1. 隐私计算使用指南
1.1. 说明
- Graphene 是官方原有的项目名称后来更改为Gramine,下文都改成Gramine 
- Gramine 使用v1.1,仓库地址:https://github.com/gramineproject/gramine 
- 1.1之前的版本对Golang的支持不友好,不能使用 
- 检查设备是否支持sgx - 如果设备不支持sgx可以使用simulation mode 运行 
- simulation mode 不能用于生产环境 
 
1.2. 环境部署
1.2.1. 推荐配置
- 系统:linux (不支持windows,本文教程使用ubuntu20.04) 
- 内核: 5.11+(推荐使用5.11以上版本) 
- 内存: 8G+ 
1.2.2. Gramine 环境配置
安装教程:https://gramine.readthedocs.io/en/latest/quickstart.html
1.2.3. 下载相关代码
1. git clone -b v2.2.1_private_contract https://git.chainmaker.org.cn/chainmaker/chainmaker-go.git
2. git clone -b v2.2.1_private_contract https://git.chainmaker.org.cn/chainmaker/graphene.git
3. git clone -b v2.2.1_private_contract https://git.chainmaker.org.cn/chainmaker/chainmaker-tee.git
1.2.4. 代码编译
1.2.4.1. CA准备
- 准备CA - 在tee目录下的info_test.go文件中可以生成第三方根CA仅做测试使用 
- 或自行准备第三方CA 
 
1.2.4.2. 编译Enclave-server
1.2.4.2.1. 准备 enclave-server.manifest.template文件
loader.preload = "file:{{ gramine.libos }}"
libos.entrypoint = "{{ entrypoint }}"
loader.log_level = "{{ log_level }}"
loader.env.LD_LIBRARY_PATH = "/lib:{{ arch_libdir }}:/usr/lib:/usr{{ arch_libdir }}"
loader.pal_internal_mem_size = "1G"
loader.insecure__use_cmdline_argv = true
sys.enable_sigterm_injection = true
fs.mount.lib.type = "chroot"
fs.mount.lib.path = "/lib"
fs.mount.lib.uri = "file:{{ gramine.runtimedir() }}"
fs.mount.lib2.type = "chroot"
fs.mount.lib2.path = "{{ arch_libdir }}"
fs.mount.lib2.uri = "file:{{ arch_libdir }}"
fs.mount.tmp.type = "chroot"
fs.mount.tmp.path = "/tmp"
fs.mount.tmp.uri = "file:/tmp"
# fs.mount.libos.path 
# fs.mount.libos.uri
# set Absolute Path
fs.mount.libos.type = "chroot"
fs.mount.libos.path = "/home/XXX/chainmaker-graphene/" # 设置绝对路径
fs.mount.libos.uri = "file:/home/XXX/chainmaker-graphene/"# 设置绝对路径
sgx.nonpie_binary = true
sgx.enclave_size = "16G"  #根据自己的机器配置型改,建议最小分配8G内存
sys.stack.size = "128M"
sgx.thread_num = 256      #根据机器配置优化调整
sgx.trusted_files = [
    "file:{{ entrypoint }}",
    "file:{{ gramine.runtimedir() }}/",
    "file:{{ arch_libdir }}/",
    "file:/usr{{ arch_libdir }}/",
    "file:/etc/mime.types",
    "file:/etc/default/apport",
]
sgx.allowed_files = [
    "file:/etc/nsswitch.conf",
    "file:/etc/ethers",
    "file:/etc/hosts",
    "file:/etc/group",
    "file:/etc/passwd",
    "file:/etc/gai.conf",
    "file:/etc/host.conf",
    "file:/etc/resolv.conf",
    "file:./configs/",
    "file:/tmp",
    "file:/home/XXX/chainmaker-graphene/",  #设置绝对路径
    "file:./logs",
]
其他字段可自行参考https://gramine.readthedocs.io/en/latest/manifest-syntax.html 进行设置enssl/include
- 生成 enclave-key.pem 
openssl genrsa -3 -out /home/XXX/chainmaker-graphene/enclave-key.pem 3072 //替换自己的目录
- 执行 build.sh 文件编译 
  sudo ./build.sh SIM //模拟模式下运行
  sudo ./build.sh SGX=1 DEBUG=1//硬件模式下运行(需要cpu支持)
  DEBUG=1 可选模式
1.2.4.3. 模拟模式
- gramine-direct ./enclave-server -module=1 
1.2.4.4. 硬件模式
- 运行 gramine-sgx ./enclave-server 
1.2.4.5. 签发证书
- 第一次部署 初始化完成后enclave-server将生成csr文件 
- 使用csr文件在第三方CA处申请签发TEE证书 
- 将签发的TEE证书以PEM格式存于文件(in_teecert.pem)并放在chainmaker-graphene/configs目录下 
- 运行程序会自动校验和加载TEE证书 
注: enclave启动成功,使用 netstat -ntlp 查询有 ./loader的占用标识enclave启动成功
1.2.4.6. 验证信息上链
- 使用以下CMC命令调用系统合约将得到的report信息上链 
cmc tee upload_report \
--sdk-conf-path={./testdata/sdk_config.yml(SDK配置文件路径)} \
--report={report路径} \
--admin-key-file-paths={key路径} \
--admin-crt-file-paths={证书路径}
注:若Enclave代码版本发生变化,需要再次执行步骤2将更新过的report信息重新上链
- 将第三方CA的签名根证书上链 
cmc tee upload_ca_cert \
--sdk-conf-path={./testdata/sdk_config.yml(SDK配置文件路径)} \
--ca_cert={根证书地址} \
--admin-key-file-paths={key路径} \
--admin-crt-file-paths={证书路径}
1.2.4.7. 编译隐私计算网关
cd ../gateway
go build main.go
./main start
1.2.4.8. 隐私计算网关配置config.yml
# 服务配置信息
settings:
   # web服务配置信息
   application:
      domain: localhost:9090
      host: 0.0.0.0
      ishttps: false # 是否启用https
      name: sgx      # 服务名称
      port: "8081"   # 服务端口号
      concurrency: 10  # 最大并发数
   # SDK客户端配置信息
   config:
      capaths: # 根证书路径,支持多个
         - cert/ca
      chainid: chain1  # 链ID
      conncnt: 1  # 节点连接数
      nodeaddr: 127.0.0.1:12301  # 节点地址,格式:127.0.0.1:12301
      orgid: wx-org1.chainmaker.org # 归属组织
      tlshostname: consensus1.tls.wx-org1.chainmaker.org  # TLS Hostname
      usercttpath: cert/client1.tls.crt  # 客户端用户私钥路径
      userkeypath: cert/client1.tls.key  # 客户端用户证书
   # 日志配置信息
   log:
      compress: 1  # 是否使用gzip压缩,默认不压缩
      level: debug # 日志等级,默认Info
      localtime: 1  # 日志时间戳是否为本地时间戳,默认UTC时间
      maxage: 30 #  最长保存天数,默认不删除
      maxbackups: 300 # 最多备份几个
      maxsize: 1024 # 日志文件大小,默认100M
      path: ./logs/gateway.log # 日志文件名
   # https 配置信息
   ssl:
      key: keystring  # 证书key
      pem: temp/pem.pem # 证书
   #grpc连接池配置
 internalClient:
    targeturl: ":50053"  #端口
    initcapacity: 20     #初始化连接数
    maxcapacity: 300     #最大连接数
    dialtimeout: 2       #拨号超时时间
    idletimeout: 6       #空闲超时时间
    readtimeout: 5       #读超时时间
    writetimeout: 5      #写超时时间
  internalServer:
    port: ":50052"       #访问server端口
1.3. 隐私计算网关接口
网关是用户调用隐私合约的入口,当前使用http接口方式进行调用。网关提供的接口主要包括远程证明、部署合约和调用合约三个接口。所有接口的请求method均使用post方式。使用方式参考示例,描述如下:
1.3.1. 示例参考
请参考gateway/service/tools/main.go
1.3.2. 部署合约接口
接口地址:http://x.x.x.x:port/private/deploy,其中x.x.x.x:port为服务地址,用户可以在配置里指定。
1.3.3. 执行隐私计算接口
接口地址:http://x.x.x.x:port/private/compute,其中x.x.x.x:port为服务地址,用户可以在配置里指定。
1.3.4. 远程证明接口
接口地址:http://x.x.x.x:port/private/remote_attestation,其中x.x.x.x:port为服务地址,用户可以在配置里指定。
1.4. 附录——推荐的支持隐私合约的服务器CPU型号
| CPU序列号 | 型号及描述 | SGX Enclave最大预留内存 | 
|---|---|---|
| 6354 | Ice Lake SP XCC Intel Xeon Gold 6345 18c 205W 3.0GHz | 64GB | 
| 8360Y | Ice Lake SP XCC Intel Xeon Platinum 8360Y 36c 250W 2.4GHz | 64GB | 
| 6348 | Ice Lake SP XCC Intel Xeon Gold 6348 28c 235W 2.6GHz | 64GB | 
| 8380 | Ice Lake SP XCC Intel Xeon 8380 40c 270W 2.3GHz | 512GB | 
| 8368 | Ice Lake SP XCC Intel Xeon Platinum 8368 38c 270W 2.4GHz | 512GB | 
| 8368Q | Ice Lake SP XCC Intel Xeon Platinum 8368Q 38c 270W 2.6GHz (liquid cooled) | 512GB | 
| 8358 | Ice Lake SP XCC Intel Xeon Platinum 8358 32c 250W 2.6GHz | 64GB | 
| 8358P | Ice Lake SP XCC Intel Xeon Platinum 8358P 32c 240W 2.6GHz | 8GB | 
| 8352V | Ice Lake SP XCC Intel Xeon Platinum 8352V 36c 195W 2.1GHz | 8GB | 
| 8351N | Ice Lake SP XCC Intel Xeon Platinum 8351N 36c 225W 2.4GHz | 64GB | 
| 6314U | Ice Lake SP XCC Intel Xeon Gold 6314U 32c 205W 2.3GHz | 64GB | 
| 6338 | Ice Lake SP XCC Intel Xeon Gold 6338 32c 205W 2.0GHz | 64GB | 
| 6338N | Ice Lake SP XCC Intel Xeon Gold 6338N 32c 185W 2.2GHz | 64GB | 
| 8352Y | Ice Lake SP XCC Intel Xeon Platinum 8352Y 32c 205W 2.2GHz | 64GB | 
| 8352S | Ice Lake SP XCC Intel Xeon Platinum 8352S 32c 205W 2.2GHz | 512GB | 
| 6330 | Ice Lake SP XCC Intel Xeon Gold 6330 28c 205W 2.0GHz | 64GB | 
| 6330N | Ice Lake SP XCC Intel Xeon Gold 6330N 28c 165W 2.2GHz | 64GB | 
| 6346 | Ice Lake SP XCC Intel Xeon Gold 6346 16c 205W 3.1GHz | 64GB |