龙蜥云原生机密计算 SIG 成立，7 大开源项目亮相

随着通信、网络和计算技术的持续演进与广泛应用，数据资源的开放共享、交换流通成为推动“万物互联、智慧互通”的重要趋势。与此同时，近年来数据安全事件频发、数据安全威胁日趋严峻，数据的安全处理和流通受到了国内外监管部门的广泛重视。如何在保障安全的前提下最大程度发挥数据的价值，是当前面临的重要课题。

在日益严苛的隐私保护相关法律法规约束下，作为当前数据处理基础设施的云计算也正在经历一次重大的范式转换，即从默认以 CSP 为信任基础的计算范式走向信任链与 CSP 解耦的新范式。我们将此范式称为隐私保护云计算，而机密计算是实现隐私保护云计算的必由之路。

为拥抱隐私保护云计算新范式，促进隐私保护云计算生态发展，龙蜥社区成立了云原生机密计算（以下简称“CNCC”）SIG。

 CNCC SIG 愿景

CNCC SIG 致力于通过开源社区合作共建的方式，为业界提供开源和标准化的机密计算技术以及安全架构，推动云原生场景下机密计算技术的发展。工作组将围绕 SIG 下的核心项目构建云原生机密计算开源技术栈，降低机密计算的使用门槛，简化机密计算在云上的部署和应用步骤，拓展使用场景及方案，提升龙蜥社区的差异化竞争力。

CNCC SIG 的愿景是：

1）构建安全、易用的机密计算技术栈

2）适配各种常见机密计算硬件平台

3）打造典型云上机密计算产品和应用案例

 CNCC SIG 成员介绍

Owners

段然、冯浩、汪少军、张佳

Maintainer

段然（Occlum）

冯浩（CSV 机密容器）

郝世荣/杨亮（Inclavare Containers）

汪少军（JavaEnclave）

肖俊贤（KubeTEE Enclave Services）

 项目介绍

1、CSV 机密容器 

CSV 是海光研发的安全虚拟化技术。CSV1 实现了虚拟机内存加密能力，CSV2 增加了虚拟机状态加密机制，CSV3 进一步提供了虚拟机内存隔离支持。CSV 机密容器能够为用户提供虚拟机内存加密和虚拟机状态加密能力，主机无法解密获取虚拟机的加密内存和加密状态信息。CSV 虚拟机使用隔离的 TLB、Cache 等硬件资源，支持安全启动、代码验证、远程认证等功能。

 2、Inclavare Containers 

Inclavare Containers 是一种面向机密计算场景的开源 Intel SGX LibOS 容器运行时技术栈和安全架构。Inclavare Containers 把机密计算技术和容器技术完美地结合在一起，实现了第一个容器形态的机密计算解决方案。用户的敏感应用可以部署和运行在由 Inclavare Containers 创建的机密容器中，在保证安全的前提下，同时保持与普通容器一致的使用体感。目前 Inclavare Containers 已经是 CNCF 的 Sandbox 项目之一。

3、Intel SGX Platform Software and Datacenter Attestation Primitives

在龙蜥生态中为数据中心和云计算平台提供 Intel SGX 技术所需的平台软件服务，如远程证明等。

4、Intel SGX SDK

在龙蜥生态中为开发者提供使用 Intel SGX 技术所需的软件开发套件，帮助开发者高效便捷地开发机密计算程序和解决方案。

5、JavaEnclave

JavaEnclave 是一个面向 Java 生态的机密计算编程模型，它继承了 Intel SGX SDK 所定义的 Host-Enclave 机密计算分割编程模型，提供 Pure Java 的机密计算应用开发界面，并致力于最小化 Enclave TCB 攻击面，同时支持多 TEE 平台兼容。基于该编程模型，帮助用户高效开发 Java 机密计算业务，提供极致安全的机密运行环境。（注：目前没有开源，还请关注龙蜥社区公众号不迷路，后续开源动态第一时间掌握）

6、KubeTEE Enclave Services

提供 TEE 有关的 Kubernetes 基础服务 (如集群规模的密钥分发和同步服务、集群远程证明服务等），使得用户可以方便地将集群中多台 TEE 机器当作一个更强大的 TEE 来使用。

7、Occlum

Occlum 是一个 TEE LibOS，是机密计算联盟（CCC, Confidential Computing Consortium）的官方开源项目。目前 Occlum 支持 Intel SGX 和 HyperEnclave 两种 TEE。Occlum 在 TEE 环境中提供了一个兼容 Linux 的运行环境，使得 Linux 下的应用可以不经修改就在 TEE 环境中运行。Occlum 在设计时将安全性作为最重要的设计指标，在提升用户开发效率的同时保证了应用的安全性。Occlum 极大地降低了程序员开发 TEE 安全应用的难度，提升了开发效率。

 CNCC SIG 全年规划

1、CSV 机密容器

Q2：CSV 机密容器方案支持 Anolis OS

Q4：CSV2 机密容器方案支持 Anolis OS

2、Inclavare Containers机密容器

Q2：Enclave-CC 完成 PoC

Q4：实现 Enclave-CC 进程级机密容器方案（Occlum NGO + Inclavare Containers）

3、Intel SGX Platform Software and Datacenter Attestation Primitives

Q3：完成 SGX PSW / DCAPK 软件栈对 Anolis OS 的支持

Q4：正式在 Intel 软件仓库发布支持 Anolis OS 的 SGX PSW/DCAP 软件栈

4、Intel SGX SDK

Q3：完成 SGX SDK 软件栈对 Anolis OS 的支持

Q4：正式在 Intel 软件仓库发布支持 Anolis OS 的 SGX SDK 软件栈

5、JavaEnclave 编程模型

Q2：JavaEnclave 机密计算项目开源Q3：兼容 TDX/CSV 机密容器形态 TEE 平台

Q4：多语言支持（Python）

6、Occlum

Q4：稳定 Rust-SGX-SDK 2.0.0 版本（TEE 侧全 Rust 语言实现）

Q4：Rust-SGX-SDK 支持 Anolis OS

Q4：Occlum NGO 支持 Enclave-CC 进程级机密容器

云原生机密计算 SIG网址、各项目主页及github官网可移步龙蜥公众号（OpenAnolis龙蜥）2022年5月12日相同推送查看。

—— 完 ——