系统化课程大纲与第 1 讲 (授课语言:中文;示例以 Rust / Linux 为主)
总览:
| 模块 | 主题 | 目标 |
|---|---|---|
| 0 | 基础知识 | 虚拟化、TEE、远端证明、vsock、完整性与机密性等共通概念 |
| 1 | AMD SEV-SNP 深入 | 架构、指令集、RMP、Cloud VM 实操、性能与安全分析 |
| 2 | AWS Nitro Enclave深入 | Nitro Hypervisor、EIF 打包、vsock、ACM 证明、与 AWS 生态集成 |
| 3 | Intel TDX 深入 | TDX Module、TDVF、PAMT、Guest 驱动、Azure/GCP 预览实操 |
| 4 | 跨平台抽象与框架实践 | Rust Provider/Channel 设计、镜像布局、CI/CD、多云一键部署 |
| 5 | 安全细节与攻防 | 缓解侧信道、内核攻击面、补丁策略、可信启动链验证 |
| 6 | 性能与运维 | 内存/IO 开销剖析、监控、调优、成本测算 |
| 7 | Capstone 项目 | 将同一款 MPC 服务编译一次,跑在三种 TEE,上链证明 |
| 8 | 进阶议题 | Live-Migration、Nested TEE、合规审计、未来的 CCA / s390x-SE |
每个模块分若干节(Lesson),每节包含:
- 知识点讲解
- 参考资料
- 实验步骤
- 课后练习
详细课表
| 模块 | 内容 |
|---|---|
| 0-1 | 虚拟化 101:Ring/VMX/SVM、KVM、QEMU、Hyper-V |
| 0-2 | TEE 全景:进程级 vs VM 级、TCB、Attestation 流水线 |
| 0-3 | vsock / virtio-serial:原理、API、Rust 使用方式 |
| 0-4 | 远端证明通用模型:测量 → Quote → Verifier → Token |
| 0-5 | 实验:在本机用 QEMU+vsock 建立 Host/Guest echo |
| 1-1 | 架构剖析:ASK/ARK、RMP、VMPL、GHCB |
| 1-2 | 指令与 ioctl:SNP_GET_REPORT、SNP_ACTIVATE |
| 1-3 | Azure Confidential VM 实战:创建、ssh、拉 Quote |
| 1-4 | Rust Guest 编程:sev-guest-driver、report demo |
| 1-5 | 性能 & 安全评估:IOMMU、Direct-IO、研究漏洞回顾 |
| 2-1 | Nitro System:Hypervisor、vCPU pinning、隔离内存 |
| 2-2 | nitro-cli & EIF:Docker → Enclave 打包流水线 |
| 2-3 | vsock CID 通信、TLS/Tokio 实战 |
| 2-4 | Attestation Doc、ACM/KMS 验证、证书注入 |
| 2-5 | 与 AWS 服务集成:S3/KMS/STS proxy、成本与监控 |
| 3-1 | TDX 架构:TDX Module、TDVF、PAMT、Private-EPC |
| 3-2 | 指令 & 设备:TDG.VP.VMCALL, /dev/tdx_guest |
| 3-3 | 在 QEMU 启动 TD VM:参数、OVMF、pull quote |
| 3-4 | Azure TDX 预览:Portal & ARM 模板实践 |
| 3-5 | 性能、安全与路线图 |
| 4-1 | 共通抽象:Channel、Provider Trait 设计 |
| 4-2 | Guest Runtime:自动探测 vsock、virtio-port、Nitro FD |
| 4-3 | Host Gateway:高性能零拷贝、TLS-RA 叠合 |
| 4-4 | CI/CD:GitHub Actions 同时打 SNP/Nitro/TDX 镜像 |
| 4-5 | 扩展:接入 ARM CCA Provider(演示) |
| 5-1 | 侧信道:L1TF、SQUIP、明显/微架构差异 |
| 5-2 | 内核攻防:Guest hardening、seccomp、LSM |
| 5-3 | 补丁与滚动升级策略 |
| 5-4 | 合规:ISO/IEC 270019、金融等保映射 |
| 6-1 | 内存加密开销测量、页表完整性代价 |
| 6-2 | 网络 & 存储 I/O 路径 |
| 6-3 | Prometheus/Grafana + CloudWatch 监控 |
| 6-4 | 成本模型与优化 |
| 7-1 | 需求说明:MPC Key-Gen + Compute Service |
| 7-2 | 代码实现(Rust) |
| 7-3 | 三云镜像构建 & 自动化部署 |
| 7-4 | 统一证据链 & 用户验证脚本 |
| 7-5 | 性能与安全验收 |
| 8-1 | Live-Migration in TEE |
| 8-2 | Nested TEE(TEE in TEE) |
| 8-3 | s390x Secure-Execution / ARM CCA 展望 |
| 8-4 | 政策合规 & 产业动态 |
