[[340120]]

神秘項目我是CPU一號車間的阿Q，是的，我又來了。

最近一段時間，我?guī)状蜗掳嗉s隔壁二號車間虎子，他都推脫沒有時間，不過也沒看見他在忙個啥。

前幾天，我又去找他，還是沒看到他人，卻意外地在他桌上發(fā)現(xiàn)了一份文件，打開一看是一個代號為SGX的神秘項目，還是廠里領(lǐng)導(dǎo)親自帶頭攻堅。

 

仔細(xì)看了看，原來，自從上次的攻擊事件(詳情：完了!CPU一味求快出事兒了!)發(fā)生以來，領(lǐng)導(dǎo)一直憂心忡忡，雖然當(dāng)時依靠操作系統(tǒng)提供的辦法暫解了燃眉之急，不過治標(biāo)不治本，我們自身的缺陷一直存在，保不準(zhǔn)哪天還要翻車。

這個代號為SGX的神秘項目全稱Software Guard Extensions，志在全面改革，提升咱們CPU的安全能力。

偷聽會議

我瞬間不高興了，這么重要的項目，居然沒找我參加?

隨即，我來到了領(lǐng)導(dǎo)的辦公室，果然他們幾個在開著秘密會議，而我就湊在一旁偷聽。

 

“諸位，你們都是咱們廠里的核心骨干，關(guān)于這次安全能力提升的事情，大家回去之后有沒有什么想法，請暢所欲言!”，我聽到領(lǐng)導(dǎo)在講話。

核心骨干?難道我阿Q不是核心骨干嗎?真是氣抖冷!

沉悶了一小會兒，隔壁二號車間虎子才說到：“咱們現(xiàn)在不是有安全訪問級別嗎，從Ring0到Ring3，已經(jīng)可以很好到隔絕應(yīng)用程序的攻擊了啊”

 

 

領(lǐng)導(dǎo)搖了搖頭，“盡管如此，但是一些惡意軟件可以利用操作系統(tǒng)的漏洞可以獲取到Ring0的權(quán)限，咱們現(xiàn)有的安全保護就蕩然無存了”

“那也是操作系統(tǒng)的鍋，要改進也該讓他們做啊，關(guān)我們什么事呢?”，虎子繼續(xù)說到。

“你忘記前段時間針對咱們CPU發(fā)起的攻擊了嗎?”

此話一出，會場瞬間安靜了。就這水平，領(lǐng)導(dǎo)居然請他來不請我!

領(lǐng)導(dǎo)緩了緩，接著說到：“咱們不能總依賴操作系統(tǒng)的安全保護，咱們自己也得拿出點辦法。我覺得現(xiàn)有的安全機制不夠，操作系統(tǒng)漏洞頻出，很容易被攻破，咱們現(xiàn)在不能信任操作系統(tǒng)，得徹底全面的改革!”

這時，五號車間的代表說話了：“領(lǐng)導(dǎo)，我回去調(diào)研了一下，了解到咱們的競爭對手推出了一個叫TrustZone的技術(shù)，用于支持可信計算，號稱提供了一個非常安全的環(huán)境專門支持對安全性要求極高的程序運行，像什么支付啊、指紋認(rèn)證之類的，咱們要做的話可以參考一下”

聽完TrustZone的介紹，三號車間老哥仿佛找到了靈感，激動的說到：“有了!咱們可以在內(nèi)存中劃出一片特殊的區(qū)域，作為最高機密的空間。將高度機密的程序代碼和數(shù)據(jù)放在這里面運行，再引入一種新的工作模式，咱們CPU只有在這種模式下才允許訪問這個安全空間，否則就算是有Ring0的權(quán)限也不能訪問!”

 

引進一個新的工作模式，這種思路倒是很新鮮，大家紛紛議論開來。

“這個安全空間技術(shù)上要怎樣實現(xiàn)呢?”

“線程怎么進入和退出安全空間?惡意程序進去了怎么辦?”

“怎么調(diào)用外部普通空間的函數(shù)呢?外部函數(shù)被攻擊了怎么辦?”

“需要系統(tǒng)調(diào)用怎么辦?中斷和異常怎么辦?”

短短一小會兒時間，大家就七嘴八舌提了一堆問題出來···

領(lǐng)導(dǎo)給他們幾個一一分配了任務(wù)，下去思考這些問題的解決辦法，過幾天再進行討論。

在他們散會離場前，我匆忙離開了。

主動出擊

這可是個表現(xiàn)的好機會，要是能解決上面的問題，領(lǐng)導(dǎo)說不定能讓我加入這個項目組。

對于安全空間實現(xiàn)問題，既然是從內(nèi)存上劃出來的區(qū)域，自然得從內(nèi)存的訪問控制上做文章。我跟咱們廠里內(nèi)存管理單元MMU的小黑還算有些交情，打算去向他請教一番。

聽完我的需求，小黑不以為意，“就這啊，小事一樁，訪問內(nèi)存時我會進行權(quán)限檢查，到時候除了之前已有的檢查，再加一道檢查就可以：如果發(fā)現(xiàn)是要訪問安全空間的頁面，再檢查一下當(dāng)前的工作模式是否正確”

其他幾個問題我也有了自己的想法，安全空間按照創(chuàng)建-初始化-進入-退出-銷毀的順序進行使用。

創(chuàng)建：通過執(zhí)行ECREATE指令創(chuàng)建一個安全空間，

初始化：通過執(zhí)行EINIT指令對剛才創(chuàng)建的安全空間進行初始化

進入 & 退出：通過執(zhí)行EENTER/EEXIT指令進入和退出安全空間，類似于系統(tǒng)調(diào)用的SYSENTER/SYSEXIT指令。提前設(shè)置好入口地址，進入安全空間后需要從指定的地方開始執(zhí)行，避免外面的程序亂來。執(zhí)行這兩條指令的同時CPU進行安全模式的切換。

中斷 & 異常：遇到中斷和異常，需要轉(zhuǎn)而執(zhí)行操作系統(tǒng)內(nèi)核處理代碼，而操作系統(tǒng)是不能被信任的。需要執(zhí)行AEX指令退出，將在安全空間執(zhí)行的上下文保存起來，以便回頭繼續(xù)執(zhí)行。

系統(tǒng)調(diào)用：系統(tǒng)調(diào)用有點麻煩，需要進入操作系統(tǒng)內(nèi)核空間，因為不能信任操作系統(tǒng)，同樣需要先退出安全空間，執(zhí)行完系統(tǒng)調(diào)用再進來。

函數(shù)調(diào)用：安全空間和外部可以互相調(diào)用函數(shù)，普通空間調(diào)用安全空間函數(shù)叫ECALL，安全空間調(diào)用外部空間函數(shù)叫OCALL。調(diào)用的方式類似操作系統(tǒng)的系統(tǒng)調(diào)用，不同的是操作系統(tǒng)的函數(shù)是內(nèi)核提供，安全空間的函數(shù)是應(yīng)用程序自己定義的

 

銷毀：通過執(zhí)行EREMOVE指令銷毀一個安全空間

我還給這個安全空間取了一個名字，叫：Enclave，自然而然咱們CPU的工作模式就分了Enclave模式和非Enclave模式。

內(nèi)存加密

隨后，我把我的這些想法整理出來，來到了領(lǐng)導(dǎo)辦公室，主動申請加入SGX項目組。

領(lǐng)導(dǎo)顯然對我的到來有些意外，不過看完我準(zhǔn)備的材料還是滿意的同意了我的申請，讓我也參與下一次的討論會，真是功夫不負(fù)有心人!

很快就到了下一次的會議，我再也不用在門外偷聽了。

 

會議上我的方案得到了大家的一致認(rèn)可，只有八號車間的代表不以為然：“安全空間的方案是很好，但是還差一個最重要的東西，要是加上這個，那就完美了!”

“是什么?”，大家齊刷刷的望向了老八。

“這些形形色色的攻擊方式，最終都是要讀寫內(nèi)存數(shù)據(jù)，而他們屢屢得手的根本原因在于什么?”，老八說到。

大家一頭霧水，不知道他想表達什么。

“老八，你就別賣關(guān)子了，快說吧!”

老八站了起來，說到：“其根本原因就在于內(nèi)存中的數(shù)據(jù)是明文，一旦數(shù)據(jù)泄漏就可能造成嚴(yán)重后果。而如果我們把安全空間的內(nèi)存數(shù)據(jù)加密了呢?即便我們的防線都失守了，對方拿到的也只是加密后的數(shù)據(jù)，做不了什么!”

老八的話如當(dāng)頭一棒，我怎么就沒往這個方向考慮。

“加密?那什么時候解密呢?”，虎子問到。

 

“問得好，我建議咱們廠里內(nèi)存管理部門設(shè)置一個內(nèi)存加密引擎電路MEE(memory encryption engine)，對安全空間的數(shù)據(jù)進行透明的加解密，數(shù)據(jù)寫入內(nèi)存時加密，讀入咱們CPU內(nèi)部時再解密!”

虎子一聽說到：“唉，這個好，建議全面推廣，干嘛只在安全空間用啊”

老八拍了拍虎子的頭：“說你虎，你還真虎，這玩意對性能影響不可小覷，怎么能隨便用呢，好鋼要用到刀刃上!”

“好!老八這個建議好。我決定這個項目就由老八來牽頭!”，領(lǐng)導(dǎo)拍案而起。

 

 

散會后，虎子笑我忙活半天還是沒有當(dāng)上牽頭人，我倒是很看得開，能一起參與就不錯了，學(xué)到技術(shù)才是王道～

本文轉(zhuǎn)載自微信公眾號「編程技術(shù)宇宙」，可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系編程技術(shù)宇宙公眾號。