bios里的sgx是什么意思？

bios里的sgx是什么意思？

SGX技術(shù)定義

SGX全稱Intel Software Guard Extensions，顧名思義，其是對(duì)因特爾體系（IA）的一個(gè)擴(kuò)展，用于增強(qiáng)軟件的安全性。

SGX指令集擴(kuò)展，旨在以硬件安全為強(qiáng)制性保障，不依賴于固件和軟件的安全狀態(tài)，提供用戶空間的可信執(zhí)行環(huán)境，通過一組新的指令集擴(kuò)展與訪問控制機(jī)制，實(shí)現(xiàn)不同程序間的隔離運(yùn)行，保障用戶關(guān)鍵代碼和數(shù)據(jù)的機(jī)密性與完整性不受惡意軟件的破壞。

這種方式并不是識(shí)別和隔離平臺(tái)上的所有惡意軟件，而是將合法軟件的安全操作封裝在一個(gè)enclave中，保護(hù)其不受惡意軟件的攻擊，特權(quán)或者非特權(quán)的軟件都無法訪問enclave，也就是說，一旦軟件和數(shù)據(jù)位于enclave中，即便操作系統(tǒng)或者和VMM（Hypervisor）也無法影響enclave里面的代碼和數(shù)據(jù)。

Enclave的安全邊界只包含CPU和它自身。SGX創(chuàng)建的enclave也可以理解為一個(gè)可信執(zhí)行環(huán)境TEE（Trusted Execution Environment）。

不過其與ARM TrustZone（TZ）還是有一點(diǎn)小區(qū)別的，TZ中通過CPU劃分為兩個(gè)隔離環(huán)境（安全世界和正常世界），兩者之間通過SMC指令通信；而SGX中一個(gè)CPU可以運(yùn)行多個(gè)安全enclaves，并發(fā)執(zhí)行亦可。

當(dāng)然，在TZ的安全世界內(nèi)部實(shí)現(xiàn)多個(gè)相互隔離的安全服務(wù)亦可達(dá)到同樣的效果。

SGX Enclave的創(chuàng)建

借助Intel處理器的SGX技術(shù)，通過CPU的硬件模式切換，系統(tǒng)進(jìn)入可信模式執(zhí)行，只使用必需的硬件構(gòu)成一個(gè)完全隔離的特權(quán)模式，加載一個(gè)極小的微內(nèi)核操作系統(tǒng)支持任務(wù)調(diào)度，完成身份認(rèn)證，并根據(jù)認(rèn)證后的用戶身份.

通過使用Intel SGX技術(shù)，構(gòu)建Enclave作為完全隔離的特權(quán)模式的具體實(shí)現(xiàn)方案如下： （1）將需要運(yùn)行的虛擬機(jī)鏡像加載到磁盤中。 （2）生成加密應(yīng)用程序代碼和數(shù)據(jù)的秘鑰憑證，SGX技術(shù)提供了一種較為先進(jìn)的秘鑰加密方法，其秘鑰由SGX版本秘鑰、CPU機(jī)器秘鑰和Intel官方分配給用戶的秘鑰在秘鑰生成算法下生成的全新秘鑰，使用此秘鑰對(duì)需要加載的應(yīng)用程序的代碼和數(shù)據(jù)進(jìn)行加密。 （3）將需要加載的應(yīng)用程序或鏡像的代碼和數(shù)據(jù)首先加載到SGX Loader加載器中，為將其加載至Enclave做準(zhǔn)備。 （4）在Intel SGX 可信模式下動(dòng)態(tài)申請(qǐng)構(gòu)建一個(gè)Enclave。 （5）將需要加載的程序和數(shù)據(jù)以EPC(Enclave Page Cache)的形式首先通過秘鑰憑證解密。 （6）通過SGX指令證明解密后的程序和數(shù)據(jù)可信，并將其加載進(jìn)Enclave中，然后對(duì)加載進(jìn)Enclave中的每個(gè)EPC內(nèi)容進(jìn)行復(fù)制。 （7）由于使用了硬件隔離，進(jìn)一步保障Enclave的機(jī)密性和完整性，保障了不同的Enclave之間不會(huì)發(fā)生沖突更不會(huì)允許其互相訪問。 （8）啟動(dòng)Enclave初始化程序，禁止繼續(xù)加載和驗(yàn)證EPC，生成Enclave身份憑證，并對(duì)此憑證進(jìn)行加密，并作為Enclave標(biāo)示存入Enclave的TCS（Thread Control Structure）中，用以恢復(fù)和驗(yàn)證其身份。 （9）SGX的隔離完成，通過硬件隔離的Enclave中的鏡像程序開始執(zhí)行，構(gòu)建基于SGX技術(shù)的硬件隔離完成。

SGX Enclave的啟動(dòng)和銷毀

在完成構(gòu)建Enclave后，為保護(hù)Enclave在運(yùn)行結(jié)束或掛起后，Enclave中的信息不被泄露，而Enclave中的應(yīng)用程序可能會(huì)因?yàn)橄到y(tǒng)出現(xiàn)中斷、異常等出現(xiàn)非正常情況下的退出，為解決此類問題使用SGX技術(shù)對(duì)可能出現(xiàn)的同步退出和異步退出設(shè)置不同的處理方式，在同步退出時(shí)，Enclave中運(yùn)行的數(shù)據(jù)和代碼將會(huì)根據(jù)自定義的EEE(Enclave Exiting Events) 設(shè)置的處理方式進(jìn)行處理。而如果時(shí)異步退出的情況下，Enclave中的數(shù)據(jù)和運(yùn)行狀態(tài)等信息將會(huì)秘鑰憑證進(jìn)行加密，并存儲(chǔ)到Enclave之外，在下一次啟動(dòng)系統(tǒng)時(shí)有選擇的恢復(fù)中斷的Enclave。

SGX 創(chuàng)建Enclave可信通信通道

對(duì)于SGX Enclave的訪問請(qǐng)求，構(gòu)建檢測(cè)機(jī)制進(jìn)行限制，首先判斷是否啟動(dòng)了Enclave模式，然后判斷訪問請(qǐng)求是否來源于Enclave內(nèi)部，如果是則繼續(xù)判斷，如果不是則返回訪問失敗，然后根據(jù)給予生成Enclave前的身份憑證用于檢驗(yàn)此訪問請(qǐng)求是否來源于同一個(gè)Enclave，如果是則通過訪問檢測(cè)，若不是則根據(jù)Enclave的身份憑證記錄表，更換下一個(gè)Enclave身份憑證進(jìn)行匹配，知道所有的正在運(yùn)行的Enclave全部匹配完成，若還無法匹配成功，返回訪問失敗。