OCALL Switchless模式

最新推荐文章于 2021-08-19 14:54:01 发布
最新推荐文章于 2021-08-19 14:54:01 发布
阅读量436 收藏
点赞数
分类专栏: Intel SGX
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/clh14281055/article/details/108997753
版权

以SampleCode/Switchless为例。

从Enclave内部以Swtichless模式调用OCALL

// SampleCode/Switchless/Enclave/Enclave.cpp
void ecall_repeat_ocalls(unsigned long nrepeats, int use_switchless) {
    sgx_status_t(*ocall_fn)(void) = use_switchless ? ocall_empty_switchless : ocall_empty;
    while (nrepeats--) {
        ocall_fn();
    }
}

进入tRTS端的stub

stub是由sgx_edger8r根据App/Enclave源码动态生成的,先于App/Enclave源码编译之前生成_{t,u}.{c,h}这些stub文件,这些stub文件会在App/Enclave编译时用到。

// SampleCode/Switchless/Enclave/Enclave_t.c
sgx_status_t SGX_CDECL ocall_empty_switchless(void)
{
	sgx_status_t status = SGX_SUCCESS;
	status = sgx_ocall_switchless(1, NULL);

	return status;
}

sgx_ocall_switchless是tRTS端的函数

/*=========================================================================
 * The implementation of switchless OCall
 *========================================================================*/

sgx_status_t sgx_ocall_switchless(const unsigned int index, void* ms)

在第一次Switchless OCALL时(通过sl_call_once使得仅执行一次),会对tRTS端的OCALL管理器进行初始化。如果Enclave初始化时候没有开启Switchless模式,那么Switchless模式的OCALL会退化成一个普通的Switch模式的OCALL。OCALL管理器初始化放到下面另起章节讲。

/* If Switchless SGX is not enabled at enclave creation, then switchless OCalls
 * fallback to the traditional OCalls */
if (sl_call_once(&g_init_ocall_mngr_done, init_tswitchless_ocall_mngr, NULL)) 
    return sgx_ocall(index, ms);

紧接着,如果没有被激活的不可信工人线程,那么OCALL从Switchless模式退化成Switch模式。

如果有休眠的工人线程,让专门用来唤醒工人线程的“叫醒者线程”去唤醒所有线程。

构建OCALL任务,并以Switchless模式处理OCALL。

// perform switchless OCALL
error = sl_call_mngr_call(&g_ocall_mngr, &call_task, g_uswitchless_handle->us_config.retries_before_fallback);

OCALL管理器初始化

// sdk/switchless/sgx_tswitchless/sgx_ocall_switchless.c
static int_type init_tswitchless_ocall_mngr(void* param){
    ...
    // check if switchless has been initialized
    ...
    // g_uswitchless_handle is checked in sl_init_switchless()
    ...
    // clone data from the untrusted side, ensuring all the relevant data is outside enclave
    ...
    // wrong manager type, attack ?
    ...
}

先检查SGX初始化时候Switchless模式是否开启了。

然后将存放在uRTS端uSwitchless句柄中的OCALL管理器,克隆一份放到tRTS端的【g_ocall_mngr】。通过下面这个函数实现克隆。

// switchless call managers are allocated on untrusted side, then pointers to data structures are passed to the enclave.
// the following function clones the data, performing all neccessary checks
//
// returns 0 on success
uint32_t sl_call_mngr_clone(struct sl_call_mngr* mngr, const struct sl_call_mngr* untrusted) {
    ...
    // copies fields of untrusted structures ensuring that all the data resided on untrusted side
    ...
    // garbage data ? probably an attack
    ...
    // clone internal pointers to siglines structure
    ...
    // check that the call manager is properly initialized 
    // if not, can indicate an attack 
    ...
    // check that the array of task structures is outside enclave
    ...
}

这里的OCALL管理器克隆类似于ECALL管理器克隆,克隆的内容包括:类型(这里是OCALL)、信号线管理器(“浅”拷贝基础上,因为当前是tRTS,是OCALL的Sender方,构建一个空闲信号线情况数据结构,来统计空闲的信号线)、调用任务(存在uRTS端,这里克隆的是指针)、OCALL表置NULL(tRTS端的OCALL表没用,uRTS端的OCALL工人线程会使用uRTS端的OCALL管理器中记录的OCALL表)、调用处理句柄置NULL(tRTS是OCALL的发送方,而不是处理方)。

检查克隆出来的OCALL管理器类型Type的确是OCALL。

Switchless模式处理OCALL,类似于Switchless模式处理ECALL。总的来说就是把OCALL任务丢给OCALL工人线程,并通过信号线让OCALL工人线程去执行OCALL任务。

OCALL工人线程接受信号线,并处理器OCALL任务

类似于ECALL工人线程的逻辑

【run_worker】->【uworker_process_calls】->【sl_call_mngr_process】->【sl_siglines_process_signals】->查看所有信号线每个Bit确定是否有信号来了->【process_switchless_call】

 

小气球归来
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ubuntu 16.04下Intel SGX应用程序程序开发——OCALL参数字符串拷贝
qiu_pengfei的博客
12-14 1132
安装完SGX SDK后,我们可以在输入的安装目录下的/sgxsdk/SampleCode文件夹下找到Intel提供的SGX应用程序示例,共有6个例子,根据名字可以大概判断是做什么的,每个示例中的README.txt文件给出了示例的详细信息。6个示例如下所示: 1. 复制SampleEnclave示例并建立自己的OcallMemCpy项目 SampleEnclave示例实现了安全printf
SGX初始化中,uRTS端的Switchless模式的初始化
小气球归来的博客
09-15 666
由于各种需求的不断增加,SGX现在新增了PCL、KSS、Switchless这三种扩展功能。 其中Switchless是为了尽可能避免传统ECALL切换上下文的开销而提出的,简单说,就是预先在Enclave内部安置一些工人线程在Enclave外部调用ECALL时由Enclave内部工人线程代理执行,这里讲的是ECALL的Switchless模式调用,OCALL类似。 SGX初始化的最后一步就是对Switchless模式的初始化。掉用【CEnclave::init_uswitchless】。 概念性的简
ECALL Swtichless调用及tRTS端Swtichless初始化
小气球归来的博客
09-17 529
以SampleCode/Switchless为例讲解ECALLSwitchless的代码流程 void ecall_empty_switchless(void) {} 【ecall_empty_switchless】是这个例子中用到的典型的Swtichless ECALL,函数里面啥也不执行。 那编译的时候怎么能够知道这个函数是使用ECALL Swtichless模式呢?总不能函数符号名里面加一个Swtichless就说明它是Switchless模式的ECALL吧。这可能是个方法,但是无形地会限制.
2021-08-19 SGX Switchless编译
qq_31293441的博客
08-19 130
SGX Switchless编译报错 /usr/bin/ld: /opt/intel/sgxsdk/lib64/libsgx_uswitchless.a(sl_uswitchless_untrusted.o): unable to initialize decompress status for section .debug_info 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下
再回顾SGX初始化(四)——收尾及Switchless初始化
小气球归来的博客
09-11 431
继《再回顾SGX初始化(三)——uRTS维护Enclave、tRTS完成Enclave构建收尾确认工作》之后,我们又回到了uRTS的__create_enclave函数。此时uRTS、tRTS两边都已经完成了Enclave初始化工作,也就是说Enclave内外两边都已经搞定了Enclave初始化所需要的工作。 那么就继续__create_enclave函数的漫漫长征路。 裁剪页放到Trimmed列表 if (SGX_SUCCESS != (ret = loader.post_init_action_
OCALLs的函数调用约定
houzhizhen的专栏
05-20 336
不可信函数可能设置关于调用预定和DLL链接的属性,你可以在这里看看调用约定的详细信息http://msdn.microsoft.com/en-us/library/984x0h58。 cdecl调用约定是C标准的默认方式。 错误的使用cdecl,stdcall,fastcall关键可能导致链接错误。 OCALL函数(不可信)可能在DLL中实现,dllimport关键字就用来指定这种属性。错误的使用...
msu_compilers_2021:CMC MSU的编译器课程的第二个任务
04-07
删除无用的代码任务为QBE功能实现垃圾代码删除算法。 将存储器写指令,函数返回指令和所有函数调用视为关键。 解决方案应从标准输入流中读取一个文本文件,该文本文件仅包含中间表示语言QBE中的... 处理Ocall和Ovacall
Free-Solutions Chat & webRTC Videoconf-crx插件
04-02
免费WebRTC通信服务 Vidéocall,屏幕清答,聊天文件共享,私人房间等...... Web客户端用于https://www.free-solutions.org的免费聊天和视频电脑 在Free-solutions.org的实验免费WebRTC实时服务 您希望为您的业务...
SGX TCS构建及Switchless初始化简介
小气球归来的博客
07-22 674
SGX TCS SGX环境下,不可信线程进入Enclave需要上下文切换,切换之前需要申请到一个TCS(TCS是一个用于代表和管理Enclave线程的数据结构)。只有进入了Enclave的线程可以执行ECALL代码。根据ECALL的真正执行者是谁,可以将ECALL执行模式分为Switch模式(线程切换上下文进入Enclave执行代码)和Switchless模式(不可信线程将ECALL交由长期驻留Enclave的线程代理执行)。 SGX TCS构建 如下图左侧“TCS构建阶段”,Enclave初始化时会
ECALL的Swtich和Switchless简介
小气球归来的博客
07-22 815
根据ECALL的真正执行者是谁,可以将ECALL执行模式分为Switch模式(线程切换上下文进入Enclave执行代码)和Switchless模式(不可信线程将ECALL交由长期驻留Enclave的线程代理执行)。 ECALL Switch模式调用 如下图所示,不可信线程切换上下文进入Enclave完成ECALL代码的真正执行。 ECALL Switchless模式调用 如下图所示,不可信线程会将Ecall任务放到Ecall任务池中,发信号通知TWorker线程提取任务并执行。 ...
SGX软硬件栈(四)——桥函数
小气球归来的博客
07-28 1604
SGX开发特点 与传统的C++程序开发不同,SGX应用程序会分为两块,一块是执行在Enclave中的代码,一块是执行在普通环境中的代码。此外,需要在.edl文件中的trusted标记中写上在Enclave中执行的函数的声明,在untrusted标记中写上在普通环境中执行的函数的声明。 SgxEdger8r(SGX Edge Routine,主要用于在编译过程中对.edl文件中的ecall和ocall重新封装编写,即将用户编写的e/ocall改写成实际执行的e/ocall)工具会在应用程序编译过程中根据e
小谈Intel SGX
小气球归来的博客
10-15 7680
Intel SGX简介 背景 为什么要Intel SGX? Intel SGX的目标就是为了解决目前日益受关注的“远程计算的安全问题”。 以云环境为例子,云租户会将自己的产品部署在云平台中,但是云平台现在普遍认为是一个不可信的地方,因为可能会有云平台管理者、同一云主机其他租户的恶意攻击,也可能云平台本身存在漏洞,使得黑客轻易的攻击并拿到Ring0权限(就好比我租了房东的一间卧室,我害怕房东、其他租户、陌生人对我房间东张西望,甚至搞破坏。)。这种情况下,云租户就开始担心了。 与此同时,Intel SGX
Intel SGX开发者参考书(五)—— Intel SGX SDK示例代码(二)
Honglalala
04-24 1582
@Intel SGX 读书笔记… 密封的数据 Intel SGX SDK提供API来加密和完整性保护Enclave机密,将它们存储在Enclave之外,如磁盘上。Intel SGX平台SW为ISV Enclave提供单调计数器和可信时间服务。单调计数器可用于实现重放保护策略,可信时间可用于实施基于时间的策略。它们都是密封的数据。重放保护的数据blob和基于时间的策略数据blob的要求非常微妙。In...
什么是Oncall?
热门推荐
_
02-14 1万+
On call 是什么 就是需要保持电话畅通,随时都可能接到电话说哪个服务挂了,哪个测试失败了等等。 然后需要具体问题具体分析,直到问题缓解或者解决了为止。 On call 中文一般称为值班。 为什么要 on call 为了保证一旦服务出现问题,能够第一时间解决,不至于照成严重的影响。 什么时候需要 on call 全球性的企业这时就体现出了它的优势了,不需要 24 小时 on call,而是根据时区,一般只会在工作时间内 on call。 具体需要做什么 这里不能说太详细了,大概就是这样
Intel SGX开发者参考书(四)—— Enclave开发基础(三)
Honglalala
04-21 2068
@Intel SGX 读书笔记… Enclave配置文件 Enclave配置文件是一个XML文件,包含用户定义的Enclave参数,此文件是Enclave项目的一部分。sgx_sign使用这个文件作为输入来创建Enclave的签名和元数据。下面是一个配置文件的例子: <EnclaveConfiguration> <ProdID>100</ProdID> <...
Ubuntu 16.04下Intel SGX应用程序程序开发——获得OCALL调用的返回值
qiu_pengfei的博客
12-14 1283
本文中,我们介绍在Enclave函数中调用不可信OCALL函数,并获得OCALL函数的返回值。 安装完SGX SDK后,我们可以在输入的安装目录下的/sgxsdk/SampleCode文件夹下找到Intel提供的SGX应用程序示例,共有6个例子,根据名字可以大概判断是做什么的,每个示例中的README.txt文件给出了示例的详细信息。6个示例如下所示: 1. 复制SampleEncla
《SGX ECALL》汇总
小气球归来的博客
09-19 1304
目录 ECALL Ordinary(Switch)和Switchless的入门介绍请看 《ECALL的Swtich和Switchless简介》 想要深究ECALL Ordinary(Switch)调用的细节,请看 《ECALL Switch/Ordinary模式》 对于ECALLSwitchless模式,需要在SGX初始化时候完成uRTS端的SGX Switchless初始化。简介请看 《SGX TCS构建及Switchless初始化简介》 想要知道uRTS端的SGX Switchle...
Ubuntu 16.04下Intel SGX应用程序程序开发——OCALL调用打印Hello World!
qiu_pengfei的博客
12-14 2003
这篇文章主要讲述在Enclave函数中调用应用程序中的不可信函数,打印Hello World!。由于SGX认为printf是不安全的函数,所以不能在Enclave函数中直接使用printf函数打印想打印的内容,不过Intel SGX提供了一个Enclave中的printf封装函数,可以用来打印想打印的内容,可以参考:http://blog.csdn.net/qiu_pengfei/article/
mystikos的Tcall和occlum的Ocall有什么区别
最新发布
03-30
Mystikos的Tcall和Occlum的Ocall都是用于安全执行环境的系统调用,但是它们的实现方式和使用场景略有不同。 Mystikos的Tcall是通过直接调用Linux系统调用来实现的,它在应用程序和Enclave之间建立了一个安全边界,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值