Arm Trust-Zone和Intel SGX

接触Arm的Trust-Zone技术比较长的时间了，从monitor模式到后来的EL3，从总线的安全到device的安全。还曾有幸参加过Arm公司的Trust-zone培训。再到后期的security OS项目实际操练，算是对Trust-Zone有点了解。

后来Intel推出了类似的cpu安全技术Software guard extension(SGX)，其在设计理念上和Trust-Zone有着明显区别。后者是在安全和非安全间建立一道墙，其上有扇门，由supervisor决定着门的开关；而前者则是建立一个个独立的安全区域，由cpu来保证安全区域的独立性和安全性。

另一个明显的区分是适用范围。SGX只信任cpu，由CPU为APP建立enclave（只和APP打交道，不涉及Soc？）；而Trust-zone则包含从底层至上层全部的模块，涉及范围广得多。不过贪多引入的不安全因子也增多。。。

多SGX没深入研究过，只浏览过相关文档，可能理解有误，后期再补。

没图总觉得干巴巴的，补张SGX的图，说明在SGX环境中，只信任security APP和CPU，连OS都不可信。