会员服务
云原生 · 负载 · 英特尔 (Intel) · 设计 · 安全威胁 ·
1 月 3 日
Arca: A Lightweight Confidential Container Architecture for Cloud-Native Environments
翻译:Arca:面向云原生环境的轻量级机密容器架构
Di Lu,Mengna Sun,Qingwen Zhang,Yujia Liu,Jia Zhang,Xuewen Dong,Yulong Shen,Jianfeng Ma
Di Lu,Mengna Sun,Qingwen Zhang,Yujia Liu,Jia Zhang,Xuewen Dong,Yulong Shen,Jianfeng Ma

Confidential containers protect cloud-native workloads using trusted execution environments (TEEs). However, existing Container-in-TEE designs (e.g., Confidential Containers (CoCo)) encapsulate the entire runtime within the TEE, inflating the trusted computing base (TCB) and introducing redundant components and cross-layer overhead. We present Arca, a lightweight confidential container framework based on a TEE-in-Container architecture that isolates each workload in an independent, hardware-enforced trust domain while keeping orchestration logic outside the TEE. This design minimizes inter-layer dependencies, confines compromise to per-container boundaries, and restores the TEE's minimal trust principle. We implemented Arca on Intel SGX, Intel TDX, and AMD SEV. Experimental results show that Arca achieves near-native performance and outperforms CoCo in most benchmarks, while the reduced TCB significantly improves verifiability and resilience against host-level compromise. Arca emonstrates that efficient container management and strong runtime confidentiality can be achieved without sacrificing security assurance.


翻译:机密容器利用可信执行环境(TEE)保护云原生工作负载。然而,现有的“容器在TEE内”设计(例如机密容器(CoCo))将整个运行时封装在TEE内部,导致可信计算基(TCB)膨胀,并引入了冗余组件和跨层开销。我们提出了Arca,一个基于“TEE在容器内”架构的轻量级机密容器框架。该架构将每个工作负载隔离在独立的、硬件强制的信任域中,同时将编排逻辑保留在TEE之外。此设计最小化了层间依赖,将安全威胁限制在每个容器的边界内,并恢复了TEE的最小信任原则。我们在Intel SGX、Intel TDX和AMD SEV上实现了Arca。实验结果表明,Arca实现了接近原生的性能,在大多数基准测试中优于CoCo,同时其缩减的TCB显著提升了可验证性以及对宿主机级安全威胁的抵御能力。Arca证明了高效的容器管理和强大的运行时机密性可以在不牺牲安全保障的前提下实现。
0
下载
关闭预览

相关内容

《面向军事网络的下一代云事件响应》
《面向军事网络的下一代云事件响应》
专知会员服务
12+阅读 · 2025年11月2日
利用云技术进行部队部署、战斗并取得胜利
利用云技术进行部队部署、战斗并取得胜利
专知会员服务
22+阅读 · 2024年12月6日
国家标准《信息技术云计算参考架构》
国家标准《信息技术云计算参考架构》
专知会员服务
35+阅读 · 2024年5月24日
《美国陆军研究实验室嵌入式研究系统的可视化和处理 (ARL-ViPERS) 用户手册》2023最新90页
《美国陆军研究实验室嵌入式研究系统的可视化和处理 (ARL-ViPERS) 用户手册》2023最新90页
专知会员服务
39+阅读 · 2023年9月25日
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
专知会员服务
26+阅读 · 2023年1月29日
《可信密态计算白皮书》正式发布!48页pdf
《可信密态计算白皮书》正式发布!48页pdf
专知会员服务
35+阅读 · 2022年9月29日
法国民航学院(ENAC)最新综述《人工智能(AI)和可解释人工智能(XAI)在空中交通管理中的应用综述:当前趋势和发展及未来研究轨迹》
法国民航学院(ENAC)最新综述《人工智能(AI)和可解释人工智能(XAI)在空中交通管理中的应用综述:当前趋势和发展及未来研究轨迹》
专知会员服务
47+阅读 · 2022年8月9日
【Google大脑Sara Sabour】胶囊架构(Capsule Architectures),附47页ppt
【Google大脑Sara Sabour】胶囊架构(Capsule Architectures),附47页ppt
专知会员服务
39+阅读 · 2019年11月24日
《云计算发展白皮书(2019年)》,55页PDF,中国信息通信研究院编
《云计算发展白皮书(2019年)》,55页PDF,中国信息通信研究院编
专知会员服务
39+阅读 · 2019年11月7日
【O'Reilly AI Conference 2019】深度学习的容器化架构(Containerized architectures for deep learning),AWS的 AI和机器学习技术专家Antje Barth
【O'Reilly AI Conference 2019】深度学习的容器化架构(Containerized architectures for deep learning),AWS的 AI和机器学习技术专家Antje Barth
专知会员服务
10+阅读 · 2019年11月5日
ArchSummit 全球架构师峰会顺利落地深圳
ArchSummit 全球架构师峰会顺利落地深圳
极客邦科技Geekbang
10+阅读 · 2022年7月22日
美国陆军研究实验室《支持C2互操作性和传感器融合的全球信息网络架构评估》2022年技术总结报告
美国陆军研究实验室《支持C2互操作性和传感器融合的全球信息网络架构评估》2022年技术总结报告
专知
64+阅读 · 2022年7月15日
《以 CBM+ 和 PHM 为中心的数字孪生作战系统架构》美国海军研究生院最新论文,150页pdf
《以 CBM+ 和 PHM 为中心的数字孪生作战系统架构》美国海军研究生院最新论文,150页pdf
专知
67+阅读 · 2022年4月9日
将U-Net用于图像去雾任务,一种具有密集特征融合的多尺度增强去雾网络 | CVPR2020
将U-Net用于图像去雾任务,一种具有密集特征融合的多尺度增强去雾网络 | CVPR2020
CVer
12+阅读 · 2020年6月30日
谷歌ALBERT模型V2+中文版来了:之前刷新NLP各大基准,现在GitHub热榜第二
谷歌ALBERT模型V2+中文版来了:之前刷新NLP各大基准,现在GitHub热榜第二
量子位
14+阅读 · 2020年1月2日
基于 SonarQube 的增量代码扫描
基于 SonarQube 的增量代码扫描
DevOps时代
12+阅读 · 2019年7月18日
工行基于MySQL构建分布式架构的转型之路
工行基于MySQL构建分布式架构的转型之路
炼数成金订阅号
15+阅读 · 2019年5月16日
浅谈 Kubernetes 在生产环境中的架构
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
【泡泡图灵智库】Complex-YOLO:一个用于实时点云3D目标检测的欧拉区域提议网络(arXiv)
【泡泡图灵智库】Complex-YOLO:一个用于实时点云3D目标检测的欧拉区域提议网络(arXiv)
泡泡机器人SLAM
20+阅读 · 2018年12月27日
【泡泡图灵智库】MapNet:一种便于动态更新的全局地图存储方法(CVPR)
【泡泡图灵智库】MapNet:一种便于动态更新的全局地图存储方法(CVPR)
泡泡机器人SLAM
11+阅读 · 2018年12月10日
面向云计算的同态密码关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
云存储中基于无证书加密的数据机密性保护与访问控制
国家自然科学基金
1+阅读 · 2015年12月31日
云计算环境下属性基密码及其应用研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
异构密集无线网络的安全容量研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
云存储中无证书可证明数据持有方案关键技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
移动云计算环境下密码计算可证安全负载迁移研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向隐私保护的云数据访问模型与方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Authenticated encryption for space telemetry
Arxiv
0+阅读 · 1月29日
TÄMU: Emulating Trusted Applications at the (GlobalPlatform)-API Layer
Arxiv
0+阅读 · 1月28日
MirageNet:A Secure, Efficient, and Scalable On-Device Model Protection in Heterogeneous TEE and GPU System
Arxiv
0+阅读 · 1月20日
ConstMig: Enabling Secure Live Migration of Large Intel SGX-based applications
Arxiv
0+阅读 · 1月17日
A Low-Complexity Architecture for Multi-access Coded Caching Systems with Arbitrary User-cache Access Topology
Arxiv
0+阅读 · 1月16日
XuanJia: A Comprehensive Virtualization-Based Code Obfuscator for Binary Protection
Arxiv
0+阅读 · 1月15日
The Real Menace of Cloning Attacks on SGX Applications
Arxiv
0+阅读 · 1月14日
AutoTEE: Automated Migration and Protection of Programs in Trusted Execution Environments
Arxiv
0+阅读 · 1月5日
What You Trust Is Insecure: Demystifying How Developers (Mis)Use Trusted Execution Environments in Practice
Arxiv
0+阅读 · 1月3日
Diamond: Design and Implementation of Breach-Resilient Authenticated Encryption Framework For Internet of Things
Arxiv
0+阅读 · 1月1日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
云原生
负载
英特尔 (Intel)
设计
安全威胁
相关VIP内容
《面向军事网络的下一代云事件响应》
《面向军事网络的下一代云事件响应》
专知会员服务
12+阅读 · 2025年11月2日
利用云技术进行部队部署、战斗并取得胜利
利用云技术进行部队部署、战斗并取得胜利
专知会员服务
22+阅读 · 2024年12月6日
国家标准《信息技术云计算参考架构》
国家标准《信息技术云计算参考架构》
专知会员服务
35+阅读 · 2024年5月24日
《美国陆军研究实验室嵌入式研究系统的可视化和处理 (ARL-ViPERS) 用户手册》2023最新90页
《美国陆军研究实验室嵌入式研究系统的可视化和处理 (ARL-ViPERS) 用户手册》2023最新90页
专知会员服务
39+阅读 · 2023年9月25日
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
网络安全行业深度报告:存量改造+数据安全,商密处于上升期
专知会员服务
26+阅读 · 2023年1月29日
《可信密态计算白皮书》正式发布!48页pdf
《可信密态计算白皮书》正式发布!48页pdf
专知会员服务
35+阅读 · 2022年9月29日
法国民航学院(ENAC)最新综述《人工智能(AI)和可解释人工智能(XAI)在空中交通管理中的应用综述:当前趋势和发展及未来研究轨迹》
法国民航学院(ENAC)最新综述《人工智能(AI)和可解释人工智能(XAI)在空中交通管理中的应用综述:当前趋势和发展及未来研究轨迹》
专知会员服务
47+阅读 · 2022年8月9日
【Google大脑Sara Sabour】胶囊架构(Capsule Architectures),附47页ppt
【Google大脑Sara Sabour】胶囊架构(Capsule Architectures),附47页ppt
专知会员服务
39+阅读 · 2019年11月24日
《云计算发展白皮书(2019年)》,55页PDF,中国信息通信研究院编
《云计算发展白皮书(2019年)》,55页PDF,中国信息通信研究院编
专知会员服务
39+阅读 · 2019年11月7日
【O'Reilly AI Conference 2019】深度学习的容器化架构(Containerized architectures for deep learning),AWS的 AI和机器学习技术专家Antje Barth
【O'Reilly AI Conference 2019】深度学习的容器化架构(Containerized architectures for deep learning),AWS的 AI和机器学习技术专家Antje Barth
专知会员服务
10+阅读 · 2019年11月5日
热门VIP内容
相关资讯
ArchSummit 全球架构师峰会顺利落地深圳
ArchSummit 全球架构师峰会顺利落地深圳
极客邦科技Geekbang
10+阅读 · 2022年7月22日
美国陆军研究实验室《支持C2互操作性和传感器融合的全球信息网络架构评估》2022年技术总结报告
美国陆军研究实验室《支持C2互操作性和传感器融合的全球信息网络架构评估》2022年技术总结报告
专知
64+阅读 · 2022年7月15日
《以 CBM+ 和 PHM 为中心的数字孪生作战系统架构》美国海军研究生院最新论文,150页pdf
《以 CBM+ 和 PHM 为中心的数字孪生作战系统架构》美国海军研究生院最新论文,150页pdf
专知
67+阅读 · 2022年4月9日
将U-Net用于图像去雾任务,一种具有密集特征融合的多尺度增强去雾网络 | CVPR2020
将U-Net用于图像去雾任务,一种具有密集特征融合的多尺度增强去雾网络 | CVPR2020
CVer
12+阅读 · 2020年6月30日
谷歌ALBERT模型V2+中文版来了:之前刷新NLP各大基准,现在GitHub热榜第二
谷歌ALBERT模型V2+中文版来了:之前刷新NLP各大基准,现在GitHub热榜第二
量子位
14+阅读 · 2020年1月2日
基于 SonarQube 的增量代码扫描
基于 SonarQube 的增量代码扫描
DevOps时代
12+阅读 · 2019年7月18日
工行基于MySQL构建分布式架构的转型之路
工行基于MySQL构建分布式架构的转型之路
炼数成金订阅号
15+阅读 · 2019年5月16日
浅谈 Kubernetes 在生产环境中的架构
浅谈 Kubernetes 在生产环境中的架构
DevOps时代
11+阅读 · 2019年5月8日
【泡泡图灵智库】Complex-YOLO:一个用于实时点云3D目标检测的欧拉区域提议网络(arXiv)
【泡泡图灵智库】Complex-YOLO:一个用于实时点云3D目标检测的欧拉区域提议网络(arXiv)
泡泡机器人SLAM
20+阅读 · 2018年12月27日
【泡泡图灵智库】MapNet:一种便于动态更新的全局地图存储方法(CVPR)
【泡泡图灵智库】MapNet:一种便于动态更新的全局地图存储方法(CVPR)
泡泡机器人SLAM
11+阅读 · 2018年12月10日
相关论文
Authenticated encryption for space telemetry
Arxiv
0+阅读 · 1月29日
TÄMU: Emulating Trusted Applications at the (GlobalPlatform)-API Layer
Arxiv
0+阅读 · 1月28日
MirageNet:A Secure, Efficient, and Scalable On-Device Model Protection in Heterogeneous TEE and GPU System
Arxiv
0+阅读 · 1月20日
ConstMig: Enabling Secure Live Migration of Large Intel SGX-based applications
Arxiv
0+阅读 · 1月17日
A Low-Complexity Architecture for Multi-access Coded Caching Systems with Arbitrary User-cache Access Topology
Arxiv
0+阅读 · 1月16日
XuanJia: A Comprehensive Virtualization-Based Code Obfuscator for Binary Protection
Arxiv
0+阅读 · 1月15日
The Real Menace of Cloning Attacks on SGX Applications
Arxiv
0+阅读 · 1月14日
AutoTEE: Automated Migration and Protection of Programs in Trusted Execution Environments
Arxiv
0+阅读 · 1月5日
What You Trust Is Insecure: Demystifying How Developers (Mis)Use Trusted Execution Environments in Practice
Arxiv
0+阅读 · 1月3日
Diamond: Design and Implementation of Breach-Resilient Authenticated Encryption Framework For Internet of Things
Arxiv
0+阅读 · 1月1日
相关基金
面向云计算的同态密码关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
云计算环境中面向内容的密文检索关键技术研究
国家自然科学基金
0+阅读 · 2017年12月31日
云存储中基于无证书加密的数据机密性保护与访问控制
国家自然科学基金
1+阅读 · 2015年12月31日
云计算环境下属性基密码及其应用研究
国家自然科学基金
0+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
异构密集无线网络的安全容量研究
国家自然科学基金
0+阅读 · 2015年12月31日
云计算环境信任链系统安全性理论研究
国家自然科学基金
0+阅读 · 2015年12月31日
云存储中无证书可证明数据持有方案关键技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
移动云计算环境下密码计算可证安全负载迁移研究
国家自然科学基金
0+阅读 · 2014年12月31日
面向隐私保护的云数据访问模型与方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top