再回顾SGX初始化(四)——收尾及Switchless初始化

最新推荐文章于 2021-08-19 14:54:01 发布
最新推荐文章于 2021-08-19 14:54:01 发布
阅读量436 收藏
点赞数
分类专栏: Intel SGX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clh14281055/article/details/108530483
版权

目录

裁剪页放到Trimmed列表(需要支持EDMM)

设置内存访问控制属性

填充TCS最小池

Switchless初始化

到此,SGX初始化就全部结束了

继《再回顾SGX初始化(三)——uRTS维护Enclave、tRTS完成Enclave构建收尾确认工作》之后,我们又回到了uRTS的__create_enclave函数。此时uRTS、tRTS两边都已经完成了Enclave初始化工作,也就是说Enclave内外两边都已经搞定了Enclave初始化所需要的工作。

那么就继续__create_enclave函数的漫漫长征路。

裁剪页放到Trimmed列表(需要支持EDMM)

if (SGX_SUCCESS != (ret = loader.post_init_action_commit(layout_start, layout_end, 0)))

由于前面uRTS已经发出裁剪请求,并且Enclave已经EACCEPT了。

那么就发SGX_IOC_ENCLAVE_NOTIFY_ACCEPT信号给SGX驱动,让SGX驱动将裁剪页放到Trimmed列表(意味着裁剪页现在开始可以被自由移除),并且这些裁剪页也会从用于管理已分配Enclave虚拟页的基数树上删除掉。

/**
 * sgx_ioc_page_notify_accept() - Pages defined in range will be moved to
 * the trimmed list, i.e. they can be freely removed from now. These pages
 * should have PT_TRIM page type and should have been eaccepted priorly
 * @arg range address of pages
 */
long sgx_ioc_page_notify_accept(struct file *filep, unsigned int cmd, unsigned long arg)

设置内存访问控制属性

if(SGX_SUCCESS != (ret = loader.set_memory_protection()))

使用ELF解析器(使用mprotect)设置ELRANGE中各个Section的访问属性以及各个Segment对应的访问属性【ElfParser::set_memory_protection,先对每个Section按照最开始记录的Section对象中声明的虚拟地址空间访问属性进行mprotect设置,再对每个Segment按照ElfW(Phdr).p_flags记录的那样进行虚拟地址空间访问属性设置】。

如果元数据版本较新,并且当前环境支持EDMM,那么将PT_GNU_RELRO、PT_LOAD(不可写的并且可能会有重定位过程的)段交由SGX驱动(SGX_IOC_ENCLAVE_EMODPR,SGX会调用EMODPR)将Enclave Page设置为读执行(RX)权限,相比于mprotect是对页表机制里面的访问属性进行设置,Ring0权限的EMODPR硬件指令会对管理EPC属性的EPCM进行设置。rsrv内存用EMODPR改为RW。不支持EDMM等情况,就不进行改动。

对上下文相关的内存,用mprotect将内存访问控制属性设置为RW。其中rsrv内存在不支持EDMM情况下,不要用mprotect改变它的属性。

针对EREMOVE掉的页,需要用mprotect设置为PROT_NONE,不然这个页一旦被访问,会发生总线异常(sigbus exception),因为这个EPC页已经被EREMOVE硬件指令给从当前Enclave中去除,EPCM也没有再维护EREMOVE掉的页的信息。

上面所涉及到的ELRANGE的页本身在ECREATE、EADD、EREMOVE时就设置或更改了基本的EPCM项,这里主要是进行调整,以及在进程虚拟地址空间用mprotect进行访问控制设置。

if(!get_enclave_creator()->is_EDMM_supported(get_enclave_id()) && (layout->entry.id == LAYOUT_ID_RSRV_MIN ||layout->entry.id ==  LAYOUT_ID_RSRV_INIT))
    //Don't change the rsrv memory's attributes if platform isn't support EDMM
    continue;
 //Here: URTS will change rsrv memory's attributes to RW forcely although it's signed by sign_tool as RWX (<ReservedMemExecutable>1</ReservedMemExecutable>).

填充TCS最小池

ret = enclave->fill_tcs_mini_pool_fn();

如果支持EDMM,就填充一下TCS最小池(就是说我们最小要填充指定数量【CTrustThreadPool.m_tcs_min_pool,源自config.xml文件里的说明】的TCS池项,这些数量是必须的,而额外的动态TCS这里不做填充)。这个函数的做法挺有趣,在第一次调用该函数的时候,起一个pthread线程,完成TCS最小池的填充,之后这个线程会休眠,当下次调用该函数时,唤醒这个线程去填充TCS最小池,这里是一个循环,每唤醒一次就循环一轮。这种做法的其中一个原因也是因为后续有时也会进行填充TCS最小池。

最终填充TCS最小池的操作是由如下函数完成

sgx_status_t CTrustThreadPool::fill_tcs_mini_pool()

如果有动态当前未分配具体空间的TCS,并且已有的空闲TCS,还不足最小数量的要求,那么就需要构建动态TCS【之前是个未分配空间的TCS】填充到TCS最小池。《构建动态TCS页》讲述了动态TCS构建过程。

然后唤醒一下其他线程,其他线程(比如主线程)可能一直等待新的空闲的TCS。并且有时空闲TCS数量不足最小池的大小,使得我们需要再填充TCS最小池。不过我们这里是第一次填充TCS最小池,为的就是让TCS最小池至少先足数。

Switchless初始化

见《Switchless模式的初始化

到此,SGX初始化就全部结束了

最后将【CLoader::m_enclave_id】,赋值给创建SGX的API中的参数【global_eid】,让编程人员后续可以使用这个【global_eid】调用ECALL函数,主要原因也是因为一个进程可以创建多个Enclave,这个ID是为了区分一个进程内的多个Enclave。

ret = sgx_create_enclave_ex(ENCLAVE_FILENAME, SGX_DEBUG_FLAG, NULL, NULL, &global_eid, NULL, SGX_CREATE_ENCLAVE_EX_SWITCHLESS, enclave_ex_p);

有空我调整一下章节的编排

小气球归来
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
电力应用系统的集中自动化发布思路及设计措施.pdf
09-17
整个自动化发布过程需要确保配置信息的永久性保存,这通常通过将配置信息传输到支持IntelSGX功能的平台上,并在加密内存中以动态链接库文件的形式运行相关代码和数据来实现。 质量管理体系在集中自动化发布的设计...
Windows10下使用Intel SGX功能():SGX技术分析
最新发布
shuizhongmose的专栏
03-14 2941
SGX的内部分析以及侧信道攻击。
SGX软硬件栈(二)——硬件指令
小气球归来的博客
07-28 2183
硬件指令分为内核权限硬件指令和用户权限硬件指令。内核权限硬件指令指的是指令需要通过内核态下才能访问,缩写是ENCLS。用户权限硬件指令指的是指令用户态下便能访问,缩写是ENCLU。每一个具体的功能指令被称为叶功能,如EADD叶功能,因为叶功能之间的区分是硬件指令(如ENCLS指令:0x 0F 01 CF)的EAX值不同,因此ENCLS指令的EAX在输入时都是用作叶功能号。 内核权限硬件指令-ENCLS 如图2所示,SGX 1代指令中,ENCLS主要用于管理Enclave生命周期等。比如下文将介绍的Enc
Intel SGX入门(三)——SGX保护框架、软件层改进篇
小气球归来的博客
06-25 4221
其实SGX应用也包括,SGX保护框架,SGX软件层改进,单独拎出来 先说说SGX保护框架(SGX Shield Framework) Haven(OSDI’14)微软 SGX已经硬件实现了,但是,很多老的APP并没有用上SGX。并且SGX的代码开发和原来不太一样了,得把代码划分成Enclave内外两个部分。那么意味着老的APP很难用上SGX了,因为不是所有人都愿意花力气把原来的APP移到SGX上。那么怎么把老的APP放到SGX上呢?微软提供了Haven方案。 Haven架构如图:E...
SGX TCS构建及Switchless初始化简介
小气球归来的博客
07-22 676
SGX TCS SGX环境下,不可信线程进入Enclave需要上下文切换,切换之前需要申请到一个TCS(TCS是一个用于代表和管理Enclave线程的数据结构)。只有进入了Enclave的线程可以执行ECALL代码。根据ECALL的真正执行者是谁,可以将ECALL执行模式分为Switch模式(线程切换上下文进入Enclave执行代码)和Switchless模式(不可信线程将ECALL交由长期驻留Enclave的线程代理执行)。 SGX TCS构建 如下图左侧“TCS构建阶段”,Enclave初始化时会
回顾SGX初始化(一)——环境检查
小气球归来的博客
08-10 1764
SGX入门 如果不了解SGX,欢迎观看我的《SGX入门》系列、以及《SGX软硬件栈》系列。我发现写博文也是门学问,怎么把自己的意思表达的易懂明确似乎还是蛮难的,只能一步一步提升了。 做自己的华生,虽然我远不及福尔摩斯。好好加油吧。 先记 最近在分析Foreshadow(可以参考另一篇Foreshadow【源码分析】,草稿中),毕设会有涉及,所以得再看一遍Foreshadow。其中有一个点就是enclave_create函数。 于是。。。 我发现第一遍看的时候我还是天真了,之前看的时候很多函数细节被我
bios开启虚拟化技术
03-12
虚拟化技术是现代计算机领域的一项关键技术,它允许用户在单个物理硬件系统上创建和运行多个独立的虚拟环境,每个环境都可以运行不同的操作系统和应用程序。这种技术显著提高了硬件资源的利用率,降低了运营成本,并...
sgx.zip_SGX
09-22
SGX,全称为Software Guard Extensions,是Intel推出的一种硬件安全技术,主要用于保护应用程序中的敏感数据和代码不被恶意软件攻击。在3D图像引擎中,SGX能够为图形处理提供额外的安全层,确保渲染过程的隐私性和...
OCALL Switchless模式
小气球归来的博客
10-10 441
以SampleCode/Switchless为例。 从Enclave内部以Swtichless模式调用OCALL // SampleCode/Switchless/Enclave/Enclave.cpp void ecall_repeat_ocalls(unsigned long nrepeats, int use_switchless) { sgx_status_t(*ocall_fn)(void) = use_switchless ? ocall_empty_switchless : oc
2021-08-19 SGX Switchless编译
qq_31293441的博客
08-19 135
SGX Switchless编译报错 /usr/bin/ld: /opt/intel/sgxsdk/lib64/libsgx_uswitchless.a(sl_uswitchless_untrusted.o): unable to initialize decompress status for section .debug_info 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下
sgx_status_t sgx_create_enclave函数说明
蛋蛋的博客
03-20 1622
创建一个Enclave的函数如下: sgx_status_t sgx_create_enclave( const char *file_name, const int debug, sgx_launch_token_t *launch_token, int *launch_token_updat...
SGX ECALL》汇总
小气球归来的博客
09-19 1312
目录 ECALL Ordinary(Switch)和Switchless的入门介绍请看 《ECALL的Swtich和Switchless简介》 想要深究ECALL Ordinary(Switch)调用的细节,请看 《ECALL Switch/Ordinary模式》 对于ECALLSwitchless模式,需要在SGX初始化时候完成uRTS端的SGX Switchless初始化。简介请看 《SGX TCS构建及Switchless初始化简介》 想要知道uRTS端的SGX Switchle...
windows下使用SGX
Yonggie的博客
09-04 2600
前言: 这个是简单对于毫无经验的人的入门博客,杠精勿扰,大神离开。 我觉得每当下载一个新的工具的时候要先看一看他自己带的文档。 何谓SGX?不解释,您可以去看其介绍,百度搜搜即可。 win10如何下载SGX? 确保你有Visual Studio 2015 或其以上。 1.搜索SGX SDK,进入,其中的账号注册等等智障操作不谈,直接下载。(下载这一个即可) 2.下载出来解压,出...
Intel SGX开发者参考书()—— Enclave开发基础(三)
Honglalala
04-21 2093
@Intel SGX 读书笔记… Enclave配置文件 Enclave配置文件是一个XML文件,包含用户定义的Enclave参数,此文件是Enclave项目的一部分。sgx_sign使用这个文件作为输入来创建Enclave的签名和元数据。下面是一个配置文件的例子: <EnclaveConfiguration> <ProdID>100</ProdID> <...
Intel SGX入门教程(二)在windows环境搭建intel sgx环境并运行helloworld程序
热门推荐
kouryoushine的博客
05-16 2万+
一 、环境要求 1.1 实验环境不低于一下要求 64 位 Microsoft Windows 操作系统 Microsoft Visual Studio 2015 英特尔软件防护扩展 SDK 1.2 BIOS中开启SGX配置 不同bios的设置可能会有区别,即使bios不支持sgx,也不会影响入门学习。我们可以通过SGX SDK里面内置的模拟器来运行调试enclave程序。 手动 BIOS ...
SGX中的X特性、SGX获取元数据
小气球归来的博客
08-11 1729
X特性 eXtension Feature 在Intel SGX硬件特性出来之前,已经存在很多Intel的扩展特性,比如Intel MPX内存保护扩展。那么SGX中在进出Enclave,Enclave运行过程中等各种相关场景中,如何更好地让Intel SGX和这些扩展特性融合,并且至少保证融合过程中不应该降低SGX的安全性。为了达到这种融合的需求,那么SGX实际管理中就需要考虑到各类扩展特性——X特性。 通过XFRM(X Feature Request Mask,X特性请求掩码)标记目前CPU支持哪些X特
SGX初始化中,uRTS端的Switchless模式的初始化
小气球归来的博客
09-15 672
由于各种需求的不断增加,SGX现在新增了PCL、KSS、Switchless这三种扩展功能。 其中Switchless是为了尽可能避免传统ECALL切换上下文的开销而提出的,简单说,就是预先在Enclave内部安置一些工人线程在Enclave外部调用ECALL时由Enclave内部工人线程代理执行,这里讲的是ECALL的Switchless模式调用,OCALL类似。 SGX初始化的最后一步就是对Switchless模式的初始化。掉用【CEnclave::init_uswitchless】。 概念性的简
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值