长期支持版本

    社区创新版本

      认识secGear

      概述

      随着云计算的快速发展,越来越多的企业把计算业务部署到云上,面对第三方云基础设施,云上用户数据安全面临着巨大的挑战。机密计算是一种基于硬件可信执行环境的隐私保护技术,旨在依赖最底层硬件,构建最小信任依赖,将操作系统、Hypervisor、基础设施、系统管理员、服务提供商等都从信任实体列表中删除,视为未经授权的实体,从而减少潜在的风险,保护可信执行环境中数据的机密性、完整性。然而随着机密计算技术的兴起,业界机密计算技术种类繁多(如主流的Intel SGX、ARM Trustzone、RSIC-V keystone等),各技术SDK也千差万别,给开发者带来较大的开发维护成本,长远考虑,还造成了机密计算应用生态隔离。为方便开发者快速构建保护云上数据安全的机密计算解决方案,openEuler推出机密计算统一开发框架secGear。

      架构介绍

      secGear机密计算统一开发框架技术架构如图所示,主要包括三层,共同组成openEuler机密计算软件生态底座。

      • Base Layer:机密计算SDK统一层,屏蔽TEE及SDK差异,实现不同架构共源码。
      • Middleware Layer:通用组件层,机密计算软件货架,无需从头造轮子,帮助用户快速构建机密计算解决方案。
      • Server Layer:机密计算服务层,提供典型场景机密计算解决方案。

      关键特性

      零切换

      客户痛点

      传统应用做机密计算拆分改造后,REE侧逻辑存在频繁调用TEE侧逻辑时或REE与TEE存在频繁大块数据交互时。由于REE与TEE之间的每次调用,都需要经过REE用户态 、REE内核态、驱动、TEE内核态、TEE用户态之间的上下文切换,调用传递的大块数据也要经过多次拷贝,并且驱动底层数据块大小限制等因素,频繁的REE与TEE交互性能直线下降,严重影响机密计算应用的落地。

      解决方案

      零切换是一种通过共享内存减少REE与TEE上下文切换及数据拷贝次数,优化REE与TEE交互性能的技术。

      使用方法

      1. 创建enclave时启用零切换

        零切换配置项及说明如下。

        typedef struct {
          uint32_t num_uworkers;
          uint32_t num_tworkers;
          uint32_t switchless_calls_pool_size;
          uint32_t retries_before_fallback;
          uint32_t retries_before_sleep;
          uint32_t parameter_num;
          uint32_t workers_policy;
          uint32_t rollback_to_common;
          cpu_set_t num_cores;
        } cc_sl_config_t;
        
        配置项说明
        num_uworkers非安全侧代理工作线程数,用于执行switchless OCALL,当前该字段仅在SGX平台生效,ARM平台可以配置,但是因ARM平台暂不支持OCALL,所以配置后不会生效。
        规格:
        ARM:最大值:512;最小值:1;缺省值:8(配置为0时)
        SGX:最大值:4294967295;最小值:1
        num_tworkers安全侧代理工作线程数,用于执行switchless ECALL。
        规格:
        ARM:最大值:512;最小值:1;缺省值:8(配置为0时)
        SGX:最大值:4294967295;最小值:1
        switchless_calls_pool_sizeswitchless调用任务池的大小,实际可容纳switchless_calls_pool_size * 64个switchless调用任务(例:switchless_calls_pool_size=1,可容纳64个switchless调用任务)。
        规格:
        ARM:最大值:8;最小值:1;缺省值:1(配置为0时)
        SGX:最大值:8;最小值:1;缺省值:1(配置为0时)
        retries_before_fallback执行retries_before_fallback次汇编pause指令后,若switchless调用仍没有被另一侧的代理工作线程执行,就回退到switch调用模式,该字段仅在SGX平台生效。
        规格:SGX:最大值:4294967295;最小值:1;缺省值:20000(配置为0时)
        retries_before_sleep执行retries_before_sleep次汇编pause指令后,若代理工作线程一直没有等到有任务来,则进入休眠状态,该字段仅在SGX平台生效。
        规格: SGX:最大值:4294967295;最小值:1;缺省值:20000(配置为0时)
        parameter_numswitchless函数支持的最大参数个数,该字段仅在ARM平台生效。
        规格: ARM:最大值:16;最小值:0
        workers_policyswitchless代理线程运行模式,该字段仅在ARM平台生效。
        规格: ARM: WORKERS_POLICY_BUSY:代理线程一直占用CPU资源,无论是否有任务需要处理,适用于对性能要求极高且系统软硬件资源丰富的场景; WORKERS_POLICY_WAKEUP:代理线程仅在有任务时被唤醒,处理完任务后进入休眠,等待再次被新任务唤醒
        rollback_to_common异步switchless调用失败时是否回退到普通调用,该字段仅在ARM平台生效。
        规格: ARM:0:否,失败时仅返回相应错误码;其他:是,失败时回退到普通调用,此时返回普通调用的返回值
        num_cores用于设置安全侧线程绑核
        规格: 最大值为当前环境CPU核数
      2. 定义EDL文件中接口时添加零切换标识transition_using_threads

        enclave {
            include "secgear_urts.h"
            from "secgear_tstdc.edl" import *;
            from "secgear_tswitchless.edl" import *;
            trusted {
                public int get_string([out, size=32]char *buf);
                public int get_string_switchless([out, size=32]char *buf) transition_using_threads;
            };
        };
        

      安全通道

      客户痛点

      数据拥有者在请求云上机密计算服务时,需要把待处理数据上传到云上TEE环境中处理,由于TEE没有网络,用户数据需要经过网络先传输到REE,REE接收到数据的明文后,再传入TEE中。用户数据的明文暴露在REE内存中,存在安全风险。

      解决方案

      安全通道是一种结合机密计算远程证明,实现数据拥有者与云上TEE之间安全的密钥协商技术,协商出仅数据拥有者与云上TEE拥有的sessionkey,再通过sessionkey加密用户数据,网络传输的是sessionkey加密后的数据,REE接收到密文数据,再传入TEE中解密,处理。

      使用方法

      安全通道以lib库方式提供,分为客户端、服务端host、服务端enclave三部分,分别由业务程序的客户端、服务端CA、服务端TA调用。

      模块头文件库文件依赖
      客户端secure_channel_client.hlibcsecure_channel.soopenssl
      服务端hostsecure_channel_host.hlibusecure_channel.soopenssl
      服务端enclavesecure_channel_enclave.hlibtsecure_channel.soTEE及TEE软件栈
      接口列表
      接口名所属头文件、库功能备注
      cc_sec_chl_client_initsecure_channel_client.h libcsecure_channel.so安全通道客户端初始化调用前需初始化参数ctx中网络连接和消息发送钩子函数
      cc_sec_chl_client_finisecure_channel_client.h libcsecure_channel.so安全通道客户端销毁通知服务端销毁本客户端的信息,销毁本地安全通道信息
      cc_sec_chl_client_callbacksecure_channel_client.h libcsecure_channel.so安全通道协商消息处理函数处理安全通道协商过程中,服务端发送给客户端的消息。在客户端消息接收处调用
      cc_sec_chl_client_encryptsecure_channel_client.h libcsecure_channel.so安全通道客户端的加密接口
      cc_sec_chl_client_decryptsecure_channel_client.h libcsecure_channel.so安全通道客户端的解密接口
      int (*cc_conn_opt_funcptr_t)(void *conn, void *buf, size_t count);secure_channel.h消息发送钩子函数原型由用户客户端和服务端实现,实现中指定安全通道协商消息类型,负责发送安全通道协商消息到对端
      cc_sec_chl_svr_initsecure_channel_host.h libusecure_channel.so安全通道服务端初始化调用前需初始化ctx中enclave_ctx
      cc_sec_chl_svr_finisecure_channel_host.h libusecure_channel.so安全通道服务端销毁销毁安全通道服务端以及所有客户端信息
      cc_sec_chl_svr_callbacksecure_channel_host.h libusecure_channel.so安全通道协商消息处理函数处理安全通道协商过程中,客户端发送给服务端的消息。在服务端消息接收处调用,调用前需初始化与客户端的网络连接和发送消息函数,详见样例
      cc_sec_chl_enclave_encryptsecure_channel_enclave.h libtsecure_channel.so安全通道enclave中的加密接口
      cc_sec_chl_enclave_decryptsecure_channel_enclave.h libtsecure_channel.so安全通道enclave中的解密接口
      注意事项

      安全通道仅封装密钥协商过程、加解密接口,不建立网络连接,协商过程复用业务的网络连接。其中客户端和服务端的网络连接由业务建立和维护,在安全通道客户端和服务端初始化时传入消息发送钩子函数和网络连接指针。 详见安全通道样例

      远程证明

      客户痛点

      随着机密计算技术的发展,逐渐形成几大主流技术(如Arm Trustzone/CCA、Intel SGX/TDX、擎天Enclave、海光CSV等),产品解决方案中可能存在多种机密计算硬件,甚至不同TEE之间的协同,其中远程证明是任何一种机密计算技术信任链的重要一环,每种技术的远程证明报告格式及验证流程各有差异,用户对接不同的TEE,需要集成不同TEE证明报告的验证流程,增加了用户的集成负担,并且不利于扩展新的TEE类型。

      解决方案

      secGear远程证明统一框架是机密计算远程证明相关的关键组件,屏蔽不同TEE远程证明差异,提供Attestation Agent和Attestation Service两个组件,Agent供用户集成获取证明报告,对接证明服务;Service可独立部署,支持iTrustee、virtCCA远程证明报告的验证。

      功能描述

      远程证明统一框架聚焦机密计算相关功能,部署服务时需要的服务运维等相关能力由服务部署第三方提供。远程证明统一框架的关键技术如下:

      • 报告校验插件框架:支持运行时兼容iTrustee、vritCCA、CCA等不同TEE平台证明报告检验,支持扩展新的TEE报告检验插件。
      • 证书基线管理:支持对不同TEE类型的TCB/TA基线值管理及公钥证书管理,集中部署到服务端,对用户透明。
      • 策略管理:提供默认策略(易用)、用户定制策略(灵活)。
      • 身份令牌:支持对不同TEE签发身份令牌,由第三方信任背书,实现不同TEE类型相互认证。
      • 证明代理:支持对接证明服务/点对点互证,兼容TEE报告获取,身份令牌验证等,易集成,使用户聚焦业务。

      根据使用场景,支持点对点验证和证明服务验证两种模式。

      证明服务验证流程如下:

      1.用户(普通节点或TEE)对TEE平台发起挑战。

      2.TEE平台通过证明代理获取TEE证明报告,并返回给用户。

      3.用户端证明代理将报告转发到远程证明服务。

      4.远程证明服务完成报告校验,返回由第三方信任背书的统一格式身份令牌。

      5.证明代理验证身份令牌,并解析得到证明报告校验结果。

      6.得到通过的校验结果后,建立安全连接。

      点对点验证流程(无证明服务)如下:

      1.用户向TEE平台发起挑战,TEE平台返回证明报告给用户。

      2.用户使用本地点对点TEE校验插件完成报告验证。

      说明:

      点对点验证和远程证明服务验证时的证明代理不同,在编译时可通过编译选项,决定编译有证明服务和点对点模式的证明代理。

      应用场景

      在金融、AI等场景下,基于机密计算保护运行中的隐私数据安全时,远程证明是校验机密计算环境及应用合法性的技术手段,远程证明统一框架提供了易集成、易部署的组件,帮助用户快速使能机密计算远程证明能力。

      缩略语

      缩略语英文全名中文解释
      REERich Execution Environment富执行环境
      TEETrusted Execution Environment可信执行环境
      EDLEnclave Description Language安全应用描述语言

      文档捉虫

      “有虫”文档片段

      问题描述

      提交类型 issue

      有点复杂...

      找人问问吧。

      PR

      小问题,全程线上修改...

      一键搞定!

      问题类型
      规范和低错类

      ● 错别字或拼写错误;标点符号使用错误;

      ● 链接错误、空单元格、格式错误;

      ● 英文中包含中文字符;

      ● 界面和描述不一致,但不影响操作;

      ● 表述不通顺,但不影响理解;

      ● 版本号不匹配:如软件包名称、界面版本号;

      易用性

      ● 关键步骤错误或缺失,无法指导用户完成任务;

      ● 缺少必要的前提条件、注意事项等;

      ● 图形、表格、文字等晦涩难懂;

      ● 逻辑不清晰,该分类、分项、分步骤的没有给出;

      正确性

      ● 技术原理、功能、规格等描述和软件不一致,存在错误;

      ● 原理图、架构图等存在错误;

      ● 命令、命令参数等错误;

      ● 代码片段错误;

      ● 命令无法完成对应功能;

      ● 界面错误,无法指导操作;

      风险提示

      ● 对重要数据或系统存在风险的操作,缺少安全提示;

      内容合规

      ● 违反法律法规,涉及政治、领土主权等敏感词;

      ● 内容侵权;

      您对文档的总体满意度

      非常不满意
      非常满意
      提交
      根据您的反馈,会自动生成issue模板。您只需点击按钮,创建issue即可。
      文档捉虫
      编组 3备份