[发明专利]通过工具链的操作证明

说明书

描述了工具链的操作证明。存储介质的一个示例包括用于以下的指令：接收处理租户的安全工作负荷的源代码；选择至少一个第一计算节点来为工作负荷提供计算；通过可证明的工具链处理源代码以生成用于第一计算节点的机器代码，包括，通过一个或多个转换器执行源代码的一次或多次转换以生成转换后的代码并生成与每次代码转换相关联的证明，并且接收第一计算节点的机器代码并生成与第一计算节点相关联的证明；并提供第一阶段和第二阶段的每个证明以供验证。

技术领域

本文描述的实施例大体上涉及电子器件领域，更具体地，涉及通过工具链的操作证明。

背景技术

云服务提供商(CSP)越来越多地向新客户扩展服务，包括为过去对利用云服务犹豫不决的具有安全意识的客户提供服务。这推动了CSP提供基于可信计算技术的可信计算服务的趋势。

同时，云服务提供商正在将他们的计算器件从仅CPU(中央处理单元)扩展到各种其他类型的计算节点，包括各种处理单元和硬件加速器。为了利用这些异构计算环境，提供进一步支持工具链的建立，该建立允许客户以工具链可以为这些加速器中的任何一个编译它的方式编写他们的业务逻辑。

然而，这些趋势本质上并不能很好地协同工作，可信计算使计算器件能够证明它正在运行的逻辑，并期望客户能够识别它，而经由工具链的代码部署导致计算节点的代码正在运行的是客户提供的代码的衍生物，而不是客户的代码本身。

附图说明

在附图的图中通过示例而非限制的方式示出了本文描述的实施例，其中相似的附图标记指代相似的元件。

图1是根据一些实施例的与工具链相关联的操作的证明的图示；

图2是根据一些实施例的应用工具链来为要在端计算节点上运行的代码生成证明断言链的图示；

图3是根据一些实施例的由可证明工具链生成证明的图示；

图4是根据一些实施例的与可证明工具链的操作相关联的测量和证明的图示；

图5是根据一些实施例的通过可证明工具链总结证明的传递证明的图示；

图6是图示根据一些实施例的用于通过可证明工具链证明转换或评估的过程的流程图；

图7图示了根据一些实施例的用于通过工具链的操作证明的示例性计算架构的一个实施例；

图8A和8B分别图示了基于一次性散列的签名方案和基于多次性散列的签名方案；以及

图9A和9B分别图示了一次签名方案和多次性签名方案。

具体实施方式

本文描述的实施例涉及工具链的操作证明(attestation of operations)。

为了将服务扩展到具有安全意识的客户，云服务提供商(CSP)可能会提供基于可信计算技术的可信计算服务，诸如在客户工作负荷和计算器件向客户证明例如计算节点在修补方面是最新的、相关计算节点正在应用这些技术来保护工作负荷，并且正在处理的工作负荷是客户打算部署并且未被篡改的逻辑的能力之间使用更强的隔离技术。然后，客户可以在将敏感数据发布到计算节点之前验证此证明。