[发明专利]基于SGX的云端飞地资源管理方法、装置、计算机设备和介质

说明书

本申请涉及一种基于SGX的云端飞地资源管理方法、装置、计算机设备和存储介质。本申请能够按需分配飞地资源，避免了动态创建和销毁的成本，节省了CPU的开销。该方法包括：创建监视器控制线程，通过该监视器控制线程接收用户请求，并判断上述用户请求是否合法；若该用户请求合法，则通过上述监视器控制线程从线程池随机选择空闲线程，通过该空闲线程调用预设系统调用函数在飞地中处理上述用户请求；在上述用户请求被处理完成后，结束上述空闲线程与预设系统调用函数的调用关系。

技术领域

本申请涉及计算机安全技术领域，特别是涉及一种基于SGX的云端飞地资源管理方法、装置、计算机设备和存储介质。

背景技术

随着云计算技术的广泛运用，云端数据的安全性开始得到人们的重视，在云上部署的用户数据或程序有泄露隐私的风险，因为云端的监管者，例如系统管理员，可以利用更高的特权窥探用户数据。基于可信执行环境(TEE，Trusted Execution Environment)技术，英特尔提出了软件保护扩展(SGX，Software Guard Extensions)技术，SGX是一种切实可行的用户隐私保护措施，它采用硬件辅助的enclave(飞地，也称为安全区)封装敏感数据以及关键程序代码，防止其被泄露。

由于对enclave的创建和销毁操作使得CPU开销较大，进一步降低了应用程序的性能。

发明内容

基于此，有必要针对上述技术问题，提供一种基于SGX的云端飞地资源管理方法、装置、计算机设备和存储介质。

一种基于SGX的云端飞地资源管理方法，所述方法包括：

创建监视器控制线程；

通过所述监视器控制线程接收用户请求，并判断所述用户请求是否合法；

若所述用户请求合法，则通过所述监视器控制线程从线程池随机选择空闲线程，通过所述空闲线程调用预设系统调用函数在飞地中处理所述用户请求；

所述用户请求被处理完成后，解除所述空闲线程与所述预设系统调用函数的调用关系。

在其中一个实施例中，所述通过所述监视器控制线程接收用户请求并判断所述用户请求是否合法之后，所述方法还包括：

若所述用户请求不合法，则按照先进先出原则将所述用户请求放入预先创建的请求队列。

在其中一个实施例中，所述解除所述空闲进程与所述预设系统调用函数的调用关系之后，所述方法还包括：

通过所述监视器控制线程检测所述请求队列中的挂起请求，并按与所述先进先出原则对应的处理次序处理所述挂起请求。

在其中一个实施例中，所述方法还包括：

在所述请求队列中的挂起请求数量达到预设挂起请求数量时，设置所述请求队列的状态为非活动状态；其中，处于所述非活动状态的请求队列拒绝所述用户请求，并返回错误值至与所述用户请求对应的用户设备。

在其中一个实施例中，所述创建监视器控制线程之后，所述方法还包括：

分配预设数量的用户线程，以及与所述用户线程一一对应的飞地；

将所述预设数量的用户线程中的部分用户线程以及相应的所述飞地设置为挂起状态；

获取请求队列中调用同一预设系统调用函数的用户请求的数目；

若所述调用同一预设系统调用函数的用户请求的数目大于预设数目阈值，则唤醒并处理处于所述挂起状态的用户线程以及相应的所述飞地。

在其中一个实施例中，所述方法还包括：

若所述预设系统调用函数被其他用户线程调用，则所述空闲进程进入休眠状态直到所述预设系统调用函数被释放。