occlum

新聞：我們的論文oxclum：Asplos'20接受了Intel SGX的單個飛地內的安全有效的多任務處理。這篇研究論文強調了Oxclum採用的單個地址空間結構的優勢，並描述了一種補充這種方法的新型葉片內隔離機制。該論文可以在ACM數字圖書館和ARXIV上找到。

Oxclum是Intel SGX的內存安全，多進程庫OS（LIBOS）。作為債權，它使舊應用程序能夠在SGX上運行，幾乎沒有修改源代碼，從而透明地保護用戶工作負載的機密性和完整性。

Occlum具有以下顯著特徵：

• 有效的多任務處理。 Occlum提供了輕巧的Libos過程：從所有Libos過程共享相同的SGX Enclave的意義上，它們是輕量級的。與重量重量，每爐li性的過程相比，oxclum的輕巧性股份流程在啟動時的速度快1,000倍，而IPC的速度更快。此外，Oxclum提供了可選的PKU （用戶空間保護鍵）功能，以增強Oxclum的Libos和用戶空間過程之間的故障隔離。
• 多個文件系統支持。 Occlum支持各種類型的文件系統，例如，僅讀取的Hashed FS （用於完整性保護），可寫的加密FS （用於機密性保護），不受信任的主機FS （用於Libos和主機OS之間的方便數據交換）。
• 記憶安全。 Occlum是第一個用內存安全的編程語言（Rust）編寫的SGX Libos。因此，occlum不太可能包含低級，內存安全錯誤，並且更值得託管關鍵安全應用程序。
• 易用性。 Oxclum提供用戶友好的構建和命令行工具。 SGX飛地內部的Oxclum上的運行應用程序可以像鍵入多個Shell命令一樣簡單（請參見下一節）。

由於版本為0.30.0，因此Oxclum將EDMM作為可選功能引入。使用EDMM，occlum配置變得更加靈活，並且飛地加載時間大大減少。更多詳細信息，請參閱EDMM_CONFIG_GUIDE。

可以在https://occlum.readthedocs.io上找到官方的occlum文檔。

一些快速鏈接如下。

• Quick Start
• Build and Install
• Occlum Configuration
• Occlum Compatible Executable Binaries
• Demos
• Q & A

occlum正在積極開發。現在，我們專注於在生產環境中實施更多的系統調用和其他功能，包括Baremetal Server和Public Cloud（Aliyun，Azure，...）VM。

此外，使用專用的分支1.0.0-review用於下一代occlum開發。

下圖總結了oxclum的高級體系結構：

項目名稱掩蓋源於JK Rowling在Harry Potter系列中創造的coclumency 。在哈利·波特（Harry Potter）和菲尼克斯（Phoenix）的順序中，咬合被描述為：

對外部滲透的神奇防禦。魔術的一個晦澀的分支，但是一個非常有用的分支...正確使用，咬合的力量將幫助您免受訪問或影響。

可以說occlum，而是為了使人的心理，而是對程序的說法：

對外部滲透計劃的神奇防禦。一個晦澀的技術分支，但是一個非常有用的分支...正確使用的是，occlum的力量將有助於保護您的程序免受訪問或影響。

當然，必須在Intel X86 CPU上運行occlum，並帶有SGX支持才能發揮作用。

歡迎任何形式的貢獻！在項目變得更加穩定之後，我們將發布貢獻指南並接受拉的請求。

感謝所有這些項目的出色貢獻者。

Occlum根據BSD許可發布。請參閱此處的版權信息。