别人眼中的SGX【源自论文，持续收录】

Sinisa Matetic对Intel SGX的刻画如图，可在《ROTE: Rollback Protection for Trusted Execution》等工作中找到这张图。SGX是一项TEE技术，它提供安全内存，开发者需将APP划分为不可信部分和可信部分（Enclave，受安全内存的保护），不可信部分通过访问控制进入Enclave执行敏感代码，Call Gate（ECALL接口）是Enclave的入口，Enclave内部保存ECALL函数的代码。 抗特权攻击（如OS、VMM等）。

Jo Van Bulck对Intel SGX的刻画，可在《Foreshadow: Extracting the Keys to the Intel SGX Kingdom with Transient Out-of-Order Execution》等工作中找到这张图。大致就是说SGX提供了一个用户态的“保险箱”——Enclave，这个保险箱由绿色的CPU进行CPU硬件级别的保护，OS、VMM（Hypervisor）是没有办法对“保险箱”进行攻击的。

本文地址：https://blog.csdn.net/clh14281055/article/details/107637394