數(shù)據(jù)安全技術(shù)機(jī)密計(jì)算通用框架 前 引 范 規(guī)范性引用文 術(shù)語和定 縮略 參與角色與關(guān) 參與角 關(guān)系描 通用框 硬件 系統(tǒng)軟件 系統(tǒng)服務(wù) 應(yīng)用 安全管 機(jī)密計(jì)算服 基礎(chǔ)安全服 密碼應(yīng)用服 數(shù)據(jù)保護(hù)服 性能提升服 附錄A資料性)機(jī)密計(jì)算信任模 附錄B資料性)機(jī)密計(jì)算應(yīng)用場景示 金融數(shù)據(jù)融合應(yīng)用場 區(qū)塊鏈應(yīng)用場 保險機(jī)構(gòu)核保查詢應(yīng)用場 基因分析應(yīng)用場 醫(yī)療數(shù)據(jù)共享應(yīng)用場 安全云主機(jī)場 聯(lián)邦學(xué)習(xí)應(yīng)用場 多方計(jì)算應(yīng)用場 附錄C資料性)機(jī)密計(jì)算服務(wù)接口類 附錄D資料性)機(jī)密計(jì)算虛擬 機(jī)密計(jì)算虛擬機(jī)部署模 機(jī)密計(jì)算虛擬機(jī)跨平臺遷 機(jī)密計(jì)算容器部署模 機(jī)密計(jì)算容器跨平臺遷 參考文 數(shù)據(jù)安全技術(shù)機(jī)密計(jì)算通用框架范圍本文件確立了機(jī)密計(jì)算通用框架描述了框架的核心組件和基礎(chǔ)功能并提供了機(jī)密計(jì)算服務(wù)及實(shí)現(xiàn)機(jī)制。本文件適用于機(jī)密計(jì)算相關(guān)方設(shè)計(jì)開發(fā)使用和部署機(jī)密計(jì)算相關(guān)產(chǎn)品或解決方案時參考也可為開展機(jī)密計(jì)算能力評估活動提供參考。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中注日期的引用文件僅該日期對應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于本文件。信息安全技術(shù)術(shù)語信息安全技術(shù)二元序列隨機(jī)性檢測方法術(shù)語和定義2界定的以及下列術(shù)語和定義適用于本文件組件在系統(tǒng)中實(shí)現(xiàn)其部分功能的可識別區(qū)分的部分。來源]安全信道為所交換消息提供機(jī)密性及真實(shí)性的通信信道。來源有修改]機(jī)密計(jì)算在可信的硬件基礎(chǔ)上通過隔離加密證明等機(jī)制保護(hù)使用中數(shù)據(jù)安全的計(jì)算模式機(jī)密計(jì)算平臺執(zhí)行機(jī)密計(jì)算任務(wù)的基礎(chǔ)軟硬件集合機(jī)密計(jì)算應(yīng)用程序運(yùn)行在機(jī)密計(jì)算環(huán)境中用于實(shí)現(xiàn)機(jī)密計(jì)算能力的程序機(jī)密計(jì)算環(huán)境基于機(jī)密計(jì)算平臺為支撐機(jī)密計(jì)算應(yīng)用程序運(yùn)行所構(gòu)建的計(jì)算環(huán)境機(jī)密計(jì)算服務(wù)通過已定義的接口對外提供的一種或多種機(jī)密計(jì)算能力普通計(jì)算環(huán)境不具備機(jī)密計(jì)算能力的其他計(jì)算環(huán)境注:普通計(jì)算環(huán)境是相對機(jī)密計(jì)算環(huán)境獨(dú)立存在的計(jì)算環(huán)境縮略語下列縮略語適用于本文件中央處理器)數(shù)據(jù)處理器)GPU:圖像處理器)網(wǎng)絡(luò)接口卡)NPU:神經(jīng)網(wǎng)絡(luò)處理器)VM:虛擬機(jī))參與角色與關(guān)系在機(jī)密計(jì)算的業(yè)務(wù)執(zhí)行流程中主要有五類角色應(yīng)用提供方機(jī)密計(jì)算服務(wù)提供方機(jī)密計(jì)算平臺提供方數(shù)據(jù)提供方和機(jī)密計(jì)算結(jié)果需求方各個角色之間的邏輯關(guān)系見圖。每個角色可以由一個或多個實(shí)體擔(dān)任針對不同的機(jī)密計(jì)算服務(wù)和部署模式上述角色中的某幾個角色也可以由同一實(shí)體擔(dān)任。機(jī)密計(jì)算參與角色之間的信任模型見附錄。機(jī)密計(jì)算參與角色在實(shí)際產(chǎn)業(yè)中的業(yè)務(wù)場景和活動見附錄。圖1機(jī)密計(jì)算參與角色關(guān)系圖參與角色對各類角色的說明如下所述機(jī)密計(jì)算服務(wù)提供方負(fù)責(zé)為機(jī)密計(jì)算結(jié)果需求方提供機(jī)密計(jì)算服務(wù)并對服務(wù)的生命周期進(jìn)行管理;機(jī)密計(jì)算平臺提供方負(fù)責(zé)提供機(jī)密計(jì)算環(huán)境所依賴的可信軟硬件機(jī)密計(jì)算服務(wù)提供方所使用的接口并執(zhí)行計(jì)算任務(wù);應(yīng)用提供方負(fù)責(zé)提供需要在機(jī)密計(jì)算環(huán)境中部署和運(yùn)行的應(yīng)用程序程序的執(zhí)行邏輯與機(jī)密計(jì)算結(jié)果需求方的需求相符;數(shù)據(jù)提供方負(fù)責(zé)對原始數(shù)據(jù)進(jìn)行處理或加工向機(jī)密計(jì)算環(huán)境傳遞計(jì)算任務(wù)所使用的數(shù)據(jù)機(jī)密計(jì)算結(jié)果需求方負(fù)責(zé)提供具體的計(jì)算需求給機(jī)密計(jì)算服務(wù)提供方或者直接使用機(jī)密計(jì)算平臺執(zhí)行計(jì)算任務(wù)包括需要運(yùn)行的程序程序運(yùn)行時需要計(jì)算的數(shù)據(jù)等并獲得相應(yīng)的計(jì)算結(jié)果。關(guān)系描述參與角色的協(xié)作關(guān)系描述如下應(yīng)用提供方驗(yàn)證機(jī)密計(jì)算環(huán)境的完整性和真實(shí)性后將開發(fā)的應(yīng)用程序部署到機(jī)密計(jì)算環(huán)境中作為機(jī)密計(jì)算應(yīng)用程序;數(shù)據(jù)提供方驗(yàn)證機(jī)密計(jì)算環(huán)境和機(jī)密計(jì)算應(yīng)用程序的完整性和真實(shí)性后將數(shù)據(jù)以密文的形式導(dǎo)入到機(jī)密計(jì)算應(yīng)用程序中;機(jī)密計(jì)算應(yīng)用程序?qū)斎氲拿芪臄?shù)據(jù)進(jìn)行解密并在機(jī)密計(jì)算環(huán)境中執(zhí)行計(jì)算任務(wù)將計(jì)算結(jié)果以密文形式輸出給機(jī)密計(jì)算結(jié)果需求方;機(jī)密計(jì)算結(jié)果需求方對接收到的結(jié)果進(jìn)行解密獲得最終計(jì)算結(jié)果通用框架本文件給出的機(jī)密計(jì)算通用框架見圖根據(jù)設(shè)備提供的硬件隔離機(jī)制一般分為普通計(jì)算環(huán)境和機(jī)密計(jì)算環(huán)境包括硬件層系統(tǒng)軟件層系統(tǒng)服務(wù)層應(yīng)用層和安全管理五個部分。其中硬件層基于硬件隔離實(shí)現(xiàn)受保護(hù)的硬件資源不被普通計(jì)算環(huán)境訪問并為機(jī)密計(jì)算環(huán)境提供可信的硬件資源系統(tǒng)軟件層為機(jī)密計(jì)算提供基于邏輯的隔離機(jī)制必要的軟件資源和調(diào)度機(jī)制系統(tǒng)服務(wù)層為上層應(yīng)用程序提供統(tǒng)一的機(jī)密計(jì)算服務(wù)接口見附錄及服務(wù)機(jī)密計(jì)算服務(wù)是由底層的系統(tǒng)軟件和硬件交互形成機(jī)密計(jì)算服務(wù)接口用以屏蔽底層硬件架構(gòu)差異應(yīng)用層是直接面向機(jī)密計(jì)算結(jié)果需求方的應(yīng)用程序機(jī)密計(jì)算結(jié)果需求方通過應(yīng)用程序執(zhí)行計(jì)算操作安全管理是機(jī)密計(jì)算平臺提供方根據(jù)機(jī)密計(jì)算應(yīng)用程序的高安全需求提供的管理模塊可在硬件與軟件層面上防御各種惡意攻擊。根據(jù)業(yè)務(wù)使用場景不同機(jī)密計(jì)算環(huán)境和普通計(jì)算環(huán)境是相對獨(dú)立的系統(tǒng)二者之間有著嚴(yán)格的相互訪問控制用戶可根據(jù)需求在一個設(shè)備上部署一個或多個機(jī)密計(jì)算環(huán)境。注圖中虛線用于區(qū)分一個機(jī)密計(jì)算節(jié)點(diǎn)軟硬件架構(gòu)的不同層次實(shí)線框表示機(jī)密計(jì)算環(huán)境及其所屬組件虛線框表示普通計(jì)算環(huán)境及其所屬組件機(jī)密計(jì)算環(huán)境和普通計(jì)算環(huán)境之間的箭頭表示二者交互接口。圖2機(jī)密計(jì)算通用框架圖硬件層關(guān)鍵組件硬件層組件主要包括以下內(nèi)容可信執(zhí)行控制單元在計(jì)算單元上定義安全加強(qiáng)的指令控制邏輯以實(shí)現(xiàn)指令集執(zhí)行隔離計(jì)算的目標(biāo);隔離內(nèi)存空間通過可信執(zhí)行控制單元隔離出的內(nèi)存空間獨(dú)立于通用內(nèi)存空間可信固件提供識別硬件設(shè)備初始化信息支持系統(tǒng)軟件的完整性校驗(yàn)升級維護(hù)以及配置機(jī)密計(jì)算環(huán)境資源等功能;硬件密碼引擎為機(jī)密計(jì)算應(yīng)用程序提供密鑰派生加解密計(jì)算摘要值等功能硬件根密鑰在芯片中固化的唯一密鑰可用于在機(jī)密計(jì)算環(huán)境中派生密鑰隨機(jī)數(shù)生成器用于在密鑰生成和密碼運(yùn)算過程產(chǎn)生隨機(jī)數(shù)其中生成隨機(jī)數(shù)的質(zhì)量可以參考6中的檢測指標(biāo)硬件信任根用于支撐機(jī)密計(jì)算環(huán)境啟動過程中信任鏈的建立并用于實(shí)現(xiàn)安全啟動身份鑒別遠(yuǎn)程證明等功能基礎(chǔ)功能硬件層具備的基礎(chǔ)功能主要包括提供硬件隔離機(jī)制將硬件資源隔離成普通計(jì)算資源和機(jī)密計(jì)算資源普通計(jì)算環(huán)境不能訪問機(jī)密計(jì)算環(huán)境的硬件資源;確保不同硬件內(nèi)存映射表的相互隔離性且內(nèi)存映射表不被非法篡改和破壞提供基于硬件信任根的度量機(jī)制在機(jī)密計(jì)算環(huán)境啟動過程中建立信任鏈提供基于硬件根密鑰的密鑰派生機(jī)制保證機(jī)密計(jì)算環(huán)境中密鑰的機(jī)密性和完整性提供機(jī)密計(jì)算固件安全升級和鏡像加密功能提供對機(jī)密計(jì)算環(huán)境的內(nèi)存空間的配置能力通過訪問控制保證只有被授權(quán)的設(shè)備GPUDPUNPU等才可以訪問機(jī)密計(jì)算環(huán)境。系統(tǒng)軟件層關(guān)鍵組件系統(tǒng)軟件層組件主要包括機(jī)密計(jì)算操作系統(tǒng)充分利用硬件資源的可信性實(shí)現(xiàn)基于硬件隔離的系統(tǒng)執(zhí)行環(huán)境具備安全計(jì)算及其所屬各種安全設(shè)備運(yùn)行的資源調(diào)用能力;機(jī)密計(jì)算虛擬化軟件部署在機(jī)密計(jì)算環(huán)境中的虛擬化軟件為機(jī)密計(jì)算虛擬機(jī)或機(jī)密計(jì)算容器提供資源管理和部署支撐并提供機(jī)密計(jì)算虛擬機(jī)和普通計(jì)算虛擬機(jī)的通信調(diào)度機(jī)制。注:機(jī)密計(jì)算虛擬化軟件為可選組件基礎(chǔ)功能系統(tǒng)軟件層具備的基礎(chǔ)功能主要包括提供加解密安全存儲可信用戶接口可信身份認(rèn)證等各種系統(tǒng)服務(wù)提供系統(tǒng)軟件的隔離機(jī)制普通計(jì)算環(huán)境中的系統(tǒng)軟件在非授權(quán)情況下無法訪問機(jī)密計(jì)算環(huán)境;提供機(jī)密計(jì)算環(huán)境中的密鑰管理功能提供機(jī)密計(jì)算環(huán)境和普通計(jì)算環(huán)境的通信調(diào)度機(jī)制提供對機(jī)密計(jì)算應(yīng)用程序進(jìn)行完整性和真實(shí)性校驗(yàn)的能力提供虛擬化資源隔離機(jī)制用于支撐機(jī)密計(jì)算虛擬化部署系統(tǒng)服務(wù)層關(guān)鍵組件系統(tǒng)服務(wù)層組件主要包括機(jī)密計(jì)算服務(wù)接口通過提供機(jī)密計(jì)算服務(wù)訪問接口為應(yīng)用程序提供與具體硬件架構(gòu)解耦的機(jī)密計(jì)算安全服務(wù)降低不同架構(gòu)的開發(fā)與部署成本;機(jī)密計(jì)算平臺提供方和服務(wù)提供方根據(jù)需求選擇部署各類服務(wù)主要包括機(jī)密計(jì)算基礎(chǔ)服務(wù)、密碼應(yīng)用服務(wù)數(shù)據(jù)保護(hù)服務(wù)和性能提升服務(wù)。注:系統(tǒng)服務(wù)層支持更多安全服務(wù)的拓展基礎(chǔ)功能系統(tǒng)服務(wù)層具備的基礎(chǔ)功能主要包括以下內(nèi)容提供機(jī)密計(jì)算服務(wù)開發(fā)接口提高機(jī)密計(jì)算應(yīng)用程序調(diào)用機(jī)密計(jì)算服務(wù)的易用性提供機(jī)密計(jì)算服務(wù)隔離計(jì)算通過硬件的隔離和系統(tǒng)的控制區(qū)分普通計(jì)算環(huán)境和機(jī)密計(jì)算環(huán)境提供機(jī)密計(jì)算應(yīng)用程序調(diào)用功能包含了機(jī)密計(jì)算環(huán)境的創(chuàng)建以及機(jī)密計(jì)算應(yīng)用程序的部署該服務(wù)是機(jī)密計(jì)算業(yè)務(wù)運(yùn)行的前提;安全啟動從硬件信任根開始通過簽名校驗(yàn)方法保證機(jī)密計(jì)算環(huán)境啟動過程中的完整性和真實(shí)性讓機(jī)密計(jì)算環(huán)境按照既定的邏輯啟動;遠(yuǎn)程證明對機(jī)密計(jì)算環(huán)境和機(jī)密計(jì)算應(yīng)用程序進(jìn)行完整性和真實(shí)性驗(yàn)證安全信道保證數(shù)據(jù)導(dǎo)入和導(dǎo)出機(jī)密計(jì)算環(huán)境的安全性密鑰派生基于硬件根密鑰針對不同密碼運(yùn)算場景生成專屬密鑰存儲保護(hù)為用戶提供數(shù)據(jù)加密存儲服務(wù)這些數(shù)據(jù)只能由機(jī)密計(jì)算服務(wù)授權(quán)的實(shí)體訪問或修改;密碼運(yùn)算在機(jī)密計(jì)算環(huán)境中執(zhí)行密碼運(yùn)算操作數(shù)據(jù)封裝為機(jī)密計(jì)算結(jié)果需求方提供數(shù)據(jù)封裝/解封裝服務(wù)密碼硬件加速在機(jī)密計(jì)算環(huán)境中通過硬件加速提高密碼運(yùn)算的性能異構(gòu)設(shè)備互聯(lián)建立異構(gòu)設(shè)備與機(jī)密計(jì)算環(huán)境之間的安全連接使得機(jī)密計(jì)算應(yīng)用程序可以訪問異構(gòu)設(shè)備并執(zhí)行讀寫操作。應(yīng)用層關(guān)鍵組件應(yīng)用層組件主要包括機(jī)密計(jì)算應(yīng)用程序用于處理受保護(hù)的數(shù)據(jù)和執(zhí)行計(jì)算任務(wù)基礎(chǔ)功能應(yīng)用層具備的基礎(chǔ)功能主要包括提供應(yīng)用程序的隔離機(jī)制未經(jīng)授權(quán)的應(yīng)用程序不能在機(jī)密計(jì)算環(huán)境內(nèi)部讀取寫入刪除篡改運(yùn)行的代碼和數(shù)據(jù);機(jī)密計(jì)算應(yīng)用程序在權(quán)限控制條件下處理計(jì)算任務(wù)不可訪問其他機(jī)密計(jì)算應(yīng)用程序機(jī)密計(jì)算應(yīng)用程序具備保障通信雙方的身份鑒別信息傳輸?shù)臄?shù)據(jù)初始化配置參數(shù)的機(jī)密性和完整性的能力。安全管理關(guān)鍵組件安全管理組件主要包括以下內(nèi)容密鑰管理模塊對在機(jī)密計(jì)算環(huán)境中執(zhí)行密碼運(yùn)算所需要的密鑰進(jìn)行生命周期管理包括密鑰的生成分發(fā)存儲銷毀等;日志管理模塊對執(zhí)行機(jī)密計(jì)算操作進(jìn)行記錄提供日志回溯功能并能保證日志的完整性白名單管理模塊提供機(jī)密計(jì)算所涉及的固件版本驅(qū)動程序設(shè)備身份可信的列表資源管理模塊對執(zhí)行機(jī)密計(jì)算操作所需的計(jì)算資源存儲資源等進(jìn)行管理注:安全管理為可選模塊基礎(chǔ)功能安全管理具備的基礎(chǔ)功能主要包括通過硬件層保證機(jī)密計(jì)算環(huán)境中的密鑰機(jī)密性完整性和真實(shí)性在機(jī)密計(jì)算環(huán)境內(nèi)生成用于機(jī)密計(jì)算應(yīng)用程序執(zhí)行計(jì)算任務(wù)的密鑰管理密鑰的使用確保機(jī)密計(jì)算環(huán)境內(nèi)的加密密鑰簽名密鑰等密鑰具有明確的用途管理可信的列表確保只有被列入可信列表的實(shí)體才可以訪問機(jī)密計(jì)算環(huán)境對硬件資源狀態(tài)系統(tǒng)運(yùn)行狀態(tài)接口調(diào)用情況機(jī)密計(jì)算應(yīng)用程序運(yùn)行狀態(tài)網(wǎng)絡(luò)狀況等進(jìn)行日志記錄和存儲。機(jī)密計(jì)算服務(wù)基礎(chǔ)安全服務(wù)隔離計(jì)算普通計(jì)算和機(jī)密計(jì)算隔離普通計(jì)算應(yīng)用程序與機(jī)密計(jì)算應(yīng)用程序之間的隔離計(jì)算流程見圖3圖3普通計(jì)算與機(jī)密計(jì)算隔離流程圖普通計(jì)算應(yīng)用程序與機(jī)密計(jì)算應(yīng)用程序之間的隔離流程如下普通計(jì)算應(yīng)用程序通過接口請求創(chuàng)建機(jī)密計(jì)算應(yīng)用程序機(jī)密計(jì)算環(huán)境對請求進(jìn)行處理創(chuàng)建并運(yùn)行機(jī)密計(jì)算應(yīng)用程序;注:根據(jù)實(shí)際場景也可在機(jī)密計(jì)算環(huán)境中直接創(chuàng)建機(jī)密計(jì)算應(yīng)用程序無需通過普通計(jì)算應(yīng)用程序觸發(fā)請求普通計(jì)算應(yīng)用程序向機(jī)密計(jì)算應(yīng)用程序發(fā)起計(jì)算請求機(jī)密計(jì)算應(yīng)用程序完成計(jì)算任務(wù)返回計(jì)算結(jié)果完成所有計(jì)算任務(wù)后普通計(jì)算應(yīng)用程序發(fā)出銷毀機(jī)密計(jì)算應(yīng)用程序的請求機(jī)密計(jì)算環(huán)境銷毀機(jī)密計(jì)算應(yīng)用程序。機(jī)密計(jì)算和機(jī)密計(jì)算隔離機(jī)密計(jì)算應(yīng)用程序與機(jī)密計(jì)算應(yīng)用程序之間的隔離計(jì)算流程見圖4圖4機(jī)密計(jì)算與機(jī)密計(jì)算隔離流程圖機(jī)密計(jì)算應(yīng)用程序間與機(jī)密計(jì)算應(yīng)用程序的隔離流程如下機(jī)密計(jì)算應(yīng)用程序A與機(jī)密計(jì)算應(yīng)用程序B之間建立安全會話機(jī)密計(jì)算應(yīng)用程序A向機(jī)密計(jì)算應(yīng)用程序B發(fā)起計(jì)算請求機(jī)密計(jì)算應(yīng)用程序B完成計(jì)算任務(wù)并向機(jī)密計(jì)算應(yīng)用程序A返回計(jì)算結(jié)果完成所有計(jì)算任務(wù)后機(jī)密計(jì)算應(yīng)用程序A向機(jī)密計(jì)算應(yīng)用程序B發(fā)出關(guān)閉會話的請求機(jī)密計(jì)算應(yīng)用程序間關(guān)閉會話。安全啟動安全啟動是保證機(jī)密計(jì)算環(huán)境的完整性和真實(shí)性的一種安全服務(wù)。在機(jī)密計(jì)算服務(wù)端啟動時應(yīng)從硬件信任根開始建立自下而上的信任鏈逐層驗(yàn)證機(jī)密計(jì)算環(huán)境中的關(guān)鍵組件安全啟動流程見圖。圖5安全啟動流程圖安全啟動流程如下機(jī)密計(jì)算硬件信任根啟動后校驗(yàn)機(jī)密計(jì)算可信固件的完整性和真實(shí)性校驗(yàn)通過后加載機(jī)密計(jì)算可信固件;機(jī)密計(jì)算可信固件啟動后校驗(yàn)機(jī)密計(jì)算系統(tǒng)軟件的完整性和真實(shí)性校驗(yàn)通過后加載機(jī)密計(jì)算系統(tǒng)軟件。遠(yuǎn)程證明背調(diào)模式機(jī)密計(jì)算遠(yuǎn)程證明背調(diào)模式流程見圖。在該流程中遠(yuǎn)程證明服務(wù)端遠(yuǎn)程證明客戶端和機(jī)密計(jì)算服務(wù)端分別是獨(dú)立的計(jì)算節(jié)點(diǎn)其中遠(yuǎn)程證明服務(wù)端是可選的第三方實(shí)體。圖6遠(yuǎn)程證明背調(diào)模式流程圖機(jī)密計(jì)算遠(yuǎn)程證明背調(diào)模式流程如下遠(yuǎn)程證明客戶端通過遠(yuǎn)程證明接口向機(jī)密計(jì)算服務(wù)端發(fā)起證明挑戰(zhàn)通過發(fā)送隨機(jī)值來防御重放攻擊;機(jī)密計(jì)算服務(wù)端的普通計(jì)算應(yīng)用程序?qū)⑻魬?zhàn)轉(zhuǎn)發(fā)至機(jī)密計(jì)算環(huán)境中的通信代理注在虛擬化部署模式下見附錄遠(yuǎn)程證明客戶端可以直接向機(jī)密計(jì)算環(huán)境發(fā)起挑戰(zhàn)無需普通計(jì)算應(yīng)用程序轉(zhuǎn)發(fā)。通信代理接收到挑戰(zhàn)后向遠(yuǎn)程證明模塊發(fā)起證明報(bào)告請求遠(yuǎn)程證明模塊接收到請求后將證明報(bào)告包括機(jī)密計(jì)算環(huán)境的度量值機(jī)密計(jì)算應(yīng)用程序啟動時機(jī)密計(jì)算應(yīng)用程序運(yùn)行時的度量值等返回至通信代理;通信代理將證明報(bào)告返回至普通計(jì)算應(yīng)用程序普通計(jì)算應(yīng)用程序?qū)⒆C明報(bào)告返回至遠(yuǎn)程證明客戶端遠(yuǎn)程證明客戶端將證明報(bào)告發(fā)送給遠(yuǎn)程證明服務(wù)端請求驗(yàn)證機(jī)密計(jì)算環(huán)境的完整性和真實(shí)性;遠(yuǎn)程證明服務(wù)端驗(yàn)證證明報(bào)告中機(jī)密計(jì)算環(huán)境的度量信息遠(yuǎn)程證明服務(wù)端維護(hù)了有效的機(jī)密計(jì)算環(huán)境列表生成機(jī)密計(jì)算環(huán)境的驗(yàn)證結(jié)果返回至遠(yuǎn)程證明客戶端;遠(yuǎn)程證明客戶端在確定機(jī)密計(jì)算環(huán)境可信后對機(jī)密計(jì)算應(yīng)用程序的度量報(bào)告進(jìn)行驗(yàn)證遠(yuǎn)程證明客戶端維護(hù)了機(jī)密計(jì)算應(yīng)用程序的基線值判斷機(jī)密計(jì)算應(yīng)用程序的完整性和真實(shí)性是否被破壞。護(hù)照模式機(jī)密計(jì)算遠(yuǎn)程證明護(hù)照模式流程見圖。在該流程中遠(yuǎn)程證明服務(wù)端遠(yuǎn)程證明客戶端和機(jī)密計(jì)算服務(wù)端分別是獨(dú)立的計(jì)算節(jié)點(diǎn)其中遠(yuǎn)程證明服務(wù)端是可選的第三方實(shí)體。圖7遠(yuǎn)程證明護(hù)照模式流程圖機(jī)密計(jì)算遠(yuǎn)程證明護(hù)照模式流程如下遠(yuǎn)程證明服務(wù)端通過遠(yuǎn)程證明接口向機(jī)密計(jì)算服務(wù)端發(fā)起證明挑戰(zhàn)通過發(fā)送隨機(jī)值來防止重放攻擊;機(jī)密計(jì)算服務(wù)端普通計(jì)算應(yīng)用程序?qū)⑻魬?zhàn)轉(zhuǎn)發(fā)至機(jī)密計(jì)算環(huán)境中的通信代理注在虛擬化部署模式下見附錄遠(yuǎn)程證明服務(wù)端可以向機(jī)密計(jì)算環(huán)境直接發(fā)起挑戰(zhàn)無需普通計(jì)算應(yīng)用程序轉(zhuǎn)發(fā)。遠(yuǎn)程證明模塊接收到挑戰(zhàn)后將證明報(bào)告包括機(jī)密計(jì)算環(huán)境的度量值機(jī)密計(jì)算應(yīng)用程序啟動時機(jī)密計(jì)算應(yīng)用程序運(yùn)行時的度量值等返回至普通計(jì)算應(yīng)用程序;普通計(jì)算應(yīng)用程序?qū)⒆C明報(bào)告返回至遠(yuǎn)程證明服務(wù)端請求驗(yàn)證機(jī)密計(jì)算環(huán)境的完整性和真實(shí)性;遠(yuǎn)程證明服務(wù)端驗(yàn)證證明報(bào)告中機(jī)密計(jì)算環(huán)境的度量報(bào)告遠(yuǎn)程證明服務(wù)端自身維護(hù)了有效的機(jī)密計(jì)算環(huán)境列表生成機(jī)密計(jì)算環(huán)境的驗(yàn)證結(jié)果返回至遠(yuǎn)程證明客戶端;遠(yuǎn)程證明客戶端在確定機(jī)密計(jì)算環(huán)境完整性和真實(shí)性后對機(jī)密計(jì)算應(yīng)用程序的度量報(bào)告進(jìn)行驗(yàn)證遠(yuǎn)程證明客戶端維護(hù)了機(jī)密計(jì)算應(yīng)用程序的基線值判斷機(jī)密計(jì)算應(yīng)用程序的完整性和真實(shí)性是否被篡改。安全信道安全信道是保護(hù)機(jī)密計(jì)算內(nèi)外部通信安全的一種安全服務(wù)流程見圖8。其中客戶端和機(jī)密計(jì)算服務(wù)端分別部署在獨(dú)立的計(jì)算節(jié)點(diǎn)客戶端可以是機(jī)密計(jì)算節(jié)點(diǎn)也可以是普通計(jì)算節(jié)點(diǎn)。圖8安全信道流程圖安全信道流程如下客戶端應(yīng)用程序通過安全信道初始化接口通過通信代理向機(jī)密計(jì)算服務(wù)端發(fā)起構(gòu)建安全信道請求;安全信道構(gòu)建請求觸發(fā)客戶端應(yīng)用程序通過通信代理向機(jī)密計(jì)算服務(wù)端發(fā)起遠(yuǎn)程證明請求驗(yàn)證機(jī)密計(jì)算環(huán)境和機(jī)密計(jì)算應(yīng)用程序的完整性沒有被破壞;注1:若客戶端是機(jī)密計(jì)算節(jié)點(diǎn)則要與機(jī)密計(jì)算服務(wù)端進(jìn)行雙向遠(yuǎn)程證明機(jī)密計(jì)算應(yīng)用程序隨機(jī)生成一對公私鑰將公鑰信息作為遠(yuǎn)程證明報(bào)告的附加信息一起通過通信代理發(fā)送給客戶端私鑰緩存在內(nèi)存中;客戶端應(yīng)用程序基于公鑰與機(jī)密計(jì)算應(yīng)用程序完成密鑰協(xié)商雙方獲得會話密鑰來執(zhí)行加解密操作;可選地客戶端應(yīng)用程序也可以直接使用公鑰加密數(shù)據(jù)機(jī)密計(jì)算應(yīng)用程序使用私鑰進(jìn)行解密;完成安全信道構(gòu)建后客戶端應(yīng)用程序可通過安全信道與機(jī)密計(jì)算服務(wù)端進(jìn)行安全通信注2:在虛擬化部署模式下客戶端的通信代理可以直接向機(jī)密計(jì)算環(huán)境直接發(fā)起安全信道請求無需普通計(jì)算應(yīng)用程序轉(zhuǎn)發(fā)。密碼應(yīng)用服務(wù)密鑰派生密鑰派生是為機(jī)密計(jì)算環(huán)境中不同密碼運(yùn)算提供專屬密鑰需求的一種安全服務(wù)其原理和要求參考1中8的描述。在本文件中基于硬件密碼引擎使用硬件根密鑰派生得到的密鑰與受信任的硬件綁定流程見圖。圖9密鑰派生流程圖密鑰派生流程如下機(jī)密計(jì)算應(yīng)用程序觸發(fā)機(jī)密計(jì)算系統(tǒng)軟件執(zhí)行密鑰派生功能首先使用硬件密碼引擎將硬件根密鑰和機(jī)密計(jì)算應(yīng)用程序標(biāo)識作為輸入派生出機(jī)密計(jì)算應(yīng)用程序的根密鑰;密鑰管理模塊將機(jī)密計(jì)算應(yīng)用程序根密鑰和鹽值作為輸入計(jì)算出派生密鑰用來加密數(shù)據(jù)注:派生密鑰使用完畢可以通過釋放內(nèi)存來銷毀密鑰再次使用時可重新派生降低了密鑰泄露的風(fēng)險密碼運(yùn)算密碼運(yùn)算是在機(jī)密計(jì)算環(huán)境中執(zhí)行加密解密簽名驗(yàn)簽等計(jì)算任務(wù)的一種安全服務(wù)流程見圖。圖10密碼運(yùn)算流程圖密碼運(yùn)算通用流程如下客戶端應(yīng)用程序通過密碼運(yùn)算接口向機(jī)密計(jì)算服務(wù)端發(fā)起密碼運(yùn)算請求機(jī)密計(jì)算服務(wù)端的普通計(jì)算應(yīng)用程序?qū)⒄埱筠D(zhuǎn)發(fā)至機(jī)密計(jì)算應(yīng)用程序注:在虛擬化部署模式下見附錄客戶端可以向機(jī)密計(jì)算應(yīng)用程序直接發(fā)起請求無需普通計(jì)算應(yīng)用程序轉(zhuǎn)發(fā)。機(jī)密計(jì)算應(yīng)用程序接收到請求后執(zhí)行密碼運(yùn)算任務(wù)包括密鑰生成數(shù)據(jù)加解密數(shù)字簽名、驗(yàn)證簽名等操作;機(jī)密計(jì)算應(yīng)用程序?qū)⒂?jì)算結(jié)果返回至普通計(jì)算應(yīng)用程序普通計(jì)算應(yīng)用程序?qū)⒂?jì)算結(jié)果返回至客戶端數(shù)據(jù)保護(hù)服務(wù)存儲保護(hù)寫數(shù)據(jù)流程存儲保護(hù)是一種保證結(jié)果需求方實(shí)現(xiàn)數(shù)據(jù)加密存儲且只能由授權(quán)的機(jī)密計(jì)算應(yīng)用程序訪問或修改的安全服務(wù)寫數(shù)據(jù)流程見圖。其中客戶端和機(jī)密計(jì)算服務(wù)端分別部署在獨(dú)立的計(jì)算節(jié)點(diǎn)。圖11寫數(shù)據(jù)流程圖寫數(shù)據(jù)流程如下客戶端在傳輸數(shù)據(jù)之前先和機(jī)密計(jì)算服務(wù)端構(gòu)建安全信道見4流程客戶端應(yīng)用程序通過調(diào)用存儲保護(hù)接口向機(jī)密計(jì)算服務(wù)端請求數(shù)據(jù)寫服務(wù)并將數(shù)據(jù)通過安全信道傳輸給機(jī)密計(jì)算服務(wù)端;機(jī)密計(jì)算服務(wù)端的普通計(jì)算應(yīng)用程序?qū)⒄埱蠓?wù)轉(zhuǎn)發(fā)給機(jī)密計(jì)算應(yīng)用程序注1:在虛擬化部署模式下見附錄客戶端可直接觸發(fā)機(jī)密計(jì)算應(yīng)用程序接收任務(wù)無需普通計(jì)算應(yīng)用程序轉(zhuǎn)發(fā)。機(jī)密計(jì)算應(yīng)用程序使用會話密鑰或者私鑰解密出數(shù)據(jù)并向密鑰管理模塊請求數(shù)據(jù)加密密鑰密鑰管理模塊生成數(shù)據(jù)加密密鑰返回給機(jī)密計(jì)算應(yīng)用程序機(jī)密計(jì)算應(yīng)用程序使用數(shù)據(jù)加密密鑰對數(shù)據(jù)提供方上傳的數(shù)據(jù)內(nèi)容進(jìn)行加密將加密后的數(shù)據(jù)存儲在普通計(jì)算環(huán)境的磁盤中;注2:加密數(shù)據(jù)可以存儲在機(jī)密計(jì)算環(huán)境內(nèi)也可以存儲在機(jī)密計(jì)算服務(wù)端外部的存儲系統(tǒng)中完成存儲后普通計(jì)算應(yīng)用程序返回寫結(jié)果至客戶端應(yīng)用程序讀數(shù)據(jù)流程讀數(shù)據(jù)流程見圖。其中客戶端和機(jī)密計(jì)算服務(wù)端分別部署在獨(dú)立的計(jì)算節(jié)點(diǎn)圖12讀數(shù)據(jù)流程圖讀數(shù)據(jù)流程如下客戶端在傳輸數(shù)據(jù)之前先和機(jī)密計(jì)算服務(wù)端構(gòu)建安全信道見4流程客戶端應(yīng)用程序通過調(diào)用存儲保護(hù)接口向機(jī)密計(jì)算服務(wù)端請求讀取原始數(shù)據(jù)機(jī)密計(jì)算服務(wù)端的普通計(jì)算應(yīng)用程序?qū)⒄埱蠓?wù)轉(zhuǎn)發(fā)至機(jī)密計(jì)算應(yīng)用程序注:在虛擬化部署模式下見附錄客戶端可直接觸發(fā)機(jī)密計(jì)算應(yīng)用程序接收任務(wù)無需普通計(jì)算應(yīng)用程序轉(zhuǎn)發(fā)。機(jī)密計(jì)算應(yīng)用程序根據(jù)請求信息解析出需要獲得的數(shù)據(jù)文件名并將數(shù)據(jù)文件名發(fā)送至服務(wù)端的普通計(jì)算應(yīng)用程序;普通計(jì)算應(yīng)用程序根據(jù)數(shù)據(jù)文件名讀取對應(yīng)的密文數(shù)據(jù)并將密文數(shù)據(jù)返回至機(jī)密計(jì)算應(yīng)用程序;機(jī)密計(jì)算應(yīng)用程序向密鑰管理模塊請求數(shù)據(jù)解密密鑰密鑰管理模塊生成數(shù)據(jù)解密密鑰返回給機(jī)密計(jì)算應(yīng)用程序機(jī)密計(jì)算應(yīng)用程序使用解密密鑰對密文數(shù)據(jù)進(jìn)行解密獲取明文數(shù)據(jù)并返回至普通計(jì)算應(yīng)用程序;普通計(jì)算應(yīng)用程序?qū)⒆x取結(jié)果返回至客戶端應(yīng)用程序流程結(jié)束數(shù)據(jù)封裝數(shù)據(jù)封裝數(shù)據(jù)封裝是一種使高敏感高價值的數(shù)據(jù)的安全性與機(jī)密計(jì)算應(yīng)用程序自身的完整性關(guān)聯(lián)在一起的安全服務(wù)數(shù)據(jù)封裝流程見圖。圖13數(shù)據(jù)封裝流程圖數(shù)據(jù)封裝流程如下普通計(jì)算應(yīng)用程序向機(jī)密計(jì)算應(yīng)用程序發(fā)送數(shù)據(jù)封裝請求注:在虛擬化部署模式下見附錄機(jī)密計(jì)算應(yīng)用程序可直接執(zhí)行數(shù)據(jù)封裝無需普通計(jì)算應(yīng)用程序觸發(fā)請求機(jī)密計(jì)算應(yīng)用程序調(diào)用數(shù)據(jù)封裝調(diào)用接口觸發(fā)機(jī)密計(jì)算操作系統(tǒng)機(jī)密計(jì)算操作系統(tǒng)向硬件密碼引擎發(fā)起根封裝密鑰申請硬件密碼引擎將根密鑰機(jī)密計(jì)算應(yīng)用程序標(biāo)識和機(jī)密計(jì)算應(yīng)用程序完整性度量值作為輸入生成根封裝密鑰并返回給機(jī)密計(jì)算操作系統(tǒng);機(jī)密計(jì)算操作系統(tǒng)將生成的隨機(jī)數(shù)和機(jī)密計(jì)算應(yīng)用程序標(biāo)識作為輸入生成封裝密鑰機(jī)密計(jì)算操作系統(tǒng)使用封裝密鑰對數(shù)據(jù)進(jìn)行加密使用根封裝密鑰對封裝密鑰進(jìn)行加密并將封裝后的數(shù)據(jù)和加密后的封裝密鑰發(fā)給機(jī)密計(jì)算應(yīng)用程序同時釋放內(nèi)存銷毀根封裝密鑰和封裝密鑰;機(jī)密計(jì)算應(yīng)用程序?qū)⒎庋b結(jié)果返回至普通計(jì)算應(yīng)用程序流程結(jié)束數(shù)據(jù)解封裝在數(shù)據(jù)解封時只有當(dāng)機(jī)密計(jì)算應(yīng)用程序的完整性未被篡改時數(shù)據(jù)才可被解封成功數(shù)據(jù)解封裝流程見圖。圖14數(shù)據(jù)解封裝流程圖數(shù)據(jù)解封裝流程如下普通計(jì)算應(yīng)用程序向機(jī)密計(jì)算應(yīng)用程序發(fā)送數(shù)據(jù)解封請求注:在虛擬化部署模式下見附錄機(jī)密計(jì)算應(yīng)用程序可直接進(jìn)行數(shù)據(jù)解封裝無需普通計(jì)算應(yīng)用程序觸發(fā)機(jī)密計(jì)算應(yīng)用程序調(diào)用數(shù)據(jù)解封裝接口觸發(fā)機(jī)密計(jì)算操作系統(tǒng)機(jī)密計(jì)算操作系統(tǒng)向硬件密碼引擎發(fā)起根封裝密鑰申請硬件密碼引擎將根密鑰機(jī)密計(jì)算應(yīng)用程序標(biāo)識和機(jī)密計(jì)算應(yīng)用程序完整性度量值作為輸入重新生成根封裝密鑰返回給機(jī)密計(jì)算操作系統(tǒng);機(jī)密計(jì)算操作系統(tǒng)使用根封裝密鑰對加密的封裝密鑰進(jìn)行解密獲得封裝密鑰使用封裝密鑰對密封數(shù)據(jù)進(jìn)行解密獲得明文數(shù)據(jù);機(jī)密計(jì)算操作系統(tǒng)將解封的數(shù)據(jù)發(fā)給機(jī)密計(jì)算應(yīng)用程序同時釋放內(nèi)存銷毀根封裝密鑰和封裝密鑰;機(jī)密計(jì)算應(yīng)用程序?qū)⒔夥庋b結(jié)果返回至普通計(jì)算應(yīng)用程序流程結(jié)束性能提升服務(wù)密碼硬件加速在機(jī)密計(jì)算環(huán)境中通過硬件加速可以提高機(jī)密計(jì)算應(yīng)用執(zhí)行密碼運(yùn)算的性能流程見圖圖15密碼硬件加速流程圖基于硬件的密碼加速流程如下可信固件讀取硬件加速子系統(tǒng)的信息并進(jìn)行初始化可信固件將使能后的硬件加速子系統(tǒng)信息上報(bào)至機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件中;機(jī)密計(jì)算應(yīng)用程序調(diào)用密碼算法加速接口選擇待使用的密碼算法機(jī)密計(jì)算操作系統(tǒng)準(zhǔn)備好待處理的數(shù)據(jù)密碼算法密鑰等下發(fā)計(jì)算任務(wù)至硬件加速子系統(tǒng)硬件加速子系統(tǒng)獲取任務(wù)后執(zhí)行密碼加速運(yùn)算操作完成后將結(jié)果發(fā)給機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件;機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件將計(jì)算結(jié)果返回至機(jī)密計(jì)算應(yīng)用程序異構(gòu)設(shè)備互聯(lián)異構(gòu)設(shè)備直接互聯(lián)通過對異構(gòu)設(shè)備U以外的設(shè)備設(shè)置訪問控制權(quán)限建立異構(gòu)設(shè)備與機(jī)密計(jì)算環(huán)境之間的安全連接實(shí)現(xiàn)機(jī)密計(jì)算應(yīng)用程序可以直接訪問并讀寫外部異構(gòu)設(shè)備直接互聯(lián)模式見圖。 圖16異構(gòu)設(shè)備直接互聯(lián)流程圖異構(gòu)設(shè)備直接互聯(lián)流程如下普通計(jì)算環(huán)境中的管理軟件向機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件發(fā)送異構(gòu)設(shè)備連接請求;注1:在虛擬化部署模式下機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件可直接連接異構(gòu)設(shè)備并執(zhí)行讀寫操作無需通過普通計(jì)算環(huán)境中的管理軟件觸發(fā)請求。機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件對連接請求進(jìn)行合法性檢查檢查通過后配置訪問控制模塊設(shè)置需要接入的異構(gòu)設(shè)備標(biāo)識異構(gòu)設(shè)備根據(jù)設(shè)置的標(biāo)識與機(jī)密計(jì)算環(huán)境建立連接;可選地通過支持機(jī)密計(jì)算的互聯(lián)協(xié)議將異構(gòu)設(shè)備與機(jī)密計(jì)算環(huán)境建立連接機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件向普通計(jì)算環(huán)境的管理軟件返回配置完成信息普通計(jì)算環(huán)境的管理軟件向機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件發(fā)起啟動機(jī)密計(jì)算應(yīng)用程序請求;機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件根據(jù)請求加載機(jī)密計(jì)算應(yīng)用程序機(jī)密計(jì)算應(yīng)用程序向異構(gòu)設(shè)備下發(fā)指令和待計(jì)算的數(shù)據(jù)注2:可以采用隔離或者加密等措施保護(hù)數(shù)據(jù)在總線傳輸過程中的安全異構(gòu)設(shè)備根據(jù)指令讀取數(shù)據(jù)并計(jì)算向機(jī)密計(jì)算應(yīng)用程序返回計(jì)算結(jié)果異構(gòu)設(shè)備間接互聯(lián)當(dāng)機(jī)密計(jì)算服務(wù)端不具備直接訪問異構(gòu)設(shè)備U以外的設(shè)備的能力時與異構(gòu)設(shè)備的間接互聯(lián)模式見圖。圖17異構(gòu)設(shè)備間接互聯(lián)流程圖異構(gòu)設(shè)備間接互聯(lián)流程如下普通計(jì)算環(huán)境的管理軟件向機(jī)密計(jì)算操作系統(tǒng)機(jī)密計(jì)算虛擬化軟件發(fā)起啟動機(jī)密計(jì)算應(yīng)用程序請求;注在虛擬化部署模式下見附錄機(jī)密計(jì)算操作系統(tǒng)或機(jī)密計(jì)算虛擬化軟件可直接啟動機(jī)密計(jì)算應(yīng)用程序無需通過普通計(jì)算環(huán)境中的管理軟件觸發(fā)請求。機(jī)密計(jì)算操作系統(tǒng)/機(jī)密計(jì)算虛擬化軟件根據(jù)請求加載機(jī)密計(jì)算應(yīng)用程序機(jī)密計(jì)算應(yīng)用程序通過管理軟件機(jī)密計(jì)算操作系統(tǒng)機(jī)密計(jì)算虛擬化軟件與異構(gòu)設(shè)備進(jìn)行密鑰協(xié)商生成會話密鑰;機(jī)密計(jì)算應(yīng)用程序通過管理軟件機(jī)密計(jì)算操作系統(tǒng)機(jī)密計(jì)算虛擬化軟件向異構(gòu)設(shè)備發(fā)送加密的計(jì)算指令和數(shù)據(jù);異構(gòu)設(shè)備接收加密指令和數(shù)據(jù)后使用會話密鑰進(jìn)行解密執(zhí)行計(jì)算并將計(jì)算結(jié)果進(jìn)行加密經(jīng)管理軟件機(jī)密計(jì)算操作系統(tǒng)機(jī)密計(jì)算虛擬化軟件返回給機(jī)密計(jì)算應(yīng)用程序;機(jī)密計(jì)算應(yīng)用程序使用會話密鑰進(jìn)行解密獲取計(jì)算結(jié)果附錄資料性機(jī)密計(jì)算信任模型在機(jī)密計(jì)算環(huán)境中需要建立各參與角色之間的相互信任如果各角色間不能建立所需的信任關(guān)系則存在計(jì)算結(jié)果不可信算力被錯誤使用數(shù)據(jù)權(quán)益被侵害等風(fēng)險。安全威脅見表。1機(jī)密計(jì)算參與角色關(guān)聯(lián)的安全威脅序號關(guān)聯(lián)角色安全威脅算力提供方-數(shù)據(jù)提供方若算力提供方的身份不可信對數(shù)據(jù)提供方的數(shù)據(jù)權(quán)益造成侵害若算力提供方的算力不可信數(shù)據(jù)可能在計(jì)算過程中被泄漏或被破壞從而侵害數(shù)據(jù)提供方的權(quán)益算力提供方-應(yīng)用提供方若算力提供方的身份不可信會造成應(yīng)用濫用對應(yīng)用提供方的權(quán)益造成侵害若算力提供方的算力不可信應(yīng)用可能在計(jì)算過程中被泄漏或被破壞從而侵害應(yīng)用提供方的權(quán)益數(shù)據(jù)提供方-算力提供方若數(shù)據(jù)提供方的身份不可信會造成參與計(jì)算的數(shù)據(jù)來源不可信從而破壞機(jī)密計(jì)算活動應(yīng)用提供方-算力提供方若應(yīng)用提供方的身份不可信會造成參與計(jì)算的應(yīng)用程序不可信從而破壞機(jī)密計(jì)算活動算力提供方-機(jī)密計(jì)算結(jié)果需求方如果算力提供方身份或算力不可信會造成機(jī)密計(jì)算結(jié)果需求方無法相信所獲得的計(jì)算結(jié)果從而破壞機(jī)密計(jì)算活動數(shù)據(jù)提供方-機(jī)密計(jì)算結(jié)果需求方如果數(shù)據(jù)提供方身份不可信則意味著參與計(jì)算的數(shù)據(jù)來源不可信會造成機(jī)密計(jì)算結(jié)果需求方無法相信所獲得的計(jì)算結(jié)果從而破壞機(jī)密計(jì)算活動應(yīng)用提供方-機(jī)密計(jì)算結(jié)果需求方如果應(yīng)用提供方身份不可信則意味著參與計(jì)算的應(yīng)用程序來源不可信會造成機(jī)密計(jì)算結(jié)果需求方無法相信所獲得的計(jì)算結(jié)果從而破壞機(jī)密計(jì)算活動機(jī)密計(jì)算結(jié)果需求方-算力提供方若機(jī)密計(jì)算結(jié)果需求方身份不可信則計(jì)算結(jié)果可能交給錯誤的接收者從而破壞機(jī)密計(jì)算活動注:為簡潔起見將機(jī)密計(jì)算平臺提供方和機(jī)密計(jì)算服務(wù)提供方統(tǒng)稱為算力提供方由上述威脅模型可推導(dǎo)得出典型的信任模型見圖1典型機(jī)密計(jì)算過程中的信任模型典型機(jī)密計(jì)算過程中信任模型包括三個維度其一是信任的主體和客體維度包括數(shù)據(jù)提供方應(yīng)用提供方算力提供方以及機(jī)密計(jì)算結(jié)果需求方之間的信任其二是信任的類型包括數(shù)據(jù)應(yīng)用和算力的可信其三是建立信任的方法包括預(yù)設(shè)的背書信任通過鑒別與驗(yàn)證建立的信任。其中信任背書提供者基于外部管理環(huán)節(jié)選擇的設(shè)定內(nèi)置在各實(shí)體機(jī)密計(jì)算相關(guān)系統(tǒng)中為系統(tǒng)中的其他實(shí)體提供背書同時為其他信任關(guān)系提供錨點(diǎn)和基礎(chǔ)。在此模型下各角色的信任關(guān)系包括數(shù)據(jù)提供方預(yù)設(shè)對應(yīng)用提供方的信任背書提供者包括算力安全性背書者以及業(yè)務(wù)身份背書者從而能夠信任算力提供方身份真實(shí)且能夠在可信的封閉環(huán)境中完成數(shù)據(jù)處理不造成數(shù)據(jù)泄漏不侵害數(shù)據(jù)提供者的權(quán)益;應(yīng)用提供方預(yù)設(shè)對算力提供方的信任背書提供者算力安全性背書者以及業(yè)務(wù)身份背書者從而能夠信任算力提供者身份真實(shí)且能夠在可信的封閉環(huán)境中完成數(shù)據(jù)處理不造成應(yīng)用程序內(nèi)容泄漏不侵害應(yīng)用提供者的權(quán)益;算力提供方預(yù)設(shè)對數(shù)據(jù)提供方的信任背書提供者從而能夠信任所處理數(shù)據(jù)的來源真實(shí)可靠進(jìn)而保證數(shù)據(jù)可信;算力提供方預(yù)設(shè)對應(yīng)用提供方的信任背書提供者從而能夠信任所運(yùn)行應(yīng)用來源真實(shí)可靠進(jìn)而保證應(yīng)用內(nèi)容可信;機(jī)密計(jì)算結(jié)果需求方預(yù)設(shè)對算力提供方數(shù)據(jù)提供方應(yīng)用提供方的信任背書提供者從而能夠確認(rèn)上述數(shù)據(jù)應(yīng)用和算力的安全可信進(jìn)而信任所獲得的數(shù)據(jù)處理結(jié)果真實(shí)可信;算力提供方預(yù)設(shè)對機(jī)密計(jì)算結(jié)果需求方的信任背書提供者從而能夠信任接收數(shù)據(jù)處理結(jié)果的實(shí)體身份可信確認(rèn)計(jì)算結(jié)果交付的正確性。附錄資料性機(jī)密計(jì)算應(yīng)用場景示例金融數(shù)據(jù)融合應(yīng)用場景金融機(jī)構(gòu)在保證其資金正常運(yùn)轉(zhuǎn)會利用大數(shù)據(jù)構(gòu)建風(fēng)控模型通過技術(shù)手段減少風(fēng)險事件發(fā)生的可能性銀行信貸風(fēng)控與營銷過程中往往需要政府企業(yè)個人信息提供支撐然而在傳統(tǒng)模式下由于數(shù)據(jù)安全問題銀行難以高效且合規(guī)地獲得企業(yè)與個人信息。機(jī)密計(jì)算技術(shù)可以在不泄露各方原始數(shù)據(jù)的前提下進(jìn)行分布式模型推斷和訓(xùn)練政府部門可以將政務(wù)數(shù)據(jù)共享給金融機(jī)構(gòu)通過機(jī)密計(jì)算進(jìn)行合規(guī)數(shù)據(jù)分析實(shí)現(xiàn)精準(zhǔn)風(fēng)控見圖。1金融數(shù)據(jù)融合場景圖區(qū)塊鏈應(yīng)用場景機(jī)密計(jì)算提供了數(shù)據(jù)隱私保護(hù)區(qū)塊鏈則增強(qiáng)了多方協(xié)作過程中的可信性結(jié)合這兩種技術(shù)的應(yīng)用可用于數(shù)據(jù)活動的各個環(huán)節(jié)包括數(shù)據(jù)的生成和采集數(shù)據(jù)處理和共識的存證數(shù)據(jù)使用的授權(quán)數(shù)據(jù)的傳輸數(shù)據(jù)協(xié)作以及數(shù)據(jù)監(jiān)管和審計(jì)等見圖。隨著這兩種技術(shù)的深入融合和應(yīng)用傳統(tǒng)的集中式數(shù)據(jù)聚合和管理中心模式將逐漸被改變數(shù)據(jù)流通將朝著分布式多層次和市場化的方向發(fā)展。這為實(shí)現(xiàn)數(shù)據(jù)價值共享提供了創(chuàng)新的技術(shù)路徑和解決思路。2區(qū)塊鏈場景圖保險機(jī)構(gòu)核保查詢應(yīng)用場景保險機(jī)構(gòu)對自然人進(jìn)行核保查詢時需要對被保險人的健康情況和醫(yī)療記錄進(jìn)行核實(shí)比對。在傳統(tǒng)的模式下保險機(jī)構(gòu)可以直接讀取到高度敏感的個人醫(yī)療數(shù)據(jù)傳統(tǒng)技術(shù)手段沒有辦法規(guī)約保險機(jī)構(gòu)對于隱私數(shù)據(jù)的使用范圍。機(jī)密計(jì)算服務(wù)可以解決以上數(shù)據(jù)安全的問題核保機(jī)密計(jì)算服務(wù)將核保模型置于可信執(zhí)行環(huán)境運(yùn)行在核保過程中僅允許保險機(jī)構(gòu)獲取被核保算法運(yùn)算過的核保結(jié)論核保計(jì)算結(jié)束后即銷毀計(jì)算環(huán)境和計(jì)算數(shù)據(jù)真正確保了只限核保的使用約束。核保機(jī)密計(jì)算服務(wù)既可以保證核保算法的正確執(zhí)行又可以保證保險機(jī)構(gòu)無法沉淀二次使用醫(yī)療數(shù)據(jù)。在整個核保數(shù)據(jù)流通過程中保證了數(shù)據(jù)的機(jī)密性核保過程的準(zhǔn)確性見圖。3核保查詢場景圖基因分析應(yīng)用場景在基因分析的場景中由于基因分析需要傳輸和使用數(shù)量龐大且信息敏感的個人基因數(shù)據(jù)數(shù)據(jù)提供方基因數(shù)據(jù)采集機(jī)構(gòu)和數(shù)據(jù)使用方基因數(shù)據(jù)分析機(jī)構(gòu)需要通過分布在產(chǎn)業(yè)云平臺的基礎(chǔ)設(shè)施中完成數(shù)據(jù)的匯聚和計(jì)算。為了確?；驍?shù)據(jù)不泄露基因數(shù)據(jù)分析算法全部運(yùn)行在機(jī)密計(jì)算服務(wù)中基因數(shù)據(jù)采集機(jī)構(gòu)提供基因樣本數(shù)據(jù)時需要驗(yàn)證機(jī)密計(jì)算服務(wù)的一致性和安全性。機(jī)密計(jì)算可保證在基因數(shù)據(jù)分析過程中基因數(shù)據(jù)以密文形式輸入基因數(shù)據(jù)的明文信息不落盤且基因數(shù)據(jù)在分析后即銷毀基因分析需求方僅能獲得最終的分析結(jié)果見圖。4基因分析場景圖醫(yī)療數(shù)據(jù)共享應(yīng)用場景醫(yī)療數(shù)據(jù)包含電子病歷影像數(shù)據(jù)基因數(shù)據(jù)等大量個人隱私數(shù)據(jù)導(dǎo)致醫(yī)療機(jī)構(gòu)保險藥企醫(yī)藥設(shè)備廠商之間數(shù)據(jù)流通共享難以高效協(xié)同醫(yī)療數(shù)據(jù)價值難以有效發(fā)揮。機(jī)密計(jì)算可以為醫(yī)療數(shù)據(jù)參與方建立安全數(shù)據(jù)流通基礎(chǔ)設(shè)施推動醫(yī)療數(shù)據(jù)價值最大化利用?；跈C(jī)密計(jì)算平臺建立醫(yī)療數(shù)據(jù)安全共享科研平臺安全地向醫(yī)院醫(yī)生科研機(jī)構(gòu)藥企等單位開放醫(yī)療數(shù)據(jù)提供豐富的算法與建模工具降低醫(yī)生數(shù)據(jù)分析門檻充分挖掘醫(yī)療數(shù)據(jù)價值見圖。5醫(yī)療數(shù)據(jù)共享場景圖安全云主機(jī)場景云環(huán)境中數(shù)據(jù)的所有權(quán)屬于租戶但數(shù)據(jù)的計(jì)算需要在云環(huán)境中完成如何防止數(shù)據(jù)在使用過程中不被攻擊者包括云服務(wù)提供方獲取始終是租戶最為關(guān)心的問題。利用機(jī)密計(jì)算可以較好解決上述問題。安全云主機(jī)方案包括管理節(jié)點(diǎn)計(jì)算節(jié)點(diǎn)兩種節(jié)點(diǎn)類型。管理節(jié)點(diǎn)負(fù)責(zé)對用戶密鑰進(jìn)行統(tǒng)一管理密鑰與用戶身份嚴(yán)格綁定密鑰不用時加密存儲密鑰只能在用戶參與下才能被解密并加載到機(jī)密計(jì)算環(huán)境中使用單個管理節(jié)點(diǎn)可以管理大量的計(jì)算節(jié)點(diǎn)計(jì)算節(jié)點(diǎn)基于機(jī)密計(jì)算環(huán)境構(gòu)建機(jī)密計(jì)算服務(wù)可以通過軟件實(shí)現(xiàn)按需加載涉及敏感數(shù)據(jù)計(jì)算時在租戶參與下將所需密鑰加載到機(jī)密計(jì)算環(huán)境中然后由機(jī)密計(jì)算服務(wù)使用已加載的密鑰按照預(yù)先約定的接口對外提供服務(wù)即可見圖。6安全云主機(jī)場景聯(lián)邦學(xué)習(xí)應(yīng)用場景在聯(lián)邦學(xué)習(xí)的執(zhí)行過程中可以通過將中心節(jié)點(diǎn)部署在機(jī)密計(jì)算環(huán)境中每個參與方需要根據(jù)自有數(shù)據(jù)進(jìn)行獨(dú)立訓(xùn)練并將中間參數(shù)傳遞給服務(wù)端進(jìn)行聚合然后生成新模型再次下發(fā)給參與方進(jìn)行下一輪計(jì)算。可將參與方和服務(wù)端都部署在機(jī)密計(jì)算環(huán)境下。參與方在各自的機(jī)密計(jì)算環(huán)境中本地訓(xùn)練其模型然后將模型參數(shù)發(fā)送到聚合器進(jìn)行聚合。然后聚合器將更新的模型參數(shù)發(fā)送回客戶端進(jìn)行進(jìn)一步訓(xùn)練。在參與方機(jī)密計(jì)算環(huán)境和服務(wù)端機(jī)密計(jì)算之間可通過數(shù)字信封或其他加密方式進(jìn)行數(shù)據(jù)傳遞在整個過程中機(jī)密計(jì)算環(huán)境同時提供了加解密和隔離計(jì)算的功能可以在不損失計(jì)算效率的前提下大幅度提高聯(lián)邦學(xué)習(xí)算法的安全性見圖。7聯(lián)邦學(xué)習(xí)應(yīng)用場景圖多方計(jì)算應(yīng)用場景多方計(jì)算允許一組相互獨(dú)立的數(shù)據(jù)所有方在互不信任的情況下以各自的數(shù)據(jù)作為輸入完成某個函數(shù)的計(jì)算計(jì)算過程不會暴露輸入數(shù)據(jù)。傳統(tǒng)多方計(jì)算為保護(hù)中間計(jì)算結(jié)果需要多輪交互和計(jì)算因此通信開銷和時延大且無法防止計(jì)算參與方的惡意攻擊。通過抽取多方計(jì)算協(xié)議共性算子并將其密封在機(jī)密計(jì)算環(huán)境中利用其隔離特性來保護(hù)中間計(jì)算結(jié)果以降低密碼學(xué)計(jì)算開銷此外利用機(jī)密計(jì)算的遠(yuǎn)程證明能力來確保機(jī)密計(jì)算環(huán)境中運(yùn)行程序的完整性能夠防止計(jì)算程序的行為可信。以雙方為例在預(yù)處理階段各計(jì)算參與方將所屬數(shù)據(jù)用秘密分享進(jìn)行分片在計(jì)算階段各參與方將數(shù)據(jù)分片發(fā)給多方計(jì)算代理由多方計(jì)算代理完成計(jì)算在執(zhí)行過程中多方計(jì)算代理中始終為密文狀態(tài);在結(jié)束階段密文計(jì)算結(jié)果分片輸出給各計(jì)算參與方見圖8多方計(jì)算應(yīng)用場景圖附錄資料性機(jī)密計(jì)算服務(wù)接口類型機(jī)密計(jì)算服務(wù)提供方或機(jī)密計(jì)算平臺提供方實(shí)現(xiàn)的接口類型見表1機(jī)密計(jì)算服務(wù)接口類型序號接口名稱對應(yīng)的安全服務(wù)接口功能描述創(chuàng)建機(jī)密計(jì)算應(yīng)用程序接口隔離計(jì)算根據(jù)不同類型的可信硬件架構(gòu)調(diào)用不同的創(chuàng)建函數(shù)完成不同類型的機(jī)密計(jì)算應(yīng)用程序上下文初始化銷毀機(jī)密計(jì)算應(yīng)用程序接口根據(jù)不同類型的可信硬件架構(gòu)調(diào)用不同的退出函數(shù)釋放已經(jīng)創(chuàng)建的機(jī)密計(jì)算應(yīng)用程序?qū)嶓w請求證明報(bào)告接口遠(yuǎn)程證明請求獲取指定機(jī)密計(jì)算應(yīng)用程序或機(jī)密計(jì)算環(huán)境的證明報(bào)告驗(yàn)證證明報(bào)告接口對指定機(jī)密計(jì)算應(yīng)用程序或機(jī)密計(jì)算環(huán)境的證明報(bào)告進(jìn)行驗(yàn)證得對其完整性和真實(shí)性狀態(tài)的判定安全信道初始化接口安全信道建立通信雙方安全可信的傳輸通道數(shù)據(jù)以密文形式傳輸?shù)綑C(jī)密計(jì)算環(huán)境中隨機(jī)數(shù)生成接口密碼運(yùn)算調(diào)用隨機(jī)數(shù)生成函數(shù)產(chǎn)生隨機(jī)數(shù)用于后面的密鑰生成和密碼運(yùn)算密鑰生成接口通過密鑰生成函數(shù)產(chǎn)生密鑰加密接口對約定的數(shù)據(jù)進(jìn)行加密解密接口對加密的數(shù)據(jù)進(jìn)行解密簽名接口對消息進(jìn)行簽名生成數(shù)字簽名驗(yàn)簽接口對消息進(jìn)行驗(yàn)簽以確認(rèn)消息的完整性以及簽名者的身份存儲數(shù)據(jù)塊接口存儲保護(hù)請求寫數(shù)據(jù)以密文形式進(jìn)行存儲讀取數(shù)據(jù)塊接口請求讀數(shù)據(jù)對存儲的數(shù)據(jù)進(jìn)行解密封裝數(shù)據(jù)接口數(shù)據(jù)封裝使用和機(jī)密計(jì)算應(yīng)用程序特征值綁定密鑰加密數(shù)據(jù)解封裝數(shù)據(jù)接口使用和機(jī)密計(jì)算應(yīng)用程序特征值綁定的密鑰解密數(shù)據(jù)密碼算法加速管理接口硬件加速使用硬件加速引擎提高機(jī)密計(jì)算應(yīng)用程序執(zhí)行密碼運(yùn)算的性能附錄資料性機(jī)密計(jì)算虛擬化機(jī)密計(jì)算虛擬機(jī)部署模式機(jī)密計(jì)算M是一個包含完整的機(jī)密計(jì)算操作系統(tǒng)和機(jī)密計(jì)算應(yīng)用程序的運(yùn)行環(huán)境。機(jī)密計(jì)算操作系統(tǒng)可以支持完整的應(yīng)用程序也可以是應(yīng)用程序拆分后的敏感部分。機(jī)密計(jì)算M的部署模式有兩種模式分別見圖1和圖。1VM部署模式一在機(jī)密計(jì)算M的部署模式一中用戶在客戶端向機(jī)密計(jì)算服務(wù)端請求創(chuàng)建一個機(jī)密計(jì)算M并建立客戶端機(jī)密計(jì)算M控制臺和機(jī)密計(jì)算M之間的安全信道通過機(jī)密計(jì)算M控制臺發(fā)送請求運(yùn)行機(jī)密計(jì)算M中的機(jī)密計(jì)算應(yīng)用程序。機(jī)密計(jì)算應(yīng)用程序的安裝模式包含機(jī)密計(jì)算操作系統(tǒng)內(nèi)置非機(jī)密環(huán)境導(dǎo)入和運(yùn)行時下載安裝等。機(jī)密計(jì)算服務(wù)端可以根據(jù)機(jī)密計(jì)算硬件資源的特征選擇部署機(jī)密計(jì)算虛擬化軟件以支撐機(jī)密計(jì)算M的創(chuàng)建加載和運(yùn)行。在運(yùn)行時機(jī)密計(jì)算應(yīng)用程序的形態(tài)有兩種模式一種是完整的應(yīng)用程序運(yùn)行在機(jī)密計(jì)算M中另一種是將應(yīng)用程序拆分敏感和非敏感兩部分非敏感部分作為普通計(jì)算應(yīng)用程序運(yùn)行在普通計(jì)算M中敏感部分作為機(jī)密計(jì)算應(yīng)用程序運(yùn)行在機(jī)密計(jì)算M中。機(jī)密計(jì)算應(yīng)用程序執(zhí)行的中間結(jié)果或者最終結(jié)果可通過安全信道直接返回給客戶端或者先返回普通計(jì)算M中的普通計(jì)算應(yīng)用程序再返回給客戶端。2VM部署模式二在機(jī)密計(jì)算M部署模式二中機(jī)密計(jì)算M與普通計(jì)算M在應(yīng)用部署模式上并沒有本質(zhì)區(qū)別只是機(jī)密計(jì)算M對運(yùn)行虛擬機(jī)的內(nèi)存提供了硬件加密保護(hù)可阻止主機(jī)和硬件所有者訪問虛擬機(jī)中的數(shù)據(jù)。在該模式下機(jī)密計(jì)算M有兩種運(yùn)行方式登錄部署機(jī)密計(jì)算M控制臺通過機(jī)密計(jì)算M控制臺向虛擬機(jī)管理平臺例如云廠商提供創(chuàng)建機(jī)密計(jì)算M創(chuàng)建完畢后機(jī)密計(jì)算應(yīng)用部署人員即可登錄到虛擬機(jī)中部署運(yùn)行對應(yīng)的機(jī)密計(jì)算應(yīng)用程序直接運(yùn)行機(jī)密計(jì)算應(yīng)用部署人員定制啟動虛擬機(jī)的鏡像文件機(jī)密計(jì)算M控制臺直接通過虛擬機(jī)管理平臺使用定制鏡像創(chuàng)建啟動虛擬機(jī)機(jī)密計(jì)算應(yīng)用程序自動在虛擬機(jī)中運(yùn)行。機(jī)密計(jì)算虛擬機(jī)跨平臺遷移在資源擴(kuò)容物理機(jī)升級負(fù)荷調(diào)整等場景下需要在保證機(jī)密計(jì)算應(yīng)用程序正常運(yùn)行的情況下實(shí)施機(jī)密計(jì)算M跨平臺遷移操作。本文件給出一種典型的機(jī)密計(jì)算M跨平臺遷移流程初始化階段在源機(jī)密計(jì)算服務(wù)端源端和目標(biāo)機(jī)密計(jì)算服務(wù)端目標(biāo)端的機(jī)密計(jì)算環(huán)境里分別啟動一個遷移模塊主要監(jiān)控源端和目標(biāo)端之間的網(wǎng)絡(luò)連接以及協(xié)調(diào)機(jī)密計(jì)算M的熱遷移過程在熱遷移過程中遷移模塊會負(fù)責(zé)將機(jī)密計(jì)算M的內(nèi)存數(shù)據(jù)和狀態(tài)信息從源端傳輸?shù)侥繕?biāo)端并確保機(jī)密計(jì)算M在目標(biāo)端能夠正確地啟動見圖。3VM跨平臺遷移流程圖機(jī)密計(jì)算VM跨平臺遷移流程如下源端VM和目標(biāo)端VM通過遷移模塊進(jìn)行雙向遠(yuǎn)程證明驗(yàn)證對應(yīng)平臺的完整性和真實(shí)性VM和目標(biāo)端VM通過遷移模塊進(jìn)行密鑰協(xié)商協(xié)商出會話密鑰用于對內(nèi)存進(jìn)行加解密;源端M停止運(yùn)行將所有內(nèi)存標(biāo)記為臟頁并使用會話密鑰對內(nèi)存進(jìn)行加密源端遷移模塊調(diào)用內(nèi)存加密導(dǎo)出接口獲取加密內(nèi)存和狀態(tài);源端遷移模塊將加密內(nèi)存和狀態(tài)安全傳輸至目標(biāo)端的遷移模塊目標(biāo)端遷移模塊接收加密數(shù)據(jù)調(diào)用加密解密導(dǎo)入接口將內(nèi)存數(shù)據(jù)復(fù)制到目標(biāo)端VM中機(jī)密計(jì)算容器部署模式機(jī)密計(jì)算和云原生容器容器集群管理平臺等技術(shù)結(jié)合可以構(gòu)建出機(jī)密計(jì)算容器化部署模式為運(yùn)行在不受用戶控制的云計(jì)算基礎(chǔ)設(shè)施上的數(shù)據(jù)和應(yīng)用提供安全可信的計(jì)算環(huán)境。通過標(biāo)準(zhǔn)化機(jī)密計(jì)算在容器技術(shù)層面的實(shí)現(xiàn)方式屏蔽多種機(jī)密計(jì)算的底層實(shí)現(xiàn)細(xì)節(jié)在使用體感上保持與使用普通容器進(jìn)行開發(fā)和部署的一致性。目前機(jī)密計(jì)算容器的部署模式主要有三種分別見圖圖5和圖。4機(jī)密計(jì)算容器部署模式一在機(jī)密計(jì)算容器部署模式一中用戶在其客戶端通過機(jī)密計(jì)算容器控制臺向容器集群管理平臺申請創(chuàng)建容器容器集群管理平臺采取相關(guān)的調(diào)度算法挑選一個服務(wù)器來承載用戶容器。機(jī)密計(jì)算服務(wù)端包含代理模塊負(fù)責(zé)實(shí)現(xiàn)容器鏡像的拉取授權(quán)驗(yàn)簽解密遠(yuǎn)程證明等功能。當(dāng)容器在普通計(jì)算環(huán)境中創(chuàng)建成功后容器實(shí)例中保留普通計(jì)算應(yīng)用程序?qū)C(jī)密計(jì)算應(yīng)用程序部署在機(jī)密計(jì)算環(huán)境中通過機(jī)密計(jì)算操作系統(tǒng)對機(jī)密計(jì)算應(yīng)用程序進(jìn)行創(chuàng)建加載銷毀等具體操作。5機(jī)密計(jì)算容器部署模式二在機(jī)密計(jì)算容器部署模式二中用戶在其客戶端通過機(jī)密計(jì)算容器控制臺向容器集群管理平臺申請創(chuàng)建容器容器集群管理平臺采取相關(guān)的調(diào)度算法挑選一個服務(wù)器來承載用戶機(jī)密計(jì)算容器。機(jī)密計(jì)算服務(wù)端可以根據(jù)機(jī)密計(jì)算硬件資源的特征選擇部署相應(yīng)的機(jī)密計(jì)算操作系統(tǒng)以支撐機(jī)密容器的創(chuàng)建加載和運(yùn)行。機(jī)密計(jì)算服務(wù)端包含代理模塊負(fù)責(zé)實(shí)現(xiàn)容器鏡像的拉取授權(quán)驗(yàn)簽解密遠(yuǎn)程證明等功能。當(dāng)機(jī)密計(jì)算容器在機(jī)密計(jì)算環(huán)境中創(chuàng)建成功后用戶可通過機(jī)密計(jì)算容器控制臺對容器內(nèi)的機(jī)密計(jì)算應(yīng)用程序進(jìn)行創(chuàng)建加載銷毀等具體操作。6機(jī)密計(jì)算容器部署模式三在機(jī)密計(jì)算容器部署模式三中用戶在其客戶端通過機(jī)密計(jì)算容器控制臺向容器集群管理平臺申請創(chuàng)建容器容器集群管理平臺采取相關(guān)的調(diào)度算法挑選一個機(jī)密計(jì)算M來承載用戶機(jī)密計(jì)算容器。代理包括容器運(yùn)行時容器鏡像管理證明模塊等負(fù)責(zé)驗(yàn)證機(jī)密計(jì)算M的完整性在機(jī)密計(jì)算M里創(chuàng)建機(jī)密計(jì)算容器實(shí)例啟動和管理容器的運(yùn)行對容器鏡像進(jìn)行解密以及與普通計(jì)算環(huán)境的通信等。機(jī)密計(jì)算容器跨平臺遷移在容器負(fù)載均衡故障恢復(fù)容器維護(hù)等場景下需要在不停機(jī)的情況下將運(yùn)行中的機(jī)密計(jì)算容器從一臺主機(jī)遷移到另一臺主機(jī)。本文件給出一種典型的機(jī)密計(jì)算容器跨平臺遷移流程初始化階段在源機(jī)密計(jì)算源端和目標(biāo)機(jī)密計(jì)算目標(biāo)端的機(jī)密計(jì)算環(huán)境里分別啟動一個遷移模塊主要監(jiān)控源端和目標(biāo)端之間的網(wǎng)絡(luò)連接以及協(xié)調(diào)機(jī)密計(jì)算容器的熱遷移過程見圖。7機(jī)密計(jì)算容器跨平臺遷移流程圖機(jī)密計(jì)算容器跨平臺遷移流程源端VM和目標(biāo)VM通過遷移模塊進(jìn)行相互遠(yuǎn)程證明驗(yàn)證對應(yīng)平臺的完整性和真實(shí)性源端VM和目標(biāo)VM通過遷移模塊建立基于密鑰交換協(xié)議的安全傳輸通道源端M的遷移模塊獲取源端機(jī)密計(jì)算容器的進(jìn)程上下文信息并保存為鏡像文件包括文件描述信息內(nèi)存表等使用密鑰協(xié)商出的會話密鑰對鏡像文件進(jìn)行加密;源端VM的遷移模塊通過安全傳輸通道發(fā)送加密鏡像文件至目標(biāo)VM的遷移模塊并清空源端進(jìn)程信息;目標(biāo)VM的遷移模塊接收加密鏡像文件后進(jìn)行解密,恢復(fù)容器的內(nèi)存狀態(tài),復(fù)制到目標(biāo)里的機(jī)密計(jì)算容器里數(shù)據(jù)安全技術(shù)能力評估要求目??次范圍 3規(guī)范性引用文件 3術(shù)語和定義 3數(shù)據(jù)安全技術(shù)能力要求 5數(shù)據(jù)資產(chǎn)與數(shù)據(jù)識別 5權(quán)限管理與操作規(guī)范 5數(shù)據(jù)防泄漏與溯源 6敏感數(shù)據(jù)保護(hù) 6業(yè)務(wù)流量風(fēng)險監(jiān)控 6敏感操作發(fā)現(xiàn) 6數(shù)據(jù)安全管理能力要求 6組織架構(gòu)及人員保障 6數(shù)據(jù)使用分級管控 7合作方管理 7數(shù)據(jù)安全工作自評估 71數(shù)據(jù)安全技術(shù)能力評估要求范圍本文件規(guī)定了應(yīng)具備數(shù)據(jù)安全能力的企事業(yè)單位、政府部門等組織的數(shù)據(jù)安全技術(shù)能力要求。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T25069-2022信息安全技術(shù)術(shù)語GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T36073-2018數(shù)據(jù)管理能力成熟度評估模型GB/T41479-2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求GB/T37973-2019信息安全技術(shù)大數(shù)據(jù)安全管理指南GB/T35273-2020信息安全技術(shù)個人信息安全規(guī)范GB/T39335-2020信息技術(shù)個人信息安全評估指南GB/T19000-2016質(zhì)量管理體系基礎(chǔ)和術(shù)語術(shù)語和定義GB/T41479-2022GB/T37988-2019GB/T36073-2018GB/T25069-2022GB/T35273-2020GB/T39335-2020、GB/T19000-2016、GB/T37973-2019等國家標(biāo)準(zhǔn)界定的以及下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)data任何以電子或者其他方式對信息的記錄。3.2數(shù)據(jù)處理dataprocessing對原始數(shù)據(jù)進(jìn)行抽取、轉(zhuǎn)換、加載的過程。3.3數(shù)據(jù)安全datasecurity3.4個人信息personalinformation個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息。注1：個人信息包括姓名、出生日期、公民身份證號、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。3注2：不包括匿名化處理后的信息。3.5個人敏感信息personalsensitiveinformation一旦泄露、非法使用或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇的個人信息。3.6去標(biāo)識化de-identification個人信息經(jīng)過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。3.7匿名化anonymization個人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。注：匿名化處理后的信息不屬于個人信息。3.8重要數(shù)據(jù)important