軟件應(yīng)用通常需涉及諸如密碼、賬號(hào)、財(cái)務(wù)信息、加密秘鑰和健康檔案等私人信息。 這些敏感數(shù)據(jù)只能由指定接收人訪問(wèn)。 按英特爾 SGX 術(shù)語(yǔ)來(lái)講，這些隱私信息被稱為應(yīng)用機(jī)密。

英特爾 Software Guard Extensions 技術(shù)如何確保數(shù)據(jù)安全？英特爾 SGX 可針對(duì)已知的硬件和軟件攻擊提供以下保護(hù)措施：

1、安全區(qū)內(nèi)存不可從安全區(qū)外讀寫，無(wú)論當(dāng)前的權(quán)限是何種級(jí)別，CPU 處于何種模式。

2、產(chǎn)品安全區(qū)不能通過(guò)軟件或硬件調(diào)試器來(lái)調(diào)試。 （可創(chuàng)建具有以下調(diào)試屬性的安全區(qū)：該調(diào)試屬性支持專用調(diào)試器，即英特爾 SGX 調(diào)試器像標(biāo)準(zhǔn)調(diào)試器那樣對(duì)其內(nèi)容進(jìn)行查看。 此措施旨在為軟件開發(fā)周期提供輔助）。

3、全區(qū)環(huán)境不能通過(guò)傳統(tǒng)函數(shù)調(diào)用、轉(zhuǎn)移、注冊(cè)操作或堆棧操作進(jìn)入。 調(diào)用安全區(qū)函數(shù)的唯一途徑是完成可執(zhí)行多道保護(hù)驗(yàn)證程序的新指令。

4、安全區(qū)內(nèi)存采用具有回放保護(hù)功能的行業(yè)標(biāo)準(zhǔn)加密算法進(jìn)行加密。 訪問(wèn)內(nèi)存或?qū)?DRAM 模塊連接至另一系統(tǒng)只會(huì)產(chǎn)生加密數(shù)據(jù)內(nèi)存加密秘鑰會(huì)隨著電源周期（例如，啟動(dòng)時(shí)或者從睡眠和休眠狀態(tài)進(jìn)行恢復(fù)時(shí)）隨機(jī)更改。 該秘鑰存儲(chǔ)在 CPU 中且不可訪問(wèn)。

5、安全區(qū)中的隔離數(shù)據(jù)只能通過(guò)共享安全區(qū)的代碼訪問(wèn)。