[发明专利]用于证明分布服务的方法和设备

权利要求书

1.一种用于向网络中的客户端节点(404)提供服务的节点(400)，其特征在于，所述节点用于：

执行代码(402)，用于在可信执行环境(trusted execution environment，TEE)的飞地(401)中向所述客户端节点(404)提供所述服务；

执行所述飞地(401)中的代码库(403)，从而向所述客户端节点证明所提供服务的身份。

2.根据权利要求1所述的节点，其特征在于，所述提供给所述客户端节点的服务是分布式服务，其中，包括多个邻居节点(406至410)的协作结果；所述邻居节点直接连接到所述节点(400)或通过其它中间节点连接到所述节点(400)；所述代码库(403)用于向所述客户端节点证明所述分布式服务的身份。

3.根据权利要求2所述的节点，其特征在于，所述代码库(403)用于：在执行时，通过计算可信分布式身份(trusted distributed identity，TDID)，向所述客户端节点证明所述分布式服务的身份，其中，所述可信分布式身份是所述分布式服务的拓扑和代码库的内射函数。

4.根据权利要求3所述的节点，其特征在于，所述代码库(403)还用于：在执行时，通过向所述客户端节点发送报告来向所述客户端节点(404)证明所述分布式服务的身份，其中，所述报告包括所述TDID。

5.根据权利要求3或4所述的节点，其特征在于，所述节点还用于：

收集所述多个邻居节点中的每个邻居节点的可信本地ID(trusted local ID，TLID)，其中，所述TLID由所述TEE通过相应安全通信信道提供以及证明；组合所述TLID的值；

基于所述组合的TLID的值，计算所述分布式服务的所述TDID。

6.根据权利要求5所述的节点，其特征在于，所述TDID根据递归方程进行计算：

TDID＝

TDID(v)＝0，如果v没有邻居节点；

TDID(n)＝hash(TLID1，TDID(n1)，TLID2，TDID(n2)，……，TLIDN，TDID(RN))，其中，TLIDx是在相应安全通信信道上接收的所述多个邻居节点中的每个邻居节点的所述TLID。

7.根据前述权利要求中任一项所述的节点，其特征在于，所述TEE基于软件保护扩展(software guard extension，SGX)技术提供的指令代码。

8.一种用于向网络中的客户端节点提供服务的系统，其特征在于，包括：

根据权利要求1至7中任一项所述的节点(400)；

与所述节点连接的多个邻居节点(406至410)，

其中，所述节点和所述多个邻居节点形成基于分布式服务或微服务的系统，并且每个节点均用于在可信执行环境(trusted execution environment，TEE)中执行代码。

9.根据权利要求8所述的系统，其特征在于，所述多个邻居节点中的每个邻居节点用于生成各自的TLID和各自的本地实例ID(local instance ID，LIID)，其中，在额外安装的邻居节点上待执行的每个服务代码实例具有唯一的LIID。

10.根据权利要求9所述的系统，其特征在于，所述多个邻居节点中的每个邻居节点用于：

所述节点(400)接收探测请求以生成相应的TLID；

如果节点正在运行相同服务代码的实例或没有其它邻居，则通知所述节点并返回相应的TLID；

否则，将所述探测请求转发给其它邻居。

11.根据权利要求10所述的系统，其特征在于，所述多个邻居节点中的一个邻居节点用于：如果所述邻居节点运行相同服务代码的实例，但返回不同于相同服务代码的另一实例的TLID的TLID，则停止接收请求。