[发明专利]一种可信计算程序调用方法、装置、电子设备及存储介质

说明书

本说明书提供了一种可信计算程序调用方法、装置、电子设备及存储介质，该方法应用于第一可信计算节点，第一可信计算节点处部署的第一可信执行环境中运行有可信应用，该方法包括：获取针对库操作系统环境的远程认证报告，库操作系统环境被封装于第二可信执行环境；在根据远程认证报告确定库操作系统环境可信的情况下，将来自可信应用的调用请求密文发送至库操作系统环境中的接口程序，以使接口程序对调用请求密文进行解密后得到调用请求，并调用库操作系统环境中对应于调用请求的可信计算程序；将接口程序返回的执行结果密文提供至可信应用，以由可信应用解密得到执行结果，执行结果密文为针对可信计算程序输出的执行结果进行加密得到。

技术领域

本说明书涉及可信计算技术领域，尤其涉及一种可信计算程序调用方法、装置、电子设备及存储介质。

背景技术

实现可信计算要求计算程序运行在TEE（Trusted Execution Environment，可信执行环境）中，相关技术中，Intel SGX（Intel Software Guard Extensions，英特尔软件保护扩展）作为主流TEE实现，基于该技术的可信应用开发需要使用Intel SDK（IntelSoftware Development Kit，英特尔软件开发工具）并且按照特定的开发范式进行程序编写，因此未按照特定开发范式进行编写的现有程序需要进行较大改造才能在Intel SGX中运行，而且由于目前Intel SGX仅支持C/C++语言，这导致使用其他语言编写的现有程序具有更大的改造难度。

发明内容

为克服相关技术中存在的问题，本说明书提供了一种可信计算程序调用方法、装置、电子设备及存储介质。

根据本说明书实施例的第一方面，提供一种可信计算程序调用方法，所述方法应用于第一可信计算节点，所述第一可信计算节点处部署的第一可信执行环境中运行有可信应用，所述方法包括：

获取针对库操作系统环境的远程认证报告，所述库操作系统环境被封装于第二可信执行环境；

在根据所述远程认证报告确定所述库操作系统环境可信的情况下，将来自所述可信应用的调用请求密文发送至所述库操作系统环境中的接口程序，以使所述接口程序对所述调用请求密文进行解密后得到调用请求，并调用所述库操作系统环境中对应于所述调用请求的可信计算程序；

将所述接口程序返回的执行结果密文提供至所述可信应用，以由所述可信应用解密得到执行结果，所述执行结果密文为针对所述可信计算程序输出的执行结果进行加密得到。

根据本说明书实施例的第二方面，提供一种可信计算程序调用装置，所述装置应用于第一可信计算节点，所述第一可信计算节点处部署的第一可信执行环境中运行有可信应用，所述装置包括：

报告获取单元，用于获取针对库操作系统环境的远程认证报告，所述库操作系统环境被封装于第二可信执行环境；

请求发送单元，用于在根据所述远程认证报告确定所述库操作系统环境可信的情况下，将来自所述可信应用的调用请求密文发送至所述库操作系统环境中的接口程序，以使所述接口程序对所述调用请求密文进行解密后得到调用请求，并调用所述库操作系统环境中对应于所述调用请求的可信计算程序；

结果提供单元，用于将所述接口程序返回的执行结果密文提供至所述可信应用，以由所述可信应用解密得到执行结果，所述执行结果密文为针对所述可信计算程序输出的执行结果进行加密得到。

根据本说明书实施例的第三方面，提供一种电子设备，包括：

处理器；用于存储处理器可执行指令的存储器；其中，所述处理器被配置为实现上述可信计算程序调用方法的步骤。

根据本说明书实施例的第四方面，提供一种计算机可读存储介质，其上储存有可执行指令；其中，该指令被处理器执行时，实现上述可信计算程序调用方法的步骤。