信创 | 机密计算安全服务接口规范

信创机密计算安全服务接口规范是中国在信息技术应用创新（信创）产业背景下，为应对日益严峻的数据安全与隐私保护挑战，特别是关乎国计民生的关键信息基础设施和重点行业的数据处理安全，而制定的一套关于机密计算技术的标准化服务接口规范。该规范旨在构建一个统一、开放、安全、可信的机密计算服务接口标准，以促进信创生态体系中硬件、软件、应用与服务之间的互联互通与协同安全，确保在数据处理的全生命周期中，数据在使用状态（即计算过程中）的机密性与完整性得到硬件级的安全保护，从而弥补传统安全技术主要关注数据静态存储和动态传输安全的不足。机密计算作为一种新兴的安全技术范式，其核心在于通过硬件构建的可信执行环境，在保证计算性能的前提下，为敏感代码和数据提供一处隔离于操作系统、虚拟机监控器乃至系统管理员的受保护内存区域（即安全飞地，如Intel SGX中的Enclave，AMD SEV中的安全虚拟机，或基于ARM TrustZone的安全世界等），使得即使在云环境等不受信任的基础设施上，数据计算过程也能得到有效保护。信创机密计算安全服务接口规范正是为了在中国自主可控的信创技术体系内，规范化地调用和管理此类硬件安全能力而诞生的。

该规范的制定具有深刻的时代背景与战略意义。随着数字经济成为全球经济增长的新引擎，数据作为关键生产要素的价值日益凸显，其安全问题已上升到国家主权与安全的层面。国际上，围绕数据的争夺与保护日益激烈，欧盟的《通用数据保护条例》（GDPR）等法规对数据隐私提出了严苛要求。在国内，《网络安全法》、《数据安全法》、《个人信息保护法》共同构成了数据安全的顶层法律框架，对数据处理活动，特别是在金融、政务、医疗、能源等关键行业的数据处理，提出了更高的安全合规要求。然而，传统的以边界防护和加密技术为主的安全方案，难以应对来自云服务提供商内部、底层系统软件或固件的高级可持续威胁，数据在使用环节面临被窃取或篡改的风险。与此同时，中国正在大力推进信创产业，旨在实现从芯片、操作系统、数据库、中间件到应用软件的全产业链自主可控与安全可靠。在这一进程中，不仅需要解决“有无”问题，更需构建国际先进水平的内生安全能力。机密计算技术正是实现数据要素安全流通与价值释放的关键技术路径之一。因此，制定一套符合中国国情、适配主流信创技术路线的机密计算服务接口规范，对于统一产业共识、降低开发复杂度、加速技术落地、构建安全可信的数据计算环境至关重要，是信创产业安全体系化建设的重要组成部分。

信创机密计算安全服务接口规范的核心目标在于实现“跨平台、可移植、可验证”的机密计算应用开发与部署。首先，“跨平台”意味着该规范需要抽象不同硬件厂商（如飞腾、鲲鹏、海光、兆芯、龙芯等国产CPU厂商，它们可能采用或借鉴不同的TEE技术路线）提供的底层机密计算能力，定义出一套通用的服务接口。这使得应用开发者无需针对每一种特定的硬件TEE实现进行深度适配，只需遵循统一的接口进行开发，其应用便能运行在支持该规范的多种信创硬件平台上，极大地提升了开发效率和应用的普适性。其次，“可移植”强调应用代码与具体TEE实现细节的解耦。规范通过定义标准的API（应用程序编程接口），将TEE的创建、资源管理、安全调用、证明服务等关键操作进行标准化封装。应用只需调用这些标准API，而由底层的平台适配层或运行时库将其映射到具体的硬件指令和驱动上，从而实现应用在不同TEE实现间的平滑迁移。最后，“可验证”是该规范安全属性的集中体现。它不仅定义了如何构建和保护TEE，更关键的是定义了一套完整的远程证明机制接口。远程证明允许TEE向远端验证者（如服务提供商或数据所有者）证明其运行环境的真实性与完整性，包括所运行的软件身份、安全配置等，从而为建立可信的数据计算服务提供了技术基础。这三点共同构成了规范设计的基石。

从架构层面看，信创机密计算安全服务接口规范通常采用分层的设计思想，自上而下大致可分为：应用层、服务接口层、平台适配层和硬件层。应用层包含各类基于机密计算技术开发的敏感应用程序，例如隐私保护的机器学习、多方安全计算、密钥管理、数字版权保护等。服务接口层是整个规范的核心，它向应用层提供了一套完整的、语言中立（通常以C语言头文件形式定义，并可能提供其他语言绑定）的API集合。这些API按其功能范畴可以进一步细分为若干关键模块：TEE生命周期管理接口，负责安全飞地或安全虚拟机的创建、初始化、加载代码与数据、执行入口调用以及最终销毁等全过程管理；安全内存与资源管理接口，为TEE内部代码提供安全内存的分配、访问控制，以及可能的安全I/O通道管理；加密服务接口，在TEE内部提供对基础密码学操作（如对称加密、非对称加密、哈希、随机数生成）的标准访问，这些操作可能由硬件安全模块或受保护的软件库提供；密封存储接口，允许TEE将敏感数据以加密形式存储到外部非安全存储设备，且密钥与当前TEE的身份或策略绑定，确保数据只能被特定的TEE实例或符合特定策略的后续实例解封；最重要的远程证明接口，涵盖证明密钥的生成、本地证明证据的生成、以及验证证明报告所需的服务调用；此外，还包括TEE内部与外部非安全世界（Rich Execution Environment, REE）进行安全通信的接口。

平台适配层是连接标准化服务接口与多样化硬件实现的关键桥梁。它包含一系列针对特定硬件TEE实现（例如，某款国产CPU的特定安全扩展）的驱动、固件和底层软件栈。该层负责将服务接口层发出的通用API调用，翻译并执行为具体的硬件指令、固件调用或平台特定操作。例如，创建飞地的API调用，在Intel SGX平台上可能对应ECREATE等CPU指令，而在ARM TrustZone平台上则可能对应切换到安全世界并初始化安全环境的操作。一个设计良好的平台适配层能够最大程度地隐藏硬件差异，为上层的服务接口和应用提供一致的抽象。硬件层则是机密计算能力的物理基础，由支持可信执行环境特性的国产化CPU及其相关安全组件构成。这些硬件特性可能包括：内存加密与完整性保护机制、用于隔离安全与非安全世界的硬件模式切换、受保护的密钥存储（如芯片熔丝存储的根密钥）、以及用于加速TEE内部密码学操作的协处理器等。规范的成功实施依赖于硬件层提供足够强大和可靠的安全原语。

在技术细节上，信创机密计算安全服务接口规范对各个功能接口的定义力求精确、无二义性，并充分考虑安全边界。以TEE创建接口为例，规范会详细定义创建请求所需参数，如安全飞地的预期内存大小、属性标志（是否可调试、是否支持多线程等）、测量值（MRENCLAVE）的计算方式等。接口会明确返回成功或失败的状态码，以及失败时的具体错误原因。对于远程证明，规范的定义尤为关键和复杂。它通常涉及证明者（TEE）、验证者（远程服务）和可能存在的证明服务（如Intel的认证服务或符合中国标准的本地化认证服务）三方。规范会定义证明证据的数据结构，该结构应包含：TEE硬件平台的证明（由硬件唯一密钥签名，证明TEE运行在真实的特定型号硬件上）、TEE软件身份的测量值（如飞地构建的哈希值）、TEE运行时的安全属性、以及可选的用户自定义数据。同时，规范会定义生成证据的接口、提交证据到验证服务的接口、以及验证方解析和验证证据的接口流程。为了符合中国密码法规要求，规范会强制或推荐使用中国商用密码算法（如SM2、SM3、SM4）用于证据签名、哈希和加密操作，并定义相应的算法标识和数据处理格式。

安全模型是信创机密计算安全服务接口规范的灵魂。该规范建立在以硬件为根信任的基础上，假设CPU硬件实现是正确且可信的，而除此之外的系统软件栈（操作系统、Hypervisor、BIOS等）乃至基础设施管理员都可能是潜在的敌手。规范定义的安全目标包括：机密性，确保TEE内的代码和数据，在计算过程中不被外部软件或通过物理攻击（在硬件假设成立的前提下）窃取；完整性，确保TEE内的代码和数据不被外部实体篡改；代码真实性，通过测量和证明机制，确保TEE内运行的代码是经过授权和预期的版本；以及新鲜性（在通信场景下）。规范会明确阐述其安全边界，即哪些威胁在考虑范围内（如操作系统攻击、内存嗅探），哪些不在考虑范围内（如硬件侧信道攻击的完全缓解，虽然硬件需提供基础防护，但规范可能要求应用开发者遵循安全编程实践来应对部分侧信道威胁）。此外，规范还需考虑接口本身的安全，防止通过API进行滥用或发动攻击，例如对参数进行严格的输入验证，确保不会因API调用导致安全边界被突破。

在应用场景与生态整合方面，信创机密计算安全服务接口规范的落地将深刻影响多个关键领域。在金融行业，银行可以利用遵循该规范的机密计算环境，在云上处理跨机构的联合反欺诈模型训练，确保各参与方的客户数据在计算过程中“可用不可见”，满足数据合规要求。在政务领域，政府部门可以在保证数据不出域的前提下，通过机密计算进行跨部门的数据分析与政策模拟，提升决策效率的同时严守数据安全红线。在医疗健康领域，医院和研究机构可以在保护患者隐私的前提下，利用多方医疗数据进行疾病研究或药物研发。该规范与信创其他基础软件的集成也至关重要。例如，国产操作系统（如麒麟、统信UOS）需要提供对规范接口的系统级支持，包括必要的内核驱动和用户态库；国产虚拟化软件（如华为云Stack、浪潮云海）需要支持基于该规范的安全虚拟机创建与管理；国产容器平台（如阿里云ACK、腾讯云TKE）可以集成机密计算能力，提供“保密容器”服务；国产大数据与人工智能框架（如飞桨、MindSpore）可以调用规范接口，实现隐私增强的分布式训练与推理。这种全方位的生态整合，将使得机密计算从一项前沿技术转变为信创体系中可被广泛调用的基础安全服务。

标准化进程与产业实践是规范生命力的体现。信创机密计算安全服务接口规范的制定工作，通常由中国电子技术标准化研究院、中国信息通信研究院等国家级标准研究机构，联合主要芯片厂商（飞腾、鲲鹏、海光等）、操作系统厂商、云服务提供商、安全企业及重点行业用户共同推进。其制定过程会参考国际相关标准（如GlobalPlatform的TEE API规范、IETF的远程证明相关草案），但更注重与国内现有技术体系和标准的衔接，例如《信息安全技术 可信计算 可信计算体系结构》等国家标准，以及金融、电信等行业安全标准。在规范制定过程中，会经历需求调研、草案编制、多次技术研讨、公开征求意见、试点应用、修订完善等阶段，确保其技术先进性与实践可行性。目前，产业界已有一些先行实践。例如，一些国产云服务商已经推出了基于自研或合作硬件TEE的机密计算服务，并在内部尝试定义服务接口；部分芯片厂商在提供硬件能力的同时，也发布了相应的软件开发套件（SDK），这些SDK的设计理念在一定程度上为规范提供了输入。规范的最终发布与推广，将促使这些分散的实践走向统一，形成合力。

挑战与未来展望伴随规范的全生命周期。首先，技术挑战不容忽视。不同的国产CPU在机密计算实现原理上存在差异，如何设计一个既通用又不失效率的抽象层是一大难题。侧信道攻击（如缓存计时攻击、功耗分析）的防护需要硬件与软件的协同，规范如何在接口层面引导或约束开发者编写安全的TEE内部代码？其次，性能开销是影响机密计算广泛应用的关键因素。内存加密、世界切换、证明流程都会引入额外开销，规范的设计需要平衡安全强度与性能损耗，并提供性能优化的指导。再者，可管理性与可运维性对于企业级应用至关重要。规范需要考虑如何与现有的密钥管理体系、监控审计系统、灾备方案对接。从生态角度看，推动整个信创产业链从硬件、固件、操作系统到应用软件都支持并遵循该规范，需要巨大的协同努力和持续投入。未来，该规范的发展可能会沿着几个方向演进：一是持续迭代，吸收新的硬件安全特性（如针对特定侧信道攻击的硬件缓解机制）；二是与隐私计算其他技术（如联邦学习、安全多方计算）进行更深入的融合，定义复合型隐私计算安全服务的接口；三是探索与区块链技术的结合，利用TEE的可验证性为区块链智能合约提供可信的链下计算能力；四是推动国际标准互认，在确保自主可控的前提下，探索与国外主流标准的兼容或映射方案，为中国数字服务“走出去”提供安全底座。

信创机密计算安全服务接口规范是一项立足中国信创产业实际、面向未来数据安全挑战的关键性标准建设工作。它通过定义一套统一、开放、安全的服务接口，旨在将异构化的硬件机密计算能力转化为标准化、可便捷调用的安全服务，为在复杂多变的计算环境中保护数据使用安全提供了强有力的技术工具。该规范的制定与广泛实施，不仅将有力提升信创产品自身的内生安全能力，保障国家关键信息基础设施和重点行业的数据资产安全，更将通过促进数据要素的安全流通与融合应用，为数字中国建设注入强大的安全动能。其成功离不开产、学、研、用各方的通力合作与持续推动，最终目标是构建一个硬件可信、软件可靠、应用安全的信创机密计算生态体系，在全球数据安全竞争中占据主动，为数字经济的高质量发展筑牢安全基石。