本發明提供了一種可信執行環境硬件資源動態細粒度管控方法及系統，涉及云計算技術領域，可以支持一臺設備將自身的機密計算硬件資源以TEE?Capability的形式委托給機密分布式軟總線進行統一管控。TEE?Capability主要包括安全內存和可信執行環境內的CPU時間片，當軟總線上的其他設備想要使用機密計算硬件資源的時候，可以申請相應的TEE?Capability，機密軟總線上的中間件Router也會根據相應的策略盡可能去分配符合條件的安全硬件資源，之后這一塊硬件資源就交托給申請的設備，可以基于其調用相關的安全應用和服務。本發明能夠能夠有效保護用戶隱私數據。

技術領域

本發明涉及云計算技術領域，具體地，涉及一種可信執行環境硬件資源動態細粒度管控方法及系統。

背景技術

隨著萬物互聯、端云協同等場景的興起，構建基于多設備的分布式機密計算至關重要。然而，現有的資源共享和分配的方式主要分為兩種，基于配額的分配和硬劃分。容器是基于配額的典型代表，由于其只保證使用量，對于具體使用的物理資源不提供確定性保障，這在機密計算場景下是不可接受的，同時其不可控的競爭關系也會導致其性能較差。虛擬機是硬劃分的典型代表，會通過預先分配的方式來固定所能使用資源，導致分配的粒度過大，而且在分配完成后較難修改，對于資源的管控不靈活，難以滿足復雜多元的應用需求。

名詞解釋：

分布式軟總線(Soft?Bus)：基于計算機硬件總線所提出，在不同的設備之間通過軟件來搭建出一條的總線，使得設備之間可以相互發現，并調用所提供的服務。

虛擬機(Virtual?Machine)：可以在現有的計算機系統上創建和運行多個虛擬機的操作系統實例，具有完整的硬件系統功能，運行在一個完全隔離的環境中。在創建一個虛擬機的時候就會提前為其分配好固定的硬件資源，但是分配的粒度過大，而且在分配完成后較難修改，對于資源的管控不靈活，難以滿足復雜多元的應用需求。

安全監控器(Secure?Monitor)：可信執行環境中具有最高安全權限的用于管理機密VM和安全應用等的系統軟件。

可信執行環境TEE(Trusted?Execution?Environment)技術：TEE的全稱trustedexecut?ion?environment，是主處理器的一個安全區域。它保證了內部加載的代碼和數據在機密性和完整性方面受到保護。TEE作為一個隔離的執行環境，提供了一些安全特性，例如隔離執行、使用TEE執行的應用程序的完整性以及它們的數據的機密性。一般來說，TEE提供了一個執行空間，它為運行在設備上的可信應用程序提供了比富操作系統(OS)更高的安全性。

容器(Docker)：容器是一種輕量級的虛擬化技術，它允許多個獨立的用戶空間在同一主機上共享操作系統內核。在具體使用一個容器的時候，會為其配置好相應資源的使用上限，這會導致容器間產生不可控的資源競爭，無法提供相互隔離的環境，這在機密計算場景下是不可接受的。

OpenHarmony：OpenHarmony系統下包含分布式軟總線子系統，主要是負責設備和設備之間的通信能力。通過分布式軟總線，可以讓基于OpenHarmony系統的多種設備之間實現硬件互助和資源共享。但是在OpenHarmony的分布式軟總線中，用戶需要手動選擇調用的設備，當設備過多時，用戶就會較難進行選擇，可擴展性差。而是在OpenHarmony中，硬件也是通過操作系統定義的抽象來實現設備間的相互調用的，這種固定的抽象還是會限制整體的性能和可擴展性。

發明內容

針對現有技術中的缺陷，本發明提供一種可信執行環境硬件資源動態細粒度管控方法及系統。

根據本發明提供的一種可信執行環境硬件資源動態細粒度管控方法及系統，所述方案如下：

第一方面，提供了一種可信執行環境硬件資源動態細粒度管控方法，所述方法包括：