开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

为什么SGX调用ioctl这么多次？

SGX（Software Guard Extensions）是英特尔提供的一种安全扩展技术，用于保护应用程序的关键代码和数据。在SGX的开发过程中，调用ioctl函数的次数较多，主要是为了实现以下功能：

初始化SGX环境：在使用SGX之前，需要通过ioctl函数初始化SGX驱动程序，包括加载驱动、建立与驱动的通信通道等。
创建和管理Enclave：Enclave是SGX中的安全执行环境，用于保护应用程序的关键代码和数据。通过ioctl函数，可以创建、加载、销毁和管理Enclave，包括分配内存、设置Enclave属性、建立与Enclave的通信通道等。
安全通信：SGX允许Enclave与外部环境进行安全通信，以实现与其他组件的交互。通过ioctl函数，可以建立安全通信通道，包括建立双向认证、加密数据传输等。
安全策略设置：SGX提供了一些安全策略，用于限制Enclave的行为和资源使用。通过ioctl函数，可以设置和修改这些安全策略，包括内存保护策略、访问控制策略等。
错误处理和状态查询：SGX的ioctl函数还用于处理错误情况和查询SGX的状态信息，包括错误码、驱动版本、硬件支持情况等。

总之，SGX调用ioctl函数的次数较多是因为它需要通过ioctl函数与SGX驱动程序进行交互，完成Enclave的创建、管理和安全通信等功能。这些功能的实现需要多次调用ioctl函数来完成相应的操作。

相关搜索:为什么NodeJS/Socket调用这么多次为什么draw_picture会被调用这么多次？为什么p-column在primeng中会被调用这么多次？为什么我的自定义钩子会被调用这么多次？无法确定哪个函数被Firebase调用了这么多次为什么contextInitialized()被多次调用？为什么didRangeBeaconsInRegion会多次调用？focusout事件被多次调用。为什么？为什么angular会多次调用函数 Wordpress:为什么多次调用init钩子？为什么我这么多次在"'“附近得到语法错误？为什么要多次调用web api方法为什么Watson的Speech to Text被多次调用为什么要多次从函数中调用函数？为什么/在哪里会多次调用这个componentDidMount()？为什么sashido会同时多次调用cron作业？Swift:为什么在这种情况下CustomStringConvertible描述会运行这么多次？为什么单击提交按钮后，单击事件处理程序会执行这么多次？C++ 11 std::vector push_back方法调用copy/dest这么多次吗？当我使用`useState`时，为什么`setTimeout`会多次调用？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

Linux对机密计算的支持

Author: Wenhui Zhang, Yibo Zhou, Yuan Zhu, Guixiong Wei, Zhe Li, Chenyu Jiang, Sam Han,Yizheng Jiao, Hou Yu, Zefan Li, Wei Xu，

03

听GPT 讲Rust源代码--library/std(8)

题图来自Why is Rust programming language so popular?[1]

01

如何使用SGXRay自动化检测SGX应用中的安全漏洞

Intel SGX采用基于应键的内存加密技术来保护独立应用程序逻辑和敏感数据。要使用这种基于硬件的安全机制，需要严格的内存使用编程模型，开发者需要应用谨慎的编程实践来确保程序的安全。

02

【投稿】在Intel SGX环境下实现Rust原生std支持

简介：Intel SGX是一个把应用与OS完全隔离的可信执行环境，应用无法直接访问OS提供的资源。我们采用的Teaclave-SGX-SDK只提供了no_std环境，导致crates生态下大量的库都无法被使用。我们通过添加libc函数模拟linux平台特性，实现依赖std的Rust生态库无需修改即可在SGX环境使用。为了保证尽可能小的安全边界，我们对每个增补的libc函数做了权限控制。同时引入了二进制分析，确保程序不会出现SGX非法指令。

03

【学习】Intel芯片架构中TEE的实现技术之SGX初探（二）

之前介绍过一篇intel芯片架构中SGX技术的文章： Intel芯片架构中TEE的实现技术之SGX初探今天我们再来详细了解下。软件应用通常需涉及诸如密码、账号、财务信息、加密秘钥和健康档案等私人信息。按英特尔 SGX 术语来讲，这些隐私信息被称为应用机密。操作系统的任务之一是对计算机系统实施安全策略，以避免机密信息无意间暴露给其他用户和应用。尽管这样，但大部分计算机系统仍然面临着一项重大安全隐患：虽然有很多安保措施可保护应用免受其它应用入侵，保护操作系统免受未授权用户访问，但是几乎没有一种措施可

09

听GPT 讲Rust源代码--library/std(7)

题图来自 Programming languages: How Google is using Rust to reduce memory safety vulnerabilities in Android[1]

01

听GPT 讲Rust源代码--library/std(14)

题图来自 My second impression of Rust and why I think it's a great general-purpose language![1]

01

蚂蚁区块链第10课可信计算分类以及TEE硬件隐私合约链智能合约开发实践

本文介绍可信计算分类INTEL SGX技术和ARM TRUSTZONE技术技术方案概要，以及应用INTEL SGX技术的蚂蚁区块链TEE硬件隐私链的智能合约开发实践。

01

Innovative Technology for CPU Based Attestation and Sealing论文翻译

Innovative Technology for CPU Based Attestation and Sealing是Intel SGX技术的官方论文，本文将翻译这篇文章。 SGX技术提供了enclave环境，当今比较火的机密计算技术一般就是基于SGX技术来实现，当然也有其他的可以提供enclave环境的技术，例如TrustZone等，但是SGX应用更多，且相比之下更安全些。

03

KVM 初探

KVM 是业界最为流行的 Hypervisor，全称是 Kernel-based Virtual Machine。它是作为 Linux kernel 中的一个内核模块而存在，模块名为 kvm.ko，也可以看作是一个进程，被内核调度并管理，从 Linux 2.6.20 版本开始被完全正式加入到内核的主干开发和正式发布代码中。 KVM 主要用于管理 CPU 和内存的虚拟化，IO 设备的虚拟化则是由 Qemu 来完成。为什么会有这样的分工，请继续往下看。 KVM 与 Qemu 的前世今生 Qemu 是一个纯软件实

CPU有个禁区，内核权限也无法进入！

最近一段时间，我几次下班约隔壁二号车间虎子，他都推脱没有时间，不过也没看见他在忙个啥。

03

Occlum简介

Occlum是基于Intel SGX的内存安全、多进程库操作系统(LibOS)。作为LibOS，它允许应用程序在SGX上运行，而不需要修改源代码或者只需要少量修改源代码，从而保护了用户工作负载的机密性和完整性。

01

内核必须懂(五): per-CPU变量

前言之前内核必须懂(四): 撰写内核驱动说到了基础的驱动模块写法. 这次目标就是计算进入驱动ioctl或者其他某个驱动函数的次数. 当然, 你可能会觉得, 这弄个全局变量计数不就完了吗? 但是这里

02

浅析Binder机制

为训练数据建一个TB级计算「飞地」，联邦学习的靠谱实现方式了解一下？

2017 年，著名杂志《经济学人》发表封面文章称，数据已经取代石油成为当今世界最有价值的资源。在那之后，「数据是新时代的『石油』」这一说法逐渐深入人心。

02

大模型时代，那些一起训练AI模型的企业是怎么应对数据顾虑的？

机器之心原创作者：张倩为训练数据建一个TB级计算「飞地」，联邦学习的靠谱实现方式了解一下？ 2017 年，著名杂志《经济学人》发表封面文章称，数据已经取代石油成为当今世界最有价值的资源。在那之后，「数据是新时代的『石油』」这一说法逐渐深入人心。图源：https://twitter.com/theeconomist/status/860135249552003073 五年后的今天，人们对数据的重视又上了一个新的台阶，尤其是在 AI 领域。大家普遍认为，数据的质量和规模将对 AI 的研究和落地产生重要

01

Intel芯片架构中TEE的实现技术之SGX(三)开发环境简介及搭建

前述内容请参照 Intel芯片架构中TEE的实现技术之SGX初探（二） Intel芯片架构中TEE的实现技术之SGX初探 SGX技术是Intel于2013年在ISCA会议中提出的，直到2015年10月支持SGX技术的CPU才问世。目前SGX技术两种应用，分别有微软Haven和Visual Studio。微软Haven系统是一个实现保护云端信息的系统。因此我们觉得Intel推出的SGX技术对云计算安全保护有重要意义。 SGX的保护是针对应用程序的地址空间的。SGX利用处理器提供的指令，在内存中划分处一部分区域

07

ipconfig 和ip addr的区别「建议收藏」

使用ifconfig 发现了使用nslookup查到的ip，而ip addr竟然不显示那个ip地址。

02

Three Paper Thursday: What’s Intel SGX Good For?

Software Guard eXtensions (SGX) represents Intel’s latest foray into trusted computing. Initially intended as a means to secure cloud computation, it has since been employed for DRM and secure key storage in production systems. SGX differs from its competitors such as TrustZone in its focus on reducing the volume of trusted code in its “secure world”. These secure worlds are called enclaves in SGX parlance and are protected from untrusted code by a combination of a memory encryption engine and a set of new CPU instructions to enforce separation.

02

英特尔CPU软件防护扩展中的新缺陷

两个独立的学术研究团队在周三发表了描述英特尔软件卫士扩展（SGX）中缺陷的论文。 SGX是一组指令，它通过允许开发人员将敏感信息划分为安全区域（内存中的执行区域，借助硬件辅助的增强安全保护）来增强应用程序的安全性。目的是保护应用程序代码和数据不被泄露或修改。证明服务使用户可以在启动应用程序之前验证应用程序隔离区的身份。研究团队表明，最近发现的缺陷可能会阻止新交所实现其目标。 SGAxe：SGX在实践中如何失败描述了长期存储的折衷方案。 CrossTalk：跨核心的推测性数据泄漏是真实的，它描述了跨内核攻击，该攻击可能使攻击者能够控制数据泄漏。密歇根大学的研究人员Stephan van Schaik、Andrew Kwong和Daniel Genkin以及阿德莱德大学的研究员Yuval Yarom写道：“SGAxe有效地打破了SGX最吸引人的特性，即在飞地上通过网络证明其可信赖性。”。研究人员攻击了由Intel提供并签名的SGX体系结构飞地，并检索了用于通过网络加密证明这些飞地是真实的秘密证明密钥，这使他们能够将假飞地冒充为真实飞地。串扰研究人员发现，一些指令从所有CPU核心共享的暂存缓冲区读取数据。他们提出了第一次使用瞬时执行的跨核攻击，并表明它可以用来攻击运行在完全不同的核心上的SGX飞地，让攻击者通过实际的性能下降攻击和发现enclave私钥来控制泄漏。“我们已经证明这是一次现实的攻击，”荷兰阿姆斯特丹维利大学的哈尼·拉加布、艾莉莎·米尔伯恩、赫伯特·博斯和克里斯蒂亚诺·朱夫里达（Cristiano Giuffrida）以及瑞士苏黎世以太银行的卡维·拉扎维（Kaveh Razavi）写道。他们补充道：“我们还发现，再次应用这些攻击来破坏在英特尔安全的SGX飞地中运行的代码几乎是微不足道的。”研究人员使用性能计数器构建了一个称为“串扰”的探查器，用于检查执行非核心请求的复杂微代码指令的数量和性质。当与瞬时执行漏洞（如微体系结构数据采样（MDS））结合时，这些操作可以揭示CPU的内部状态。研究人员写道：“即使是最近的英特尔CPU——包括公共云提供商用来支持SGX飞地的CPU——也容易受到这些攻击。”。

00

Linux内核设备驱动之高级字符设备驱动笔记整理

除了读取和写入设备外，大部分驱动程序还需要另外一种能力，即通过设备驱动程序执行各种类型的硬件控制。比如弹出介质，改变波特率等等。这些操作通过ioctl方法支持，该方法实现了同名的系统调用。

03

作为唯一安全技术入选IEEE，机密计算为什么如此重要？

作者 | 蓝晏翔邵乐希出品 | IDEA研究院大规模AI计算中的数据和模型安全人工智能技术（AI）作为这个时代最具影响力的技术，渗透到了我们生活的方方面面。特别是2022年底，OpenAI发布的ChatGPT表现出了惊人的信息分析、整合、决策和对话能力。随着人工智能模型规模和能力的进一步增强，AI未来将帮助人们完成一系列个性化的复杂工作，诸如信息咨询、任务代办等等。 AI技术的演变离不开大数据和大模型的支撑，动辄上千亿参数的大模型的训练需要消耗上万亿的高质量数据，并在面向市场的过程中不断根据用户的

03

服务器TEE：百度Teaclave驱动安全计算生态

Apache Teaclave (incubating) (https://teaclave.apache.org/)是号称全球首个通用安全计算平台。Teaclave 基于硬件安全能力（Intel SGX），确保敏感数据在可信域外和离岸场景下安全可控的流通和处理，无需担心隐私数据泄露和滥用。同时，Teaclave 还支持多方参与的联合计算，打破企业和组织中的数据孤岛。Teaclave 于 2019 年 8 月进入 Apache 基金会孵化器，2020 年 10 月，Teaclave 社区正式通过并发布了 0.1.0 版。

02

strace命令不可信任的一种情况

Linux中，在客户环境中诊断问题的一个非常有用的命令就是strace，可以利用其查看程序执行过程中的系统调用，调用库，每一个系统调用的时间，以及接收到的信号等等，在这里就不详细阐述strace的功能了。

02

Android音频系统-Ashmem

之前负责过QQ音乐Android版的播放功能，对于Android音频系统有过一些了解，因此将这些内容整理成文。本文是Android音频系统的基础篇，主要介绍了匿名内存内部实现以及对外的接口。下篇文章将介绍Ashmem对外提供的接口以及MemoryBase+MemoryHeapBase实现进程间共享内存的原理。

02

Intel芯片架构中TEE的实现技术之SGX初探

应该来说可信执行环境不仅仅指的是基于ARM的Trustzone技术的各种安全操作系统，还包括基于intel公司提出的SGX技术，以及虚拟化机制，比如L4微内核等等软硬件技术及其安全方案实现，今天我们来

08

SGX，为数据处理构建硬件级 “安全隔离区” | 至强秘笈

通过数据协同，引入更多源、多维、高质量的数据来打破数据孤岛，已成为各行各业深入开展大数据和AI应用，充分挖掘数据价值，进而加速推进数字化和智能化转型进程的共识。但数据安全与隐私是否能获得充分保障，依然是将其付诸实践的重要前提。因此，越来越多的企业客户都开始全力探索包括联邦学习在内的隐私计算方案，以求让数据实现“可用而不可见”的、更为安全的共享。

02

alsa声卡分析alsa-utils调用过程（二）-tinymixer

继上一篇文章：http://www.cnblogs.com/linhaostudy/p/8515277.html 三、tinymixer调用分析：（tinymixer.log搜索节点：/dev/snd/controlCx）还是一样，系统调用从应用层到kernel层，都要通过VFS来到file_operations；我们使用tinymixer "SEC_MI2S_RX Audio Mixer MultiMedia1" 1打开通道看一下相应的流程； log中的open("/dev/snd_controlCx

07

ioctl函数详解_函数concat的作用

特殊的read,write, 当你用read，write不能完成某一功能时，就用ioctl

05

qca wlan wifi modules 解析四

上层应用程序简历socket，对网络接口进行ioctl操作，正是通过触发，网络设备和80211层，调用底层驱动函数来实现的。

02

【专业技术】Linux设备驱动第六篇：高级字符驱动操作之iotcl

在之前我们介绍了如何实现一个简单的字符设备驱动，并介绍了简单的open，close，read，write等驱动提供的基本功能。但是一个真正的设备驱动往往提供了比简单读写更高级的功能。这一篇我们就来介绍一些驱动动中使用的一些高级的操作的实现。大部分驱动除了提供对设备的读写操作外，还需要提供对硬件控制的接口，比如查询一个framebuffer设备能提供多大的分辨率，读取一个RTC设备的时间，设置一个gpio的高低电平等等。而这些对硬件操作能力的实现一般都是通过ioctl方法来实现的 1.原型介绍 Ioctl在

08

英特尔CPU漏洞可致侧信道攻击

安全研究人员发现了两种攻击英特尔处理器的方式，可从CPU受信任执行环境（TEE）中获取敏感信息。

03

Drv之Intel显卡DevID

如转发，请标明出处！ Dev ID Dev Name 0x0042 IRONLAKE_D 0x0046 IRONLAKE_M Nehalem QM57 0x0102 SNB_D 0x0106 SNB_M 0x010A SNB_D 0x010B SNB_D 0x010E SNB_D 0x0112 SNB_D 0x0116 SNB_M 0x0122 SNB_D 0x0126 SNB_M 0x0152 IVB_D_GT1 0x0155 VLV_D 0x0156 IVB_M_GT1 0x0157 VLV_M 0

01

从可信执行环境到企业级大规模密文计算

数字经济时代，数据是企业的核心资产，数据的全生命周期加密处理是保护企业数据核心资产的最有效最可靠手段之一。在信息安全的发展过程中，我们已经建立起国家乃至世界级的技术体系，很好解决了数据加密存储和传输的安全，让数据在全世界流动起来，从而产生今天的数字经济规模。但是，在这一数据全生命周期链路中，有一个至关重要的处理过程因为技术等原因一直没有很好解决，那就是加密后数据在计算过程中的处理问题。传统的方式是要求先解密数据再进行计算，这给数据生命周期安全留下了一个巨大的缺口。

01

linux ioctl方法《Rice linux 学习开发》

在之前的文章中，驱动程序都是使用read()和write()来操作设备，但是大部分的驱动程序还需要另外一种能力，就是通过设备驱动程序执行各种类型的硬件控制。比如：用户控件经常会请求设备锁门、弹出介质、报告错误信息、改变波特率或执行破坏等操作。这些操作通常是通过ioctl方法来实现。

01

基于TEE的共享学习:数据孤岛解决方案

随着人工智能的兴起，数据的质量和数量，已经成为影响机器学习模型效果最重要的因素之一，因此通过数据共享的模式来“扩展”数据量、从而提升模型效果的诉求也变得越发强烈。

02

共享学习：蚂蚁金服提出全新数据孤岛解决方案

随着人工智能的兴起，数据的质量和数量，已经成为影响机器学习模型效果最重要的因素之一，因此通过数据共享的模式来「扩展」数据量、从而提升模型效果的诉求也变得越发强烈。

03

ioctl函数详解_lseek函数

int ioctl( int fd, int request, …/* void *arg */ );

07

32.Linux-2440下的DMA驱动(详解)

DMA(Direct Memory Access) 即直接存储器访问， DMA 传输方式无需 CPU 直接控制传输，通过硬件为 RAM 、I/O 设备开辟一条直接传送数据的通路，能使 CPU 的效率大

09

Linux系统驱动之通用驱动i2c-dev分析

要理解这些接口，记住一句话：APP通过I2C Controller与I2C Device传输数据。

02

【Binder 机制】分析 Android 内核源码中的 Binder 驱动源码 binder.c ( googlesource 中的 Android 内核源码 | 内核源码下载 )

Android 内核源码地址 : https://android.googlesource.com/kernel/

02

linux 内核 – ioctl 函数详解

ioctl 是设备驱动程序中设备控制接口函数，一个字符设备驱动通常会实现设备打开、关闭、读、写等功能，在一些需要细分的情境下，如果需要扩展新的功能，通常以增设 ioctl() 命令的方式实现。

05

TEE与比特币硬件钱包应用之Ledger

近日Ledger ，一家专注于加密货币及区块链应用安全解决方案的法国创业公司，其已与英特尔公司达成合作，旨在为数字钱包用户提供更安全的解决方案，据悉，Ledger将其区块链开放式账本操作系统（Bolo

09

【Binder 机制】Native 层 Binder 机制分析 ( service_manager.c | 开启 Binder | 注册 Binder 进程上下文 | 开启 Binder 循环 )

Init 进程启动 Zygote , Zygote 启动 System Server 进程 ;

01

嵌入式Linux获取设备信息、查询方式、休眠-唤醒方式

比如 dir 为_IOC_READ(即 2)时，表示 APP 要读数据；为_IOC_WRITE(即 4)时，表示 APP 要写数据。

02

Stringipc-从内存任意读写到权限提升

传入的new_size为-1时，krealloc分配一个0大小的空间返回一个不为0的错误代码ZERO_SIZE_PTR（0x10）,绕过下面的判断你，又因为new_size是无符号整数，此时channel->buf_size=0xffffffffffffffff，后续读和写操作的范围就没有限制，可以对内存任意读写。

05

内核挂钩调试记录

NTSTATUS Ioctl_DeviceControl(__in PDEVICE_OBJECT pDeviceObject, __in PIRP pIrp)

02

嵌入式Linux：fcntl()和ioctl()函数

fcntl()和ioctl()是用于对文件描述符进行控制的两个系统调用，它们在不同的情况下有不同的用途和功能。

00

机密Kubernetes：使用机密虚拟机和隔离环境来提升您的集群安全性

作者：Fabian Kammel (Edgeless Systems), Mikko Ylinen (Intel), Tobin Feldman-Fitzthum (IBM)

04

V4L2 实例分析 —— vivi.c 源码详解（深度好文）

V4L2 驱动源码在 drivers/media/video 目录下，主要核心代码有：

01

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭