如何设计SGX程序：

SGX分为可信部分和不可信部分，可信部分由enclave组成（一个应用程序可以拥有一个或多个enclave)，enclave存储在加密的内存中，受SGX保护，enclave一旦被建立就不能更改，所以通常认为是可信的，如果被恶意篡改那么enclave便不会加载。非可信部分指不受SGX保护的内存和应用程序。
设计一个SGX程序要求将代码分成不同部分，首先应判断哪些代码应该放到enclave，哪些不用，以及他们之间的交互。

1.确定机密信息。机密信息指不希望除处理它的程序外被看到的信息。
2.确定机密信息的提供者和使用者。

3.确立enclave边界（要尽可能多的包含机密数据，并减少与非信任代码的交互）
但是包含太多非机密数据也不行。。会造成很多资源浪费~

4.精简enclave中的代码（两个原则）

enclave的体积应该尽可能小，并且在机密信息不需要使用后需要及时销毁这部分enclave

尽量用更少的调用完成更多的工作

安全区定义语言——EDL（Enclave Defination Language)

SGX提供的最基本的保护措施:enclave中的机密信息能且仅能被enclave中的代码访问，而执行enclave中的代码的唯一方式就是通过开发人员创建的接口函数（这是由CPU保障的，即使特权用户也必须遵守）
每个enclave可以定义一个或多个E-CALL（Enclave call）和O-CALL。E-CALL是非可信应用程序进入enclave的入口。O-CALL使得安全区函数可以调用安全区外的应用程序（非可信），再返回到安全区中。E-CALL和O-CALL共同组成安全区的接口。但是这些接口函数并非直接由非可信应用程序执行（对enclave入口和出口的访问直接由CPU严格控制）。要完成转换，必须按顺序执行特定的CPU指令。

SGX SDK把这些底层细节做了抽象，Edger8r可以自动为开发者的E-CALL和O-CALL生成代理函数，开发者可以像调用C语言函数一样调用代理函数。
Edger8r从EDL文件中读取安全区接口的定义（以创建代理函数）
EDL文件和C语言的头文件风格类似，语法上也类似。

E-CALL定义在可信区，O-CALL定义在非可信区
所有能被非可信程序调用的E-CALL必须声明为public，每个安全区至少有一个public的E-CALL，不含public关键字的E-CALL只能被O-CALL执行。当E-CALL或O-CALL被调用时，函数参数在可信内存和非可信内存间封装传送，定义E-CALL或O-CALL时需要严格定义参数的传递方向和个数