蚂蚁集团研发的国内首个金融级信创TEE系统HyperEnclave1.0,近日通过了北京国家金融科技认证中心认证,TEE功能(CA与TA交互、数据存储、加密解密算法等)、TEE安全(硬件安全、系统软件层安全等)47个项目全部通过检测,达到了金融级产品的功能和安全标准。

图:HyperEnclave1.0通过北京国家金融科技认证中心认证

可信执行环境(Trusted Execution Environment,TEE)是一种基于硬件安全来实现内存隔离的安全计算技术,可在保证数据计算效率的前提下实现隐私保护,是隐私计算主流技术路线之一。

目前市场上主流的TEE产品如ARM公司的TrustZone, Intel 公司SGX(Software Guard Extensions),存在着绑定特定硬件平台,通用性差,开发TEE应用困难等问题。

为推动国产TEE技术,加速隐私计算技术落地,蚂蚁集团研发了基于国产海光CPU,可信根构建于中国金融认证中心(CFCA) 的信创TEE方案HyperEnclave,为TEE应用提供隔离执行、远程证明、内存加密、数据封印等完备的安全防护能力,是业界第一个兼容各种体系架构和工具链的TEE实现方案,结合自主硬件可满足信创TEE平台要求。

从技术先进性、产品功能以及性能上,HyperEnclave为隐私计算各种场景提供了领先的国产TEE解决方案。2021年世界互联网大会期间,蚂蚁集团发布了业内首个隐私计算一体机产品商用产品摩斯一体机,作为HyperEnclave功能的集成形态,结合自研的芯片、硬件、软件,实现了隐私计算软硬件一体化解决方案。此前,蚂蚁集团隐私计算一体机通过了深圳国家金融科技测评中心以及中国信通院泰尔实验室测评,获得了信息通信和金融行业应用场景的“双认证”。HyperEnclave也在蚂蚁链智能合约,辅助网商银行与外部合作机构的数据融合等场景有成熟应用,助力数据安全流通。

图:隐私计算一体机产品商用产品摩斯一体机

 蚂蚁集团从2016年开始布局隐私计算技术,在TEE关键技术方面也有成功的经验。

如,蚂蚁集团开源的Occlum TEE OS,是谷歌、IBM、阿里巴巴、百度等领先科技公司创始的机密计算联盟(Confidential Computing Consortium, CCC)的官方项目,也是Intel SGX平台最受欢迎的TEE OS。Occlum还入选了2021“科创中国”开源创新榜单,是该榜单中唯一聚焦隐私计算领域的产品。

在行业共建方面,蚂蚁集团主导了多项TEE国际标准,如IEEE “基于TEE的安全计算”国际标准,参与中国信通院主导的TEE行标及团标等。​HyperEnclave TEE多篇学术论文被国际顶级学术会议收录,如计算机系统领域顶级会议USENIX ATC‘22,获得了学术界认可。

目前,蚂蚁集团将进一步将TEE能力从CPU扩展到加速器GPU、FPGA等,支持大数据应用(如Spark等),结合蚂蚁隐私计算一体机推出交钥匙方案,进一步提升安全性,降低开发门槛。