【技术实现步骤摘要】
一种隐私计算一体机委托加速的装置及方法
[0001]本专利技术属于隐私计算
,具体涉及一种一种隐私计算一体机委托加速的装置及方法
技术介绍
[0002]目前在各种硬件资源不足的服务器或一些小型边缘设备比如PC机器、车载设备平板设备甚至是手机等,普遍存在其不足以提供足够的算力以执行复杂、数据量大的计算问题。同时由于涉及数据隐私,这类服务器和边缘设备往往不希望直接泄露其隐私数据给其他高性能机器协助计算,若直接泄露会造成严重的数据泄露问题,带来严重的安全风险。
[0003]本专利技术提供一种隐私计算一体机委托加速的装置及方法,在原有低性能服务器或边缘设备不足以支撑复杂、数据量大的计算问题之上,提供一个高性能机器进行协助计算。
技术实现思路
[0004]针对现有技术的不足,本专利技术的目的在于提供一种隐私计算一体机委托加速的装置及方法,高性能节点是使用其本地的Intel SGX进行加载执行轻量节点的privacy_algorithm_enclave_sign_so程序,使得程序中的算法、数据等能得到有效...
【技术保护点】
【技术特征摘要】
1.一种隐私计算一体机委托加速的装置,装置包括高性能节点、Intel和多个轻量节点,其特征在于,所述轻量节点持有自身的非对称公私钥,用于对编译后的隐私计算算法进行Intel SGX签名;所述高性能节点持有自身的非对称公私钥,用于受轻量节点委托进行协助加速隐私计算,还用于对编译后的身份认证器进行Intel SGX签名,同时还用于在身份认证器中获取非对称公钥;轻量节点与高性能节点之间的隐私敏感数据采用RDMA进行通信;核心数据由所述轻量节点进行计算,非核心数据由高性能节点进行支撑计算;Intel是一个拥有强有力背书服务的第三方证明体,所述装置使用intel sgx构建的可信执行环境进行安全的隐私计算。2.根据权利要求1所述的一种隐私计算一体机委托加速的装置,其特征在于,所述轻量节点为支持Intel SGX的低性能的节点;所述隐私计算算法由轻量节点根据自身需要的业务逻辑和数据逻辑进行算法构建,算法构建的同时生成一个对称密钥,所述对称密钥用于对隐私数据和中间因子进行加密,所述对称密钥经由高性能节点在身份认证器中获取的非对称公钥进行加密保护;加密后的隐私数据和中间因子放置在内存中的对应物理地址,最终在进行enclave编译签名时通过编写资源文件和EDL文件对所述隐私计算算法提供资源分配和enclave调用。3.根据权利要求2所述的一种隐私计算一体机委托加速的装置,其特征在于,所述RDMA是一种远程内存直接访问技术,轻量节点与高性能节点直接内存共享;轻量节点本地无需enclave的支持,轻量节点对隐私计算算法进行encl ave的编译签名,最终将编译签名后的enclave交给高性能节点来执行非核心数据计算。4.根据权利要求3所述的一种隐私计算一体机委托加速的装置,其特征在于,所述高性能节点为提供高性能运算且支持Intel SGX的节点,不持有任何自身的隐私敏感数据,高性能节点包括高内存、高CPU、高硬盘、FPGA和GPU。5.根据权利要求4所述的一种隐私计算一体机委托加速的装置,其特征在于,所述身份认证器包含有高性能节点的非对称公钥,对enclave进行签名之后,公开该身份认证器给各轻量节点使用,获取高性能节点的非对称公钥;所述高性能节点启动轻量节点的隐私计算算法enclave程序,高性能节点使用intel sgx的能力去启动enclave,非intel sgx环境无法启动enclave,由处理器内部内部对其进行解密;最终高性能节点与轻量节点之间通过RD MA的通信进行隐私计算,高性能节点为轻量节点加速隐私计算。6.根据权利要求5所述的一种隐私计算一体机委托加速的装置,其特征在于,所述轻量节点和高性能节点之间会交互各自的enclave程序,轻量节点和高性能节点在发送自身的enclave程序之前会向Intel官方进行白名单的申请,如果Intel官方通过了轻量节点和高性能节点提交的申请,则会将轻量节点和高性能节点的enclave相关信息加入到白名单中,此时轻量节点和高性能节点在加载对方的enclave程序时会进行验证白名单,验证不通过则视为该enclave程序不可信,不予执行。7.一种隐私计算一体机委托加速的方法,所述方法应用于权利要求6所述的装置,其特征在于,所述方法包括如下步骤:
S1:高性能节点签名身份认证器enclave、提交白名单申请、公开encl ave;S2:轻量节点包装隐私计算算法同时将签名enclave发送至高性能机器并提交白名单申请;S3:高性能机器启动轻量节点已签名的enclave并分配资源;S4:轻量节点对隐私数据进行规则性划分数据集;S5:轻量节点与高性能节点建立RDMA通信;S6:轻量节点与高性能节点启动隐私计算;S7:轻量节点清空内存、高性能节点释放硬件资源。8.根据权利要求7所述的一种隐私计算一体机委托加速的方法,其特征在于,所述S1具体包括如下步骤:高性能机器本地使用openssl工具生成非对称公私钥记为pub_high_key和pri_high_key,高性能节点构建身份认证器的App程序和enclave程序,记为auth_identity_app和auth_identity_enclave,App程序和enclave程序之间的相互调用时使用EDL来定义,App程序用于启动enclave程序,enclav e程序则是核心敏感功能,auth_identity_enclave程序只包含有一个pub_hig h_key,由高性能节点将pub_high_key写入至auth_identity_enclave中;定义一个身份认证器的EDL文件,记为auth_identity_edl,auth_identit y_edl中定义一个auth_identity_enclave的函数入口,auth_identity_enclave提供一个获取pub_high_key的函数,名为get_pub_high_key(),get_pub_hi gh_key()函数也定义在auth_identity_edl中;高性能节点使用auth_identity_edl和auth_identity_app进行编译制作得到一个库文件,记为auth_identity_app_so;高性能节点使用sgx_sign工具对auth_identity_edl、auth_identity_encla ve和pri_high_key进行编译签名得到签名库,记为auth_identity_enclave_si gn_so,签名过程中会使用pri_high_key对auth_identity_enclave的代码和元数据进行哈希运算得到一个测量值记为measurement_before存放至auth_ide ntity_enclave_sign_so中的SIGStruct中,随后高性能节点向intel提交白名单申请,提交SIGStruct、measurement_before和高性能节点的其他相关资料;Intel审核通过后,自动将measurement_before列入到白名单中,随后高性能节点对各轻量节点公开auth_identity_app_so和auth_identity_enclave_sign_so;所述S2具体包括如下步骤:轻量节点获取高性能节点公开的开auth_identity_app_so和auth_identit y_enclave_sign_so,同时由轻量节点根据自身业务和数据进行分析需要执行哪种隐私计算算法,并进行构建算法,构建过程中会产生如下因素:生成其本身的对称密钥,记为low_symmetry_key,通过auth_identity_app_so安全的EDL调用并加载auth_identity_enclave_sign_so,加载过程中进行如下操作:一、验证auth_identity_enclave_sign_so是否有被篡改过,加载过程中通过调用intel sgx的各项指令重新对auth_identity_enclave_sign_so的auth_id entity_enclave生成一个新的测量值,记为measurement_after,对measurem ent_after和auth_
identity_enclave中的SIGStruct和measurement_before进行比较,如果比较通过,则认为该auth_identity_enclave没有被篡改;二、...
【专利技术属性】
技术研发人员:汤克云,高俊杰,吴子弘,周健雄,刘继华,
申请(专利权)人:京信数据科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。