GB/T 45230-2025 数据安全技术 机密计算通用框架

ICS35.030
CCS L80
中华人民共和国国家标准
GB/T45230—2025
数据安全技术 机密计算通用框架
Datasecuritytechnology—Generalframeworkforconfidentialcomputing
2025-01-24发布2025-08-01实施
国家市场监督管理总局
国家标准化管理委员会发布

目 次
前言………………………………………………………………………………………………………… Ⅲ
引言………………………………………………………………………………………………………… Ⅳ
1 范围……………………………………………………………………………………………………… 1
2 规范性引用文件………………………………………………………………………………………… 1
3 术语和定义……………………………………………………………………………………………… 1
4 缩略语…………………………………………………………………………………………………… 2
5 参与角色与关系………………………………………………………………………………………… 2
5.1 参与角色…………………………………………………………………………………………… 2
5.2 关系描述…………………………………………………………………………………………… 3
6 通用框架………………………………………………………………………………………………… 3
6.1 硬件层……………………………………………………………………………………………… 4
6.2 系统软件层………………………………………………………………………………………… 5
6.3 系统服务层………………………………………………………………………………………… 5
6.4 应用层……………………………………………………………………………………………… 6
6.5 安全管理…………………………………………………………………………………………… 6
7 机密计算服务…………………………………………………………………………………………… 7
7.1 基础安全服务……………………………………………………………………………………… 7
7.2 密码应用服务……………………………………………………………………………………… 11
7.3 数据保护服务……………………………………………………………………………………… 12
7.4 性能提升服务……………………………………………………………………………………… 15
附录A (资料性) 机密计算信任模型…………………………………………………………………… 19
附录B(资料性) 机密计算应用场景示例……………………………………………………………… 21
B.1 金融数据融合应用场景…………………………………………………………………………… 21
B.2 区块链应用场景…………………………………………………………………………………… 21
B.3 保险机构核保查询应用场景……………………………………………………………………… 22
B.4 基因分析应用场景………………………………………………………………………………… 22
B.5 医疗数据共享应用场景…………………………………………………………………………… 23
B.6 安全云主机场景…………………………………………………………………………………… 23
B.7 联邦学习应用场景………………………………………………………………………………… 24
B.8 多方计算应用场景………………………………………………………………………………… 24
附录C(资料性) 机密计算服务接口类型……………………………………………………………… 26
附录D(资料性) 机密计算虚拟化……………………………………………………………………… 27
D.1 机密计算虚拟机部署模式………………………………………………………………………… 27
D.2 机密计算虚拟机跨平台迁移……………………………………………………………………… 28
D.3 机密计算容器部署模式…………………………………………………………………………… 29
D.4 机密计算容器跨平台迁移………………………………………………………………………… 31
参考文献…………………………………………………………………………………………………… 32

前 言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本 文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:华为技术有限公司、中国移动通信集团有限公司、中国电子技术标准化研究院、
中国科学院软件研究所、蚂蚁科技集团股份有限公司、北京百度网迅科技有限公司、北京火山引擎科技
有限公司、腾讯云计算(北京)有限责任公司、阿里云计算有限公司、北京冲量在线科技有限公司、中国移
动通信集团设计院有限公司、中国工商银行股份有限公司、四川大学、中国民生银行股份有限公司、北京
国家金融科技认证中心有限公司、北京数字认证股份有限公司、杭州安恒信息技术股份有限公司、南湖
实验室、北京大学、华控清交信息科技(北京)有限公司、中国联合网络通信集团有限公司、超聚变数字技
术有限公司、上海交通大学、神州网信技术有限公司、中国科学院信息工程研究所、长扬科技(北京)股份
有限公司、郑州信大捷安信息技术股份有限公司、杭州锘崴信息科技有限公司、上海富数科技有限公司、
中电云计算技术有限公司、英特尔(中国)股份有限公司北京分公司、昆仑太科(北京)技术股份有限公
司、联想(北京)有限公司、超威半导体产品(中国)有限公司、深圳市洞见智慧科技有限公司、大唐高鸿信
安(浙江)信息科技有限公司、浙江大华技术股份有限公司、海光信息技术股份有限公司、北京天融信网
络安全技术有限公司、北京数牍科技有限公司、飞腾信息技术有限公司、浪潮电子信息产业股份有限公
司、中电长城网际系统应用有限公司、奇安信科技集团股份有限公司、绿盟科技集团股份有限公司、天翼
云科技有限公司、山东浪潮科学研究院有限公司、山东制创数字技术有限公司、国家工业信息安全发展
研究中心、深圳大学、中国信息通信研究院、西安电子科技大学、武汉大学、北京海泰方圆科技股份有限
公司、新华三技术有限公司、电子科技大学、山东大学、曙光网络科技有限公司、杭州职业技术学院、北京
银联金卡科技有限公司、北京数安行科技有限公司、北京信安世纪科技股份有限公司、国网区块链科技
(北京)有限公司、陕西省信息化工程研究院、国网新疆电力有限公司电力科学研究院、国网智能电网研
究院、深圳微言科技有限责任公司、上海燧原科技有限公司。
本文件主要起草人:葛小宇、邱勤、王惠莅、冯登国、庞婷、苏丹、徐天妮、秦宇、张立武、胡科开、
肖俊贤、张晓蒙、昌文婷、于欢、周吉文、季石磊、李克鹏、王新宇、李世奇、金意儿、陈浩栋、宋雨筱、刘尧、
张高山、朱华、夏知渊、陈凌潇、侯明永、陈兴蜀、王启旭、杨苗苗、罗武、虞刚、牛博强、华佳烽、张尧、
刘敬彬、李振、黄江、李向锋、张永强、王琼霄、王吾冰、张振永、张磊、严志超、陈钟、关志、杨祖艳、靳晨、
傅瑜、王莹、徐雷、涂长茂、惠静、夏虞斌、杜冬冬、王强、田野、王蕊、荆丽桦、沈志淳、赵华、梁松涛、
刘为华、李帜、孙琪、杨天雅、卞阳、裴超、张凡、王立刚、陈小春、孙亮、黄建东、李汝鑫、张大江、冯新宇、
马博文、郑驰、刘海洁、张剑青、杨朋霖、应志伟、冯浩、晋钢、王龑、金银玉、孙一品、谭琳、麻付强、徐峥、
闵京华、安锦程、刘文懋、董炳佑、张亮、孙晓宁、刘娟娟、李锐、罗清彩、余果、王冲华、刘伟丽、孔松、
裴庆祺、赵博文、王鹃、严飞、陈晶、赵波、王学进、万晓兰、张小松、牛伟纳、王美琴、王薇、刘立、梅颖、
王琳、郑峥、刘玉红、张宇、杨珂、王栋、赵晓荣、张勇、邹振婉、于鹏飞、石聪聪、梅敬青、王思善、马利、
强锋。

引 言
机密计算是一种用于保护使用过程中数据安全的计算模式。该模式在受信任的硬件基础上,通过
硬件隔离使得环境内的代码和数据在计算时无法被同一设备上运行的其他软件(包括特权软件)监视与
篡改。具体而言,机密计算通过隔离机制,将普通计算环境与机密计算环境隔离开来,非授权的实体不
能访问机密计算环境;通过证明机制对机密计算环境及运行在其中的应用程序进行验证,保证机密计算
环境和应用程序的完整性和真实性;通过加密机制保证运行时的数据处于密文状态。机密计算技术可
以单独用于保护使用状态中的数据,也可以结合其他密码学技术(如多方安全计算、同态加密等)共同保
护运行时的数据和代码,尤其对于机器学习、联邦学习、区块链、云计算、大数据等应用场景,可以有效应
对数据在使用过程中面临的安全保护难题。
本文件旨在提出一种通用的机密计算框架,通过定义机密计算框架的必要组件、具备的基础功能以
及组件之间交互形成的机密计算服务,提高机密计算相关产品的易用性、安全性和兼容性,为机密计算
的技术发展和产业应用提供指导。为了满足各个行业云化需求,本文件还提出了机密计算虚拟化部署
模式。

1 范围
本文件确立了机密计算通用框架,描述了框架的核心组件和基础功能,并提供了机密计算服务及实
现机制。
本文件适用于机密计算相关方设计、开发、使用和部署机密计算相关产品或解决方案时参考,也可
为开展机密计算能力评估活动提供参考。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T25069—2022 信息安全技术 术语
GB/T32915—2016 信息安全技术 二元序列随机性检测方法
3 术语和定义
GB/T25069—2022界定的以及下列术语和定义适用于本文件。
3.1
组件 component
在系统中,实现其部分功能的可识别区分的部分。
[来源:GB/T25069—2022,3.815]
3.2
安全信道 securechannel
为所交换消息提供机密性及真实性的通信信道。
[来源:GB/T25069—2022,3.32,有修改]
3.3
机密计算 confidentialcomputing
在可信的硬件基础上,通过隔离、加密、证明等机制,保护使用中数据安全的计算模式。
3.4
机密计算平台 confidentialcomputingplatform
执行机密计算任务的基础软硬件集合。
3.5
机密计算应用程序 confidentialcomputingapplicationprogram
运行在机密计算环境中,用于实现机密计算能力的程序。
3.6
机密计算环境 confidentialcomputingenvironment
基于机密计算平台,为支撑机密计算应用程序运行所构建的计算环境。
1
GB/T45230—2025
3.7
机密计算服务 confidentialcomputingservice
通过已定义的接口对外提供的一种或多种机密计算能力。
3.8
普通计算环境 generalcomputingenvironment
不具备机密计算能力的其他计算环境。
注:普通计算环境是相对机密计算环境独立存在的计算环境。
4 缩略语
下列缩略语适用于本文件。
CPU:中央处理器(centralprocessingunit)
DPU:数据处理器(dataprocessingunit)
GPU:图像处理器(graphicsprocessingunit)
NIC:网络接口卡(networkinterfacecard)
NPU:神经网络处理器(neuralnetworkprocessingunit)
VM:虚拟机(virtualmachine)
5 参与角色与关系
在机密计算的业务执行流程中,主要有五类角色:应用提供方、机密计算服务提供方、机密计算平台
提供方、数据提供方和机密计算结果需求方,各个角色之间的逻辑关系见图1。每个角色可以由一个或
多个实体担任,针对不同的机密计算服务和部署模式,上述角色中的某几个角色也可以由同一实体担
任。机密计算参与角色之间的信任模型见附录A。机密计算参与角色在实际产业中的业务场景和活动
见附录B。
图1 机密计算参与角色关系图
5.1 参与角色
对各类角色的说明如下所述。
2
GB/T45230—2025
a) 机密计算服务提供方:负责为机密计算结果需求方提供机密计算服务,并对服务的生命周期进
行管理;
b) 机密计算平台提供方:负责提供机密计算环境所依赖的可信软硬件、机密计算服务提供方所使
用的接口,并执行计算任务;
c) 应用提供方:负责提供需要在机密计算环境中部署和运行的应用程序,程序的执行逻辑与机密
计算结果需求方的需求相符;
d) 数据提供方:负责对原始数据进行处理或加工,向机密计算环境传递计算任务所使用的数据;
e) 机密计算结果需求方:负责提供具体的计算需求给机密计算服务提供方或者直接使用机密计
算平台执行计算任务,包括需要运行的程序、程序运行时需要计算的数据等,并获得相应的计
算结果。
5.2 关系描述
参与角色的协作关系描述如下:
a) 应用提供方验证机密计算环境的完整性和真实性后,将开发的应用程序部署到机密计算环境
中作为机密计算应用程序;
b) 数据提供方验证机密计算环境和机密计算应用程序的完整性和真实性后,将数据以密文的形
式导入到机密计算应用程序中;
c) 机密计算应用程序对输入的密文数据进行解密并在机密计算环境中执行计算任务,将计算结
果以密文形式输出给机密计算结果需求方;
d) 机密计算结果需求方对接收到的结果进行解密,获得最终计算结果。
6 通用框架
本文件给出的机密计算通用框架见图2,根据设备提供的硬件隔离机制,一般分为普通计算环境和
机密计算环境,包括硬件层、系统软件层、系统服务层、应用层和安全管理五个部分。其中,硬件层基于
硬件隔离实现受保护的硬件资源不被普通计算环境访问,并为机密计算环境提供可信的硬件资源;系统
软件层为机密计算提供基于逻辑的隔离机制、必要的软件资源和调度机制;系统服务层为上层应用程序
提供统一的机密计算服务接口(见附录C)及服务,机密计算服务是由底层的系统软件和硬件交互形
成,机密计算服务接口用以屏蔽底层硬件架构差异;应用层是直接面向机密计算结果需求方的应用程
序,机密计算结果需求方通过应用程序执行计算操作;安全管理是机密计算平台提供方根据机密计算应
用程序的高安全需求提供的管理模块,可在硬件与软件层面上防御各种恶意攻击。根据业务使用场景
不同,机密计算环境和普通计算环境是相对独立的系统,二者之间有着严格的相互访问控制,用户可根
据需求在一个设备上部署一个或多个机密计算环境。
3
GB/T45230—2025
注:图中虚线用于区分一个机密计算节点软硬件架构的不同层次,实线框表示机密计算环境及其所属组件,虚线框
表示普通计算环境及其所属组件,机密计算环境和普通计算环境之间的箭头表示二者交互接口。
图2 机密计算通用框架图
6.1 硬件层
6.1.1 关键组件
硬件层组件主要包括以下内容。
a) 可信执行控制单元:在计算单元上定义安全加强的指令控制逻辑,以实现指令集执行隔离计算
的目标;
b) 隔离内存空间:通过可信执行控制单元隔离出的内存空间,独立于通用内存空间;
c) 可信固件:提供识别硬件设备初始化信息、支持系统软件的完整性校验、升级维护以及配置机
密计算环境资源等功能;
d) 硬件密码引擎:为机密计算应用程序提供密钥派生、加解密、计算摘要值等功能;
e) 硬件根密钥:在芯片中固化的唯一密钥,可用于在机密计算环境中派生密钥;
f) 随机数生成器:用于在密钥生成和密码运算过程产生随机数,其中生成随机数的质量可以参考
GB/T32915—2016中的检测指标;
g) 硬件信任根:用于支撑机密计算环境启动过程中信任链的建立,并用于实现安全启动、身份鉴
4
GB/T45230—2025
别、远程证明等功能。
6.1.2 基础功能
硬件层具备的基础功能主要包括:
a) 提供硬件隔离机制,将硬件资源隔离成普通计算资源和机密计算资源,普通计算环境不能访问
机密计算环境的硬件资源;
b) 确保不同硬件内存映射表的相互隔离性且内存映射表不被非法篡改和破坏;
c) 提供基于硬件信任根的度量机制,在机密计算环境启动过程中建立信任链;
d) 提供基于硬件根密钥的密钥派生机制,保证机密计算环境中密钥的机密性和完整性;
e) 提供机密计算固件安全升级和镜像加密功能;
f) 提供对机密计算环境的内存空间的配置能力;
g) 通过访问控制,保证只有被授权的设备(如GPU、DPU、NIC、NPU 等)才可以访问机密计算
环境。
6.2 系统软件层
6.2.1 关键组件
系统软件层组件主要包括:
a) 机密计算操作系统:充分利用硬件资源的可信性,实现基于硬件隔离的系统执行环境,具备安
全计算及其所属各种安全设备运行的资源调用能力;
b) 机密计算虚拟化软件:部署在机密计算环境中的虚拟化软件,为机密计算虚拟机或机密计算容
器提供资源管理和部署支撑,并提供机密计算虚拟机和普通计算虚拟机的通信调度机制。
注:机密计算虚拟化软件为可选组件。
6.2.2 基础功能
系统软件层具备的基础功能主要包括:
a) 提供加解密、安全存储、可信用户接口、可信身份认证等各种系统服务;
b) 提供系统软件的隔离机制,普通计算环境中的系统软件在非授权情况下无法访问机密计算
环境;
c) 提供机密计算环境中的密钥管理功能;
d) 提供机密计算环境和普通计算环境的通信调度机制;
e) 提供对机密计算应用程序进行完整性和真实性校验的能力;
f) 提供虚拟化资源隔离机制,用于支撑机密计算虚拟化部署。
6.3 系统服务层
6.3.1 关键组件
系统服务层组件主要包括:
a) 机密计算服务接口:通过提供机密计算服务访问接口,为应用程序提供与具体硬件架构解耦的
机密计算安全服务,降低不同架构的开发与部署成本;
b) 机密计算平台提供方和服务提供方根据需求选择部署各类服务,主要包括机密计算基础服务、
密码应用服务、数据保护服务和性能提升服务。
注:系统服务层支持更多安全服务的拓展。
5
GB/T45230—2025
6.3.2 基础功能
系统服务层具备的基础功能主要包括以下内容。
a) 提供机密计算服务开发接口,提高机密计算应用程序调用机密计算服务的易用性。
b) 提供机密计算服务。
1) 隔离计算:通过硬件的隔离和系统的控制,区分普通计算环境和机密计算环境,提供机密
计算应用程序调用功能,包含了机密计算环境的创建以及机密计算应用程序的部署,该服
务是机密计算业务运行的前提;
2) 安全启动:从硬件信任根开始,通过签名校验方法保证机密计算环境启动过程中的完整性
和真实性,让机密计算环境按照既定的逻辑启动;
3) 远程证明:对机密计算环境和机密计算应用程序进行完整性和真实性验证;
4) 安全信道:保证数据导入和导出机密计算环境的安全性;
5) 密钥派生:基于硬件根密钥针对不同密码运算场景生成专属密钥;
6) 存储保护:为用户提供数据加密存储服务,这些数据只能由机密计算服务授权的实体访问
或修改;
7) 密码运算:在机密计算环境中执行密码运算操作;
8) 数据封装:为机密计算结果需求方提供数据封装/解封装服务;
9) 密码硬件加速:在机密计算环境中通过硬件加速提高密码运算的性能;
10) 异构设备互联:建立异构设备与机密计算环境之间的安全连接,使得机密计算应用程序
可以访问异构设备,并执行读写操作。
6.4 应用层
6.4.1 关键组件
应用层组件主要包括机密计算应用程序,用于处理受保护的数据和执行计算任务。
6.4.2 基础功能
应用层具备的基础功能主要包括:
a) 提供应用程序的隔离机制,未经授权的应用程序不能在机密计算环境内部读取、写入、删除、篡
改运行的代码和数据;
b) 机密计算应用程序在权限控制条件下处理计算任务,不可访问其他机密计算应用程序;
c) 机密计算应用程序具备保障通信双方的身份鉴别信息、传输的数据、初始化配置参数的机密性
和完整性的能力。
6.5 安全管理
6.5.1 关键组件
安全管理组件主要包括以下内容。
a) 密钥管理模块:对在机密计算环境中执行密码运算所需要的密钥进行生命周期管理,包括密钥
的生成、分发、存储、销毁等;
b) 日志管理模块:对执行机密计算操作进行记录,提供日志回溯功能,并能保证日志的完整性;
c) 白名单管理模块:提供机密计算所涉及的固件版本、驱动程序、设备身份可信的列表;
d) 资源管理模块:对执行机密计算操作所需的计算资源、存储资源等进行管理。
注:安全管理为可选模块。
6
GB/T45230—2025
6.5.2 基础功能
安全管理具备的基础功能主要包括:
a) 通过硬件层保证机密计算环境中的密钥机密性、完整性和真实性;
b) 在机密计算环境内生成用于机密计算应用程序执行计算任务的密钥;
c) 管理密钥的使用,确保机密计算环境内的加密密钥、签名密钥等密钥具有明确的用途;
d) 管理可信的列表,确保只有被列入可信列表的实体才可以访问机密计算环境;
e) 对硬件资源状态、系统运行状态、接口调用情况、机密计算应用程序运行状态、网络状况等进行
日志记录和存储。
7 机密计算服务
7.1 基础安全服务
7.1.1 隔离计算
7.1.1.1 普通计算和机密计算隔离
普通计算应用程序与机密计算应用程序之间的隔离计算流程见图3。
图3 普通计算与机密计算隔离流程图
普通计算应用程序与机密计算应用程序之间的隔离流程如下:
a) 普通计算应用程序通过接口请求创建机密计算应用程序,机密计算环境对请求进行处理,创建
并运行机密计算应用程序;
注:根据实际场景,也可在机密计算环境中直接创建机密计算应用程序,无需通过普通计算应用程序触发请求。
b) 普通计算应用程序向机密计算应用程序发起计算请求;
c) 机密计算应用程序完成计算任务,返回计算结果;
d) 完成所有计算任务后,普通计算应用程序发出销毁机密计算应用程序的请求,机密计算环境销
毁机密计算应用程序。
7.1.1.2 机密计算和机密计算隔离
机密计算应用程序与机密计算应用程序之间的隔离计算流程见图4。
7
GB/T45230—2025
图4 机密计算与机密计算隔离流程图
机密计算应用程序间与机密计算应用程序的隔离流程如下:
a) 机密计算应用程序A 与机密计算应用程序B之间建立安全会话;
b) 机密计算应用程序A 向机密计算应用程序B发起计算请求;
c) 机密计算应用程序B完成计算任务,并向机密计算应用程序A 返回计算结果;
d) 完成所有计算任务后,机密计算应用程序A 向机密计算应用程序B发出关闭会话的请求,机
密计算应用程序间关闭会话。
7.1.2 安全启动
安全启动是保证机密计算环境的完整性和真实性的一种安全服务。在机密计算服务端启动时,应
从硬件信任根开始,建立自下而上的信任链,逐层验证机密计算环境中的关键组件,安全启动流程见
图5。
图5 安全启动流程图
安全启动流程如下:
a) 机密计算硬件信任根启动后,校验机密计算可信固件的完整性和真实性,校验通过后,加载机
密计算可信固件;
b) 机密计算可信固件启动后,校验机密计算系统软件的完整性和真实性,校验通过后,加载机密
计算系统软件。
7.1.3 远程证明
7.1.3.1 背调模式
机密计算远程证明背调模式流程见图6。在该流程中,远程证明服务端、远程证明客户端和机密计
算服务端分别是独立的计算节点,其中,远程证明服务端是可选的第三方实体。
8
GB/T45230—2025
图6 远程证明背调模式流程图
机密计算远程证明背调模式流程如下:
a) 远程证明客户端通过远程证明接口,向机密计算服务端发起证明挑战,通过发送随机值来防御
重放攻击;
b) 机密计算服务端的普通计算应用程序将挑战转发至机密计算环境中的通信代理;
注:在虚拟化部署模式下(见附录D),远程证明客户端可以直接向机密计算环境发起挑战,无需普通计算应用程序
转发。
c) 通信代理接收到挑战后,向远程证明模块发起证明报告请求;
d) 远程证明模块接收到请求后,将证明报告(包括机密计算环境的度量值、机密计算应用程序启
动时、机密计算应用程序运行时的度量值等)返回至通信代理;
e) 通信代理将证明报告返回至普通计算应用程序;
f) 普通计算应用程序将证明报告返回至远程证明客户端;
g) 远程证明客户端将证明报告发送给远程证明服务端,请求验证机密计算环境的完整性和真
实性;
h) 远程证明服务端验证证明报告中机密计算环境的度量信息(远程证明服务端维护了有效的机
密计算环境列表),生成机密计算环境的验证结果,返回至远程证明客户端;
i) 远程证明客户端在确定机密计算环境可信后,对机密计算应用程序的度量报告进行验证(远程
证明客户端维护了机密计算应用程序的基线值),判断机密计算应用程序的完整性和真实性是
否被破坏。
7.1.3.2 护照模式
机密计算远程证明护照模式流程见图7。在该流程中,远程证明服务端、远程证明客户端和机密计
算服务端分别是独立的计算节点,其中,远程证明服务端是可选的第三方实体。
9
GB/T45230—2025
图7 远程证明护照模式流程图
机密计算远程证明护照模式流程如下:
a) 远程证明服务端通过远程证明接口,向机密计算服务端发起证明挑战,通过发送随机值来防止
重放攻击;
b) 机密计算服务端普通计算应用程序将挑战转发至机密计算环境中的通信代理;
注:在虚拟化部署模式下(见附录D),远程证明服务端可以向机密计算环境直接发起挑战,无需普通计算应用程序
转发。
c) 远程证明模块接收到挑战后,将证明报告(包括机密计算环境的度量值、机密计算应用程序启
动时、机密计算应用程序运行时的度量值等)返回至普通计算应用程序;
d) 普通计算应用程序将证明报告返回至远程证明服务端,请求验证机密计算环境的完整性和真
实性;
e) 远程证明服务端验证证明报告中机密计算环境的度量报告(远程证明服务端自身维护了有效
的机密计算环境列表),生成机密计算环境的验证结果,返回至远程证明客户端;
f) 远程证明客户端在确定机密计算环境完整性和真实性后,对机密计算应用程序的度量报告进
行验证(远程证明客户端维护了机密计算应用程序的基线值),判断机密计算应用程序的完整
性和真实性是否被篡改。
7.1.4 安全信道
安全信道是保护机密计算内外部通信安全的一种安全服务,流程见图8。其中,客户端和机密计算
服务端分别部署在独立的计算节点,客户端可以是机密计算节点,也可以是普通计算节点。
图8 安全信道流程图
10
GB/T45230—2025
安全信道流程如下:
a) 客户端应用程序通过安全信道初始化接口,通过通信代理向机密计算服务端发起构建安全信
道请求;
b) 安全信道构建请求触发客户端应用程序通过通信代理向机密计算服务端发起远程证明请
求,验证机密计算环境和机密计算应用程序的完整性没有被破坏;
注1:若客户端是机密计算节点,则要与机密计算服务端进行双向远程证明。
c) 机密计算应用程序随机生成一对公私钥,将公钥信息作为远程证明报告的附加信息一起通过
通信代理发送给客户端,私钥缓存在内存中;
d) 客户端应用程序基于公钥与机密计算应用程序完成密钥协商,双方获得会话密钥,来执行加解
密操作;
可选地,客户端应用程序也可以直接使用公钥加密数据,机密计算应用程序使用私钥进行
解密;
e) 完成安全信道构建后,客户端应用程序可通过安全信道与机密计算服务端进行安全通信。
注2:在虚拟化部署模式下(见附录D),客户端的通信代理可以直接向机密计算环境直接发起安全信道请求,无需
普通计算应用程序转发。
7.2 密码应用服务
7.2.1 密钥派生
密钥派生是为机密计算环境中不同密码运算提供专属密钥需求的一种安全服务,其原理和要求参
考GB/T17901.1中6.1.8的描述。在本文件中,基于硬件密码引擎,使用硬件根密钥,派生得到的密钥
与受信任的硬件绑定,流程见图9。
图9 密钥派生流程图
密钥派生流程如下:
a) 机密计算应用程序触发机密计算系统软件执行密钥派生功能,首先使用硬件密码引擎将硬件
根密钥和机密计算应用程序标识作为输入,派生出机密计算应用程序的根密钥;
b) 密钥管理模块将机密计算应用程序根密钥和盐值作为输入,计算出派生密钥,用来加密数据。
注:派生密钥使用完毕,可以通过释放内存来销毁密钥,再次使用时可重新派生,降低了密钥泄露的风险。
7.2.2 密码运算
密码运算是在机密计算环境中执行加密、解密、签名、验签等计算任务的一种安全服务,流程见
图10。
11
GB/T45230—2025
图10 密码运算流程图
密码运算通用流程如下:
a) 客户端应用程序通过密码运算接口,向机密计算服务端发起密码运算请求;
b) 机密计算服务端的普通计算应用程序将请求转发至机密计算应用程序;
注:在虚拟化部署模式下(见附录D),客户端可以向机密计算应用程序直接发起请求,无需普通计算应用程序
转发。
c) 机密计算应用程序接收到请求后,执行密码运算任务,包括密钥生成、数据加解密、数字签名、
验证签名等操作;
d) 机密计算应用程序将计算结果返回至普通计算应用程序;
e) 普通计算应用程序将计算结果返回至客户端。
7.3 数据保护服务
7.3.1 存储保护
7.3.1.1 写数据流程
存储保护是一种保证结果需求方实现数据加密存储,且只能由授权的机密计算应用程序访问或修
改的安全服务,写数据流程见图11。其中,客户端和机密计算服务端分别部署在独立的计算节点。
图11 写数据流程图
12
GB/T45230—2025
写数据流程如下:
a) 客户端在传输数据之前先和机密计算服务端构建安全信道(见7.4流程);
b) 客户端应用程序通过调用存储保护接口,向机密计算服务端请求数据写服务,并将数据通过安
全信道传输给机密计算服务端;
c) 机密计算服务端的普通计算应用程序将请求服务转发给机密计算应用程序;
注1:在虚拟化部署模式下(见附录D),客户端可直接触发机密计算应用程序接收任务,无需普通计算应用程序
转发。
d) 机密计算应用程序使用会话密钥或者私钥解密出数据,并向密钥管理模块请求数据加密密钥;
e) 密钥管理模块生成数据加密密钥,返回给机密计算应用程序;
f) 机密计算应用程序使用数据加密密钥对数据提供方上传的数据内容进行加密,将加密后的数
据存储在普通计算环境的磁盘中;
注2:加密数据可以存储在机密计算环境内,也可以存储在机密计算服务端外部的存储系统中。
g) 完成存储后,普通计算应用程序返回写结果至客户端应用程序。
7.3.1.2 读数据流程
读数据流程见图12。其中,客户端和机密计算服务端分别部署在独立的计算节点。
图12 读数据流程图
读数据流程如下:
a) 客户端在传输数据之前先和机密计算服务端构建安全信道(见7.4流程);
b) 客户端应用程序通过调用存储保护接口,向机密计算服务端请求读取原始数据;
c) 机密计算服务端的普通计算应用程序将请求服务转发至机密计算应用程序;
注:在虚拟化部署模式下(见附录D),客户端可直接触发机密计算应用程序接收任务,无需普通计算应用程序
转发。
d) 机密计算应用程序根据请求信息解析出需要获得的数据文件名,并将数据文件名发送至服务
端的普通计算应用程序;
e) 普通计算应用程序根据数据文件名,读取对应的密文数据,并将密文数据返回至机密计算应用
程序;
f) 机密计算应用程序向密钥管理模块请求数据解密密钥;
g) 密钥管理模块生成数据解密密钥,返回给机密计算应用程序;
h) 机密计算应用程序使用解密密钥对密文数据进行解密,获取明文数据,并返回至普通计算应用
程序;
i) 普通计算应用程序将读取结果返回至客户端应用程序,流程结束。
13
GB/T45230—2025
7.3.2 数据封装
7.3.2.1 数据封装
数据封装是一种使高敏感、高价值的数据的安全性与机密计算应用程序自身的完整性关联在一起
的安全服务,数据封装流程见图13。
图13 数据封装流程图
数据封装流程如下:
a) 普通计算应用程序向机密计算应用程序发送数据封装请求;
注:在虚拟化部署模式下(见附录D),机密计算应用程序可直接执行数据封装,无需普通计算应用程序触发请求。
b) 机密计算应用程序调用数据封装调用接口触发机密计算操作系统;
c) 机密计算操作系统向硬件密码引擎发起根封装密钥申请;
d) 硬件密码引擎将根密钥、机密计算应用程序标识和机密计算应用程序完整性度量值作为输
入,生成根封装密钥并返回给机密计算操作系统;
e) 机密计算操作系统将生成的随机数和机密计算应用程序标识作为输入,生成封装密钥;
f) 机密计算操作系统使用封装密钥对数据进行加密,使用根封装密钥对封装密钥进行加密,并将
封装后的数据和加密后的封装密钥发给机密计算应用程序,同时释放内存,销毁根封装密钥和
封装密钥;
g) 机密计算应用程序将封装结果返回至普通计算应用程序,流程结束。
7.3.2.2 数据解封装
在数据解封时,只有当机密计算应用程序的完整性未被篡改时,数据才可被解封成功,数据解封装
流程见图14。
14
GB/T45230—2025
图14 数据解封装流程图
数据解封装流程如下:
a) 普通计算应用程序向机密计算应用程序发送数据解封请求;
注:在虚拟化部署模式下(见附录D),机密计算应用程序可直接进行数据解封装,无需普通计算应用程序触发。
b) 机密计算应用程序调用数据解封装接口,触发机密计算操作系统;
c) 机密计算操作系统向硬件密码引擎发起根封装密钥申请;
d) 硬件密码引擎将根密钥、机密计算应用程序标识和机密计算应用程序完整性度量值作为输
入,重新生成根封装密钥,返回给机密计算操作系统;
e) 机密计算操作系统使用根封装密钥对加密的封装密钥进行解密,获得封装密钥,使用封装密钥
对密封数据进行解密,获得明文数据;
f) 机密计算操作系统将解封的数据发给机密计算应用程序,同时释放内存,销毁根封装密钥和封
装密钥;
g) 机密计算应用程序将解封装结果返回至普通计算应用程序,流程结束。
7.4 性能提升服务
7.4.1 密码硬件加速
在机密计算环境中通过硬件加速可以提高机密计算应用执行密码运算的性能,流程见图15。
15
GB/T45230—2025
图15 密码硬件加速流程图
基于硬件的密码加速流程如下:
a) 可信固件读取硬件加速子系统的信息,并进行初始化;
b) 可信固件将使能后的硬件加速子系统信息上报至机密计算操作系统或机密计算虚拟化软
件中;
c) 机密计算应用程序调用密码算法加速接口,选择待使用的密码算法;
d) 机密计算操作系统准备好待处理的数据、密码算法、密钥等,下发计算任务至硬件加速子系
统,硬件加速子系统获取任务后执行密码加速运算操作,完成后将结果发给机密计算操作系统
或机密计算虚拟化软件;
e) 机密计算操作系统或机密计算虚拟化软件将计算结果返回至机密计算应用程序。
7.4.2 异构设备互联
7.4.2.1 异构设备直接互联
通过对异构设备(CPU 以外的设备)设置访问控制权限,建立异构设备与机密计算环境之间的安全
连接,实现机密计算应用程序可以直接访问并读写外部异构设备,直接互联模式见图16。
16
GB/T45230—2025
图16 异构设备直接互联流程图
异构设备直接互联流程如下:
a) 普通计算环境中的管理软件向机密计算操作系统或机密计算虚拟化软件发送异构设备连接
请求;
注1:在虚拟化部署模式下(见附录D),机密计算操作系统或机密计算虚拟化软件可直接连接异构设备,并执行读
写操作,无需通过普通计算环境中的管理软件触发请求。
b) 机密计算操作系统或机密计算虚拟化软件对连接请求进行合法性检查,检查通过后配置访问
控制模块,设置需要接入的异构设备标识,异构设备根据设置的标识与机密计算环境建立
连接;
可选地,通过支持机密计算的互联协议将异构设备与机密计算环境建立连接;
c) 机密计算操作系统或机密计算虚拟化软件向普通计算环境的管理软件返回配置完成信息;
d) 普通计算环境的管理软件向机密计算操作系统或机密计算虚拟化软件发起启动机密计算应用
程序请求;
e) 机密计算操作系统或机密计算虚拟化软件根据请求加载机密计算应用程序;
f) 机密计算应用程序向异构设备下发指令和待计算的数据;
注2:可以采用隔离或者加密等措施保护数据在总线传输过程中的安全。
g) 异构设备根据指令读取数据并计算,向机密计算应用程序返回计算结果。
7.4.2.2 异构设备间接互联
当机密计算服务端不具备直接访问异构设备(CPU 以外的设备)的能力时,与异构设备的间接互联
模式见图17。
17
GB/T45230—2025
图17 异构设备间接互联流程图
异构设备间接互联流程如下:
a) 普通计算环境的管理软件向机密计算操作系统/机密计算虚拟化软件发起启动机密计算应用
程序请求;
注:在虚拟化部署模式下(见附录D),机密计算操作系统或机密计算虚拟化软件可直接启动机密计算应用程序,无
需通过普通计算环境中的管理软件触发请求。
b) 机密计算操作系统/机密计算虚拟化软件根据请求加载机密计算应用程序;
c) 机密计算应用程序通过管理软件、机密计算操作系统/机密计算虚拟化软件与异构设备进行密
钥协商,生成会话密钥;
d) 机密计算应用程序通过管理软件、机密计算操作系统/机密计算虚拟化软件向异构设备发送加
密的计算指令和数据;
e) 异构设备接收加密指令和数据后,使用会话密钥进行解密,执行计算,并将计算结果进行加
密,经管理软件、机密计算操作系统/机密计算虚拟化软件返回给机密计算应用程序;
f) 机密计算应用程序使用会话密钥进行解密,获取计算结果。
18
GB/T45230—2025
附 录 A
(资料性)
机密计算信任模型
在机密计算环境中,需要建立各参与角色之间的相互信任,如果各角色间不能建立所需的信任关
系,则存在计算结果不可信、算力被错误使用、数据权益被侵害等风险。安全威胁见表A.1。
表A.1 机密计算参与角色关联的安全威胁
序号关联角色安全威胁
1 算力提供方->数据提供方
若算力提供方的身份不可信,对数据提供方的数据权益造成侵害
若算力提供方的算力不可信,数据可能在计算过程中被泄漏或被破坏,从而侵
害数据提供方的权益
2 算力提供方->应用提供方
若算力提供方的身份不可信,会造成应用滥用,对应用提供方的权益造成侵害
若算力提供方的算力不可信,应用可能在计算过程中被泄漏或被破坏,从而侵
害应用提供方的权益
3 数据提供方->算力提供方
若数据提供方的身份不可信,会造成参与计算的数据来源不可信,从而破坏机
密计算活动
4 应用提供方->算力提供方
若应用提供方的身份不可信,会造成参与计算的应用程序不可信,从而破坏机
密计算活动
5 算力提供方->机密计算结果
需求方
如果算力提供方身份或算力不可信,会造成机密计算结果需求方无法相信所获
得的计算结果,从而破坏机密计算活动
6 数据提供方->机密计算结果
需求方
如果数据提供方身份不可信,则意味着参与计算的数据来源不可信,会造成机
密计算结果需求方无法相信所获得的计算结果,从而破坏机密计算活动
7 应用提供方->机密计算结果
需求方
如果应用提供方身份不可信,则意味着参与计算的应用程序来源不可信,会造
成机密计算结果需求方无法相信所获得的计算结果,从而破坏机密计算活动
8 机密计算结果需求方->算力
提供方
若机密计算结果需求方身份不可信,则计算结果可能交给错误的接收者,从而
破坏机密计算活动
注:为简洁起见,将机密计算平台提供方和机密计算服务提供方统称为算力提供方。
由上述威胁模型可推导得出典型的信任模型见图A.1。
19
GB/T45230—2025
图A.1 典型机密计算过程中的信任模型
典型机密计算过程中,信任模型包括三个维度,其一是信任的主体和客体维度,包括数据提供方、应
用提供方、算力提供方以及机密计算结果需求方之间的信任;其二是信任的类型,包括数据、应用和算力
的可信;其三是建立信任的方法,包括预设的背书信任、通过鉴别与验证建立的信任。其中信任背书提
供者基于外部管理环节选择的设定内置在各实体机密计算相关系统中,为系统中的其他实体提供背
书,同时为其他信任关系提供锚点和基础。
在此模型下,各角色的信任关系包括:
a) 数据提供方预设对应用提供方的信任背书提供者,包括算力安全性背书者以及业务身份背书
者,从而能够信任算力提供方身份真实且能够在可信的封闭环境中完成数据处理,不造成数据
泄漏,不侵害数据提供者的权益;
b) 应用提供方预设对算力提供方的信任背书提供者,算力安全性背书者以及业务身份背书者,从
而能够信任算力提供者身份真实且能够在可信的封闭环境中完成数据处理,不造成应用程序
内容泄漏,不侵害应用提供者的权益;
c) 算力提供方预设对数据提供方的信任背书提供者,从而能够信任所处理数据的来源真实可
靠,进而保证数据可信;
d) 算力提供方预设对应用提供方的信任背书提供者,从而能够信任所运行应用来源真实可靠,进
而保证应用内容可信;
e) 机密计算结果需求方预设对算力提供方、数据提供方、应用提供方的信任背书提供者,从而能
够确认上述数据、应用和算力的安全可信,进而信任所获得的数据处理结果真实可信;
f) 算力提供方预设对机密计算结果需求方的信任背书提供者,从而能够信任接收数据处理结果
的实体身份可信,确认计算结果交付的正确性。
20
GB/T45230—2025
附 录 B
(资料性)
机密计算应用场景示例
B.1 金融数据融合应用场景
金融机构在保证其资金正常运转,会利用大数据构建风控模型,通过技术手段减少风险事件发生的
可能性,银行信贷风控与营销过程中往往需要政府、企业、个人信息提供支撑,然而在传统模式下,由于
数据安全问题,银行难以高效且合规地获得企业与个人信息。机密计算技术可以在不泄露各方原始数
据的前提下进行分布式模型推断和训练,政府部门可以将政务数据共享给金融机构,通过机密计算进行
合规数据分析,实现精准风控(见图B.1)。
图B.1 金融数据融合场景图
B.2 区块链应用场景
机密计算提供了数据隐私保护,区块链则增强了多方协作过程中的可信性,结合这两种技术的应用
可用于数据活动的各个环节,包括数据的生成和采集、数据处理和共识的存证、数据使用的授权、数据的
传输、数据协作,以及数据监管和审计等(见图B.2)。随着这两种技术的深入融合和应用,传统的集中
式数据聚合和管理中心模式将逐渐被改变,数据流通将朝着分布式、多层次和市场化的方向发展。这为
实现数据价值共享提供了创新的技术路径和解决思路。
21
GB/T45230—2025
图B.2 区块链场景图
B.3 保险机构核保查询应用场景
保险机构对自然人进行核保查询时,需要对被保险人的健康情况和医疗记录进行核实比对。在传
统的模式下保险机构可以直接读取到高度敏感的个人医疗数据,传统技术手段没有办法规约保险机构
对于隐私数据的使用范围。机密计算服务可以解决以上数据安全的问题,核保机密计算服务将核保模
型置于可信执行环境运行,在核保过程中仅允许保险机构获取被核保算法运算过的核保结论,核保计算
结束后即销毁计算环境和计算数据,真正确保了“只限核保”的使用约束。核保机密计算服务既可以保
证核保算法的正确执行,又可以保证保险机构无法沉淀二次使用医疗数据。在整个核保数据流通过程
中保证了数据的机密性、核保过程的准确性(见图B.3)。
图B.3 核保查询场景图
B.4 基因分析应用场景
在基因分析的场景中,由于基因分析需要传输和使用数量庞大且信息敏感的个人基因数据,数据提
供方(基因数据采集机构)和数据使用方(基因数据分析机构)需要通过分布在产业云平台的基础设施中
完成数据的汇聚和计算。为了确保基因数据不泄露,基因数据分析算法全部运行在机密计算服务中,基
因数据采集机构提供基因样本数据时需要验证机密计算服务的一致性和安全性。机密计算可保证在基
22
GB/T45230—2025
因数据分析过程中基因数据以密文形式输入,基因数据的明文信息不落盘,且基因数据在分析后即销
毁,基因分析需求方仅能获得最终的分析结果(见图B.4)。
图B.4 基因分析场景图
B.5 医疗数据共享应用场景
医疗数据包含电子病历、影像数据、基因数据等大量个人隐私数据,导致医疗机构、保险、药企、医药
设备厂商之间数据流通共享难以高效协同,医疗数据价值难以有效发挥。机密计算可以为医疗数据参
与方建立安全数据流通基础设施,推动医疗数据价值最大化利用。基于机密计算平台,建立医疗数据安
全共享科研平台,安全地向医院医生、科研机构、药企等单位开放医疗数据,提供丰富的算法与建模工具
降低医生数据分析门槛,充分挖掘医疗数据价值(见图B.5)。
图B.5 医疗数据共享场景图
B.6 安全云主机场景
云环境中,数据的所有权属于租户、但数据的计算需要在云环境中完成,如何防止数据在使用过程
中不被攻击者(包括云服务提供方)获取始终是租户最为关心的问题。利用机密计算可以较好解决上述
问题。安全云主机方案包括管理节点、计算节点两种节点类型。管理节点负责对用户密钥进行统一管
理,密钥与用户身份严格绑定,密钥不用时加密存储,密钥只能在用户参与下才能被解密并加载到机密
计算环境中使用,单个管理节点可以管理大量的计算节点;计算节点基于机密计算环境构建,机密计算
服务可以通过软件实现,按需加载,涉及敏感数据计算时,在租户参与下将所需密钥加载到机密计算环
境中,然后由机密计算服务使用已加载的密钥,按照预先约定的接口对外提供服务即可(见图B.6)。
23
GB/T45230—2025
图B.6 安全云主机场景
B.7 联邦学习应用场景
在联邦学习的执行过程中,可以通过将中心节点部署在机密计算环境中,每个参与方需要根据自有
数据进行独立训练,并将中间参数传递给服务端进行聚合,然后生成新模型再次下发给参与方进行下一
轮计算。可将参与方和服务端都部署在机密计算环境下。参与方在各自的机密计算环境中本地训练其
模型,然后将模型参数发送到聚合器进行聚合。然后,聚合器将更新的模型参数发送回客户端进行进一
步训练。在参与方机密计算环境和服务端机密计算之间可通过数字信封或其他加密方式进行数据传
递,在整个过程中,机密计算环境同时提供了加解密和隔离计算的功能,可以在不损失计算效率的前提
下大幅度提高联邦学习算法的安全性(见图B.7)。
图B.7 联邦学习应用场景图
B.8 多方计算应用场景
多方计算允许一组相互独立的数据所有方在互不信任的情况下,以各自的数据作为输入完成某个
函数的计算,计算过程不会暴露输入数据。传统多方计算为保护中间计算结果,需要多轮交互和计
算,因此通信开销和时延大,且无法防止计算参与方的恶意攻击。通过抽取多方计算协议共性算子,并
将其密封在机密计算环境中,利用其隔离特性来保护中间计算结果,以降低密码学计算开销;此外,利用
机密计算的远程证明能力来确保机密计算环境中运行程序的完整性,能够防止计算程序的行为可信。
以双方为例,在预处理阶段,各计算参与方将所属数据用秘密分享进行分片;在计算阶段,各参与方将数
据分片发给多方计算代理,由多方计算代理完成计算,在执行过程中,多方计算代理中始终为密文状态;
24
GB/T45230—2025
在结束阶段,密文计算结果分片输出给各计算参与方(见图B.8)。
图B.8 多方计算应用场景图
25
GB/T45230—2025
附 录 C
(资料性)
机密计算服务接口类型
机密计算服务提供方或机密计算平台提供方实现的接口类型,见表C.1。
表C.1 机密计算服务接口类型
序号接口名称对应的安全服务接口功能描述
1 创建机密计算应用
程序接口
2 销毁机密计算应用
程序接口
隔离计算
根据不同类型的可信硬件架构,调用不同的创建函数,完成不同类
型的机密计算应用程序上下文初始化
根据不同类型的可信硬件架构,调用不同的退出函数,释放已经创
建的机密计算应用程序实体
3 请求证明报告接口
4 验证证明报告接口
远程证明
请求获取指定机密计算应用程序或机密计算环境的证明报告
对指定机密计算应用程序或机密计算环境的证明报告进行验证,获
得对其完整性和真实性状态的判定
5 安全信道初始化接口安全信道
建立通信双方安全可信的传输通道,数据以密文形式传输到机密计
算环境中
6 随机数生成接口
7 密钥生成接口
8 加密接口
9 解密接口
10 签名接口
11 验签接口
密码运算
调用随机数生成函数产生随机数,用于后面的密钥生成和密码运算
通过密钥生成函数产生密钥
对约定的数据进行加密
对加密的数据进行解密
对消息进行签名,生成数字签名
对消息进行验签,以确认消息的完整性以及签名者的身份
12 存储数据块接口
13 读取数据块接口
存储保护
请求写数据,以密文形式进行存储
请求读数据,对存储的数据进行解密
14 封装数据接口
15 解封装数据接口
数据封装
使用和机密计算应用程序特征值绑定密钥加密数据
使用和机密计算应用程序特征值绑定的密钥解密数据
16 密码算法加速管理接口硬件加速使用硬件加速引擎提高机密计算应用程序执行密码运算的性能
26
GB/T45230—2025
附 录 D
(资料性)
机密计算虚拟化
D.1 机密计算虚拟机部署模式
机密计算VM 是一个包含完整的机密计算操作系统和机密计算应用程序的运行环境。机密计算
操作系统可以支持完整的应用程序,也可以是应用程序拆分后的敏感部分。机密计算VM 的部署模式
有两种模式,分别见图D.1和图D.2。
图D.1 机密计算VM 部署模式一
在机密计算VM 的部署模式一中,用户在客户端向机密计算服务端请求创建一个机密计算VM 并
建立客户端机密计算VM 控制台和机密计算VM 之间的安全信道,通过机密计算VM 控制台发送请
求,运行机密计算VM 中的机密计算应用程序。机密计算应用程序的安装模式包含机密计算操作系统
内置、非机密环境导入和运行时下载安装等。机密计算服务端可以根据机密计算硬件资源的特征,选择
部署机密计算虚拟化软件以支撑机密计算VM 的创建、加载和运行。在运行时,机密计算应用程序的
形态有两种模式,一种是完整的应用程序运行在机密计算VM 中,另一种是将应用程序拆分敏感和非
敏感两部分,非敏感部分作为普通计算应用程序运行在普通计算VM 中,敏感部分作为机密计算应用
程序运行在机密计算VM 中。机密计算应用程序执行的中间结果或者最终结果,可通过安全信道直接
返回给客户端或者先返回普通计算VM 中的普通计算应用程序,再返回给客户端。
27
GB/T45230—2025
图D.2 机密计算VM 部署模式二
在机密计算VM 部署模式二中,机密计算VM 与普通计算VM 在应用部署模式上并没有本质区
别,只是机密计算VM 对运行虚拟机的内存提供了硬件加密保护,可阻止主机和硬件所有者访问虚拟
机中的数据。在该模式下,机密计算VM 有两种运行方式:1)登录部署:机密计算VM 控制台通过机密
计算VM 控制台向虚拟机管理平台(例如云厂商提供)创建机密计算VM,创建完毕后,机密计算应用
部署人员即可登录到虚拟机中部署运行对应的机密计算应用程序;2)直接运行:机密计算应用部署人员
定制启动虚拟机的镜像文件,机密计算VM 控制台直接通过虚拟机管理平台使用定制镜像创建启动虚
拟机,机密计算应用程序自动在虚拟机中运行。
D.2 机密计算虚拟机跨平台迁移
在资源扩容、物理机升级、负荷调整等场景下,需要在保证机密计算应用程序正常运行的情况下,实
施机密计算VM 跨平台迁移操作。本文件给出一种典型的机密计算VM 跨平台迁移流程,初始化阶
段,在源机密计算服务端(源端)和目标机密计算服务端(目标端)的机密计算环境里分别启动一个迁移
模块,主要监控源端和目标端之间的网络连接,以及协调机密计算VM 的热迁移过程;在热迁移过程
中,迁移模块会负责将机密计算VM 的内存数据和状态信息从源端传输到目标端,并确保机密计算
VM 在目标端能够正确地启动,见图D.3。
图D.3 机密计算VM 跨平台迁移流程图
机密计算VM 跨平台迁移流程如下:
a) 源端VM 和目标端VM 通过迁移模块进行双向远程证明,验证对应平台的完整性和真实性;
28
GB/T45230—2025
b) 源端VM 和目标端VM 通过迁移模块进行密钥协商,协商出会话密钥,用于对内存进行加
解密;
c) 源端VM 停止运行,将所有内存标记为脏页,并使用会话密钥对内存进行加密,源端迁移模块
调用内存加密导出接口获取加密内存和状态;
d) 源端迁移模块将加密内存和状态安全传输至目标端的迁移模块;
e) 目标端迁移模块接收加密数据,调用加密解密导入接口,将内存数据复制到目标端VM 中。
D.3 机密计算容器部署模式
机密计算和云原生容器、容器集群管理平台等技术结合,可以构建出机密计算容器化部署模式,为
运行在不受用户控制的云计算基础设施上的数据和应用提供安全可信的计算环境。通过标准化机密计
算在容器技术层面的实现方式,屏蔽多种机密计算的底层实现细节,在使用体感上保持与使用普通容器
进行开发和部署的一致性。目前,机密计算容器的部署模式主要有三种,分别见图D.4、图D.5
和图D.6。
图D.4 机密计算容器部署模式一
在机密计算容器部署模式一中,用户在其客户端通过机密计算容器控制台向容器集群管理平台申
请创建容器,容器集群管理平台采取相关的调度算法挑选一个服务器来承载用户容器。机密计算服务
端包含代理模块,负责实现容器镜像的拉取、授权、验签、解密、远程证明等功能。当容器在普通计算环
境中创建成功后,容器实例中保留普通计算应用程序,将机密计算应用程序部署在机密计算环境中,通
过机密计算操作系统对机密计算应用程序进行创建、加载、销毁等具体操作。
29
GB/T45230—2025
图D.5 机密计算容器部署模式二
在机密计算容器部署模式二中,用户在其客户端通过机密计算容器控制台向容器集群管理平台申
请创建容器,容器集群管理平台采取相关的调度算法挑选一个服务器来承载用户机密计算容器。机密
计算服务端可以根据机密计算硬件资源的特征,选择部署相应的机密计算操作系统,以支撑机密容器的
创建、加载和运行。机密计算服务端包含代理模块,负责实现容器镜像的拉取、授权、验签、解密、远程证
明等功能。当机密计算容器在机密计算环境中创建成功后,用户可通过机密计算容器控制台对容器内
的机密计算应用程序进行创建、加载、销毁等具体操作。
图D.6 机密计算容器部署模式三
在机密计算容器部署模式三中,用户在其客户端通过机密计算容器控制台向容器集群管理平台申
请创建容器,容器集群管理平台采取相关的调度算法挑选一个机密计算VM 来承载用户机密计算容
器。代理包括容器运行时、容器镜像管理、证明模块等,负责验证机密计算VM 的完整性、在机密计算
VM 里创建机密计算容器实例、启动和管理容器的运行,对容器镜像进行解密以及与普通计算环境的通
信等。
30
GB/T45230—2025
D.4 机密计算容器跨平台迁移
在容器负载均衡、故障恢复、容器维护等场景下,需要在不停机的情况下将运行中的机密计算容器
从一台主机迁移到另一台主机。本文件给出一种典型的机密计算容器跨平台迁移流程,初始化阶段,在
源机密计算VM(源端)和目标机密计算VM(目标端)的机密计算环境里分别启动一个迁移模块,主要
监控源端和目标端之间的网络连接,以及协调机密计算容器的热迁移过程,见图D.7。
图D.7 机密计算容器跨平台迁移流程图
机密计算容器跨平台迁移流程:
a) 源端VM 和目标VM 通过迁移模块进行相互远程证明,验证对应平台的完整性和真实性;
b) 源端VM 和目标VM 通过迁移模块建立基于密钥交换协议的安全传输通道;
c) 源端VM 的迁移模块获取源端机密计算容器的进程上下文信息,并保存为镜像文件,包括文
件描述信息、内存表等,使用密钥协商出的会话密钥对镜像文件进行加密;
d) 源端VM 的迁移模块通过安全传输通道发送加密镜像文件至目标VM 的迁移模块,并清空源
端进程信息;
e) 目标VM 的迁移模块接收加密镜像文件后进行解密,恢复容器的内存状态,复制到目标VM
里的机密计算容器里。
31
GB/T45230—2025
参 考 文 献
[1] GB/T17901.1—2020 信息技术 安全技术 密钥管理 第1部分:框架
[2] GB/T32399—2024 信息技术 云计算 参考架构
[3] GB/T35279—2017 信息安全技术 云计算安全参考架构
[4] GB/T41388—2022 信息安全技术 可信执行环境 基本安全规范
[5] ISO/IEC17789:2014 Informationtechnology—Cloudcomputing—Referencearchitecture
[6] ISO/IEC/IEEE42010:2011 Systemandsoftwareengineering—Architecturedescription
[7] IETFRFC9334 RemoteATtestationprocedureS(RATS)Architecture