使用可信环境进行不经意传输的方法和装置制造方法及图纸

描述了用于使用可信中间环境进行不经意传输的方法和装置。使用数据对象标识符标识请求的数据对象。所述请求的数据对象作为多个对应数据块存储在多个数据桶上。所述数据对象标识符用标识每个相应数据桶内所述多个对应数据块中的每个数据块的信息进行编码。可信中间环境接收包括存储在分配的数据桶中的数据块的数据流。使用来自所述数据对象标识符的编码信息，所述可信中间环境确定所述数据流中的哪个数据块是从所述分配的数据桶流传输的对应数据块。数据块。数据块。

【技术实现步骤摘要】
【国外来华专利技术】使用可信环境进行不经意传输的方法和装置
[0001]相关申请的交叉引用
[0002]本申请要求于2020年3月11日提交的序列号为16/816,120、专利技术名称为“使用可信环境进行不经意传输的方法和装置(METHODS AND APPARATUSES FOR OBLIVIOUS TRANSFER USING TRUSTED ENVIRONMENT)”的美国专利申请的优先权，其内容通过全文引用并入本文。


[0003]本专利技术涉及用于安全传输电子数据的方法和装置，例如数据的不经意传输，这可以包括使用可信环境，例如可信执行环境。

技术介绍

[0004]通过网络(例如互联网)分发的内容可以从第三方服务器提供，第三方服务器既不由数据的发布者操作和控制，也不由预期的接收者(例如消费者)操作和控制。例如，包括视频的数据对象(data object，DO)可以在内容交付网络(content delivery network，CDN)服务或云托管提供商的帮助下分发到按需视频互联网资源客户。
[0005]由于第三方服务器为实际的内容请求提供服务，所以服务器的运营商能够看到接收者所请求的特定DO，这意味着这种分发不能保证接收者的数据消费隐私。在接收者池向公众开放的情况下，例如按需视频互联网资源，在分发之前对数据进行加密无法解决这个问题。
[0006]在学术文献中，从服务器运营商获得数据隐私的问题以更一般的形式称为不经意传输(oblivious transfer，OT)或私有信息检索(private information retrieval，PIR)。
[0007]解决OT问题的一个方案系列是向第三方服务器添加可信环境，例如可信执行环境(trusted execution environment，TEE)硬件。在TEE中执行的一些计算操作受到服务器运营商的保护。因此，TEE的用户可以混淆服务器运营商在每个特定内容请求中请求的特定DO。但是，这种方法存在一个问题，即分布式DO的总大小通常远大于TEE中的可用内存，这阻碍了实际实现。最好提供一种方法来改进TEE的使用，以实现DO的安全和私有分发。

技术实现思路

[0008]在本文描述的各种示例中，提供了有助于保护用于从第三方服务器进行的内容传输的数据隐私的方法和装置。使用可信环境，例如TEE。所公开的示例可以实现实际实现，因为计算和存储器成本相对低于其它方法。
[0009]在一些方面，本专利技术描述了一种用于服务器内的可信环境的方法。所述方法包括：将标识请求的数据对象的数据对象标识符接收到所述可信环境中，所述请求的数据对象作为多个对应数据块存储在相应的多个数据桶中，所述数据对象标识符用标识所述相应数据桶内所述多个对应数据块中的每个数据块的信息进行编码；其中，分配的数据桶已经分配给所述可信环境，并且与所述分配的数据桶对应的数据流接收到所述可信环境中，所述数据流包括存储在所述分配的数据桶中的所有数据块；使用编码信息确定所述数据流中的哪
个数据块是从所述分配的数据桶流传输的对应数据块；将所述对应数据块从所述可信环境中发送到所述服务器。
[0010]在一些示例中，所述方法还包括将所述数据流从所述服务器接收到所述可信环境中。
[0011]在一些示例中，标识所述多个对应数据块的所述编码信息可以是多个指纹值，每个指纹值可以唯一标识相应数据桶内的相应的对应数据块。
[0012]在一些示例中，确定所述对应数据块可以包括：从所述数据对象标识符中确定正确的指纹值，所述正确的指纹值标识所述分配的数据桶的所述对应数据块；为所述数据流中所述数据块中的每个数据块确定所述指纹值；将所述数据流中所述数据块中的每个数据块的所述指纹值与所述正确的指纹值进行比较，以确定所述对应数据块。
[0013]在一些示例中，所述数据对象标识符还可以用用于对所述对应数据块进行排序以恢复所述请求的数据对象的信息进行编码。
[0014]在一些示例中，确定所述数据块中的哪个数据块是所述对应数据块可以包括：使用用于对所述对应数据块进行排序的所述信息来确定标识所述分配的数据桶的所述对应数据块的所述信息。
[0015]在一些示例中，用于对所述对应数据块进行排序的所述编码信息可以是置换令牌。
[0016]在一些示例中，所述方法还可以包括：将所述数据对象标识符作为加密的数据对象标识符接收到所述可信环境中；使用所述可信环境的私钥对所述数据对象标识符进行解密；将所述对应数据块作为加密的对应数据块从所述可信环境中发送到所述服务器。
[0017]在一些示例中，所述方法还可以包括执行以下步骤：接收所述数据对象标识符；确定所述对应数据块；以及对于第一接收数据对象标识符和第二接收数据对象标识符，至少部分并行地发送所述对应数据块。
[0018]在一些示例中，所述数据流可以包括压缩数据，并且所述方法还可以包括对所述压缩数据进行解压缩。
[0019]在一些方面，本专利技术描述了一种用于发布服务器的方法。所述方法包括：对于多个数据对象中的每个给定数据对象：将所述给定数据对象划分为多个对应数据块；基于每个对应数据块与分配给所述相应数据桶的任何其它数据块的相似性，将所述多个对应数据块中的每个数据块分配给多个数据桶中的相应的一个数据桶；其中，所有数据对象的所有数据块被分配给所述多个数据桶中的一个数据桶；对于每个给定数据对象，生成用于从所述多个数据桶中恢复所述给定数据对象的数据对象标识符，所述数据对象标识符用标识相应数据桶内所述多个对应数据块中的每个数据块的信息进行编码，所述数据对象标识符还用用于对所述对应数据块进行排序以恢复所述请求的数据对象的信息进行编码；将每个数据桶压缩成相应的压缩数据集；发布所述压缩数据集和所述生成的数据对象标识符。
[0020]在一些示例中，分配给每个相应数据桶的所述数据块可以在每个相应数据桶内根据相似性排序。
[0021]在一些示例中，生成所述数据对象标识符可以包括：对于每个给定数据桶，为分配给所述给定数据桶的每个数据块确定指纹值，所述指纹值唯一标识所述给定数据桶内的每个相应数据块；对于每个给定数据对象，将每个相应的对应数据块的所述指纹值编码在所
述数据对象标识符中。
[0022]在一些示例中，生成所述数据对象标识符可以包括：对于每个给定数据对象：确定桶顺序，每个对应数据块根据所述桶顺序分配给相应数据桶；生成表示所述桶顺序的置换令牌；将所述置换令牌编码在所述数据对象标识符中。
[0023]在一些示例中，每个数据桶可以已经分配了来自每个数据对象的单个对应数据块。
[0024]在一些示例中，每个数据桶可以使用自适应统计编码压缩进行压缩。
[0025]在一些方面，本专利技术描述了一种用于电子设备的方法。所述方法包括：响应于对数据对象的查询，接收多个数据块；从与所述数据对象关联的数据对象标识符中确定用于对所述数据块进行排序以恢复所述数据对象的信息；对所述数据块进行重新排序以恢复所述数据对象。
[0026]本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于服务器内的可信环境的方法，其特征在于，包括：将标识请求的数据对象的数据对象标识符接收到所述可信环境中，所述请求的数据对象作为多个对应数据块存储在相应的多个数据桶中，所述数据对象标识符用标识所述相应数据桶内所述多个对应数据块中的每个数据块的信息进行编码；其中，分配的数据桶已经分配给所述可信环境，并且与所述分配的数据桶对应的数据流接收到所述可信环境中，所述数据流包括存储在所述分配的数据桶中的所有数据块；使用标识所述多个对应数据块中的每个数据块的所述信息，确定所述数据流中的哪个数据块是从所述分配的数据桶接收的对应数据块；将所述对应数据块从所述可信环境中发送到所述服务器。2.根据权利要求1所述的方法，其特征在于，还包括：将所述数据流从所述服务器接收到所述可信环境中。3.根据权利要求1或2所述的方法，其特征在于，标识所述多个对应数据块的所述信息是多个指纹值，每个指纹值唯一标识相应数据桶内的相应的对应数据块。4.根据权利要求3所述的方法，其特征在于，确定所述对应数据块包括：从所述数据对象标识符中确定正确的指纹值，所述正确的指纹值标识所述分配的数据桶的所述对应数据块；为所述数据流中所述数据块中的每个数据块确定所述指纹值；将所述数据流中所述数据块中的每个数据块的所述指纹值与所述正确的指纹值进行比较，以确定所述对应数据块。5.根据权利要求1至4中任一项所述的方法，其特征在于，所述数据对象标识符还用用于对所述对应数据块进行排序以恢复所述请求的数据对象的信息进行编码。6.根据权利要求5所述的方法，其特征在于，确定所述数据块中的哪个数据块是所述对应数据块包括：使用用于对所述对应数据块进行排序的所述信息来确定标识所述分配的数据桶的所述对应数据块的所述信息。7.根据权利要求5或6所述的方法，其特征在于，用于对所述对应数据块进行排序的所述信息是置换令牌。8.根据权利要求1至7中任一项所述的方法，其特征在于，还包括：将所述数据对象标识符作为加密的数据对象标识符接收到所述可信环境中；使用所述可信环境的私钥对所述数据对象标识符进行解密；将所述对应数据块作为加密的对应数据块从所述可信环境中发送到所述服务器。9.根据权利要求1至8中任一项所述的方法，其特征在于，还包括：执行以下步骤：接收所述数据对象标识符；确定所述对应数据块；以及对于第一接收数据对象标识符和第二接收数据对象标识符，至少部分并行地发送所述对应数据块。10.根据权利要求1至9中任一项所述的方法，其特征在于，所述数据流包括压缩数据，所述方法还包括对所述压缩数据进行解压缩。11.一种用于发布服务器的方法，其特征在于，包括：对于多个数据对象中的每个给定数据对象：将所述给定数据对象划分为多个...

【专利技术属性】
技术研发人员：德米特里，
申请(专利权)人：华为技术有限公司，
类型：发明
国别省市：