基于可信执行环境的无服务器计算方法、装置及设备制造方法及图纸

本公开提供了一种基于可信执行环境的无服务器计算方法、装置及设备，所述方法包括：首先获取不可信环境下的可执行程序镜像，作为待处理程序镜像，其中，待处理程序镜像中包括目标程序和运行环境，扫描运行环境中的依赖库目录，以获取目标程序对应的依赖文件，并计算依赖文件对应的完整性度量值，然后基于依赖文件对应的完整性度量值，生成完整性度量文件，再基于待处理程序镜像和完整性度量文件，生成目标程序镜像，本公开基于运行环境中的依赖库目录，可以更精准的获取目标程序对应的依赖文件，避免了后续云平台对可信环境进行加载的过程中对不必要的依赖文件进行加载，提升了云平台对可信环境的加载效率。台对可信环境的加载效率。台对可信环境的加载效率。

【技术实现步骤摘要】
基于可信执行环境的无服务器计算方法、装置及设备


[0001]本公开涉及数据处理领域，尤其涉及一种基于可信执行环境的无服务器计算方法、装置、设备及存储介质。

技术介绍

[0002]随着云时代的到来，越来越多的企业将开发的程序镜像放在云平台上运行，从而实现程序的自动化运维部署，然而在运行过程中，安全性仍需考量。
[0003]相关技术中，通常基于黑名单的策略，通过排除特定目录下的依赖文件的方式，获取目标程序对应的依赖文件，从而生成能够运行在可信环境中的程序镜像，保证目标程序在云平台上运行的安全性。
[0004]但是，由于仅通过黑名单的方式获取目标程序的依赖文件，缺少较精准的依赖文件获取方式，导致云平台对可信环境加载的过程中需要加载的依赖文件数量过多，进而导致云平台对可信环境的加载效率较低。

技术实现思路

[0005]为了解决上述技术问题，本公开实施例提供了一种基于可信执行环境的无服务器计算方法。
[0006]第一方面，本公开提供了一种基于可信执行环境的无服务器计算方法，应用于开发平台端，所述方法包括：
[0007]获取不可信环境下的可执行程序镜像，作为待处理程序镜像；其中，所述待处理程序镜像中包括目标程序和运行环境；
[0008]扫描所述运行环境中的依赖库目录，以获取所述目标程序对应的依赖文件，并计算所述依赖文件对应的完整性度量值；
[0009]基于所述依赖文件对应的完整性度量值，生成完整性度量文件；
[0010]基于所述待处理程序镜像和所述完整性度量文件，生成目标程序镜像；其中，所述目标程序镜像为支持所述目标程序在可信执行环境下部署及运行的可执行程序镜像，所述完整性度量文件用于对所述目标程序镜像进行完整性验证。
[0011]一种可选的实施方式中，所述扫描所述运行环境中的依赖库目录，以获取所述目标程序对应的依赖文件之前，还包括：
[0012]将预先确定的可信环境依赖文件添加到所述待处理程序镜像中；
[0013]以及，将所述可信环境依赖文件的库目录信息添加到所述运行环境中的依赖库目录。
[0014]一种可选的实施方式中，所述基于所述依赖文件对应的完整性度量值，生成完整性度量文件之前，还包括：
[0015]计算所述目标程序对应的完整性度量值；
[0016]相应的，所述基于所述依赖文件对应的完整性度量值，生成完整性度量文件，包
括：
[0017]基于所述目标程序对应的完整性度量值和所述依赖文件对应的完整性度量值，生成完整性度量文件。
[0018]一种可选的实施方式中，所述运行环境中的依赖库目录包括系统库目录、用户库目录和所述目标程序所在的目录。
[0019]一种可选的实施方式中，所述可信环境依赖文件包括远程证明功能文件和状态监控功能文件中的至少一个，以及库操作系统文件和所述目标程序对应的编程语言相关的库文件；
[0020]其中，所述远程证明功能文件用于支持通过远程通信的方式验证所述目标程序的完整性，所述状态监控功能文件用于发送所述目标程序的状态报告，所述状态报告中包括所述目标程序的运行状态。
[0021]一种可选的实施方式中，所述基于所述待处理程序镜像和所述完整性度量文件，生成目标程序镜像之前，还包括：
[0022]利用预先生成的密钥对所述完整性度量文件进行签名，得到签名后完整性度量文件；
[0023]相应的，所述基于所述待处理程序镜像和所述完整性度量文件，生成目标程序镜像，包括：
[0024]基于所述待处理程序镜像和所述签名后完整性度量文件，生成目标程序镜像。
[0025]第二方面，本公开提供了一种基于可信执行环境的无服务器计算方法，应用于云平台端，所述方法包括：
[0026]获取目标程序镜像；其中，所述目标程序镜像中包括目标程序、运行环境和完整性度量文件，所述完整性度量文件中包括所述目标程序对应的依赖文件的完整性度量值，所述目标程序对应的依赖文件为扫描所述运行环境中的依赖库目录得到；
[0027]基于所述完整性度量文件，对所述目标程序对应的依赖文件进行完整性验证，并在验证通过后，对所述目标程序对应的依赖文件进行预加载；
[0028]在接收到针对所述目标程序的启动命令时，在可信执行环境下执行所述目标程序。
[0029]一种可选的实施方式中，所述完整性度量文件中还包括所述目标程序对应的完整性度量值；所述在接收到针对所述目标程序的启动命令时，在可信执行环境下执行所述目标程序，包括：
[0030]在接收到针对所述目标程序的启动命令时，基于所述完整性度量文件，对所述目标程序进行完整性验证，并在验证通过后，在可信执行环境下执行所述目标程序。
[0031]第三方面，本公开提供了一种基于可信执行环境的无服务器计算装置，应用于开发平台端，所述装置包括：
[0032]第一获取模块，用于获取不可信环境下的可执行程序镜像，作为待处理程序镜像；其中，所述待处理程序镜像中包括目标程序和运行环境；
[0033]第二获取模块，用于扫描所述运行环境中的依赖库目录，以获取所述目标程序对应的依赖文件，并计算所述依赖文件对应的完整性度量值；
[0034]第一生成模块，用于基于所述依赖文件对应的完整性度量值，生成完整性度量文
件；
[0035]第二生成模块，用于基于所述待处理程序镜像和所述完整性度量文件，生成目标程序镜像；其中，所述目标程序镜像为支持所述目标程序在可信执行环境下部署及运行的可执行程序镜像，所述完整性度量文件用于对所述目标程序镜像进行完整性验证。
[0036]第四方面，本公开提供了一种基于可信执行环境的无服务器计算装置，应用于云平台端，所述装置包括：
[0037]第三获取模块，用于获取目标程序镜像；其中，所述目标程序镜像中包括目标程序、运行环境和完整性度量文件，所述完整性度量文件中包括所述目标程序对应的依赖文件的完整性度量值，所述目标程序对应的依赖文件为扫描所述运行环境中的依赖库目录得到；
[0038]验证模块，用于基于所述完整性度量文件，对所述目标程序对应的依赖文件进行完整性验证，并在验证通过后，对所述目标程序对应的依赖文件进行预加载；
[0039]执行模块，用于在接收到针对所述目标程序的启动命令时，在可信执行环境下执行所述目标程序。
[0040]第五方面，本公开提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，当所述指令在终端设备上运行时，使得所述终端设备实现上述的方法。
[0041]第六方面，本公开提供了一种基于可信执行环境的无服务器计算设备，包括：存储器，处理器，及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时，实现上述的方法。
[0042]第七方面，本公开提供了一种计算机程序产品，所述计算机程序产品包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现上述的方法。
[0本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于可信执行环境的无服务器计算方法，其特征在于，所述方法包括：获取不可信环境下的可执行程序镜像，作为待处理程序镜像；其中，所述待处理程序镜像中包括目标程序和运行环境；扫描所述运行环境中的依赖库目录，以获取所述目标程序对应的依赖文件，并计算所述依赖文件对应的完整性度量值；基于所述依赖文件对应的完整性度量值，生成完整性度量文件；基于所述待处理程序镜像和所述完整性度量文件，生成目标程序镜像；其中，所述目标程序镜像为支持所述目标程序在可信执行环境下部署及运行的可执行程序镜像，所述完整性度量文件用于对所述目标程序镜像进行完整性验证。2.根据权利要求1所述的方法，其特征在于，所述扫描所述运行环境中的依赖库目录，以获取所述目标程序对应的依赖文件之前，还包括：将预先确定的可信环境依赖文件添加到所述待处理程序镜像中；以及，将所述可信环境依赖文件的库目录信息添加到所述运行环境中的依赖库目录。3.根据权利要求1所述的方法，其特征在于，所述基于所述依赖文件对应的完整性度量值，生成完整性度量文件之前，还包括：计算所述目标程序对应的完整性度量值；相应的，所述基于所述依赖文件对应的完整性度量值，生成完整性度量文件，包括：基于所述目标程序对应的完整性度量值和所述依赖文件对应的完整性度量值，生成完整性度量文件。4.根据权利要求1所述的方法，其特征在于，所述运行环境中的依赖库目录包括系统库目录、用户库目录和所述目标程序所在的目录。5.根据权利要求2所述的方法，其特征在于，所述可信环境依赖文件包括远程证明功能文件和状态监控功能文件中的至少一个，以及库操作系统文件和所述目标程序对应的编程语言相关的库文件；其中，所述远程证明功能文件用于支持通过远程通信的方式验证所述目标程序的完整性，所述状态监控功能文件用于发送所述目标程序的状态报告，所述状态报告中包括所述目标程序的运行状态。6.根据权利要求1所述的方法，其特征在于，所述基于所述待处理程序镜像和所述完整性度量文件，生成目标程序镜像之前，还包括：利用预先生成的密钥对所述完整性度量文件进行签名，得到签名后完整性度量文件；相应的，所述基于所述待处理程序镜像和所述完整性度量文件，生成目标程序镜像，包括：基于所述待处理程序镜像和所述签名后完整性度量文件，生成目标程序镜像。7.一种基于可信执行环境的无服务器计算方法，其特征在于，所述方法包括：获取目标程序镜像；其中，所述目标程序镜像中包括目标程序、运行环境和完整性度量文件，所述完整性度量文件中包括所述目标程序对应的依赖文件的完整性度量值，所述目标程序对应的依赖文件为扫描所述运行环境中的依赖库目录得到；基于所述完整性度量文件，对所述目标程序对应的依...

【专利技术属性】
技术研发人员：刘敬彬，张尧，吴烨，
申请(专利权)人：北京火山引擎科技有限公司，
类型：发明
国别省市：