“星綻”作業系統核心開源:採用Rust語言,兼顧效能與安全

机器之心發表於2024-10-22

中關村實驗室、螞蟻集團等聯合釋出“星綻”開源系統軟體棧


10月22日,聚焦安全可信底層技術的開源系統軟體棧——“星綻”(Asterinas),由中關村實驗室、螞蟻集團、北京大學、南方科技大學等產學研機構聯合對外發布,並向全球開發者開源。“星綻”系統軟體棧旗下包括星綻OS和星綻機密計算兩大專案,分別面向通用執行環境和可信執行環境提供安全原生的系統軟體,為雲端計算、資料可信流通、人工智慧等安全攸關的計算場景,構建安全可信的技術底座。

釋出現場,中國工程院院士倪光南在致辭中表示:“近年來,全球系統安全漏洞頻發,網路攻擊和黑灰產業的事件頻發,傳統的技術路線難以高效應對新的安全挑戰。安全可信的新技術已成為推動產業可持續發展和技術持續創新的關鍵。同時,隨著人工智慧技術深入落地產業,保障安全的資料流通更需要適配安全可靠的系統軟體棧的支撐。”

“星綻”作業系統核心開源:採用Rust語言,兼顧效能與安全

作業系統領域,一大技術挑戰是安全和效能難以兼顧。目前主流商用及開源作業系統,基於傳統的、非記憶體安全的C語言開發,系統複雜度爆炸式增長,高危安全漏洞每隔一段時間就會爆發一次,這些漏洞很大一部分是由記憶體安全問題引起的。星綻OS是一個兼顧效能和安全的工業級開源作業系統核心,採用新興的Rust程式語言,首創框核心OS架構,最小化了可能引發記憶體安全問題的“關鍵程式碼”(其中包含非記憶體安全的程式碼),實現作業系統核心的原生安全變革。

目前,星綻OS支援x86和RISC-V等CPU體系架構,相容Linux,支援超過170個Linux系統呼叫,可以執行Web服務應用,預計將於2025年在雲端計算和機密計算等資料中心場景率先投入工業應用。在業界公認的LMbench基準測試上,星綻OS對齊全球主流開源作業系統Linux的效能水平。星綻OS程式碼託管在GitHub平臺,程式碼全面開源;同時,它採用MPL開源許可,開源免費並商業友好,為高安全要求的應用場景提供了一個新的開源OS選項。

星綻OS聚焦通用執行環境,星綻機密計算則聚焦可信執行環境。在產業界,資料儲存和傳輸的保護技術已經相對成熟,而如何對使用中的資料進行保護,是全球共同面臨的技術難題。機密計算技術,基於硬體的可信執行環境(TEE) 構建隔離的“安全飛地”,保護資料在處理過程中的安全性和隱私性,可以為實現密態計算所要求的資料流轉全鏈路安全保障能力提供關鍵技術支撐。全球主流晶片和雲廠商也在積極佈局,包括英特爾、AMD,以及亞馬遜、IBM、微軟和阿里雲等。

星綻機密計算包括HyperEnclave、Occlum和TrustFlow三大核心元件,形成了從底層的安全虛擬化環境到上層的可信服務軟體棧,提供支撐大規模複雜資料流轉場景的密算能力,著力解決可信根CPU依賴、CPU側通道攻擊防護緩解、複雜資料分析處理的全鏈路密態保障等行業痛點,攜手開源社群構建以技術為基石的信任體系。今年5月以來,螞蟻集團公佈密態計算技術體系,陸續推出“隱語云”系列密算產品,星綻機密計算也是該密態計算體系的關鍵支撐技術之一。

星綻機密計算旗下的TEE庫作業系統Occlum入選了2021“科創中國”開源創新榜,併成為國內首個加入國際機密計算聯盟(CCC)的開源專案,也得到阿里雲、微軟雲、英特爾等廠商的聯合推薦。此外,星綻機密計算積累了豐富的產業落地經驗,獲得了金融科技產品認證(2022-2024),支援在阿里雲、百度雲等公有云上“開箱即用”,在螞蟻集團、美團、京東等大型科技企業的業務中落地。

在推動資料要素流通可信體系的建設上,星綻機密計算積極參與新的產業實踐。9月25日,杭州市宣佈建成全國首個密態計算中心,應用星綻機密計算開源專案作為安全底座,為資料產業生態中的參與方等提供全生命週期的密態安全保障;今年5月,農業農村部大資料發展中心與網商銀行發起的“農戶秒貸”專案,基於星綻機密計算構建了密態時空計算平臺,入選了國家資料局首批“資料要素x”典型金融案例,目前超600萬農戶獲得貸款額度。

螞蟻集團副總裁兼首席技術安全官、螞蟻密算董事長韋韜表示,當前全球正處在歷史性的技術變革期,大資料和人工智慧等新興技術深入產業應用,同時網路黑灰產已經形成龐大、完整且有細緻分工的國際產業鏈條,全球嚴重安全事件頻頻爆發。系統軟體作為資訊科技系統的基石技術,要以大規模工業級可用為導向,創新技術安全正規化。

另一方面,韋韜認為,當今技術發展到了一個關鍵拐點,不只是大模型有突破。例如,對網路空間安全的認知逐漸趨向微觀本源,業界提出了原生安全正規化;行業經過幾十年的積累,實現了以Rust安全原生的程式語言,支援大規模工業級的系統軟體工程研發;同時,資料成為第五大生產要素,大規模資料可信流通的趨勢,對構建技術信任體系提出了全新、急迫的高要求。

“兩年前,我們面向全球開發者開源了隱語可信隱私計算技術棧。今天,我們聯合產學研合作伙伴一起釋出星綻開源系統軟體棧,致力於共建安全可信的技術底座。未來還有很多的工作要做,我們希望與產學研的夥伴一起,持續推動系統軟體技術的發展和應用,”韋韜說。

倪光南認為,開源已經成為資訊科技生態構建的主流趨勢,成為全球協同創新推動資訊科技發展的強大動力。今天,開源對開放科學精神傳播、科學技術創新、數字經濟建設、全球開放合作、產業生態構建等方面提供了有力的支撐。“未來希望星綻能不忘初心,踔厲奮進,持續推動社群發展,為產業發展和社會經濟效益創造更大的價值,為數字經濟建設提供堅實的技術底座”,他說。

相關文章