intel SGX Tee 可信执行环境概述

雷火电竞

背景

在云计算时代，信执行环云上数据按照数据所处状态被分为三大类。境概它们分别是信执行环：

• Data in Transit，网络传输过程中的境概数据，传输状态
• Data at Rest，信执行环数据在磁盘和处于存储过程中的境概数据
  ，存储状体
• Data in use，信执行环处于内存中 ，境概处于计算中的信执行环数据 ，其为使用状态

对于数据的境概安全，专家和业界在过去几十年的信执行环努力使得传输过程中的数据安全得到了保障，比如数据链路层加密 ，境概各种各样的信执行环传输协议加密的使用，对于存储中的境概数据安全，很多数据库
 ，信执行环文件系统或者磁盘也是可以直接加密的 ，但是不管数据是在传输状态中还是在存储的时候加密，数据在最终使用的时候 
，在CPU和内存里的数据都是明文。对数据在使用状态中的保护，实现机密计算（Confidential Computing）
，硬件辅助是必要的。

机密计算（Confidential Computing）与 TEE

说到机密计算, 不得不先说可信执行环境（Trust Execution Environment）, 简称TEE。被定义为提供一定级别的数据完整性、数据机密性和代码完整性保证的环境
，具有运算和储存功能 。

基本思想：在硬件中为敏感数据单独分配一块隔离的内存 ，确保敏感数据的计算在这块内存中进行，并且除了经过授权的接口访问之外 ，硬件中的其他部分并不能够访问这块内存中的数据 ，以此来实现敏感数据的隐私计算。机密计算是通过在基于硬件的可信执行环境中执行计算来保护使用中的数据，对以下三