本篇论文是 Purdue university 和首尔国立大学合作研究的成果。论文主要针对了 multi-client 的云服务场景，提出了一种基于 SFI（Software Fault Isolation）的 in-enclave 的线程隔离机制，并进行了详尽的测试和对比分析。论文显示，在 micro-benchmark 下，作者们提出来的这个框架比多进程沙盒隔离机制性能优越 4.06 − 53.70×，而在真实应用场景下，该框架性能优越 0.02 ~ 21.18x。

SGX 是 Intel 近几年来才有的硬件安全特性，可以将应用放在一段加密内存中保护起来。在 SGX 的保护下即使 VMM、Kernel 完全被攻击者挟持，也无法攻击其中的应用。

但是 SGX 有一套自己的编程规范，需要定义 edl 文件，并且需要比较细粒度的对应用进行切分，划分 Trust/Untrust，这对编程人员来说造成了一定的困难。而 Graphene-SGX 则是 Graphene 的作者和 Intel 的专家合作开发的 libOS，可以在不修改应用的情况下将其运行在 SGX 中。

本文主要是记录我在学习使用 Graphene-SGX 时，第一次成功运行 c++ 的 hello-world 程序的过程。