12 月 12 日消息,螞蟻集團主導開源的可信執行環境(TEE)開源操作系統 Occlum v1.0 版正式發布。該版本與此前版本相比具有更高的穩定性和完備性,在線程調度、網絡和存儲 IO 方面最高有 5 倍的大幅度性能提升。v1.0 版還首次上線螞蟻集團與英特爾聯合研發的 Spark 大數據分析方案,可幫助 Spark 用戶無縫地遷移至 TEE 機密計算環境中。
Occlum 是用于多種 TEE 的內存安全多任務用戶態的開源操作系統,可以讓應用負載很方便地部署在 TEE 中,來保證用戶隱私數據在整個計算過程中的機密性和完整性。當前 Occlum 可以支持的 TEE 包括 Intel SGX 和螞蟻集團自主研發的國產 TEE-HyperEnclave。
Occlum 是實現在 Intel SGX 上的單個 Enclave 內安全高效的多任務用戶態操作系統。因為 Occlum 采用的是在單個 Enclave 內實現 LibOS 的方案,使得 Occlum 在資源占用和運行效率上優于其他 LibOS 的實現方案。
2021 年螞蟻集團決定將 Occlum 捐獻給 Linux 基金會機密計算聯盟 CCC,Occlum 發展到今天已經歷時 4 年的研發和打磨,在開源社區上發布了 40 多個版本,并獲得了 1000 多的 Github Star。
下面是 Occlum v1.0 技術亮點詳解
1)支持 150 多個兼容 Linux 的系統調用
為了讓 Linux 原生應用無需修改和編譯,無縫地遷移到 Enclave 中,在 Occlum v1.0 中已實現 150 多個兼容 Linux 的系統調用。支持了大多數主流編程語言,包括: C / C++ 、Java、 Python 、Golang 、Rust 、shell 腳本等等。同時 Occlum 開源倉庫中提供了許多 Linux 應用,例如:SQLite TensorFlow、OpenVino、PyTorch、Redis、MySQL、Spark、Flink 等是如何運行在 Occlum 上的 Demo 演示,以及在 K8S 上部署可擴展的基于 Occlum 的安全推理實例的參考實現方案。
2)易用、高效、實用、安全
首先,在易用性上,Occlum 的使用方式是類似容器的使用體驗。用戶通過幾個簡單命令就可以把應用程序部署到 TEE 中。
第二個特點 —— 高效。Occlum 是高性能的多任務系統,支持多進程,它采用了單地址空間架構,因此多個進程共享同一個 Enclave,因此 Occlum 在 TEE 里就可以很快地完成進程啟動和進程間通信。
第三個特點 —— 實用。Occlum 支持多種文件系統,比如:加密文件系統、內存文件系統等等,從功能上可以滿足應用的各種文件 I / O 需求,并且可以透明的加密應用在運行中需要存儲在磁盤上的數據。
第四個特點 —— 內存安全。Occlum 是業內第一個用內存安全語言 Rust 編寫的 LibOS ,Rust 語言是追求內存安全,且不帶來額外性能損耗的編程語言。Occlum 采用 Rust 語言編寫可以杜絕低級的內存安全錯誤 ,從而提高 Occlum 整體內核代碼的安全性,在托管安全關鍵的應用程序時更值得信賴 。
3)引入 4 大核心技術,讓運行用戶的應用負載更加高效
首先,Occlum v1.0 提出了以異步為中心的設計思路,重新設計了整個 Occlum 代碼架構,使用了 Rust 語言的異步特性,基于 Rust 輕量級協程和異步運行時在 Enclave 里實現了高效的線程調度機制,尤其是對于機器學習和分布式編排等大型應用來說可大幅提高計算性能。
其次,Occlum v1.0 中創新性地引入了 Linux 新一代異步 I / O 操作接口 io_uring,并且支持了大部分 IO 操作(包括網絡 IO / 磁盤 IO),利用這一新特性,再搭配 Rust 異步運行時,Occlum 具有了接近 Linux 原生的網絡 IO 性能。
第三 ,Occlum v1.0 吸收了螞蟻集團自主研發的新一代基于日志結構的可信虛擬塊設備,可以使現有主流文件系統具有對磁盤 I / O 的安全保護能力,安全性高于 Linux 內核中現有各種文件 I / O 或磁盤 I / O 保護方案,同時也高于同類 TEE 的保護方案 比如:SGX-PFS。由于可信虛擬塊設備采用了全新的追加寫式的日志結構設計,IO 性能也會有較大提升。
第四,Occlum v1.0 采用了基于按需分配的動態內存管理設計,不僅提高了 Enclave 物理內存的利用率,并且可以大大縮短應用加載到 TEE 中的時間。
對比 Occlum v1.0 和上一個社區版本 0.29 性能測試數據。可以看到 Occlum v1.0 的線程調度性能是上一版本的 5 倍,當應用線程數量越多時,v1.0 的調度性能的優勢會越加明顯。在網絡傳輸速度和文件 IO 吞吐量上,與上一個版本相比也有 2 倍和 3 倍的性能提升,尤其是網絡 IO 上,在同等的環境下可以接近 Linux 原生的網絡傳輸速度。
4)首次上線螞蟻集團與英特爾聯合研發的 Spark 大數據分析方案
螞蟻集團和 Intel BigDL 團隊合作,將 Apache Spark 分布式大數據處理應用運行在 Occlum 中,基于這個能力,螞蟻集團和 Intel 團隊聯合發布了《基于 Occlum 和 BigDL 構建端到端的安全分布式 Spark 大數據分析方案》,這項方案也上線到了 Occlum v1.0 版本中。
與現在業界已有的 Spark on SGX 的方案對比,本次方案除了支持多種部署模式外,在 Spark 能力支持上也彌補了上述已有方案的不足。
通過在 Occlum 提供安全運行環境上,基于 BigDL 構建了分布式的隱私保護機器學習平臺 (PPML),能夠保護端到端的(包括數據輸入、數據分析、機器學習、深度學習等各個階段)的分布式人工智能應用。與傳統的隱私計算框架不同,該方案提供了一個可以運行標準大數據應用的環境,希望幫助現有的大數據 / 分布式應用無縫地遷移到端到端安全的環境中,并且強化每個環節的安全性。
通過 Spark in Occlum 能力,可以讓現有的 Spark 應用,直接運行到 TEE 環境中,而不用做任何代碼修改,并且可以根據數據規模進行橫向拓展,從而輕松支持 TB 級別的數據規模;另一方面,負責完整性的遠程證明功能,也被無感的添加到了整個流程中,應用開發者不需要顯式的增加遠程證明代碼,即可通過 Occlum 和 BigDL 提供的遠程證明功能實現實例的遠程證明和校驗。該方案已經在微軟 Azure 機密計算博客頻道上線,并且該方案也是開源的。
IT之家了解到,隨著當前 TEE 硬件架構的發展,為了滿足更多在不同運算場景下的安全需求,Occlum 將會支持 GPU TEE,將 CPU 提供的 TEE 安全能力拓展到 GPU 上,確保數據可以安全地轉移到更強大的計算硬件設備上。
Occlum 也在為明年 Intel 即將帶來的新一代 TEE TDX 做準備,Occlum 計劃從用戶態操作系統向內核態操作系統演進。
來源:IT之家
