PSE 的使用詳細資訊
無法判斷哪個Intel® Software Guard Extensions (Intel® SGX) 元件會調用 PSE 以及它用於什麼
Intel® Software Guard Extensions (Intel® SGX) 遠端證明端對端範例說明 Platform Services 飛地 (PSE) 的目的:
「PSE 是一個架構飛地,包含在 Intel SGX 軟體套件中,可針對受信任時間與單一計數器提供服務。這些可用於非生成期間重播保護,以及安全地電腦密應有效的時間長度。」
PSE 主要應用在兩種情境中:
-
遠端證明:請參閱Intel SGX適用于Windows*的開發人員參考指南 中的遠端證明與保護會話建立區段,以及 Intel® Software Guard Extensions遠端證明端對端範例 ,以瞭解有關遠端證明流程的詳細資訊。PSE 只能由飛地調用。ISV 應用程式又稱為未更新的應用程式,告訴飛地透過 b_pse使用PSE。接著,飛b_pse經過sgx_ra_init,用來產生遠端證明內容。此變數設定時,從用戶端到服務提供者的 Msg3 包含平臺服務資訊。收到 Msg3 後,服務提供者傳送至 Intel 證明服務 (IAS) 的負載將包含 PSE 的一個非一體程式。請參閱Intel SGX 證明 API 規格的證明證據有效負載一節,以說明 PSE 的"建議"和"非"的定義。IAS 傳送給服務提供者的證明驗證報告包含一個稱為pseManifestStatus的欄位,該欄位會告知服務提供者 Intel SGX 平臺服務的安全性屬性是否經過驗證並更新。
為了請求平臺服務,必須建立 PSE 會話。sgx-ra-sample中的飛地實施顯示如何sgx_create_pse_session基於 b_pse。
- 標籤資料:請參閱Intel SGX Windows 開發人員參考指南 中的 Sealed Data一節,以瞭解如何使用 PSE 提供的 Monotonic Counter and Trusted Time Services 來保護圍圈外(如磁片上)的飛地圍護蓋。請參閱適用于 Windows 的 Intel SGX SDK 中的 SealedData範例,以進一步瞭解詳細資訊。
在伺服器硬體上執行飛地沒有平臺服務飛地,並且無法使用用戶端特定功能。
支援 Intel® Software Guard Extensions (Intel® SGX) 平臺服務從所有 Linux* 型平臺(包括用戶端平臺)中移除,從適用于 Linux 2.9 的 Intel SGX SDK 開始。
單Intel SGX計數器的 Intel SGX API 仍然是適用于 Windows* 的 Intel® Software Guard Extensions (Intel® SGX) SDK 的一部分,並且透過適用于 Windows* 的 Intel SGX 平臺軟體在 Windows® 10 平臺上受支援。適用于Intel SGX的平臺軟體通常是透過平臺製造商的 Windows Update 安裝。