Occlum机密计算操作系统

Occlum机密计算操作系统是一个在可信执行环境TEE（如海光CSV、Intel SGX）中运行的内存安全的多进程用户态操作系统（LibOS）。Occlum由蚂蚁集团发起，是国内第一个面向机密计算的LibOS，也是全球第一个在单SGX实例中支持多进程的LibOS，于2019年开源，目前已捐赠到机密计算联盟，是联盟中唯一的由中国发起项目。 Occlum追求极致的安全性、易用性和整体性能。在安全方面，使用了镜像加密、远程证明和地址随机化等多种安全措施来保障应用的安全；在易用性方面，可以确保用户方便快捷的将已有应用用Occlum加以保护；在性能方面，新一代Occlum引入了协程技术和IO_uring，通过异步化的方式对整体性能带来了较大提升。 Occlum技术领先性已获得产学研的多方认可，相关技术成果已发表在系统领域顶级会议ASPLOS 2020。Occlum在国内外均得到了广泛应用。蚂蚁、阿里巴巴、阿里云、腾讯以及众多国内隐私计算公司均使用Occlum支持其业务场景，由此产生了比较重要的社会价值和经济价值。与此同时，Occlum在世界范围的机密计算领域也具有较高的知名度，一些著名的开源项目（如Hyperledger Avalon）和公司（如Intel、微软等）均在使用Occlum。