基于SGX的去中心化点对点隐私计算方法及系统技术方案

本发明专利技术提供了一种基于SGX的去中心化点对点隐私计算方法及系统，包括：步骤S1：获取多个TEE节点，将符合预设要求的TEE节点接入隐私计算网络；步骤S2：将需求侧待处理的计算程序通过密钥管理模块进行加密处理，并存入隐私计算网络中；步骤S3：在隐私计算网络中根据TEE节点资源以及需求资源选出最优TEE节点；步骤S4：利用最优TEE节点对加密处理后的计算程序进行处理，并对处理过程通过密钥管理模块进行加密处理；步骤S5：将加密后的处理结果通过安全通道返回需求侧。返回需求侧。返回需求侧。

【技术实现步骤摘要】
基于SGX的去中心化点对点隐私计算方法及系统


[0001]本专利技术涉及信息安全
，具体地，涉及基于SGX的去中心化点对点隐私计算方法及系统，更为具体地，涉及基于SGX的去中心化点对点隐私计算网络。

技术介绍

[0002]现有的云计算中或者外包计算中，如果不使用密码学技术来保护程序运行数据，当程序运行在云上或者其他非自己的资源上，那么则会泄露整个程序运行期间以及相关交互数据，泄露隐私。如果完全使用密码学技术来为程序运行期间做计算，比如同态加密，安全多方计算等方式，则会降低整个程序运行计算的性能，降低几个数量级的效率。
[0003]专利文献CN109101822B(申请号：201810787030.X)公开了一种解决多方计算中数据隐私泄露问题的方法，利用云端硬件级的可信执行环境，在没有可信第三方的情况下，持有数据的参与方通过对执行于云端可信执行环境中的密钥管理程序进行远程认证，在确认该程序未被篡改的情况下，使用从该程序获取的公钥加密自己的数据，将该数据传送到云端，在云端采用基于部分同态加密技术以及硬件级可信执行环境进行混合运算的形式完成对多方数据的分析计算任务。
[0004]本专利技术提供了一种解决程序运行过程及数据完全隐私的方法，利用intelSGX硬件构建软件的可信执行环境，一方面解决云上计算用户软件及数据的隐私问题，一方面解决传统密码学计算的效率问题，利用SGX指令集构建的可信执行环境执行程序，效率消耗仅为普通计算的数倍左右。

技术实现思路

[0005]针对现有技术中的缺陷，本专利技术的目的是提供一种基于SGX的去中心化点对点隐私计算方法及系统。
[0006]根据本专利技术提供的一种基于SGX的去中心化点对点隐私计算方法，包括：
[0007]步骤S1：获取多个TEE节点，将符合预设要求的TEE节点接入隐私计算网络；
[0008]步骤S2：将需求侧待处理的计算程序通过密钥管理模块进行加密处理，并打包生成Enclave文件存入隐私计算网络中；
[0009]步骤S3：在隐私计算网络中根据TEE节点资源以及需求资源选出最优TEE节点；
[0010]步骤S4：利用最优TEE节点对Enclave文件进行处理，并对处理过程通过密钥管理模块进行加密处理；
[0011]步骤S5：将加密后的处理结果通过安全通道返回需求侧。
[0012]优选地，所述步骤S2采用：利用sgx_gen_private_key工具生成RSA 3072程序签名密钥，利用RSA 3072公钥对需求侧待处理的计算程序及配置文件进行签名；并打包RSA 3072公钥、计算程序、配置文件以及签名生成Enclave文件，将生成的Enclave文件存入隐私计算网络中。
[0013]优选地，所述步骤S3采用：
[0014]步骤S3.1：基于隐私计算网络中所有的TEE节点，根据预选算法基于预设预选策略获取所有能够运行当前Enclave文件的TEE节点；
[0015]步骤S3.2：根据优选算法基于预设优选策略获取最符合条件的TEE节点作为最优TEE节点；
[0016]所述预设预选策略是基于TEE节点处于就绪状态，且TEE节点CPU以及内存资源符合预设要求选取所有能够运行当前Enclave文件的TEE节点；
[0017]所述预设优选策略是根据节点资源的使用率和调度均衡策略从所有能够运行当前Enclave文件的TEE节点中选取最优TEE节点。
[0018]优选地，所述步骤S4采用：最优TEE节点加载Enclave文件，并初始化Enclave文件，SGX判断程序hash，公钥以及签名是否合法，验证通过则加载完毕，利用最优TEE节点进行相应处理。
[0019]优选地，还包括证明模块：
[0020]远程认证侧发出验证请求，验证运行Enclave文件的可信程度；Enclave文件通过EREPORT指令获取验证报告，最优TEE节点通过Quoting Enclave签名得到签名后的验证报告；将签名后的验证报告发送至远程认证侧，远程认证侧通过IAS远程证明服务验证签名后的验证报告。
[0021]优选地，还包括激励模块：TEE节点提供侧根据待处理计算程序占用TEE节点资源及时长获取积分激励；
[0022]token＝(mem+cpu)*time
[0023]其中，token表示积分激励；mem表示内存使用；cpu表示CPU资源；time表示时长。
[0024]根据本专利技术提供的一种基于SGX的去中心化点对点隐私计算系统，包括：
[0025]模块M1：获取多个TEE节点，将符合预设要求的TEE节点接入隐私计算网络；
[0026]模块M2：将需求侧待处理的计算程序通过密钥管理模块进行加密处理，并打包生成Enclave文件存入隐私计算网络中；
[0027]模块M3：在隐私计算网络中根据TEE节点资源以及需求资源选出最优TEE节点；
[0028]模块M4：利用最优TEE节点对Enclave文件进行处理，并对处理过程通过密钥管理模块进行加密处理；
[0029]模块M5：将加密后的处理结果通过安全通道返回需求侧。
[0030]优选地，所述模块M2采用：利用sgx_gen_private_key工具生成RSA 3072程序签名密钥，利用RSA 3072公钥对需求侧待处理的计算程序及配置文件进行签名；并打包RSA 3072公钥、计算程序、配置文件以及签名生成Enclave文件，将生成的Enclave文件存入隐私计算网络中。
[0031]优选地，所述模块M3采用：
[0032]模块M3.1：基于隐私计算网络中所有的TEE节点，根据预选算法基于预设预选策略获取所有能够运行当前Enclave文件的TEE节点；
[0033]模块M3.2：根据优选算法基于预设优选策略获取最符合条件的TEE节点作为最优TEE节点；
[0034]所述预设预选策略是基于TEE节点处于就绪状态，且TEE节点CPU以及内存资源符合预设要求选取所有能够运行当前Enclave文件的TEE节点；
[0035]所述预设优选策略是根据节点资源的使用率和调度均衡策略从所有能够运行当前Enclave文件的TEE节点中选取最优TEE节点。
[0036]优选地，所述模块M4采用：最优TEE节点加载Enclave文件，并初始化Enclave文件，SGX判断程序hash，公钥以及签名是否合法，验证通过则加载完毕，利用最优TEE节点进行相应处理。
[0037]与现有技术相比，本专利技术具有如下的有益效果：
[0038]1、本专利技术在用户有隐私计算需求的情况下，为用户提供一套安全高效的隐私计算解决方案，在提高云资源的利用效率前提下，也可以保护用户数据的隐私，为用户的数据及运行过程数据保驾护航；
[0039]2、本专利技术通过SGX隐私计算网络为普通用户提供分布式的计算资源，且计算过程及数据完全保密不会泄露给资源提供方及第三方，体本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于SGX的去中心化点对点隐私计算方法，其特征在于，包括：步骤S1：获取多个TEE节点，将符合预设要求的TEE节点接入隐私计算网络；步骤S2：将需求侧待处理的计算程序通过密钥管理模块进行加密处理，并打包生成Enclave文件存入隐私计算网络中；步骤S3：在隐私计算网络中根据TEE节点资源以及需求资源选出最优TEE节点；步骤S4：利用最优TEE节点对Enclave文件进行处理，并对处理过程通过密钥管理模块进行加密处理；步骤S5：将加密后的处理结果通过安全通道返回需求侧。2.根据权利要求1所述的基于SGX的去中心化点对点隐私计算方法，其特征在于，所述步骤S2采用：利用sgx_gen_private_key工具生成RSA 3072程序签名密钥，利用RSA 3072公钥对需求侧待处理的计算程序及配置文件进行签名；并打包RSA 3072公钥、计算程序、配置文件以及签名生成Enclave文件，将生成的Enclave文件存入隐私计算网络中。3.根据权利要求1所述的基于SGX的去中心化点对点隐私计算方法，其特征在于，所述步骤S3采用：步骤S3.1：基于隐私计算网络中所有的TEE节点，根据预选算法基于预设预选策略获取所有能够运行当前Enclave文件的TEE节点；步骤S3.2：根据优选算法基于预设优选策略获取最符合条件的TEE节点作为最优TEE节点；所述预设预选策略是基于TEE节点处于就绪状态，且TEE节点CPU以及内存资源符合预设要求选取所有能够运行当前Enclave文件的TEE节点；所述预设优选策略是根据节点资源的使用率和调度均衡策略从所有能够运行当前Enclave文件的TEE节点中选取最优TEE节点。4.根据权利要求1所述的基于SGX的去中心化点对点隐私计算方法，其特征在于，所述步骤S4采用：最优TEE节点加载Enclave文件，并初始化Enclave文件，SGX判断程序hash，公钥以及签名是否合法，验证通过则加载完毕，利用最优TEE节点进行相应处理。5.根据权利要求1所述的基于SGX的去中心化点对点隐私计算方法，其特征在于，还包括证明模块：远程认证侧发出验证请求，验证运行Enclave文件的可信程度；Enclave文件通过EREPORT指令获取验证报告，最优TEE节点通过Quoting Enclave签名得到签名后的验证报告；将签名后的验证报告发送至远程认证侧，远程认证侧通过IAS远程证明服...

【专利技术属性】
技术研发人员：宋广洋，
申请(专利权)人：上海万向区块链股份公司，
类型：发明
国别省市：