使用具有访客代理的限制操作环境的安全多方计算框架制造技术

根据一个实施方式，响应于在服务器的主机代理处通过网络从用户的用户设备接收的处理用户数据的请求，数据处理系统在所述服务器内启动限制操作环境。所述系统将代表所述请求的令牌发送给在所述限制操作环境内执行的访客代理，其中与所述令牌相关联的执行器由所述限制操作环境内的所述访客代理启动，其中所述执行器在被执行时被配置为处理所述用户数据以生成处理结果而不需要访问在所述限制操作环境外部的外部组件。所述系统将所述处理结果返还给所述用户设备。

【技术实现步骤摘要】
使用具有访客代理的限制操作环境的安全多方计算框架
本专利技术的实施方式一般涉及安全多方计算。更具体地，本专利技术的实施方式涉及使用具有访客代理的限制操作环境的安全多方计算框架。
技术介绍
敏感性交易越来越多地由基于云的服务器执行。基于云指向从云服务器经由互联网按需提供给用户应用、服务或资源的术语。基于云的服务器的多方或多租户性质对保护多租户计算环境免受不可信方的未授权访问的需求越来越多。例如，在计算期间，来自一方的数据可能被不可信方访问。因而需要在计算期间使数据安全。而且，基于加密的多方计算解决方案缓慢因而可能不太实际。附图说明本专利技术的实施方式在附图的各个图中以示例且非限制的方式示出，在附图中相似的附图标记指示相似的元件。图1是示出根据一种实施方式的用于使用访客代理的安全多方计算的计算框架的系统配置的示例的框图。图2是示出根据一种实施方式的主机代理的示例的框图。图3是示出根据一种实施方式的安全多方计算协议的示例的流程图。图4是示出根据一种实施方式的方法的示例的流程图。图5是示出根据一种实施方式的用于安全多方计算的基于令牌的计算框架的系统配置的示例的框图。图6是示出根据一种实施方式的安全多方计算协议的示例的流程图。图7是示出根据一种实施方式的方法的示例的流程图。图8是示出根据一种实施方式的数据处理系统的框图。具体实施方式本专利技术的各种实施方式和各个方面将参考下面讨论的细节进行描述，并且附图将对示出各种实施方式进行说明。下面的描述和附图是对本专利技术进行说明，不被解释为限制本专利技术。许多具体细节被描述以提供对本专利技术的各种实施方式的透彻理解。然而，在一些实例中，不对众所周知的或常规的细节进行描述以提供对本专利技术的实施方式的简洁讨论。说明书中提及的“一种实施方式”或“实施方式”表示结合该实施方式描述的具体特征、结构或特性可包含在本专利技术的至少一种实施方式中。本说明书中各个地方出现的短语“在一种实施方式中”不一定全指向相同的实施方式。本公开的实施方式防止客户端的数据在多方计算环境中被泄露给不可信方。根据本公开的第一方面，响应于服务器的主机代理通过网络从用户的用户设备接收到的处理用户数据的请求，数据处理系统在服务器中启动限制操作环境。系统将代表该请求的令牌发送给在限制操作环境中执行的访客代理，其中与令牌相关联的执行器由限制操作环境中的访客代理启动并且执行器在被执行时被配置为处理用户数据以生成处理结果而不用访问在限制操作环境外部的外部组件。系统将处理结果返还用户设备。在另一实施方式中，一个或多个执行器由系统启动。根据第二方面，响应于服务器的主机代理处通过网络从用户的用户设备接收到的处理用户数据的请求，系统将代表该请求的令牌发送给执行器池，其中执行器池具有一池许多执行器。系统通过主机代理从执行器池接收执行器的一个或多个可执行镜像，其中执行器池响应于成功地验证该令牌从一池执行器分配执行器。系统在服务器中启动限制操作环境，包括向限制操作环境提供执行器的一个或多个可执行镜像和用户数据。系统在限制操作环境中执行执行器的一个或多个可执行镜像，其中执行器在被执行时被配置为处理用户数据而不用访问位于在限制操作环境外部的外部组件。在另一实施方式中，一个或多个执行器由系统启动。图1是示出根据一种实施方式的用于使用访客代理的安全多方计算的计算框架的系统配置的示例的框图。参考图1，系统配置100包括但不限于通过网络103与数据处理服务器104通信联接的一个或多个客户端设备101-102。客户端设备101-102可以是任意类型的客户端设备，诸如个人计算机(例如，台式机、笔记本和平板电脑)、“瘦”客户端、个人数字助理(PDA)、web使能设备、智能手表、或移动电话(例如，智能电话)等。替代地，客户端设备101-102可以是其它其他服务器。网络103可以是任意类型的有线或无线的网络，诸如局域网(LAN)、诸如互联网的广域网(WAN)或它们的组合。能够例如经由TLS/SSL使客户端设备101-102、数据处理服务器104和管理服务服务器160之间通过网络103的通信安全。数据处理服务器(例如，主机)104可以是任意种类的服务器或服务器集群，诸如Web或云服务器、应用服务器、后端服务器或它们的组合。服务器104能够包括接口以允许诸如客户端设备101-102的客户端访问由服务器104或管理服务服务器160提供的资源或服务。例如，服务器104可以是向客户端提供诸如，例如云存储、云计算服务、大数据服务、建模服务、机器-学习训练服务、数据挖掘服务等的各种云服务的云服务器或数据中心服务器。服务器104可以通过云被配置为软件即服务(SaaS)或平台即服务(PaaS)系统的一部分，其中所述云可以是私有云、公共云或混合云。接口可以包括Web接口、应用程序编程接口(API)和/或命令行接口(CLI)。数据处理服务器104能够包括内存盘文件系统(ramfs)121和一个或多个CPU(未示出)，CPU装配有诸如可信平台模块(TPM)120的安全模块以用于安全启动。TPM是端点设备上的专用芯片，其存储主机系统专用的用于硬件认证的加密密钥(例如，RSA加密密钥)。每个TPM芯片都能够包含称为背书密钥(EK)或背书凭证(EC)即根密钥的一个或多个RSA密钥对(例如，公钥和私钥对)。密钥对被保持在TPM芯片内且不能由软件访问。然后，固件和软件的关键部分在它们被执行之前能够通过EK或EC被散列以保护系统免受未授权的固件和软件修改。因而，主机机器上的TPM芯片能够被用作服务器104的安全启动的可信根，所以服务器104的操作系统能够被信任。数据处理服务器104能够包括主机代理106和一个或多个限制操作环境108-109。主机代理能够与客户端设备101-102通信以方便客户端请求。主机代理106能够启动诸如环境108-109的限制操作环境来为不同的客户端和/或客户端请求执行数据处理计算。这里，限制操作环境是彼此隔离且与它们在其上操作的服务器104的操作系统隔离的沙盒操作环境。限制操作环境的示例是Docker容器。Docker容器是执行操作系统级虚拟化的程序。Docker容器是可执行以在隔离环境中运行应用的独立软件。在一种实施方式中，限制操作环境108-109能够包括访客代理110-111和Docker镜像112-113(例如，Docker容器程序)。访客代理是在Docker容器中运行以为用户请求服务的应用。访客代理110-111能够与管理服务服务器160通信来验证客户端请求和检索用于执行的执行器脚本/镜像。访客代理110-111还能够与主机代理106通信以接收令牌信息和客户端数据。最后，访客代理110-111能够在限制操作环境中发起和/或监控数据处理计算并且能够与主机代理106通信以向主机代理106指示计算或执行已经完成。管理服务服务器160可以是任意种类的服务器。服务器160能够包括接口(例如，API或CLI)以允许数据处理服务器104访问由服务器160提供的管理服本文档来自技高网...

【技术保护点】
1.一种用于在可信环境中处理数据的计算机实现的方法，所述方法包括：/n响应于服务器的主机代理通过网络从用户的用户设备接收到的处理用户数据的请求，在所述服务器内启动限制操作环境；/n将代表所述请求的令牌发送给在所述限制操作环境内执行的访客代理，其中与所述令牌相关联的执行器由所述限制操作环境内的所述访客代理启动，其中所述执行器在被执行时被配置为处理所述用户数据以生成处理结果而不需要访问在所述限制操作环境外部的外部组件；以及/n将所述处理结果返还给所述用户设备。/n

【技术特征摘要】
20190131 US 16/264,4761.一种用于在可信环境中处理数据的计算机实现的方法，所述方法包括：
响应于服务器的主机代理通过网络从用户的用户设备接收到的处理用户数据的请求，在所述服务器内启动限制操作环境；
将代表所述请求的令牌发送给在所述限制操作环境内执行的访客代理，其中与所述令牌相关联的执行器由所述限制操作环境内的所述访客代理启动，其中所述执行器在被执行时被配置为处理所述用户数据以生成处理结果而不需要访问在所述限制操作环境外部的外部组件；以及
将所述处理结果返还给所述用户设备。


2.如权利要求1所述的方法，其中所述请求是从与多个用户相关联的多个用户设备接收的多个请求之一，以及其中所述多个请求中的每个在多个限制操作环境中的对应的一个限制操作环境中被处理。


3.如权利要求1所述的方法，还包括：
从所述主机代理将与所述请求相关联的请求标识符ID和与所述用户相关联的用户ID发送至管理服务；以及
从所述管理服务接收响应于所述请求ID和所述用户ID而发送的与所述请求相关联的所述令牌。


4.如权利要求3所述的方法，其中所述管理服务登记所述请求ID和所述用户ID并生成所述令牌以代表与所述请求ID和所述用户ID相关联的服务会话。


5.如权利要求3所述的方法，还包括：
响应于接收到所述令牌，由所述访客代理将所述令牌发送给所述管理服务以验证所述请求；以及
响应于基于所述令牌成功地验证了所述请求，从所述管理服务接收所述执行器的一个或多个可执行镜像，其中，通过在所述限制操作环境内执行所述一个或多个可执行镜像，所述执行器被启动。


6.如权利要求5所述的方法，其中所述管理服务被配置为检查所述令牌以确定所述令牌是否与先前由所述主机代理登记的所述请求ID和所述用户ID相关联。


7.如权利要求5所述的方法，其中所述管理服务被配置为从一池执行器候选项分配所述执行器并将分配的执行器返回给所述访客代理，使得所述访客代理能够在所述限制操作环境内启动所述执行器。


8.如权利要求5所述的方法，其中所述访客代理还被配置为禁用所述限制操作环境的网络接口，使得所述执行器在处理所述用户数据期间不能访问所述外部组件。


9.如权利要求3所述的方法，还包括将所述用户数据发送给在所述限制操作环境内执行的所述访客代理或将所述用户数据的可用性指示发送给所述访客代理，使得所述用户数据能够由所述访客代理提取。


10.如权利要求1所述的方法，其中所述执行器被配置为将所述处理结果存储到能够由所述主机代理访问的预定存储器位置，所述主机代理被配置为从所述预定存储器位置检索所述处理结果以将所述处理结果返还给所述用户设备。


11.如权利要求10所述的方法，还包括终止所述限制操作环境但不影响所述预定存储器位置处的所述处理结果。


12.一种存储有指令的非暂时性机器可读介质，所述指令在由处理器执行时使所述处理器执行操作，所述操作包括：
响应于服务器的主机代理处通过网络从用户的用户设备接收到的处理用户数据的请求，在所述服务器内启动限制操作环境；
将代表所...

【专利技术属性】
技术研发人员：程越强，张煜龙，丁羽，韦韬，
申请(专利权)人：百度美国有限责任公司，
类型：发明
国别省市：美国;US