构建基于可信执行环境的应用程序,通过开源SDK帮助保护使用中的数据,该SDK跨飞地技术以及从云到边缘的所有平台提供一致的API界面。
什么是Open Enclave SDK?
机密计算是一项持续不断的工作,旨在保护数据在其整个生命周期中的静止、传输和使用。通过使用“信任执行环境”,客户可以构建在使用过程中保护数据免受外部访问的应用程序。Open Enclave SDK是一个开源SDK,旨在为开发人员创建一个统一的加密抽象,以构建基于可信执行环境(TEE)的应用程序。随着TEE技术的成熟和不同实现的出现,Open Enclave SDK致力于支持一个API集,该API集允许开发人员一次构建并部署在多个技术平台、从云到混合到边缘的不同环境以及Linux和Windows。
基于可信执行环境(TEE)的应用程序开发
飞地应用程序将自己划分为两个组件(1)不受信任的组件(称为主机)和(2)受信任的部件(称为飞地)。主机组件在不受信任的操作系统上未经修改地运行,而受信任的组件则在TEE实现提供的受保护容器内运行。这些保护措施允许飞地执行安全计算,并保证不会泄露机密。
核心原则
普遍的
- 推广飞地应用程序模型,以最小化硬件/软件特定概念
可插拔的
- 组件化以支持所需的运行时和加密库
标准化
- 删除硬件供应商特定的签名和验证要求
多平台
- 考虑到多个软件平台(Windows和Linux)的设计
可共用的
- 更容易启用可重新分发的应用程序
开放
- 开源和基于安全领域的应用程序开发标准
支持的SDK功能
✔飞地创建和管理
函数调用以管理应用程序中飞地的生命周期
✔飞地测量和识别
飞地测量和身份的表达
✔表达
定义呼入和呼出以及与之相关的数据编组的机制
✔系统原语
飞地运行时公开的系统原语,如线程和内存管理
✔密封
支持秘密持久性的功能
✔证明
支持身份验证的功能
✔运行时和加密库
可插入的库,在一个飞地内提供必要的语言和密码支持