Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 611

Intel SGX

审核人Cybersecurity entrepreneur & security researcher

Intel SGX 是什么?

Intel SGXIntel Software Guard Extensions:一组 CPU 指令,可创建加密内存飞地,以保护代码与数据免受被攻陷的操作系统或虚拟化层影响。


Intel SGX(Software Guard Extensions)是 Skylake(2015 年)引入的可信执行环境,允许应用划分出一块被加密的内存区域,称为飞地(enclave)。飞地中的代码与数据由片上内存加密引擎保护,与操作系统、虚拟化层及其他应用隔离,并可通过 EPID 或 DCAP 进行远程证明。SGX 曾遭遇多种旁路与瞬态执行攻击,如 Foreshadow、Plundervolt、AEPIC、SGAxe,Intel 已通过微码进行缓解。Intel 自第 11 代起在消费级 Core 处理器中停用 SGX,但仍在面向机密计算的 Xeon Scalable 中保留并支持,为 Azure DCsv3 虚拟机与 Fortanix DSM 等服务提供底层能力。

示例

  1. 01

    Signal 的 Secure Value Recovery 服务运行于 SGX 飞地。

  2. 02

    Azure 机密计算 DCsv3 系列向租户暴露 SGX EPC。

常见问题

Intel SGX 是什么?

Intel Software Guard Extensions:一组 CPU 指令,可创建加密内存飞地,以保护代码与数据免受被攻陷的操作系统或虚拟化层影响。 它属于网络安全的 密码学 分类。

Intel SGX 是什么意思?

Intel Software Guard Extensions:一组 CPU 指令,可创建加密内存飞地,以保护代码与数据免受被攻陷的操作系统或虚拟化层影响。

如何防御 Intel SGX?

针对 Intel SGX 的防御通常结合技术控制与运营实践,详见上方完整定义。

Intel SGX 还有哪些其他名称?

常见的别称包括: SGX, Software Guard Extensions。

相关术语