當前位置：首頁 > 科技 > 知識百科

螞蟻集團可信執(zhí)行環(huán)境開源操作系統(tǒng) Occlum v1.0 發(fā)布

來源：責編：時間：2023-08-07 16:27:47 699觀看

導讀 12 月 12 日消息，螞蟻集團主導開源的可信執(zhí)行環(huán)境（TEE）開源操作系統(tǒng) Occlum v1.0 版正式發(fā)布。該版本與此前版本相比具有更高的穩(wěn)定性和完備性，在線程調(diào)度、網(wǎng)絡和存儲 IO 方面

12 月 12 日消息，螞蟻集團主導開源的可信執(zhí)行環(huán)境（TEE）開源操作系統(tǒng) Occlum v1.0 版正式發(fā)布。該版本與此前版本相比具有更高的穩(wěn)定性和完備性，在線程調(diào)度、網(wǎng)絡和存儲 IO 方面最高有 5 倍的大幅度性能提升。v1.0 版還首次上線螞蟻集團與英特爾聯(lián)合研發(fā)的 Spark 大數(shù)據(jù)分析方案，可幫助 Spark 用戶無縫地遷移至 TEE 機密計算環(huán)境中。

Occlum 是用于多種 TEE 的內(nèi)存安全多任務用戶態(tài)的開源操作系統(tǒng)，可以讓應用負載很方便地部署在 TEE 中，來保證用戶隱私數(shù)據(jù)在整個計算過程中的機密性和完整性。當前 Occlum 可以支持的 TEE 包括 Intel SGX 和螞蟻集團自主研發(fā)的國產(chǎn) TEE-HyperEnclave。

Occlum 是實現(xiàn)在 Intel SGX 上的單個 Enclave 內(nèi)安全高效的多任務用戶態(tài)操作系統(tǒng)。因為 Occlum 采用的是在單個 Enclave 內(nèi)實現(xiàn) LibOS 的方案，使得 Occlum 在資源占用和運行效率上優(yōu)于其他 LibOS 的實現(xiàn)方案。

2021 年螞蟻集團決定將 Occlum 捐獻給 Linux 基金會機密計算聯(lián)盟 CCC，Occlum 發(fā)展到今天已經(jīng)歷時 4 年的研發(fā)和打磨，在開源社區(qū)上發(fā)布了 40 多個版本，并獲得了 1000 多的 Github Star。

下面是 Occlum v1.0 技術亮點詳解

1）支持 150 多個兼容 Linux 的系統(tǒng)調(diào)用

為了讓 Linux 原生應用無需修改和編譯，無縫地遷移到 Enclave 中，在 Occlum v1.0 中已實現(xiàn) 150 多個兼容 Linux 的系統(tǒng)調(diào)用。支持了大多數(shù)主流編程語言，包括: C / C++ 、Java、 Python 、Golang 、Rust 、shell 腳本等等。同時 Occlum 開源倉庫中提供了許多 Linux 應用，例如：SQLite TensorFlow、OpenVino、PyTorch、Redis、MySQL、Spark、Flink 等是如何運行在 Occlum 上的 Demo 演示，以及在 K8S 上部署可擴展的基于 Occlum 的安全推理實例的參考實現(xiàn)方案。

2）易用、高效、實用、安全

首先，在易用性上，Occlum 的使用方式是類似容器的使用體驗。用戶通過幾個簡單命令就可以把應用程序部署到 TEE 中。

第二個特點 —— 高效。Occlum 是高性能的多任務系統(tǒng)，支持多進程，它采用了單地址空間架構，因此多個進程共享同一個 Enclave，因此 Occlum 在 TEE 里就可以很快地完成進程啟動和進程間通信。

第三個特點 —— 實用。Occlum 支持多種文件系統(tǒng)，比如：加密文件系統(tǒng)、內(nèi)存文件系統(tǒng)等等，從功能上可以滿足應用的各種文件 I / O 需求，并且可以透明的加密應用在運行中需要存儲在磁盤上的數(shù)據(jù)。

第四個特點 —— 內(nèi)存安全。Occlum 是業(yè)內(nèi)第一個用內(nèi)存安全語言 Rust 編寫的 LibOS ，Rust 語言是追求內(nèi)存安全，且不帶來額外性能損耗的編程語言。Occlum 采用 Rust 語言編寫可以杜絕低級的內(nèi)存安全錯誤，從而提高 Occlum 整體內(nèi)核代碼的安全性，在托管安全關鍵的應用程序時更值得信賴。

3）引入 4 大核心技術，讓運行用戶的應用負載更加高效

首先，Occlum v1.0 提出了以異步為中心的設計思路，重新設計了整個 Occlum 代碼架構，使用了 Rust 語言的異步特性，基于 Rust 輕量級協(xié)程和異步運行時在 Enclave 里實現(xiàn)了高效的線程調(diào)度機制，尤其是對于機器學習和分布式編排等大型應用來說可大幅提高計算性能。

其次，Occlum v1.0 中創(chuàng)新性地引入了 Linux 新一代異步 I / O 操作接口 io_uring，并且支持了大部分 IO 操作（包括網(wǎng)絡 IO / 磁盤 IO），利用這一新特性，再搭配 Rust 異步運行時，Occlum 具有了接近 Linux 原生的網(wǎng)絡 IO 性能。

第三，Occlum v1.0 吸收了螞蟻集團自主研發(fā)的新一代基于日志結構的可信虛擬塊設備，可以使現(xiàn)有主流文件系統(tǒng)具有對磁盤 I / O 的安全保護能力，安全性高于 Linux 內(nèi)核中現(xiàn)有各種文件 I / O 或磁盤 I / O 保護方案，同時也高于同類 TEE 的保護方案比如：SGX-PFS。由于可信虛擬塊設備采用了全新的追加寫式的日志結構設計，IO 性能也會有較大提升。

第四，Occlum v1.0 采用了基于按需分配的動態(tài)內(nèi)存管理設計，不僅提高了 Enclave 物理內(nèi)存的利用率，并且可以大大縮短應用加載到 TEE 中的時間。

對比 Occlum v1.0 和上一個社區(qū)版本 0.29 性能測試數(shù)據(jù)?？梢钥吹?Occlum v1.0 的線程調(diào)度性能是上一版本的 5 倍，當應用線程數(shù)量越多時，v1.0 的調(diào)度性能的優(yōu)勢會越加明顯。在網(wǎng)絡傳輸速度和文件 IO 吞吐量上，與上一個版本相比也有 2 倍和 3 倍的性能提升，尤其是網(wǎng)絡 IO 上，在同等的環(huán)境下可以接近 Linux 原生的網(wǎng)絡傳輸速度。

4）首次上線螞蟻集團與英特爾聯(lián)合研發(fā)的 Spark 大數(shù)據(jù)分析方案

螞蟻集團和 Intel BigDL 團隊合作，將 Apache Spark 分布式大數(shù)據(jù)處理應用運行在 Occlum 中，基于這個能力，螞蟻集團和 Intel 團隊聯(lián)合發(fā)布了《基于 Occlum 和 BigDL 構建端到端的安全分布式 Spark 大數(shù)據(jù)分析方案》，這項方案也上線到了 Occlum v1.0 版本中。

與現(xiàn)在業(yè)界已有的 Spark on SGX 的方案對比，本次方案除了支持多種部署模式外，在 Spark 能力支持上也彌補了上述已有方案的不足。

通過在 Occlum 提供安全運行環(huán)境上，基于 BigDL 構建了分布式的隱私保護機器學習平臺 (PPML)，能夠保護端到端的（包括數(shù)據(jù)輸入、數(shù)據(jù)分析、機器學習、深度學習等各個階段）的分布式人工智能應用。與傳統(tǒng)的隱私計算框架不同，該方案提供了一個可以運行標準大數(shù)據(jù)應用的環(huán)境，希望幫助現(xiàn)有的大數(shù)據(jù) / 分布式應用無縫地遷移到端到端安全的環(huán)境中，并且強化每個環(huán)節(jié)的安全性。

通過 Spark in Occlum 能力，可以讓現(xiàn)有的 Spark 應用，直接運行到 TEE 環(huán)境中，而不用做任何代碼修改，并且可以根據(jù)數(shù)據(jù)規(guī)模進行橫向拓展，從而輕松支持 TB 級別的數(shù)據(jù)規(guī)模；另一方面，負責完整性的遠程證明功能，也被無感的添加到了整個流程中，應用開發(fā)者不需要顯式的增加遠程證明代碼，即可通過 Occlum 和 BigDL 提供的遠程證明功能實現(xiàn)實例的遠程證明和校驗。該方案已經(jīng)在微軟 Azure 機密計算博客頻道上線，并且該方案也是開源的。

IT之家了解到，隨著當前 TEE 硬件架構的發(fā)展，為了滿足更多在不同運算場景下的安全需求，Occlum 將會支持 GPU TEE，將 CPU 提供的 TEE 安全能力拓展到 GPU 上，確保數(shù)據(jù)可以安全地轉(zhuǎn)移到更強大的計算硬件設備上。

Occlum 也在為明年 Intel 即將帶來的新一代 TEE TDX 做準備，Occlum 計劃從用戶態(tài)操作系統(tǒng)向內(nèi)核態(tài)操作系統(tǒng)演進。

本文鏈接：http://www.tebozhan.com/showinfo-119-1229-0.html螞蟻集團可信執(zhí)行環(huán)境開源操作系統(tǒng) Occlum v1.0 發(fā)布

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。郵件：2376512515@qq.com

上一篇：消息稱英特爾 B760 系列主板將比 B660 系列貴出 10% 左右

下一篇：花椒直播母公司花房集團登陸港交所，周鴻祎為第一大股東

標簽：

熱門焦點

iPhone賣不動了！蘋果股價創(chuàng)年內(nèi)最大日跌幅：市值一夜蒸發(fā)萬億元

8月5日消息，今天凌晨美股三大指數(shù)高開低走集體收跌，道指跌0.41%；納指跌0.36%；標普500指數(shù)跌0.52%。熱門科技股也都變化極大，其中蘋果報181.99美元，跌4.8%，創(chuàng)
K6：面向開發(fā)人員的現(xiàn)代負載測試工具

K6 是一個開源負載測試工具，可以輕松編寫、運行和分析性能測試。它建立在 Go 和 JavaScript 之上，它被設計為功能強大、可擴展且易于使用。k6 可用于測試各種應用程序，包括 Web
摸魚心法第一章——和配置文件說拜拜

為了能摸魚我們團隊做了容器化，但是帶來的問題是服務配置文件很麻煩，然后大家在群里進行了“親切友好”的溝通圖片圖片圖片圖片對比就對比，簡單對比下獨立配置中心和k8s作為配
一篇聊聊Go錯誤封裝機制

%w 是用于錯誤包裝（Error Wrapping）的格式化動詞。它是用于 fmt.Errorf 和 fmt.Sprintf 函數(shù)中的一個特殊格式化動詞，用于將一個錯誤（或其他可打印的值）包裝在一個新的錯誤中。使
共享單車的故事講到哪了？

來源丨海克財經(jīng)與共享充電寶相差不多，共享單車已很久沒有被國內(nèi)熱點新聞關照到了。除了一再漲價和用戶直呼用不起了。近日多家媒體再發(fā)報道稱，成都、天津、鄭州等地多個共享單
梁柱接棒兩年，騰訊音樂闖出新路子

文丨田靜出品丨牛刀財經(jīng)（niudaocaijing）7月5日，企鵝FM發(fā)布官方公告稱由于業(yè)務調(diào)整，將于9月6日正式停止運營，這意味著騰訊音樂長音頻業(yè)務走向消亡。騰訊在長音頻領域還在摸索。為
得物寵物生意「狂飆」，發(fā)力“它經(jīng)濟”

作者｜花花小萌主近日，得物宣布正式上線寵物鑒別，通過得物App內(nèi)的“在線鑒別”，可找到鑒別寵物的選項。通過上傳自家寵物的部位細節(jié)，就能收獲擁有專業(yè)資質(zhì)認證的得物鑒
10天營收超1億美元，《星鐵》比《原神》差在哪？

來源：伯虎財經(jīng)作者：陳平安即便你沒玩過《原神》，你一定聽說過的它的大名。恨它的人把《原神》開服那天稱作是中國游戲史上最黑暗的一天，有粉絲因為索尼在PS平臺上線《原神》，怒而
外交部：美方應停止在網(wǎng)絡安全問題上不負責任地指責他國

　中國外交部今天（16日）舉行例行記者會。會上，有記者問，美國情報官員稱，他們正在阻攔來自中國以及其他國家的黑客獲取相關科研成果。中方對此有何評論？對此

AVt天堂网手机版,亚洲va久久久噜噜噜久久4399,天天综合亚洲色在线精品,亚洲一级Av无码毛片久久精品

螞蟻集團可信執(zhí)行環(huán)境開源操作系統(tǒng) Occlum v1.0 發(fā)布

iPhone賣不動了！蘋果股價創(chuàng)年內(nèi)最大日跌幅：市值一夜蒸發(fā)萬億元

K6：面向開發(fā)人員的現(xiàn)代負載測試工具

摸魚心法第一章——和配置文件說拜拜

一篇聊聊Go錯誤封裝機制

共享單車的故事講到哪了？

梁柱接棒兩年，騰訊音樂闖出新路子

得物寵物生意「狂飆」，發(fā)力“它經(jīng)濟”

10天營收超1億美元，《星鐵》比《原神》差在哪？

外交部：美方應停止在網(wǎng)絡安全問題上不負責任地指責他國

最新推薦

猜你喜歡

熱門推薦

相關資訊