硬件要求:6代处理器并且BIOS支持。
针对可信计算,类似手臂的TrustZone,英特尔也针对x86平台提出了自己的安全架构新交所:
英特尔?软件保护扩展(英特尔?新加坡交易所)
https://software.intel.com/zh-cn/sgx-sdk
新交所全称英特尔软件保护扩展,顾名思义,其是对因特尔体系(IA)的一个扩展,用于增强软件的安全性。这种方式并不是识别和隔离平台上的所有恶意软件,而是将合法软件的安全操作封装在一个殖民地中,保护其不受恶意软件的* * *,特权或者非特权的软件都无法访问,也就是说,一旦软件和数据位于殖民地中,即便操作系统或者和VMM(虚拟机监控程序)也无法影响飞地里面的代码和数据.Enclave的安全边界只包含CPU和它自身.SGX创建的飞地也可以理解为一个可信执行环境三通(可信执行环境)。不过其与手臂TrustZone (TZ)还是有一点小区别的,TZ中通过CPU划分为两个隔离环境(安全世界和正常世界),两者之间通过SMC指令通信;而新加坡交易所中一个CPU可以运行多个安全飞地,并发执行亦可。
新交所的保护是针对应用程序的地址空间的.SGX利用处理器提供的指令,在内存中划分处一部分区域(EPC),并将应用程序地址空间中的飞地映射到这部分内存区域。这部分内存区域是加密的,通过CPU中的内存控制单元进行加密和地址转化。
当处理器访问飞地中数据时,CPU自动切换到一个新CPU的模式,叫做飞地模式.Enclave模式会强制对每一个内存访问进行额外的硬件检查。由于数据是放在EPC中,为了防止已知的内存* * *,EPC中的内存内容会被内存加密引擎(梅伊)加密的.EPC中的内存内容只有当进入CPU包时,才会解密;返回EPC内存中会被加密。
飞地页面缓存(EPC)是指一个保留加密的内存区域.Enclave中的数据代码必需在其中执行。为了在EPC中执行一个二进制程序,新加坡交易所指令允许将普通的页复制到EPC页中。
关注:
