[发明专利]使用限制操作环境的基于令牌的安全多方计算框架

权利要求书

1.一种用于在可信环境中处理数据的计算机实现的方法，所述方法包括：

响应于服务器的主机代理通过网络从用户的用户设备接收到的处理用户数据的请求，将代表所述请求的令牌发送给执行器池，其中所述执行器池具有一池多个执行器；

由所述主机代理从所述执行器池接收执行器的一个或多个可执行镜像，其中所述执行器池被配置为与管理服务通信以在将所述执行器的可执行镜像发送给所述主机代理之前验证所述令牌，其中所述执行器池响应于成功地验证了所述令牌而从所述一池多个执行器分配所述执行器，其中，所述管理服务从不访问用于客户端请求的客户端数据；

在所述服务器中启动限制操作环境，包括向所述限制操作环境提供所述执行器的所述一个或多个可执行镜像和所述用户数据；以及

在所述限制操作环境中执行所述执行器的所述一个或多个可执行镜像，其中所述执行器在被执行时被配置为处理所述用户数据而不需要访问在所述限制操作环境外部的外部组件。

2.如权利要求1所述的方法，其中所述请求是从与多个用户相关联的多个用户设备接收的多个请求之一，以及其中所述多个请求中的每个在多个限制操作环境中的对应的一个限制操作环境中被处理。

3.如权利要求1所述的方法，进一步包括：

从所述主机代理将与所述请求相关联的请求标识符ID和与所述用户相关联的用户ID发送至管理服务；以及

从所述管理服务接收响应于所述请求标识符ID和所述用户ID而发送的与所述请求相关联的所述令牌。

4.如权利要求3所述的方法，其中所述管理服务登记所述请求标识符ID和所述用户ID并生成所述令牌以代表与所述请求标识符ID和所述用户ID相关联的服务会话。

5.如权利要求3所述的方法，其中所述管理服务被配置为检查所述令牌以确定所述令牌是否与先前由所述主机代理登记的所述请求标识符ID和所述用户ID相关联。

6.如权利要求1所述的方法，其中提供所述执行器的所述一个或多个可执行镜像和所述用户数据包括将所述执行器的所述一个或多个可执行镜像和所述用户数据存储到能够由所述限制操作环境访问的存储器的预定存储器位置。

7.如权利要求6所述的方法，其中所述执行器的所述一个或多个可执行镜像从所述预定存储器位置被检索到并在所述限制操作环境中执行，以及其中所述执行器在被执行时被配置为处理从所述预定存储器位置检索到的所述用户数据。

8.如权利要求1所述的方法，其中所述执行器被配置为生成处理用户数据的处理结果并将所述处理结果存储到能够由所述主机代理访问的预定存储器位置，以及其中所述主机代理被配置为从所述预定存储器位置检索到所述处理结果、将所述处理结果返还给所述用户设备并终止所述限制操作环境。

9.一种存储有指令的非暂时性机器可读介质，所述指令在由处理器执行时使所述处理器执行操作，所述操作包括：

响应于服务器的主机代理通过网络从用户的用户设备接收到的处理用户数据的请求，将代表所述请求的令牌发送给执行器池，其中所述执行器池具有一池多个执行器；

由所述主机代理从所述执行器池接收执行器的一个或多个可执行镜像，其中所述执行器池被配置为与管理服务通信以在将所述执行器的可执行镜像发送给所述主机代理之前验证所述令牌，其中所述执行器池响应于成功地验证所述令牌而从所述一池多个执行器分配所述执行器，其中所述管理服务从不访问用于客户端请求的客户端数据；

在所述服务器中启动限制操作环境，包括向所述限制操作环境提供所述执行器的所述一个或多个可执行镜像和所述用户数据；以及

在所述限制操作环境中执行所述执行器的所述一个或多个可执行镜像，其中所述执行器在被执行时被配置为处理所述用户数据而不用访问在所述限制操作环境外部的外部组件。