Intel SGX 概述

文章目录

  • 前言
  • 一、SGX介绍
    • 1.1 指令介绍
    • 1.2 数据结构
  • 二、内存保护过程
    • 2.1 enclave页面缓存(EPC)
    • 2.2 Enclave页面缓存映射(EPCM)
  • 参考资料

前言

SGX是Intel开发的新的处理器技术,可以在计算平台上提供一个可信的空间,保障用户关键代码和数据的机密性和完整性。SGX全称Intel Software Guard Extensions,顾名思义,其是对因特尔体系(IA)的一个扩展,用于增强软件的安全性。

一、SGX介绍

SGX是Intel开发的新的处理器技术,可以在计算平台上提供一个可信的空间,保障用户关键代码和数据的机密性和完整性。SGX全称Intel Software Guard Extensions,顾名思义,其是对因特尔体系(IA)的一个扩展,用于增强软件的安全性。

SGX是在2015年推出的第六代英特尔酷睿处理器,基于Skylake微架构。可以通过执行带有结构化扩展功能叶(Structured Extended Feature Leaf)标志的CPUID指令来检查SGX支持,并检查EBX寄存器的第二位是否已设置。为了能够使用SGX,它必须由BIOS启动,并且目前,只有少数BIOS支持该技术,这是它没有被广泛使用的原因之一。

SGX的保护方式并不是识别和隔离平台上的所有恶意软件,而是将合法软件的安全操作封装在一个enclave中,保护其不受恶意软件的攻击。而且执行SGX的权限非常高,特权或者非特权的软件都无法访问enclave,也就是说,一旦软件和数据位于enclave中,即便操作系统管理员和VMM(Hypervisor)也无法影响enclave里面的代码和数据。Enclave的安全边界只包含CPU和它自身。SGX创建的enclave也可以理解为一个可信执行环境TEE(Trusted Execution Environment)。不过其与ARM TrustZone(TZ)还是有一点小区别的,TZ中通过CPU划分为两个隔离环境(安全的环境和正常的环境),两者之间通过SMC指令通信;而SGX中一个CPU可以运行多个安全enclaves,并发执行亦可。当然,在TZ的安全的环境内部实现多个相互隔离的安全服务亦可达到同样的效果。另外,SGX是针对桌面和服务器平台的。

总结来说,Intel SGX的安全性能有以下3点:

  1. 把应用程序分为两部分:安全应用程序和非安全应用程序;
  2. 将合法软件的安全操作封装在一个enclave中;
  3. 当调用enclave函数时,只有enclave内部的代码才能查看其数据,并始终拒绝外部访问;当调用结束时,enclave的数据会留在受保护的内存中。
    在这里插入图片描述

安全执行环境是主机进程的一部分,这意味着:

  1. 应用程序包含自己的代码,数据和enclave;
  2. enclave也包含自己的代码和自己的数据;
  3. SGX保护enclave代码和数据的机密性和完整性;
  4. Enclave接入点是在编译期间预先定义的;
  5. 支持多线程(但不能轻易实现);
  6. enclave可以访问其应用程序的内存,但应用程序的内存则无法访问enclave。
    在这里插入图片描述

1.1 指令介绍

Intel SGX定义了18条新指令,其中13条由管理者使用,5条由用户使用。所有这些指令都以微代码实现,以便可以修改指令的具体行为。以下是18条新指令的完整说明:

  • EADD:添加页面;
  • EENTER:进入enclave;
  • EBLOCK:阻止EPC页面;
  • EEXIT:退出enclave;
  • ECREATE:创建安全区;
  • EGETKEY:创建加密密钥;
  • EDBGRD:通过调试器读取数据;
  • EREPORT:创建加密报告;
  • EBDGWR:通过调试器写入数据;
  • ERESUME:重新进入安全区;
  • EINIT:初始化enclave;
  • ELDB:加载EPC页面为已阻止;
  • ELDU:加载EPC页面为未阻止;
  • EPA:添加版本数组(version array);
  • EREMOVE:从EPC中删除页面;
  • ETRACE:激活EBLOCK检查;
  • EWB:回写或是让EPC页面无效;

其中EENTER, EEXIT, EGETKEY, EREPORT,ERESUME为用户使用的指令。

1.2 数据结构

另外,Intel SGX还定义了13种新的数据结构,其中8种用于enclave管理,3种用于内存页面管理,2种用于资源管理。以下是13种新的数据结构的完整说明:

  • SGX Enclave控制结构(SECS);
  • 线程控制结构(TCS);
  • 存储状态区(SSA);
  • 页面信息(PAGEINFO);
  • 安全信息(SECINFO);
  • 分页加密元数据(PCMD);
  • 版本数组(VA);
  • Enclave页面缓存映射(EPCM);
  • Enclave签名结构(SIGSTRUCT);
  • EINIT令牌结构(EINITTOKEN);
  • 报告(REPORT);
  • 报告目标信息(TARGETINFO)
  • 密钥请求(KEYREQUEST)

我会在以下详细介绍相关的这写指令和数据结构,然后对它们如何实现哪种安全功能进行详细解释。

二、内存保护过程

2.1 enclave页面缓存(EPC)

Enclave代码和数据放置在被称为Enclave Page Cache(EPC)的特殊内存区域中,该内存区域使用内存加密引擎(MEE)进行加密,该内存区域只存在于一种专用的芯片上。内存总线上的外部读取只能观察到加密数据。而页面只会在处理器内核中才能被解密,这个密钥只会在enclave页面缓存启动时生成并存储在CPU中。

此时传统页面检查已被扩展,以防止外部访问EPC页面。
在这里插入图片描述

2.2 Enclave页面缓存映射(EPCM)

Enclave页面缓存映射(EPCM)结构用于存储页面状态,它位于受保护的内存中,其大小限制了EPC的大小(由BIOS设置,最大128MB)。EPCM包含了每个页面的配置、权限和类型。

参考资料

  1. SGX技术的分析和研究 --SGX的综述论文
  2. SGX的内部组件概述(一)
  3. SGX的内部组件概述(二)
  4. SGX可能遇到的攻击
  5. Intel 的 SGX 技术小知识

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/703462.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

AI智能分析网关V4智慧工厂视频智能监管与风险预警平台建设方案

AI智能分析网关V4智慧工厂视频智能监管与风险预警平台建设方案

一、背景需求分析 1)随着信息技术的迅猛发展和制造业竞争的加剧,智慧工厂成为了推动制造业转型升级的重要引擎。智慧工厂解决方案通过整合物联网、人工智能、大数据分析等先进技术,实现生产过程的智能化、自动化和高效化,为企业提…
阅读更多...
python 基础知识点(蓝桥杯python科目个人复习计划52)

python 基础知识点(蓝桥杯python科目个人复习计划52)

今日复习内容:还是做题 例题1:四元组问题 问题描述: 从小学开始,小明就是一个非常喜欢数学的孩子。他喜欢用数学的方式解决各种问题。在他的高中时期,他遇到了一个非常有趣的问题,那就算给定一个长度为n…
阅读更多...
数据结构--双向链表专题

数据结构--双向链表专题

目录 1. 双向链表的结构2. 实现双向链表预先的准备初始化尾插、头插尾删、头删查找在pos位置之后插⼊数据删除pos位置的数据 3. 顺序表和双向链表的分析 1. 双向链表的结构 注意:这里的“带头”跟前面我们说的“头结点”是两个概念,为了更好的理解直接称…
阅读更多...
期权Delta动态对冲成本计算—基于效用的Whalley-Wilmott 方法

期权Delta动态对冲成本计算—基于效用的Whalley-Wilmott 方法

Whally 和 Wilmott方法 交易员通常采用 Whally 和 Wilmott 的渐近解,这种方法计算起来比较简单,在实际操作中有非常广泛的应用。 Whally 和 Wilmott(1997)假设交易成本很小,那么就可以得到 HN 方法的渐进解法&#xf…
阅读更多...
Spring Security源码学习

Spring Security源码学习

Spring Security本质是一个过滤器链 过滤器链本质是责任链设计模型 1. HttpSecurity 【第五篇】深入理解HttpSecurity的设计-腾讯云开发者社区-腾讯云 在以前spring security也是采用xml配置的方式&#xff0c;在<http>标签中配置http请求相关的配置&#xff0c;如用户…
阅读更多...
OLED创新产品:49寸OLED透明屏展示柜

OLED创新产品:49寸OLED透明屏展示柜

49寸透明屏展示柜是一种采用OLED透明屏技术的展示设备&#xff0c;具有透明特性和高清显示效果。它通常用于商店、展厅、博物馆等场所&#xff0c;用于展示商品、艺术品、文物等物品。 这种展示柜的特点是可以将展品放置在透明的OLED屏幕上&#xff0c;使得展品仿佛悬浮在空中&…
阅读更多...
C++基础知识(四:类的学习)

C++基础知识(四:类的学习)

类 类指的就是对同一类对象&#xff0c;把所有的属性都封装起来&#xff0c;你也可以把类看成一个高级版的结构体。 【1】定义 class 类名 { 访问权限:成员属性; 访问权限:成员方法; }访问权限&#xff1a; public:共有的&#xff0c;类内、类外和子类中都可以访问 private:私有…
阅读更多...
【AIGC大模型】跑通wonder3D (windows)

【AIGC大模型】跑通wonder3D (windows)

论文链接&#xff1a;https://arxiv.org/pdf/2310.15008.pdf windows10系统 显卡&#xff1a;NVIDIA rtx 2060 一、安装anaconda 二、安装CUDA 11.7 (CUDA Toolkit 11.7 Downloads | NVIDIA Developer) 和 cudnn 8.9.7(cuDNN Archive | NVIDIA Developer)库 CUDA选择自定…
阅读更多...
Mysql数据库学习之范式

Mysql数据库学习之范式

范式 范式简介 在关系型数据库中&#xff0c;关于数据表设计的基本原则、规则称为范式。可以理解为&#xff0c;一张数据表的设计结构需要满足的某种设计标准的级别&#xff0c;要想设计一个结构合理的关系型数据库&#xff0c;必须满足一定的范式。 范式都包含哪些 6种范式…
阅读更多...
matlab|计及源荷不确定性的综合能源生产单元运行调度与容量配置随机优化模型

matlab|计及源荷不确定性的综合能源生产单元运行调度与容量配置随机优化模型

目录 1 主要内容 1.1 风光场景聚类 1.2 主模型程序结果 1.3 随机模型和确定性模型对比 1.4 有无储气对比 1.5 煤价灵敏性分析 1.6 甲烷价格灵敏性分析 2 部分程序 3 下载链接 1 主要内容 本程序复现《计及源荷不确定性的综合能源生产单元运行调度与容量配置两阶段随机…
阅读更多...
300分钟吃透分布式缓存-14讲:大数据时代,MC如何应对新的常见问题?

300分钟吃透分布式缓存-14讲:大数据时代,MC如何应对新的常见问题?

大数据时代 Memcached 经典问题 随着互联网的快速发展和普及&#xff0c;人类进入了大数据时代。在大数据时代&#xff0c;移动设备全面融入了人们的工作和生活&#xff0c;各种数据以前所未有的 速度被生产、挖掘和消费。移动互联网系统也不断演进和发展&#xff0c;存储、计…
阅读更多...
【前沿热点视觉算法】-钢缺陷图像显著目标检测的跨尺度边缘净化网络

【前沿热点视觉算法】-钢缺陷图像显著目标检测的跨尺度边缘净化网络

计算机视觉算法分享。问题或建议&#xff0c;请文章私信或者文章末尾扫码加微信留言。 1 论文题目 钢缺陷图像显著目标检测的跨尺度边缘净化网络 2 论文摘要 显著目标检测在自然场景图像中取得了很大的成功&#xff0c;但在钢缺陷图像&#xff08;SDIs&#xff09;中仍有很大…
阅读更多...
【C语言】linux内核ipoib模块 - ipoib_tx_poll

【C语言】linux内核ipoib模块 - ipoib_tx_poll

一、中文注释 这段代码是 Linux 内核网络栈中与 InfiniBand 协议相关的一个部分&#xff0c;特别是与 IP over InfiniBand (IPoIB)相关。该函数负责去处理IPoIB的发送完成队列&#xff08;发送CQ&#xff09;上的工作请求&#xff08;work completions&#xff09;。以下是对这…
阅读更多...
802.11局域网的 MAC 层协议、CSMA/CA

802.11局域网的 MAC 层协议、CSMA/CA

目录 802.11 局域网的 MAC 层协议 1 CSMA/CA 协议 无线局域网不能使用 CSMA/CD 无线局域网可以使用 CSMA 协议 802.11 的 MAC 层 分布协调功能 DCF 点协调功能 PCF CSMA/CA 协议的要点 2 时间间隔 DIFS 的重要性 SIFS DIFS 3 争用信道的过程 时隙长度的确定 退避…
阅读更多...
【FPGA】线性反馈移位寄存器(LFSR)的Verilog实现

【FPGA】线性反馈移位寄存器(LFSR)的Verilog实现

什么是移位寄存器 移位寄存器&#xff1a;是指多个寄存器并排相连&#xff0c;前一个寄存器的输出作为下一个寄存器的输入&#xff0c;寄存器中存放的数据在每个时钟周期向左或向右移动一位。 下面的右移移位寄存器因为左侧没有有效输入&#xff0c;所以在第4个时钟周期&…
阅读更多...
【JavaEE】_HttpServlet类

【JavaEE】_HttpServlet类

目录 1. init方法 2. destory方法 3. service方法 4. servlet生命周期 前文已经提及到&#xff1a;servlet是tomcat提供的&#xff0c;用于操作HTTP协议的一组API&#xff0c;可以将这组API理解为HTTP服务器的框架&#xff1b; 编写一个servlet程序&#xff0c;往往都要继…
阅读更多...
element table数据量太大,造成浏览器崩溃。解决方案

element table数据量太大,造成浏览器崩溃。解决方案

这是渲染出来的数据 其实解决思路大致就是&#xff1a;把后台返回的上万条数据&#xff0c;进行分割&#xff08;前端分页&#xff09;&#xff0c;这样先加载几十条&#xff0c;然后再用懒加载的方式去concat&#xff0c;完美解决 上代码 <template><div class&quo…
阅读更多...
c语言经典测试题6

c语言经典测试题6

1.题1 void print(char* s) {if (*s){print(s);printf("%c", *s);} } #include<stdio.h> int main() {char str[] "Geneius";print(str);return 0; } 上述代码是一个递归&#xff0c;那么它运行的结果是什么呢&#xff1f; 我们来分析一下&#x…
阅读更多...
跨区域复制建筑UI输入框脚本迷你世界

跨区域复制建筑UI输入框脚本迷你世界

--复制区域文件 --设置坐标起点&#xff0c;终点 --创建区域 --获取坐标id,data --星空露珠工作室制作 local pos1{x-16,y7,z28} local pos2{x28,y44,z-9} local block{num0} local str{} local str0{} local num0 local count0 local ui6 --几个输入框 local romath.random(…
阅读更多...
探索创意的无尽宇宙——Photoshop 2020,你的视觉魔法棒

探索创意的无尽宇宙——Photoshop 2020,你的视觉魔法棒

在数字艺术的广阔天地中&#xff0c;Photoshop 2020无疑是一颗璀璨的明星。这款由Adobe公司精心打造的图像处理软件&#xff0c;自推出以来&#xff0c;便以其强大的功能和卓越的性能&#xff0c;赢得了全球数百万设计师、摄影师和爱好者的青睐。无论是Mac还是Windows系统&…
阅读更多...
推荐文章
最新文章

Copyright @ 2022~2023