隨著通訊、網路和計算技術的持續演進與廣泛應用，資料資源的開放共享、交換流通 成為推動“萬物互聯、智慧互通”的重要趨勢。 與此同時，近年來資料安全事件頻發、 資料安全威脅日趨嚴峻，資料的安全處理和流通受到了國內外監管部門的廣泛重視。 如何在保障安全的前提下最大程度發揮資料的價值，是當前面臨的重要課題。

在日益嚴苛的隱私保護相關法律法規約束下，作為當前資料處理基礎設施的雲端計算也正在經歷一次重大的正規化轉換，即從預設以 CSP 為信任基礎的計算正規化走向信任鏈與 CSP 解耦的新正規化。我們將此正規化稱為隱私保護雲端計算，而機密計算是實現隱私保護雲端計算的必由之路。

為擁抱隱私保護雲端計算新正規化，促進隱私保護雲端計算生態發展，龍蜥社群成立了雲原生機密計算（以下簡稱“CNCC”）SIG。

CNCC SIG 願景

CNCC SIG 致力於透過開源社群合作共建的方式，為業界提供開源和標準化的機密計算技術以及安全架構，推動雲原生場景下機密計算技術的發展。工作組將圍繞 SIG 下的核心專案構建雲原生機密計算開源技術棧，降低機密計算的使用門檻，簡化機密計算在雲上的部署和應用步驟，擴充使用場景及方案，提升龍蜥社群的差異化競爭力。

CNCC SIG 的願景是：

1）構建安全、易用的機密計算技術棧

2）適配各種常見機密計算硬體平臺

3）打造典型雲上機密計算產品和應用案例

CNCC  SIG  成員介紹

Owners

段然、馮浩、汪少軍、張佳

Maintainer

段然（Occlum）

馮浩（CSV 機密容器）

郝世榮/楊亮（Inclavare Containers）

汪少軍（JavaEnclave）

肖俊賢（KubeTEE Enclave Services）

專案介紹

1、CSV 機密容器 

CSV 是海光研發的安全虛擬化技術。CSV1 實現了虛擬機器記憶體加密能力，CSV2 增加了虛擬機器狀態加密機制，CSV3 進一步提供了虛擬機器記憶體隔離支援。CSV 機密容器能夠為使用者提供虛擬機器記憶體加密和虛擬機器狀態加密能力，主機無法解密獲取虛擬機器的加密記憶體和加密狀態資訊。CSV 虛擬機器使用隔離的 TLB、Cache 等硬體資源，支援安全啟動、程式碼驗證、遠端認證等功能。

 2、Inclavare Containers 

Inclavare Containers 是一種面向機密計算場景的開源 Intel SGX LibOS 容器執行時技術棧和安全架構。Inclavare Containers 把機密計算技術和容器技術完美地結合在一起，實現了第一個容器形態的機密計算解決方案。使用者的敏感應用可以部署和執行在由 Inclavare Containers 建立的機密容器中，在保證安全的前提下，同時保持與普通容器一致的使用體感。目前 Inclavare Containers 已經是 CNCF 的 Sandbox 專案之一。

3、Intel SGX Platform Software and Datacenter Attestation Primitives

在龍蜥生態中為資料中心和雲端計算平臺提供 Intel SGX 技術所需的平臺軟體服務，如遠端證明等。

4、Intel SGX SDK

在龍蜥生態中為開發者提供使用 Intel SGX 技術所需的軟體開發套件，幫助開發者高效便捷地開發機密計算程式和解決方案。

5、JavaEnclave

JavaEnclave 是一個面向 Java 生態的機密計算程式設計模型，它繼承了 Intel SGX SDK 所定義的 Host-Enclave 機密計算分割程式設計模型，提供 Pure Java 的機密計算應用開發介面，並致力於最小化 Enclave TCB 攻擊面，同時支援多 TEE 平臺相容。基於該程式設計模型，幫助使用者高效開發 Java 機密計算業務，提供極致安全的機密執行環境。 （注：目前沒有開源，還請關注龍蜥社群公眾號不迷路，後續開源動態第一時間掌握）

6、KubeTEE Enclave Services

提供 TEE 有關的 Kubernetes 基礎服務 (如叢集規模的金鑰分發和同步服務、叢集遠端證明服務等），使得使用者可以方便地將叢集中多臺 TEE 機器當作一個更強大的 TEE 來使用。

7、Occlum

Occlum 是一個 TEE LibOS，是機密計算聯盟（CCC, Confidential Computing Consortium）的官方開源專案。 目前 Occlum 支援 Intel SGX 和 HyperEnclave 兩種 TEE。 Occlum 在 TEE 環境中提供了一個相容 Linux 的執行環境，使得 Linux 下的應用可以不經修改就在 TEE 環境中執行。 Occlum 在設計時將安全性作 為最重要的設計指標，在提升使用者開發效率的同時保證了應用的安全性。 Occlum 極大地降低了程式設計師開發 TEE 安全應用的難度，提升了開發效率。

CNCC SIG 全年規劃

1、CSV 機密容器

Q2：CSV 機密容器方案支援 Anolis OS

Q4：CSV2 機密容器方案支援 Anolis OS

2、Inclavare Containers機密容器

Q2：Enclave-CC 完成 PoC

Q4：實現 Enclave-CC 程式級機密容器方案（Occlum NGO + Inclavare Containers）

3、Intel SGX Platform Software and Datacenter Attestation Primitives

Q3：完成 SGX PSW / DCAPK 軟體棧對 Anolis OS 的支援

Q4：正式在 Intel 軟體倉庫釋出支援 Anolis OS 的 SGX PSW/DCAP 軟體棧

4、Intel SGX SDK

Q3：完成 SGX SDK 軟體棧對 Anolis OS 的支援

Q4：正式在 Intel 軟體倉庫釋出支援 Anolis OS 的 SGX SDK 軟體棧

5、JavaEnclave 程式設計模型

Q2：JavaEnclave 機密計算專案開源 Q3：相容 TDX/CSV 機密容器形態 TEE 平臺

Q4：多語言支援（Python）

6、Occlum

  Q4：穩定 Rust-SGX-SDK 2.0.0 版本（TEE 側全 Rust 語言實現）

  Q4：Rust-SGX-SDK 支援 Anolis OS

  Q4：Occlum NGO 支援 Enclave-CC 程式級機密容器

雲原生機密計算 SIG網址、各專案主頁及github官網可移步龍蜥公眾號（OpenAnolis龍蜥）2022年5月12日相同推送檢視。

—— 完 ——