SGX技術是Intel于2013年在ISCA會議中提出的，直到2015年10月支持SGX技術的CPU才問世。目前SGX技術兩種應用，分別有微軟Haven和Visual Studio。微軟Haven系統是一個實現保護云端信息的系統。因此我們覺得Intel推出的SGX技術對云計算安全保護有重要意義。

　　SGX的保護是針對應用程序的地址空間的。SGX利用處理器提供的指令，在內存中劃分處一部分區域（EPC）并將應用程序地址空間中的Enclave映射到這部分內存區域。這部分內存區域是加密的，通過CPU中的內存控制單元進行加密和地址轉化。

　　當處理器訪問Enclave中數據時，CPU自動切換到一個新的CPU模式，叫做enclave模式。enclave模式會強制對每一個內存訪問進行額外的硬件檢查。由于數據是放在EPC中，為了防止已知的內存攻擊，EPC中的內存內容會被內存加密引擎（MEE）加密的。EPC中的內存內容只有當進入CPU package時，才會解密；返回EPC內存中會被加密。

　　Enclave Page Cache (EPC)是指一個保留加密的內存區域。Enclave中的數據代碼必需在其中執行。為了在EPC中執行一個二進制程序，SGX指令允許將普通的頁復制到EPC頁中。

　　其中Linux SGX實現系統包括SGX平臺軟件、SGX驅動程序和SGX軟件開發工具包（SDK）。我們已經能夠在GitHub上找到英特爾的SGX頁面。下面我們來看看window下面的SGX。

　　SDK應用開發環境

　　英特爾軟件防護擴展SGX SDK 是API?函數庫?文檔?樣本源代碼和工具的集合,允許軟件開發人員用 C/C++ 創建和調試啟用英特爾軟件防護擴展的應用程序?SGX SDK同時提供Microsoft Visual Studio插件,可用標準開發工具開發enclave。

　　第一步: 確認安裝運行SGX SDK的所需的軟硬件需求

　　硬件最小需求:

　　第6代英特爾? 酷睿? 處理器平臺,同時需要支持SGX相關配置的BIOS版本

　　操作系統:

　　Microsoft Windows* 7, 64-bit

　　Microsoft Windows* 8.1, 64-bit

　　Microsoft Windows? 10, 64-bit

　　Microsoft Windows? 10 Threshold 2, 64-bit

　　第二步: 安裝SGX SDK 集成開發環境所需的Microsoft Visual Studio開發工具

　　目前最新SGX SDK版本為1.7,支持Microsoft Visual Studio* 2012 專業版----2015 專業版

　　第三步: 下載安裝SGX SDK

　　SGX SDK下載頁面一共包含2個部分(圖 1), Intel SGX SDK for Windows是SGX SDK的主體；Intel SGX Platform Software for Windows(PSW)包含的是SGX相關的硬件驅動部分。

圖 1 英特爾 SGX SDK下載頁面

　　注意1:如果電腦硬件不支持SGX功能, 則不需要安裝PSW軟件?開發工作只能通過SGX SDK里面內置的模擬器來運行調試enclave程序?

　　注意2:SGX有些相關的安全功能需要Intel Management Engine(ME)提供(單向計數器monotonic counter和實時時鐘RTC)以及互聯網連接,所以建議安裝SGX SDK及PSW時保持互聯網連接,并且安裝完全版的Intel ME軟件包(版本大于11.5.0.1000)(圖 2)?

圖 2完整版的ME安裝程序名為SetupME.exe

　　SGX SDK安裝包為一個自解壓包,自解壓縮到指定目錄后,可以看到所有SDK相關文檔在目錄里(圖 3)?進入SDK目錄,雙擊Intel(R)_SGX_Windows_x64_SDK_1.6.101.33581.exe進行安裝,安裝過程里安裝包會自動安裝并配置Microsoft Visual Studio插件?

圖 3相關開發參考文檔在SDK解壓縮目錄的根目錄下

　　到這里,在windows上的SGX應用的開發環境搭建就完成了,現在用Visual Studio的FileàNewà Project...新建一個項目的時候,就會看到建立Intel SGX Enclave Project項目的選項(圖 4)了?

圖 4Visual Studio新建出現Intel SGX Enclave Project的選項

　　至此, 我們已經完成了Windows下SGX應用開發環境的搭建?

責任編輯：韓希宇