1、HYPERENCLAVE信创TEE最佳实践刘双 蚂蚁集团 高级技术专家|什么是可信执行环境(TEE)?REE(Rich Execution Environment)TEE(Trusted Execution Environment)REE应用REEOS(Linux)TEE应用TEEOS/运行时硬件平台TEE硬件模块1遗世独独立REE复杂软件栈被排除在TEE之外，攻击面更小TEE安全性依赖于自身，与REE无关2密密不透风TEE硬件保证TEE与REE隔离TEE硬件通常对TEE内存加密3清者自清清TEE硬件可作为信任根，提供远程证明|各种隐私计算技术比较HEMPCTEEDPCleartextClea

2、rtextDPTEEMPCHECleartextTEEHEMPCDP评价评价安全安全性能性能功能功能GoodBadTEE 优势是兼顾通用通用与性能性能，可单独使用也能跟其他技术有机结合|背景TEEsCompany orAcademiaWhereisolation isimplemented?Root of trustEnclave modeTrustZoneARMProcessorN/AKernelSGXIntelXuCodeCPUUserSEVAMDCo-processorCPUKernelTDXIntelFirmwareCPUKernelCCAARMFirmwareN/Akernel现有的

3、TEE方案存在如下问题：依赖特殊的硬件和固件修改：功能演进缓慢 硬件闭源：安全性无法审计 信任根与CPU绑定：通用性差 仅能提供单一TEE 应用运行模式：不灵活|设计目标 G1:硬件依赖最小化，支持多平台 硬件虚拟化(隔离)+TPM(可信)G2:易于开发 兼容现有SGX工具链和生态 不修改或少量修改即可运行现有SGX应用 G3:支持灵活的运行模式 更好的满足TEE应用对安全与性能的不同需求FlexibleenclavemodeHyperEnclaveHardwarevirtualizationTPM|SGX APIHyperEnclave 信创TEE方案TEE安全功能实现操作系统(OS)应用1

4、Enclave1TPM内存加密引擎虚拟化硬件HyperEnclaveHypervisorTEE安全可信功能实现中国金融认证中心CFCA应用2Enclave2 原生支持国产海光CPU平台，同时兼容Intel,AMD等 信任根构建于国家金融信息安全基础设施 软件生态完备：兼容SGX SDK，TeaclaveRusk SDK,Occlum 等已有TEE生态 TEE 能力完备：隔离执行，远程证明，内存加密，数据封印 安全性经形式化证明和权威机构审查认证 已通过金融科技产品认证|安全隔离HyperEnclave HypervisorREEOS(Linux)App1App2CPUandMemoryisol

5、ationEncrypteddatadataprocessingEnclave1VMEnclave2VMCPUCPUCPUmemorymemorymemoryCPUEncryptedMemoryCPUEncryptedMemory运行在REE上的应用负责创建对应的EnclaveVM，借助该EnclaveVM处理隐私数据，如：App1对应EnclaveVM1HyperEnclave基于虚拟化技术为EnclaveVM提供安全隔离环境：保证EnclaveVM运行时的机密性和完整性REE与EnclaveVM隔离，EnclaveVM间彼此双向隔离Normal VM|远程证明ROT(TPM)Enclave

6、HyperEnclaveCARemoteVerifier12345TPM Attestation KeyEnclave QuoteEnclave MeasurementTPM QuoteTPM PCR13TPM PCR12TPM PCR 0-6,8,9记录Enclave 完整性记录Hypervisor公钥完整性记录Hypervisor完整性记录平台完整性远程证明用来鉴别TEE平台和Enclave身份，确认被授权的代码运行在TEE上|CA根证书签发TPM证书报告挑战验证灵活的TEE运行模式 TEE 需要提供更灵活的运行模式满足不同属性的应用场景|Guest User ModeCPU-intens

7、ive WLHost User Mode:Memory and I/Ointensive WLPrivileged Enclave Mode:Exception driven WL|灵活的TEE运行模式现有TEE如SGX，仅能提供用户态运行模式HyperEnclave 提供3种Enclave模式HyperEnclave SDK 兼容SGX SDK API 默认支持：Rust SGX SDK Occlum LibOS 不修改或少量修改即可运行已有SGX应用|总结硬件依赖最小化，支持多平台 硬件虚拟化(隔离)+TPM(可信)易于开发 兼容现有SGX工具链和生态 不修改或少量修改即可运行现有SGX应用支持灵活的运行模式 更好的满足TEE应用对安全与性能的不同需求FlexibleenclavemodeHyperEnclaveHardwarevirtualizationTPM|交流合作 期待与产业界，学术界伙伴们，共建信创TEE生态 We are hiring!系统安全方向，虚拟化，内核等|非常感谢您的观看|