Source: https://ieeexplore.ieee.org/document/9138984

Authors: Joongun Park, Naegyeong Kang, Taehoon Kim, Youngjin Kwon, Jaehyuk Huh
Download Note:
Contributor: cyp

Overview
现在Intel SGX的局限性就是monolithic的Enclave设计,Enclave中所有的代码都有相同的权限,并没有一个比较等级分明的权限等级。在Enclave里面提供权限隔离会使得低权限的用户代码无法获取到高权限等级的数据,可以保护高权限等级的数据不会被低权限的漏洞代码所窃取。

本文把MLS(mutil-level security)的概念应用到TEE上,提出了Nested Enclave。
本文贡献:

  • 提出了enclave新的模型,给原本的enclave增加了一些指令,使其支持权限隔离。
  • 通过实验展示,可以通过修改比较少的代码增加该扩展
  • 通过case studies可以论证nested enclave的高效性和安全性。