数据互联互通是当下数字化时代发展的一个必然趋势，那么如何顺应时代潮流，更好地保障数据安全流通、尽可能减少数据泄露风险呢？在此背景下，隐私计算顺势而生。

隐私计算三大技术路线

隐私计算主要包括三大核心技术，分别是：基于人工智能路线的联邦学习（FL）、基于密码学路线的安全多方计算（MPC）和基于硬件路线的可信执行环境（TEE），三种技术均可以实现数据的“可用不可见”。

三大技术路线各具优劣势，基于密码学的安全多方计算以高安全著称，但这也导致其性能较差，场景实践局限。联邦学习多以联合建模场景为主，相较安全多方计算性能更高，得到更多厂商青睐，但其存在通过梯度反推出原始数据等风险，通常需要与隐私保护技术融合使用。可信执行环境方案，由于数据在其中可以明文计算，性能要高于联邦学习和安全多方计算，可用于性能要求高的场景，适用范围相对更广。

由此可见，可信执行环境方案显著优于联邦学习以及安全多方计算。目前市面上主流的TEE方案分为两类，分别是：虚拟机级别的TEE和进程级别的TEE。这两类方案也有区别，那么哪类方案更优呢？

虚拟机级别的TEE与进程级别的TEE

先来说一说可信执行环境（Trusted Execution Environment）：可信执行环境是一种具有运算和储存功能，能提供安全性和完整性保护的独立处理环境。简单来说，在硬件中为敏感数据单独分配一块隔离的内存，所有敏感数据计算均在该内存中进行，并且除了经过授权的接口外，硬件中的其他部分不能访问这块隔离的内存。

那么进程级别TEE和虚拟机级别的TEE有什么区别呢？ 

进程级别的TEE

通过创建Enclave，用户需要将计算程序改造，拆分出可信代码运行在Enclave中。

虚拟机级别的TEE

可以将程序运行在虚拟机中，不需要大量的代码改造。

基于上述分析，可以看出虚拟机级别的TEE在用户使用便捷性方面，更具优势。

绿盟数据保险箱技术及优势

绿盟数据保险箱使用虚拟机级别TEE技术，具有三大核心优势：

计算效率高

跟联邦学习、安全多方计算等方案相比，绿盟数据保险箱软硬一体架构，性能高、更便捷，适用范围更广泛。在一些大规模数据安全计算和处理场景，绿盟数据保险箱还支持集群化部署，提供更彪悍、更灵活的性能和容量。

国产化支持

绿盟保险箱产品采用基于海光CPU国产化硬件，一方面满足信创的政策要求，另外一方面作为数据共享业务的关键信息基础设施，规避断服断供卡脖子、通过底层硬件设施窃取信息的风险。

应用迁移简单易用

传统的TEE可信执行环境，是基于Enclave的进程级技术，要想让程序运行在Enclave中，需要大量的代码改造。而绿盟数据保险箱是基于国产安全处理器的虚拟机级TEE，用户原有程序可直接容器化导入，程序迁移和使用成本几乎为零。还可以支持分布式存储与主流数据库，磁盘挂载后可使用通用工具导入数据，写入即加密，使用过程对用户完全透明，无学习成本。

绿盟科技基于虚拟机级别的TEE，自主研发的机密计算类数据安全产品：绿盟数据保险箱，可以帮助客户解决数据共享场景下的安全问题，保证数据和应用在存储、处理、传输过程中的机密性和完整性，从而实现数据在开放共享的“可用不可见”。