Skip to main content
QUICK REVIEW

[论文解读] Keystone: A Framework for Architecting TEEs.

Dayeol Lee, David Kohlbrenner|arXiv (Cornell University)|Jul 23, 2019
Security and Verification in Computing参考文献 47被引用 27
一句话总结

Keystone 是一个开源框架,通过利用内存隔离等硬件抽象以及位于不可信组件之下的可编程层,支持构建可定制的可信执行环境(TEE)。它缩小了可信计算基(TCB)的规模,支持在未经修改的 RISC-V 硬件上运行多种工作负载,并实现了跨不同部署模式的安全、可移植 TEE 开发。

ABSTRACT

Trusted execution environments (TEEs) are being used in all the devices from embedded sensors to cloud servers and encompass a range of cost, power constraints, and security threat model choices. On the other hand, each of the current vendor-specific TEEs makes a fixed set of trade-offs with little room for customization. We present Keystone -- the first open-source framework for building customized TEEs. Keystone uses simple abstractions provided by the hardware such as memory isolation and a programmable layer underneath untrusted components (e.g., OS). We build reusable TEE core primitives from these abstractions while allowing platform-specific modifications and application features. We showcase how Keystone-based TEEs run on unmodified RISC-V hardware and demonstrate the strengths of our design in terms of security, TCB size, execution of a range of benchmarks, applications, kernels, and deployment models.

研究动机与目标

  • 解决现有厂商专用 TEE 中缺乏定制化的问题,这些 TEE 强制执行固定的安全部分、性能与成本权衡。
  • 在不损害安全性或可移植性的情况下,支持 TEE 中的平台特定优化和应用级功能。
  • 通过将低层次硬件原语抽象为可重用、可组合的组件,减少可信计算基(TCB)的大小。
  • 支持在从嵌入式设备到云服务器的各类系统中部署,使用未经修改的 RISC-V 硬件。

提出的方法

  • 利用内存隔离和安全内存区域等低层次硬件抽象,为 TEE 构建奠定基础。
  • 在不可信组件(如操作系统)之下引入一个可编程层,以实现对 TEE 行为的细粒度控制和定制。
  • 从硬件抽象中设计可重用的 TEE 核心原语(如安全内存管理、隔离强制),以确保可移植性和模块化。
  • 在保留安全保证的前提下,通过形式化抽象和访问控制支持平台特定的扩展和优化。
  • 在未经修改的 RISC-V 硬件上实现并评估 Keystone,以验证其在各种工作负载下的可移植性和性能。
  • 支持对内核、基准测试和应用程序进行最小修改的执行,展示其在不同部署模型中的灵活性。

实验结果

研究问题

  • RQ1如何设计一个 TEE 框架,使其在保持强安全保证的同时,支持在多样化硬件平台和威胁模型下实现定制化?
  • RQ2在 TEE 中使用可组合的、硬件抽象的原语,能在多大程度上实现极小的可信计算基(TCB)?
  • RQ3一个单一框架能否在未经修改的 RISC-V 系统上实现安全、可移植的 TEE 开发,覆盖从嵌入式设备到云环境的各类场景?
  • RQ4在安全性与效率方面,该框架在包括内核、基准测试和真实应用程序在内的各类工作负载中表现如何?

主要发现

  • Keystone 相较于单体式厂商 TEE,显著减少了可信计算基(TCB)的规模,支持构建定制化 TEE。
  • 该框架成功运行在未经修改的 RISC-V 硬件上,证明了其在各类部署模型中的可移植性和兼容性。
  • Keystone 支持广泛的工作负载执行,包括内核、基准测试和应用程序,且仅需极少修改。
  • 使用可组合的、硬件抽象的原语,可在保留安全性和隔离保证的同时实现平台特定的优化。
  • 通过其下层的可编程层,该框架的设计支持与不可信组件(如操作系统)的安全集成。
  • Keystone 的开源特性促进了可扩展性与社区驱动的安全加固,提升了长期可维护性与可信度。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。