本文提出EBCC（Enclave-Backed Confidential Containers），一种兼容OCI（Open Container Initiative）的运行时架构，旨在将机密计算工作负载无缝集成到标准容器生命周期管理中。现有机密容器系统通常依赖虚拟机后端或特定TEE的执行基板，导致机密执行与常规OCI运行时生命周期分离，增加了部署和管理的复杂性。EBCC将REE（富执行环境）侧的锚点和TEE（可信执行环境）侧的机密阶段视为一个单一的容器化机密计算复合体，保留标准OCI生命周期操作（如创建、启动、停止、删除），并将TEE特定执行逻辑封装在后端适配器之后。它维护每个实例的持久状态和每个阶段的工件，用于请求处理、响应生成、日志记录和证据绑定。作者在Keystone TEE后端上实现了EBCC原型，并评估了其正确性、性能、内存占用和并发行为。结果显示，EBCC相比原生Keystone执行引入了额外延迟，主要来自生命周期中介、请求验证、EID分配、后端分发和工件持久化，但额外开销集中在主机端管理状态。跨TEE案例研究（SGX、TDX、OP-TEE）表明，相同的生命周期和阶段抽象可以映射到enclave风格、VM风格和嵌入式风格的TEE。这些结果表明EBCC能够使基于TEE的执行通过OCI风格的生命周期进行管理，而不会显著扩大受保护侧的TCB（可信计算基）。