最是书香能致远，腹有诗书气自华

对于机密计算联盟，其官方网站机密计算联盟是一个社区，专注于一些保护使用中数据的项目，通过开放合作，加速机密计算技术的落地应用。机密计算联盟 （CCC） 将硬件供应商、云提供商和软件开发人员聚集在一起，以加速可信执行环境 （TEE） 相关技术和标准的落地使用。CCC 是Linux 基金会的一个项目社区，致力于定义和加速机密计算的使用。从中我们能看到开放的管理和合作，这更有助于让我们的付出得到回报。这项付出包括来自众多成员组织的投入以及来自几个开源项目的贡献。

在机密计算典型交互活动中，所涉及的主要角色包括计算程序提供方；机密计算服务提供方；机密计算平台提供方；数据提供方；结果需求方。如图1所示，上述角色不限定为不同实体，即同一实体可以担任多种角色。图1 机密计算典型交互方关系图主要参与角色描述如下：a)计算程序提供方：负责提供需要在机密计算环境中运行的计算程序，计算程序应和结果需求方的计算需求描述相符。b) 机密计算服务提供方：负责为结果需求方提供机密计算服务的软件模块，服务提供方也提供服务的管理功能，如支持计算程序的录入与发布。

国家标准计划《信息安全技术 机密计算通用框架》由 TC260（全国信息安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。主要起草单位 华为技术有限公司 、中国电子技术标准化研究院 、中国移动通信集团有限公司 、蚂蚁科技集团股份有限公司 、北京冲量在线科技有限公司 、北京百度网迅科技有限公司 、北京数字认证股份有限公司 、深圳致星科技有限公司 、北京数牍科技有限公司 、上海富数科技有限公司 、北京八分量信息科技有限公司 、中国科学院软件研究所 、中国科学院信息工程研究所。

国家标准计划《信息安全技术 机密计算通用框架》由 TC260（全国信息安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。主要起草单位 华为技术有限公司 、中国电子技术标准化研究院 、中国移动通信集团有限公司 、蚂蚁科技集团股份有限公司 、北京冲量在线科技有限公司 、北京百度网迅科技有限公司 、北京数字认证股份有限公司 、深圳致星科技有限公司 、北京数牍科技有限公司 、上海富数科技有限公司 、北京八分量信息科技有限公司 、中国科学院软件研究所 、中国科学院信息工程研究所。

为了兼顾安全与开放，通常会在一个设备上基于硬件级隔离同时建立起两个完整的执行环境。其中，一个环境负责处理对功能性、开放性等要求较高的业务，定义为富执行环境；另一个负责处理对安全性、机密性要求较高的业务，定义为可信执行环境。两个执行环境在同一个设备上同时并存，其运行所需要的CPU、内在、外设等资源在硬件级安全机制基础上严格隔离，隔离机制按GB/T 20271-2006中4.2.5关于特别安全防护规定的要求。富执行环境中的客户端应用和可信执行环境中的可信应用相互通信、相互协作，共同构成一个完整的应用。

随着全球数据日益呈几何级数增长，数据共享和数据机密性要求的矛盾变得越来越严重。在数据挖掘和增值数据推导过程中对保护数据安全至关重要。基于可信执行环境的安全计算有助于防止在执行计算任务时泄露和滥用数据。对安全计算的需求来自许多方面。首先，用户需要在不可信环境中保护数据安全。其次，企业本身有数据防御要求，以抵御日益增加的内部和外部攻击。第三，在多个组织之间的共享数据的场景，相互信任不足的不同合作伙伴仍然渴望相互合作，训练出更智能的模型。目前，有许多场景需要安全计算技术。

CCA 硬件架构引入两种新的状态 Realm 和 Root，Realm 状态下运行机密计算程序，Root 运行 EL3 firmware。Armv9 硬件架构分为 4 种特权模式和 4 种状态：特权模式分别为EL3，EL2，EL1，EL0；状态分别为 Root，Realm，Secure, Non-Secure。状态控制寄存器位于 SCR_EL3 的 NS 和 NSE位，状态关系如图。Root 状态包含 EL3 模式Realm 状态包含 EL2，EL1，EL0 模式。

可信执行技术(Trusted Execute Technology，TXT)是Intel公司的可信计算技术，主要通过改造芯片组和CPU，增加安全特性，通过结合一个基于硬件的安全设备—可信平台模块(Trusted Platform Module，TPM)，提供完整性度量、密封存储、受保护的I/O、以及受保护的显示缓冲等功能，主要用于解决启动进程完整性验证和提供更好的数据保护。TXT 是基于 cpu 实现的动态信任根，取代基于BIOS 的静态信任根。

A 通常想要使用 B 提供的服务时，B 会要求 A 证明其处于正常、健康的状态下，A 即是 证明方（Attester），而 B 称为依赖方（Relying Party）。这个和身份认证模型类似，但是证明涉及的会更多一些；如果以生活中以进出某些场所核验身份证进行身份认证外，还需要核对本人的状态是否正常，比如是否醉酒、是否发烧、精神是否正常等等。通常依赖方 B 并不能直接验证证明者 A 提供的证据（表明其正常），需要依赖C 来对证据进行核验并将核验结果告知 B，C 即是验证方（Verifier）。

机密计算技术可在数据处理过程中保护数据，加密密钥的排他控制可在云端提供更强的端到端数据安全性。保密计算是一种云计算技术，可在数据处理过程中将敏感数据隔离在受保护的 CPU 围圈中。围圈中的内容 — 正在处理的数据以及用于处理它的技术 — 只能由授权编程代码访问，对任何其他人(包括云提供商)都是不可见和不可知的。随着公司领导人越来越依赖公共及混合云服务，云中的数据隐私已势在必行。

机密计算是由(CCC) 定义的一个行业术语，CCC 是专注于定义并加速机密计算落地的基金会。CCC 给机密计算的定义是：通过在基于硬件的可信执行环境 (TEE) 中执行计算来保护使用中的数据。TEE 是是一个只能执行授权代码并对齐进行保护的环境，TEE 外部的任何代码都无法读取或篡改该环境中的任何数据。机密计算威胁模型旨在消减云提供商和运营商以及租户域中的其他行动者访问正在执行的代码和数据的能力。数据加密能够对数据存储和数据传输进行保护，但是加密最大的挑战是保护运行中数据；

Open Enclave SDK 是一个与硬件无关的开源库，用于开发基于硬件的可信执行环境的应用程序，即飞地（Enclave）。Open Enclave （OE） 是一个 SDK，基于 C 和 C++ 语言构建安全区应用程序。不受信任的部分（组件）（称为 host）受信任的部分（组件）（称为 enclave）enclave是受保护的内存区域，可为数据和代码提供机密访问运行的环境。它是可信执行环境 （TEE） 的一种实例，通常由硬件保护，例如英特尔软件防护扩展 （SGX）。

在过去的四代中，NVIDIA 一直在不断提高安全性和设备的完整性。最早有文献记载的工作之一是在 NVIDIA V100 GPU 中，为设备上运行的固件提供了 AES 身份验证。身份验证可以保证用户可以信任启动固件没有被破坏，也没有被篡改。随着时间的推移，NVIDIA 推出了诸如对 T4 中的固件进行加密，使恶意攻击者无法轻松查看潜在安全漏洞， Ampere 节点添加了外部微控制器审查固件（ERoT）以确保固件的有效性，到后来的 Hopper：一个完全保密的具有计算能力的GPU。

VirTEE/sev 工具箱提供了一套基于 rust 语言的简单易用的 API 来访问 AMD EPYC 处理器内的安全处理器，这个库已经早已经支持传统的 SEV 固件，最近在 VirTEE 社区中又增加了新的 SEV-SNP 固件的支持，主要是第三代和新上市的 AMD EPYC 处理器。平台所有者：管理用来部署虚拟机、容器系统软件，比如主机或者云服务商。这些系软件主要指的是运行机密虚拟机、机器容器的虚拟机监视器 hypervisor。来宾所有者：指的是部署工作负载者。

本文介绍如何使用阿里云虚拟化 Enclave 创建一个可信的隔离空间，从而保护您的应用程序和数据的安全。阿里云方案是基于虚拟化 Enclave 实现的，即通过虚拟机技术。

机密计算是基于硬件支持的可信执行环境的，比如 Intel SGX 硬件技术上面的 enclave 以及 Arm Trustzone 上的 OT-TEE，不过这些异构的 TEE 之间差异还是蛮大的，所以亟需一种能够屏蔽 TEE 差异软件中间件或者 SDK，这就是本文将要提到的微软 Open Enclave SDK。Open Enclave 提供了异构 TEE （SGX 和 OP-TEE）的兼容，为上层机密应用提供了同一的接口，同时为机密计算提供了远程证明、多高级语言支持等功能。

（Library Operating System，简称 LibOS）是根据某类应用的特殊需求，由某一高级编程语言将原本属于操作系统内核的某些资源管理功能，如文件磁盘 I/O、网络通信等，按照模块化的要求，以库的形式提供给应用程序的特殊操作系统。它能代替操作系统内核合理地管理和控制所涉及的计算机资源，并将所涉及的计算机资源直接暴露给应用程序，让应用程序直接访问底层（虚拟）硬件，以便应用程序能够高效地运行。

Mystikos 是一个运行库和一组工具，用于在硬件可信执行环境（TEE）中运行 Linux 应用程序。当前版本支持英特尔 SGX，而未来版本可能支持其他 TEE。