Intel® Xeon® 處理器如何實現高達 1 TB 的 Enclave 頁面快取（EPC）？

資訊

Intel® Xeon® 處理器支援 Intel® 軟體守護擴充（Intel® SGX），該擴充套件使用 Enclave 頁面快取（EPC） 將 enclave 程式碼與資料儲存在受保護的記憶體中。經過多代處理器，英特爾引入架構變更，大幅提升最大支援的EPC容量，現代平台上可達 1TB（TB ）。

本文說明：

• EPC 尺寸如何隨著 Intel® Xeon® 處理器世代演變
• 實現TB級EPC的關鍵技術變革
• 這點如何適用於 Intel® Xeon® 6 與 Intel® Xeon® 6+ 平台

什麼是 Enclave 頁面快取（EPC）？

Enclave 頁面快取（EPC）是 Intel® SGX 使用的一個受保護記憶體區域。EPC 記憶體如下：

• 加密
• 完整性保護
• 與作業系統、虛擬機管理程式及其他軟體隔離

在 SGX 隔離區內運行的應用程式依賴 EPC 來安全儲存敏感程式碼與資料。

歷史EPC尺寸限制

在近期架構變更之前，EPC 的大小受限於硬體中記憶體保護的實作方式：

• 第三代前 Intel® Xeon® 可擴展處理器
  • 最大 EPC 大小： 256 MB

這些限制使得在不產生 EPC 分頁開銷的情況下，難以執行大型機密工作負載。

以 Intel® Xeon® 處理器世代劃分的 EPC 尺寸

EPC 規模依 處理器世代與 SKU 而異：

• 第三代 Intel® Xeon® 可擴展處理器

  • 每個插槽最多可支援 512 GB EPC
  • 雙插槽平台上最多可達 1 TB EPC

• 第四代 Intel® Xeon® 可擴展處理器

  • 部分 SKU 支援 512 GB EPC
  • 其他 SKU 支援 128 GB EPC

• 第五代 Intel® Xeon® 可擴展處理器

  • 支援 SKU 對 512 GB、128 GB 或 64 GB EPC 的支援

• Intel® Xeon® 6 處理器

  • 支援 每個插槽 512 GB EPC
  • 雙插槽平台上最多可達 1 TB EPC

• Intel® Xeon® 6+ 處理器

  • 依 SKU 與平台配置，持續支援 TB 級 EPC

關鍵技術變革，使 1 TB EPC 成為可能

促成TB級EPC的技術變革，是 Intel® SGX如何保護記憶體。

從MEE過渡到AES-XTS

• 早期的 SGX 實作使用記憶體加密引擎（MEE）。
• MEE 依賴晶片 上的結構，包括 Merkle 樹，這限制了 EPC 的規模擴展。
• Intel® SGX 轉向使用
  先進加密標準 – XEX 可調整區塊密碼與密文竊取（AES-XTS）。

為什麼這很重要：

• AES-XTS 則不再依賴固定的晶片上的 Merkle 樹結構。
• EPC 現在能利用系統記憶體擴展，同時保持加密與完整性保護。
• 此變更使 EPC 容量大幅增加，支援平台上最高 可達 1 TB 。

這對客戶意味著什麼

使用Intel® Xeon® 6與Intel® Xeon® 6+處理器，客戶可：

• 在沒有嚴格EPC規模限制的情況下，運行較大的SGX隔塊
• 支援 機密資料庫、分析與人工智慧工作負載
• 根據平台設計與SKU選擇來擴展EPC產能

重要說明

EPC規模並非固定，取決於：

• 處理器產生
• 處理器 SKU
• BIOS 與韌體設定
• 平台插座數量

關於特定處理器的精確EPC限制，請參閱相應SKU的 Intel®產品規格 。

摘要

Intel® Xeon® 處理器透過 Intel SGX 的關鍵架構變革®，實現 了最高 1 TB 的 EPC ：從基於 記憶體加密引擎（MEE）的保護轉換為 基於 AES-XTS 的記憶體加密。此變更使EPC能超越先前硬體限制，同時維持強健的安全保障。

欲了解詳細規格，請造訪 Intel® 產品規格 - Intel® Xeon® 處理器。

欲了解更多資訊，請造訪：

• Intel® 軟體 Guard 擴充套件 Enclave 生命週期概述
• Intel®軟體守護擴充（Intel® SGX）隔區記憶體測量工具
• 無法找到 enclave 頁面快取（EPC）的大小（intel.com）
• Intel® SGX Windows 開發者指南*
• Intel® 軟體守護擴充（Intel® SGX）應用的效能考量