星绽机密计算远程证明服务:构建数据要素流通的信任基座
课程地址:https://www.secretflow.org.cn/community/bootcamp/2narwgw4ub8rabq/course/j4fbqrfr4xpynpz?tab=outline
一、课程核心框架
- 需求分析:数据要素流通的信任痛点
- 核心原理:远程证明的技术本质与信任链构建
- 标准与实现:ITS框架与星绽方案落地
- 实践案例:跨域管控的数据安全流通
- 未来展望:跨云统一证明与密算网络
二、引言:数据流通的信任核心问题
1. 数据的价值与安全矛盾
- 数据是数字经济核心生产要素,安全流通是价值释放的关键
- 数据跨实体传递时脱离原控制范围,需解决"可用不可见"的安全保障
2. 机密计算与远程证明的协同作用
| 技术 |
核心功能 |
定位 |
| 机密计算 |
创建可信执行环境(TEE),硬件隔离保护数据 |
提供数据安全使用保障 |
| 远程证明 |
验证连接对象是否为真实可信环境 |
确认保障的真实性 |
三、远程证明核心原理
1. 信任的起点:硬件根信任
- 信任基石:CPU/TPM中的熔断密钥(芯片出厂预置,不可导出)
- 信任链构建:通过权威机构(CA)的数字签名背书,形成"芯片固件→TEE→应用程序"的完整验证链条
2. 远程证明核心流程与角色
(1)核心角色
- 验证方:远程证明服务器
- T节点:具备可信执行环境的硬件(如SGX、TPM、TDX等)
- CA服务:权威认证机构,验证证书链有效性
(2)执行步骤
- 验证方向T节点发送随机制串(LUNS)
- T节点生成度量环境报告,提交至可信硬件获取签名(Code)
- T节点将报告发送至验证方
- 验证方调用CA验证证书链有效性,提取公钥验证报告签名
- 确认T节点为可信环境后完成授权
3. 分层架构模型
| 层级 |
核心功能 |
关键标准/组件 |
| 硬件层 |
生成原始度量报告 |
TPM、可信硬件芯片 |
| 协议层 |
定义标准化报告格式 |
ITS(国际标准框架) |
| 云端服务层 |
报告处理与验证 |
远程证明服务器 |
| 应用层 |
消费验证结果,决策权限控制 |
SDK、业务系统 |
四、标准框架:ITS(International Trusted Computing)
1. 核心目标
- 打破技术隔阂,实现不同厂商TEE(Intel、AMD、华为等)的互操作
- 统一验证流程,整合零散方法为通用框架
- 为设备颁发"可信身份证",解决"设备身份认证"问题
2. 三大核心角色
| 角色 |
英文标识 |
核心职责 |
| 证明者 |
Attester |
在待验证设备上生成硬件级不可篡改报告(Report) |
| 验证者 |
Verifier |
验证报告真实性,签发标准化"健康证书"(EAT令牌) |
| 业务系统 |
Relying Party |
基于EAT令牌决策是否执行敏感操作 |
3. 落地基础设施要求
- 机密计算:提供安全可靠的TEE执行环境
- 信任底座:硬件级可信根(如TPM),保障信任链起点的可靠性
五、星绽方案实现:机密计算与远程证明服务
1. 星绽机密计算整体架构
- 自主研发数据保护方案,具备独立知识产权
- 核心价值:弥补国产CPU安全短板,降低使用成本,支持大规模复杂数据流转
- 三层架构:
- 安全底座:底层安全虚拟化
- 安全操作系统:TE操作系统(自研)
- 可信技术设施:云原生TEE能力提供层
2. 可信技术设施关键特性
3. 信任链全流程实现(从硬件到应用)
- TPM硬件可信根为起点,操作系统启动时将组件度量值写入TPM的PCR寄存器
- 加载驱动模块与虚拟化组件(Hypervisor),度量值同步写入PCR
- Hypervisor启动后降级为非特权模式,作为机密虚拟机可信根,构建虚拟机启动链(内核、迷你行组件)
- 系统分区通过Device Mapper加密保护,根哈希由内核迷你行保障
- 应用容器启动时,通过MA机制完成完整性度量、审计与安全评估
- 容器通过远程证明验证平台可信度,信任链最终传递至应用层
六、星绽远程证明服务设计
1. 架构分层(微服务架构)
| 层级 |
核心设计与功能 |
| 核心层 |
动态插件化设计,兼容多TEE(HyperGlyph、Intel TDX、未来支持GPU认证),支持新增TEE插件 |
| 服务层 |
1. 基线策略管理:管理主机/平台/应用的认证基线,支持多版本; 2. 身份管理:细粒度权限控制、审计追踪,统一EAT ID标识; 3. 身份签发:基于硬件衍生密钥签发Token; 4. 可信审计:记录运行日志与度量结果 |
| 接口层 |
提供基线注册、审计日志查询接口,支持组织/平台/应用三类证明者角色 |
2. 应用可信身份获取与验证流程
(1)身份获取步骤
- 应用A启动,通过Attesting Agent代理发起平台身份请求(采集平台度量值)
- 远程证明服务器验证平台报告,颁发JWT令牌(含公钥,由服务器报告担保防中间人攻击)
- Attesting Agent缓存公钥,发起应用身份请求(报告含平台+应用度量值,平台报告担保应用报告)
- 服务器验证双报告与基线比对,颁发应用级JWT令牌,返回至应用A
(2)跨应用身份验证
- 应用A将业务数据+JWT令牌发送至应用B
- 应用B通过自身Attesting Agent调用验证接口,利用缓存的平台公钥验证JWT签名合法性
- 验证通过则执行敏感操作,失败则拒绝访问(抵御仿冒身份攻击)
七、实践案例:跨域管控的数据安全流通
1. 核心目标
- 确保密算平台环境可验证,数据/密钥在流通中全程受保护
- 抵御管理员及高特权软件的恶意攻击
2. 关键实现路径
- 硬件保障:可信硬件(TPM)保障平台可信启动
- 环境隔离:TEE保护数据计算过程的完整性与机密性
- 身份验证:远程证明服务验证平台/应用可信身份
- 加密传输:
- 用户通过远程认证报告验证数字信封公钥合法性
- 对称密钥加密数据,公钥加密对称密钥,传输至密算平台
- 平台用私钥解密对称密钥,最终解密数据并处理
八、未来展望:跨云统一证明与密算网络
1. 现存挑战
- 多云环境存在"信任孤岛":各云平台安全策略、信任体系独立
- 密算资源稀缺、成本高、使用门槛高
2. 解决方案:跨云统一证明框架
- 标准化协议与抽象中间层:实现不同TEE架构的协议翻译
- 监管支持:区块链存证技术确保运行记录/验证结果不可篡改,提供实时监管接口
- 核心价值:打破厂商适配壁垒(如医院跨机构获取数据无需单独适配)
3. 终极目标:密算天空计算网络
- 低成本转化:将各类计算资源转化为密算节点
- 统一信任:通过跨云统一证明实现节点间互信、互联、互通
- 价值释放:工作负载跨云协作与平滑迁移,数据像自来水一样"即开即用"
九、核心术语与关键技术
| 术语 |
英文全称 |
核心定义 |
| TEE |
Trusted Execution Environment |
可信执行环境,硬件隔离的安全区域,保障数据"可用不可见" |
| TPM |
Trusted Platform Module |
可信平台模块,存储熔断密钥与度量值(PCR),信任链起点 |
| PCR |
Platform Configuration Register |
平台配置寄存器,记录启动组件与运行环境的度量值 |
| Hypervisor |
- |
虚拟化管理程序,星绽方案中作为机密虚拟机的可信根 |
| EAT |
Entity Attestation Token |
实体证明令牌,ITS框架下的标准化"健康证书" |
| JWT |
JSON Web Token |
用于应用身份传递的无证书令牌,通过硬件衍生密钥签名 |
| Attesting Agent |
- |
证明代理,负责采集度量值、转发身份请求与验证结果 |