PSE 的使用详细信息
无法确定哪个英特尔® Software Guard Extensions (英特尔® SGX) 组件调用 PSE 及其用于什么
英特尔® Software Guard Extensions (英特尔® SGX) 远程认证端到端示例说明了平台服务飞地 (PSE) 的目的:
"PSE 是一个架构飞地,英特尔 SGX软件包中,为可信时间和单一计数器提供服务。这些可用于非密码生成期间重播保护,以及安全计算机密应有效的时间长度。"
PSE 主要用在两种场景中:
-
远程认证:请参阅英特尔 SGX开发人员参考指南 中Windows*的远程认证和保护会话设置部分以及英特尔® Software Guard Extensions远程认证端到端示例 ,了解远程认证流程的详细信息。PSE 只能由飞地调用。ISV 应用程序,也称为不受信任的应用程序,告诉飞地通过b_pse变量使用PSE。飞地随后经过b_pse sgx_ra_init,该通道用于生成远程认证环境。设置此变量时,从客户端到服务提供商的 Msg3 包含平台服务信息。收到 Msg3 后,服务提供商发送到英特尔认证服务 (IAS) 的装载负载将包含 PSE 清单和非文件。有关PSE清单和非文件的定义,请参阅"英特尔 SGX API 规范"中的"认证证据装载"部分。IAS 发送到服务提供商的认证验证报告包括一个称为pseManifestStatus的字段,该字段告诉服务提供商 英特尔 SGX 平台服务的安全属性是否经过验证并是最新的。
必须建立 PSE 会话才能请求平台服务。sgx-ra-sample中的飞地实施显示了sgx_create_pse_session数据的价值来b_pse。
- 小程序数据:请参阅英特尔 SGX Windows 开发人员参考指南 中的"密封数据"部分,了解 PSE 提供的单核计数器和可信时间服务如何使用来保护飞地之外存储的飞地(如磁盘)中的飞地数据。有关实施的详细信息,请参阅 windows 英特尔 SGX SDK 中的 SealedData示例。
在服务器硬件上运行的飞地没有平台服务飞地,并且无法使用客户端特定的功能。
从 Linux 2.9 英特尔® Software Guard Extensions的 英特尔 SGX SDK 开始,从包括客户端平台在内的所有基于 Linux* 的平台中移除了对云 (英特尔® SGX) 平台服务的支持。
用于英特尔 SGX计数器的 英特尔 SGX API 仍然是 Windows* 的 英特尔® Software Guard Extensions (英特尔® SGX) SDK 的一部分,并且通过 英特尔 SGX windows* 平台软件在 Windows® 10 平台上受支持。Windows 英特尔 SGX平台软件通常通过平台制造商的 Windows 更新安装。