机密计算技术简介:https://heartever.github.io/files/ConfidentialComputing-Guilin.pdf
参考文献:
术语
- TCB(Trusted computing base)
为实现计算机系统安全保护的所有安全保护机制的集合,机制可以硬件、固件和软件的形式出现。现代操作系统努力降低TCB的大小。
硬件实现
- EPC(Enclave Page Cache)
Enclave被保存在EPC中,而EPC位于DRAM中的处理器保留存储器(PRM)中
- SECS(SGX Enclave Control Structure)
每个enclave一个
- TCS(Thread Control Structure)
每个enclave中包含多个TCS,每个TCS又有一个对应的SSA。整个Enclave的TCS数量由xml配置文件中的
TCSNum
字段指示
- SSA(Save State Area)
每个TCS都有一个SSA,存储了异常和中断处理时处理器的状态。如果正在运行的enclave被停止或者中断,像寄存器这样的上下文信息都会从CPU中清除并移到它们各自的EPC中。
- SIGSTRUCT and VA Page
每个EPC通常拥有它的SIGSTRUCT和VA Page
- EPCM(Enclave Page Cache Map)用于管理Enclave Pages的安全属性,每一个EPC页在EPCM中对应有一个项,包含了页面的内存访问属性、EPC物理页对应的虚地址(防止通过控制页表来攻击)、所属enclave的id。
EPCM是CPU中的一个查询表,其中包含了enclave相关的数据