简介

简要介绍

密态计算加速库（Kunpeng Cryptographic-computing Acceleration Library，以下简称KCAL）作为数据安全套件（DataGuard）的组件特性，是华为自研的加速库，通过DataGuard设置KCAL所需的配置信息，且通过DataGuard调用KCAL的接口实现多方计算的能力。密态计算组件具有以下特点：

• 原始数据不出域：通过安全多方计算协议，保证计算过程中用户的原始数据不会发送出计算安全域。
• 算子“加速”能力：KCAL组件依托TEE可信执行环境的安全假设设计高效的安全多方计算协议，相比基于传统密码学的安全多方计算协议，KCAL组件执行算子速度更快。

原理介绍

图1 密态计算加速库KCAL部署流程

1. ISV伙伴或客户构建包含密态加速库的cVM镜像和机密容器（本版本仅支持机密虚拟机），并发布镜像基线支撑后续远程证明验证镜像的完整性。
2. 计算参与方（最终用户）申请cVM镜像的计算资源，可信第三方或者平台方启动cVM虚拟机实例。
3. 各个计算参与方启动cVM。
   1. 进行远程验证：可信第三方或者平台方通过远程证明验证机密计算环境、cVM镜像的完整性。
   2. 协商密钥：各个参与方基于标准安全通信协议（如TLS）协商会话密钥、或利用通过证明报告获取的对端公钥通过标准安全通信协议协商会话密钥。
   3. 协商随机种子：cVM之间协商密码学安全的共享随机种子seed。
   4. 派生安全伪随机数：cVM基于共享随机种子派生安全伪随机数。
   5. 执行MPC协议：cVM基于输入分片和伪随机数计算输出分片。
   6. 用户解压缩zip文件可获取RPM安装包。
      

      计算参与方无任何权限直接控制机密计算环境内部资源，以保证KCAL的整体安全性。