occlum

新闻：我们的论文oxclum：Asplos'20接受了Intel SGX的单个飞地内的安全有效的多任务处理。这篇研究论文强调了Oxclum采用的单个地址空间结构的优势，并描述了一种补充这种方法的新型叶片内隔离机制。该论文可以在ACM数字图书馆和ARXIV上找到。

Oxclum是Intel SGX的内存安全，多进程库OS（LIBOS）。作为债权，它使旧应用程序能够在SGX上运行，几乎没有修改源代码，从而透明地保护用户工作负载的机密性和完整性。

Occlum具有以下显着特征：

• 有效的多任务处理。 Occlum提供了轻巧的Libos过程：从所有Libos过程共享相同的SGX Enclave的意义上，它们是轻量级的。与重量重量，每炉li性的过程相比，oxclum的轻巧性股份流程在启动时的速度快1,000倍，而IPC的速度更快。此外，Oxclum提供了可选的PKU （用户空间保护键）功能，以增强Oxclum的Libos和用户空间过程之间的故障隔离。
• 多个文件系统支持。 Occlum支持各种类型的文件系统，例如，仅读取的Hashed FS （用于完整性保护），可写的加密FS （用于机密性保护），不受信任的主机FS （用于Libos和主机OS之间的方便数据交换）。
• 记忆安全。 Occlum是第一个用内存安全的编程语言（Rust）编写的SGX Libos。因此，occlum不太可能包含低级，内存安全错误，并且更值得托管关键安全应用程序。
• 易用性。 Oxclum提供用户友好的构建和命令行工具。 SGX飞地内部的Oxclum上的运行应用程序可以像键入多个Shell命令一样简单（请参见下一节）。

由于版本为0.30.0，Occlum将EDMM作为可选功能引入。使用EDMM，occlum配置变得更加灵活，并且飞地加载时间大大减少。更多详细信息，请参阅EDMM_CONFIG_GUIDE。

可以在https://occlum.readthedocs.io上找到官方的occlum文档。

一些快速链接如下。

• Quick Start
• Build and Install
• Occlum Configuration
• Occlum Compatible Executable Binaries
• Demos
• Q & A

occlum正在积极开发。现在，我们专注于在生产环境中实施更多的系统调用和其他功能，包括Baremetal Server和Public Cloud（Aliyun，Azure，...）VM。

此外，使用专用的分支1.0.0-review用于下一代occlum开发。

下图总结了oxclum的高级体系结构：

项目名称掩盖源于JK Rowling在Harry Potter系列中创造的coclumency 。在哈利·波特（Harry Potter）和菲尼克斯（Phoenix）的顺序中，咬合被描述为：

对外部渗透的神奇防御。魔术的一个晦涩的分支，但是一个非常有用的分支...正确使用，咬合的力量将帮助您免受访问或影响。

可以说occlum，而是为了使人的心理，而是对程序的说法：

对外部渗透计划的神奇防御。一个晦涩的技术分支，但是一个非常有用的分支...正确使用的是，occlum的力量将有助于保护您的程序免受访问或影响。

当然，必须在Intel X86 CPU上运行occlum，并带有SGX支持才能发挥作用。

欢迎任何形式的贡献！在项目变得更加稳定之后，我们将发布贡献指南并接受拉的请求。

感谢所有这些项目的出色贡献者。

Occlum根据BSD许可发布。请参阅此处的版权信息。