一种程序运行方法、装置、处理器、芯片及电子设备制造方法及图纸

本申请实施例提供一种程序运行方法、装置、处理器、芯片及电子设备，其中方法包括：确定待运行的程序；将所述程序的程序信息传递给安全器件，以便所述安全器件根据所述程序的程序信息，将所述程序与白名单进行匹配；接收所述安全器件传递的匹配结果；如果所述匹配结果为所述程序与白名单相匹配，运行所述程序；如果所述匹配结果为所述程序与白名单不匹配，启动安全容器，在所述安全容器中运行所述程序。本申请实施例能够在保障计算机系统的安全性的情况下，避免白名单机制的较高虚警率，提升白名单机制下计算机系统运行程序的灵活性，从而在兼顾安全性和灵活性的情况下，实现程序运行。行。行。

【技术实现步骤摘要】
一种程序运行方法、装置、处理器、芯片及电子设备


[0001]本申请实施例涉及可信计算
，具体涉及一种程序运行方法、装置、处理器、芯片及电子设备。

技术介绍

[0002]可信计算(TrustedComputing)是一项由TCG(可信计算组)推动和开发的技术。可信计算的核心目标之一是保证计算机系统和程序的完整性，从而确保计算机系统和程序运行在可信状态。
[0003]可信计算涉及到程序的运行，因此如何在运行程序时保障计算机系统的安全性，并且提升计算机系统运行程序的灵活性，成为了本领域技术人员亟需解决的技术问题。

技术实现思路

[0004]有鉴于此，本申请实施例提供一种程序运行方法、装置、处理器、芯片及电子设备，以在运行程序时保障计算机系统的安全性，并且提升计算机系统运行程序的灵活性。
[0005]为实现上述目的，本申请实施例提供如下技术方案。
[0006]第一方面，本申请实施例提供一种程序运行方法，包括：
[0007]确定待运行的程序；
[0008]将所述程序的程序信息传递给安全器件，以便所述安全器件根据所述程序的程序信息，将所述程序与白名单进行匹配；
[0009]接收所述安全器件传递的匹配结果；
[0010]如果所述匹配结果为所述程序与白名单相匹配，运行所述程序；
[0011]如果所述匹配结果为所述程序与白名单不匹配，启动安全容器，在所述安全容器中运行所述程序。
[0012]第二方面，本申请实施例提供一种程序运行装置，包括：<br/>[0013]程序确定模块，用于确定待运行的程序；
[0014]程序信息传递模块，用于将所述程序的程序信息传递给安全器件，以便所述安全器件根据所述程序的程序信息，将所述程序与白名单进行匹配；
[0015]匹配结果接收模块，用于接收所述安全器件传递的匹配结果；
[0016]程序运行模块，用于如果所述匹配结果为所述程序与白名单相匹配，运行所述程序；
[0017]安全容器运行程序模块，用于如果所述匹配结果为所述程序与白名单不匹配，启动安全容器，在所述安全容器中运行所述程序。
[0018]第三方面，本申请实施例提供一种处理器，所述处理器被配置为执行如上述第一方面所述的程序运行方法。
[0019]第四方面，本申请实施例提供一种芯片，所述芯片包括如上述第三方面所述的处理器。
[0020]第五方面，本申请实施例提供一种电子设备，所述电子设备包括如上述第四方面所述的芯片。
[0021]本申请实施例提供的程序运行方法中，当处理器需要运行程序时，处理器可将待运行的程序的程序信息传递给安全器件，由安全器件根据所述程序的程序信息，将所述程序与白名单进行匹配，确定匹配结果；进而，处理器可获得安全器件传递的匹配结果；如果匹配结果为所述程序与白名单相匹配，则处理器可正常运行所述程序；如果匹配结果为所述程序与白名单不匹配，则处理器可启动安全容器，从而在所述安全容器中运行所述程序，以使得与白名单不匹配的不可信程序能够在安全容器提供的安全可信环境中执行。本申请实施例提供的程序运行方法基于白名单机制实现，区别于白名单机制针对不可信程序进行告警、阻断运行的方式，本申请实施例针对与白名单不匹配的不可信程序，可启动安全容器，在安全容器中运行不可信程序；从而避免不可信程序为非恶意程序情况下，程序的错误告警和错误阻断运行；同时，就算不可信程序为恶意程序，本申请实施例通过安全容器提供的安全可信环境，也可使得恶意程序不易从安全容器中逃逸，避免恶意程序的运行对计算机系统的安全性影响。
[0022]可见，本申请实施例提供的程序运行方法，可在白名单机制下，利用安全容器运行与白名单不匹配的不可信程序，在保障计算机系统安全性的情况下，避免不可信程序为非恶意程序时的错误告警和错误阻断运行，提高计算机系统运行程序的灵活性。因此本申请实施例能够在保障计算机系统的安全性的情况下，避免白名单机制的较高虚警率，提升白名单机制下计算机系统运行程序的灵活性，从而在兼顾安全性和灵活性的情况下，实现基于白名单机制的程序运行。
附图说明
[0023]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
[0024]图1为可信计算的关键技术示例图。
[0025]图2为可信计算的架构示例图。
[0026]图3为本申请实施例提供的程序运行方法的流程图。
[0027]图4为处理器、安全器件和操作系统的关系示例图。
[0028]图5为本申请实施例提供的在安全器件中设置白名单的方法流程图。
[0029]图6为处理器、安全器件、操作系统和可信服务器的关系示例图。
[0030]图7为本申请实施例提供的程序运行方法的另一流程图。
[0031]图8为本申请实施例提供的程序运行装置的框图。
具体实施方式
[0032]下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例，都属于本申请保护的范围。
[0033]可信计算的基本思想是在计算机系统中建立信任根，然后从信任根开始，对硬件平台、操作系统、程序进行逐层度量，从而将计算的信任扩展到整个计算机系统；这个过程中同时采取安全防护措施，确保计算资源的数据完整性和行为的预期性，达到提高计算机系统的可信性效果。
[0034]可信计算涵盖硬件、软件以及网络等不同技术层面，图1示例性的示出了可信计算的关键技术示例图，如图1所示，可信计算涉及的关键技术主要包括：信任根110、可信平台模块120、信任链传递技术130、可信BIOS(Basic Input Output System，基本输入输出系统)技术140、可信计算软件栈技术150、可信网络连接技术160等。
[0035]其中，信任根110是可信计算的根基，也是实施安全控制的起点。TCG定义的信任根包括负责完整性度量的RTM(Root of Trust for Measurement，可信度量根)、负责报告信任根的RTR(Root of Trust for Report，可信报告根)、和负责存储信任根的RTS(Root of Trust for Storage，可信存储根)。信任根的核心功能是对可信软件栈进行度量和验证，以确保可信性。
[0036]可信平台模块120是可信计算的信任根的一部分，其可以是一个例如SOC(System on Chip，系统级芯片)的芯片形式，包括处理器、存储器、输入输出、密码协处理器、随机数产生器和嵌入式操作系统等部件。可信平台模块具有密码本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种程序运行方法，其特征在于，包括：确定待运行的程序；将所述程序的程序信息传递给安全器件，以便所述安全器件根据所述程序的程序信息，将所述程序与白名单进行匹配；接收所述安全器件传递的匹配结果；如果所述匹配结果为所述程序与白名单相匹配，运行所述程序；如果所述匹配结果为所述程序与白名单不匹配，启动安全容器，在所述安全容器中运行所述程序。2.根据权利要求1所述的程序运行方法，其特征在于，所述安全容器为基于硬件的可信执行环境TEE实现的机密计算沙盒，并且，所述安全容器对应的内存空间采用单独的密钥进行加密。3.根据权利要求2所述的程序运行方法，其特征在于，所述安全容器包括:加密kata容器，或者加密虚拟机；所述加密kata容器为具有密钥的加密性质的kata容器，其中，kata容器不需要共享主机的硬件资源和内核，并且每个kata容器运行在独立的虚拟机上，以使得kata容器之间通过不同虚拟机进行隔离；所述加密虚拟机为基于安全虚拟化技术的虚拟机，所述加密虚拟机的内存空间通过加密虚拟机的虚拟机密钥进行加密，并且加密虚拟机的内存空间通过硬件方式进行隔离。4.根据权利要求1
‑
3任一项所述的程序运行方法，其特征在于，还包括：在操作系统的初始化过程中，将白名单设置于安全器件。5.根据权利要求4所述的程序运行方法，其特征在于，所述在操作系统的初始化过程中，将白名单设置于安全器件包括：进行操作系统的初始化；对可信计算在操作系统初始化涉及的要素进行度量，根据度量结果生成可信报告；将所述可信报告传递给可信服务器，以便所述可信服务器对所述可信报告进行正确性反馈；接收所述可信服务器传递的反馈结果，如果所述反馈结果为可信报告正确，向可信服务器请求白名单；将可信服务器反馈的白名单，设置于安全器件中。6.根据权利要求5所述的程序运行方法，其特征在于，还包括：如果所述反馈结果为可信报告异常，进行关机处理。7.根据权利要求5所述的程序运行方法，其特征在于，所述对可信计算在操作系统初始化涉及的要素进行度量包括：对基本输入输出系统BIOS、GRand统一引导装载程序GRUB和内核进行度量。8.根据权利要求1所述的程序运行方法，其特征在于，所述如...

【专利技术属性】
技术研发人员：应志伟，
申请(专利权)人：海光信息技术股份有限公司，
类型：发明
国别省市：