【TEE从入门到精通及实战】76 段页式内存隔离：让Wasm沙箱在TEE里真正“物理隔离”

76 段页式内存隔离：让Wasm沙箱在TEE里真正“物理隔离”

开篇故事

去年冬天，我帮一家金融科技公司做TEE内Wasm运行时审计。

他们的架构很漂亮：SGX enclave里跑着Wasmtime解释器，每个用户合约独立沙箱。但压力测试到第3天，出事了——合约A居然读到了合约B的内存数据。

排查过程让我后背发凉：Wasm的线性内存是虚拟地址连续分配的，但物理页可能共享。

当合约A的虚拟地址0x1000-0x2000和合约B的0x3000-0x4000映射到同一物理页时，一个越界写就能污染邻居。他们的“内存隔离”只是虚拟地址隔离，物理层面根本没隔开。

痛点拆解

常见错误：只做虚拟隔离，忽略物理页共享

很多开发者以为Wasm的线性内存天然隔离——每个实例有自己的地址空间。

但TEE里物理内存是稀缺资源，操作系统（甚至TEE SDK）会复用物理页。你看到的是虚拟地址不同，底层物理页可能重叠。

反例代码（Python模拟，实际是C/ASM）：

# 伪代码：两个Wasm实例的线性内存映射# 错误：只检查虚拟地址不重叠，忽略物理页def