[发明专利]一种可信隐私计算方法、装置、设备及存储介质

说明书

本申请公开了一种可信隐私计算方法、装置、设备及存储介质，涉及信息安全技术领域，包括：生成隐私计算任务，并将所述隐私计算任务发送至若干外部节点以通知其他外部节点均利用各自预先配置的认证模块对自身可信执行环境进行本地可信认证操作；利用本地预先配置的认证模块对自身可信执行环境进行本地可信认证操作；执行本地分布式环境互认证操作，并在本地分布式环境互认证操作成功后，通过自身可信执行环境与各自的本地分布式环境互认证操作成功的其他外部节点进行数据流转操作，以基于所述隐私计算任务执行相应的分布式计算操作；本申请通过节点自身的认证模块完成可信执行环境的远程认证，实现去中心化异构可信执行环境的自认证和互认证操作。

技术领域

本发明涉及信息安全技术领域，特别涉及一种可信隐私计算方法、装置、设备及存储介质。

背景技术

在数字化社会的发展过程中，基于大数据技术和数据智能衍生出的各类产品和服务已经广泛地影响到商业和生活，随着各类算法的迭代发展，对于数据维度和数据量的要求也在日益增加，单个机构仅仅使用自身业务产生的数据已经不足以支撑这些场景的需求，因此联合多方数据进行联合分析建模已经成为一个重要趋势。由于大数据分析难以避免会涉及到企业的用户数据和经营数据，在多方数据联合和协作的过程中，各方都希望输入的原始数据中的这些隐私信息能够得到充分保护，而最终输出的结果仅包括通过算法计算得到的不包含具体数据的分析结果或模型，即实现数据的“可用而不可见”。

目前，可以通过分布式部署在多个机构间的TEE节点网络，实现数据的联合计算。然而目前构建分布式TEE节点网络的方案和完成对分布式TEE节点的可信认证方案一般为中心化辅助的方法。可信认证是指由发起验证端向远程任务执行端发起，任务执行端向发起验证端证明该任务执行端与目标验证环境相比无改动。被验证端即为一个可信执行环境，验证通过则表明该计算环境的安全性以及运行代码的完整性。一般情况下，需要一个远程厂商的服务端进行辅助验证。由于需要不同的TEE之间互验证，涉及到不同TEE的验证机制。如果不改动系统架构，那么各方的TEE模块都要集成多套验证逻辑。一方面这会造成互验证的工程复杂度提高，另一方面也不利于系统后期维护。

发明内容

有鉴于此，本发明的目的在于提供一种可信隐私计算方法、装置、设备及存储介质，能够通过节点自身的认证模块完成可信执行环境的远程认证，实现去中心化异构可信执行环境的自认证和互认证操作。其具体方案如下：

第一方面，本申请公开了一种可信隐私计算方法，应用于任务发起节点，包括：

生成隐私计算任务，并将所述隐私计算任务发送至若干外部节点以通知其他所述外部节点均利用各自预先配置的认证模块对自身可信执行环境进行本地可信认证操作；所述隐私计算任务对应的参与节点包含所述任务发起节点和若干所述外部节点；

利用本地预先配置的认证模块对自身可信执行环境进行本地可信认证操作；

执行本地分布式环境互认证操作，并在本地分布式环境互认证操作成功后，通过自身可信执行环境与各自的本地分布式环境互认证操作成功的其他所述外部节点进行数据流转操作，以基于所述隐私计算任务执行相应的分布式计算操作；

其中，任一所述参与节点的所述本地可信认证操作包括对自身可信执行环境进行认证并在认证成功后向其他所述参与节点广播自身可信执行环境的环境信息；任一所述参与节点的所述本地分布式环境互认证操作为利用其他所述参与节点发送的自身可信执行环境的环境信息，对其他各所述参与节点的可信执行环境进行认证的操作。

可选的，所述利用本地预先配置的认证模块对自身可信执行环境进行本地可信认证操作，包括：

利用本地预先配置的认证模块从远程验证服务器中查找与自身可信执行环境传输的目标可信认证请求对应的根证书；所述远程验证服务器为部署在可信执行环境提供方的服务器；

通过所述认证模块利用所述根证书对自身可信执行环境内部的本地环境报告进行远程校验操作；