave机密计算分割编程模型。JavaEnclave提供一种十分优雅的模式，对一个完整的Java应用程序进行分割与组织。它将一个Java项目划分成三个子模块，Common子模块定义SPI服务接口，Enclave子模块实现SPI接口并以Provider方式提供服务，Host子模块负责TEE环境的管理和Enclave机密服务的调用。整个机密计算应用的开发与使用模式符合Java经典的SPI设计模式，极大降低了Java机密计算开发门槛

26、此外，本框架创新性应用Java静态编译技术，将Enclave子模块Java代码编译成Native形态并运行在TEE环境，极大减小了Enclave攻击面，杜绝了Enclave发生注入攻击的风险，实现了极致安全的Java机密计算运行环境。主页:https:/teaclave.apache.org 代码库:https:/ 是一个轻量级的 LibOS，旨在以最小的主机要求运行单个应用程序。Gramine 可以在一个隔离的环境中运行应用程序。其优点是可定制，易移植，方便迁移，可以媲美虚拟机。在架构上 Gramine 可以在任何平台上支持运行未修改的 Linux 二进制文件。目前，Gramine 可以在

27、 Linux 和 Intel SGX enclave 环境中工作。主页：https:/gramine.readthedocs.io/代码库：https:/ Trust Domain Extension(TDX)基于虚拟化扩展机密计算的隔离能力，通过构建机密虚拟机，为业务负载提供了虚拟机级别的机密计算的运行环境。通过Linux社区对TDX机密虚拟机的生态支持,基于Linux的业务应用可以方便的迁移到机密计算环境中。此外，Intel TDX Pod 级机密容器将TDX机密虚拟机技术同容器生态无缝集成，以云原生方式运行，保护敏感工作负载和数据的机密性和完整性。在机密虚拟机内部，默认集成了 image

28、rs 和 attestation-agent 等组件，实现了容器镜像的拉取、授权、验签、解密、远程证明以及秘密注入等安全特性。Confidential Computing Platform机密计算平台1011SM4CSVC86C86C86C86ASID1ASID1ASID1ASID2ASID2ASID1ASID2ASID2TLBcacheC86海光CSV：海光安全虚拟化技术项目位置链接https:/ Space ID）区分不同的CSV虚拟机和主机，每个CSV虚拟机使用独立的Cache、TLB等CPU资源，实现CSV虚拟机、主机之间的资源隔离。CSV虚拟机使用隔离的硬件资源，支持启动度量、远程

29、认证等功能，是安全的硬件可信执行环境。CSV机密容器技术将安全虚拟化技术与Kata容器技术结合，实现容器运行环境的度量和加密，容器中的程序可以使用远程认证功能实现身份证明。CSV机密容器和普通容器的接口完全兼容，用户可以使用Docker或者Kubernetes启动机密容器，实现对容器数据的隔离和保护。CSV技术构建了以安全加密虚拟机为基础的可信执行环境。在安全加密虚拟机保证了虚拟机数据机密性的基础上，更进一步保证了虚拟机数据的完整性，主机操作系统和虚拟机管理无法通过改写虚拟机嵌套页表对虚拟机实施重映射攻击。应用场景安全加密虚拟化可以保证最终用户数据的机密性和完整性，可用于实施机密计算，适用于云

30、计算和隐私计算场景。1213Intel SGX:Intel安全防护扩展项目位置链接https:/ Platform Module）的可信架构难以保障程序运行时的可信执行；TrustZone技术为程序提供了两种隔离的执行环境,但需要硬件厂商的签名验证才能运行在安全执行环境，开发门槛较高。解决方案英特尔软件防护扩展（Intel Software Guard Extensions，SGX）是一组安全相关的指令，它被内置于一些现代Intel 中央处理器（CPU）中。它们允许用户态及内核态代码定义将特定内存区域，设置为私有区域，此区域也被称作飞地（Enclaves）。其内容受到保护，不能被本身以外的任何

31、进程存取，包括以更高权限级别运行的进程。CPU对受SGX保护的内存进行加密处理。受保护区域的代码和数据的加解密操作在CPU内部动态完成。因此，处理器可以保护代码不被其他代码窥视或检查。SGX提供了硬件指令级安全保障，保障了运行时的可信执行环境,使恶意代码无法访问与篡改其他程序运行时的保护内容。Intel从第六代CPU开始支持SGX，SGX已经成为学术界的热点，各大云厂商也开始在云上部署基于SGX的应用。1415应用场景提供基础机密计算能力的支撑，在Intel SGX和TDX DCAP之上，支撑机密计算运行时，虚拟机，容器等具体的使用，最终让用户方便地将自己的workload运行到一个可信的机密

32、计算环境当中。用户情况用户使用情况对于龙蜥社区的机密计算应用，除了需要硬件上的支持，也需要软件基础架构的支持。所有的机密计算应用都会依赖于相应机密计算技术底层的软件开发包和运行时库。Intel为SGX和TDX Attestation提供了基础的软件架构支撑：主要包括SGX SDK，SGX PSW/(TDX)DCAP安装包的适配，和Anolis的集成。用户使用效果在vSGX虚拟机，TDX机密虚拟机，SGX LibOS运行时Occlum和Gramine当中，SGX SDK/PSW/(TDX)DCAP都提供了SGX，SGX 远程证明及TDX远程证明相关的软件支持（如API等）。后续计划在Anolis

33、 OS发布之前，Intel已经在CentOS和Alinux上支持了SGX SDK/PSW/DCAP软件包的构建和完整的测试。在2022年第二季度之后，我们又将TDX DCAP和SGX DCAP合并到统一的代码仓库。软件主要功能上准备完毕，安装包适配到Anolis OS的过程可以分为四个主要步骤：1、完成相关安装包（RPM）的构建和测试2、发布到Intel软件仓库3、提供RPM Build Spec4、集成到Anolis软件仓库用户证言Intel在龙蜥社区中将机密计算如SGX和TDX技术落地，服务于我们的客户。Intel目前提供了以SGX SDK/P-SW/DCAP,TDX DCAP软件包为代表

34、的TEE基础架构支撑，和基于LibOS的运行时支持Gramine。并以这些为基础支持了其他LibOS运行时如蚂蚁的Occlum，以及更高层次的机密计算应用，例如SGX虚拟化及SGX/TDX机密容器。Intel TDX:Intel安全虚拟化技术技术自身介绍背景近年来，随着隐私保护的呼声和关注度越来越高，越来越多的人开始关注集中化的云基础设施存在泄露租户隐私和敏感数据的风险。在此背景下，机密计算这一新的计算形态应运而生。机密计算是通过在基于硬件的可信执行环境（Trusted Execution Environment，TEE）中执行计算过程的全新计算模式，它能够对使用中的数据进行保护与隔离，防止具

35、有特权的云基础设施提供方对租户的应用程序和数据进行未经授权的访问。问题&挑战越来越多的租户业务尤其是企业负载需要利用云计算提供的弹性资源进行海量数据处理。这类租户要求CSP能够提供更好的安全和隔离解决方案，尤其是在处理租户敏感数据这一计算阶段的过程中，租户的敏感数据不能以明文形式暴露在内存中，而租户的安全性又不依赖于CSP。解决方案Intel Trust Domain Extensions（简称TDX）引入了一种新的、基于硬件隔离的虚拟机工作负载形态，所谓的Trust Domain（简称TD）。TDX是一种典型的机密计算技术，可以在在租户不可信的云基础设施上，为租户的工作负载提供一个系统级（相

36、比Intel SGX机密计算技术提供的应用级粒度）的安全可信的执行环境，同时保证租户运行环境的机密性和完整性。为此，需要将当前租户的TD，与CSP控制的特权级系统组件（比如VMM/hypervisor）、VM以及其他租户的TD都隔离开来，并将它们排除出当前租户的TCB，以确保当前租户的TD不受上述组件的影响。与VM相比，TD额外增加了以下能力：提供了VM内存的机密性和完整性保护 地址转换完整性保护 CPU状态机密性和完整性保护 对安全中断和异常的分发机制 远程证明TDX技术综合了MKTME（多密钥全加密内存）与VMX虚拟化技术，再添加新的指令集、处理器模式和强制实施的访问控制等设计。1617U

37、nmodifiedApplicationsUnmodifiedDriversTDX-EnlightenedOSTrust DomainUnmodifiedApplicationsUnmodifiedDriversTDX-EnlightenedOSTrust DomainApplicationsDriversOSLegacy VMApplicationsDriversOSLegacy VMTDX-Aware Host VMMPlatform(Cores,Caches,Devices etc.)Intel TDX ModuleRunning in SEAM Root ModeIntel TDXHo

38、st-SideInterfaceIntel TDXGuest-Side InterfaceIntel TDXGuest-Side InterfaceHost VMM managed access controlenhanced with MK-TMEIntel TDX module managed access controlleveraging MK-TME and Secure EPT用户情况目前Intel TDX已经在主流云平台上提供相关实例或部署计划：1、阿里云8代ECS 提供的TDX机密计算实例已经上线邀测。2、Microsoft Azure TDX机密计算实例也计划今年晚些时候提供

39、服务。AMD SEV:AMD安全加密虚拟化技术项目位置链接https:/ or Trusted执行环境中进行计算操作，以防止正在做计算的敏感数据被泄露或者修改。机密计算的核心是Trusted Execution Environment(TEE)，TEE既可基于硬件实现、也可基于软件实现，本文主要专注于基于硬件和密码学原理的实现，相比于纯软件解决方案，具有较高的通用性、易用性、可靠性、较优的性能以及更小的TCB。其缺点是需要引入可信方，即信任芯片厂商。此外由于CPU相关实现属于TCB，侧信道攻击也成为不可忽视的攻击向量，需要关注相关漏洞和研究进展。问题&挑战随着越来越多的业务上云，端到端的全链路

40、可信或机密正在慢慢成为公有云基础设施的默认要求而不再是一个特性，需要综合利用加密存储、安全网络传输、机密计算等技术来实现对用户敏感数据全生命周期的保护。机密计算是当前业界正在补齐的环节，主流的硬件平台已经部分提供或正在实现对机密计算的支持，如AMD SEV，Intel TDX和SGX，Arm CCA，IBM SE和RISC-V的KeyStone等。解决方案AMD SEV技术基于AMD EPYC CPU，将物理机密计算能力传导至虚拟机实例，在公有云上打造一个立体化可信加密环境。SEV可保证单个虚拟机实例使用独立的硬件密钥对内存加密，同时提供高性能支持。密钥由AMD平台安全处理器(PSP)在实例创

41、建期间生成，而且仅位于处理器中，云厂商无法访问这些密钥。AMD SEV提供了硬件级的内存加密方案,用以实现安全加密的虚拟化：内存控制器中集成了AES-128硬件加速引擎:客户操作系统通过页表选择要加密的页,对终端用户的应用程序没有任何改变。AMD安全内存加密（SME）:所有内存由单一的密钥进行加密,仅仅在BIOS中开启就可以实现（TSME）。AMD安全加密虚拟化（SEV）:每台虚拟机都会被分配自己的独立加密密钥,宿主机和客户虚拟机之间相互加密隔离。Confidential Virtual Machine也可以称作Secure Virtual Machine(SVM)，是最终实现机密计算的实体，

42、本身作为一个可信域存在，SVM自身和在其中运行的用户程序可以不受来自SVM之外的非可信特权软件和硬件的的攻击，从而实现对用户的机密数据和代码的保护。因为是整个虚拟机作为一个可信域，所以对运行于其中的用户程序可以做到透明，无需重构用户程序，对最终用户而言可以实现零成本可信（Trust Native）。用户情况目前AMD SEV 已经在主流的云平台上都已经提供相关的实例和部署：1、阿里云G8ae实例商业化中。2、Google公有云已经提供2代AMD SEV的机密计算实例。3、Microsoft Azure公有云已经提供了AMD SEV的机密计算实例和机密计算容器方案。AMD X86 CPUAMD1

43、819ARM CCA:Arm安全加密虚拟化技术项目位置链接Veracuz:https:/ of atteStatiON:https:/ world）和正常世界（Normal/Non-Secure world）。在安全环境中，通过底层硬件隔离，不同执行级别，安全鉴权方式等方式，从最根本的安全机制上提供基于信任根（Root of Trust）的可信执行环境TEE（Trusted Execution Environment）,通过可信服务（Trusted Services）接口与和通用环境REE（Rich Execution Environment）进行安全通信，可以保护TEE中的安全内容不能被非安

44、全环境的任何软件，包括操作系统底层软件等所访问，窃取，篡改和伪造等。因此一些安全的私密数据，比如一些安全密钥，密码，指纹以及人脸数据等都是可以放在安全世界的数据区中进行保护。当前，Trustzone机制已经非常成熟稳定，并得到大规模的应用，并以开源的方式给业界提供实现参考。可以访问https:/www.trustedfirmware.org/获取更多信息。然而，TrustZone所提供的安全机制和TEE环境只能提供硬件级别的安全隔离。通常情况下，安全物理地址空间的内存在系统引导时静态分配，适用于数量有限的平台。对于大规模云服务器的机密计算，旨在允许任何第三方开发人员保护他们的虚拟机（VM）或应

45、用程序，必须能够在运行时保护与VM或应用程序关联的任何内存，而不受限制或分割。解决方案Arm CCA引入了一种新的机密计算世界：机密领域（Realm）。在Arm CCA中，硬件扩展被称为Realm Management Extension(RME)，RME 会和被称之为机密领域管理监控器(Realm Management Monitor,RMM)，用来控制机密领域的专用固件，及在 Exception level 3 中的 Monitor 代码交互。Realm是一种Arm CCA环境，能被Normal world主机动态分配。主机是指能管理应用程序或虚拟机的监控软件。Realm及其所在平台的初始

46、化状态都可以得到验证。这一过程使Realm的所有者能在向它提供任何机密前就建立信任。因此，Realm不必继承来自控制它的Non-secure hypervisor的信任。主机可以分配和管理资源配置,管理调度Realm虚拟机。然而，主机不可以监控或修改Realm执行的指令。在主机控制下，Realm可以被创建并被销毁。通过主机请求，可以增加或移除页面，这与hypervisor管理任何其他非机密虚拟机的操作方式类似。Arm CCA技术能够从根本上解决用户敏感应用数据的安全计算问题。它充分利用软硬件实现的信任根提供的数据和程序的物理隔离、保护、通信和认证体系，并在传统TrustZone的基础上，增加了

47、被称为领域（Realm）的隔离区域，从最底层的安全机制和原理上解决用户程序和数据的隔离需求。当前应用情况Realm内运行的代码将管理机密数据或运行机密算法，这些代码需要确保正在运行真正的Arm CCA平台，而不是冒充者。这些代码还需要知道自己已经被正确地加载，没有遭到篡改。并且，这些代码还需要知道整个平台或Realm并不处于可能导致机密泄露的调试状态。建立这种信任的过程被称为“证明”。ARM正在与包括机密计算联盟成员在内的主要行业合作伙伴合作，定义这一证明机制的属性，确保在不同的产品和设备上使用常见的平台真实性和来源方法。Arm主导的开源软件Veracuz是一个框架，用于在一组相互不信任的个人

48、之间定义和部署协作的、保护隐私的计算；VERAISON-VERificAtIon of atteStatiON构建可用于证明验证服务的软件组件。Armv9-A架构引入了Arm CCA的RME功能特性，采用对应架构的芯片也将拥有此项功能。此外，基于CCA的软件支持已经在虚拟硬件平台上进行开发、测试和验证，将在硬件设备问世的同时实现同步支持。更多信息，可以访问 https:/ 获取更多信息。Arm Confidential Compute ArchitectureArm CCA builds on widely adopted TrustZone programming model to prot

49、ect User Code and DataVM1TATAEL0EL1EL2EL3HypervisorOS KernelAppAppMonitorSecureServiceSPMTOSTATASecureServiceTOSSPMVM1VM1EL0EL1EL2EL3RMMOS KernelOS KernelAppAppAppAppMonitorHypervisorTrustZoneRealm Management ExtensionNon-SecureBlockAllowAllowAllowSecurity State/PA SpaceNon-Secure PASecure PASecureN

50、on-SecureBlockBlockBlockBlockBlockBlockBlockAllowAllowAllowAllowAllowAllowAllowAllowAllowSecurity State/PA SpaceNon-Secure PASecure PARealm PARoot PASecureRealmRootNon-secureNon-secureRealmsecuresecureRSIRMI2021Intel SGX SDK/PSW/DCAP:Intel SGX软件开发套件和平台软件服务Intel SGX Platform Software and Datacenter A