简介
机密计算是一种基于可信硬件、保护数据处理安全的技术,对应的ARM架构处理器应用的是TrustZone、CCA技术。
传统TrustZone可信执行环境仅面向终端设备,TA应用必须经过终端设备厂商认证后才可以在TEE(Trusted Execution Environment,可信执行环境)OS侧运行,不支持通用计算场景。CCA套件则是基于虚拟机的下一代机密计算技术,能够兼容已有的应用生态,并将机密计算的载体从应用层扩展到操作系统层。本文主要介绍了基于鲲鹏950新型号处理器的机密计算CCA套件的软件架构和特性规格约束,以及搭建CCA套件环境和使用机密虚拟机的方法。
特性名称 |
特性介绍 |
适用场景 |
|---|---|---|
远程证明 |
可向用户证明机密虚拟机和机密计算平台的可信程度,包括:
|
机密云主机、数据保险柜、可信数据空间 |
机密设备直通 |
支持PCIe设备切换到机密计算运行环境,且支持设备直通机密虚拟机内实现数据链路全保护。 |
AI数据模型保护、机密云主机、数据保险柜 |
国密加速 |
机密虚拟机内使能鲲鹏处理器KAE加速器能力,提供国密加速性能提升以及算法卸载能力。 |
数据保险柜、密态计算 |
UEFI启动 |
机密虚拟机支持UEFI启动。 |
通用能力 |
内存大页 |
机密虚拟机支持使能内存大页映射以提升虚拟机运行时性能。 |
性能优化手段 |
父主题: 特性描述