CVE 补丁快速修复。 应用场景 2： 现网问题临时定位。 应用场景 24 openEuler 22.03 LTS SP2 技术白皮书 特性增强 kunpengsecl 软件包支持平台和 TEE 远程证明 鲲鹏安全库（kunpengsecl）是开发运行在鲲鹏处理器上的基础安全软件组件，先期主要聚焦在远程证明等可信计算 相关领域，使能社区安全开发者。 鲲鹏安全库的每个特性都可以由两大部 可信计算远程证明解决方案，让各种资源管理工具可以根据可信报告制定策略，对各种服务器资源进行差异化的调度和使用。 鲲鹏安全库的远程证明特性目前支持： 1. 基于 TPM 的通用平台远程证明。 2. 对鲲鹏服务器 TEE 的远程证明。 详情请参见项目 readme：https://gitee.com/openeuler/kunpengsecl/blob/master/README.md Apps KunpengSecL F/W ClientAPI RestAPI PrivacyCA Verifier TEE AK Issuer CPU NPU GPU IPU xPU TPM TCM TPCM DICE Chip driver RoT driver TEE driver IMA SELinux Trusted App TEE OS TB Provisioner RA Agent RoT SW stack

Embedded 的弹性虚拟化底座是为了在多核片上系统（SoC, System On Chip）上实现多个操作系统共同运行的 一系列技术的集合，包含了裸金属、嵌入式虚拟化、轻量级容器、LibOS、可信执行环境（TEE）、异构部署等多种实现形态。不 同的形态有各自的特点： 1. 裸金属：基于 openAMP 实现裸金属混合部署方案，支持外设分区管理，性能最好，但隔离性和灵活性较差。目前支持 UniProton/Zephyr/RT-Thread 功能描述 RISC-V 架构 Penglai TEE 支持 蓬莱 TEE 补丁为 RISC-V OpenEuler 操作系统提供了可信执行环境（TEE）的支持，利用 RISC-V 架构下的硬件安全机制（例如： Physical Memory Protection），使能高安全性要求的应用场景：如安全通信、密钥保护、代码鉴权等。 蓬莱 TEE 系统的主要组件包括开发工具 SDK、安全监控器（Secure SDK、安全监控器（Secure monitor）、Enclave 实例以及 PMP 硬件扩展支持。安 全监控器作为蓬莱 TEE 的核心，管理 Enclave 实例的生命周期和资源分配。Enclave 实例运行在用户态 (U-mode)，其内存受到 PMP 的保护。 约束限制： • 当前蓬莱应用只支持 C 或者 C++ 代码。 • 对于 syscall 的支持依赖 secGear 中对 POSIX 接口的转发功能。

可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密 文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代 码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安 全机制。 Mesatee：Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的 可信安全计算服务框架。 架构设计 下图是可信账本的系统架构设计 TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实 现链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计 算功能，此部分代码暂未开源。 重要接口和数据结构 TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient) Submit(method Submit(method string, cipher string) (string, error) Xuperchain // contractSDK // TEE隐私计算接口，供合约调用 bool binary_ops(const std::string op, const Operand &left_op, const Operand &right_op

可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密 文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代 码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安 全机制。 Mesatee：Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的 可信安全计算服务框架。 架构设计 下图是可信账本的系统架构设计 TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实 现链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计 算功能，此部分代码暂未开源。 重要接口和数据结构 TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient) Submit(method Submit(method string, cipher string) (string, error) Xuperchain // contractSDK // TEE隐私计算接口，供合约调用 bool binary_ops(const std::string op, const Operand &left_op, const Operand &right_op

可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密 文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代 码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安 全机制。 Mesatee：Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的 可信安全计算服务框架。 架构设计 下图是可信账本的系统架构设计 TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实 现链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计 算功能，此部分代码暂未开源。 重要接口和数据结构 TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient) Submit(method Submit(method string, cipher string) (string, error) Xuperchain // contractSDK // TEE隐私计算接口，供合约调用 bool binary_ops(const std::string op, const Operand &left_op, const Operand &right_op

可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密 文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代 码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安 全机制。 Mesatee：Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的 可信安全计算服务框架。 架构设计 下图是可信账本的系统架构设计 TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实 现链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计 算功能，此部分代码暂未开源。 重要接口和数据结构 TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient) Submit(method Submit(method string, cipher string) (string, error) Xuperchain // contractSDK // TEE隐私计算接口，供合约调用 bool binary_ops(const std::string op, const Operand &left_op, const Operand &right_op

enclave. It provides a hardware-based trusted execution environment (TEE) for software that processes sensitive data. Content in the TEE is inaccessible to requests from common environments. Intel Software Software Guard Extensions (SGX) for x86 servers allocates some main memory to the TEE, encrypts the TEE memory, and decrypts the memory when the CPU loads the memory. In this case, sensitive data remains Provides POSIX-like interfaces for TEE application development to achieve consistent programming experience in the REE. • Supports data encryption and persistence in the TEE and supports local and remote

Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、DevSec 数据的安全生命周期返程三种不同状态：存储中、传输中、使用中，但 是对第三种场景，一直以来缺少保护手段。通过加密技术建立的可信运 行环境TEE（比如IntelSGX，蚂蚁的KubeTEE等）可以保护运行中的数据和 代码，完成了安全闭环。 依赖于硬件和更高阶密码学，可以彻底阻断物理 设备以及软件的攻击，是高级的安全保障技术。 TEE是运行态主动防护的高级手段，对高安全生产 环境建议使用。 成本较高，所以要视业务场景要求取舍。 Mesh零信任 所以云原生数据的安全是要实现“可用但不可见”的能力。 • 可信执行环境（TEE)采用Intel SGX技术实现的密文数据上的计算操作，TEE 中的内存是受保护的，用户查询语句在客户端应用加密后发送给云数据库， 云数据库执行检索操作时进入TEE环境，拿到的结果是密文状态，然后返 回给客户端，数据面从传输、计算到存储全链条都是处于加密的，只有可 信执行环境内才进行明文计算。 • SSL+TDE+TEE=E2E云原生数据库安全方案。 RDMA

i32) (local i32 i32) call 1 3 4 5 6 7 8 9 10 11 12 13 14 15 16 local.tee 0 call 1 local.tee 1 i32.lt_s if ;; label = @1 local.get 0 i32.const 1 i32.add 可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密 文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代 码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安全 机制。 Mesatee：Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的可 3. 架构设计 下图是可信账本的系统架构设计 TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实现 链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计算 功能，此部分代码暂未开源。 19.4. 重要接口和数据结构 19.4.1. TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient) Submit(method

i32) (local i32 i32) call 1 3 4 5 6 7 8 9 10 11 12 13 14 15 16 local.tee 0 call 1 local.tee 1 i32.lt_s if ;; label = @1 local.get 0 i32.const 1 i32.add 可信账本：基于百度超级链和Mesatee技术，支持合约数据加密存储及链上密 文运算等功能。 TEE：可信执行环境(TEE)是CPU的安全区域，它可以保护在其内部加载的代 码和数据的机密性与完整性。 SGX：Software Guard Extensions(SGX)是Intel推出的基于Intel CPU的硬件安全 机制。 Mesatee：Memory Safe TEE(Mesatee)是百度基于Intel SGX设计的内存安全的可 3. 架构设计 下图是可信账本的系统架构设计 TEESDK是与TEE服务请求的入口，将编译为动态链接库被超级链调用，实现 链上的隐私计算。 可信账本目前支持数据加密存储、数据权限管理、秘钥托管和基本的密文计算 功能，此部分代码暂未开源。 19.4. 重要接口和数据结构 19.4.1. TEESDK // 提交任务到TEE服务，返回计算结果 func (s *TEEClient) Submit(method