Super-Bob
Super-Bob

从0开始写一个 SGX

从0开始写一个 SGX

1.sgx project结构

参考sgxsdk的samplecode中的sampleEnclave

包含文件夹: App,Enclave,Include

包含文件:Makefile,Readme.txt

1.App:

外部程序,在enclave外部运行的代码

外部应用程序源码

2.Enclave:

  • Enclave.config.xml:enclave 配置文件

    • tag description defaule value
    ProdID ISV assigned Product ID 0
    ISVSVN ISV assigned ISV 0
    TCSNum Number of TCS 1
    TCSPolicy TCS bound to untrusted thread = 1
    TCS not bound to untrusted thread = 0    		 1
    StackMaxSize the max stack size per thread(4kb aligned) 0x40000
    HeapMaxSize the max heap size for the process(4kb aligned) 0x100000
    DisableDebug whether can debug enclave 0/1 yes/no
    MiscSelect the desired MISC feature 0
    MiscMask mask bits for the Misc feature 0xFFFFFFFF

    配置enclave的堆栈大小,链接数,

  • Enclave_private.pem:用来给动态链接库签名的私钥
  • Enclave.lds:encalve link script

    • enclave_entry entry point to enclave
    g_global_data_sim link to tRTS simulathion for running enclave
    g_peak_heap_used the size of enclave heap
    详细链接参数请参考sgx开发手册

  • Enclave.edl:enclave defined language file,用来声明enclave内部的trusted函数和app中的untrusted函数

      • 如果app中要调用enclave中的函数,那么该函数必须在edl的trusted 中声明;
      如果enclave中要调用app中的函数,那么该函数必须在edl的untrusted中声明;

  • 其他:enclave 内部程序源码

    • 3.Include:

    外部应用程序和enclave程序共享的头文件,大多是公用的数据类型的定义

    4.Makefile

    构建项目

    2.创建外部应用程序

    app.h

    #ifndef _APP_H_
#define _APP_H_

#include 
#include 
#include 
#include 

#include "sgx_error.h"       /* sgx_status_t */
#include "sgx_eid.h"     /* sgx_enclave_id_t */

#ifndef TRUE
# define TRUE 1
#endif

#ifndef FALSE
# define FALSE 0
#endif

# define TOKEN_FILENAME   "enclave.token"
# define ENCLAVE_FILENAME "enclave.signed.so"

extern sgx_enclave_id_t global_eid;    /* global enclave id */

#if defined(__cplusplus)
extern "C" {
#endif

#if defined(__cplusplus)
}
#endif

#endif /* !_APP_H_ */

    简单封装一下enclave操作
    创建一个文件夹enclave
    进入
    enclave.h

    #ifndef ENCLAVE_H_
#define ENCLAVE_H_

#include  
#include 
#include 

#include 
#include 
#include 
#include 

#define MAX_PATH FILENAME_MAX

#include "sgx_urts.h"
#include "App.h"
#include "Enclave_u.h"

#define errlist_len 15
using namespace std;
typedef struct _sgx_errlist_t {
    sgx_status_t err;
    const char *msg;
    const char *sug; /* Suggestion */
} sgx_errlist_t;

class enclave
{
private:
sgx_errlist_t sgx_errlist[errlist_len] = {
    {
        SGX_ERROR_UNEXPECTED,
        "Unexpected error occurred.",
        NULL
    },
    {
        SGX_ERROR_INVALID_PARAMETER,
        "Invalid parameter.",
        NULL
    },
    {
        SGX_ERROR_OUT_OF_MEMORY,
        "Out of memory.",
        NULL
    },
    {
        SGX_ERROR_ENCLAVE_LOST,
        "Power transition occurred.",
        "Please refer to the sample \"PowerTransition\" for details."
    },
    {
        SGX_ERROR_INVALID_ENCLAVE,
        "Invalid enclave image.",
        NULL
    },
    {
        SGX_ERROR_INVALID_ENCLAVE_ID,
        "Invalid enclave identification.",
        NULL
    },
    {
        SGX_ERROR_INVALID_SIGNATURE,
        "Invalid enclave signature.",
        NULL
    },
    {
        SGX_ERROR_OUT_OF_EPC,
        "Out of EPC memory.",
        NULL
    },
    {
        SGX_ERROR_NO_DEVICE,
        "Invalid SGX device.",
        "Please make sure SGX module is enabled in the BIOS, and install SGX driver afterwards."
    },
    {
        SGX_ERROR_MEMORY_MAP_CONFLICT,
        "Memory map conflicted.",
        NULL
    },
    {
        SGX_ERROR_INVALID_METADATA,
        "Invalid enclave metadata.",
        NULL
    },
    {
        SGX_ERROR_DEVICE_BUSY,
        "SGX device was busy.",
        NULL
    },
    {
        SGX_ERROR_INVALID_VERSION,
        "Enclave version was invalid.",
        NULL
    },
    {
        SGX_ERROR_INVALID_ATTRIBUTE,
        "Enclave was not authorized.",
        NULL
    },
    {
        SGX_ERROR_ENCLAVE_FILE_ACCESS,
        "Can't open enclave file.",
        NULL
    }
};

public:
enclave(string tfn,string efn);
sgx_enclave_id_t enclave_id;
string token_filename;
string p_token_path;
string enclave_filename;
void print_error_message(sgx_status_t ret);
int init(char* token_path);
int destroy(void);
};

#endif

    encalve.cpp

    #include "enclave.h"

enclave::enclave(string tfn,string efn)
{
    token_filename=tfn;
    enclave_filename=efn;
    //enclave_id=global_eid;
}

int enclave::destroy()
{
    sgx_status_t ret;
    ret = sgx_destroy_enclave(enclave_id);
    if(SGX_SUCCESS==ret){
        printf("Enclave %d destroy success\n",enclave_id);
    }else{
        print_error_message(ret);
        printf("Enclave %d destroy failure\n",enclave_id);
    }
    return 0;
}

void enclave::print_error_message(sgx_status_t ret)
{
    size_t idx = 0;
    size_t ttl = errlist_len;

    for (idx = 0; idx < ttl; idx++) {
        if(ret == sgx_errlist[idx].err) {
            if(NULL != sgx_errlist[idx].sug)
                printf("Info: %s\n", sgx_errlist[idx].sug);
            printf("Error: %s\n", sgx_errlist[idx].msg);
            break;
        }
    }

    if (idx == ttl)
        printf("Error: Unexpected error occurred.\n");
}


int enclave::init(char* token_path)
{
    //char token_path[MAX_PATH] = {'\0'};
    sgx_launch_token_t token = {0};
    sgx_status_t ret = SGX_ERROR_UNEXPECTED;
    int updated = 0;
    const char *home_dir = getpwuid(getuid())->pw_dir;
//set token
    if(token_path==NULL){
    token_path=(char*)malloc(MAX_PATH);
    memset(token_path,0, MAX_PATH); 
    if (home_dir != NULL && 
        (strlen(home_dir)+strlen("/")+sizeof(token_filename)+1) <= MAX_PATH) {
        strncpy(token_path, home_dir, strlen(home_dir));
        strncat(token_path, "/", strlen("/"));
        strncat(token_path, token_filename.c_str(), sizeof(token_filename)+1);
    } else {
        /* if token path is too long or $HOME is NULL */
        strncpy(token_path, token_filename.c_str(), sizeof(token_filename));
    }
    }
//load token
    p_token_path=token_path;
    FILE *fp = fopen(token_path, "rb");
    if (fp == NULL && (fp = fopen(token_path, "wb")) == NULL) {
        printf("Warning: Failed to create/open the launch token file \"%s\".\n", token_path);
    }

    if (fp != NULL) {
        size_t read_num = fread(token, 1, sizeof(sgx_launch_token_t), fp);
        if (read_num != 0 && read_num != sizeof(sgx_launch_token_t)) {
            /* if token is invalid, clear the buffer */
            memset(&token, 0x0, sizeof(sgx_launch_token_t));
            printf("Warning: Invalid launch token read from \"%s\".\n", token_path);
        }
    }
//create
    ret = sgx_create_enclave(enclave_filename.c_str(), SGX_DEBUG_FLAG, &token, &updated, &global_eid, NULL);
    if (ret != SGX_SUCCESS) {
        enclave_id=0;
        print_error_message(ret);
        if (fp != NULL) fclose(fp);
        return -1;
    }
    enclave_id=global_eid;
    if (updated == FALSE || fp == NULL) {
        if (fp != NULL) fclose(fp);
        return 0;
    }
    fp = freopen(token_path, "wb", fp);
    if (fp == NULL) return 0;
    size_t write_num = fwrite(token, 1, sizeof(sgx_launch_token_t), fp);
    if (write_num != sizeof(sgx_launch_token_t))
        printf("Warning: Failed to save launch token to \"%s\".\n", token_path);
    fclose(fp);
    return 0;
}

    写一个简单的程序模块
    创建文件夹function
    进入
    print.cpp

    #include "../App.h"
#include "Enclave_u.h"

/* OCall functions */
void ocall_print_string(const char *str)
{
    printf("==in ocall_print:%s", str);
}

    因为该模块要给enclave调用,所以要定义edl接口
    print.edl

    enclave {

    untrusted {
    //ocall generally not add a public-attribut
        void ocall_print_string([in, string] const char *str);

    };
};

    外部应用程序的主程序:
    app.cpp

    #include 
#include 
#include 

# include 
# include 

#include 
# define MAX_PATH FILENAME_MAX

#include "sgx_urts.h"
#include "App.h"
#include "Enclave_u.h"


#include "enclave.h"


sgx_enclave_id_t global_eid = 0;

/* Application entry */
int SGX_CDECL main(int argc, char *argv[])
{
    (void)(argc);
    (void)(argv);

    enclave ecv=enclave(TOKEN_FILENAME,ENCLAVE_FILENAME);
    /* Initialize the enclave */
    if(ecv.init(NULL) < 0){
        printf("init failed and exit ...\n");
        getchar();
        return -1; 
    }
//-1

    char* start[3];
    start[0]="start\n";
    start[1]="in\n";
    start[2]="app\n";
    encall_print(global_eid,start);
    printf("global eid:%d\n",global_eid);
    std::cout<<"enclave id:"<< ecv.enclave_id<<std::endl;
    std::cout<<"token:"<":"<std::endl;
    std::cout<<"enclave file:"<std::endl;
    //std::cout<<<
    ecv.destroy();

    return 0;
}

    3.创建enclave应用程序

    在Enclave文件夹中
    创建enclave程序:

    #ifndef _ENCLAVE_H_
#define _ENCLAVE_H_

#include 
#include 

#if defined(__cplusplus)
extern "C" {
#endif


#if defined(__cplusplus)
}
#endif

#endif /* !_ENCLAVE_H_ */

    enclave.cpp

    #include 
#include       /* vsnprintf */
#include "Enclave.h"
#include "Enclave_t.h"  /* print_string */
# include 
#include 

void encall_print(char **fmt)
{
    char buf[BUFSIZ] = {'\0'};
    char* a="\tnow is in encall\n";
    strncat(buf,fmt[0],100);
    strncat(buf,(fmt[1]),100);
    strncat(buf,(fmt[2]),100);
    strncat(buf,a,100);
    ocall_print_string(buf);
}

    创建给外部程序的接口:
    Encalve.edl

    /* Enclave.edl - Top EDL file. */

enclave {

    include "user_types.h" /* buffer_t */

    from "../App/function/print.edl" import *;


    trusted{
    public void encall_print([user_check] char** fmt);
    };

};

    链接文件
    Enclave.lds

    enclave.so
{
    global:
        g_global_data_sim;
        g_global_data;
        enclave_entry;
    local:
        *;
};

    配置文件
    Enclave.config.xml

    
<EnclaveConfiguration>
  <ProdID>0ProdID>
  <ISVSVN>0ISVSVN>
  <StackMaxSize>0x40000StackMaxSize>
  <HeapMaxSize>0x100000HeapMaxSize>
  <TCSNum>10TCSNum>
  <TCSPolicy>1TCSPolicy>
  <DisableDebug>0DisableDebug>
  <MiscSelect>0MiscSelect>
  <MiscMask>0xFFFFFFFFMiscMask>
EnclaveConfiguration>

    4.创建共享的头文件

    进入Include文件夹
    user_types.h

    /* User defined types */

#define LOOPS_PER_THREAD 500

typedef void *buffer_t;
typedef int array_t[10];

    5.创建makefile

    Makefile

    ######## SGX SDK Settings ########

SGX_SDK ?= /opt/intel/sgxsdk
SGX_MODE ?= SIM
SGX_ARCH ?= x64

ifeq ($(shell getconf LONG_BIT), 32)
    SGX_ARCH := x86
else ifeq ($(findstring -m32, $(CXXFLAGS)), -m32)
    SGX_ARCH := x86
endif

ifeq ($(SGX_ARCH), x86)
    SGX_COMMON_CFLAGS := -m32
    SGX_LIBRARY_PATH := $(SGX_SDK)/lib
    SGX_ENCLAVE_SIGNER := $(SGX_SDK)/bin/x86/sgx_sign
    SGX_EDGER8R := $(SGX_SDK)/bin/x86/sgx_edger8r
else
    SGX_COMMON_CFLAGS := -m64
    SGX_LIBRARY_PATH := $(SGX_SDK)/lib64
    SGX_ENCLAVE_SIGNER := $(SGX_SDK)/bin/x64/sgx_sign
    SGX_EDGER8R := $(SGX_SDK)/bin/x64/sgx_edger8r
endif

ifeq ($(SGX_DEBUG), 1)
ifeq ($(SGX_PRERELEASE), 1)
$(error Cannot set SGX_DEBUG and SGX_PRERELEASE at the same time!!)
endif
endif

ifeq ($(SGX_DEBUG), 1)
        SGX_COMMON_CFLAGS += -O0 -g
else
        SGX_COMMON_CFLAGS += -O2
endif

######## App Settings ########

ifneq ($(SGX_MODE), HW)
    Urts_Library_Name := sgx_urts_sim
else
    Urts_Library_Name := sgx_urts
endif

App_Cpp_Files := App/App.cpp $(wildcard App/enclave/*.cpp) $(wildcard App/function/*.cpp)
#add more dir in APP: $(wildcard App/dir_name/*.cpp)
App_Include_Paths := -IInclude -IApp -I$(SGX_SDK)/include -IApp/enclave

App_C_Flags := $(SGX_COMMON_CFLAGS) -fPIC -Wno-attributes $(App_Include_Paths)

# Three configuration modes - Debug, prerelease, release
#   Debug - Macro DEBUG enabled.
#   Prerelease - Macro NDEBUG and EDEBUG enabled.
#   Release - Macro NDEBUG enabled.
ifeq ($(SGX_DEBUG), 1)
        App_C_Flags += -DDEBUG -UNDEBUG -UEDEBUG
else ifeq ($(SGX_PRERELEASE), 1)
        App_C_Flags += -DNDEBUG -DEDEBUG -UDEBUG
else
        App_C_Flags += -DNDEBUG -UEDEBUG -UDEBUG
endif

App_Cpp_Flags := $(App_C_Flags) -std=c++11
App_Link_Flags := $(SGX_COMMON_CFLAGS) -L$(SGX_LIBRARY_PATH) -l$(Urts_Library_Name) -lpthread 

ifneq ($(SGX_MODE), HW)
    App_Link_Flags += -lsgx_uae_service_sim
else
    App_Link_Flags += -lsgx_uae_service
endif

App_Cpp_Objects := $(App_Cpp_Files:.cpp=.o)

App_Name := app

######## Enclave Settings ########

ifneq ($(SGX_MODE), HW)
    Trts_Library_Name := sgx_trts_sim
    Service_Library_Name := sgx_tservice_sim
else
    Trts_Library_Name := sgx_trts
    Service_Library_Name := sgx_tservice
endif
Crypto_Library_Name := sgx_tcrypto

Enclave_Cpp_Files := Enclave/Enclave.cpp 
#add more Enclave dir $(wildcard Enclave/dir_name/*.cpp)
Enclave_Include_Paths := -IInclude -IEnclave -I$(SGX_SDK)/include -I$(SGX_SDK)/include/tlibc -I$(SGX_SDK)/include/stlport

Enclave_C_Flags := $(SGX_COMMON_CFLAGS) -nostdinc -fvisibility=hidden -fpie -fstack-protector $(Enclave_Include_Paths)
Enclave_Cpp_Flags := $(Enclave_C_Flags) -std=c++03 -nostdinc++
Enclave_Link_Flags := $(SGX_COMMON_CFLAGS) -Wl,--no-undefined -nostdlib -nodefaultlibs -nostartfiles -L$(SGX_LIBRARY_PATH) \
    -Wl,--whole-archive -l$(Trts_Library_Name) -Wl,--no-whole-archive \
    -Wl,--start-group -lsgx_tstdc -lsgx_tstdcxx -l$(Crypto_Library_Name) -l$(Service_Library_Name) -Wl,--end-group \
    -Wl,-Bstatic -Wl,-Bsymbolic -Wl,--no-undefined \
    -Wl,-pie,-eenclave_entry -Wl,--export-dynamic  \
    -Wl,--defsym,__ImageBase=0 \
    -Wl,--version-script=Enclave/Enclave.lds

Enclave_Cpp_Objects := $(Enclave_Cpp_Files:.cpp=.o)

Enclave_Name := enclave.so
Signed_Enclave_Name := enclave.signed.so
Enclave_Config_File := Enclave/Enclave.config.xml

ifeq ($(SGX_MODE), HW)
ifneq ($(SGX_DEBUG), 1)
ifneq ($(SGX_PRERELEASE), 1)
Build_Mode = HW_RELEASE
endif
endif
endif


.PHONY: all run

ifeq ($(Build_Mode), HW_RELEASE)
all: $(App_Name) $(Enclave_Name)
    @echo "The project has been built in release hardware mode."
    @echo "Please sign the $(Enclave_Name) first with your signing key before you run the $(App_Name) to launch and access the enclave."
    @echo "To sign the enclave use the command:"
    @echo "   $(SGX_ENCLAVE_SIGNER) sign -key  -enclave $(Enclave_Name) -out <$(Signed_Enclave_Name)> -config $(Enclave_Config_File)"
    @echo "You can also sign the enclave using an external signing tool. See User's Guide for more details."
    @echo "To build the project in simulation mode set SGX_MODE=SIM. To build the project in prerelease mode set SGX_PRERELEASE=1 and SGX_MODE=HW."
else
all: $(App_Name) $(Signed_Enclave_Name)
endif

run: all
ifneq ($(Build_Mode), HW_RELEASE)
    @$(CURDIR)/$(App_Name)
    @echo "RUN  =>  $(App_Name) [$(SGX_MODE)|$(SGX_ARCH), OK]"
endif

######## App Objects ########

App/Enclave_u.c: $(SGX_EDGER8R) Enclave/Enclave.edl
    @cd App && $(SGX_EDGER8R) --untrusted ../Enclave/Enclave.edl --search-path ../Enclave --search-path $(SGX_SDK)/include
    @echo "GEN  =>  $@"

App/Enclave_u.o: App/Enclave_u.c
    @$(CC) $(App_C_Flags) -c $< -o $@
    @echo "CC   <=  $<"

App/%.o: App/%.cpp
    @$(CXX) $(App_Cpp_Flags) -c $< -o $@
    @echo "CXX  <=  $<"

$(App_Name): App/Enclave_u.o $(App_Cpp_Objects)
    @$(CXX) $^ -o $@ $(App_Link_Flags)
    @echo "LINK =>  $@"


######## Enclave Objects ########

Enclave/Enclave_t.c: $(SGX_EDGER8R) Enclave/Enclave.edl
    @cd Enclave && $(SGX_EDGER8R) --trusted ../Enclave/Enclave.edl --search-path ../Enclave --search-path $(SGX_SDK)/include
    @echo "GEN  =>  $@"

Enclave/Enclave_t.o: Enclave/Enclave_t.c
    @$(CC) $(Enclave_C_Flags) -c $< -o $@
    @echo "CC   <=  $<"

Enclave/%.o: Enclave/%.cpp
    @$(CXX) $(Enclave_Cpp_Flags) -c $< -o $@
    @echo "CXX  <=  $<"

$(Enclave_Name): Enclave/Enclave_t.o $(Enclave_Cpp_Objects)
    @$(CXX) $^ -o $@ $(Enclave_Link_Flags)
    @echo "LINK =>  $@"

$(Signed_Enclave_Name): $(Enclave_Name)
    @$(SGX_ENCLAVE_SIGNER) sign -key Enclave/Enclave_private.pem -enclave $(Enclave_Name) -out $@ -config $(Enclave_Config_File)
    @echo "SIGN =>  $@"

.PHONY: clean

clean:
    @rm -f $(App_Name) $(Enclave_Name) $(Signed_Enclave_Name) $(App_Cpp_Objects) App/Enclave_u.* $(Enclave_Cpp_Objects) Enclave/Enclave_t.*

    你可能感兴趣的:(SGX)

    • 关于隐语架构概览的知识 m0_67966665 架构
      学习笔记:一、隐语架构的层次结构隐语架构自底向上包括以下几个层次:硬件层(或称TEE层/TCS层):主要涉及到硬件层面的安全保障,尤其是对于可信执行环境(TEE)的支持。示例包括IntelSGX2、国产海光CSV以及蚂蚁集团推出的HyperEnclave等,它们提供了硬件级别的数据安全和隐私保护。资源层(或称资源管理层):位于硬件层之上,负责计算资源的分配与调度。包括但不限于CPU、GPU、内存以
    • 3.1.2 linux用户管理 : 常用查询 (debian和RedHat通用) : 用户组查询 阳光的王小潮
      3.1.2linux用户管理:常用查询(debian和RedHat通用):用户组查询1.常用命令$groups##查看当前用户所属用户组$cat/etc/group##查看所有的用户组$cat/etc/group|grepsgx##查看指定用户组2.查看当前用户所属用户组$groupssgxadmcdromsudodipplugdevlpadminsambashare3.查看用户组(所有)$cat
    • 【Rust光年纪】提供安全执行环境,防止内存泄漏和非授权访问 friklogff Rust光年纪rust安全开发语言
      sgx-rs到ring:深度探索Rust语言中的安全库前言随着信息安全需求的不断增加,编程社区对于安全和加密库的需求也日益迫切。本文将介绍一些用于Rust语言和WebAssembly环境中的安全库,这些库可以帮助开发人员构建安全可靠的应用程序和系统。欢迎订阅专栏:Rust光年纪文章目录sgx-rs到ring:深度探索Rust语言中的安全库前言1.sgx-rs:一个用于Rust语言的IntelSGX
    • Qt使用QCustomPlot绘制实时曲线 ALONE_WORK QTc++QCustomPlotQt实时曲线
      Qt使用QCustomPlot绘制实时曲线代码核心代码https://gitee.com/ALONE_WORK/codes/6ck3m1zornbptai2sgxju22截图演示
    • OSDI 2023: Core slicing closing the gap between leaky confidential VMs and bare-metal cloud 结构化文摘 操作系统用户态内核硬件兼容分层架构
      我们使用以下6个分类标准对本文的研究选题进行分析:1.信任模型基于虚拟机管理程序的虚拟机传统的虚拟化方式,软件虚拟机管理程序管理和隔离虚拟机。优点:成熟、灵活、易于管理、成本可能低于专用硬件方式。缺点:可信计算基础(TCB)较大,包括虚拟机管理程序,更容易受到针对虚拟机管理程序本身的攻击。硬件辅助机密计算使用IntelSGX、AMDSEV或ARMCCA等技术来保护虚拟机,即使虚拟机管理程序被攻陷也
    • OSDI 2023: An Extensible Orchestration and Protection Framework for Confidential Cloud Computing 结构化文摘 网络运维
      我们使用以下6个分类标准对本文的研究选题进行分析:1.技术:基于硬件:这类解决方案依赖于特定的硬件功能,例如IntelSGX,它利用专用处理器和内存区域创建安全飞地。这些解决方案提供强大的隔离性,但可能会受到硬件可用性和供应商锁定的限制。基于虚拟机管理程序:这类解决方案利用虚拟机管理程序(位于操作系统和硬件之间)来管理和保护飞地。摘要中的eOPF解决方案就属于这一类。基于虚拟机管理程序的解决方案比
    • 3.1.1 linux用户管理 : 常用查询(debian和RedHat通用) : 用户查询 阳光的王小潮
      3.1.1linux用户管理:常用查询(debian和RedHat通用):用户查询1.常用命令$who##查询所有的shell登陆用户$whoIam##查询当前登陆的用户$cat/etc/passwd##查询所有用户的数据库$cat/etc/passwd|grepsgx##查询指定用户的数据库2.查询当前登录用户$whoiamsgxpts/12018-10-2617:21(:0)2.查询所有登录用
    • SGX学习 slomay 智能硬件
      一、什么是SGX?intelSGX被设计用于保护应用程序的机密信息,使其抵御恶意软件的攻击,即使在应用程序、操作系统和BIOS都不可信的情况下也是如此。哪怕攻击者获得了整个平台的控制权,应用程序的机密信息依然可以收到保护。什么是机密信息?机密信息是不想被其他人看到的任何信息,比如医疗数据、个人识别信息、生物识别信息、密码、密钥以及知识产权等。这样的机密信息必须得到保护,以捍卫个人或企业的隐私、经济
    • 2022年终总结 布客飞龙
      今年主要成就是:(1)身体调整到最佳状态(2)工作有些变动但最终换成了自己满意的工作(我的优先级:研究院>券商>web3>传统工业>web2)(3)入门玄学并认识了很多朋友(4)工作站各项配件的配置拉满(双路7t83,sx1000lpt,ssgx2,p4800xx2,利民b12)(5)确立布客社区的四大方向,并且开设讨论群,逐渐走向正轨。明年规划:(1)玄学部分(1.1)继续扫描优化剩下的图书(1
    • OSDI 2023: Honeycomb Secure and Efficient GPU Executions via Static Validation 结构化文摘 操作系统安全GPUTCB性能TEE
      我们使用以下6个分类标准对本文的研究选题进行分析:1.研究方向:硬件安全:侧重于硬件层面安全解决方案的研究,例如AMDSEV、IntelSGX和ARMTEE等技术,通过专用硬件功能和架构增强安全性。软件安全:关注软件层面安全技术的改进,包括编译器优化、信息流控制、安全飞地等,以抵御代码劫持、数据泄露等攻击。侧信道攻击与防御:研究侧信道攻击的原理和防御手段,包括时序攻击、缓存攻击、行锤攻击等,旨在消
    • OSDI 2023: Encrypted Databases Made Secure Yet Maintainable 结构化文摘 操作系统OSDI安全数据库攻击面访问控制
      我们使用以下六个研究分类标准来分析本文的研究选题:1.EDB架构:整个DBMS引擎保护:将整个数据库管理系统(包括数据、查询和操作)放在受信任的域中(例如,IntelSGX安全区)。即使对于DBA来说,数据也保持加密状态,这提供了强大的安全性,但如果DBA角色被消除,维护操作将变得具有挑战性。示例:Enclavedb、Operon。操作员级保护:此方法侧重于加密和保护仅用于查询加密数据的特定操作员
    • Inodes that were part of a corrupted orphan linkedlist found 坚果仙人 编程技术笔记
      问题描述:[0.151049]x86/cpu:sGxdisabledbyBIOS./dev/nvmein1p5containsafilesystemwitherrors,checkforced.Inodesthatwerepartofacorruptedorphanlinkedlistfound./dev/nvme1n1p5:UNEXPECTEDINCONSISTENCY;RUNfsckMANUA
    • 【SGX系列教程】(一)Intel-SGX SDK在ubuntu22.04下安装全流程 tutu-hu IntelSGX系列教程linux可信计算技术硬件架构
      文章目录一.概述1.1SGX三大组件1.2SGXDataCenterAttestationPrimitives二.安装流程2.1检查服务器是否支持SGX2.2sgx硬件/软件开启方法2.3sgxdirver驱动安装;2.3.1linux-sgx-driver驱动程序2.3.2IntelSGXSupportintheLinuxKernel(linux内核支持SGX)2.3.3PlatformUses
    • 【TEE】片外内存保护:AES分组算法+MAC完整性验证 Destiny 可信执行环境TEE可信计算技术安全架构安全
      文章目录片外内存攻击面AES分组算法保护机密性1.ECB模式(电子密码本模式)2.CBC模式(密码分组链接模式)3.CTR模式(计数器模式)4.CFB模式(密码反馈模式)5.OFB模式(输出反馈模式)保护完整性Xom新鲜性,MerkelTree防重放优化:Counter的压缩模式优化:AISE其他优化方向现有TEE完整性保护IntelSGXSGXV2/ScalableSGXIntelTDX/MLT
    • 【TEE】Intel可信执行环境的前世今生 Destiny 可信执行环境TEE可信计算技术安全架构安全
      文章目录TPMMESGXTMEMKTMETDXTPMx86架构首先引入可信平台技术,是基于TPM,TPM作为一种集成到芯片组中的微控制器,主要用于密钥生成、存储和证书验证,同时保存系统各层次模块的测量值。TPM基于硬件的密码学特点可以保证存储数据免受外部恶意软件的攻击。METPM作为系统子模块由主系统调用,因此与主系统耦合性强,可扩展性弱以及缺乏系统运行行的安全策略。因此Intel于2007年推出
    • 可信执行环境业界资料 Destiny 可信执行环境TEE可信计算技术安全架构
      目录TEE可信执行IntelSGXIntelTDXARMTrustZone/CCAAMDSEVRISC-VKeystone海光CSVTEE可信执行研究IntelSGX,ARMTrustzone,AMDSEV的安全机制与应用转化IntelSGX项目位置链接https://github.com/intel/linux-sgxhttps://github.com/intel/SGXDataCenterA
    • 4.1.3.1 linux文件管理 :文件权限操作 :查看权限?? 阳光的王小潮
      4.1.3.1linux文件管理:文件权限操作:查看权限文件权限针对3类用户一共三个权限,拥有者权限,所属组权限,其他用户权限OWNER:(owner)所有者,创建文件的用户GROUP:(group)指一类相似用户,OTHER:(other)指其他用户,系统内的其他用户都可以访问查看权限$ls-l-rw-r--r--1sgxsgx0Oct2712:36code.txt[图片上传失败...(imag
    • 密码学(三) 小立爱学习 系统安全linux安全密码学
      文章目录前言一、SoftwareAttestationOverview二、AuthenticatedKeyAgreement三、TheRoleofSoftwareMeasurement前言本文来自IntelSGXExplained请参考:密码学(一)密码学(二)一、SoftwareAttestationOverview依赖于可信处理器的系统的安全性取决于软件认证。由可信硬件建立的隔离容器中运行的软
    • 密码学(二) 小立爱学习 系统安全linux安全密码学
      文章目录前言一、CertificateAuthorities二、KeyAgreementProtocols前言本文来自IntelSGXExplained请参考:密码学(一)一、CertificateAuthorities非对称密钥密码学中的公钥和私钥假设每个参与方都拥有其他参与方的正确公钥。这个假设非常关键,因为非对称密钥系统的整个安全性依赖于某些操作只能由与公钥对应的私钥的所有者执行。更具体地说
    • 一个家庭富不起来的原因,有一个就要当心了! 武轩丽
      作者:云谷禅师来源:日行一善共修平台(ID:RXYSGXPT)万贯家财,不如良好家风。俗话说:“道德传家,十代以上,耕读传家次之,诗书传家又次之,富贵传家,不过三代。”只靠财富来传承的家庭,富不过三代。唯有以德传承,才能让家庭兴旺发达,久经不衰!良好的家风,不论在什么时候,都是一个家庭兴旺的根本。而一个家庭中如果出现以下三种现象,就很难富贵兴旺,有一个,你就要反思一下了!01溺爱、纵容孩子《颜氏家
    • MFC CLXHHandleEngine动态库-自定义设置对话框使用 春蕾夏荷_728297725 c++MFCmfcc++对话框
      实现的效果如下所示:voidCSampleDlg::OnBnClickedButton2(){//TODO:在此添加控件通知处理程序代码CSgxMemDialogdlg(180,100);dlg.SetEnable(true);dlg.SetWindowTitle(_T("自定义对话框"));dlg.AddStatic(1000,//控件资源号,只要在本窗口范围不重复即可。"是否打开文件?\r\n
    • SGX Attestation 叶卡捷琳堡 sgxattestation
      Attestation有时,由于不同的原因,飞地需要与同一平台上的其他飞地协作,例如,如果飞地太小而无法容纳所有信息,则进行数据交换,或者与英特尔保留的飞地通信以执行特定的英特尔服务。因此,这两个交换飞地必须向对方证明他们是可以信任的。在其他情况下,当启用SGX的ISV客户端向其ISV客户端(例如密码管理服务)请求机密时,客户端必须向服务器证明客户端应用程序运行在可以安全处理机密的可信平台上。这两
    • Mac/Linux 安装 Go 详解 小柴的生活观 golangmacoslinuxgolang
      Mac安装Gobrew查看有哪些golang版本可用:$brewsearchgo==>Formulaealgol68ggo-jiragofabric8goolabsgx-gomongodb@3.6arangodbgo-statikgofficegooseHugomongooseargon2go@[email protected]
    • Proteus仿真--基于DS1302与数码管设计的可调电子钟 541板哥 Proteusproteus电子钟可调电子钟DS1302
      本文主要介绍基于51单片机的DS1302的可调式电子钟实验(完整仿真源文件及代码见文末链接)仿真图如下其中数码管显示电子钟时间信息,按键用于调节时间,时间芯片选用DS1302芯片仿真运行视频Proteus仿真--基于DS1302与数码管设计的可调电子钟附完整Proteus仿真资料+代码资料获取链接:https://pan.baidu.com/s/1X7Pchbs9h-SgX0ioJmdbHA?pw
    • 1、开发工具介绍及软件安装 rjr.ToString 物联网-51单片机51单片机c语言单片机物联网mcu
      软件安装百度网盘链接:https://pan.baidu.com/s/1J7sgXntt9eLNBhI1Dc6MsQ?pwd=2023提取码:2023#一Keil5安装步骤:激活:STC-ISP安装步骤:STC-ISP.exe安装即用安装CH340_CH341驱动程序所有学习课程和资源都来自:https://www.bilibili.com/video/BV1Mb411e7re/?spm_id_f
    • 使用MNE编辑EEG脑电电极(脑电地形图)配置文件 (以SEED数据集的电极排布为例) OYDL python
      电极位置坐标文件:链接:https://pan.baidu.com/s/1ddMDSGxbSAPUVkRtlhHIuA?pwd=b3w5提取码:b3w5看到私信有人要1020文件,已上传至网盘在使用MNE进行EEG信号的可视化操作时,往往需要导入对应电极的位置信息,MNE中有内置的常见电极布局系统,通过调用下面指令进行导入:#MNE自带1020系统电极位置int1020_montage=mne.c
    • SGX技术与SGX攻击 yuxinqingge 区块链技术sgxintel区块链
      2013年,Intel推出SGX(softwareguardextensions)指令集扩展,旨在以硬件安全为强制性保障,不依赖于固件和软件的安全状态,提供用户空间的可信执行环境,通过一组新的指令集扩展与访问控制机制,实现不同程序间的隔离运行,保障用户关键代码和数据的机密性与完整性不受恶意软件的破坏.不同于其他安全技术,SGX的可信计算基(trustedcomputingbase,简称TCB)仅包
    • 卸载mysql数据库,利用小工具超级简单!!! In 2029 mysql
      1.去网盘下载工具(内存很小!!)链接:https://pan.baidu.com/s/1oYFf7r14U1H6Sgx9LVPsBA?pwd=hszs提取码:hszs2.进入工具3.然后根据引导卸载(就跟安装app一样相信大家都会),卸载完这些,会有提示将注册表和注册文件进行删除即可。4.就这么简单,卸载完之后就可以安装新的数据库了!!!
    • c++11 智能指针 unique_ptr、shared_ptr与weak_ptr Caiaolun
      原文地址:https://www.cnblogs.com/lsgxeva/p/7788061.htmlC++11中有unique_ptr、shared_ptr与weak_ptr等智能指针(smartpointer),定义在中。可以对动态资源进行管理,保证任何情况下,已构造的对象最终会销毁,即它的析构函数最终会被调用。unique_ptrunique_ptr持有对对象的独有权,同一时刻只能有一个un
    • 解决不能嵌套问题! nowhere___boy Android进阶AndroidCDATA不能嵌套
      StringmsgXml=xml;Stringstr="";如果xml里面还含有CDATA,xml解析str肯定会出错,因为CDATA是不能嵌套的。我的解决方法就是把str分成三部分,分别用3个CDATA包装,这样就不存在嵌套问题了,下面是实现代码:/***字符串帮助类*@author**/publicclassStringHelper{/****//***格式化聊天消息xml-----]]>]]
    • 算法 单链的创建与删除 换个号韩国红果果 c算法
      先创建结构体 struct student { int data; //int tag;//标记这是第几个 struct student *next; }; // addone 用于将一个数插入已从小到大排好序的链中 struct student *addone(struct student *h,int x){ if(h==NULL) //??????
    • 《大型网站系统与Java中间件实践》第2章读后感 白糖_ java中间件
             断断续续花了两天时间试读了《大型网站系统与Java中间件实践》的第2章,这章总述了从一个小型单机构建的网站发展到大型网站的演化过程---整个过程会遇到很多困难,但每一个屏障都会有解决方案,最终就是依靠这些个解决方案汇聚到一起组成了一个健壮稳定高效的大型系统。          看完整章内容,
    • zeus持久层spring事务单元测试 deng520159 javaDAOspringjdbc
      今天把zeus事务单元测试放出来,让大家指出他的毛病, 1.ZeusTransactionTest.java 单元测试   package com.dengliang.zeus.webdemo.test; import java.util.ArrayList; import java.util.List; import org.junit.Test; import
    • Rss 订阅 开发 周凡杨 htmlxml订阅rss规范
                      RSS是 Really Simple Syndication的缩写(对rss2.0而言,是这三个词的缩写,对rss1.0而言则是RDF Site Summary的缩写,1.0与2.0走的是两个体系)。   RSS
    • 分页查询实现 g21121 分页查询
      在查询列表时我们常常会用到分页,分页的好处就是减少数据交换,每次查询一定数量减少数据库压力等等。 按实现形式分前台分页和服务器分页: 前台分页就是一次查询出所有记录,在页面中用js进行虚拟分页,这种形式在数据量较小时优势比较明显,一次加载就不必再访问服务器了,但当数据量较大时会对页面造成压力,传输速度也会大幅下降。 服务器分页就是每次请求相同数量记录,按一定规则排序,每次取一定序号直接的数据
    • spring jms异步消息处理 510888780 jms
      spring JMS对于异步消息处理基本上只需配置下就能进行高效的处理。其核心就是消息侦听器容器,常用的类就是DefaultMessageListenerContainer。该容器可配置侦听器的并发数量,以及配合MessageListenerAdapter使用消息驱动POJO进行消息处理。且消息驱动POJO是放入TaskExecutor中进行处理,进一步提高性能,减少侦听器的阻塞。具体配置如下:
    • highCharts柱状图 布衣凌宇 hightCharts柱图
      第一步:导入 exporting.js,grid.js,highcharts.js;第二步:写controller   @Controller@RequestMapping(value="${adminPath}/statistick")public class StatistickController {  private UserServi
    • 我的spring学习笔记2-IoC(反向控制 依赖注入) aijuans springmvcSpring 教程spring3 教程Spring 入门
      IoC(反向控制 依赖注入)这是Spring提出来了,这也是Spring一大特色。这里我不用多说,我们看Spring教程就可以了解。当然我们不用Spring也可以用IoC,下面我将介绍不用Spring的IoC。 IoC不是框架,她是java的技术,如今大多数轻量级的容器都会用到IoC技术。这里我就用一个例子来说明: 如:程序中有 Mysql.calss 、Oracle.class 、SqlSe
    • TLS java简单实现 antlove javasslkeystoretlssecure
        1. SSLServer.java package ssl; import java.io.FileInputStream; import java.io.InputStream; import java.net.ServerSocket; import java.net.Socket; import java.security.KeyStore; import
    • Zip解压压缩文件 百合不是茶 Zip格式解压Zip流的使用文件解压
         ZIP文件的解压缩实质上就是从输入流中读取数据。Java.util.zip包提供了类ZipInputStream来读取ZIP文件,下面的代码段创建了一个输入流来读取ZIP格式的文件; ZipInputStream in = new ZipInputStream(new FileInputStream(zipFileName));     &n
    • underscore.js 学习(一) bijian1013 JavaScriptunderscore
              工作中需要用到underscore.js,发现这是一个包括了很多基本功能函数的js库,里面有很多实用的函数。而且它没有扩展 javascript的原生对象。主要涉及对Collection、Object、Array、Function的操作。       学
    • java jvm常用命令工具——jstatd命令(Java Statistics Monitoring Daemon) bijian1013 javajvmjstatd
      1.介绍         jstatd是一个基于RMI(Remove Method Invocation)的服务程序,它用于监控基于HotSpot的JVM中资源的创建及销毁,并且提供了一个远程接口允许远程的监控工具连接到本地的JVM执行命令。         jstatd是基于RMI的,所以在运行jstatd的服务
    • 【Spring框架三】Spring常用注解之Transactional bit1129 transactional
      Spring可以通过注解@Transactional来为业务逻辑层的方法(调用DAO完成持久化动作)添加事务能力,如下是@Transactional注解的定义:   /* * Copyright 2002-2010 the original author or authors. * * Licensed under the Apache License, Version
    • 我(程序员)的前进方向 bitray 程序员
      作为一个普通的程序员,我一直游走在java语言中,java也确实让我有了很多的体会.不过随着学习的深入,java语言的新技术产生的越来越多,从最初期的javase,我逐渐开始转变到ssh,ssi,这种主流的码农,.过了几天为了解决新问题,webservice的大旗也被我祭出来了,又过了些日子jms架构的activemq也开始必须学习了.再后来开始了一系列技术学习,osgi,restful.....
    • nginx lua开发经验总结 ronin47
      使用nginx lua已经两三个月了,项目接开发完毕了,这几天准备上线并且跟高德地图对接。回顾下来lua在项目中占得必中还是比较大的,跟PHP的占比差不多持平了,因此在开发中遇到一些问题备忘一下 1:content_by_lua中代码容量有限制,一般不要写太多代码,正常编写代码一般在100行左右(具体容量没有细心测哈哈,在4kb左右),如果超出了则重启nginx的时候会报 too long pa
    • java-66-用递归颠倒一个栈。例如输入栈{1,2,3,4,5},1在栈顶。颠倒之后的栈为{5,4,3,2,1},5处在栈顶 bylijinnan java
      import java.util.Stack; public class ReverseStackRecursive { /** * Q 66.颠倒栈。 * 题目:用递归颠倒一个栈。例如输入栈{1,2,3,4,5},1在栈顶。 * 颠倒之后的栈为{5,4,3,2,1},5处在栈顶。 *1. Pop the top element *2. Revers
    • 正确理解Linux内存占用过高的问题 cfyme linux
      Linux开机后,使用top命令查看,4G物理内存发现已使用的多大3.2G,占用率高达80%以上: Mem:   3889836k total,  3341868k used,   547968k free,   286044k buffers Swap:  6127608k total,&nb
    • [JWFD开源工作流]当前流程引擎设计的一个急需解决的问题 comsci 工作流
           当我们的流程引擎进入IRC阶段的时候,当循环反馈模型出现之后,每次循环都会导致一大堆节点内存数据残留在系统内存中,循环的次数越多,这些残留数据将导致系统内存溢出,并使得引擎崩溃。。。。。。       而解决办法就是利用汇编语言或者其它系统编程语言,在引擎运行时,把这些残留数据清除掉。
    • 自定义类的equals函数 dai_lm equals
      仅作笔记使用 public class VectorQueue { private final Vector<VectorItem> queue; private class VectorItem { private final Object item; private final int quantity; public VectorI
    • Linux下安装R语言 datageek R语言 linux
      命令如下:sudo gedit  /etc/apt/sources.list1、deb http://mirrors.ustc.edu.cn/CRAN/bin/linux/ubuntu/ precise/ 2、deb http://dk.archive.ubuntu.com/ubuntu hardy universesudo apt-key adv --keyserver ke
    • 如何修改mysql 并发数(连接数)最大值 dcj3sjt126com mysql
      MySQL的连接数最大值跟MySQL没关系,主要看系统和业务逻辑了   方法一:进入MYSQL安装目录 打开MYSQL配置文件 my.ini 或 my.cnf查找 max_connections=100 修改为 max_connections=1000 服务里重起MYSQL即可   方法二:MySQL的最大连接数默认是100客户端登录:mysql -uusername -ppass
    • 单一功能原则 dcj3sjt126com 面向对象的程序设计软件设计编程原则
      单一功能原则[ 编辑]     SOLID 原则 单一功能原则 开闭原则 Liskov代换原则 接口隔离原则 依赖反转原则 查   论   编 在面向对象编程领域中,单一功能原则(Single responsibility principle)规定每个类都应该有
    • POJO、VO和JavaBean区别和联系 fanmingxing VOPOJOjavabean
      POJO和JavaBean是我们常见的两个关键字,一般容易混淆,POJO全称是Plain Ordinary Java Object / Plain Old Java Object,中文可以翻译成:普通Java类,具有一部分getter/setter方法的那种类就可以称作POJO,但是JavaBean则比POJO复杂很多,JavaBean是一种组件技术,就好像你做了一个扳子,而这个扳子会在很多地方被
    • SpringSecurity3.X--LDAP:AD配置 hanqunfeng SpringSecurity
      前面介绍过基于本地数据库验证的方式,参考http://hanqunfeng.iteye.com/blog/1155226,这里说一下如何修改为使用AD进行身份验证【只对用户名和密码进行验证,权限依旧存储在本地数据库中】。   将配置文件中的如下部分删除: <!-- 认证管理器,使用自定义的UserDetailsService,并对密码采用md5加密-->
    • mac mysql 修改密码 IXHONG mysql
      $ sudo /usr/local/mysql/bin/mysqld_safe –user=root & //启动MySQL(也可以通过偏好设置面板来启动)$ sudo /usr/local/mysql/bin/mysqladmin -uroot password yourpassword //设置MySQL密码(注意,这是第一次MySQL密码为空的时候的设置命令,如果是修改密码,还需在-
    • 设计模式--抽象工厂模式 kerryg 设计模式
      抽象工厂模式:     工厂模式有一个问题就是,类的创建依赖于工厂类,也就是说,如果想要拓展程序,必须对工厂类进行修改,这违背了闭包原则。我们采用抽象工厂模式,创建多个工厂类,这样一旦需要增加新的功能,直接增加新的工厂类就可以了,不需要修改之前的代码。     总结:这个模式的好处就是,如果想增加一个功能,就需要做一个实现类,
    • 评"高中女生军训期跳楼” nannan408
         首先,先抛出我的观点,各位看官少点砖头。那就是,中国的差异化教育必须做起来。    孔圣人有云:有教无类。不同类型的人,都应该有对应的教育方法。目前中国的一体化教育,不知道已经扼杀了多少创造性人才。我们出不了爱迪生,出不了爱因斯坦,很大原因,是我们的培养思路错了,我们是第一要“顺从”。如果不顺从,我们的学校,就会用各种方法,罚站,罚写作业,各种罚。军
    • scala如何读取和写入文件内容? qindongliang1922 javajvmscala
      直接看如下代码: package file import java.io.RandomAccessFile import java.nio.charset.Charset import scala.io.Source import scala.reflect.io.{File, Path} /** * Created by qindongliang on 2015/
    • C语言算法之百元买百鸡 qiufeihu c算法
      中国古代数学家张丘建在他的《算经》中提出了一个著名的“百钱买百鸡问题”,鸡翁一,值钱五,鸡母一,值钱三,鸡雏三,值钱一,百钱买百鸡,问翁,母,雏各几何? 代码如下: #include <stdio.h> int main() { int cock,hen,chick; /*定义变量为基本整型*/ for(coc
    • Hadoop集群安全性:Hadoop中Namenode单点故障的解决方案及详细介绍AvatarNode wyz2009107220 NameNode
      正如大家所知,NameNode在Hadoop系统中存在单点故障问题,这个对于标榜高可用性的Hadoop来说一直是个软肋。本文讨论一下为了解决这个问题而存在的几个solution。 1. Secondary NameNode 原理:Secondary NN会定期的从NN中读取editlog,与自己存储的Image进行合并形成新的metadata image 优点:Hadoop较早的版本都自带,
    按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他