- 简介本文介绍了一种名为TME-Box的新型隔离技术,可在商品化的x86 CPU上实现细粒度和可扩展的沙箱隔离。通过重新利用原本用于虚拟机加密的Intel TME-MK,TME-Box提供了轻量级和高效的进程内隔离。TME-Box通过编译器插装实现沙箱使用其指定的加密密钥进行内存交互的强制执行。这种加密隔离技术可以实现细粒度的访问控制,从单个缓存行到整个页面,并支持灵活的数据重定位。此外,TME-Box的设计允许最多隔离32K个并发沙箱。作者还提供了一个性能优化的TME-Box原型,利用基于x86段地址的技术,展示了使用SPEC CPU2017基准测试套件评估的数据隔离和代码与数据隔离的几何平均性能开销分别为5.2%和9.7%。由于云计算依赖于进程内隔离来优化性能,而现有的进程内隔离机制不适用于现代云的需求,因此TME-Box成为商品化的x86机器上轻量级进程内隔离的有力工具。在没有重量级进程隔离的情况下,内存安全错误会导致重大安全威胁,因为它允许攻击者提取或破坏其他共存租户的私有数据。
- 图表
- 解决问题TME-Box试图解决云计算中的轻量级进程隔离问题,以提高安全性和性能。
- 关键思路TME-Box利用Intel TME-MK进行加密,通过编译器插装强制实现内存交互的加密隔离,从而实现轻量级进程隔离。
- 其它亮点TME-Box支持细粒度的访问控制,能够有效隔离多达32K个并发沙箱。实验结果表明,TME-Box对数据隔离和代码与数据隔离的性能影响分别为5.2%和9.7%。
- 近期相关研究包括:1. "Lightweight Process Isolation with SplitKernel";2. "The design and implementation of sandboxing for Linux"。
沙发等你来抢
去评论
评论
沙发等你来抢