[发明专利]一种可信计算方法和系统

说明书

本申请公开了一种可信计算方法和系统，数据使用方在对云端服务器的可信计算环境和可信计算函数库的合法性验证通过后，在授权范围内生成数据运算任务，并发送给计算服务提供方；计算服务提供方根据数据运算任务，获取所需要数据的密文以及相应密钥的密文，并保存至云端服务器；数据使用方采用安全传输方式，将用于对所述密钥的密文进行解密的计算私钥，发送给所述云端服务器，触发所述云端服务器在所述可信计算环境中，利用所述计算私钥获得所述任务执行时所需要数据的明文，并利用该明文和所述可信计算函数库，执行所述数据运算任务，将相应的执行结果加密后发送给数据使用方。采用本发明，可以有效提高整体运算性能。

技术领域

本申请涉及网络计算安全技术领域，特别涉及一种可信计算方法和系统。

背景技术

现有的可信计算方案通常采用多方计算的方式，利用云端硬件级的可信执行环境，在云端采用基于部分同态加密技术以及硬件级可信执行环境进行混合运算的形式，来完成对多方数据的分析计算任务。

申请人在实现本发明的过程中发现上述可信计算方案存在：性能和通用性较差的问题。具体原因分析如下：

上述可信计算方案在云端采用的是同态加密技术，是直接基于数据持有方发来的密文数据进行数据的计算分析，如此可以保障数据的安全性，但是，计算复杂，运算量大，会产生较大的运算开销，尤其是当数据量较大时，会严重降低整体的运算性能，进而影响了方案的通用性，无法大规模应用。

发明内容

有鉴于此，本发明的主要目的在于提供一种可信计算方法和系统，能够有效提高运算性能。

为了达到上述目的，本发明提出的技术方案为：

一种可信计算方法，包括：

数据使用方在对云端服务器的可信计算环境和可信计算函数库的合法性验证通过后，根据从第三方授权认证中心获取的数据访问授权信息，在相应授权范围内生成数据运算任务，并发送给计算服务提供方；所述云端服务器由所述计算服务提供方提供；

所述计算服务提供方根据所述数据运算任务，获取任务执行时所需要数据的密文以及相应密钥的密文，并保存至云端服务器；其中，所述数据的密文由相应的数据拥有方加密，所述密钥的密文利用公钥加密得到，所述公钥由所述第三方授权认证中心为所述数据拥有方生成；

所述数据使用方采用安全传输方式，将所述数据访问授权信息中用于对所述密钥的密文解密的计算私钥，发送给所述云端服务器，触发所述云端服务器在所述可信计算环境中，利用所述计算私钥、所述任务执行时所需要数据的密文以及相应密钥的密文，获得所述任务执行时所需要数据的明文，利用所述明文和所述可信计算函数库，执行所述数据运算任务，并采用加密传输的方式，将相应的执行结果发送给所述数据使用方。

较佳地，在所述合法性验证之前，所述方法进一步包括：

所述数据拥有方将对自身数据的访问控制策略，发送给所述第三方授权认证中心；

所述第三方授权认证中心根据所述访问控制策略，生成相应的公钥和主私钥；将所述公钥发送给所述数据拥有方；

所述数据访问授权信息的获取包括：

所述数据使用方向所述第三方授权认证中心，请求对所述数据拥有方的数据的使用权限；

所述第三方授权认证中心根据所述请求和所述数据拥有方发送的访问控制策略，利用所述主私钥，为所述数据使用方生成所述计算私钥以及相应的数据访问授权证书，向所述数据使用方发送所述数据访问授权信息，所述数据访问授权信息携带所述计算私钥以及所述数据访问授权证书。

较佳地，所述第三方授权认证中心采用属性加密方法，生成所述公钥、所述主私钥和所述计算私钥。

较佳地，所述方法进一步包括：