occlum

Noticias: Nuestro oclum de documentos: Asplos'20 ha aceptado la multitarea segura y eficiente dentro de un solo enclave de Intel SGX . Este trabajo de investigación destaca las ventajas de la arquitectura de espacio para un solo dirección adoptada por OCCLUM y describe un nuevo mecanismo de aislamiento de Englave que complementa este enfoque. El papel se puede encontrar en ACM Digital Library y ARXIV.

OCCLUM es un sistema operativo de biblioteca multiproceso seguro y seguro de memoria (libos) para Intel SGX. Como libos, permite que las aplicaciones heredadas se ejecuten en SGX con pocas o incluso modificaciones del código fuente, protegiendo así la confidencialidad e integridad de las cargas de trabajo del usuario de manera transparente.

Occlum tiene las siguientes características sobresalientes:

• Multitarea eficiente. OCCLUM ofrece procesos de Libos de peso ligero : son livianos en el sentido de que todos los procesos de libos comparten el mismo enclave SGX. En comparación con los procesos de Libos de peso pesado, los procesos de Libos de peso ligero de Occlum son hasta 1,000 veces más rápido en el inicio y 3 veces más rápido en IPC. Además, OCCLUM ofrece una función opcional de PKU (claves de protección para el espacio de usuario) para mejorar el aislamiento de fallas entre los procesos de Libos y el espacio de usuario de OCCLUM si es necesario.
• Soporte del sistema de archivos múltiples. OCCLUM es compatible con varios tipos de sistemas de archivos, por ejemplo, FS hash de solo lectura (para protección de integridad), FS encriptado de escritura (para protección de confidencialidad), FS host no confiable (para el intercambio de datos conveniente entre los libos y el sistema operativo host).
• Seguridad de la memoria. OCCLUM es el primer SGX Libos escrito en un lenguaje de programación seguro para la memoria (Rust). Por lo tanto, el oclum es mucho menos probable que contenga errores de bajo nivel de seguridad de la memoria y es más confiable para alojar aplicaciones críticas de seguridad.
• Facilidad de uso. OCCLUM proporciona herramientas de compilación y línea de comandos fáciles de usar. Ejecutar aplicaciones en oclum dentro de los enclaves SGX puede ser tan simple como solo escribiendo varios comandos de shell (consulte la siguiente sección).

Desde la versión 0.30.0, Occlum ha introducido EDMM como una característica opcional. Con EDMM, las configuraciones de oclum se vuelven más flexibles, y el tiempo de carga de enclave se reduce significativamente. Más detalles consulte EDMM_CONFIG_GUIDE.

La documentación oficial de oclum se puede encontrar en https://occlum.readthedocs.io .

Algunos enlaces rápidos son los siguientes.

• Quick Start
• Build and Install
• Occlum Configuration
• Occlum Compatible Executable Binaries
• Demos
• Q & A

OCCLUM se está desarrollando activamente. Ahora nos centramos en implementar más llamadas al sistema y características adicionales requeridas en el entorno de producción, incluido Baremetal Server y Public Cloud (Aliyun, Azure, ...) VM.

Además, se utiliza una rama dedicada 1.0.0 previa para el desarrollo de oclum de próxima generación.

La arquitectura de alto nivel del oclum se resume en la figura a continuación:

El nombre del proyecto oclum proviene de la palabra oclumencia acuñado en la serie Harry Potter por JK Rowling. En Harry Potter y la Orden de Phoenix , la oclumencia se describe como:

La defensa mágica de la mente contra la penetración externa. Una rama oscura de la magia, pero muy útil ... utilizada correctamente, el poder de la oclumencia ayudará a protegerlo del acceso o la influencia.

Lo mismo puede decirse de Occlum, no para la mente, sino para el programa:

La defensa mágica del programa contra la penetración externa. Una rama oscura de la tecnología, pero muy útil ... utilizada correctamente, el poder de Occlum ayudará a proteger su programa desde el acceso o la influencia.

Por supuesto, el oclum debe ejecutarse en CPU Intel X86 con SGX Support para hacer su magia.

¡Las contribuciones de cualquier tipo son bienvenidas! Publicaremos pautas contribuyentes y aceptaremos solicitudes de extracción después de que el proyecto se vuelva más estable.

Gracias a todos estos maravillosos contribuyentes a este proyecto.

OCCLUM se publica bajo la licencia BSD. Vea la información de derechos de autor aquí.