立体密算：重构数据流通安全底座的中国方案

【摘要】立体密算通过内生安全架构，将安全能力融入算力底层，破解数据流通中的安全与性能困境，为数据要素市场化和AI时代构建可信基石。

InterGPT

401人浏览 · 2025-11-29 13:23:25

InterGPT · 2025-11-29 13:23:25 发布

【摘要】立体密算通过内生安全架构，将安全能力融入算力底层，破解数据流通中的安全与性能困境，为数据要素市场化和AI时代构建可信基石。

引言

数据要素化浪潮已至，但其规模化流通始终面临一道无形壁垒——信任。跨主体数据协作的价值潜力巨大，可数据泄露、滥用与权责不清的风险同样巨大。传统的安全防护思路，无论是边界防火墙还是应用层加密，都像是为高速流动的数据流穿上笨重的“补丁式”铠甲。这种外挂式的安全，在面对复杂、动态、高价值的数据协同场景时，不仅防护效果碎片化，更严重拖累了性能，导致业务方在安全与效率之间艰难取舍。

行业需要一次安全范式的根本性变革。安全不应是计算任务的外部约束或事后补救，而应成为计算体系与生俱来的内生属性。基于此，一个体系化的安全计算架构——立体密算，应运而生。它并非某项单一技术的迭代，而是将自主可控的硬件、国密算法与系统级可信技术深度融合，旨在从根本上重构数据流通的安全底座。这套方案试图回答一个核心问题：如何让安全像水和电一样，成为算力基础设施中原生、高效且普惠的一部分。

🛡️ 一、安全范式跃迁：从“补丁式安全”到“内生安全体系”

数字时代的安全建设，长期遵循着一种“防御工事”逻辑。我们在网络边界部署防火墙，在主机上安装杀毒软件，在数据库外层加上访问控制。这种模式在应对外部攻击时有其价值，但面对数据要素流通这一新命题时，其局限性暴露无遗。

1.1 传统“补丁式安全”的困境

“补丁式安全”的核心思想是外部附加与被动响应。它假定核心计算环境是“不设防”的，通过层层叠加的安全产品来弥补漏洞、加固边界。

1.1.1 防护的碎片化与滞后性

在跨机构数据合作中，数据流经多个计算、存储和网络环境，每个环境的安全策略、技术栈各不相同。传统安全方案只能在各自的“一亩三分地”上进行单点加固。这种碎片化的防护导致整体安全水位取决于最短的那块木板。攻击者往往能利用不同安全域之间的信任缝隙，实现横向渗透。同时，这种模式是被动驱动的，通常在漏洞被发现或攻击发生后才进行响应，存在天然的滞后性。

1.1.2 信任的脆弱性与不可证明

跨主体协作的基石是信任，但传统安全模型下的信任链条非常脆弱。它高度依赖于对数据所处环境（操作系统、虚拟机管理器）以及运维人员的信任。一旦底层平台或管理员权限被攻破，上层的加密、隔离措施便形同虚设。更重要的是，这种信任通常是基于制度和流程的“假定信任”，而非技术上可度量、可证明的“计算信任”。数据提供方无法获得强有力的技术证据，来证明其数据在使用过程中严格遵守了约定。

1.1.3 高昂的集成与运维成本

堆叠式的安全产品带来了复杂的集成与管理难题。不同厂商的安全设备需要适配，策略需要协同，日志需要统一分析。这不仅增加了前期的采购和集成成本，更在后期运维中消耗大量人力。安全团队疲于奔命地应对海量告警，而业务团队则抱怨安全流程拖慢了开发和上线速度。

1.2 “内生安全体系”的核心理念

立体密算所倡导的“内生安全”，是对传统模式的颠覆。它不再将安全视为外部的附加物，而是将其植入计算体系的基因之中，让安全能力成为算力与生俱来的属性。

1.2.1 安全能力的“原生化”

内生安全的核心是将安全能力下沉，深度融入底层硬件与操作系统。

芯片层：安全能力始于芯片。通过在CPU内部集成安全指令集、密码运算加速引擎和可信根，安全不再是软件层面的模拟，而是硬件原生的功能。这从源头上保证了安全运算的高效与隔离。
系统层：操作系统和虚拟化层内置可信度量、身份认证和加密机制。无论是创建一个虚拟机、一个容器，还是启动一个进程，系统都会自动为其配置相应的安全策略和加密环境，安全能力随计算任务“按需分配”。

这种模式下，安全不再是需要额外购买和部署的“应用”，而是计算环境自带的“操作系统功能”。

1.2.2 防护的“体系化”与“主动性”

内生安全构建了一个从硬件可信根到上层应用的全栈信任链。

这个信任链确保了计算环境的每一步都是可度量和可验证的。系统能够主动识别并隔离异常或被篡改的组件，实现“主动免疫”，而非等待攻击发生后的被动清理。安全策略贯穿数据全生命周期，形成一个闭环的、体系化的防护空间。

1.2.3 信任的“可证明”与“自动化”

内生安全用技术度量取代了流程假定。数据所有者可以通过远程证明（Remote Attestation）机制，以密码学方式验证其数据所在的计算环境是否真实、完整、未被篡改。这种可证明的计算信任，为跨机构数据合作提供了坚实的数学基础。同时，安全策略的执行、审计日志的生成都高度自动化，大幅降低了人为干预的风险和运维管理的复杂度。

🛡️ 二、技术解构：立体密算与相关概念的辨析

要理解立体密算的本质，必须厘清它与当前主流的隐私计算、机密计算、可信计算等技术概念的关系。它们并非相互替代，而是处在不同层次、解决不同问题的技术组件。立体密算的核心价值在于将这些技术进行体系化融合与工程化落地。

2.1 主流数据安全技术剖析

我们首先对几个核心概念进行简要剖析，下表清晰地展示了它们的区别与联系。

技术概念	核心目标	关键技术/方法	主要应用场景	局限性
可信计算 (Trusted Computing)	保证计算平台行为的可预测性和一致性	可信平台模块 (TPM/TCM)、可信启动链、远程证明	操作系统安全启动、平台身份认证、关键系统完整性保护	主要保证平台自身的完整性，不直接保护上层数据的机密性
机密计算 (Confidential Computing)	保护使用中 (In-Use) 的数据	可信执行环境 (TEE)，如 Intel SGX, AMD SEV	在不可信的云环境中运行敏感计算任务，如AI推理、区块链节点	强依赖特定硬件支持，存在侧信道攻击风险，生态尚不成熟
隐私计算 (Privacy Computing)	实现数据“可用不可见”，保护数据隐私	联邦学习 (FL)、安全多方计算 (MPC)、同态加密 (HE)	多方联合风控、联合科研、联合营销	技术方案多样，性能开销大，适用场景受限，无法防止底层平台攻击

2.1.1 可信计算：信任的起点

可信计算是构建一切安全体系的基石。它通过硬件安全模块（如TPM）建立一个信任根，从设备加电开始，逐层度量和验证启动加载的每一个软件组件（BIOS、Bootloader、OS Kernel）。由此形成一条信任链，确保整个计算平台处于一个已知的、正确的状态。它的核心是完整性，即“你运行的是你认为你应该运行的东西”。

2.1.2 机密计算：为“运行”加密

传统数据安全主要关注静态（At-Rest）和传输中（In-Transit）的数据加密。但当数据被加载到内存进行计算时，通常是明文状态，这给了恶意操作系统或云服务商窃取数据的机会。机密计算通过TEE技术，利用CPU的特殊功能在内存中创建一个硬件加密和隔离的“安全飞地”。进入这块飞地的数据和代码，即使是最高权限的操作系统也无法窥探和篡改。它解决了使用中数据的安全问题。

2.1.3 隐私计算：算法层面的“黑箱”

隐私计算则更多从密码学和算法层面入手。它不依赖特定的硬件环境，而是通过精巧的算法设计，允许多个参与方在不暴露各自原始数据的情况下，协同完成某项计算任务。例如，联邦学习让模型参数在各方之间流动而非原始数据；安全多方计算则通过复杂的协议交换加密信息来计算最终结果。它的核心是算法层面的隐私保护。

2.2 立体密算：从技术孤岛到立体安全空间

上述技术各自解决了特定环节的安全问题，但在实际应用中，它们往往像一个个技术孤岛，无法形成合力。

单纯的可信计算无法保护运行中的数据机密性。
单纯的机密计算无法防止恶意代码被加载进TEE。
单纯的隐私计算无法抵御来自底层平台的攻击。

立体密算的角色，正是一个系统集成者和工程优化者。它并非发明一个全新的技术，而是将这些最前沿的技术组件，以一种体系化的方式深度融合，并根植于自主可控的基座之上，形成一个覆盖全链路的“立体安全空间”。

2.2.1 融合之道：三位一体的架构

立体密算的技术内核可以概括为“三位一体”的深度融合。

国产芯片 (信任根)：以海光、飞腾等国产自主可控CPU为信任根基。这不仅是供应链安全的考量，更是将安全架构的起点牢牢掌握在自己手中。国产芯片提供的硬件级可信与加密能力，是整个体系的磐石。
国密算法 (加密核心)：全面采用SM2/3/4/9等国家商用密码算法体系。通过将国密算法硬件化，固化到芯片的密码加速引擎中，实现了远超软件加密的性能，为全链路密态化提供了效率保障。
可信计算 3.0 (度量与验证)：融合了可信计算的理念，构建从芯片到应用的全栈信任度量链。它确保了加载到机密计算环境中的每一个组件都是可信的，弥补了单纯机密计算的短板。

2.2.2 工程化实现：统一的密态环境

通过上述融合，立体密算将分散的技术抽象为一套统一的工程体系，为上层应用提供了一个全链路密态运行环境。

在这个环境中，开发者无需关心底层复杂的密码学实现和硬件细节。他们只需通过简单的API调用，就能将其应用和数据部署在受保护的密态空间内。无论是计算、存储还是网络传输，数据始终处于加密和受控状态。这极大地降低了安全技术的应用门槛，使得高等级安全能力能够赋能更广泛的业务场景。

🛡️ 三、核心机制：构建“可用不可见”的密态流通环境

立体密算的核心目标，是在数据全生命周期内实现“始终加密、全程可控”，从而构建一个真正“可用不可见”的数据流通环境。这意味着数据从离开其所有者的那一刻起，直到销毁，都将以密文形态存在，任何未经授权的实体都无法触及其明文内容。

3.1 数据全生命周期的密态化

传统的数据保护往往只关注“静态”和“传输”两个环节，立体密算则将保护范围扩展到了包括“计算”在内的所有环节。

3.1.1 密态采集与注入

数据的安全旅程始于源头。在数据采集端（如物联网设备、业务服务器），通过轻量级的“立体密电箱”或SDK，数据在生成后立即使用设备唯一的密钥进行加密和签名，然后才被发送出去。这确保了数据在离开源头之前就已进入密态，防止了在采集和上传过程中的泄露。

3.1.2 密态存储

数据进入平台后，存储在加密文件系统或加密数据库中。与传统的磁盘加密不同，立体密算的密态存储实现了更细粒度的保护。

密钥隔离：每个租户、每个应用甚至每个数据对象都可以拥有独立的加密密钥。密钥由硬件安全模块（HSM）或基于TEE的密钥管理服务（KMS）进行管理，应用在需要时向KMS申请临时密钥，用后即焚。
访问控制与密钥策略绑定：数据的访问权限与密钥的解密权限严格绑定。只有通过身份认证和策略校验的用户，才能获得解密特定数据所需的密钥。

3.1.3 密态传输

在平台内部各组件之间，以及平台与外部用户之间的数据传输，全部采用基于国密算法的TLS/IPSec等协议进行加密。这构建了一个安全的网络通道，防止数据在传输过程中被窃听或篡改。

3.1.4 密态计算

这是最核心也是最具挑战的一环。立体密算通过可信执行环境（TEE）技术，为计算任务创建了一个与宿主操作系统完全隔离的硬件加密空间。

密态计算工作流程如下：

环境验证：应用在启动前，首先通过远程证明机制，向数据所有者证明其运行环境（TEE）是真实、可信且未被篡改的。
密钥协商：验证通过后，数据所有者的密钥管理系统才会与TEE内部的应用建立一个安全的加密通道，并将数据解密密钥安全地分发给它。
密文输入，明文计算：加密的数据被送入TEE。在TEE这个“黑箱”内部，数据被解密成明文进行高效计算。关键在于，这个解密和计算过程全程在CPU硬件的保护之下，外部的操作系统、云管理员等都无法访问这块内存区域。
密文输出：计算完成后，结果被重新加密，然后才离开TEE。

通过这个流程，实现了数据仅在绝对安全的“保险箱”内才被解密，其余时间全程以密文形态存在。

3.2 全程可控与可审计

“可用不可见”的另一面是“可控可计量”。立体密算通过统一的策略引擎和审计日志，确保数据的使用过程全程留痕、可追溯。

3.2.1 基于策略的精细化访问控制

数据所有者可以定义非常精细的数据使用策略，例如：

身份策略：只允许来自特定机构的、具有特定角色的应用访问。
行为策略：只允许对数据执行指定的计算操作（如求和、均值），禁止其他操作（如直接读取）。
环境策略：只允许在通过特定版本安全验证的TEE环境中运行。
时间/次数策略：只允许在特定时间段内访问，或总共访问不超过N次。

这些策略在数据被访问的每一个环节都会被强制执行。

3.2.2 不可篡改的审计日志

所有对数据的访问请求、策略判定结果、计算过程等关键操作，都会被记录在受硬件保护的、不可篡改的审计日志中。这份日志本身也经过加密和签名，可以作为事后追责和合规审查的强证据。数据所有者可以随时审计其数据的使用情况，确保所有操作都符合约定。

通过全生命周期密态化与全程可控可审计两大机制的结合，立体密算为跨机构数据流通构建了一个技术信任的闭环。参与方无需再依赖于对彼此的制度信任，而是可以基于可验证的技术保障，放心地共享数据价值，而不必担心原始数据的泄露。

🛡️ 四、性能与成本重塑：从“安全负债”到“价值放大器”

在企业IT决策者的传统认知中，安全投入往往被视为一种“必要之恶”——它不直接产生业务价值，却会消耗预算、拖累性能，是一种“安全负债”。尤其是密码技术的应用，长期以来都与“昂贵”和“缓慢”两个标签深度绑定。立体密算体系的一个核心突破，就在于挑战并重塑了这种认知，致力于将安全从成本负担转变为价值放大的驱动力。

4.1 破解“安全-性能”二元对立的魔咒

传统加密方案之所以慢，主要源于其实现方式。

软件加密的性能瓶颈：大部分加密操作由通用CPU通过软件算法执行，这会抢占本应用于业务计算的CPU周期，导致应用性能显著下降。
专用密码机的I/O瓶颈：为提升性能，一些方案采用外部的专用密码机或加密卡。但这又引入了新的瓶颈——数据需要在CPU和密码机之间来回传输，网络I/O和总线带宽成为性能的掣肘，尤其是在高并发场景下。

立体密算通过一系列技术创新，从根本上改变了这种局面。

4.1.1 国密算法硬件化：把加密变成CPU的“本能”

这是性能提升的关键。立体密算所依赖的国产CPU，在设计之初就内置了针对国密SM2/3/4等算法的专用硬件加速指令集和密码运算单元。

指令集加速：当应用需要进行加解密时，不再是调用一个复杂的软件函数库，而是直接执行一条或几条CPU硬件指令。这就像让CPU学会了说“密码学语言”，执行效率相比软件模拟有数量级的提升。
片上协同：密码运算单元与CPU核心、缓存等紧密集成在同一块芯片上，数据无需离开CPU进行长途跋涉，极大地降低了延迟和总线争用。

通过硬件化，加密操作的性能开销被大幅压缩，使其对业务计算的性能影响降至最低。根据曙光云的实践数据，通过这种方式，整体性能损耗可以降至传统软件加密方案的1/3以下。

4.1.2 系统级优化：让安全与计算并行

除了硬件加速，立体密算还在系统层面进行了深度优化，确保安全操作不会阻塞业务流程。

异步加密：对于非实时性要求的数据加密任务（如后台数据落盘），系统会将其放入一个异步队列，由专门的线程或核心在系统负载较低时处理，避免在业务高峰期争抢资源。
分层缓存：频繁使用的密钥和加密上下文被缓存在靠近CPU的高速缓存中，减少了对慢速的密钥管理系统（KMS）的重复请求。
流水线I/O：在数据读写流程中，将解密/加密操作与磁盘I/O操作设计成流水线模式，使得两者可以并行处理，从而掩盖了部分密码运算的延迟。

这些系统级的优化，使得在某些I/O密集型或高并发场景下，启用立体密算后的整体系统吞吐量和并发处理能力甚至可能不降反升。因为它通过更高效的资源调度，优化了原有的瓶颈。

4.2 推动高等级安全能力的普惠化

传统上，要实现高等级的数据安全，企业需要采购昂贵的专用密码机、硬件安全模块（HSM）以及专业的安全软件，这对于许多中小企业或预算有限的项目而言是难以承受的。

4.2.1 降低硬件成本

立体密算的核心理念是充分利用通用CPU内生的安全能力。由于安全功能已集成在CPU中，企业无需再为大部分加密和密钥保护场景额外购买昂贵的专用硬件。这直接大幅降低了安全建设的初始资本支出（CAPEX）。安全能力从一种需要额外采购的“奢侈品”，变成了计算服务器的“标配功能”。

4.2.2 降低运维成本

统一的、内生的安全架构也极大地简化了运维管理。

统一管理界面：安全策略的配置、监控和审计都集成在统一的云管平台或系统管理工具中，运维人员无需学习和维护多套异构的安全产品。
自动化运维：密钥轮转、证书更新、安全审计等繁琐工作都可以实现自动化，减少了人为操作失误的风险，降低了运营支出（OPEX）。

某地公安信息化项目的实践就是一个典型例子。在启用立体密算相关技术后，不仅系统任务并发性能提升，安全审计周期也大幅缩短，整体总拥有成本（TCO）显著下降。在当前企业IT预算普遍收紧的背景下，这种成本效益的优势尤为突出。

4.3 算力与安全一体化：重塑产业协作模式

立体密算的推广，还在深层次上改变了算力提供商与安全厂商之间的关系。过去，两者往往处于一种“预算博弈”的状态，客户的总预算有限，投入算力多了，安全预算就少了，反之亦然。

现在，安全能力被深度整合为算力的一部分。客户购买算力时，就天然获得了与之匹配的内生安全能力。这促使产业协作模式发生转变。

算力厂商：不再仅仅是提供裸金属或虚拟机的“资源贩卖者”，而是成为提供“可信算力”的“价值服务商”。安全成为其算力产品的核心差异化竞争力。
安全厂商：角色从提供通用型、外挂式的安全产品，转向提供更专业的、与业务场景深度结合的上层安全应用和服务，例如基于密态环境的行业风控模型、合规审计工具等。

这种算力与安全一体化的趋势，最终受益的是广大用户。他们可以用更低的成本、更简单的方式，获得更高水平的安全保障，从而敢于将更多核心业务和敏感数据迁移到云上，真正释放数据要素的价值。

🛡️ 五、赋能AI生态：构筑模型与数据的双重安全护栏

人工智能，特别是大模型的崛起，对数据安全提出了前所未有的挑战。AI系统的核心资产不仅包括海量的训练数据，更包括经过巨大投入训练出来的模型本身。在开放和协作的AI生态中，如何保护这些核心资产，成为关乎企业生死乃至国家安全的关键问题。

5.1 AI时代的新安全风险

大模型时代的到来，放大了原有的数据安全风险，并引入了新的攻击向量。

5.1.1 模型泄露：比数据泄露更致命的威胁

一个训练好的大模型，是企业投入数百万甚至上亿元算力、数据和人力成本凝结而成的智慧结晶。模型的权重参数一旦泄露，竞争对手可以轻易复制其核心能力，造成毁灭性打击。曙光云总裁助理李明达指出，“在开放架构体系下，模型训练好之后，模型的泄漏可能比数据泄漏更恐怖。”

5.1.2 训练与推理过程中的数据风险

多租户环境下的数据隔离：在云端进行模型训练或推理时，多个用户的任务可能运行在同一物理服务器上。传统的虚拟化隔离技术难以完全抵御来自底层平台或邻居租户的恶意窥探。
数据投毒与模型污染：攻击者可能通过污染训练数据，向模型中植入“后门”或使其产生特定偏见，影响模型的可靠性和公正性。
模型逆向攻击：通过分析模型的输出结果，攻击者有可能逆向推断出部分用于训练的敏感数据，造成隐私泄露。

5.2 立体密算：AI生命周期的端到端保护

立体密算为解决上述问题提供了一个体系化的解决方案，它将“模型权重 + 训练数据 + 推理过程”视为一个整体保护对象，构建了覆盖AI全生命周期的安全闭环。

5.2.1 机密训练 (Confidential Training)

在模型训练阶段，整个过程被置于一个大规模的机密计算集群中。

数据不出域：来自多个数据提供方的敏感数据，在各自本地加密后，以密文形式送入机密训练环境。在整个训练过程中，原始数据始终不离开TEE的保护，实现了“数据可用不可见”的联合建模。
训练过程隔离：训练任务运行在由TEE构建的密态虚拟机或容器中，与底层云平台和其他租户完全隔离，防止训练过程中的数据和中间结果被窃取。
算法代码保护：训练算法本身也可以作为知识产权在TEE中运行，防止被泄露。

5.2.2 机密存储 (Confidential Storage)

训练完成后的模型，以加密形式存储在可信存储系统中。

权重加密：模型权重文件使用与特定运行环境绑定的密钥进行加密，即使存储介质被物理盗走，也无法读取模型内容。
完整性保护：模型文件附带数字签名，确保在存储和加载过程中不被恶意篡改。

5.2.3 机密推理 (Confidential Inference)

在模型部署和提供服务阶段，推理过程同样在TEE中进行。

输入数据保护：用户输入的推理请求（如个人照片、医疗记录）在进入TEE前加密，在TEE内解密处理，结果加密返回，保护了用户输入的隐私。
模型运行时保护：模型在加载到内存进行推理时，全程处于TEE的硬件保护之下，防止模型在运行时被窃取。
调用认证与审计：所有对模型的调用都经过严格的身份认证和权限校验，并记录详细的审计日志，用于计量计费和合规审查。

5.3 成为开放AI架构中的“安全操作系统”

立体密算的目标，不仅仅是保护单个AI应用，更是要为整个开放的AI生态提供一个通用的、可持续的安全底座。

开放可信API：通过提供标准化的可信API接口，立体密算可以与主流的AI框架（如TensorFlow, PyTorch）无缝对接。算法开发者无需大幅修改代码，就能使其模型运行在密态环境中。
连接生态各方：它扮演了连接算力提供商、算法开发者和应用方的“安全操作系统”角色。算力方提供可信算力，算法方在安全环境中开发和部署模型，应用方则可以放心地调用这些可信的AI服务。
支撑未来AI场景：未来，围绕大模型训练、智能体（Agent）协作、AI合规监管等新兴方向，立体密算将提供核心的安全机制，确保这些复杂协作能够在可信、可控的环境下进行。

通过为AI生态注入内生的安全基因，立体密算正在为我国人工智能产业的健康、可持续发展建立一道坚实的长期安全护栏。

🛡️ 六、行业落地：从“理论框架”到“实践价值”

一个技术体系的生命力，最终取决于其在真实场景中解决实际问题的能力。立体密算并非停留在实验室里的理论模型，而已在公共安全、医疗健康、金融、交通等对数据安全和业务连续性要求极为严苛的关键行业中，开始了规模化的试点和落地，其价值在复杂的数据流通场景中得到了初步验证。

6.1 公共安全：密态协同下的效率与安全双提升

公共安全领域涉及大量跨部门、跨系统的数据共享与协同办案，数据高度敏感，对安全和审计的要求极高。

场景痛点：传统的数据共享方式（如数据推送、接口调用）存在数据泄露风险，责任界定困难。跨部门协同任务并发量大，传统加密方案严重影响办案效率。
立体密算应用：通过部署立体密算平台，构建了一个跨部门的密态数据协同空间。各部门数据以密文形式进入该空间进行碰撞、分析和建模。办案人员只能访问经过授权的、脱敏后的分析结果，无法接触原始数据。
实践价值：
- 安全性：实现了“数据不动模型动”的安全协同，满足了数据不出域的合规要求。
- 效率：得益于硬件加速，系统任务并发性能显著提升，安全审计周期从数天缩短至小时级。
- 可追溯性：所有数据访问和计算操作都有不可篡改的审计记录，为事后追责提供了铁证。

6.2 医疗科研：破局“数据孤岛”与“隐私保护”的矛盾

医疗数据的价值密度极高，但由于涉及患者隐私和严格的行业监管，医疗机构之间的数据共享极为困难，形成了大量的“数据孤岛”，严重制约了大规模临床科研和精准医疗的发展。

场景痛点：多中心临床研究需要汇集多家医院的数据进行联合建模，但任何一家医院都不能将原始病历数据直接提供给其他机构。
立体密算应用：多家医疗机构共同组建一个基于立体密算的联邦学习网络。各机构的原始数据保留在本地的TEE环境中进行模型预处理和梯度计算。只有加密后的中间梯度参数在网络中进行安全聚合，用以更新全局模型。
实践价值：
- 合规性：在完全符合《个人信息保护法》和医疗行业数据安全规范的前提下，实现了多机构数据的联合分析。
- 科研加速：研究人员可以利用比单一机构大得多的数据集进行模型训练，显著提升了疾病预测、药物研发等模型的精度和泛化能力。
- 知识产权保护：参与各方贡献的模型算法本身也受到TEE的保护，防止被窃取。

6.3 交通：云-边-端一体化的全域可信挑战

交通行业是典型的云-边-端协同场景，从云端的控制中心，到路边的边缘计算节点（如信号灯控制器、路测单元RSU），再到终端设备（如车载单元OBU、监控摄像头），构成了一个庞大而复杂的分布式系统。

场景痛点：端侧设备数量巨大、部署环境恶劣、物理防护能力弱，是数据安全最薄弱的环节。每个收费站、每个路口摄像头存储的数据，都面临巨大的泄露风险。为数以万计的端侧设备进行统一的安全管理和密钥分发，成本高昂且难以实施。
立体密算应用：曙光云针对此场景推出了轻量化的部署方案。
- 边缘侧：通过部署“立体密电箱”或内嵌TEE的超融合一体机，为路测设备、ETC支付终端等提供本地的加密、身份认证和机密计算能力。
- 云端协同：云端平台与所有边缘节点通过国密安全协议建立可信通道，实现云-边-端一体化的策略下发、密钥管理和状态监控。
实践价值：
- 端侧安全加固：即使在端侧很小规模的场景下，也能保证数据和应用系统的安全，有效解决了大规模端侧设备的安全治理难题。
- 跨主体信任：在ETC支付、车路协同等场景中，确保了不同运营商、不同车辆之间的可信身份认证和数据安全交换，为跨平台的交通数据共享提供了长期信任机制。
- 成本效益：通过软硬一体的轻量化方案，大幅降低了大规模端侧安全部署和运维的成本。

6.4 从“治理难题”到“信任解锁器”

上述案例的共性在于，立体密算正在从根本上解决跨主体数据合作中的“信任赤字”问题。过去，这种信任依赖于复杂的法律协议和繁琐的行政审批，效率低下且风险犹存。现在，通过可证明的密态运行和全程可审计的访问控制，技术本身成为了信任的基石。

在数据要素市场化的宏大叙事中，立体密算扮演了“信任解锁器”的角色。它让数据提供方敢于开放数据，让数据使用方敢于使用外部算力，让监管方能够有效穿透监管。这正是推动数据从“沉睡资源”转变为“流动资产”的关键催化剂。

🛡️ 七、战略意义与生态展望

立体密算的推出，其意义已超越单纯的技术创新，更是一次对产业安全体系的全面升级，并在国家数字战略层面具有深远影响。

7.1 自主可控的国家安全维度

在当前复杂的国际环境下，关键信息基础设施的自主可控是国家安全的生命线。

信任根自主：立体密算体系坚持以国产自主可控芯片和国密算法为信任根，从源头上避免了在底层硬件和核心密码技术上受制于人。这确保了我国关键数据和核心算力的安全底座是牢固和独立的。
统一安全架构：在国家算力网络、数据要素市场和数字政府等重大工程建设中，立体密算提供了一套统一的、可度量的安全架构。这有助于实现跨区域、跨部门算力与数据资源的可控、可管、可追溯，为构建国家级“密态基础设施”提供了可行的技术路径。

7.2 产业协同与标准化体系建设

一个强大的技术体系离不开一个繁荣的生态系统。立体密算的完善与推广，绝非一家企业所能及，需要产业链各方的协同努力。

龙头企业牵引：需要算力、云计算、安全等领域的龙头企业发挥牵引作用，联合上下游芯片、操作系统、数据库、应用软件厂商，共同打造全栈兼容、接口开放的产品生态，避免形成新的“安全烟囱”。
产学研用协同：产业界、高校和科研机构需要共同参与底层密码算法、TEE架构、密态AI中间件等核心技术的研发和标准化工作，形成“产学研用”一体化的协同创新格局，加速技术成果的转化和应用。
政策与标准护航：有关主管部门应加快出台密态计算、数据流通安全等相关的政策法规与技术标准，将立体密算这类内生安全架构纳入国家网络安全、算力网络和数据要素市场的重点支持范畴，为产业的健康发展提供明确的指引和保障。

结论

数据流通的安全困境，本质上是信任机制的缺失。立体密算以一种体系化、内生化的创新思路，将信任的根基从脆弱的流程假定，转移到了坚实的、可证明的技术底座之上。它通过将安全能力深度融入算力基因，不仅破解了长期困扰业界的“安全与性能”的二元对立，更在AI时代为模型与数据这两大核心资产提供了端到端的双重护栏。

从技术框架到行业实践，立体密算正在展示其作为数据要素市场“信任解锁器”、跨域协同“生态连接器”和产业创新“成本削峰器”的巨大潜力。它所代表的，不仅仅是一套解决方案，更是一种安全理念的进化——安全不再是束缚，而是赋能。展望未来，随着产业生态的不断完善和国家战略的持续推动，一个以立体密算为基石的、自主可控的数字信任体系，将为我国数字经济的深度发展筑起最坚固的屏障。