[发明专利]操作在公共计算机上加密数据的代码的安全执行技术

说明书

在公共资源上安全处理加密数据的技术，包括：接收第一数据，第一数据表示可逆q比特门的序列，包括用于解密的第一段，用于对解密数据进行操作的第二段，以及用于对结果解密数据进行加密的第三段。第二数据表示规则用于将对输入N比特字的至少一个共享比特进行操作的两个q比特门的第一序列，替换为产生相同的输出N比特字的一个或多个q比特门的第二序列。第二数据用于：将门从第一段传播一段距离进入第二段之中或之外；以及，将门从第三段传播一段距离进入第二段之中或之前。上述过程产生了可逆门的混淆序列。基于门的混淆序列的混淆指令被发送到公共资源。

背景技术

通过对数据进行加密并利用强大的公共资源(例如云数据存储和云计算)来存储加密后的数据，通常可以使数据对公众保密。但是，当存储的数据量非常大时，例如以Terabits的顺序(Tb，1Tb＝10¹²比特)，如果必须将大部分加密数据返回本地安全处理器进行处理，则会损失一些效率。类似地，如果操作涉及巨大的计算资源，即使是相对较少的数据，则在强大的公共资源(例如云处理器)上运行，而不是在计算能力相对有限的安全计算机上运行也将是有利的。然而，为了解密数据，强大的公共资源上的处理器会公开加密方法并揭示底层数据。

发明内容

提供了在不安全但潜在地能力强大的公共资源上安全地处理加密数据的技术。

在第一组实施例中，一种在第一(例如，本地和安全)处理器上执行的方法包括：接收第一数据，该第一数据表示可逆的q比特门(q-bit gate)的序列，包括用于解密置换加密数据以产生解密数据的第一段，用于对解密数据进行操作以产生一个或多个结果解密数据的第二段，以及用于使用置换加密对结果解密数据进行加密以产生置换加密结果数据的第三段。该方法还包括存储第二数据在计算机可读介质上，第二数据表示的规则用于将对输入N比特字的至少一个共享比特进行操作的两个q比特门的第一序列，替换为产生相同的输出N比特字的一个或多个q比特门的不同第二序列。进一步地，该方法还包括利用所述第二数据，将至少一个q比特门从第一段传播J个门的距离到第二段的q比特门之内或之后，以及将至少一个q比特门从第三段中传播K个门的距离到第二段的q比特门之内或之前，从而产生可逆q比特门的混淆序列。进一步地，该方法还包括发送基于逆q比特门的混淆序列的混淆指令给第二处理器(例如，不安全或云处理器，或具有不同访问权限的处理器分区)以用于执行。

在第一组的一些实施例中，该方法还包括存储第三数据在计算机可读介质上，第三数据将第二处理器可执行的每一个代码指令与对N比特字进行操作的一个或多个可逆q比特门进行关联。在这些实施例中，该方法还包括利用第三数据，以将可逆q比特门的混淆序列转换为第二处理器可执行的混淆代码指令。然后，发送混淆指令包括发送第二处理器可执行的混淆代码指令。

在第一组的一些实施例中，该方法还包括存储第三数据在计算机可读介质上，第三数据将第二处理器可执行的每一个代码指令与对N比特字进行操作的一个或多个可逆q比特门进行关联。在这些实施例，接收第一数据包括：接收第二处理器可执行的代码指令，用于对加密数据进行操作以生成一个或多个结果解密数据；以及，利用第三数据，以将第二处理器可执行的、用于对加密数据进行操作以生成一个或多个结果解密数据的代码指令转换为用于对加密数据进行操作以生成一个或多个结果解密数据的可逆q比特门的序列。

在第一组的一些实施例中，该方法还包括存储合并数据在计算机可读介质上，合并数据表示的规则用于将对输入N比特字进行操作以产生输出N比特字的可逆q比特门的一个或多个序列中的每一个序列，替换为产生相同的输出N比特字的一个或多个可逆k比特门，其中，3k≤N。在这些实施中，该方法还包括利用所述合并数据，将可逆q比特门的混淆序列中的一个或多个可逆q比特门的特定序列替换为可替换特定序列的k比特门。