共用方式為


應用程式記憶體保護區

應用程式記憶體保護區,例如 Intel SGX,是隔離的環境,可保護特定程式代碼和數據。 建立記憶體保護區時,您必須判斷應用程式的何種部分會在記憶體保護區內執行。 當您建立或管理記憶體保護區時,請務必針對所選部署堆疊使用相容的 SDK 和架構。

注意

如果您尚未閱讀 Intel SGX VM 和記憶體保護區的簡介,請先閱讀這篇文章再進行開發。

Microsoft 機制

開發應用程式

在以記憶體保護區建置的應用程式中有兩個分割區。

主機是「不受信任的」元件。 記憶體保護區應用程式會在主機頂端執行。 主機是不受信任的環境。 當您在主機上部署記憶體保護區程式碼時,主機會無法存取該程式碼。

記憶體保護區是「受信任的」元件。 應用程式程式碼和其快取資料與記憶體,會在記憶體保護區中執行。 記憶體保護區環境可保護您的秘密和敏感性資料。 請確定您的安全計算是在記憶體保護區中運行。

應用程式的圖表,其中顯示主機和記憶體保護區分割區。記憶體保護區內是數據和應用程式程式代碼元件。

若要使用記憶體保護區和隔離環境的強大功能,請選擇可支援機密運算的工具。 許多工具皆可支援記憶體保護區應用程式開發。 例如,您可使用下列開放原始碼的架構:

當您設計應用程式時,請識別並判斷在記憶體保護區中執行的所需部分。 受信任元件中的程式碼,會與您應用程式的其餘部分隔離。 在記憶體保護區初始化且程式碼載入記憶體之後,不受信任的元件就無法讀取或變更該程式碼。

下一步