Skip to main content
QUICK REVIEW

[论文解读] Integrating Remote Attestation with Transport Layer Security

Thomas Knauth, Michael Steiner|arXiv (Cornell University)|Jan 17, 2018
Security and Verification in Computing参考文献 12被引用 41
一句话总结

该论文在不改变 TLS 的前提下,将 Intel SGX 远程信任证明与 TLS 握手集成,并为 OpenSSL、wolfSSL 和 mbedTLS 提供原型实现,以将经过鉴证的端点绑定到 SGX enclaves。

ABSTRACT

Intel(R) Software Guard Extensions (Intel(R) SGX) is a promising technology to securely process information in otherwise untrusted environments. An important aspect of Intel SGX is the ability to perform remote attestation to assess the endpoint's trustworthiness. Ultimately, remote attestation will result in an attested secure channel to provision secrets to the enclave. We seamlessly combine Intel SGX remote attestation with the establishment of a standard Transport Layer Security (TLS) connection. Remote attestation is performed during the connection setup. To achieve this, we neither change the TLS protocol, nor do we modify existing protocol implementations. We have prototype implementations for three widely used open-source TLS libraries: OpenSSL, wolfSSL and mbedTLS. We describe the requirements, design and implementation details to seamlessly bind attested TLS endpoints to Intel SGX enclaves.

研究动机与目标

  • 在不信任环境中利用 SGX 远程信任证明来促成安全处理。
  • 演示将鉴证结果无缝绑定到 TLS 连接,而不修改 TLS 协议。
  • 提供在常见 TLS 库中的实际原型实现以显示可行性。
  • 描述具备鉴证的 TLS 端点的需求、设计和实现细节。

提出的方法

  • 在 TLS 连接建立期间执行远程鉴定。
  • 将经鉴证的 TLS 端点绑定到 Intel SGX enclaves,且不修改 TLS 协议。
  • 针对 OpenSSL、wolfSSL 和 mbedTLS 的原型实现,以展示可行性。
  • 描述无缝整合的需求、设计考虑因素和实现细节。

实验结果

研究问题

  • RQ1如何在不改变 TLS 协议或现有实现的情况下,将远程鉴定与 TLS 结合?
  • RQ2将经鉴证的 TLS 端点绑定到 Intel SGX enclaves 的设计需求是什么?
  • RQ3是否可以在多种开源 TLS 库(OpenSSL、wolfSSL、mbedTLS)上实现实际的原型实现?
  • RQ4使经鉴证的 TLS 端点能够向 enclaves 提供密钥的关键设计和实现考量是什么?

主要发现

  • 在 TLS 连接建立期间可以执行远程鉴定,而无需修改 TLS 本身。
  • 存在 OpenSSL、wolfSSL 和 mbedTLS 的原型实现。
  • 该工作详细说明了将经鉴证的 TLS 端点绑定到 SGX enclaves 的需求、设计和实现。
  • 该方法使经鉴证的安全信道能够向 enclaves 提供密钥。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。