Linux SGX仓库：https://github.com/intel/linux-sgx

如下是我的分析。

SGX TCS

SGX环境下，不可信线程进入Enclave需要上下文切换，切换之前需要申请到一个TCS（TCS是一个用于代表和管理Enclave线程的数据结构）。只有进入了Enclave的线程可以执行ECALL代码。根据ECALL的真正执行者是谁，可以将ECALL执行模式分为Switch模式（线程切换上下文进入Enclave执行代码）和Switchless模式（不可信线程将ECALL交由长期驻留Enclave的线程代理执行）。

SGX TCS构建

如下图左侧“TCS构建阶段”，Enclave初始化时会创建一定数量的TCS。值得一提，SGX TCS与ECALL模式无关。TCS是不可信线程进入Enclave的前提，两种ECALL模式下都有线程真正进入Enclave。（Switchless模式下，作为代理人的TWorker线程会进入Enclave）。

ECALL Switchless模式初始化

“TCS构建流程图”右侧“Switchless模式初始化阶段”，描述了Enclave初始化末期，如果开启SGX Switchless 模式，那么主线程会创建若干子线程（TWorker线程前身），子线程们申请TCS后进入Enclave变成了TWorker线程，TWorker线程初始化后进入休眠，直到任务到来。