[发明专利]基于可信执行环境的无服务器计算方法、装置及设备

说明书

本公开提供了一种基于可信执行环境的无服务器计算方法、装置及设备，所述方法包括：首先获取不可信环境下的可执行程序镜像，作为待处理程序镜像，其中，待处理程序镜像中包括目标程序和运行环境，扫描运行环境中的依赖库目录，以获取目标程序对应的依赖文件，并计算依赖文件对应的完整性度量值，然后基于依赖文件对应的完整性度量值，生成完整性度量文件，再基于待处理程序镜像和完整性度量文件，生成目标程序镜像，本公开基于运行环境中的依赖库目录，可以更精准的获取目标程序对应的依赖文件，避免了后续云平台对可信环境进行加载的过程中对不必要的依赖文件进行加载，提升了云平台对可信环境的加载效率。

技术领域

本公开涉及数据处理领域，尤其涉及一种基于可信执行环境的无服务器计算方法、装置、设备及存储介质。

背景技术

随着云时代的到来，越来越多的企业将开发的程序镜像放在云平台上运行，从而实现程序的自动化运维部署，然而在运行过程中，安全性仍需考量。

相关技术中，通常基于黑名单的策略，通过排除特定目录下的依赖文件的方式，获取目标程序对应的依赖文件，从而生成能够运行在可信环境中的程序镜像，保证目标程序在云平台上运行的安全性。

但是，由于仅通过黑名单的方式获取目标程序的依赖文件，缺少较精准的依赖文件获取方式，导致云平台对可信环境加载的过程中需要加载的依赖文件数量过多，进而导致云平台对可信环境的加载效率较低。

发明内容

为了解决上述技术问题，本公开实施例提供了一种基于可信执行环境的无服务器计算方法。

第一方面，本公开提供了一种基于可信执行环境的无服务器计算方法，应用于开发平台端，所述方法包括：

获取不可信环境下的可执行程序镜像，作为待处理程序镜像；其中，所述待处理程序镜像中包括目标程序和运行环境；

扫描所述运行环境中的依赖库目录，以获取所述目标程序对应的依赖文件，并计算所述依赖文件对应的完整性度量值；

基于所述依赖文件对应的完整性度量值，生成完整性度量文件；

基于所述待处理程序镜像和所述完整性度量文件，生成目标程序镜像；其中，所述目标程序镜像为支持所述目标程序在可信执行环境下部署及运行的可执行程序镜像，所述完整性度量文件用于对所述目标程序镜像进行完整性验证。

一种可选的实施方式中，所述扫描所述运行环境中的依赖库目录，以获取所述目标程序对应的依赖文件之前，还包括：

将预先确定的可信环境依赖文件添加到所述待处理程序镜像中；

以及，将所述可信环境依赖文件的库目录信息添加到所述运行环境中的依赖库目录。

一种可选的实施方式中，所述基于所述依赖文件对应的完整性度量值，生成完整性度量文件之前，还包括：

计算所述目标程序对应的完整性度量值；

相应的，所述基于所述依赖文件对应的完整性度量值，生成完整性度量文件，包括：

基于所述目标程序对应的完整性度量值和所述依赖文件对应的完整性度量值，生成完整性度量文件。

一种可选的实施方式中，所述运行环境中的依赖库目录包括系统库目录、用户库目录和所述目标程序所在的目录。

一种可选的实施方式中，所述可信环境依赖文件包括远程证明功能文件和状态监控功能文件中的至少一个，以及库操作系统文件和所述目标程序对应的编程语言相关的库文件；

其中，所述远程证明功能文件用于支持通过远程通信的方式验证所述目标程序的完整性，所述状态监控功能文件用于发送所述目标程序的状态报告，所述状态报告中包括所述目标程序的运行状态。