容器在云平台中广泛使用，但其隔离性弱是主要安全威胁。本文提出 RContainer，一种通过扩展 ARM 机密计算架构（CCA）硬件原语来保护容器免受不可信操作系统侵害、并实现容器间强隔离的新型安全容器架构。RContainer 引入一个微小的可信 mini-OS，与权限降低的操作系统并行运行，负责监控操作系统与容器之间的控制流。此外，RContainer 采用 shim 风格隔离机制，利用 Granule Protection Check（GPC）硬件机制在内核层为每个容器创建一个称为 conshim 的隔离物理地址空间。作者在 ARMv9-A 固定虚拟平台和 ARMv8 硬件 SoC 上实现了 RContainer，并进行了安全分析和性能评估。实验结果表明，RContainer 能在适度性能开销和极小的可信计算基（TCB）下显著增强容器安全性。