SGX结构体

最新推荐文章于 2024-02-26 14:42:05 发布
最新推荐文章于 2024-02-26 14:42:05 发布
阅读量619 收藏 1
点赞数 2
分类专栏: Intel SGX 文章标签: sgx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clh14281055/article/details/107790305
版权

总的EPC内部布局长这样。后续结构体描述的资料来源于在SGX手册。

目录

 

SECS

1. ATTRIBUTES

2. MISCSELECT

TCS

SSA

PAGEINFO

SIGSTRUCT

EINITTOKEN

REPORT

TARGETINFO

KEYREQUEST

EPCM

SECS

/*SECS data structure*/
typedef struct _secs_t
{
    uint64_t                    size;           /* (  0) Size of the enclave in bytes */
    PADDED_POINTER(void,        base);          /* (  8) Base address of enclave */
    uint32_t                    ssa_frame_size; /* ( 16) size of 1 SSA frame in pages */
    sgx_misc_select_t           misc_select;    /* ( 20) Which fields defined in SSA.MISC */
#define SECS_RESERVED1_LENGTH 24
    uint8_t                     reserved1[SECS_RESERVED1_LENGTH];  /* ( 24) reserved */
    sgx_attributes_t            attributes;     /* ( 48) ATTRIBUTES Flags Field */
    sgx_measurement_t           mr_enclave;     /* ( 64) Integrity Reg 0 - Enclave measurement */
#define SECS_RESERVED2_LENGTH 32
    uint8_t                     reserved2[SECS_RESERVED2_LENGTH];  /* ( 96) reserved */
    sgx_measurement_t           mr_signer;      /* (128) Integrity Reg 1 - Enclave signing key */
#define SECS_RESERVED3_LENGTH 32
    uint8_t                     reserved3[SECS_RESERVED3_LENGTH];  /* (160) reserved */
    sgx_config_id_t             config_id;      /* (192) CONFIGID */
    sgx_prod_id_t               isv_prod_id;    /* (256) product ID of enclave */
    sgx_isv_svn_t               isv_svn;        /* (258) Security Version of the Enclave */
    sgx_config_svn_t            config_svn;     /* (260) CONFIGSVN */
#define SECS_RESERVED4_LENGTH 3834
    uint8_t                     reserved4[SECS_RESERVED4_LENGTH];/* (262) reserved */
} secs_t;

SGX Enclave Control Structure,每个Enclave进程都具有一个该结构体,用于保存关于该进程的信息,如Enclave的线性基址(对于整个程序而言)和大小。保存在EPC中该Enclave的内存空间,只能由CPU访问。部分成员变量如下:

1. ATTRIBUTES

通过每个bit设置属性,在SECS、CPUID枚举、REPORT和KEYREQUEST 结构体中可能会用到。

XFRM:设置处理器的扩展状态。在AEX时会被保存

2. MISCSELECT

设当AEX发生时,设置在SSA的MISC域中保存哪些扩展信息,目前可用的扩展信息是:在Enclave内部能够报告page fault和general protection异常。

TCS

typedef struct _tcs_t
{
    uint64_t            reserved0;       /* (0) */
    uint64_t            flags;           /* (8)bit 0: DBGOPTION */
    uint64_t            ossa;            /* (16)State Save Area */
    uint32_t            cssa;            /* (24)Current SSA slot */
    uint32_t            nssa;            /* (28)Number of SSA slots */
    uint64_t            oentry;          /* (32)Offset in enclave to which control is transferred on EENTER if enclave INACTIVE state */
    uint64_t            reserved1;       /* (40) */
    uint64_t            ofs_base;        /* (48)When added to the base address of the enclave, produces the base address FS segment inside the enclave */
    uint64_t            ogs_base;        /* (56)When added to the base address of the enclave, produces the base address GS segment inside the enclave */
    uint32_t            ofs_limit;       /* (64)Size to become the new FS limit in 32-bit mode */
    uint32_t            ogs_limit;       /* (68)Size to become the new GS limit in 32-bit mode */
#define TCS_RESERVED_LENGTH 4024
    uint8_t             reserved[TCS_RESERVED_LENGTH];  /* (72) */
}tcs_t;

Thread Control Structure,每个Enclave可以拥有很多个Worker Thread,每个线程都对应一个TCS,用于描述这个线程的信息,如线程执行flag、SSA的位置、当前使用的SSA(若干个SSA组成一个栈)。存储在EPC中,只能由处理器访问。部分成员结构体如下

FLAGS:描述线程执行的Flag,目前只有DBGOPTIN一项,描述是否开启调试特征。

OSSA:SSA栈相对Enclave内存空间的基址。

CSSA:目前使用的SSA

NSSA:可用的SSA数量

SSA

 

 

STATE SAVE AREA。AEX(异步Enclave退出,由于中断退出Enclave)时,Enclave线程所需要保存的环境状态,如处理器通用寄存器,杂项属性域。保存在Enclave内存空间。

GPRSGX:General Purpose Register。从RAX到R15、URSP、URBP、EXITINFO等等。其中EXITINFO:描述导致AEX的异常原因。如果是因为Enclave内部报告的异常,包括异常类型号(如除零错误、断点,其中#GP、#PF需要开启SECS.MISCSELECT.EXINFO = 1)、异常是源自硬件的还是软件的等。

MISC:根据CPUID.(EAX=12H, ECX=0):EBX[31:0]查看硬件支持的杂项属性和SECS.MISCSELECT所开启的杂项属性确定MISC内容,目前可以包含一个EXITINFO结构体。EXITINFO结构体具体存储EXITINFO结构体,包括Page Fault地址、错误代码ERRCD。ERRCD

PAGEINFO

PAGE INFORMATION。作为EPC管理指令的参数来引用某个页,内容包括Enclave线性地址、页地址、指向SECINFO/PCMD的指针、指向SECS的指针。

SECINFO:SECURITY INFORMATION。存储Enclave Page的属性,包括FLAGS和保留空间。FLAGS包括访问权限(读/写/执行)和类型(SECS,TCS,普通Page或VA)等。

PCMD:PAGING CRYPTO METADATA。Page换出时(由于EPC大小有限,处理器可以将页加密存放到不安全内存中)EWB指令计算MAC值存放在PCMD的成员结构体MAC中。有了PCMD加上PAGEINFO,处理器有足够信息来验证、解密、加载之前换出的页(ELDB/U加载该页时候会检查MAC)。该结构体此外还包括SECINFO、ENCLAVEID。

SIGSTRUCT

ENCLAVE SIGNATURE STRUCTURE。每个Enclave具有一个SIGSTRUCT,包括MODULUS、SIGNATURE、Q1、Q2,其中签名包含厂家编号、Build日期、版本号、产品标识符等属性。

MRENCLAVE:每个enclave都由其属性以及页面的位置、内容和保护的哈希值(MRENCLAVE)表示,具有相同哈希的两个enclave是相同的。用于检查enclave的完整性,MRENCLAVE使用SHA-256哈希函数生成。

MRSIGNER:每个Enclave由其管理者进行签名并保存在MRSIGNER,MRSIGNER此外包含管理者公钥的哈希值,MRSIGNER使用SHA-256哈希函数生成。MRSIGNER可以用于后续的签名检查,确保Enclave未被修改。

EINITTOKEN

EINIT TOKEN STRUCTURE。EINIT指令使用EINITTOKEN结构来检查是否允许执行enclave。它包含enclave的属性、MRENCLAVE、MRSIGNER等,它使用启动密钥执行的HMAC进行身份验证。

REPORT

EREPORT指令的输出,包含CPUSVN、MISCSELECT、MRENCLAVE、MRSIGNER、ISVPRODID、ISVSVN、REPORTDATA等

TARGETINFO

EREPORT指令的输入参数

KEYREQUEST

KEY REQUEST。EGETKEY指令的输入参数

EPCM

ENCLAVE PAGE CACHE MAP,由处理器使用的用于跟踪EPC内容,每一个Entry对应一个EPC Page。软件不可访问。每个Entry会说明EPC Page的RWX权限、Page类型、Page所属的Enclave的SECS、Page的线性地址、锁定状态、挂起状态、修改状态。

 

小气球归来
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SGX实现hello World
10-25
SGX中实现Hello World,使用Visual Studio
再回顾SGX初始化(三)——uRTS维护Enclave、tRTS完成Enclave构建收尾确认工作
小气球归来的博客
08-22 1425
再回顾SGX初始化(三)——uRTS维护Enclave、tRTS完成Enclave构建收尾确认工作
Intel SGX 概述 --潦草笔记
最新发布
chi's blog
02-26 956
SGX是Intel开发的新的处理器技术,可以在计算平台上提供一个可信的空间,保障用户关键代码和数据的机密性和完整性。SGX全称Intel Software Guard Extensions,顾名思义,其是对因特尔体系(IA)的一个扩展,用于增强软件的安全性。SGX是Intel开发的新的处理器技术,可以在计算平台上提供一个可信的空间,保障用户关键代码和数据的机密性和完整性。
GDB调试
行者三个石的博客
09-25 272
原文地址:https://linux.cn/article-8900-1.htm 目录 break -- 在指定的行或函数处设置断点,缩写为 binfo breakpoints -- 打印未删除的所有断点,观察点和捕获点的列表,缩写为 i bdisable -- 禁用断点,缩写为 disenable -- 启用断点clear -- 清除指定行或函数处的断点delete -- 删除断点,
Intel SDM 3D (SGX部分)【按需翻译】
小气球归来的博客
10-26 990
目录 第二章 Enclave访问控制和数据结构 2.8 线程控制结构体(TCS) 2.10 页信息(PAGEINFO) 2.11 安全信息(SECINFO) 2.12 分页加密元数据(PCMD) 2.13 Enclave签名结构体(SIGSTRUCT) 2.14 EINIT令牌结构体(EINITTOKEN) 2.19 Enclave Page Cache Map(EPCM) 第三章 Enclave操作 3.5 EPC和EPC页的管理 3.5.9裁剪页面 第五章 指令的相关参考资料
Windows10下使用Intel SGX功能(四):SGX技术分析
shuizhongmose的专栏
03-14 2548
SGX的内部分析以及侧信道攻击。
代码角度理解SGX的认证机制(一):本地认证
彡丶氵的博客
07-08 4660
一、基本概念 1、认证(attestation): 是指一个enlave中的程序向其他enclave证明其完整性和真实性的过程。intel SGX认证即是一个在SGX平台上运行的ISV enclave(证明者)希望来向远程enclave(验证者)证明其身份(MRENCLAVE)、和确实是在真实的SGX处理器上正确的隔离执行。 1)本地认证:同一个平台上的两个不同enclave之间认证 2)远程认证:enclave所属平台外的软件验证其真实性 2、MRENCLAVE 和 MRSIG...
SIGSTRUCT,Enclave Signature Structure(签名结构体
小气球归来的博客
08-04 489
https://blog.csdn.net/clh14281055/article/details/107631389 上述博文里的“EINIT指令过程”涉及到一个签名结构体SIGSTRUCT。 Metadata元数据 代码如下: typedef struct _metadata_t { uint64_t magic_num; /* The magic number identifying the file as a signed encla
sgx.zip_SGX
09-22
一个3D图像引擎SGX的核心代码,包含了SGX基本功能的实现
SECS通讯协议文档 SECSII文档
09-30
半导体行业的设备通讯协议,SECSII 协议开发文档,英文版
sgx官方文档
07-28
sgx是intel开发的新一代可信执行环境的硬软件套件。不仅提供了硬件环境,包括cpu指令,enclave内存环境。还提供了配套的c语言库以及其他依赖库。
Intel SGX SDK
05-25
Intel SGX SDK for Windows v1.1.30214.81,安装限制必须安装VS2012和Intel Parallel Studio Professional XE 2013。安装完的包拷贝出来,便于查看代码和工具,以及各种库文件。 理论上使用更高版本的VS和IPS应该也...
Intel SGX DCAP for Windows
03-26
辛苦找到 分享给大家少走弯路! 最新版的Intel SGX SDK for Windows 平台开发Enclave必备套件之三
小谈Intel SGX
小气球归来的博客
10-15 7408
Intel SGX简介 背景 为什么要Intel SGX? Intel SGX的目标就是为了解决目前日益受关注的“远程计算的安全问题”。 以云环境为例子,云租户会将自己的产品部署在云平台中,但是云平台现在普遍认为是一个不可信的地方,因为可能会有云平台管理者、同一云主机其他租户的恶意攻击,也可能云平台本身存在漏洞,使得黑客轻易的攻击并拿到Ring0权限(就好比我租了房东的一间卧室,我害怕房东、其他租户、陌生人对我房间东张西望,甚至搞破坏。)。这种情况下,云租户就开始担心了。 与此同时,Intel SGX
Intel SGX入门(一)——背景篇
小气球归来的博客
06-25 5743
为什么要Intel SGX? 以云环境为例子,云租户会将自己的产品部署在云平台中,但是云平台现在普遍认为是一个不可信的地方,因为可能会有云平台管理者、同一云主机其他租户的恶意攻击,也可能云平台本身存在漏洞,使得黑客轻易的攻击并拿到Ring0权限,这种情况下,云租户就开始担心了。 (就好比我租了房东的一间卧室,我害怕房东、其他租户、陌生人对我房间东张西望,甚至搞破坏。) 与此同时,Intel SGX出现了,它对自己做了一个安全内存Enclave的概念,对安全内存实施权限控制、加密等安全措施,防止别人(R
Intel SGX入门(二)——SGX应用篇
小气球归来的博客
06-25 5484
大概了解SGX以后,SGX应用有哪些? 第一种,SGX应用于服务器端,云端 这一类个人觉得很需要结合代码、它们所描述的行业需求和以前的行业产品去考虑问题,毕竟是应用,不然可能体会不到精髓。 我对SGX应用的理解也停留在表层,就是他们拿SGX大概做了个啥,但是有些细节,我目前也说不太上来。 DelegaTEE(SEC’18)Siniša Matetić (ETH Zurich)下一篇也是他 以前Alice(Owner)想将自己部分Paypal中的资产给Bob(Delegatee),...
SGX问答
小气球归来的博客
11-21 4712
前言 有些问题比较常见,在这里直接将问答内容贴出来,方便大家搜索。有空再重新组织文字。 (我会避免泄露私人信息) 内存地址翻译全部交给os,那中间经过cache也是全部交给os是嘛?这个cache这部分,enclave中是怎么处理的呢? page walk依旧是os来做,但是SGX特有的EPCM会确保这个page walk的结果是正确未被篡改的。 cache属于cpu内的微架构,cpu内的数据流都是明文的。将要流向epc的数据流在离开cpu时,进入总线前,被mee加密。 当epc evict时,会由指令里的
ubuntu sgx
10-14
Ubuntu SGX 是指在 Ubuntu 操作系统上使用 Intel SGX 技术。Intel SGX 是一种硬件级别的安全技术,可以保护应用程序的数据和代码不被恶意软件或攻击者窃取或篡改。 要在 Ubuntu 上使用 SGX 技术,需要安装相应的 SGX 驱动程序和 SDK。可以从 Intel 官网下载相应的软件包进行安装。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值