摘要：可信执行环境 是隐私计算时代构建系统信任的硬件基石，它像一座“安全飞地”：在设备的中央处理器中划出一块受硬件保护的隔离区域，确保敏感代码与数据在此以明文形式安全执行，即使操作系统被攻破或恶意软件肆意横行，也无法窥探其内部运行逻辑。TEE 不依赖对网络或管理员的

可信执行环境 是隐私计算时代构建系统信任的 硬件基石 ，它像一座“安全飞地”：在设备的中央处理器中划出一块受硬件保护的隔离区域，确保敏感代码与数据在此以明文形式安全执行，即使操作系统被攻破或恶意软件肆意横行，也无法窥探其内部运行逻辑。TEE 不依赖对网络或管理员的信任，而是以芯片为信任根，提供可验证、可度量的安全保障。TEE 正与安全多方计算、联邦学习、差分隐私深度融合，构筑从数据输入到结果输出的全链路防护，真正实现数据“ 可用不可见、可控不可篡 ”。在金融支付、跨域协同、隐私推理等高安全场景中，TEE 正成为连接性能与安全的关键桥梁，让信任在不可信环境中落地生根。

查阅隐私计算专题

随着移动互联网、物联网和云计算技术的迅猛发展，数据已成为驱动数字经济发展的核心要素。越来越多的敏感数据在云平台或第三方服务环境中进行存储、共享与协同计算，广泛应用于金融交易、医疗健康、智能终端等关键领域。然而，云端基础设施通常由不受信的第三方运营，传统的边界防护机制难以应对内部威胁、系统漏洞或管理员越权访问等风险，使得数据在“使用中”（in-use）状态下的隐私保护成为当前安全体系中最薄弱节，同时也是最关键的部分。

在高价值数字内容的安全分发与受控使用场景中，内容必须在终端设备上解密并渲染才能呈现给用户，然而终端环境本身往往不可信——操作系统可能被越狱或篡改，应用程序可能遭受逆向工程，用户亦可通过截屏、录屏或内存抓取等手段非法复制和传播敏感信息。如何实现“内容可用但不可窃取”，成为数字版权保护的核心难题。传统防护机制主要依赖静态加密（如AES）与访问控制，通过密钥分发实现授权管理。然而，这类方法存在结构性缺陷：

仅保障静态安全：加密只能覆盖存储与传输阶段，一旦内容在内存中解密，明文即暴露于操作系统层面

无法防御运行时攻击：攻击者可利用调试器、内存dump工具直接提取解码后的视频帧或文档内容，完全绕过加密保护

缺乏执行环境隔离：传统方案无硬件级隔离能力，无法阻止恶意进程对解密过程的注入与监控

对用户行为失控：即使内容合法授权，仍难以防范授权用户主动录屏、截图或二次分发，形成“最后一米”泄露风险

因此，传统基于密码学的静态保护机制，在面对终端侧复杂的运行时威胁时显得力不从心，本质上无法解决“数据一旦使用即暴露”的安全悖论，亟需新的技术路径实现从“边界防护”向“执行可信”的范式转变。

在此背景下，可信执行环境（Trusted Execution Environment, TEE）应运而生，成为突破隐私与安全困境的关键技术路径之一。与运行在常规操作系统（如 Windows、Android、iOS 等）中的富执行环境（Rich Execution Environment, REE）不同，TEE 通过硬件级隔离机制构建一个高度受保护的执行空间，仅允许通过严格授权的接口访问核心安全功能，例如密钥管理、身份认证和加密运算。尽管 REE 功能完备、生态丰富，但其庞大的攻击面使其极易受到恶意软件、漏洞利用等威胁，难以独立承担高安全要求的任务。因此，TEE 作为系统中的“安全基石”，为关键操作提供了不可或缺的可信支撑。

在当前主流的隐私保护技术中，TEE 与安全多方计算（MPC）和差分隐私（DP）并列，三者各具特色、互为补充。MPC 基于密码学协议，通过秘密共享、混淆电路等机制，在多个不互信的参与方之间实现协同计算，确保数据在不暴露的前提下完成联合分析，实现“数据可用不可见”。DP 则从统计层面出发，在数据采集或结果发布时引入受控噪声，使个体信息被“模糊化”，从而抵御重识别攻击，广泛应用于数据发布与统计分析场景。

相比之下，TEE 走的是“硬件信任根”的技术路线。它依托 CPU 的硬件安全扩展，在设备上构建一个与主操作系统隔离的可信执行飞地（Enclave）。敏感操作如密钥解密、生物特征匹配、内容解码等均在该环境中完成，内存中的数据全程加密，执行逻辑对外不可见。即使操作系统被攻破，或应用层存在恶意代码，也无法读取飞地内的明文信息。更进一步，TEE 可与安全显示、可信输入等通路协同，支持防截屏、防录屏、防调试等主动防护机制，有效封堵从“芯片到屏幕”这一“最后一米”的泄露风险，为端到端的安全闭环提供了坚实保障。

技术基础

硬件隔离

密码学协议

统计噪声注入

安全性假设

硬件可信、物理攻击受限

无可信第三方，通信信道安全

攻击者无法区分邻近数据集输出

性能开销

极低（接近明文执行）

高（多轮通信 + 加密计算）

中低（主要为噪声生成）

数据可用性

完整保留原始数据精度

计算结果精确，但过程复杂

引入误差，降低分析准确性

典型场景

机密计算与模型保护

（如AI推理、DRM）

多方安全协作

（如联合建模、跨机构风控）

隐私化数据发布

（如用户画像脱敏）

优势

高效、通用、支持复杂逻辑

理论安全强，无需可信第三方；硬件无关，可移植性强

可验证隐私预算，易于部署

局限

部署成本高，依赖硬件厂商信任，存在侧信道风险

计算和通信开销大

误差影响模型质量，难以逆向恢复

是否支持明文处理

是（但在隔离环境中）

否（全程密文操作）

否（数据需加噪后使用）

TEE 是一种通过软硬件协同构建的、与操作系统、虚拟机管理程序和用户进程隔离的中央处理器（CPU）区域。其核心思想是通过独立隔离的内存执行敏感数据计算，外部无法直接访问内存内的信息，从而为隐私数据和代码提供一个可信赖的执行环境。TEE 具有以下关键特性：

硬件辅助隔离： TEE 利用处理器硬件机制，创建一个高度隔离的 CPU 区域，确保运行在其中的代码和数据不受外部不可信软件（如操作系统、Hypervisor 或其他恶意应用程序）的访问和篡改。

机密性、完整性和可用性： TEE 旨在保证其中隐私数据和代码的机密性（防止未经授权的查看）、完整性（防止未经授权的修改）和可用性（确保数据和代码能够被正确访问和执行）。

数据生命周期保护：

传输和存储阶段: 隐私数据在离开 TEE 区域进行传输或存储时，会以加密形式存在，防止网络攻击者或物理攻击者窃取明文数据。

计算执行阶段: 隐私数据仅在隔离的可信执行环境内部执行计算时，才以明文形式存在，确保在计算过程中不被泄露。

最小化可信计算基（TCB）： TEE 假设所有软件代码（包括操作系统、虚拟机管理软件、BIOS 等）都是不可信的，仅将 CPU 芯片硬件本身作为可信根，从而最大限度地缩小了需要信任的软件范围。

可信执行环境（TEE）目前已从“能否建立硬件信任根”的架构构想，发展为“能否实现高效隔离与远程认证”的系统工程实践，最终迈向“与云原生、隐私计算深度融合”的规模化应用生态，其技术发展脉络如下：

1）第一阶段：隔离可信— 奠定硬件安全根基

这一阶段确立了以硬件为信任根的隔离执行范式，并通过GlobalPlatform 等组织逐步形成标准化框架。

2）第二阶段：虚拟化可信— 实现系统级工程突破

这些方案不再依赖开发者重写代码，而是将整个虚拟机作为可信边界，支持现有操作系统和应用“零修改”迁移至可信环境，极大降低了部署门槛。此外，HyperCoffer、PEF 等研究进一步优化了虚拟机间隔离机制与资源调度代理设计，增强了对Hypervisor不可信场景的支持。此阶段标志着TEE从“专用安全容器”迈向“通用可信基础设施”，解决了“在大规模云环境中能否高效、兼容地部署TEE”的关键问题。

3）第三阶段：融合可信— 迈向业务驱动的生态集成

当前，TEE已进入与隐私计算深度融合的新阶段，不再是孤立的安全模块，而是作为隐私保护基础设施的核心组件，与联邦学习、同态加密、MPC等技术协同构建“可用不可见”的数据流通体系：

与联邦学习结合：浙江大学团队提出 OPSA [7] ，利用TEE执行安全聚合，避免传统MPC带来的高通信开销；印度阿育曼大学提出 FLATEE，在TEE内完成梯度聚合，防止模型反演攻击；

与同态加密协同：奥克兰大学提出 HT²ML 框架 [8] ，将计算密集型操作卸载至TEE中明文执行，仅对关键中间结果使用HE，兼顾性能与安全性；

与安全多方计算集成：新加坡国立大学提出混合信任MPC模型 [9] ，利用TEE捕捉不同参与方的信任差异，提升整体协议效率；

与异构加速器联动：GPU上的 Graviton [10] 、NPU上的 TNPU、FPGA上的 SGX-FPGA等方案，将TEE边界扩展至专用硬件，实现端到端的隐私保护计算流水线。

与此同时，蚂蚁集团构建 SecretFlow、腾讯推出 PowerFL等工业级框架，支持SGX等多种TEE后端，推动TEE从“实验室原型”走向“产业标配”。此时的技术焦点已从“是否使用TEE”转向“如何实现自动化配置、跨平台互信与全链路审计”，标志着TEE完成了从“安全机制”到“业务必需”的跃迁。

整体来看，TEE已发展出一套多层次、系统化的技术体系，可从受保护程序类型、指令集架构、核心安全机制与扩展支持能力四个核心维度进行分类和演进分析。这一技术谱系的持续完善，推动了 TEE 从硬件隔离原语走向通用可信基础设施，并逐步实现面向隐私计算、云计算与边缘场景的规模化部署。

1) 受保护程序类型分类 （根据隔离粒度的根本划分）TEE 的设计目标决定了其对“可信边界”的界定方式，主要分为两类—细粒度的应用级隔离与粗粒度的虚拟机级隔离。

应用级可信执行环境：在该模式下，仅将应用程序中涉及隐私计算的关键代码段和敏感数据置于隔离的飞地中执行，其余部分仍运行于不可信操作系统之上。飞地作为进程内的安全容器，提供高精度的执行保护。其特点是提供细粒度隔离，可信软件基（TSB）较小，安全性较高；但需开发者重构应用以适配受限编程模型，通常无法直接调用系统服务。代表系统包括 Intel SGX、ARM TrustZone、RISC-V Keystone、Penglai等。

虚拟机级可信执行环境：为整个虚拟机创建隔离环境，Guest OS及其上所有应用程序均运行在受保护的“机密虚拟机”中。该模式不修改应用逻辑，依赖硬件保障整机状态的安全性。其特点是提供粗粒度隔离，兼容性强，支持现有操作系统和应用“零修改”迁移；适用于云原生环境，但通常需信任 hypervisor 中的部分安全模块或专用协处理器。代表系统包括 Intel TDX、AMD SEV/SEV-SNP、ARM CCA、IBM PEF、HyperCoffer等。

这两类架构分别对应“以代码为中心”与“以系统为中心”的安全范式。

2) 指令集架构分类： （根据不同的底层硬件支撑）TEE 的实现高度依赖处理器架构特性，不同指令集平台发展出各具特色的可信执行方案。

x86 架构：x86 平台是目前 TEE 技术最成熟的生态之一，覆盖应用级与虚拟机级双重路径。包括 Intel SGX/SGX2，Iso-X和 PodArch，Intel TDX、AMD SEV 系列（SEV、SEV-ES、SEV-SNP）、HyperCoffer。

ARM 架构：ARM 架构广泛应用于移动与嵌入式设备，其 TEE 以 TrustZone 为核心基础，在此基础上扩展出Komodo、Sanctuary、TrustICE和 MyTEE，同时还包括虚拟机级的 ARM CCA。

RISC-V 架构：作为开源指令集，RISC-V 上的 TEE 设计强调可定制性与透明性，适合学术研究与专用场景。代表系统包括 Sanctum、Keystone、Penglai 和 CURE。

其他特定架构：除主流架构外，多种专用或小众平台也实现了 TEE 支持，如MSP430 Sancus面向极低功耗嵌入式控制器，集成总线访问控制单元，SPARC Hyperwall允许不可信 hypervisor 存在前提下的内存安全保障，以及 IBM 为其服务器芯片设计的机密虚拟机保护机制 PEF。

不同架构的 TEE 方案反映了性能、成本、开放性与安全假设之间的权衡，共同构成异构可信计算的基础。

3) 核心安全机制分类 ：（根据不同的安全机制）TEE 的安全性由一系列硬件级安全机制协同保障，主要包括内存隔离、机密性、完整性与 I/O 通路保护。

内存隔离机制：确保飞地内存与其他软件之间无法非法访问，是 TEE 的基本前提。包括多密钥内存加密隔离、片上总线访问控制、地址空间控制器等技术。

内存机密性保护机制：防御物理攻击者通过冷启动、总线探测等方式窃取 DRAM 中的数据。包括仅飞地内存加密、全内存加密、对全部系统内存加密等技术。

内存完整性保护机制：防止攻击者篡改或重放飞地内存内容。包括哈希树（Merkle Tree）、 MAC 码、片上存储等技术。

I/O 通路保护机制：建立飞地与外设之间的安全通信路径，防止中间环节泄露隐私数据。包括片上总线访问控制、可信外设控制器、可信软件保护等技术。

4) 扩展支持能力分类： 随着 AI 与高性能计算的发展，TEE 正从 CPU 向 GPU、NPU、FPGA 等异构设备扩展，构建端到端的可信计算链路。包括支持隐私保护机器学习推理的 GPU TEE、适用于神经网络处理器的NPU TEE以及FPGA TEE。

正是在上述程序类型、架构平台、安全机制与扩展能力的多维协同演进中，TEE 完成了从“能否建立可信边界”的硬件构想，到“能否规模部署”的系统工程突破，再到如今“能否融合业务”的生态集成跨越。未来，随着 RISC-V 开源生态、形式化验证等方向的发展，TEE 将进一步演化为数字基础设施的安全底座。

通用可信执行环境架构如下图所示，通过在CPU硬件层面划分出相互隔离的执行区域，构建了普通程序执行环境与可信执行环境并行运行的双模架构。在该架构中，传统操作系统及各类用户程序运行于普通执行环境，而涉及隐私数据处理的关键代码则被置于TEE内的安全飞地中独立执行，与操作系统及其他应用程序实现强隔离。普通环境中的应用可通过预定义的可信接口调用TEE服务，在受控条件下创建和管理飞地，但无法访问飞地内部的代码与数据，从而确保敏感信息的访问路径始终处于严格管控之下。

为保障隐私数据在处理过程中的安全性，TEE在CPU硬件架构中集成了一系列底层安全机制，重点满足对数据机密性与完整性的保护要求。这些机制共同构成了TEE的信任根基，主要包括以下几个方面：

可信软件基（Trusted Software Base, TSB）是用于管理飞地生命周期和各类安全机制的特殊指令或原语集合，作为连接硬件安全功能与上层应用之间的桥梁。在TEE中，TSB负责创建、加载、运行和销毁飞地，并提供远程认证、加密密钥管理等关键服务。由于其直接参与敏感操作，TSB本身必须高度可信，通常由处理器厂商提供并固化于芯片内部。

Intel SGX 使用 EPC（Enclave Page Cache）及相关系统调用（如 ENCLS 指令）构建 TSB，仅信任 CPU 硬件，最小化 TSB 规模。ARM TrustZone 依赖最高特权级的监视器（Monitor）模块进行世界切换，TSB 包括 SMC 指令及安全世界操作系统 。RISC-V Keystone 和 Penglai 在最高特权级（Machine Mode）运行安全监视器，通过标准接口暴露飞地管理原语，需信任该监视器代码。AMD SEV/SNP 和 Intel TDX 则将 TSB 运行在独立的安全协处理器（如平台安全处理器 PSP 或 TDX Module）中，进一步降低对主系统的依赖，提升整体安全性。

内存隔离机制确保飞地内存与不可信操作系统、其他应用程序及其他飞地之间实现逻辑或物理上的访问控制，防止恶意软件非法读取或篡改隐私数据，是TEE保障“执行环境可信”的基础。

常见的实现方式包括：多密钥内存加密，为不同虚拟机分配唯一加密密钥，即使hypervisor也无法解密，广泛应用于 AMD SEV、Intel TDX 和 HyperCoffer 等虚拟机级 TEE 中；片上总线访问控制，通过扩展片上总线添加飞地 ID 信号与访问控制逻辑，实现基于硬件的访问权限判定，典型代表有 MSP430 上的 Sancus、RISC-V 的 CURE 以及 TrustLite；地址空间控制器，在 ARM TrustZone 架构中引入 TZASC（TrustZone Address Space Controller），利用安全信号线划分安全与普通内存区域，确保普通世界无法访问安全内存；MMU 权限检查，通过扩展内存管理单元（MMU）硬件，在 TLB 未命中时检查物理页的所有权归属，防止跨飞地访问，被 Intel SGX、SEV-SNP 和 ARM CCA 广泛采用；软件权限检查，则依赖可信的最高特权级软件（如安全监视器或 hypervisor）截获页表修改过程，验证映射合法性，适用于 Penglai 和 Bastion 等系统；微码指令权限检查，通过专用硬件指令更新嵌套页表，避免不可信 hypervisor 滥用内存重映射能力，见于 H-SVM 和 Hyperwall；此外，TIMBER-V 提出基于标签内存技术的细粒度隔离方案，以固定粒度（如 16 字节）为内存打标签，访存地址需匹配标签方可访问，支持更精细的保护，但硬件开销较大。

内存机密性保护旨在防御物理攻击者通过冷启动、内存探测或总线监听等方式窃取片外主存中的隐私数据。TEE 在数据离开处理器芯片前对其进行透明加密，进入时再解密，从而确保飞地内存内容始终以密文形式存在于 DRAM 中。

该机制主要分为两类：一类是“仅飞地内存加密”，即只对飞地使用的内存页进行加密，典型代表为 Intel SGX、Penglai 和 Bastion，采用 AES-CBC 或 AES-CTR 模式，加解密引擎集成于内存控制器中，密钥在系统启动时由硬件真随机数发生器生成并定期更新，仅对飞地引入性能开销；另一类是“全内存加密”（Multi-Key Total Memory Encryption, MKTME），对整个系统内存进行加密，每个虚拟机使用独立密钥，广泛应用于虚拟机级 TEE 如 Intel TDX、AMD SEV/SNP 和 HyperCoffer。这类系统通常采用 AES-XTS 算法，密钥选择依赖物理地址高位的 keyID 字段，由内存控制器自动完成密钥索引。MKTME 不仅防止 hypervisor 窃取数据，还能抵御跨虚拟机的明文-密文字典攻击，但由于受限于地址总线宽度，支持的最大密钥数量有限。

内存完整性保护用于防范物理攻击者对片外内存中飞地代码和数据的篡改、替换或重放攻击。TEE 通过密码学校验机制确保内存内容未被非法修改。

主流实现方式包括基于哈希树的方法，如 Intel SGX、Bastion 和 AEGIS 所采用，系统在启动时构建 Merkle 哈希树，根节点保存在处理器内部不可访问的寄存器中，每次读写飞地内存时验证路径一致性，可有效防御篡改、交换和重放攻击；第二类是基于消息验证码（MAC）的机制，如 Intel TDX、SGX2 和 XOM 所用，为内存块生成 MAC 并在读取时验证，虽能防止篡改和交换，但无法抵御重放攻击，优势在于性能开销较小，适合大规模虚拟机场景；第三类为基于片上存储的方案，Keystone 提出将飞地代码和隐私数据完全保存于片上 Scratchpad RAM 中，不进入片外 DRAM，从根本上规避物理攻击风险，具备天然的完整性和机密性保障，但受限于容量，难以支持大内存应用。

I/O 通路保护旨在建立飞地与 I/O 设备（如 GPU、NPU、FPGA、网卡等）之间的安全通信路径，防止不可信操作系统或物理总线窥探隐私数据传输过程。

实现方式主要包括三种：一是片上总线访问控制，CURE 和 TrustLite 在外设总线上增加访问控制逻辑，通过寄存器配置飞地 ID 与设备地址绑定关系，实现独占式访问，但易受操作系统修改设备地址范围的绕过攻击；二是可信外设控制器，ARM TrustZone 及其衍生系统（如 Komodo、MyTEE）通过引入 TZPC（TrustZone Protection Controller），由最高特权级监视器配置外设归属安全世界，阻止普通世界访问安全外设；三是可信软件保护，ARM CCA 和 HyperCoffer 采用由最高特权级软件代理 I/O 通信的方式，例如 CCA 中 RMM 将特定 I/O 设备唯一绑定至机密虚拟机，HyperCoffer 引入 VM-Shim 模块作为可信中介，负责与 hypervisor 和外设交互，并结合专用 load/store 指令和数据加密机制保障通路安全。尽管如此，当前多数 TEE 仍缺乏对 I/O 数据的端到端加密，驱动程序运行于不可信操作系统中也构成潜在威胁，I/O 通路保护仍是亟待完善的关键环节。

可信执行环境通过硬件级隔离机制，在计算设备中构建安全的“信任根”，为敏感数据的处理提供强安全保障，已在多个对安全性要求严苛的场景中落地应用。以下是其典型行业应用：

金融支付与身份认证：在移动支付和数字钱包中，用户的身份凭证、生物特征与交易密钥需在终端设备中安全存储与运算。TEE 可隔离操作系统中的不可信应用，确保指纹识别、面部解锁及支付授权等关键操作在受保护环境中完成，防止恶意软件窃取敏感信息。

医疗数据联合分析：多家医疗机构希望基于患者病历联合训练疾病预测模型，但原始数据受隐私法规限制无法出域。借助 TEE 技术，各方将加密数据解密并处理于 CPU 的安全飞地（如 Intel SGX）中，实现跨机构的数据融合计算，同时保证明文数据不暴露于外部内存或系统进程。

云上隐私计算服务：企业将机器学习任务托管至公有云时，面临模型参数与训练数据被云服务商窥探的风险。通过部署在 TEE 内的隐私计算平台，客户代码与数据在运行时受到硬件保护，云方仅能提供算力而无法访问内容，实现“可用不可见”的安全协作模式。

可信执行环境的本质，是借助硬件信任根为计算过程铸造“数字保险箱”，在开放复杂的系统中开辟出可验证的安全空间。它突破传统软件防护易被绕过或篡改的局限，从底层架构上实现执行环境的物理隔离与内存加密，使得敏感操作即使在不受信的操作系统或管理程序下也能安全运行。整个过程兼顾性能与安全，既避免了全同态加密带来的巨大开销，又弥补了纯软件方案防护能力不足的短板。

技术上，TEE 依赖芯片级安全模块（如 ARM TrustZone、Intel SGX、AMD SEV）构建封闭执行路径，并结合远程证明机制实现行为可审计、代码可验证。实践中，它满足了高价值业务对数据机密性、完整性与可追溯性的核心需求，尤其适用于需要高性能、低延迟且强安全保证的场景。

未来，随着 SDH 在隐私计算领域的不断探索，针对需要高计算效率、低延迟响应的场景，SDH 将其与安全多方计算、联邦学习、差分隐私计算技术深入融合，积极探索 TEE 技术在营销领域内的落地应用。通过“软硬协同、多技融合”的架构设计，在硬件信任根的基础上构建可验证、可审计的安全执行空间，支撑高并发、低延迟的敏感数据处理任务。这种融合模式不仅克服了纯软件方案易受攻击的缺陷，也避免了密码学方法带来的巨大性能开销，实现了安全性与效率的双重突破。未来，随着芯片生态的完善和跨平台标准的建立，TEE 更将成为隐私计算基础设施的核心组件，推动数据在金融、医疗等关键领域的安全流通与价值释放，为构建高效、可信、可持续的分布式智能生态提供坚实支撑。

来源：小夭看天下