NDSS 2025｜侧信道与可信计算攻击技术导读（一）PALANTÍR：多层 enclave 特权模型

本文为 NDSS 2025 导读系列 之一，聚焦本届会议中与 硬件安全与侧信道技术 相关的代表性论文。

NDSS（Network and Distributed System Security Symposium） 是网络与系统安全领域的顶级国际会议之一，由 Internet Society 主办，致力于推动系统安全、协议分析、漏洞挖掘、隐私保护等前沿技术的发展。每年，NDSS 都汇聚了大量关于软件与硬件攻防的新成果。

在 NDSS 2025 中，我特别挑选出 11 篇与 可信执行环境（TEE）安全、缓存与微架构侧信道、虚拟化攻击、设备信号泄露等 相关的论文，组成本系列专题导读，从多个维度拆解当前硬件安全研究的技术趋势与挑战。

本篇为系列第 1 篇，导读论文：
《A Formal Approach to Multi-Layered Privileges for Enclaves》

Ganxiang Yang (Shanghai Jiao Tong University), Chenyang Liu (Shanghai Jiao Tong University), Zhen Huang (Shanghai Jiao Tong University), Guoxing Chen (Shanghai Jiao Tong University), Hongfei Fu (Shanghai Jiao Tong University), Yuanyuan Zhang (Shanghai Jiao Tong University), Haojin Zhu (Shanghai Jiao Tong University)

---

背景

在可信执行环境（TEE）中，enclave 提供了高度隔离的执行空间，用于存储密钥、运行加密算法等安全敏感任务。其设计目标是即使操作系统或 hypervisor 被完全控制，攻击者也无法读取或修改 enclave 中的数据。

但由于这种最小信任边界的设计，enclave 在功能方面非常受限：它无法直接访问系统资源、共享数据或管理复杂的服务。这给依赖多个软件组件、服务模块、I/O 协同的真实应用带来了部署困难。

已有的功能扩展方案大致可分为两类：

1. 架构级支持：例如通过修改 Secure Monitor 扩展 enclave 功能，安全性强，但增加了 TCB；

2. 软件层隔离：例如在 enclave 内运行多个库组件，用逻辑分离实现权限边界，但缺乏架构保障，也难以验证。

本论文试图在不修改底层 TEE 架构、不过度扩展 TCB 的条件下，提出一种形式可验证、特权分层明确的扩展模型。

---

模型设计

PALANTÍR 是一套多层特权模型，核心在于引入“父-子 enclave”的结构关系。

控制关系与权限类型

每个父 enclave 可以创建和管理一个或多个子 enclave，并对其拥有两类权限：

• 执行控制（Execution Control）：包括启动、暂停、恢复、销毁子 enclave；

• 空间控制（Spatial Control）：允许父 enclave 以只读方式访问子 enclave 的状态数据（如内存快照），用于监控、调试或容错。

整个结构支持嵌套。一个子 enclave 也可以作为新的父 enclave 创建自己的子 enclave，从而构建出层级式 enclave 树。

权限设计原则

• 子 enclave 无法访问或干扰父 enclave；

• 同层之间互不可见；

• 权限不能向下传递（即父的父无权操作孙子 enclave）；

• 所有控制仅限显式接口，不能隐式穿透。

这些设计确保了特权分层隔离、信息流控制和最小权限原则。

---

PALANTÍR 模型引入的多层特权机制需要在理论层面保证 enclave 控制关系和信息流安全。为此，作者构建了 TAP∞ 模型，并基于 Boogie 和 Z3 工具链对关键接口进行了形式化建模与验证。

图片展示了 PALANTÍR 模型在 TAP∞ 抽象机中的状态转移过程（Fig. 9）、LAUNCH 接口的 Boogie 规范与实现（Fig. 10），以及多种父子 enclave 特权结构的模型对比（Fig. 11）。最后，论文还通过公式推导证明了 λ 层特权结构下验证流程的复杂度上界。

该图体现了以下三点关键内容：

1. TAP∞ 的接口（如 LAUNCH）具备明确的前置 / 后置条件，能被自动工具验证；

2. PALANTÍR 特权结构支持任意层级 λ 的嵌套控制；

3. 模型复杂度可形式约束，验证过程可通过归纳进行扩展。

安全性验证

为验证 PALANTÍR 模型的正确性与安全性，作者扩展了经典的 TAP 模型，提出了 TAP∞：一个支持任意多层嵌套特权结构的抽象模型。

安全目标

验证目标集中于三个属性：

1. Secure Measurement：父 enclave 可以验证其子 enclave 的代码与配置；

2. Execution Integrity：子 enclave 的控制流不能被非法改变；

3. Confidentiality：子 enclave 的数据不会泄露给未授权主体。

验证方法

• 使用 Boogie 语言建模，Z3 作为 SMT 求解器；

• 模型代码约 2700 行；

• 为提升验证效率，引入了 Relevancy Propagation 技术，极大加快了分析速度；

• 证明了模型在支持无限特权层级（λ → ∞）的情况下仍满足安全性。

---

系统实现

PALANTÍR 被实现于开源 RISC-V TEE 平台 Penglai 上，无需修改底层硬件或引入新可信组件。

接口设计

新增接口包括：

• LAUNCH：创建子 enclave；

• ENTER / EXIT：切换 enclave 执行状态；

• PAUSE / RESUME：挂起或恢复子 enclave；

• INSPECT：安全读取子 enclave 状态。

这些接口确保了父 enclave 能够在受限范围内控制子 enclave 行为，同时不破坏其隔离性。

---

实验评估

实验在 RV8 benchmark 上进行，重点测试功能隔离场景下的性能开销与资源占用。

主要结果如下：

• 运行时开销：平均为 1.8%；

• 启动延迟：在共享服务模块场景下，最多加速至原方案的 1/3；

• 内存开销：功能模块可复用，enclave 数量增加时内存消耗几乎不变；

• 实现代价：整体新增代码约 3300 行，主要集中在接口包装与权限管理模块。

---

总结

PALANTÍR 提供了一种以 enclave 层级关系为基础的特权分离机制，可用于构建服务化、可组合的 TEE 应用体系。

相比以往依赖架构改造或逻辑封装的方案，它具有：

• 安全属性可形式化验证；

• 特权控制可配置且隔离明确；

• 工程实现代价较低，适配性强；

• 适用于可信中间件、微服务封装、多租户服务等 TEE 应用场景。