CPU有個禁區，內核權限也無法進入！_風聞

　　神秘項目

　　我是CPU一號車間的阿Q，是的，我又來了。

　　最近一段時間，我幾次下班約隔壁二號車間虎子，他都推脱沒有時間，不過也沒看見他在忙個啥。

　　前幾天，我又去找他，還是沒看到他人，卻意外地在他桌上發現了一份文件，打開一看是一個代號為SGX的神秘項目，還是廠裏領導親自帶頭攻堅。

　　仔細看了看，原來，自從上次的攻擊事件（詳情：完了！CPU一味求快出事兒了！）發生以來，領導一直憂心忡忡，雖然當時依靠操作系統提供的辦法暫解了燃眉之急，不過治標不治本，我們自身的缺陷一直存在，保不準哪天還要翻車。

　　這個代號為SGX的神秘項目全稱Software Guard Extensions，志在全面改革，提升咱們CPU的安全能力。

　　偷聽會議

　　我瞬間不高興了，這麼重要的項目，居然沒找我參加？

　　隨即，我來到了領導的辦公室，果然他們幾個在開着秘密會議，而我就湊在一旁偷聽。

　　“諸位，你們都是咱們廠裏的核心骨幹，關於這次安全能力提升的事情，大家回去之後有沒有什麼想法，請暢所欲言！”，我聽到領導在講話。

　　核心骨幹？難道我阿Q不是核心骨幹嗎？真是氣抖冷！

　　沉悶了一小會兒，隔壁二號車間虎子才説到：“咱們現在不是有安全訪問級別嗎，從Ring0到Ring3，已經可以很好到隔絕應用程序的攻擊了啊”

　　領導搖了搖頭，“儘管如此，但是一些惡意軟件可以利用操作系統的漏洞可以獲取到Ring0的權限，咱們現有的安全保護就蕩然無存了”

　　“那也是操作系統的鍋，要改進也該讓他們做啊，關我們什麼事呢？”，虎子繼續説到。

　　“你忘記前段時間針對咱們CPU發起的攻擊了嗎？”

　　此話一出，會場瞬間安靜了。就這水平，領導居然請他來不請我！

　　領導緩了緩，接着説到：“咱們不能總依賴操作系統的安全保護，咱們自己也得拿出點辦法。我覺得現有的安全機制不夠，操作系統漏洞頻出，很容易被攻破，咱們現在不能信任操作系統，得徹底全面的改革！”

　　這時，五號車間的代表説話了：“領導，我回去調研了一下，瞭解到咱們的競爭對手推出了一個叫TrustZone的技術，用於支持可信計算，號稱提供了一個非常安全的環境專門支持對安全性要求極高的程序運行，像什麼支付啊、指紋認證之類的，咱們要做的話可以參考一下”

　　聽完TrustZone的介紹，三號車間老哥彷彿找到了靈感，激動的説到：“有了！咱們可以在內存中劃出一片特殊的區域，作為最高機密的空間。將高度機密的程序代碼和數據放在這裏面運行，再引入一種新的工作模式，咱們CPU只有在這種模式下才允許訪問這個安全空間，否則就算是有Ring0的權限也不能訪問！”

　　引進一個新的工作模式，這種思路倒是很新鮮，大家紛紛議論開來。

　　“這個安全空間技術上要怎樣實現呢？”

　　“線程怎麼進入和退出安全空間？惡意程序進去了怎麼辦？”

　　“怎麼調用外部普通空間的函數呢？外部函數被攻擊了怎麼辦？”

　　“需要系統調用怎麼辦？中斷和異常怎麼辦？”

　　短短一小會兒時間，大家就七嘴八舌提了一堆問題出來···

　　領導給他們幾個一一分配了任務，下去思考這些問題的解決辦法，過幾天再進行討論。

　　在他們散會離場前，我匆忙離開了。

　　主動出擊

　　這可是個表現的好機會，要是能解決上面的問題，領導説不定能讓我加入這個項目組。

　　對於安全空間實現問題，既然是從內存上劃出來的區域，自然得從內存的訪問控制上做文章。我跟咱們廠裏內存管理單元MMU的小黑還算有些交情，打算去向他請教一番。

　　聽完我的需求，小黑不以為意，“就這啊，小事一樁，訪問內存時我會進行權限檢查，到時候除了之前已有的檢查，再加一道檢查就可以：如果發現是要訪問安全空間的頁面，再檢查一下當前的工作模式是否正確”

　　其他幾個問題我也有了自己的想法，安全空間按照創建-初始化-進入-退出-銷燬的順序進行使用。

　　創建：通過執行ECREATE指令創建一個安全空間，

　　初始化：通過執行EINIT指令對剛才創建的安全空間進行初始化

　　進入 & 退出：通過執行EENTER/EEXIT指令進入和退出安全空間，類似於系統調用的SYSENTER/SYSEXIT指令。提前設置好入口地址，進入安全空間後需要從指定的地方開始執行，避免外面的程序亂來。執行這兩條指令的同時CPU進行安全模式的切換。

　　中斷 & 異常：遇到中斷和異常，需要轉而執行操作系統內核處理代碼，而操作系統是不能被信任的。需要執行AEX指令退出，將在安全空間執行的上下文保存起來，以便回頭繼續執行。

　　系統調用：系統調用有點麻煩，需要進入操作系統內核空間，因為不能信任操作系統，同樣需要先退出安全空間，執行完系統調用再進來。

　　函數調用：安全空間和外部可以互相調用函數，普通空間調用安全空間函數叫ECALL，安全空間調用外部空間函數叫OCALL。調用的方式類似操作系統的系統調用，不同的是操作系統的函數是內核提供，安全空間的函數是應用程序自己定義的

　　銷燬：通過執行EREMOVE指令銷燬一個安全空間

　　我還給這個安全空間取了一個名字，叫：Enclave，自然而然咱們CPU的工作模式就分了Enclave模式和非Enclave模式。

　　內存加密

　　隨後，我把我的這些想法整理出來，來到了領導辦公室，主動申請加入SGX項目組。

　　領導顯然對我的到來有些意外，不過看完我準備的材料還是滿意的同意了我的申請，讓我也參與下一次的討論會，真是功夫不負有心人！

　　很快就到了下一次的會議，我再也不用在門外偷聽了。

　　會議上我的方案得到了大家的一致認可，只有八號車間的代表不以為然：“安全空間的方案是很好，但是還差一個最重要的東西，要是加上這個，那就完美了！”

　　“是什麼？”，大家齊刷刷的望向了老八。

　　“這些形形色色的攻擊方式，最終都是要讀寫內存數據，而他們屢屢得手的根本原因在於什麼？”，老八説到。

　　大家一頭霧水，不知道他想表達什麼。

　　“老八，你就別賣關子了，快説吧！”

　　老八站了起來，説到：“其根本原因就在於內存中的數據是明文，一旦數據泄漏就可能造成嚴重後果。而如果我們把安全空間的內存數據加密了呢？即便我們的防線都失守了，對方拿到的也只是加密後的數據，做不了什麼！”

　　老八的話如當頭一棒，我怎麼就沒往這個方向考慮。

　　“加密？那什麼時候解密呢？”，虎子問到。

　　“問得好，我建議咱們廠裏內存管理部門設置一個內存加密引擎電路MEE(memory encryption engine)，對安全空間的數據進行透明的加解密，數據寫入內存時加密，讀入咱們CPU內部時再解密！”

　　虎子一聽説到：“唉，這個好，建議全面推廣，幹嘛只在安全空間用啊”

　　老八拍了拍虎子的頭：“説你虎，你還真虎，這玩意對性能影響不可小覷，怎麼能隨便用呢，好鋼要用到刀刃上！”

　　“好！老八這個建議好。我決定這個項目就由老八來牽頭！”，領導拍案而起。

　　散會後，虎子笑我忙活半天還是沒有當上牽頭人，我倒是很看得開，能一起參與就不錯了，學到技術才是王道～

　　彩蛋

　　SGX項目上馬後，咱們CPU的安全性有了很大的提升，然而我們花了這麼大力氣打造出的這個安全空間真的如鐵桶一般，牢不可破嗎？

　　預知後事如何，請關注後續精彩······

　　受限於故事形式，SGX技術的很多實現細節不便展開，感興趣實現原理的朋友參考閲讀下面的文章：

　　SGX技術的分析和研究：http://www.jos.org.cn/html/2018/9/5594.htm

　　Intel SGX學習：https://zhuanlan.zhihu.com/p/50894009

　　Intel 官方文檔：https://software.intel.com/sites/default/files/article/413936/hasp-2013-innovative-instructions-and-software-model-for-isolated-execution.pdf