occlum

Nachrichten: Unser Papier Okklum: Sicheres und effizientes Multitasking in einer einzelnen Enklave von Intel SGX wurde von ASPLOS'20 akzeptiert. In diesem Forschungspapier werden die Vorteile der von Occlum überzeugten Einzelanmessraum-Architektur hervorgehoben und beschreibt einen neuartigen In -clave-Isolationsmechanismus, der diesen Ansatz ergänzt. Das Papier ist in der digitalen ACM -Bibliothek und in ARXIV zu finden.

OCCLUM ist ein Speicherbetriebsbetriebs -OS ( Multi-Process Library OS (LIBOS) für Intel SGX. Als Libos können Legacy -Anwendungen auf SGX mit wenig oder gar keine Änderungen des Quellcode ausgeführt werden, wodurch die Vertraulichkeit und Integrität von User Workloads transparent schützt.

OCCLUM hat die folgenden herausragenden Merkmale:

• Effizientes Multitasking. OCCLUM bietet leichte Libos-Prozesse an: Sie sind leicht in dem Sinne, dass alle Libos-Prozesse dieselbe SGX-Enklave teilen. Im Vergleich zu den schweren, proklaven Libos-Prozessen beträgt die leichten Libos-Prozesse von Occlum bei Startup bis zu 1.000x schneller und 3x schneller bei IPC. Darüber hinaus bietet OCCLUM eine optionale PKU -Funktion (Protection Keys for UserSpace), um die Fehlerisolierung zwischen den Libos- und Userspace -Prozessen von OCCLUM bei Bedarf zu verbessern.
• Support für mehrere Dateisysteme. OCCLUM unterstützt verschiedene Arten von Dateisystemen, z. B. schreibgeschützte Hashed FS (für Integritätsschutz), beschreibbarer verschlüsselter FS (für den Schutz des Vertraulichkeit), nicht vertrauenswürdiger Host FS (für den bequemen Datenaustausch zwischen dem Libos und dem Host-Betriebssystem).
• Speichersicherheit. OCCLUM ist die erste SGX Libos, die in einer Speicherprogrammiersprache (Rost) geschrieben wurde. Daher ist OCCLUM viel weniger wahrscheinlich, dass es mit niedrigem, speichersicherer Fehler in Bezug auf Speichersicherheit ist und sicherheitsrelevante Sicherheitsanwendungen vertrauenswürdiger ist.
• Benutzerfreundlichkeit. OCCLUM bietet benutzerfreundliche Build- und Befehlszeilen-Tools. Das Ausführen von Anwendungen auf OCCLUM in SGX -Enklaven kann so einfach sein, wie nur mehrere Shell -Befehle einzugeben (siehe nächsten Abschnitt).

Seit Version 0.30.0 hat OCCLUM EDMM als optionale Funktion eingeführt. Bei EDMM werden OCCLUM -Konfigurationen flexibler und die Enklavenlastzeit wird erheblich verkürzt. Weitere Details finden Sie unter edmm_config_guide.

Die offizielle OCCLUM -Dokumentation finden Sie unter https://occlum.readthedocs.io .

Einige schnelle Links finden Sie unten.

• Quick Start
• Build and Install
• Occlum Configuration
• Occlum Compatible Executable Binaries
• Demos
• Q & A

Occlum wird aktiv entwickelt. Wir konzentrieren uns nun auf die Implementierung von mehr Systemanrufen und zusätzlichen Funktionen, die in der Produktionsumgebung erforderlich sind, einschließlich Baremetalserver und öffentlicher Cloud (Aliyun, Azure, ...) VM.

Außerdem wird eine dedizierte Niederlassung 1.0.0-Vorsicht für die OCCLUM-Entwicklung der nächsten Generation verwendet.

Die hochrangige Architektur von Occlum ist in der folgenden Abbildung zusammengefasst:

Der Projektname OCCLUM stammt aus dem Wortverschluss in der Harry Potter -Serie von JK Rowling. In Harry Potter und in der Reihenfolge von Phoenix wird Okklumz beschrieben als:

Die magische Verteidigung des Geistes gegen die äußere Penetration. Ein dunkler Zweig der Magie, aber eine sehr nützliche ... wird die Kraft des Okklumzes dazu beitragen, Ihnen vor Zugang oder Einfluss zu schützen.

Das Gleiche gilt für Occlum, nicht für den Verstand, sondern für das Programm:

Die magische Verteidigung des Programms gegen die externe Penetration. Ein obskurer Zweig der Technologie, aber eine sehr nützliche ... die Kraft von Occlum ordnungsgemäß verwendet wird, hilft, Ihr Programm vor Zugang oder Einfluss zu schützen.

Natürlich muss Occlum auf Intel X86 -CPUs mit SGX -Unterstützung ausgeführt werden, um seine Magie zu machen.

Beiträge jeglicher Art sind willkommen! Wir werden beitragende Richtlinien veröffentlichen und Pull -Anfragen akzeptieren, nachdem das Projekt stabiler wird.

Vielen Dank an all diese wunderbaren Mitwirkenden dieses Projekts.

OCCLUM wird unter BSD -Lizenz veröffentlicht. Siehe die Copyright -Informationen hier.