《A类赛题手册》下载地址：https://www.fwwb.org.cn/news/show/598

1.命题方向

智能计算

2.题目类别

计算类

3.题目名称

基于机密容器的高价值数据可信协同计算平台关键模块

4.背景说明

【整体背景】

在数字经济深度融入国民经济各领域的当下，数据要素已成为驱动高质量发展的核心引擎。国家高度重视数据要素市场建设，党的二十大报告及《“十四五”数字化转型规划》均强调要加快发展数字经济。为将这一战略部署落到实处，进一步打通数据要素流通与应用的关键环节，国家于2024年12月印发了《可信数据空间发展行动计划（2024—2028年）》，进一步明确了制造业、金融、医疗等重点领域作为建设优先试点方向。

当前，虽然各行业数据资源规模持续扩大，但普遍面临数据孤岛突出、安全合规风险高、价值挖掘深度不足等共性难题。特别是在气象预测（涉及国家地理安全）、医保结算（涉及公民隐私病历）及智能制造（涉及核心工艺参数）等高价值数据领域，数据流通面临着“安全与效率”的双重挑战。传统的“脱敏后开放”往往导致数据维度缺失，算法模型无法捕捉细微规律，导致数据价值大幅折损。而“明文计算”则面临宿主机管理员、非法进程以及算力平台方窃取核心算法或数据的多重风险。

在此背景下，机密计算（Confidential Computing）结合信创底层硬件技术，通过TEE（可信执行环境）实现运行态数据隔离，已成为构建“可信数据空间”的关键基石，是实现数据“可用不可见、可控可计量”的核心路径，对于支撑全国一体化数据要素市场建设具有重大的战略意义。

【公司背景】

浪潮云洲是浪潮集团旗下专注于工业互联网领域的重点产业单位，定位于工业互联网基础设施建设商、制造业智能化转型综合服务商、工业互联网平台运营商。公司承建了国家多个工业互联网标识解析二级节点，其打造的浪潮云洲工业互联网平台已连续六年入选国家级跨行业跨领域（“双跨”）平台，并获评工信部最高等级“A级”评价，市场地位与发展能力稳居国内领导者象限。

浪潮云洲深耕制造业数字化转型，创新性地提出了赋能转型“工”字模式：以数据为生产要素，构建工业数字基础设施；依托物联网、数字孪生等技术，点对点突破生产智能化专业模型；通过订单拉动、数据聚集和使用，赋能产业链供应链协同，全面强化“双链”韧性与安全，实现社会资源灵活配置。

在技术研发领域，公司推出了已通过国家网信办“双备案”的工业大模型——“知业大模型”，并深度融合机密计算、区块链与可信数据空间等前沿技术，构建覆盖数据采集、治理、流通到应用的全链路安全能力，为制造业、医保、气象等高价值数据场景提供坚实的技术支撑。

【业务背景】

在推进工业数字基础设施建设与赋能各行业数字化转型的过程中，公司深刻认识到高价值数据安全流通的重要性，传统的安全手段难以平衡数据利用与隐私保护。为此，公司正积极布局以机密计算为核心的数据安全流通技术。本命题旨在结合公司在可信数据空间的实践积累，引导团队基于国产信创硬件构建机密计算原型系统，解决高值数据协同计算中的安全与性能矛盾，为真实生产环境下的可信空间建设提供技术验证与创新示范。

5.项目说明

【问题说明】

在当前数据驱动经济发展的背景下，促进数据要素的安全、高效跨域流通是释放数据价值的关键。目前，数据要素在跨域流转中存在以下核心痛点：

（一）运行态安全防护缺失。传统数据安全技术主要聚焦于存储态（加密）和传输态（协议保护），但对数据在使用态（即内存计算时）的防护相对薄弱。此时数据通常以明文形式存在，极易遭受宿主机操作系统、Hypervisor甚至云平台运维人员的非法窃取或恶意篡改。

（二）远程信任链难以闭环。即便底层具备TEE（可信执行环境）硬件环境，数据提供方在交付高价值数据前，仍缺乏一种标准化的自动化验证机制。如何确保远端算力平台确实运行在真实、完整且未经篡改的受信环境之中，并实现密钥与敏感数据的安全定向注入，是构建“可信数据空间”的首要障碍。

（三）信创生态适配存在瓶颈。国际主流的机密计算框架在生态上往往优先适配国际通用的CPU架构。对于国产信创CPU平台，缺乏适配验证。在国产化环境中部署密态训练任务时，可能面临基础算法库缺失、硬件特性利用不充分、虚拟化支持不完善等问题，这为在自主可控技术体系下规模化应用机密计算带来了障碍。

（四）计算效率与开发门槛双高。在TEE等密态环境下执行计算，由于涉及内存加密解密、额外的安全检查以及环境切换等操作，通常会引入一定的性能开销。同时，开发者往往需要处理复杂的密钥注入和解密逻辑，无法像在普通容器中那样专注于业务逻辑。

【用户期望】

利用机密计算、国产信创硬件等前沿技术，在保障高价值数据安全的前提下，充分挖掘多方数据要素的协同计算潜力。期望参赛团队能够交付一套具备高度安全性、卓越性能及良好易用性的基于机密容器的可信协同计算平台原型，展示其在真实生产场景中的战略价值：

（1）构建基于标准框架的自动化度量与信任闭环：参考GB/T 45230-2025标准，构建一套从硬件底座到应用逻辑的完整信任体系，涵盖隔离计算、安全启动、度量报告、远程证明及安全信道。

（2）密态环境下释放高性能计算能力：打破“安全即低效”的技术魔咒，通过提供完备的密码应用与数据保护服务，形成贯穿全生命周期的密态训练服务流水线，使AI模型训练在硬件隔离环境中依然保持高效运行。

（3）机密计算任务调度与可视化管控：开发面向可信数据空间的机密计算轻量化管理平台，为管理人员提供一套极简的管控工具。平台支持对TEE资源进行统一的生命周期管理，包括TEE资源编排、扩容缩容，资源监控、销毁释放等功能。同时，应建立严密的机密性审计跟踪机制，完整记录数据访问与计算权限的变更。

（4）典型业务场景的端到端安全验证：针对气象、医保、工业等领域高价值数据协同场景，提供完整的基于机密计算的解决方案，完成从数据加密加载、远程证明、密态计算到结果输出的全流程端到端技术验证。

6.任务要求

【开发说明】

参赛团队需基于国产信创硬件环境，设计并实现一个基于机密容器的协同计算平台。程序应面向至少1个具体的高价值数据协同场景（如智能制造工艺优化、医保商保快速理赔、气象数据联合预报等），充分考虑该场景下数据安全与性能效率的双重挑战。程序应具备良好的可操作性与部署便捷性，便于在国产信创硬件环境上部署和验证。选择以下三个机密计算系统方向中任一项或多项关键模块进行设计开发：

（1）可信环境构建与自动化验证

基于国产机密计算架构，设计并实现可信环境构建与自动化验证子系统。该模块需实现机密计算环境的创建、管理与销毁逻辑以及度量证据（Evidence）采集。实现远程证明（Attestation）服务，在机密容器启动前自动完成底层TEE可信性与镜像完整性的验证，并建立基于证明报告的安全通信信道。

（2）密态训练流水线支撑服务

在机密容器内部构建密态训练支撑服务，旨在解决密态计算效率损耗与开发复杂性难题。通过标准化的API屏蔽底层复杂的TEE操作与加解密逻辑，实现“安全即服务”，提供从任务创建、加密数据上传、隔离训练到结果加密导出功能。同时，封装常用的AI算法（如逻辑回归、XGBoost），使开发者能通过简单API调用实现密态计算流水线。

（3）机密计算任务调度与全生命周期审计

设计并实现一个轻量化的管理平台原型，能够对集群中的机密容器进行自动化部署与生命周期编排。功能需包括对TEE内部资源消耗的实时监控，并建立针对数据授权、密钥调用及环境验证行为的安全审计流水线。平台应提供友好的可视化界面，能够清晰、直观地展示任务的执行状态、资源消耗以及关键的安全事件日志。

【技术要求与指标】

环境兼容性：开发的程序及Demo需支持运行在国产信创CPU（如海光CSV）对应的TEE环境下，适配国产操作系统及机密容器运行时环境。

安全性指标：必须实现物理内存硬件级加密与隔离，原始数据与密钥在TEE环境外必须保持密态。系统需通过模拟攻击测试，证明能有效抵御来自宿主机侧的内存嗅探或冷启动攻击。

计算损耗比：在相同算力条件下，通过优化流水线与中间件，使机密容器环境下的密态计算效率相比明文环境的损耗控制在20%以内。

接口与规范：提供不少于8个标准化的API接口，支持异步调用模式，并提供完整的接口说明文档与开发手册。

业务真实性：演示Demo需包含完整的业务闭环，测试数据集应不少于2000个样本（如2000条医疗诊断记录或工业传感器参数），且业务逻辑处理结果的准确率应与明文计算保持一致。

【提交材料】

（1）项目概要介绍;

（2）项目简介PPT;

（3）项目详细方案;

（4）项目演示视频;

（5）企业要求提交的材料：

① 项目概要介绍（简述技术路线、创新点及适用的信创底座）；

② 项目简介PPT（重点聚焦技术方案，包含系统架构图、信任链流程图及业务演示逻辑）；

③ 项目详细方案（包含需求分析、系统详细架构图、安全保障机制说明及性能优化策略）；

④ 项目演示视频（展示机密容器部署、远程证明触发、密钥安全注入及密态计算运行的全过程）；

⑤ 机密容器配置文件及容器镜像；

o机密容器配置文件及容器镜像；

p 性能对比分析报告：提供密态环境与明文环境下相同计算任务的性能损耗对比数据；

q关键模块的概要设计和创新要点说明文档；

r可运行的Demo实现程序及部署手册；

（6）团队自愿提交的其他补充材料。

【任务清单】

为更好地完成本命题，建议参赛者可提前了解可信执行环境、容器虚拟化（如Docker）、简单密码学（加密/解密）以及常见AI算法（如逻辑回归）等基础知识。具体任务包括：

（1）调研信创硬件（海光/鲲鹏）的TEE技术特性及机密容器开源生态。

（2）针对选定的场景（气象/医保/工业）完成数据处理与计算任务流的需求分析。

（3）设计算法与关键模块的架构；

（4）编码开发与功能实现；

（5）测试验证主要功能和创新成果；

（6）探索应用场景落地。

【开发工具与数据接口】

开发工具：不限，可以借助开源工具。工具链开发语言不限于C/C++、Go、Python、Rust等，可借助开源框架（如Occlum、Kata Containers）。

开发平台：推荐使用支持国产TEE的Linux发行版。

接口规范：业务流程设计合理，程序可正常运行。API需具备完善的技术说明，确保各模块间调用的安全性和一致性，数据与功能API设计需尽量符合GB/T 45230—2025《数据安全技术机密计算通用框架》标准要求。

运行规范：程序需能正常运行在国产TEE平台上，不限制具体硬件型号。

7.其他

如果有具体的企业应用案例或在实际信创环境中经过测试验证，在不涉及知识产权泄密的情况下，建议提供相关的测试报告或试用证明文档。

8.参考信息

参考标准：GB/T 45230—2025 《数据安全技术 机密计算通用框架》，TC609-6-2025-01 《可信数据空间 技术架构》，TC609-6-2025-15 《可信数据空间 使用控制技术要求》。

测试数据：公司提供脱敏后的测试数据（约2000条样本），用于参赛团队进行算法功能验证。

原型系统：提供国产TEE环境的基础依赖安装脚本、详细部署手册、预配置标准镜像以及关键模块的示例代码与配置。

9.评分要点

赛题评分要点见附件一：A类企业命题初赛统一评分标准。