云原生机密计算&商用密码技术最佳实践白皮书

¹‫┹䚹㣔ⵠ崻䴱㢚ℍ‡徏$C¢Ҟ OpenAnolis焳墿䫘[01 㣔ⵠ崻䴱䴚⁥ᾨ䕊䑐04‫┹䚹㣔ⵠ崻䴱SIG$憊07 㣔ⵠ崻䴱」ę11 慪姦㞐〯]4& 㼑⋣CSV㣔ⵠⵓ⠂47 ⦔]runtime-attestation䛂㣔ⵠⵓ⠂47 ⦔]pre-attestation䛂㣔ⵠⵓ⠂)& ⦔]runtime-attestation䛂¢ⵓ⠂&1 㼑⋣CSV㣔ⵠƒ㑹㣔&8IntelTDX㣔ⵠⵓ⠂7$IntelvSGX:IntelSGXƒ㑹⒰81 IntelSGXƒ㑹㣔㢚½ⴸ徏8$ 㼑⋣CSV:㼑⋣ⴣAƒ㑹⒰㐚㣉 1$ AMDSEV㣔ⵠⵓ⠂ *1 IntelSGX:IntelⴣA柌㐾㐃$ 14 AMDSEV㣔ⵠƒ㑹㣔 10$ IntelTDX:IntelⴣAƒ㑹⒰㐚㣉 1& Occlum:⦔]IntelSGX䠞愕捩偁LibOS 107 AMDSEV:AMDⴣA␺ⵠƒ㑹⒰㐚㣉ARMCCA:ArmⴣA␺ⵠƒ㑹⒰㐚㣉 18$0 InclavareContainers:棼▫㣔ⵠ崻䴱⣔㠉䠞゚䀪ⵓ⠂慪姦㞐㐚㣉㦢 10* Enclave-CC:慵№偁㣔ⵠⵓ⠂ 111 傰№㧠㥐 $$ IntelSGXSDK/PSW/DCAP:$( IntelSGX愉ₐ゚╫Qₐ☦」ę愉ₐ㢧␻ IntelHomomorphicEncryption:$* Intel」ę№㆛␺ⵠ␺憹㧠㥐 Intel_HE_Toolkit゚╫㒡⓱(1 ApacheTeaclaveJavaTEESDK:()棼▫Java䚹㆛䠞㣔ⵠ崻䴱傰№㧠㥐Apache_Teaclave_Java_TEE_SDK(7 㢚½ⴸ徏 RATS-TLS:徂㣔ⵠ崻䴱」ę䠞4( ©▫₺愭ⷜⴣAⓩ嵈 孽⍍㝓㧢 IntelConfidentialComputingZoo: Intel㣔ⵠ崻䴱゚䀪孽⍍㝓㧢 抂儌TensorFlowServing⣂偙㕂䖠㢧␻抂儌TensorFlow㯄▫凮所DῺ 抂儌A䭛桠ę㷜‾㝓㧢 PPML:䲉¾䲉A䭛№㐾㣔⠂DῺ孽⍍㝓㧢 11( 114 11) 1$1 1$& 1(( ¹⛠䛂ⵠ䦛㐚$㢚ℍ‡徏$C¢Ҟ 01 1(& 1(* 144 148 1)$ 1)7 1&$ 1&4 170 17( 17) 181 18( 18& 18* 1*1 1*) 1*8 $00 $0) $0& $1$ $1( $1& $$0 崾嵠焳墿 焳%ł;COpenAnolis)㎪䱥]2020『9$,䛋№捦‫˛ARM˛偹ⅻ愉ₐ˛焳呉˛5匘˛$䭫㝓ㅑ˛Intel䳣24¿⢗⌟⪰⫎抂;ᾴ⌋№㎪䱥焳%ł;䖠‥₴,¾䢈⏧$®慡300¿ę⃶₳⃎╜fi⌋ゔ,㟉㟉⢗⌟樠 ]䠞゚䀪ł;ῥ—,⌑⪡愝῔樠]䠞§ᾴ☦㐚㣉ㄋD␵。䢈⏧,焳%㙧⃶井偹ᾥ愗捩⎞®240ᾡ,‰[婟㣔捩慘300;ᾡ,100⃳㳘;ᾴ§Ⓒ⴦㎪fi焳%㙧⃶井偹䠞憜拧。№㞐,偹ⅻ愉ₐ˛$䭫㝓ㅑ˛$⢗䮕⑂‫˛瀬瀹愉ₐ ˛$ƒ愉ₐ˛ƒㆷ愉ₐ˛㼄䄈ⅻ‰˛㝊㛉䉓˛№捦‫⦔]焳%゚䀪㙧⃶井偹㕂[▞厄⛠ᾴA$╤§Ⓒ,⣂㛙␻ ˛捫大˛‾憴˛憴ⅻ䳣樠⥹仉崻㢧␻䛂㏑®慡30ᾡ。 焳墿゚䀪ㄋD␵ 焳%ł;╤焳%㙧⃶井偹ΌyㄱJ—;䠞姦ᾴ崾▉,⽿ⅻ抂䛏ƒƒ⍠柼欰㐓゚䀪fi䢈㎪䌹぀ƒ⃊,㎪῔⛉ —yㄱ"$弤偁"崾½䠞゚䀪fi䢈˛焳%ł;哽¾2022䭫⎵$⢗"゚䀪⎵㝊№"˛哽y"$⢗゚䀪‫凮䡹『぀₲ ?゚䀪fi䢈⫰"˛"OSCAR゚䀪ⶰ№㧢℥⫰"䳣2tfi姦ᾴ⫰fi。 焳墿樓䢈慪⃶$ォ 焳%ł;⎞㎪䱥t0+ῄSIG⽿⃶偞,⢎偯呉䏡˛⌟½˛傰嵫⠂˛ⴣA˛ƒ㑹⒰╤‫┹䚹䳣㙧⃶井偹½ㅝ樠 ⥹慵姦㐚㣉⎵㝊,⎞╫⾝焳%AnolisOS7˛AnolisOS8.x井⎱˛AnolisOS23zëA˛LifseaOS䳣;ῄł ;A$,῔〮ⶓ┍ⶠ⇶㢧䠞CentOS,ⴲ僫⎞L偙'CentOS⇶㢧Ç;Ҟ῔䛂㏑㕪ℵ½䮕㝓㧢╤朙㢹䯍;㛉㒛,厎␵]㎪῔CentOS䠞㢎½㢙⁽。 焳墿慪喿䴻䖠 "῔㢎⬗⣊慪喿☦㹕䖠ł;,焳%ł;;㢹p゚$぀慪喿⭮◲₴₴嵈˛㐚㣉⭮◲₴₴嵈,䖠‥⫁₴。 ⌍]䖠‥⫁₴:焳%ł;ø;ⷤ䖠‥⫁₴⢠䁻p゚!䖠‥㓼ⷤ½Ş˛4⃧䐓偀樘枈␺] ⌍]慪喿⭮◲₴₴嵈:焳%ł;ø1t㲻慪喿⭮◲₴₴嵈樔⏃p゚ 㲼I㢎;;ᾴ␺]⌋ゔ,焳匘崻⎬▉╜䢥:"焳匘崻⎬"g⑂!戚嶑t00¿;ᾴ␺],fi焳%ł;—弑㑿㑋L䚹㆛。" 焳墿゚5䠞䚹㆛ ῔J炭⑋ę⃶₳⃎⣂ł;㔼亼[㢎;䠞⛠ᾴę⃶㝓ォ,䢹E䐏ク;ᾴ⣂焳%ł;䠞ę⃶⣊,ł;㕂['焳匘崻⎬Ҟ䠞]偁A––'䚹㆛╫$崻⎬Ҟ,㢎‰䋀⣂§Ⓒ☦⛠ᾴę⃶$E。 ⌍]焳墿㙧⃶井偹(AnolisOS) 焳%㙧⃶井偹CAnolisOS)㗇愗JANCKA$䠞⌟½,½劗☦䯍;½偩慡┠『"©11"┠偝,劗῔‫LM ⤥䛂㏑⣔㠉⿀㣿40%䠞3ę½劗㕪],㛟栶䔡柧⃨t0%,⌖ⵓCentOS䚹㆛,㕪ℵ」䁫䠞CentOS½䮕㝓㧢, ¢㕪ℵA㦢⢗ⵠ劗␵。㢚㝊䠞朙㢹㛉㒛A$AnolisOS8.6⎞╫⾝,㢎;焳%厄g,㛉㒛X86_64˛RISC-V˛Arm64˛LoongArch㥐㤞,⴦✞憜拧Intel˛5匘˛㼑⋣˛⋠呉˛湌濩˛焳呉䳣῕3呉䏡。 y愗[氦ffi㔿:https://openanolis.cn/download 2021『12$31Q,焳%゚䀪ł;COpenAnolis)L偙'CentOS⇶㢧Ç;Ҟ,῔╱CentOS⇶㢧ㄋD䠞䛂㏑㕪ℵ½䮕㝓㧢╤朙㢹䯍;㛉㒛。fl㲻⇶㢧,焳%㙧⃶井偹CAnolisOS)§Ⓒ₲ƒ⒟㒆:㏭憺井偹⒰孽⍍㝓㧢AOMS˛㕪ℵ;㳘拧Q⽿⌑˛㐙嶔10『㐚㣉㛉㒛˛⌖ⵓCentOS䚹㆛˛⌑⪡2ª⒰½ㅝ㐚㣉₲ƒ˛┠偩H ⵦ⣔㠉氦½˛㸣㽚䛂㏑½䮕㧢℥ⴸ徏。 Ø欢ᾨ⌋⎵ OpenAnolis㟉—ῄ゚A⒟ⵓ䠞ł;,⡺fl㎫₆Ό㲼Iㅱ№懭ęῥ⪅╜fi㎫₆䠞@㧽ↈ崼。ⶓ]@㧽$㉂崾῔ᾧ彍ῥ⪞,㲼I¾㎫₆䠞ⴲ㝓î〭WhitebookConfidentialComputing㝊゚issue,㎫ ₆₴ø—㞐枎慵姦D〮。 ▀⪰,呿㉂㊍㢎㝊@㧽,Ό№㧑㲼I⣂WhitebookConfidentialComputing㕪PR 嶀㉟▉╜䢥:https://openanolis.cn/page/partner2 0203 㣔ⵠ崻䴱䴚÷ᾨ䕊䑐 㣔ⵠ崻䴱䴚⁥ᾨ䕊䑐 IntroductionAndStatusOfConfidentialComputing 㜊gⴣ@ᾨ㣔ⵠ崻䴱 㜊g⣂‰ῄ䚹☗№㢹$三g䑐㆛:At-RestC棳㆛)˛In-TransitC₺愭$)☦In-UseC䛂$)。 ·At-Rest䑐㆛ᾥ,—叆₴g㜊gⳲA⣂䨆䡲˛构Ⳳ№⌐⁰䠞Ⳳ≂嵘⪡$。№㐾At-Rest䑐㆛䠞㜊g$ㄢ;㝓㹯,㵮ⶓ@ₐ␺ⵠ▨$ⳲA№$ⶓⳲ≂嵘⪡␺ⵠ。 ·In-Transit㟉㒡憴慡z僫№䭛僫g㜊g⁨—ῄ⣊㝓₺愭¾⌐⁰⣊㝓,䛂㏑▉ⁿ⣂₺愭ῥ⏧ⶓ@ₐ␺ⵠ№$ ;䛂ⴣA䠞₺愭ⓩ嵈№½㜊g⣂₺愭$䠞ⴣA,㵮HTTPS˛SSL˛TLS˛FTPS䳣。 ·In-Use㟉㒡E⣂䛂䠞㜊g。┍⅙㜊g⣂₺愭慡№$㟉␺ⵠ䠞,⃠▄$g㜊g孽ⵠ▨㏧劗慵姦崻䴱☦䛂。Όⷋ㊩☍䣚,$㜊g⣂䛂㞐㸻$№㐾䠞嵷,⁧䋐$㜊g㹞棌☦䵻㛓䠞橨栃。 ⣂½ῄᾰ$L,㎫₆ᾧƒ⣊Ⳳ≂˛䛂☦⌋⁅▞g‰㊹㜊g:⁨ⅻ䛂⓻㜊g¾䝟┠,⁨柌䈅⨳拧$¾⣊䖠 ⃧$㜊g。№㐾⪞]㏚$䑐㆛$䠞‰㊹㜊g㵮ⁿ½?№㞐↳抗㢎῔捧嬛。÷〙㹵䛂䠞␺ⵠ㐚㣉▉ⁿ䛂㣿㕪ℵ㜊g㣔ⵠ½C柌£$偩㔢㣝䠞嵙枈)☦㜊g⴦‰½C柌£№㩚ë$偩㔢㣝䠞ↈ㛓),⃠䢈⏧½t㐚㣉῕嬛 䛂]№㐾₺愭$☦棳£䑐㆛䠞㜊g,䢈⏧ⶓ㜊g䠞ø三ῄ䑐㆛"䛂$"㕪ℵⴣA柌㐾䠞㐚㣉⁧ⷸ]㝊䠞⏧㹙樠⥹。 㣔ⵠ崻䴱㒡ℙ䛂⦔]䨆ₐ䠞▉ⅻ㐁姦䕉⨝(TrustedExecutionEnvironment,TEE)ⶓℙ䛂$䠞㜊g㕪ℵ №㐾。憴慡䛂㣔ⵠ崻䴱,㎫₆䕊⣂劗⪹昢ⶓ"䛂$"䠞㜊g㕪ℵ№㐾。 㣔ⵠ崻䴱䠞½ㅝ␹劗$: ·№㐾In-Use㜊g䠞㣔ⵠ½。$偩㔢㣝䠞ⴸ[C῕㣔L䠞〮䛂№Q˛῕㣔㙧⃶井偹☦Hypervisor˛井偹䴻䖠◲№ⶓ䨆ₐ⌑$䐃䖠嵙枈㣝䠞?№⌐⁰V。)L㹯㥿䢥⣂TEE$䛂䠞㜊g,⌟Ⳳ$䠞㜊g㟉␺ⵠ䠞,┍ ⅙㛕⎕$¿╰¾⌟Ⳳ㜊gΌᾧ₴㹞棌㜊g。 ·№㐾In-Use㜊g䠞⴦‰½。柌£$偩㔢㣝䠞ⴸ[䵻㛓E⣂⪞䖠$䠞㜊g,぀捩⇖№½J㜊g☦⁽№䠞⴦ ‰½,䛂$$?№㜊g№⁽№䠞㛓⑂抗₴ク弑぀捩⇖䠞ę⒰。 ·▉½㞨½。憴pTEE▉ⁿ㕪ℵ⌐弑䀪☦ロ⏧䑐㆛䠞½g№぀捩⇖,ⁿ⅙½▀—㝓慵姦氦½,¢⍍;㟉ęⅻ ?TEE$慪姦䠞⁽№。㢚捧嬛䠞㟉,fl丕½g㟉䛋䨆ₐ¢,¢ᾮ⏐憺⛠劗⪹㕪ℵ½㞨,⡺fl氦½½g䠞—㝓ⷋ▉ⁿ⣂—;№぀L№½½g㟉▉φ䠞,]ᾧ㟉䛋ö㊩愉ₐ№⌐⁰$偩㔢㣝䠞ⴸ[䚹㎪䠞。 㣔ⵠ崻䴱䠞䕊䑐ᾨД⨝ ᾴ$⌟䠞嶒;J⛠ⷋ⎞偩゚⭥⌍I¢№]¾㣔ⵠ崻䴱$。▞⫁呉䏡J¿☦‫㢧␻㕪ℵ⛠CCloudServiceProvider,䴚ƒCSP)抗⣂㣔ⵠ崻䴱樠⥹№]g╫廞䀪,¢偞ゔJ"㣔ⵠ崻䴱凮䡹"。嵿凮䡹Ç枂昢ⶓ‫㢧␻╤䨆ₐ䚹㆛,厎␵]№㐾崻䴱㞐䠞㜊gⴣA。 䢈⏧㣔ⵠ崻䴱E⪞]$呋¾╫☦$¿‣澽䠞某¼,⾜ƒ☦$ᾴ⒰䃶␵"p¢⫁。⃠㣔ⵠ崻䴱⣂‫┹䚹⣔㠉 $慲$—tᾧ彍: 1˛䛂㏑ㅝ㠔ᾧ彍。䛂㏑‰懧ⶓ㣔ⵠ崻䴱½fi㝊㐚㣉䠞崾䥿㊹ᾧ彍,桘ⁿⶠ⌐fi厄⎞䠞ᾴ␻$㔿凮井弑㣿 ,ⶖ厎梚㷜ᾧ⪹㞔䡵。 2˛㐚㣉枂㭵汲。䢈⏧,䢒㵮₺偹゚╫㝓ォ,῕3䠞㣔ⵠ崻䴱㐚㣉䠞傰№㮻⤥偳V₆ⶓ㣔ⵠ崻䴱㐚㣉䠞┊巻㟉DῺ☦䛂枂㭵汲,䛂㏑梚嬛䛂㣔ⵠ崻䴱㐚㣉ⶓᾴ␻慵姦㛓憺,½ㄢ;゚╫$㢵]䚹䛩。 3˛〮䛂⣔㠉僔]‰憜½。䢈⏧,㣔ⵠ崻䴱῕嬛〮䛂]⌑$䐓;姦ᾴ⩛⤬№姦ᾴ䐓½䠞⣔㠉,A䭛崻䴱 ☦捫大䳣。½t⪧㣜⣔㠉½‰憴䛂㏑ㄢ桘宀慘㣔ⵠ崻䴱㐚㣉,Ό桘ⁿ῔‰憴䛂㏑㏭憺M⤥〮䛂⣔㠉。№㞐,ᾧ 040t №J⛠䠞CPUTEE堗▞厄⌑$厄E䠞䐓䉓,⃠抗L㹯孽⍍ª㤞崻䴱䴱␵ᾧ彍䠞枈樲,⏐J㣔ⵠ崻䴱䠞〮䛂樠⥹。4˛ⅻ?☦ⅻ?㮻⤥枈樲。⣂ⅻ⎵˛㜊gⴣA☦ⴣAę孞䳣㛙$½嬛㷜ⶓCPUTEE䠞ⅻ?Ⳳ⣂厄῕▉ƒ䠞 嵣㷜;fifl№㞐,堗䋐$抂⎠䛂㏑㋙㊩ⅻ?‫J⛠☦ø三㝓㕪ℵ䠞孽⍍㝓㧢,⃠;㜊䛂㏑ⶓ‫J⛠☦ø三㝓ᾧ⴦ Aⅻ?,嬛㷜ⶠ㣔ⵠ崻䴱㐚㣉㝓㧢⁨䭹㏑TCB$⴦A䮕柾。 ㇕ῥ,䢈⏧⎞$䠞㣔ⵠ崻䴱㐚㣉㝓㧢Ⳳ⣂ⁿL⢊⨝,ᾧ劗⪹⴦A䁻彍䛂㏑ᾧ№⣔㠉䠞ⴣA梚㷜。῔J孽⍍ⁿL⡵ῄ枈樲,‫┹䚹㣔ⵠ崻䴱SIG〮慪]䚹,῕嬛▉$㒆῔⡵䉓: 1˛㕂〙㣔ⵠ崻䴱㐚㣉。 ·戚嶑╜fi㝓⣂焳%⫁嵌φ÷偧☦㕂〙㣔ⵠ崻䴱㐚㣉fi孽⍍㝓㧢。 ·fi呉䏡J⛠ę⃶,$㣿▉ⁿ憴慡焳%ⴸ氦ⴾ½⪰抂䛂㏑[氦㣔ⵠ崻䴱㐚㣉,ⶓ㣔ⵠ崻䴱$—ῄ㢎㾋]⒰䠞J 孽。 2˛㕪汲㣔ⵠ崻䴱㐚㣉䠞▉䛂½。 ·㛉㒛;g㣔ⵠ崻䴱䨆ₐ。 ·㕪ℵ;g慪姦㞐〯ぁ☦傰№㧠㥐ℵ䛂㏑½№。 3˛㕪]㣔ⵠ崻䴱㐚㣉䠞㹵䛂½ ·῔㢚$⁽Q½䠞憴䛂崻䴱⣔㠉㏭憺孽⍍㝓㧢☦㧢℥C䐓½┍§Ⓒ)。 ·䮉㤛㑿㑋¢╜fi¾㣔ⵠ崻䴱⏧㹙㐚㣉樠⥹䠞㔼亼fiⴸ徏,␺憹⎵㝊㐚㣉䠞⣊。 4˛䄞㾟嶉₴¢⨸␺䛂㏑ⅻㅝ ·╫⾝㣔ⵠ崻䴱㐚㣉$$¢。 ·fił;☦ᾴ$ę⃶,$㣿㕪ℵ偭ęJ愉ₐℵ〮暘ⴣA䠞慶№½㞨㢧␻[井。 ‫┹䚹㣔ⵠ崻䴱SIG$憊 OverviewOfTheCloudNativeConfidentialComputingSIG 0607 ‫┹䚹㣔ⵠ崻䴱SIG$憊 栩䣚憴ⅻ˛僫偶☦崻䴱㣔㐚㣉䠞㒛傇䂮慵fi〙㹵〮䛂,㜊g廞䀪䠞゚A⌋⁅˛‾㓼3憴㎪῔㕂⑂"ᾡ䐃‬凮 ˛㠔㌁‬憴"䠞捧嬛弥ƒ。fifl№㞐,½『㣿㜊gⴣA‥ₐƒ╫˛㜊gⴣA⮛剛Q弥᾿⺕,㜊g䠞ⴣA⪞䖠☦3憴╱¾J⢗⌟⪰䡫䴻抂枂䠞〙㹵捧孠。№⣂№栶ⴣ@䠞⏧㕪y㢚⫁№぀╫㒿㜊g䠞ₑ⇖,㟉ロ⏧棼῎䠞捧嬛嶘樲。 ⣂Q䡤᾿№䠞A䭛№㐾䢒⌍㹯ㄥ㹯孞偀$ᾥ,⃶῔ロ⏧㜊g⪞䖠⦔䧚嵘㝗䠞‫崻䴱ΌE⣂偩┠—㲻捧⫁䠞咝ォ愆㓼,┍⁨灲崾ⁿCSP῔ⅻ?⦔䧚䠞崻䴱咝ォ]▫ⅻ?暘fiCSP孽净䠞㝊咝ォ。㎫₆ⶠfl咝ォƒ῔