本申请公开了一种可信隐私计算方法、装置、设备及存储介质,涉及信息安全技术领域,包括:生成隐私计算任务,并将所述隐私计算任务发送至若干外部节点以通知其他外部节点均利用各自预先配置的认证模块对自身可信执行环境进行本地可信认证操作;利用本地预先配置的认证模块对自身可信执行环境进行本地可信认证操作;执行本地分布式环境互认证操作,并在本地分布式环境互认证操作成功后,通过自身可信执行环境与各自的本地分布式环境互认证操作成功的其他外部节点进行数据流转操作,以基于所述隐私计算任务执行相应的分布式计算操作;本申请通过节点自身的认证模块完成可信执行环境的远程认证,实现去中心化异构可信执行环境的自认证和互认证操作。环境的自认证和互认证操作。环境的自认证和互认证操作。
【技术实现步骤摘要】
一种可信隐私计算方法、装置、设备及存储介质
[0001]本专利技术涉及信息安全
,特别涉及一种可信隐私计算方法、装置、设备及存储介质。
技术介绍
[0002]在数字化社会的发展过程中,基于大数据技术和数据智能衍生出的各类产品和服务已经广泛地影响到商业和生活,随着各类算法的迭代发展,对于数据维度和数据量的要求也在日益增加,单个机构仅仅使用自身业务产生的数据已经不足以支撑这些场景的需求,因此联合多方数据进行联合分析建模已经成为一个重要趋势。由于大数据分析难以避免会涉及到企业的用户数据和经营数据,在多方数据联合和协作的过程中,各方都希望输入的原始数据中的这些隐私信息能够得到充分保护,而最终输出的结果仅包括通过算法计算得到的不包含具体数据的分析结果或模型,即实现数据的“可用而不可见”。
[0003]目前,可以通过分布式部署在多个机构间的TEE节点网络,实现数据的联合计算。然而目前构建分布式TEE节点网络的方案和完成对分布式TEE节点的可信认证方案一般为中心化辅助的方法。可信认证是指由发起验证端向远程任务执行端发起,任务执行端向发起验证端证明该任务执行端与目标验证环境相比无改动。被验证端即为一个可信执行环境,验证通过则表明该计算环境的安全性以及运行代码的完整性。一般情况下,需要一个远程厂商的服务端进行辅助验证。由于需要不同的TEE之间互验证,涉及到不同TEE的验证机制。如果不改动系统架构,那么各方的TEE模块都要集成多套验证逻辑。一方面这会造成互验证的工程复杂度提高,另一方面也不利于系统后期维护。
专利技术内容
[0004]有鉴于此,本专利技术的目的在于提供一种可信隐私计算方法、装置、设备及存储介质,能够通过节点自身的认证模块完成可信执行环境的远程认证,实现去中心化异构可信执行环境的自认证和互认证操作。其具体方案如下:
[0005]第一方面,本申请公开了一种可信隐私计算方法,应用于任务发起节点,包括:
[0006]生成隐私计算任务,并将所述隐私计算任务发送至若干外部节点以通知其他所述外部节点均利用各自预先配置的认证模块对自身可信执行环境进行本地可信认证操作;所述隐私计算任务对应的参与节点包含所述任务发起节点和若干所述外部节点;
[0007]利用本地预先配置的认证模块对自身可信执行环境进行本地可信认证操作;
[0008]执行本地分布式环境互认证操作,并在本地分布式环境互认证操作成功后,通过自身可信执行环境与各自的本地分布式环境互认证操作成功的其他所述外部节点进行数据流转操作,以基于所述隐私计算任务执行相应的分布式计算操作;
[0009]其中,任一所述参与节点的所述本地可信认证操作包括对自身可信执行环境进行认证并在认证成功后向其他所述参与节点广播自身可信执行环境的环境信息;任一所述参与节点的所述本地分布式环境互认证操作为利用其他所述参与节点发送的自身可信执行
环境的环境信息,对其他各所述参与节点的可信执行环境进行认证的操作。
[0010]可选的,所述利用本地预先配置的认证模块对自身可信执行环境进行本地可信认证操作,包括:
[0011]利用本地预先配置的认证模块从远程验证服务器中查找与自身可信执行环境传输的目标可信认证请求对应的根证书;所述远程验证服务器为部署在可信执行环境提供方的服务器;
[0012]通过所述认证模块利用所述根证书对自身可信执行环境内部的本地环境报告进行远程校验操作;
[0013]在所述远程校验操作成功后生成相应的可信凭证,并通过自身的互联代理将自身可信执行环境相应的环境信息广播至所述其他外部节点。
[0014]可选的,所述可信隐私计算方法,还包括:
[0015]创建并启动自身可信执行环境,并利用自动可信执行环境对自身的主机代理发起的初始可信认证请求进行处理以生成所述目标可信认证请求。
[0016]可选的,所述通过所述认证模块利用所述根证书对自身可信执行环境内部的本地环境报告进行远程校验操作之后,还包括:
[0017]通过所述认证模块将相应的远程校验结果返回至自身的主机代理,并通过自身的主机代理将所述远程校验结果同步发送至自身的互联代理,以便自身的互联代理基于所述远程校验结果确定所述远程校验操作是否成功。
[0018]可选的,所述通过所述认证模块利用所述根证书对自身可信执行环境内部的本地环境报告进行远程校验操作之后,还包括:
[0019]若所述远程校验操作失败,则通过自身的互联代理利用所述远程校验结果生成相应的校验错误信息并发送至本地的隐私计算平台;所述隐私计算任务为所述隐私计算平台生成的任务。
[0020]可选的,所述利用其他所述参与节点发送的自身可信执行环境的环境信息,对其他各所述参与节点的可信执行环境进行认证,包括:
[0021]利用其他所述参与节点发送的自身可信执行环境的环境信息,对其他各所述参与节点的自身可信执行环境对应的可信凭证进行验签操作;
[0022]若针对其他各所述参与节点的可信凭证的验签操作均成功,则确定当前的本地分布式环境互认证操作成功。
[0023]可选的,所述通过自身可信执行环境与各自的本地分布式环境互认证操作成功的其他所述外部节点进行数据流转操作,以基于所述隐私计算任务执行相应的分布式计算操作,包括:
[0024]通过自身可信执行环境与各自的本地分布式环境互认证操作成功的其他所述外部节点同步计算参数进行数据流转操作,以基于所述隐私计算任务在所述计算参数的相应参与节点中的自身可信执行环境中进行分布式联合密文计算;
[0025]或,通过自身可信执行环境与各自的本地分布式环境互认证操作成功的其他所述外部节点进行数据流转操作,以获取各所述外部节点返回的加密后待计算数据,并在自身可信执行环境中对各所述加密后待计算数据进行解密,然后对各解密后待计算数据进行分布式联合明文计算。
[0026]第二方面,本申请公开了一种可信隐私计算装置,应用于任务发起节点,包括:
[0027]任务生成模块,用于生成隐私计算任务,并将所述隐私计算任务发送至若干外部节点以通知其他所述外部节点均利用各自预先配置的认证模块对自身可信执行环境进行本地可信认证操作;所述隐私计算任务对应的参与节点包含所述任务发起节点和若干所述外部节点;
[0028]可信认证模块,用于利用本地预先配置的认证模块对自身可信执行环境进行本地可信认证操作;
[0029]环境互认证模块,用于执行本地分布式环境互认证操作;
[0030]数据计算模块,用于在本地分布式环境互认证操作成功后,通过自身可信执行环境与各自的本地分布式环境互认证操作成功的其他所述外部节点进行数据流转操作,以基于所述隐私计算任务执行相应的分布式计算操作。
[0031]第三方面,本申请公开了一种电子设备,包括:
[0032]存储器,用于保存计算机程序;
[0033]处理器,用于执行所述计算机程序以实现前述的可信隐私计算方法。
[0034]第四方面,本申请公开了本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种可信隐私计算方法,其特征在于,应用于任务发起节点,包括:生成隐私计算任务,并将所述隐私计算任务发送至若干外部节点以通知其他所述外部节点均利用各自预先配置的认证模块对自身可信执行环境进行本地可信认证操作;所述隐私计算任务对应的参与节点包含所述任务发起节点和若干所述外部节点;利用本地预先配置的认证模块对自身可信执行环境进行本地可信认证操作;执行本地分布式环境互认证操作,并在本地分布式环境互认证操作成功后,通过自身可信执行环境与各自的本地分布式环境互认证操作成功的其他所述外部节点进行数据流转操作,以基于所述隐私计算任务执行相应的分布式计算操作;其中,任一所述参与节点的所述本地可信认证操作包括对自身可信执行环境进行认证并在认证成功后向其他所述参与节点广播自身可信执行环境的环境信息;任一所述参与节点的所述本地分布式环境互认证操作为利用其他所述参与节点发送的自身可信执行环境的环境信息,对其他各所述参与节点的可信执行环境进行认证的操作。2.根据权利要求1所述的可信隐私计算方法,其特征在于,所述利用本地预先配置的认证模块对自身可信执行环境进行本地可信认证操作,包括:利用本地预先配置的认证模块从远程验证服务器中查找与自身可信执行环境传输的目标可信认证请求对应的根证书;所述远程验证服务器为部署在可信执行环境提供方的服务器;通过所述认证模块利用所述根证书对自身可信执行环境内部的本地环境报告进行远程校验操作;在所述远程校验操作成功后生成相应的可信凭证,并通过自身的互联代理将自身可信执行环境相应的环境信息广播至所述其他外部节点。3.根据权利要求2所述的可信隐私计算方法,其特征在于,还包括:创建并启动自身可信执行环境,并利用自动可信执行环境对自身的主机代理发起的初始可信认证请求进行处理以生成所述目标可信认证请求。4.根据权利要求2所述的可信隐私计算方法,其特征在于,所述通过所述认证模块利用所述根证书对自身可信执行环境内部的本地环境报告进行远程校验操作之后,还包括:通过所述认证模块将相应的远程校验结果返回至自身的主机代理,并通过自身的主机代理将所述远程校验结果同步发送至自身的互联代理,以便自身的互联代理基于所述远程校验结果确定所述远程校验操作是否成功。5.根据权利要求4所述的可信隐私计算方法,其特征在于,所述通过所述认证模块利用所述根证书对自身可信执行环境内部的本地环境报告进行远程校验操作之后,还包括:若所述远程校验操作失败,则通过自身的互联代理利用所述远程校...
【专利技术属性】
技术研发人员:张振永,徐东德,
申请(专利权)人:杭州安恒信息技术股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。