2020-2026年全球边缘计算市场

问得好，我建议咱们厂里内存管理部门设置一个内存加密引擎电路MEE(memory encryption engine)，对安全空间的数据进行透明的加解密，数据写入内存时加密，读入咱们CPU内部时再解密!”

虎子一听说到：“唉，这个好，建议全面推广，干嘛只在安全空间用啊”

老八拍了拍虎子的头：“说你虎，你还真虎，这玩意对性能影响不可小觑，怎么能随便用呢，好钢要用到刀刃上!”

“好!老八这个建议好。我决定这个项目就由老八来牵头!”，领导拍案而起。

散会后，虎子笑我忙活半天还是没有当上牵头人，我倒是很看得开，能一起参与就不错了，学到技术才是王道～

 

销毁：通过执行EREMOVE指令销毁一个安全空间

我还给这个安全空间取了一个名字，叫：Enclave，自然而然咱们CPU的工作模式就分了Enclave模式和非Enclave模式。

内存加密

随后，我把我的这些想法整理出来，来到了领导办公室，主动申请加入SGX项目组。

领导显然对我的到来有些意外，不过看完我准备的材料还是满意的同意了我的申请，让我也参与下一次的讨论会，真是功夫不负有心人!

很快就到了下一次的会议，我再也不用在门外偷听了。

会议上我的方案得到了大家的一致认可，只有八号车间的代表不以为然：“安全空间的方案是很好，但是还差一个最重要的东西，要是加上这个，那就完美了!”

“是什么?”，大家齐刷刷的望向了老八。

“这些形形色色的攻击方式，最终都是要读写内存数据，而他们屡屡得手的根本原因在于什么?”，老八说到。

大家一头雾水，不知道他想表达什么。

“老八，你就别卖关子了，快说吧!”

老八站了起来，说到：“其根本原因就在于内存中的数据是明文，一旦数据泄漏就可能造成严重后果。而如果我们把安全空间的内存数据加密了呢?即便我们的防线都失守了，对方拿到的也只是加密后的数据，做不了什么!”

老八的话如当头一棒，我怎么就没往这个方向考虑。

“加密?那什么时候解密呢?”，虎子问到。

 

听完我的需求，小黑不以为意，“就这啊，小事一桩，访问内存时我会进行权限检查，到时候除了之前已有的检查，再加一道检查就可以：如果发现是要访问安全空间的页面，再检查一下当前的工作模式是否正确”

其他几个问题我也有了自己的想法，安全空间按照创建-初始化-进入-退出-销毁的顺序进行使用。

创建：通过执行ECREATE指令创建一个安全空间，

初始化：通过执行EINIT指令对刚才创建的安全空间进行初始化

进入 & 退出：通过执行EENTER/EEXIT指令进入和退出安全空间，类似于系统调用的SYSENTER/SYSEXIT指令。提前设置好入口地址，进入安全空间后需要从指定的地方开始执行，避免外面的程序乱来。执行这两条指令的同时CPU进行安全模式的切换。

中断 & 异常：遇到中断和异常，需要转而执行操作系统内核处理代码，而操作系统是不能被信任的。需要执行AEX指令退出，将在安全空间执行的上下文保存起来，以便回头继续执行。

系统调用：系统调用有点麻烦，需要进入操作系统内核空间，因为不能信任操作系统，同样需要先退出安全空间，执行完系统调用再进来。

函数调用：安全空间和外部可以互相调用函数，普通空间调用安全空间函数叫ECALL，安全空间调用外部空间函数叫OCALL。调用的方式类似操作系统的系统调用，不同的是操作系统的函数是内核提供，安全空间的函数是应用程序自己定义的

（编辑：济宁站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!