如何在英特尔®SGX中密封数据

软件应用通常需涉及诸如密码、账号、财务信息、加密秘钥和健康档案等私人信息。 这些敏感数据只能由指定接收人访问。 按英特尔 SGX 术语来讲，这些隐私信息被称为应用机密。

英特尔 Software Guard Extensions 技术如何确保数据安全？英特尔 SGX 可针对已知的硬件和软件攻击提供以下保护措施：

1、安全区内存不可从安全区外读写，无论当前的权限是何种级别，CPU 处于何种模式。

2、产品安全区不能通过软件或硬件调试器来调试。 （可创建具有以下调试属性的安全区：该调试属性支持专用调试器，即英特尔 SGX 调试器像标准调试器那样对其内容进行查看。 此措施旨在为软件开发周期提供辅助）。

3、全区环境不能通过传统函数调用、转移、注册操作或堆栈操作进入。 调用安全区函数的唯一途径是完成可执行多道保护验证程序的新指令。

4、安全区内存采用具有回放保护功能的行业标准加密算法进行加密。 访问内存或将 DRAM 模块连接至另一系统只会产生加密数据内存加密秘钥会随着电源周期（例如，启动时或者从睡眠和休眠状态进行恢复时）随机更改。 该秘钥存储在 CPU 中且不可访问。

5、安全区中的隔离数据只能通过共享安全区的代码访问。