用于在执行环境中执行工作负载（APP）的方法和系统与流程

本发明涉及一种用于在执行环境中执行工作负载的方法以及具有被构造用于执行工作负载的执行环境的系统。

背景技术：

1、在执行环境中、例如在诸如工业pc或边缘云计算服务器之类的计算平台上，执行不同的并且部分地关键的软件组件。尤其是，例如以应用程序(app)和/或容器或本机软件组件为形式的关键功能性可以在开放计算平台上实现。一般来说，这样的应用程序、容器和其他软件组件也可以被称为“工作负载(workload)”。

2、然而，不能防止关键工作负载在不保证所需要的可信度的计算平台上被执行。

技术实现思路

1、因此，本发明的任务是提供一种用于在执行环境中执行工作负载的改善的方法以及具有被构造用于执行工作负载的执行环境的改善的系统。尤其是，在该方法的情况下和在该系统的情况下，即使在不从一开始就要分类为可信的执行环境上执行工作负载应该是可能的。

2、本发明的该任务利用具有在权利要求1中说明的特征的方法以及利用具有在权利要求10中说明的特征的系统来解决。本发明的优选改进方案在所属的从属权利要求、随后的描述和附图中予以说明。

3、在根据本发明的用于在执行环境中执行工作负载的方法的情况下，借助于允许的工作负载的允许性列表来允许工作负载用于执行，其中在该方法的情况下确定表征执行环境的it安全风险的风险信息，并且根据所确定的风险信息，改变允许的工作负载的允许性列表。该方法特别优选地是计算机实现的方法。

4、不言而喻，允许的工作负载的允许性列表意味着一允许的工作负载的允许性列表、即具有在该列表上列入的允许的工作负载的允许性列表。

5、执行环境的it安全风险优选地尤其是可以被理解为由用于执行工作负载的执行环境引起的it安全风险和/或适宜地表征主机信任状态。

6、在根据本发明的方法的情况下，优选地借助于基于软件的完整性检验模块来确定执行环境的it安全风险。也即优选地基于软件利用完整性检验模块来检验执行环境的完整性，并且根据所检验的完整性基于软件来确定风险信息。适宜地，高度完整性意味着低it安全风险，并且反之亦然。

7、根据本发明，因此不必从一开始就相信执行环境是可信的，而是根据本发明，仅当已经确定并且检验了执行环境的可信度时，如果然后针对允许的工作负载的允许性列表已经根据所检验的可信度被选择，并且该工作负载随后列入了该允许性列表中，则才在该执行环境中执行该工作负载。因此在根据本发明的方法的情况下，网络安全的“零信任”范式(paradigma)有利地被转用到工作负载在执行环境中的执行上。因此，借助于根据本发明的方法可以使用适配于执行环境的风险并且因此适配于执行环境的可靠度的允许性列表。适当地，工作负载是软件组件。执行环境优选地是计算平台、尤其是开放计算平台。恰好在借助于开放计算平台构成的并且因此对于操纵或攻击包含较高风险的执行环境的情况下，借助于根据本发明的方法有利地有可能持续地使允许性列表适配于计算平台的风险信息。在根据本发明的方法的情况下，优选地利用改变的允许性列表执行工作负载。尤其是，工作负载包括制造或维护过程的控制功能性，使得可以借助于根据本发明的方法来执行控制功能性并且可以控制和执行制造或维护过程。

8、优选地在根据本发明的方法的情况下，工作负载包括下面举出的列表的元素中的一个或多个：虚拟机、操作系统容器、尤其是linux lxc或docker容器或基于容器的应用程序、本机操作系统应用程序、服务、尤其是unix守护进程或windows服务、操作系统模块、优选地通过linux内核可动态加载的操作系统模块。

9、前述软件组件一方面本身可以存储、优选地安装在执行环境上，或者可以从连接的网络存储器被加载到执行环境中用于执行。根据本发明，仅当软件组件通过允许性列表被定义为允许的时，所述软件组件才被启动、也即被执行和/或被加载到工作存储器中。

10、在根据本发明的方法的情况下，风险信息同时意味着执行环境的主机信任状态。因为针对执行的风险信息说明的风险越高，执行环境就越不太可信。

11、在根据本发明的方法的情况下，优选地在执行环境的正在进行中的运行中，确定执行环境的相应风险信息，并且据此改变、尤其是选择或构成允许性列表。在选择允许性列表的情况下，存在多个允许性列表，其中一个允许性列表根据执行环境的风险信息被选择。在构成允许性列表的情况下，确定取决于执行环境的所确定的风险信息的允许性列表，使得仅与执行环境的所确定的风险信息兼容的这样的工作负载才进入该允许性列表中。从而，可以维持数据库，所述数据库对于每个工作负载、也即对于每个软件组件注明：在执行环境的哪个风险信息的情况下工作负载可以进入允许性列表中，并且在哪个风险信息的情况下不可以进入。风险信息适宜地包括数值，并且对于每个工作负载，在数据库中注明：从哪个数值起或直至哪个数值为止工作负载可以被记录到允许性列表中。通过这种方式，可以简单地自动化地生成允许性列表。

12、在根据本发明的方法的情况下，适宜地当那个已经启动的工作负载或那些软件组件的执行按照经更新的允许性列表不再是允许的时，停止或终止那个已经启动的工作负载或那些软件组件。因此，已经启动的软件组件可以根据允许性列表是被保持还是已被改变而被停止、终止或被迁移到另一主机上。

13、允许性列表优选地包含授权信息，即关于向工作负载、尤其是相应的软件组件给予哪些运行时授权的信息，例如linux能力、强制访问控制策略或对计算服务器的特定硬件组件、诸如尤其是对用于存储和提供密码密钥和函数的信任锚或对图形加速器或对ai加速器的访问授权。

14、在根据本发明的方法的一种优选的改进方案中，执行环境包括运行时环境，尤其是用于以软件组件为形式、优选地容器和/或应用程序形式的工作负载。

15、在根据本发明的另一改进方案的方法的情况下，执行环境优选地包括操作系统和/或至少一个输入输出模块和/或信号连接和/或交换机和/或路由器。

16、在根据本发明的方法的情况下，风险信息适宜地借助于执行环境或借助于执行环境所位于的装置或者借助于在执行环境中运行的软件被确定。

17、执行环境的风险信息可以在执行环境本身上被确定，尤其是借助于专门的软件组件，所述专门的软件组件尤其是在执行环境的“可信执行环境”(简称为“tee”)中被执行，适当地为intel sgx或arm-trustzone；或者借助于硬件扩展模块，例如插入卡、诸如尤其是pcie卡；或者借助于执行环境的集成硬件组件；或者借助于后端/边缘云服务来确定。可替代地或附加地，执行环境的风险信息可以借助于与执行环境通信连接的装置或平台被确定。

18、在该方法的情况下，在本发明的一种优选的改进方案中，允许性列表是肯定列表，即允许用于执行的软件组件列入允许性列表中。

19、适当地，在根据本发明的方法的情况下，允许性列表以密码方式被保护。在该改进方案的情况下，允许性列表有利地不能容易地无意地或由于攻击者的操纵试图而被改变。因此，根据本发明的方法在该改进方案中是特别安全的。允许性列表的密码保护尤其是可以借助于允许性列表的数字签名、例如在如下所述的可能地存在的允许性列表适配模块侧进行。通过这种方式，想要操纵允许性列表的攻击者不仅仅必须操纵允许性列表，而且还必须操纵数字签名或者可能地存在的允许性列表适配模块。可替代地或附加地，可以借助于密码密钥以加密的方式维持允许性列表，使得仅在同时操纵或损害密码密钥或属于密码密钥的私钥时才可以实现允许性列表。尤其是，可以借助于密码校验值、例如密码校验和或者借助于认证加密来保护允许性列表。允许性列表适宜地以所谓的“可验证凭证”或“可验证表达”的形式存在。可替代地或附加地，允许性列表可以存放在分布式数据库中、尤其是分布式账本或区块链中，或者允许性列表的校验值可以储存在分布式账本中或区块链中。

20、可替代地或附加地，借助于以密码方式保护的通信信道、优选地借助于tls和/或https来保护允许性列表。

21、在根据本发明的方法的情况下，优选地可以在执行环境的设备起动时、尤其是在引导时确定允许性列表的第一版本。为此，尤其是可以从非易失性存储器或从服务器加载允许性列表。

22、在执行环境的正在进行中的运行中，允许性列表优选地重复地被更新，即根据本发明的方法优选地重复地被执行。这尤其是可以以时间控制的方式、优选地以不变的时间间隔或者可替代地且同样优选地在特定事件时、尤其是在配置改变或所安装的软件改变时、在安装补丁时或在用户、尤其是管理员或者特权用户、例如具有root(根)特权的用户登录或注销时进行。当在规定的时间段内更新未发生或允许性列表的有效性确认未发生时，可以可选地且有利地设置本地存储的备用允许性列表。

23、优选地，在根据本发明的方法的情况下，除了执行环境的所确定的风险信息之外，还可以确定与执行环境通信连接的其他组件的风险信息，并且在构成执行环境的允许性列表时考虑所述其他组件的风险信息。通信连接的组件尤其是可以是输入/输出模块，经由所述输入/输出模块，在执行环境中可执行的控制应用程序可以直接地或借助于数据网络、适宜地借助于以太网tsn、借助于5g移动无线电、hart、profinet、opc ua访问物理传感器和/或执行器。

24、根据本发明的具有执行环境的系统被构造用于在执行环境中执行工作负载。在根据本发明的系统的情况下，存在允许的工作负载的允许性列表，并且该系统被构造用于根据允许性列表执行工作负载。附加地，根据本发明的系统具有用于确定表征执行环境的it安全风险的风险信息的风险确定模块以及允许性列表适配模块，所述允许性列表适配模块被构造用于根据风险信息改变允许的工作负载的允许性列表。

25、根据本发明的系统适宜地构成单件式或一体式或者可单件式或一体式操作的装置。

26、根据本发明的系统特别优选地被构造用于尤其是重复地或持续地执行如先前描述的根据本发明的方法。根据本发明的系统在此具有如已经针对根据本发明的方法描述和解释的对应的优点。

27、如上描述的根据本发明的方法优选地利用如先前描述的根据本发明的系统被执行。