除企業(yè)和個人對數(shù)據(jù)隱私愈發(fā)重視外，國家在數(shù)據(jù)流通安全方面的法律法規(guī)也逐漸完善，并且推出了一系列法律法規(guī)。

隱私計算之TEE技術(shù)和應(yīng)用實踐分析

大數(shù)據(jù)時代，數(shù)據(jù)流通、安全等問題接踵而至。

據(jù)IDC預(yù)測，全球數(shù)據(jù)總量預(yù)計2020年達到44ZB，我國數(shù)據(jù)量將達到8060EB，占全球數(shù)據(jù)總量的18%。2025年全球大數(shù)據(jù)規(guī)模將增長至163ZB，但據(jù)統(tǒng)計98%的企業(yè)數(shù)據(jù)都存在數(shù)據(jù)孤島問題，各自存儲難以流通，使得數(shù)據(jù)價值無法得到充分利用。隨著數(shù)據(jù)量量級迅速增長，以及數(shù)據(jù)自身的特殊性質(zhì)，數(shù)據(jù)流通安全問題顯得尤為重要。除企業(yè)和個人對數(shù)據(jù)隱私愈發(fā)重視外，國家在數(shù)據(jù)流通安全方面的法律法規(guī)也逐漸完善，并且推出了一系列法律法規(guī)。

(內(nèi)容來源于網(wǎng)上公開資料)

在數(shù)據(jù)安全問題頻出的時代，隱私計算中的TEE技術(shù)作為一種可以在保證數(shù)據(jù)“可用而不可見”的前提下進行數(shù)據(jù)運算的技術(shù)，逐漸被大家所關(guān)注。

一、隱私計算TEE技術(shù)介紹

TEE全名為可信執(zhí)行環(huán)境(Trusted Execution Environment)是計算平臺上由軟硬件方法構(gòu)建的一個安全區(qū)域，可保證在安全區(qū)域內(nèi)部加載的代碼和數(shù)據(jù)在機密性和完整性方面得到保護。其目標(biāo)是確保一個任務(wù)按照預(yù)期執(zhí)行，保證初始狀態(tài)的機密性、完整性，以及運行時狀態(tài)的機密性、完整性。

1.1 發(fā)展歷史

TEE相關(guān)標(biāo)準(zhǔn)組織的成立：1999年，康柏、HP、IBM、Intel、微軟等企業(yè)發(fā)起成立了可信計算平臺聯(lián)盟TCPA(Trusted Computing Platform Alliance)該組織于2003年改組為可信計算組織TCG，并制定了關(guān)于可信計算平臺、可信存儲和可信網(wǎng)絡(luò)鏈接等一些列技術(shù)規(guī)范。

TEE的實現(xiàn)：2009年OMTP (Open Mobile Terminal Platform，開放移動終端平臺)率先提出了一種雙系統(tǒng)解決方案：即在同一個智能終端下，除了多媒體操作系統(tǒng)外再提供一個隔離的安全操作系統(tǒng)，這一運行在隔離的硬件之上的隔離安全操作系統(tǒng)用來專門處理敏感信息以保證信息的安全。

TEE相關(guān)標(biāo)準(zhǔn)的規(guī)范：2011年GlobalPlatform(全球最主要的智能卡多應(yīng)用管理規(guī)范的組織，簡稱為GP)從2011年起開始起草制定相關(guān)的TEE規(guī)范標(biāo)準(zhǔn)，并聯(lián)合一些公司共同開發(fā)基于GP TEE標(biāo)準(zhǔn)的可信操作系統(tǒng)。因此，如今大多數(shù)基于TEE技術(shù)的Trust OS都遵循了GP的標(biāo)準(zhǔn)規(guī)范。

TEE相關(guān)的芯片廠商：在國外 ARM公司、Intel和AMD公司分別于2006、2015和2016年各自提出了硬件虛擬化技術(shù)TrustZone、 Intel SGX和AMD SEV技術(shù)及其相關(guān)實現(xiàn)方案，在國內(nèi)由中關(guān)村可信計算產(chǎn)業(yè)聯(lián)盟2016年發(fā)布TPCM可信平臺控制模塊，為國產(chǎn)化可信執(zhí)行環(huán)境TEE技術(shù)的發(fā)展起到了指導(dǎo)作用，國內(nèi)芯片廠商兆芯、海光分別在2017年和2020年推出了支持可信執(zhí)行環(huán)境技術(shù)ZX-TCT、海光CSV(China Security Virtualization)。

(內(nèi)容來源于網(wǎng)上公開資料)

二、TEE分類和系統(tǒng)架構(gòu)

TEE技術(shù)是隱私計算的核心技術(shù)之一，目前較為成熟的技術(shù)主要有：Intel SGX、ARM TrustZone、AMD SEV和Intel TXT。

2.1 Intel SGX

Intel® Software Guard Extensions(英特爾® SGX)是一組用于增強應(yīng)用程序代碼和數(shù)據(jù)安全性的指令，開發(fā)者使用SGX技術(shù)可以把應(yīng)用程序的安全操作封裝在一個被稱之為Enclave的容器內(nèi)，保障用戶關(guān)鍵代碼和數(shù)據(jù)的機密性和完整性。

(圖片來自：Intel Sgx Product Brief 2019 )

Intel SGX最關(guān)鍵的優(yōu)勢在于將應(yīng)用程序以外的軟件棧如OS和BIOS都排除在了Trusted Computing Base(簡稱TCB)以外，一旦軟件和數(shù)據(jù)位于Encalve中，即便是操作系統(tǒng)和VMM(Hypervisor)也無法影響Enclave里面的代碼和數(shù)據(jù)，Enclave的安全邊界只包含CPU和它本身。

(圖片來自：Intel Sgx Product Brief 2019 )

SGX Enclave運行時主要由三個部分組成，分別是運行在Ring0的系統(tǒng)模塊即SGX驅(qū)動，和運行在Ring3中的非可信運行時系統(tǒng)即uRTS，以及運行在EPC內(nèi)存區(qū)的可信運行時系統(tǒng)(tRTS)，其中Enclave代碼和數(shù)據(jù)放置在被稱為Enclave Page Cache。

(圖片來自：Caslab官網(wǎng))

SGX驅(qū)動主要完成如下工作：

Enclave加載。

內(nèi)存空間分配與銷毀。

換頁和缺頁中斷處理。

uRTS主要完成如下工作：

Enclave加載和卸載。

調(diào)用管理，處理所有ECall和OCall請求。其中ECall指調(diào)用Enclave內(nèi)的請求，OCall指從Enclave內(nèi)調(diào)用外部的請求。

異常處理，判斷具體異常反向調(diào)用Enclave。

tRTS主要完成如下工作：

Enclave加載。

調(diào)用管理，處理ECall和OCall。

Enclave代碼和數(shù)據(jù)放置在被稱為Enclave Page Cache(EPC)的特殊內(nèi)存區(qū)域中，該內(nèi)存區(qū)域使用內(nèi)存加密引擎(MEE)進行加密，下圖展示的是SGX對Enclave內(nèi)存的保護過程：

(圖片來自：Overview of Intel SGX - Part 1, SGX Internals)

值得關(guān)注的是，Intel SGX已經(jīng)先后發(fā)布了SGX1與SGX2兩代次。其中在服務(wù)端芯片中SGX2已在2021正式開始大規(guī)模商用。

(圖片來自：Caslab官網(wǎng))

(圖片來自：Caslab官網(wǎng))

SGX2相較于SGX1增加了Enclave動態(tài)內(nèi)存管理(Enclave Dynamic Memory Management，簡稱為EDMM)能力。在SGX1的指令集中，創(chuàng)建Enclave時需要提前確認Enclave需要用到的內(nèi)存大小。并且在運行過程中代碼模塊不能動態(tài)加載到Enclave中。這種設(shè)計一是增加了Enclave的啟動時間，因為需要確認所有內(nèi)存地址。二是限制了EPC的空間大小，因為需要預(yù)分配，考慮到合理性，SGX1 EPC內(nèi)存上限被設(shè)置為256M。這就導(dǎo)致了在運行過程中超過256M的堆棧，會被以換頁的形式加密換出到系統(tǒng)內(nèi)存中，類似換頁就會帶來較大的性能開銷。

SGX2設(shè)計引入了EDMM機制，提供了在保證安全性的同時可動態(tài)擴縮Enclave內(nèi)存的能力。EDMM方案中EPC中內(nèi)存的分配主要有基于OCall事件觸發(fā)的分配以及基于缺頁終端觸發(fā)的分配兩種模式。其核心都是由SGX Driver分配內(nèi)存頁，再由Enclave確認分配生效，分配機制對應(yīng)用層透明。

SGX2在引入EDMM后，安全性沒有降低。SGX2依舊確保Enclave內(nèi)存頁的一致性，一致性可以被度量。由于內(nèi)存分配依賴OS，為了防止OS提供錯誤的內(nèi)存頁，每一次內(nèi)存調(diào)整Enclave都需要二次檢查內(nèi)存頁(包括權(quán)限)的正確性。

SGX支持通過安全認證技術(shù)來向挑戰(zhàn)者證明Enclave中運行的用戶程序的完整性和真實性。SGX的安全認證分為本地認證和遠程認證，下圖展示的是SGX的遠程認證流程：

(圖片來自：Intel Software Guard Extensions EPID Provisioning and Attestation Services)

2.2 ARM TrustZone

ARM TrustZone是ARM公司推出的TEE解決方案，它通過對原有硬件架構(gòu)進行修改，在處理器層次引入了兩個不同權(quán)限的保護域 --安全世界和普通世界，任何時刻處理器僅在其中的一個環(huán)境內(nèi)運行。

同時這兩個世界完全是硬件隔離的，并具有不同的權(quán)限，正常世界中運行的應(yīng)用程序或操作系統(tǒng)訪問安全世界的資源受到嚴格的限制，反過來安全世界中運行的程序可以正常訪問正常世界中的資源。

（圖片來自：ARM官網(wǎng)）

各芯片產(chǎn)商會根據(jù)ARM公司對于TrustZone的硬件設(shè)計在具體的芯片上進行設(shè)計和實現(xiàn)，基于TrustZone技術(shù)，可以搭建一個可信執(zhí)行環(huán)境TEE，在TEE內(nèi)可以有基于TrustZone的操作系統(tǒng)，如高通的QSEE、開源的OPTEE等，下圖即為高通的QSEE的整體架構(gòu)。

(圖片來自：Blogspot: Exploring Qualcomms Secure Execution)

在國產(chǎn)化方面，飛騰、華為等都推出了基于ARM架構(gòu)CPU的TrustZone方案，如下圖所示是支持TrustZone技術(shù)的飛騰FT-2000CPU的系統(tǒng)軟件架構(gòu)。

(圖片來自：天津飛騰信息技術(shù)有限公司 FT-2000+/64 系統(tǒng)軟件開發(fā)指南)

2.3 AMD SEV

SEV是由AMD提出的安全虛擬化Secure Encrypted Virtualization技術(shù)。主要有三個核心技術(shù)：

SVM，虛擬化技術(shù)。

SME，內(nèi)存加密技術(shù)。

SEV，虛機內(nèi)存保護技術(shù)。

SVM即AMD Secure Virtual Machine的縮寫。這是由AMD提供的虛擬化技術(shù)，用來X86上支持基于硬件的虛擬化技術(shù)，通過硬件提供的輔助加速功能，可以有效提高虛擬化性能。為了支持虛擬化技術(shù)，AMD虛擬機框架做了以下設(shè)計：

提供VMM(即Hypervisor)和Guest(即虛擬機)之間的快速切換機制。

攔截虛擬機中特定指令和事件的能力。

對內(nèi)存提供外部(DMA)訪保護。

輔助中斷處理和虛擬中斷(Virtual Interrupt)支持。

對屬于Guest和Host(宿主機)的TLB使用標(biāo)簽來減少虛擬化的開銷。

SME是Secure Memory Encryption的縮寫。AMD在DRAM的控制器中添加了加解密模塊，用來控制內(nèi)內(nèi)存數(shù)據(jù)的加密和解密。

(圖片來自：AMD Memory Encryption white paper)

SEV(Secure Encrypted Virtualization)是在SVM、SME的基礎(chǔ)上對虛擬機進行保護提供的安全增加功能，主要完成對虛擬機內(nèi)存數(shù)據(jù)的保護。

將主內(nèi)存加密功能與現(xiàn)有的AMD-V虛擬化體系結(jié)構(gòu)來支持加密的虛擬機。 加密虛擬機不僅可以讓虛擬機免受物理威脅，還可以免受其他虛擬機甚至是hypervisor本身。 因此，SEV代表了一種新的虛擬化安全范例，特別適用于虛擬機不需要完全信任其主機的hypervisor和管理員的云計算系統(tǒng)。 與SME一樣，不需要修改應(yīng)用程序軟件即可支持SEV。

(圖片來自：AMD x86 Memory Encryption Technology)

在國產(chǎn)化方面，海光推出過相關(guān)的解決方案。

2.4 Intel TXT

Intel TXT(Trusted Execution Technology)的主要目標(biāo)是通過使用特定的Intel CPU、專用硬件以及相關(guān)固件，建立一個從開機就可信的環(huán)境，從而為系統(tǒng)上運行的用戶程序提供更好的安全保護。

(圖片來自：英特爾官網(wǎng))

Intel TXT依賴于可信平臺模塊(Trusted Platform Module，TPM)來保存軟件的指紋信息，每次軟件啟動時都會Intel TXT都會檢測并對比這些指紋信息是否一致，從而判斷是否存在風(fēng)險。

Intel TXT引入了兩個TCG概念：靜態(tài)信任鏈(Static Chain of Trust)和動態(tài)信任鏈(Dynamic Chain of Trust)，如下圖所示。靜態(tài)信任鏈度量平臺配置，動態(tài)信任鏈度量系統(tǒng)軟件、軟件配置及策略。對于Intel TXT而言，信任根(Root of Trust)就是支持TXT技術(shù)的Intel CPU。

(圖片來自：英特爾官網(wǎng))

在國產(chǎn)化方面，兆芯推出過基于其自主設(shè)計的開先系列CPU的ZX-TCT解決方案，來應(yīng)用于可信計算領(lǐng)域。

三、TEE的優(yōu)勢和劣勢

3.1 TEE的技術(shù)特點

2009年OMTP(Open Mobile Terminal Platform)組織在《OMTP Advanced Trusted Environment OMTP TR1 V11》中明確定義TEE的相關(guān)概念和規(guī)范，定義TEE為“一組軟硬件組件，可以為應(yīng)用程序提供必要的設(shè)施”，相關(guān)實現(xiàn)需要支持兩種安全級別中的一種：

(1)安全界別(Profile 1)目標(biāo)要求可以抵御軟件級別的攻擊。

(2)安全界別(Profile 2)目標(biāo)要求可以同時抵御軟件和硬件攻擊。

針對TEE的相關(guān)概念及規(guī)范定義，各家軟、硬件廠商結(jié)合自己的基礎(chǔ)架構(gòu)形態(tài)具體實現(xiàn)各不相同。雖然在技術(shù)實現(xiàn)上存在差異性，但是仍可抽象出TEE的共同技術(shù)特點。具體而言，TEE存在以下技術(shù)特點：

隔離性：X86架構(gòu)的隔離機制從Intel 80286處理器開始，Intel提出了CPU的兩種運行模式，并且逐步衍生出后來的不同的特權(quán)界別，再后來提出了安全區(qū)域更小的SGX機制實現(xiàn)可信執(zhí)行環(huán)境TEE。同樣的，ARM架構(gòu)通過TrustZone技術(shù)實現(xiàn)了相關(guān)軟硬件的隔離性，實現(xiàn)安全世界與非安全世界的隔離。TEE通過隔離的執(zhí)行環(huán)境，提供一個執(zhí)行空間，該空間有更強的安全性，比安全芯片功能更豐富，提供其代碼和數(shù)據(jù)的機密性和完整性保護。

軟硬協(xié)同性：雖然標(biāo)準(zhǔn)定義可以通過軟件方式或硬件方式實現(xiàn)TEE，但實際生產(chǎn)場景下，行業(yè)內(nèi)更多通過軟硬結(jié)合的方式進行安全性的保障與支持。

富表達性：TEE與單純的安全芯片或純軟件的密碼學(xué)隱私保護方案相比支持的上層業(yè)務(wù)表達性更強，由于只需要定義好業(yè)務(wù)層面隱私區(qū)域和非隱私區(qū)域的邏輯劃分，而不會對定義隱私區(qū)域內(nèi)的算法邏輯的語言有可計算性方面的限制(圖靈完備的)。同時由于TEE已經(jīng)提供了”安全黑盒“，安全區(qū)域內(nèi)數(shù)據(jù)無需進行密態(tài)運算，從而支持更多的算子及復(fù)雜算法。

3.2 TEE的優(yōu)勢

根據(jù)TEE的技術(shù)特定可以總結(jié)其優(yōu)勢：

(1)可信區(qū)域內(nèi)可支持多層次、高復(fù)雜度的算法邏輯實現(xiàn)。

(2)運算效率高，相較于明文計算僅有3-4倍損耗，相比MPC及聯(lián)邦學(xué)習(xí)100+倍的運算損耗具有一定的優(yōu)勢。

(3)能夠應(yīng)對惡意攻擊模型下的攻擊手段，通過可信度量的方式保證TEE的運行邏輯的可信及可度量性。

3.3 TEE的劣勢

相對的TEE的劣勢如下：

(1)方案實現(xiàn)依賴底層硬件架構(gòu)。

(2)更新升級需要同步進行軟硬件升級。

(3)不同廠商的TEE技術(shù)互聯(lián)互通方面有待加強形成更統(tǒng)一的生產(chǎn)級行業(yè)標(biāo)準(zhǔn)與事實標(biāo)準(zhǔn)。

四、業(yè)界布局

可信執(zhí)行環(huán)境TEE技術(shù)因可支持多層次、高復(fù)雜度的算法邏輯實現(xiàn)、 運算效率高和可信度量的方式保證TEE的運行邏輯的可信及可度量性的特性，受到業(yè)界一致認可，越來越多可信執(zhí)行環(huán)境TEE的開源框架和產(chǎn)品踴躍而出。

4.1 開源框架

(內(nèi)容來源于網(wǎng)上公開資料)

4.2 Teaclave

Teaclave是由百度公司開源的基于TEE的安全計算平臺，目前是Apache孵化項目之一，在貢獻給Apache之前項目名為MesaTEE。Teaclave設(shè)計思路是構(gòu)建一個類FaaS(Function as a Service)的計算平臺服務(wù)。平臺在提供TEE機密計算、遠程驗證、安全存儲等功能基礎(chǔ)上，再通過一套任務(wù)管理框架實現(xiàn)了多任務(wù)的管理和并發(fā)操作。同時按照FaaS的設(shè)計邏輯實現(xiàn)計算函數(shù)的可插拔。

Teaclave后端核心模塊包括管理服務(wù)、調(diào)度服務(wù)、鑒權(quán)服務(wù)和機密存儲服務(wù)，這些服務(wù)全部在Enclave運行。各模塊之間通過統(tǒng)一形式的RPC接口通信，并且端到端雙向驗證。具體的函數(shù)執(zhí)行通過調(diào)度服務(wù)分派到不同的TEE工作節(jié)點上完成。

當(dāng)前Teaclave支持兩類計算實現(xiàn)，一類由Rust實現(xiàn)，通過實現(xiàn)預(yù)定義的run方法，并將類注冊到執(zhí)行器類中即可發(fā)起對應(yīng)方法的任務(wù)。另一類由python實現(xiàn)，python實現(xiàn)的代碼會在具體執(zhí)行時被TEE內(nèi)的解釋器翻譯執(zhí)行。底層使用的是MesaPy for SGX解釋器，目前已經(jīng)支持Marshal、Math、Binascii、Itertools、Micronumpy等工具庫。

4.3 Graphene

Graphene是一個SGX LibOS項目，Graphene本身直接與SGX AESM Gateway服務(wù)進行交互，所以在實現(xiàn)上不依賴SGX SDK。目前已經(jīng)封裝了47個Host ABI接口，其中36個需要OCall。支持包括fork、exec在內(nèi)大部分System V IPC。Graphene目前包含接近5萬行LibOS代碼和2萬行SGX PAL代碼。編譯后接近1MB，可以說非常輕量。

Graphene用戶態(tài)多進程模型是由LibOS隔離的，即通過創(chuàng)建新的Enclave來啟動新的OS進程。LibOS之間使用RPC模擬進程間通信。

在Graphene上已經(jīng)進行過充分驗證的應(yīng)用包括Tensorflow、Pytorch、OpenVINO等機器學(xué)習(xí)框架，Memchached、Redis、Nginx、Apache HTTP Server等企業(yè)級服務(wù)。

4.4 Occlum

Occlum是螞蟻金服公司開源的面向內(nèi)存安全和多任務(wù)的SGX LibOS項目。和其他LibOS一樣，Occlum目標(biāo)是降低遺留應(yīng)用遷移到SGX中的編碼成本。對應(yīng)用代碼不做更改或者只做少量調(diào)整，就可以遷移到SGX中運行，獲得機密性和完整性保護。

Occlum相比其他同類LibOS項目主要有以下優(yōu)勢：

Enclave內(nèi)多進程管理：目前其他的LibOS都是單進程模型，實現(xiàn)多進程需要啟動多個LibOS實例。Occlum提供了一個輕量的LibOS進程實現(xiàn)，從而可以在一個Enclave內(nèi)運行多個獨立進程。Occlum在實驗室環(huán)境下有3倍的進程間通信速度提升。

全類型的文件系統(tǒng)支持：Occlum支持多類型的文件系統(tǒng)，可以方便的在Enclave不同進程之間或是在Enclave與外部操作系統(tǒng)之間共享文件。此外Occlum也基于SGX封存技術(shù)實現(xiàn)了加密文件系統(tǒng)，可保證Enclave內(nèi)部數(shù)據(jù)的加密落盤。

內(nèi)存安全：這個主要得益于Occlum使用內(nèi)存安全的Rust語言實現(xiàn)。

容器化設(shè)計：實現(xiàn)了命令行工具，可以類似Docker那樣管理Enclave實例容器。

4.5 OpenEnclave

Microsoft Open Enclave希望兼容不同的TEE技術(shù)，并且提供統(tǒng)一的編程API。Open Enclave是一套C/C++的SDK。Open Enclave目前主要支持Intel SGX，對ARM TrustZone的OP TEE OS支持還停留在預(yù)覽階段。

Open Enclave SDK主要封裝了Enclave生命周期管理、Enclave度量、Enclave內(nèi)外互調(diào)用、系統(tǒng)調(diào)用、數(shù)據(jù)封裝、遠程驗證以及一些密碼學(xué)庫。

Open Enclave移植了MUSL庫(跨平臺的C標(biāo)準(zhǔn)庫)，也適配了一些第三方庫，包括Openssl、Mbedtls、LLVM LibC++等。

4.6 Asylo

Google Asylo也提供了C/C++的SDK，但不同的是Asylo更進一步定義了基于SGX的應(yīng)用實現(xiàn)規(guī)范，也就是所謂的編程框架?；贏sylo實現(xiàn)的應(yīng)用也是分為非可信區(qū)和可信區(qū)，但互相的通信被約束為C/S模式。非可信部分實現(xiàn)客戶端和Enclave管理器，可信部分實現(xiàn)計算服務(wù)端。

在遠程驗證方面，Asylo提供了基于Intel ECDSA Quoting Enclave和Assertion Generator Enclave(簡稱AGE)兩種TCB模式，兩種模式都是在SGX ECDSA遠程驗證模式基礎(chǔ)上開發(fā)的，所以都需要CPU支持FLC。兩者的區(qū)別是前者直接基于Intel QE提供了函數(shù)接口。而AGE采用了C/S模式，基于Asylo框架，成為了一個常駐GRPC服務(wù)，方便外部用戶實時調(diào)用驗證。雖然提升了遠程驗證的易用性。但顯然，AGE的TCB會比單純使用Intel QE更大。

另外，Asylo還集成了秘密封裝、密鑰協(xié)商以及TEE服務(wù)代理等功能。總體而言Asylo是一套把SGX做成服務(wù)化的編程框架。

4.7 OP-TEE

在ARM TrustZone生態(tài)中，Trusted OS是工程化相對密集的領(lǐng)域。OP-TEE是Trusted OS的一個開源實現(xiàn)。Trusted OS位于安全世界(Secure World)不是一個位于非安全世界(Normal World)的普通操作系統(tǒng)(Normal OS)。Trusted OS屬于整個TrustZone應(yīng)用的可信計算根，必須保證安全，所以相對而言代碼量較少，通常而言代碼量會比TA少一個量級。在Trusted OS中沒有POSIX API，也沒有動態(tài)鏈接庫，所以其上運行的TA默認使用了靜態(tài)編譯。Trusted OS也需要依賴普通操作系統(tǒng)的幫助，比如對文件系統(tǒng)的訪問、對外部設(shè)備的訪問，都需要通過普通操作系統(tǒng)的系統(tǒng)調(diào)用完成。

OP-TEE包括安全世界操作系統(tǒng)(OPTEE_OS)，普通世界客戶端(OPTEE_Client)，測試套件(OPTEE_Test / XTest)和Linux驅(qū)動程序。 操作系統(tǒng)和客戶端符合Global Platform規(guī)范。 項目由Linaro維護，已經(jīng)適配支持28多個平臺/處理器。開發(fā)用戶負責(zé)開發(fā)在Linux上運行的客戶端應(yīng)用程序(CA)和在OP-TEE上運行的可信應(yīng)用程序(TA)。 CA使用TEE客戶端API與TA對話并從中獲取安全服務(wù)。 CA和TA使用共享內(nèi)存在彼此之間傳遞數(shù)據(jù)。

類似OP-TEE，開源的Trusted OS還包括OPEN-TEE、Trusty、SierraTEE、SafeG等，并且還有很多企業(yè)自用閉源的Trusted OS，比如蘋果的Secure Enclave、高通的QTEE、三星的Knox、Teegris、Trustonic的Kinibi OS、華為的TrustedCore等。

4.8 產(chǎn)品服務(wù)

中國信息通信研究院聯(lián)合行業(yè)領(lǐng)軍企業(yè)共同制修訂了《基于可信執(zhí)行環(huán)境的數(shù)據(jù)計算平臺 技術(shù)要求與測試方法》。測試標(biāo)準(zhǔn)致力于為可信執(zhí)行環(huán)境TEE在數(shù)據(jù)流通中的應(yīng)用提供在任務(wù)處理能力、算法拓展性、環(huán)境驗證、通信安全、計算機密性、一致性、數(shù)據(jù)存儲、審計和運維這九個角度對產(chǎn)品能力提出規(guī)范要求，為可信執(zhí)行環(huán)境技術(shù)在數(shù)據(jù)流通行業(yè)的落地提供可行性證明。

(內(nèi)容來源于：2020年12月首批通過中國信息通信研究院可信執(zhí)行環(huán)境的數(shù)據(jù)計算平臺評測的企業(yè)名單)

五、基于TEE技術(shù)的應(yīng)用場景和實踐

5.1 應(yīng)用場景：

可信執(zhí)行環(huán)境技術(shù)(后簡稱TEE)因其較強的算法通用性和較小的性能損失，在許多涉及到隱私數(shù)據(jù)計算的場景中都得到了廣泛應(yīng)用，并且尤其適用于具備以下特征的應(yīng)用場景：

計算邏輯相對復(fù)雜，算法難以通過同態(tài)加密等技術(shù)進行改造，或者改造過后效率下降過多

數(shù)據(jù)量大，數(shù)據(jù)傳輸和加解密的成本較高。

性能要求較高，要求在較短時間內(nèi)完成運算并返回結(jié)果。

需要可信第三方參與的隱私計算場景，且數(shù)據(jù)(部分或間接)可被可信第三方獲取或反推。

數(shù)據(jù)的傳輸與使用環(huán)境與互聯(lián)網(wǎng)直接接觸，需要防范來自外部的攻擊。

數(shù)據(jù)協(xié)作的各方不完全互信，存在參與各方惡意攻擊的可能。

其中最常見的具體應(yīng)用場景包括：隱私身份信息的認證比對、大規(guī)模數(shù)據(jù)的跨機構(gòu)聯(lián)合建模分析、數(shù)據(jù)資產(chǎn)所有權(quán)保護、鏈上數(shù)據(jù)機密計算、智能合約的隱私保護等。

隱私身份信息的認證比對

身份信息的認證比對是許多數(shù)字化應(yīng)用需要具備的基礎(chǔ)功能之一，通過對使用者的指紋、臉部圖像、聲音等數(shù)據(jù)進行比對，驗證使用者的真實身份以確保安全性。在一些場景中，監(jiān)管部門還會要求應(yīng)用對使用者的實名信息進行匹配，以便滿足社會安全管理的相關(guān)需求。

在身份信息認證比對的過程中，用戶的個人信息需要被設(shè)備采集上傳，并存儲在服務(wù)端的數(shù)據(jù)庫當(dāng)中。無論是網(wǎng)絡(luò)傳輸、持久化存儲還是驗證過程中的數(shù)據(jù)調(diào)用，都有可能因外部攻擊或應(yīng)用本身的惡意行為而導(dǎo)致的用戶隱私泄露，從而危害到用戶的財產(chǎn)甚至人身安全。

為了降低身份信息認證比對過程中的隱私泄露風(fēng)險，TEE技術(shù)被應(yīng)用于包括移動端、PC端和各類終端設(shè)備中。由攝像頭、指紋識別器等IO設(shè)備采集到的個人身份數(shù)據(jù)，經(jīng)過加密后傳輸?shù)交赥EE技術(shù)生成的隱私計算環(huán)境中，數(shù)據(jù)在TEE內(nèi)進行解密、特征提取、相似性比對等一系列操作，并將最終結(jié)果和再次加密的數(shù)據(jù)，通過安全的傳輸通道上傳至服務(wù)器端。

在整個過程中服務(wù)器僅能獲得最終的比對結(jié)果和加密的原始數(shù)據(jù)，明文數(shù)據(jù)的計算完全在由用戶掌握的終端設(shè)備的TEE中完成，既能夠保障用戶隱私信息的安全性，又可以防止終端設(shè)備上其它應(yīng)用通過對校驗過程進行干擾而發(fā)生作弊行為。

大規(guī)模數(shù)據(jù)的跨機構(gòu)聯(lián)合建模分析

在數(shù)字化社會的發(fā)展過程中，基于大數(shù)據(jù)技術(shù)和數(shù)據(jù)智能衍生出的各類產(chǎn)品和服務(wù)已經(jīng)廣泛地影響到商業(yè)和生活，包括但不限于基于大數(shù)據(jù)制定商業(yè)策略、預(yù)測市場趨勢、評估用戶購買意愿、控制金融和社會風(fēng)險等。隨著這些場景中各類算法的迭代發(fā)展，對于數(shù)據(jù)維度和數(shù)據(jù)量的要求也在日益增加，單個機構(gòu)僅僅使用自身業(yè)務(wù)產(chǎn)生的數(shù)據(jù)已經(jīng)不足以支撐這些場景的需求，因此聯(lián)合多方數(shù)據(jù)進行聯(lián)合分析建模已經(jīng)成為一個重要趨勢。

由于大數(shù)據(jù)分析難以避免會涉及到企業(yè)的用戶數(shù)據(jù)和經(jīng)營數(shù)據(jù)，在多方數(shù)據(jù)聯(lián)合和協(xié)作的過程中，各方都希望輸入的原始數(shù)據(jù)中的這些隱私信息能夠得到充分保護，而最終輸出的結(jié)果僅包括通過算法計算得到的不包含具體數(shù)據(jù)的分析結(jié)果或模型，即實現(xiàn)數(shù)據(jù)的可用而不可見。

在這類型的場景中，可以通過分布式部署在多個機構(gòu)間的TEE節(jié)點網(wǎng)絡(luò)，實現(xiàn)數(shù)據(jù)的隱私求交和計算。各方通過部署在本地的TEE節(jié)點從數(shù)據(jù)庫中獲取數(shù)據(jù)，并通過一個基于TEE可信根生成的加密密鑰對數(shù)據(jù)進行加密，該密鑰通過多個TEE節(jié)點協(xié)商產(chǎn)生，僅在各節(jié)點的TEE安全區(qū)域內(nèi)部可見。加密后的數(shù)據(jù)在TEE節(jié)點網(wǎng)絡(luò)間傳輸，并最終在一個同樣由TEE節(jié)點組成的計算資源池中，然后在TEE中進行數(shù)據(jù)的解密、求交和運算。在運算完成后，TEE節(jié)點僅對外部輸出結(jié)算結(jié)果，而原始數(shù)據(jù)和計算過程數(shù)據(jù)均在TEE內(nèi)部就地銷毀。

通過TEE技術(shù)實現(xiàn)的多方數(shù)據(jù)聯(lián)合建模，既能夠滿足多方數(shù)據(jù)協(xié)作的業(yè)務(wù)需求，也能夠充分保護各方之間原始數(shù)據(jù)可用不可見。并且相比其它的分布式計算或純密態(tài)計算的方案，基于TEE的方案具備更強大的性能和算法通用性，能夠在涉及到大規(guī)模數(shù)據(jù)或?qū)π阅苡幸欢ㄒ蟮膱鼍爸羞_到更好地效果。

數(shù)據(jù)資產(chǎn)所有權(quán)保護

隨著國家宏觀數(shù)據(jù)政策對于數(shù)據(jù)生產(chǎn)要素市場化的要求越來越明確，數(shù)據(jù)作為一種資產(chǎn)在企業(yè)間共享、交易和流通已經(jīng)是大勢所趨。然而數(shù)據(jù)作為一種數(shù)字化資產(chǎn)，具備可復(fù)制、易傳播的特性，如何在數(shù)據(jù)資產(chǎn)共享和交易過程中保護數(shù)據(jù)資產(chǎn)的所有權(quán)，成為了推動數(shù)據(jù)生產(chǎn)要素市場化需要解決的首要問題之一。

通過TEE技術(shù)與區(qū)塊鏈技術(shù)的有機結(jié)合，可以在企業(yè)間進行數(shù)據(jù)共享和交易時有效確保數(shù)據(jù)所有權(quán)和數(shù)據(jù)使用權(quán)的分離和保護。所有數(shù)據(jù)資產(chǎn)通過數(shù)據(jù)指紋在區(qū)塊鏈中存證，通過區(qū)塊鏈的交易記錄來追溯和監(jiān)管數(shù)據(jù)所有權(quán)的變更。當(dāng)數(shù)據(jù)使用權(quán)和所有權(quán)發(fā)生分離時，所有數(shù)據(jù)的使用過程必須在TEE內(nèi)部發(fā)生，通過對運行在TEE中的程序可信度量值的存證，數(shù)據(jù)的所有者可以確定數(shù)據(jù)使用者僅在雙方約定的范圍和方式內(nèi)使用數(shù)據(jù)，當(dāng)計算過程完成后，原始數(shù)據(jù)將在TEE內(nèi)部銷毀，保障數(shù)據(jù)所有權(quán)不會因使用者對原始數(shù)據(jù)的沉淀而丟失。

在TEE和區(qū)塊鏈技術(shù)的結(jié)合下，數(shù)據(jù)交易過程的安全、可信和公平可以得到更好的保障，數(shù)據(jù)權(quán)屬的劃分可以更加明確，從而讓數(shù)據(jù)生產(chǎn)要素成為一種真正可流通的資產(chǎn)，促進數(shù)字化社會對于數(shù)據(jù)生產(chǎn)要素潛能的充分激活。

鏈上數(shù)據(jù)機密存儲和計算

面對日益增長的電子數(shù)據(jù)存證需求，傳統(tǒng)的存證方式因成本高、效率低、采信困難等不足，而逐步被區(qū)塊鏈電子存證取代，利用區(qū)塊鏈的可追溯、不可篡改和安全透明的特性去保證數(shù)據(jù)“存儲、提取、出示、比對”等環(huán)節(jié)都在鏈上公示，如何保證鏈上公示數(shù)據(jù)的安全性，成為推動區(qū)塊鏈電子存證發(fā)展的需要首要解決的問題之一。

在這類場景中，可以通過TEE節(jié)點，實現(xiàn)鏈上數(shù)據(jù)的機密存儲和計算。鏈上的各方通過一個加密密鑰對數(shù)據(jù)進行加密存儲，該密鑰通過鏈上的TEE節(jié)點協(xié)商產(chǎn)生，僅在各節(jié)點的TEE安全區(qū)域內(nèi)部可見。當(dāng)需要對鏈上數(shù)據(jù)進行驗證時，加密后的數(shù)據(jù)在TEE節(jié)點網(wǎng)絡(luò)間傳輸，然后在TEE中進行數(shù)據(jù)的解密，并與鏈上存儲的經(jīng)過區(qū)塊鏈全網(wǎng)共識的數(shù)據(jù)指紋進行對比，確認數(shù)據(jù)未被惡意篡改后，再進行后續(xù)的運算。在運算完成后，TEE節(jié)點僅對外部輸出運算結(jié)果，而原始數(shù)據(jù)和計算過程數(shù)據(jù)均在TEE內(nèi)部就地銷毀，從而實現(xiàn)鏈上數(shù)據(jù)的機密存儲和計算。

在TEE技術(shù)的加成下，鏈上數(shù)據(jù)以及使用流程的隱私性也可以得到更好的保證，從而讓區(qū)塊鏈具備安全、可信和公平的存證的能力，讓區(qū)塊鏈存證也可以更好的落地并服務(wù)于各行各業(yè)的用戶，做到真正的為民所用。

5.2 實踐案例：

基于可信執(zhí)行環(huán)境TEE的數(shù)據(jù)隱私計算服務(wù)通過TEE技術(shù)實現(xiàn)的多方數(shù)據(jù)協(xié)作運算，既能夠滿足數(shù)據(jù)協(xié)作的業(yè)務(wù)需求，也能夠充分保護各方之間原始數(shù)據(jù)可用不可見。并且相比其它的分布式計算或純密態(tài)計算的方案，基于TEE的方案具備更強大的性能和算法通用性，目前已在運營商、政務(wù)、金融、互聯(lián)網(wǎng)和醫(yī)療行業(yè)不斷落地，以下根據(jù)網(wǎng)上公開信息收集整理。

沖量在線和中國電信圍繞電信集團內(nèi)部和政企客戶之間的數(shù)據(jù)流通場景展開，基于中國電信自主研發(fā)的區(qū)塊鏈底層技術(shù)，和沖量在線在隱私計算方向的技術(shù)融合解決數(shù)據(jù)流通的可信、隱私、安全、公平、可追溯等問題，提供鏈上數(shù)據(jù)智能合約化定價與流通的新范式。

百度區(qū)塊鏈和浦發(fā)銀行的合作中通過可信計算+區(qū)塊鏈的能力，構(gòu)建一個多方聯(lián)合數(shù)據(jù)隱私計算的平臺，讓各參與方在不暴露原數(shù)據(jù)的情況下，在隱私安全、公平可追溯的前提條件下進行一些數(shù)據(jù)的聯(lián)合計算，有助于打破數(shù)據(jù)孤島，發(fā)揮出數(shù)據(jù)的價值。

螞蟻推出的可信計算服務(wù)產(chǎn)品可信計算服務(wù)，打通了鏈上數(shù)據(jù)與鏈下數(shù)據(jù)源，支持多方數(shù)據(jù)融合和治理，為用戶提供了通用的、可驗證的隱私數(shù)據(jù)計算服務(wù)，當(dāng)前該服務(wù)已在某數(shù)據(jù)物理平臺落地，通過網(wǎng)絡(luò)貨運平臺運單上鏈，將物流運輸關(guān)鍵信息進行交叉核驗，以真實運輸背景為出發(fā)點，連接金融機構(gòu)，為物流平臺提供普惠金融服務(wù)，同時擁抱監(jiān)管，確保各項業(yè)務(wù)真實合規(guī)。

國外的Fortanix是一家專注可信計算的公司，為企業(yè)提供數(shù)據(jù)隱私保護服務(wù)，該服務(wù)支持多家企業(yè)數(shù)據(jù)在可信環(huán)境中匯聚并進行數(shù)據(jù)分析任務(wù)，并在PayPal、Standard Chartered Bank等多家金融機構(gòu)合作的項目中，完成了落地，通過多家金融機構(gòu)的數(shù)據(jù)協(xié)作，極大的提升了金融機構(gòu)反洗錢風(fēng)控的準(zhǔn)確性。

六、未來發(fā)展預(yù)判

6.1 端到端的可信任

可信執(zhí)行環(huán)境TEE技術(shù)已經(jīng)成為隱私計算領(lǐng)域的多種技術(shù)路線之一，并且具備通用性好、性能高，跨網(wǎng)通信量小、支持人工智能算法、算力可無限擴展等核心優(yōu)勢，但仍需進一步提升TEE技術(shù)的普及度和可信度。

首先需要提供的是“可信第三方”的能力，TEE技術(shù)本質(zhì)上源于芯片的安全與加密能力，所以對于芯片提供商的技術(shù)能力、可持續(xù)發(fā)展性、安全可控性有很高要求。在國內(nèi)的自主可控與自主創(chuàng)新的大背景下，國產(chǎn)芯片、TEE中間件、操作系統(tǒng)和隱私計算軟件等多廠商聯(lián)合起來共同提高國產(chǎn)芯片TEE的可用性、性能、安全性和通用性才能夠真正地提供端到端的隱私計算與數(shù)據(jù)流通方案能力。截止2021年第二季度，已看到很多國產(chǎn)芯片結(jié)合隱私計算的相關(guān)解決方案落地，相信不久的將來將會出現(xiàn)更多可信任的國產(chǎn)化TEE實踐案例。

其次需要提供的是“去中心化和大規(guī)模組網(wǎng)”的能力，從芯片開始TEE技術(shù)本質(zhì)提供的是單臺服務(wù)器的加密計算內(nèi)存空間，在實際落地中僅使用一臺TEE無法解決多參與方和大規(guī)模數(shù)據(jù)量并行計算的問題，需要通過軟件與中間件的手段建設(shè)分布式組網(wǎng)的大規(guī)模TEE算力集群，真正地做到任何參與方都掌控TEE算力，任何計算任務(wù)都能靈活地并行調(diào)度至合適的TEE節(jié)點中，才能夠?qū)崿F(xiàn)去中心化和靈活組網(wǎng)的數(shù)據(jù)流通新范式，符合國家對于跨域跨網(wǎng)跨地區(qū)的數(shù)據(jù)流通和共享的新要求。

6.2 工業(yè)標(biāo)準(zhǔn)

TEE技術(shù)已經(jīng)成為硬件行業(yè)和軟件行業(yè)爭相布局的安全領(lǐng)域。硬件行業(yè)包括全球最領(lǐng)先的計算芯片設(shè)計制造商Intel、AMD、ARM都提出了各自的TEE實現(xiàn)方案;軟件行業(yè)，虛擬化方向包括VMware、Xen、KVM都在跟進TEE虛擬化方案，云服務(wù)行業(yè)包括AWS、Azure、Google Cloud、Alibaba Cloud、IBM Cloud、Oracle Cloud都在推出基于TEE的安全計算服務(wù)?？梢源_信，在不久的將來，可信執(zhí)行環(huán)境TEE一定會成為安全計算的基礎(chǔ)技術(shù)。

6.3 開發(fā)者友好度

對于目前TEE LibOS技術(shù)路線來說，較小的TCB和較完備的POSIX兼容性看起來是一對矛盾的工程化目標(biāo)。較小的TCB意味著更簡單更透明的基礎(chǔ)依賴層以及更低的信任成本，較完備的POSIX兼容性意味著遺留系統(tǒng)遷移到TEE中運行的改造工作更少。目前看來工程界還沒有找到兩全其美的解決方案。不過有越來越多的LibOS項目在壓縮自己的設(shè)計復(fù)雜度和代碼量，同時也在兼容覆蓋更多的系統(tǒng)調(diào)用。

對于堅持使用SDK的開發(fā)者陣營而言，如何去支持更多的語言成為了工程上最大的問題。目前已經(jīng)兼容的SDK，包括C/C++、Rust、Python、Golang等。但除了C/C++、Rust外，其他SDK從API覆蓋度、語言單一度都有所欠缺，還無法直接支持生產(chǎn)環(huán)境下的工程開發(fā)。不過我們可以看到有越來越多的研發(fā)資源投入到SDK本身的開發(fā)上，并且越來越多的項目依賴這些SDK來開發(fā)。另一個思路是找到通用語言適配的方法，目前嘗試最多的是針對WASM的TEE實現(xiàn)，可以將任何高級語言的代碼轉(zhuǎn)譯成WASM碼然后再執(zhí)行。通過上述兩個研發(fā)方向的促進，TEE的SDK生態(tài)發(fā)展規(guī)模勢必會越發(fā)蓬勃。

6.4 TEE實例化

TEE實例化是解決TEE運行時統(tǒng)一性的問題。可以看到不管是哪種TEE技術(shù)，各個廠家的原生方案都在追求同一個TEE芯片內(nèi)部的實例化隔離特性。TEE提供資源管理，具體內(nèi)部的運行邏輯以及運行并發(fā)數(shù)則由具體的程序邏輯而定。從而把資源和運行時區(qū)分開來。運行時的隔離往往更方便資源的切割，這是云計算服務(wù)商最希望使用的技術(shù)。因為TEE實例化后可以對底層資源進行更好的度量、分配和調(diào)度。

這個方向后續(xù)可以關(guān)注TEE與云原生的結(jié)合，云計算服務(wù)廠商目前都在推出單個的安全容器服務(wù)，后續(xù)會逐步過渡到支持安全容器在云原生系統(tǒng)中調(diào)度。同時也可以關(guān)注異構(gòu)TEE硬件的通用實例化技術(shù)，包括SGX Enclave、TrustZone TA以及AMD SEV，可能可以找到一致的實例化通用描述，從而方便未來在跨硬件跨云的靈活調(diào)度。

6.5 自主可控性

隨著國內(nèi)的政府、金融等關(guān)系到國計民生的重要領(lǐng)域在計算機軟硬件領(lǐng)域的自主可控要求逐步提高，如何將依賴軟硬件結(jié)合的數(shù)據(jù)流通和隱私計算技術(shù)——TEE，發(fā)展成為完全自主可控的技術(shù)，并落地在實際業(yè)務(wù)場景中，成為業(yè)界關(guān)注的話題，當(dāng)前國內(nèi)的多個芯片廠商也在研發(fā)和推出TEE解決方案，并在信任鏈擴展性、集成密碼學(xué)算法等方面，相比國外TEE方案國產(chǎn)化TEE技術(shù)都做了創(chuàng)新。隨著國產(chǎn)化CPU需求的快速增長、軟硬結(jié)合的隱私計算技術(shù)的快速突破以及跨機構(gòu)跨行業(yè)的數(shù)據(jù)協(xié)作意識越來越強，多重因素的刺激下，滿足自主可控性要求的國產(chǎn)化TEE技術(shù)勢必會成為未來TEE技術(shù)的主流。

6.6 多技術(shù)融合

滿足商業(yè)生產(chǎn)環(huán)境的復(fù)雜應(yīng)用需求，保障數(shù)據(jù)安全可信流通的技術(shù)解決方案只靠TEE是遠遠不夠的。可以從安全、可信、可運維和數(shù)據(jù)智能化四個層面來分析需要融合的技術(shù)。

從系統(tǒng)安全角度來看，系統(tǒng)安全是數(shù)據(jù)隱私保護的前提，若某一方的系統(tǒng)如果被敵手攻破，之上構(gòu)建的所有隱私策略效果都會歸零。安全主要要保證系統(tǒng)的各個域內(nèi)以及跨域之間的通信是可靠的，抗攻擊的。所以需要TEE、可信計算、加密通信等技術(shù)對已有底層系統(tǒng)進行安全加固。

從系統(tǒng)可信角度來看，系統(tǒng)本身要保證各個切面的行為都是可以被跟蹤、審計的。所以需要保證各方之間流通的要素都是可度量的。各方之間有計算任務(wù)的流通、算法需求的流通、算力的共享等，這些要素都可以直接或間接地通過密碼學(xué)算法、TEE等進行量化度量，再通過區(qū)塊鏈做到抗抵賴的存在性證明。

從系統(tǒng)可運維性來看，因為是一套跨多方的分布式系統(tǒng)，系統(tǒng)要具備可靈活部署、標(biāo)準(zhǔn)化交付的能力。在系統(tǒng)設(shè)計上，基于云原生標(biāo)準(zhǔn)構(gòu)建，可以方便地進行跨云部署，并且兼容底層不同的硬件體系。此外容器化構(gòu)建的好處也在于可以將交付物統(tǒng)一。

從數(shù)據(jù)智能化來看，因為數(shù)據(jù)的價值取決于數(shù)據(jù)挖掘的計算能力。構(gòu)建數(shù)據(jù)協(xié)作的系統(tǒng)的目的是為了挖掘出數(shù)據(jù)的價值，所以必然需要集成已有大數(shù)據(jù)系統(tǒng)和已在生產(chǎn)環(huán)境中反復(fù)驗證過效果的數(shù)據(jù)挖掘算法。

結(jié)合上面的分析，安全可信的數(shù)據(jù)流通系統(tǒng)需要多技術(shù)融合，不僅僅是TEE，區(qū)塊鏈、云原生、數(shù)據(jù)挖掘等都將是這個領(lǐng)域的技術(shù)基石。

最后，記得關(guān)注微信公眾號：鎂客網(wǎng)（im2maker），更多干貨在等你！