冯登国院士：机密计算的进展与展望

摘要：本报告围绕数据安全与隐私保护这一重大安全需求，回顾机密计算发展历程，分析机密计算研究现状，以作者团队的项目成果为主介绍机密计算最新研究进展，展望机密计算未来发展趋势。

本报告围绕数据安全与隐私保护这一重大安全需求，回顾机密计算发展历程，分析机密计算研究现状，以作者团队的项目成果为主介绍机密计算最新研究进展，展望机密计算未来发展趋势。

机密计算发展历程回顾

随着云计算、大数据、人工智能等新型信息技术的发展与应用，数据安全与隐私保护成为亟待解决的重要安全问题。越来越多的用户（包含个人、企业以及政府组织）将重要数据和关键应用部署到云计算平台上，因此云平台中的数据安全就显得尤为重要。数据的安全存储和传输，已经有大量相对成熟的安全机制，然而保护云计算平台使用中的数据安全面临巨大的技术挑战。

冯登国院士在CNCC2024现场做特邀报告

机密计算(Confidential Computing, CC)就是为了解决该问题而产生的新型安全技术。机密计算是一种旨在保护使用中的数据安全的计算范式，通过硬件级系统隔离，实现对数据和代码的安全保障，尤其适用于多方协同的数据保护场景。机密计算的核心功能主要体现在两个方面：（1）机密计算基于硬件级的可信执行环境，在平台运行过程中对敏感数据和代码进行隔离保护。由于代码本质上也是数据，这种保护覆盖了数据及处理数据的代码，确保了平台的整体安全性。机密计算依托底层安全硬件，形成了一种软硬件协同的高级安全机制，为系统提供强有力的隔离保障。（2）机密计算提供了多种安全原语，包括可信执行环境安全启动和动态度量等。这些安全原语增强了系统各个层级的安全性和可信度，使系统能够在面对复杂威胁时依旧保持可靠性。

机密计算实现了数据、算法和平台三者相互独立的安全计算模式，不仅确保了各参与方的独立性和安全性，同时也减少了潜在的安全依赖，提高了数据处理的透明度。与此相辅相成的是，机密计算与可信计算、隐私计算形成了安全互补，共同为高层次的数据安全提供坚实支撑。作为一项高度跨学科的技术，机密计算涵盖了体系结构、基础软件、系统安全和密码技术等领域，促进了多学科的协同创新，为技术发展提供了广阔的空间。通过软硬件结合的方式，机密计算为多方参与者提供了一个安全隔离的计算环境，能够有效应对数据在使用过程中面临的多种风险，从而在保护数据使用安全方面展现出其独特的技术特点。

机密计算的发展历程大致分为三个阶段，如图1所示。

图1 机密计算发展的三个阶段

第一阶段（2003—2014年）：可信平台模块(Trusted Platform Module, TPM)阶段。该阶段是机密计算的早期阶段，主要以可信计算思想为指导，通过将TPM/TCM(Trusted Cryptography Module，可信密码模块)等安全芯片嵌入计算机主板，把安全功能隔离在一个类协处理器上，这种方式在PC、服务器等平台上得到了广泛的部署使用。

第二阶段（2015—2018年）：可信执行环境(Trusted Execution Environment, TEE)阶段。在该阶段，机密计算依赖的核心技术TEE不断发展演进。例如，英特尔推出了软件保护扩展(Software Guard Extensions, SGX)硬件技术，可以在用户进程空间中构建安全“飞地”（Enclave）；AMD推出了安全加密虚拟化(Secure Encrypted Virtualization, SEV)硬件，为云平台提供虚拟机级别的隔离。与此同时，学术界在RISC-V上也提出了两个经典的TEE方案，即麻省理工学院的Sanctum架构和加州大学伯克利分校的Keystone架构。

第三阶段（2019年至今）：机密计算阶段。2019年8月，Linux基金会成立了机密计算联盟(Confidential Computing Consortium, CCC)，主要目标是统一规范TEE硬件和软件（如统一SDK或者API接口），并推进机密计算技术和标准快速落地。硬件可信执行环境技术已经相对成熟，AMD SEV-SNP、Intel TDX、ARM CCA等技术升级路线持续发展，机密计算的理念被广泛接受并开始得到快速商业化应用。机密计算、机器学习、数据安全等技术生态快速融合，形成了隐私保护机器学习等多种行业应用模式。

机密计算研究现状分析

目前，机密计算研究主要包括机密计算硬件安全、机密计算架构、机密计算关键技术、机密计算应用和机密计算标准与测评。

机密计算硬件安全

机密计算硬件安全主要围绕硬件TEE攻击技术和相应的防御机制两个方面展开。

对TEE的攻击通常针对机密计算硬件架构设计或者管理机制的缺陷来实施。对TEE攻击的类型主要分为：系统软件攻击、内存攻击、侧信道攻击、瞬态执行攻击、微架构数据采样和错误注入攻击。

在系统软件层面，攻击手段主要集中于操作系统内核和系统调用的薄弱环节。常见的内核攻击形式包括特权提升攻击和内核级恶意软件等。与此同时，软件实现中的漏洞，如典型的缓冲区溢出和参数验证不当等缺陷，容易被利用来控制程序行为或引发系统崩溃。

内存层面的攻击主要针对数据的泄露和破坏。在内存泄露方面，冷启动攻击可以通过读取物理内存中的残留数据来恢复敏感信息。而在内存损坏攻击中，则通过篡改内存内容、重定向程序执行流达到恶意目的，进而威胁系统安全。

侧信道攻击是当前针对TEE最为严峻和难以防范的攻击类型。这类攻击利用系统中的非显式信息泄露途径获取机密数据。例如，缓存侧信道攻击通过对缓存行为的监控推测敏感信息；页表侧信道则使用受控信道攻击等技术，监视页表的状态变化等。

瞬态执行攻击主要包括基于推测执行的Spectre类漏洞绕过安全检查攻击，读取敏感数据；以及基于乱序执行的熔断(meltdown)攻击，在未授权的情况下访问隔离内存。

微架构数据采样攻击利用现代处理器中的数据通道特性，采集敏感信息。具体而言，有些攻击通过线性填充缓冲区(Linear Frame-Buffer, LFB)进行采样，或者从存储缓冲区采样，结合缓存逐出，进一步扩大了数据采样的可能性。

错误注入攻击通过诱导硬件错误破坏系统的完整性和可靠性。例如，通过反复访问内存单元触发位翻转，影响相邻行数据；利用动态频率和电压缩放，施加特定电压波动，进而改变CPU执行过程。

针对不同的TEE架构，需要采用不同的防御机制缓解上述TEE各类攻击。

1.ARM Trustzone架构的防御机制从架构、实现和硬件三个方面着手。架构上的防御机制包括构建多重环境、安全的跨世界信道、内存加密和可信计算原语。实现上的防御方法包括管理代码运行时、类型安全、编程语言和软件验证。硬件上的防御手段包括组件的防御和微架构的防御措施。

2.Intel SGX的防御机制，可以从微码补丁、系统设计、编译器与SDK以及应用层设计四个方面着手。CPU厂商可以通过微码补丁的方式修复很多安全漏洞。而针对那些无法通过微码补丁进行防御的攻击，通常需要对系统重新进行设计和实现来修复一些底层漏洞。除此之外，也可以通过飞地的编写者在编译器或Enclave-SDK中增加某些通用的防御方法实现。

机密计算架构

机密计算架构通过硬件安全扩展与相关组件打造具有机密性和完整性保护能力的TEE，为机密计算关键技术与应用奠定基础。当前机密计算主要架构包括：x86进程级TEE、x86系统级TEE、ARM TEE架构、RISC-V TEE架构、专用安全芯片可信架构和异构TEE架构。

x86进程级TEE架构以Intel SGX为代表，通过硬件指令为特定进程隔离出用户级的安全飞地。x86系统级TEE架构以AMD SEV、Intel TDX技术路线为代表，结合虚拟化技术的隔离机制，以虚拟机为节点构建TEE。ARM TEE主要有TrustZone架构和ARM CCA架构，TrustZone采用REE-TEE双世界系统隔离设计思路，ARM CCA则遵循类似系统级TEE机密虚拟机架构的设计思路。RISC-V TEE指令集架构拥有自身的硬件安全设计，同时还具备开源、灵活等特性，其机密计算架构代表性研究工作有Sanctum、Keystone等。专用安全芯片可信架构使用专用计算芯片（如TPM/TCM）隔离构建可信环境，将通用计算和机密计算环境分隔，敏感数据只在受信任的硬件安全芯片中加载和计算。异构TEE架构的实现目标是保护数据在异构计算设备上的机密性和完整性，以及异构设备自身的安全性。目前有GPU TEE、FPGA TEE、NPU TEE和其他异构协同TEE等。

机密计算关键技术

机密计算主要包括完整性与信任、证明与安全监控、运行时安全、安全通信与可信信道、可信存储与数据存储安全以及硬件加速与优化等关键技术，从基础安全能力和应用安全能力两方面提升机密计算平台的软硬件协同防护水平。

完整性与信任机制是机密计算基础安全能力之一，它从软硬件协同的多个层面保障系统的完整性和信任，如采用硬件信任根（RoT），固件安全验证、保护、检测与恢复，安全启动和系统信任链等机制保证系统处于初始信任状态。

证明与安全监控是机密技术基础安全能力之一。证明是实体中构建相互信任的一种交互方式，通过证明使一方可以确定另一方运行环境的完整性或者安全状态，并在证明基础上实现TEE环境远程验证及安全监控。

运行时安全机制更多关注TEE在模型上更强的安全能力，主要研究基于TEE的系统运行时强制访问控制、安全风险运行时消除、系统运行状态的动态监控，以及TEE内部应用程序的控制流监控、度量和证明机制。

安全通信与可信信道一方面聚焦于建立TEE之间、用户与TEE之间、TEE与普通容器之间的可信信道，确保TEE系统间的数据安全传播；另一方面建立TEE与系统外设，包括FPGA、GPU、智能网口等加速器之间的可信信道，保障系统内部安全I/O通信。

可信存储与数据安全存储是机密计算的重要应用安全能力之一。可信存储是一种数据安全保护手段，主要对存储数据的机密性和完整性进行保护，也考虑受保护数据的新鲜性和防回滚，通常依赖可信信任根、TEE与文件系统构建。

硬件加速与优化技术采样FPGA、GPU、密码协处理器等硬件实现TEE的密码计算、机器学习计算的硬件加速，从硬件、算法、通信、计算方式等多个维度优化密码和机器学习计算的性能。

机密计算应用

机密计算平台应用以硬件TEE为基础，在数据安全牵引和行业应用驱动下，正快速地推进安全共享和流通。目前机密计算平台的相关成果已逐渐应用于多个行业领域，如金融、政务、医疗、通信以及工业等。

在金融领域，机密计算使得不同金融机构可以在保护数据隐私的前提下进行多方数据联合建模，从而提升风控和客户分析能力；在医疗领域，机密计算支持各医院或研究机构对敏感医疗数据进行协同分析，在确保隐私的前提下推动疾病防控、疾病研究和药物开发；在政务和公共服务中，机密计算实现跨部门数据的安全共享，提升智能化和服务效率，实现智慧城市；在通信和工业物联网领域，机密计算确保设备和云端间的数据传输和分析安全，有效防范数据泄露和设备被恶意控制，实现数据流通共享。

机密计算标准与测评

机密计算是相对较新的技术领域，其标准、测评规范及技术工具目前还不完善。

TPM/TCM是机密计算的平台基础。TPM从1.0发展到2.0，相关标准和规范都在持续改进和升级，TPM/TCM的安全启动、完整性度量、远程证明等安全规范都是机密计算相应技术规范的基础。

TEE是机密计算的主要支撑技术，这方面的标准与测评在不断改进完善中。目前TEE的标准工作大部分是GlobalPlatform组织推动的，它针对TEE制定了一系列的网络、系统架构和应用程序内部API等TEE标准。中国制定了《信息安全技术可信执行环境基本安全规范》和《信息安全技术可信执行环境服务规范》。目前，很多行业的管理部门都高度重视TEE相关标准与测评规范的制定，例如，通信行业、金融行业等领域都有各自的TEE技术规范。

目前，机密计算标准与测评工具还处于发展初期。国际互联网工程任务组（IETF）发布了关于远程证明架构的标准规范。美国国家标准与技术研究所（NIST）发布了关于云和边缘计算场景下使用的数据安全保护的标准规范，对使用到的机密计算技术相关的内存隔离、应用隔离、密码加速等方面进行了规范。中国的全国信息安全标准化技术委员会目前正在制定《信息安全技术机密计算通用框架》国家标准，征求意见稿中规定了机密计算通用框架，包括核心组件、基本功能、基本接口、关键活动以及部署模式。

机密计算最新研究进展

弹性机密计算概念与防护体系

针对现有机密计算安全性和可靠性不足的问题，我们提出了弹性机密计算(Resilient CC, RCC)的基本概念。弹性机密计算旨在保障机密计算环境在面对各种攻击和漏洞时仍能保证安全性和可靠性，其核心思想是在可信执行环境信任根攻击免疫的前提下，即使机密计算平台系统固件、虚拟机监控器、主机操作系统或部分TEE应用系统受到攻击或控制，整个机密计算系统依然能够保持高安全性和运行效率，图2展示了弹性机密计算的技术思路。

图2 弹性机密计算技术思路

弹性机密计算是在现有的机密计算技术体系上，采用网络信任(CyberTrust)强化TEE内生安全能力，增强系统容错性、可恢复性等安全弹性，构建一个高安全性、高可信的计算环境。总之，弹性机密计算是一个围绕TEE的根信任，以及TEE信任的验证、扩展和保障建立的机密计算技术体系。

弹性机密计算基本防护体系如图3所示，其包括四个安全防护层次：

图3 弹性机密计算安全防护体系

1.硬件信任根：硬件信任根是整个信任链的基础，负责为系统提供最底层的安全保障。通常CPU内部的安全协处理器充当TEE的信任根，确保TEE环境的可信性。可信平台模块TPM/TCM则作为主机系统的信任根，提供计算机硬件级别的信任基础。此外，随着异构计算的发展，GPU TEE作为主要的异构计算环境的信任根也日趋重要，确保海量AI数据在GPU机密计算环境中训练和推理的计算安全性。

2.TEE基础防护：TEE基础防护层旨在保护TEE的初始环境，确保其在启动和运行时的安全性。该层级的防

护措施包括系统隔离、内存加密、侧信道攻击防护等。系统隔离确保TEE与非可信环境之间的严格分离，防止未经授权的访问；内存加密保护敏感数据在内存中的机密性；侧信道攻击防护机制通过防御物理层面和微架构层面的攻击，进一步提升TEE的安全性。

3.软硬件协同防护：TEE软硬件协同防护层通过软硬件结合的方式，确保TEE系统的代码和关键数据的安全性。该层级的安全机制包括完整性度量、远程证明和封装存储等。完整性度量通过对TEE系统关键组件的度量，确保其未被篡改；远程证明允许远程实体验证TEE的可信状态；封装存储则确保敏感数据在存储和传输过程中的机密性和完整性。这些机制共同作用，确保TEE在运行过程中始终处于可信状态。

4.可信状态监控：可信状态监控层负责对TEE内部的工作负载进行持续的监控，确保应用负载代码和数据的安全性。该层级的防护措施包括运行状态证明、完整性状态监控以及TEE系统恢复机制。运行状态证明确保TEE在运行时的可信性；完整性状态监控持续监测系统的关键组件，防止篡改或恶意修改；TEE系统恢复机制在检测到异常时，能够使系统快速恢复至可信状态。

通过这四个层级的互相协作，弹性机密计算最终可实现启动时初始可信、计算时数据安全、互联时信道保护、运行时动态监控的机密计算安全目标。

弹性机密计算的基本特点

防篡改(Tamper-resistance)

防篡改也称安全免疫性，通常是指系统或设备抵御外部威胁、攻击和未授权操作的能力，类似于生物免疫系统能够抵御疾病的能力。

弹性机密计算的防篡改能力主要由弹性可信执行环境(Resilient TEE, RTEE)和弹性机密计算系统的防篡改能力构成。RTEE的安全免疫能力通常通过安全硬件（信任根）、加密保护、访问控制和漏洞修复等技术手段实现。弹性机密计算系统中，最重要的安全免疫是通过硬件信任根实现的，主要体现在RTEE的防篡改和破坏、完整性验证以及自我修复能力上。需要注意的是，RTEE对特定类型攻击的安全免疫并不意味着RCC系统对这些攻击也是安全免疫的，因为RCC系统受攻击的面比RTEE大得多。

弹性TEE的安全性依赖于信任根的安全，确保TEE环境的完整性和机密性。其安全机制包括指令集架构、微架构和固件级别的保护。在指令集架构方面，弹性TEE通过机密计算特殊指令和CPU特殊安全模式提升安全性，主要机制包括指令集架构（ISA）升级，如从SEV-ES到SEV-SNP的升级。在微架构层面，弹性TEE实现了内存访问控制和隔离机制，以及侧信道防护机制。固件级别则通过机密计算固件完整性验证、机密计算固件API/ABI引入的安全措施，以及防固件回滚攻击来保障安全。

弹性TEE的安全机制还体现在内存、设备和系统级别。内存级别包括内存完整性保护，如SGX的内存页度量和证明验证、SEV SNP的反向映射(Reverse Mapping, RMAP)机制，以及RISC-V的物理内存保护(Physical Memory Protection, PMP)机制，还包括内存机密性保护技术，如Intel TME、AMD SME和ARM v9.3 FEAT_MEC。在设备级别，不可信外设被禁止直接内存访问(Direct Memory Access, DMA)加密内存，而可信外设则通过设备证明和机密信道确保安全。系统级别的安全措施包括安全启动、度量、证明、可信存储，以及系统镜像和内核安全。

可证明性(Attestability)

信任是机密计算领域的核心问题，如果无法信任数据生成和计算的环境，数据的机密计算和隐私保护将毫无安全保障。解决这一问题的关键在于远程证明和验证，机密计算环境必须是可证明和可验证的，未经证明和验证的机密计算无法称为真正的机密计算。

弹性机密计算的证明内容包括三个方面：首先，机密计算硬件的可信性，通常由CPU厂商通过TEE证书链进行验证；其次，机密计算系统软件的可信性，通过度量TEE镜像和应用软件代码的完整性，并使用弹性TEE的证明密钥进行签名认证；最后，系统安全策略执行的可信性，验证系统状态、版本、配置和补丁等关键信息是否符合策略强制执行的要求。这些证明要求确保了机密计算平台的真实性、完整性和可执行性，构成了机密计算安全的基础。

机密互联(Confidential Interconnection)

机密互联是多个TEE之间通过相互认证、可信连接建立一个整体上相互信任的机密计算集群，主要包括TEE与可信设备之间的机密I/O连接、同一硬件平台上机密虚拟机之间的加密通信，以及机密计算集群中异构TEE之间的端到端机密通信。广义机密互联包括机密设备I/O互联、机密虚拟机本地互联、异构TEE远程互联。机密互联的核心思想是通过TEE证明在异构TEE之间构建机密计算信道，实现敏感数据的协同计算，多个物理上独立的异构TEE通过相互信任形成一个逻辑上的整体TEE环境（即机密计算域或机密集群）。异构TEE通过统一的证明服务框架实现远程机密互联，这一框架提供可信证明认证令牌和受保护的平台秘密信息，是构建异构TEE之间机密数据共享的信任基础。

机密互联是实现机密计算扩展性和弹性的关键安全机制，基于硬件加速和机密计算集群，不仅扩展了TEE的信任边界，还增强了密态数据处理能力，体现在节点规模和计算能力的扩展性上。机密互联也是机密计算模型中多方参与者信任关系的延续，机密计算的弹性则体现在TEE信任边界的动态扩大或缩小上，不仅可以扩大TEE集群，还可以通过实施安全策略对不可信TEE、被攻陷和控制TEE实施隔离，缩小机密互联的TEE集群边界。

可恢复性(Recoverability)

机密计算的可恢复性由机密计算平台的一种安全弹性机制提供，用于对不可信或受损的TEE状态进行重置、修复和更新。例如，当机密计算的固件或软件组件不符合安全策略要求，且TEE的安全启动验证失败时，可以通过更新这些TEE组件并重新启动系统恢复正常状态。可恢复性通常要求TEE的信任根保持绝对可信。TEE的可信计算基(Trusted Confidential Base, TCB)通常由不可变和可变部分组成，其中不可变部分就是TEE的信任根，它负责生成TEE的远程证明报告并进行签名。当发现TEE TCB中的某个缺陷并需要更新其他组件时，TEE信任根会协助完成设备认证、身份验证和代码校验等安全功能。机密计算平台可恢复的对象包括TEE固件、TEE镜像（如机密虚拟机镜像）以及TEE系统。

机密计算的可恢复性可以通过多种方式实施。首先，TEE厂商支持的固件恢复是指当发现缺陷时，TEE厂商通过发布新的固件版本修复和升级TEE功能。其次，机密虚拟机或TEE镜像的恢复主要依赖对机密虚拟机镜像的安全管理，保障其机密性和完整性，平台管理员可以通过镜像仓库对受损或遭受攻击的机密虚拟机进行恢复和升级。最后，机密虚拟机的安全实时迁移(live migration)是在系统局部故障或运维场景下，平台管理员在不中断业务的前提下，将机密虚拟机从一个TEE平台安全迁移到另一个TEE平台的过程，并确保迁移后TEE仍具备同等的安全防护强度。然而由于不同的TEE平台具有不同的安全模型和资源约束，使得异构TEE的安全迁移技术更加复杂和具有挑战性。

弹性机密计算技术实践成果

基于弹性机密计算思想，我们设计并实现了具备TEE软硬件协同信任和高效密态数据处理能力的机密计算平台，能够有效支持大规模异构机密计算节点的安全防护、机密互联和可信状态监控，如图4所示。该平台建立了多信任根场景下的机密计算统一密码技术体系，包括信任基础、密码算法簇和证明标记（token），并通过证明服务框架建立了机密计算集群节点间机密互联的信任基础。基于TEE和TPM/TCM，该平台实现了多种机密虚拟机的安全防护机制，能够有效防止机密固件和镜像篡改、固件版本回滚、云虚拟机（CVM）敏感信息窃取以及恶意程序注入等攻击。此外，该平台还建立了面向大规模异构TEE的机密互联技术框架，涵盖SGX、SEV、ARM Tustzone、CSV、TPM等，有效解决了TEE证明的扩展性、可撤销性和匿名性等核心问题。

图4 弹性机密计算系统实现

在密态计算处理能力方面，该平台通过基于TEE的TCKKS(TEE-based Cheon-Kim-Kim-Song)全同态加密方案实现了对同态加密近百倍的加速，显著提升了密文计算的效率；在密文数据检索方面，构建了多种基于TEE的数据不经意密文索引，单/多关键词检索的响应时间与国际上效率最高的方案相当，支持10亿级别数据的毫秒级响应。

我们的机密计算平台具备三个显著特点。首先，在安全性方面，基于TEE和TPM/TCM的协同信任机制，提供了完整性度量、远程证明、运行时监控和侧信道防护等多重安全防护，从硬件、固件、虚拟机管理程序(Hypervisor Virtualization, HV)、机密虚拟机和机密应用等多个层次保障了平台数据的机密性、完整性和可用性。其次，在性能方面，平台具备高效的TEE密码计算能力、并发证明的低延时以及动态监控的低开销。最后，在兼容性方面，平台不仅兼容国际先进TEE硬件，同时支持国产信创TEE（包括华为、飞腾、海光等国产TEE硬件），相关产品涵盖TEE主板、主机和服务器，这些国产TEE产品为保障我国机密计算供应链的安全以及建立有韧性的机密计算产业生态奠定了基础。

机密计算未来发展展望

机密计算当前已成为新型安全计算技术的发展热点。未来，机密计算将在弹性TEE与弹性机密计算平台、机密计算应用和市场、机密人工智能以及自主可控机密计算技术体系等方面快速推进和发展。

1.构建弹性机密计算平台与协同信任根是未来重要的发展方向。弹性TEE和弹性机密计算构建是未来发展的重要方向。通过构建基于TEE与TPM/TCM协同的硬件信任根，能够为机密计算建立更加坚实的安全基础。安全弹性体现在平台具备抵御和适应各种不利条件、攻击和威胁的能力，从而实现入侵容忍、内生安全、带菌生存以及环境可信。CPU通常以计算性能优先，属于黑盒信任根，而TPM/TCM则更关注安全性，是一种白盒信任根。因此，未来机密计算将结合TEE与TPM/TCM，形成协同信任根架构，为机密计算平台提供更高的安全性和弹性。

2.机密计算应用和市场规模快速增长。在国家网络安全与企业数据隐私合规需求的推动下，机密计算已成为各类数据安全应用重要的支撑关键技术。机密计算是计算与安全融合的必然趋势，也是目前来看最实用的数据使用安全技术。专家预言“未来所有的计算都可能是机密计算”，其市场正迎来迅速扩展的黄金期，根据Fortune Business Insights的报告，预计机密计算全球市场规模将从2024年的141.4亿美元增长至2032年的2080.6亿美元，年均复合增长率高达39.9%。基于这一趋势，机密计算平台未来将广泛应用于机密AI模型保护、联邦学习、多方计算、区块链和机密数据库等领域。

3.机密人工智能成为机密计算的重要技术发展趋势。机密AI可在保障大模型训练和推理过程的安全性的同时，尽可能减少计算性能损失。目前，机密计算与普通明文计算的性能相比，性能损失在5%以内，在机密GPU上，机器学习推理性能损失在3%以内，其训练性能损失较高（40%以上），工业界与学术界正在加速改进这一缺陷。这些改进使基于机密GPU集群的大规模AI模型（如大语言模型）应用成为可能，进一步推动机密AI成为未来机密计算领域潜在的“杀手级应用”。

4. 构建自主可控的机密计算技术体系势不可挡。机密计算技术的自主研发也将为我国构建独立、有韧性的产业生态体系打下重要基础。我国未来将陆续突破一批TEE核心关键技术，涵盖信息技术基础设施建设、技术平台开发及应用落地，打造自主可控的机密计算产业链。以华为鲲鹏TEE、飞腾TEE、海光CSV等国产TEE产品为基础，国内自主机密计算技术特别是在ARM CCA、RISC-V等TEE技术体系中将逐步形成突破。自主研发的机密计算平台也将支持大规模、异构TEE集群构建，部分技术指标已达到国际先进水平，为我国在全球机密计算技术体系中占据一席之地提供了有力支撑。

综上所述，机密计算的未来发展将在多领域、多层面展开，必将在网络空间安全、数据安全与隐私保护中发挥重要作用。

（本文根据CNCC2024特邀报告整理而成）

作者：