蚂蚁集团研发的国内首个金融级信创 TEE 系统 HyperEnclave1.0,近日通过了北京国家金融科技认证中心认证,TEE 功能(CA 与 TA 交互、数据存储、加密解密算法等)、TEE 安全(硬件安全、系统软件层安全等)47 个项目全部通过检测,达到了金融级产品的功能和安全标准。

图:HyperEnclave1.0通过北京国家金融科技认证中心认证

可信执行环境(Trusted Execution Environment,TEE)是一种基于硬件安全来实现内存隔离的安全计算技术,可在保证数据计算效率的前提下实现隐私保护,是隐私计算主流技术路线之一。

目前市场上主流的 TEE 产品如 ARM 公司的 TrustZone, Intel 公司 SGX(Software Guard Extensions),存在着绑定特定硬件平台,通用性差,开发 TEE 应用困难等问题。

为推动国产 TEE 技术,加速隐私计算技术落地,蚂蚁集团研发了基于国产海光 CPU,可信根构建于中国金融认证中心 (CFCA) 的信创 TEE 方案 HyperEnclave,为 TEE 应用提供隔离执行、远程证明、内存加密、数据封印等完备的安全防护能力,是业界第一个兼容各种体系架构和工具链的 TEE 实现方案,结合自主硬件可满足信创 TEE 平台要求。

从技术先进性、产品功能以及性能上,HyperEnclave 为隐私计算各种场景提供了领先的国产 TEE 解决方案。2021 年世界互联网大会期间,蚂蚁集团发布了业内首个隐私计算一体机产品商用产品摩斯一体机,作为 HyperEnclave 功能的集成形态,结合自研的芯片、硬件、软件,实现了隐私计算软硬件一体化解决方案。此前,蚂蚁集团隐私计算一体机通过了深圳国家金融科技测评中心以及中国信通院泰尔实验室测评,获得了信息通信和金融行业应用场景的 “双认证”。HyperEnclave 也在蚂蚁链智能合约,辅助网商银行与外部合作机构的数据融合等场景有成熟应用,助力数据安全流通。

图:隐私计算一体机产品商用产品摩斯一体机

 蚂蚁集团从 2016 年开始布局隐私计算技术,在 TEE 关键技术方面也有成功的经验。

如,蚂蚁集团开源的 Occlum TEE OS,是谷歌、IBM、阿里巴巴、百度等领先科技公司创始的机密计算联盟(Confidential Computing Consortium, CCC)的官方项目,也是 Intel SGX 平台最受欢迎的 TEE OS。Occlum 还入选了 2021“科创中国” 开源创新榜单,是该榜单中唯一聚焦隐私计算领域的产品。

在行业共建方面,蚂蚁集团主导了多项 TEE 国际标准,如 IEEE “基于 TEE 的安全计算” 国际标准,参与中国信通院主导的 TEE 行标及团标等。​HyperEnclave TEE 多篇学术论文被国际顶级学术会议收录,如计算机系统领域顶级会议 USENIX ATC‘22,获得了学术界认可。

目前,蚂蚁集团将进一步将 TEE 能力从 CPU 扩展到加速器 GPU、FPGA 等,支持大数据应用(如 Spark 等),结合蚂蚁隐私计算一体机推出交钥匙方案,进一步提升安全性,降低开发门槛。