CN110278078A - 一种数据处理方法、装置及系统 - Google Patents

一种数据处理方法、装置及系统 Download PDF

Info

Publication number
CN110278078A
CN110278078A CN201910520920.9A CN201910520920A CN110278078A CN 110278078 A CN110278078 A CN 110278078A CN 201910520920 A CN201910520920 A CN 201910520920A CN 110278078 A CN110278078 A CN 110278078A
Authority
CN
China
Prior art keywords
private key
key
data
component
performing environment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910520920.9A
Other languages
English (en)
Other versions
CN110278078B (zh
Inventor
唐虹刚
李升林
孙立林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Matrix Technology (shenzhen) Co Ltd
Original Assignee
Matrix Technology (shenzhen) Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Matrix Technology (shenzhen) Co Ltd filed Critical Matrix Technology (shenzhen) Co Ltd
Priority to CN201910520920.9A priority Critical patent/CN110278078B/zh
Publication of CN110278078A publication Critical patent/CN110278078A/zh
Application granted granted Critical
Publication of CN110278078B publication Critical patent/CN110278078B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Abstract

本说明书实施例公开了一种数据处理方法、装置及系统,所述系统包括密钥生成服务器、终端设备及数据提供服务器,终端设备中设置有TEE及安全模块;数据提供服务器基于公钥对数据进行加密,所述公钥由密钥生成服务器预先生成;TEE接收基于公钥加密后的数据,并发起安全多方计算;所述TEE及安全模块利用存储于TEE中的第一私钥分量及存储于安全模块中的第二私钥分量联合进行安全多方计算,获得私钥,其中,第一私钥分量及第二私钥分量由TEE在接收到所述密钥生成服务器发送的私钥后拆分获得;TEE利用安全多方计算得到的私钥对所述加密后的数据进行解密处理。利用本说明书各个实施例,可以加强TEE硬件数据处理的安全性。

Description

一种数据处理方法、装置及系统
技术领域
本发明涉及计算机数据处理技术领域,特别地,涉及一种提升可信执行环境安全性的数据处理方法、装置及系统。
背景技术
终端设备CPU中的可信执行环境(Trusted Execution Environment,TEE)硬件安全环境技术已经越来越多的应用到生产环境中。目前由于CPU架构设计上的固有缺陷,区块链、AI、大数据处理等安全处理均依赖于CPU自带的可信执行环境(TEE),但TEE技术在硬件内部仅使用了单一的内置私钥,一旦密钥被窃取,数据将面临全面失窃的风险。例如,利用CPU存在Spectre/Meltdown/Foreshadow等安全漏洞可以窃取数据,甚至可以窃取TEE的根密钥(PRIVATE KEY),进而导致全面数据泄露的风险,且目前尚无法通过简单软件补丁方式解决上述问题。因此,如何加强硬件TEE环境安全成为亟待解决的技术问题。
发明内容
本说明书实施例的目的在于提供一种数据处理方法、装置及系统,可以加强可信执行环境硬件数据处理的安全性。
本说明书提供一种数据处理方法、装置及系统是包括如下方式实现的:
一种数据处理系统,所述系统包括密钥生成服务器、终端设备及数据提供服务器,所述终端设备中设置有可信执行环境及安全模块;
所述数据提供服务器用于基于公钥对数据进行加密,并将加密后的数据发送至终端设备,所述公钥由所述密钥生成服务器预先生成并发送给数据提供服务器;
所述终端设备的可信执行环境用于接收数据提供服务器发送的加密后的数据,并发起安全多方计算;
所述可信执行环境及安全模块用于利用存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量联合进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
所述可信执行环境用于利用安全多方计算得到的私钥对所述加密后的数据进行解密处理。
本说明书提供的所述系统的另一个实施例中,所述密钥生成服务器用于生成公钥和私钥,并根据所述数据提供服务器的请求将所述公钥发送给所述数据提供服务器,以及根据所述终端设备的请求将所述私钥发送给所述终端设备的可信执行环境;
相应的,所述终端设备的可信执行环境用于将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
本说明书提供的所述系统的另一个实施例中,所述密钥生成服务器还用于在接收到密钥更新请求时生成公钥和私钥,所述密钥更新请求由终端设备和/或数据提供服务器基于预设时间间隔或者数据交互对话发送,所述密钥更新请求包括终端设备ID及数据提供服务器对应的数据提供方信息;
相应的,所述密钥生成服务器还用于根据数据提供方信息将所述公钥发送给所述数据提供服务器,以及根据终端设备ID将所述私钥发送给所述终端设备的可信执行环境。
本说明书提供的所述系统的另一个实施例中,所述密钥生成服务器还用于基于预设加密算法将所述私钥进行加密后,发送给终端设备的可信执行环境;
相应的,所述可信执行环境用于接收密钥生成服务器发送的基于预设加密算法加密的私钥,并基于所述预设加密算法对应的解密算法对所述基于预设加密算法加密的私钥进行解密处理,获得私钥。
另一方面,本说明书实施例还提供一种数据处理方法,应用于可信执行环境,所述方法包括:
接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
基于存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
本说明书提供的所述方法的另一个实施例中,所述接收数据提供服务器发送的基于公钥加密的数据之前,还包括:
基于预设时间间隔或者数据提供服务器的数据请求向密钥生成服务器发送密钥更新请求,以使所述密钥生成服务器根据密钥更新请求生成私钥及公钥,所述密钥更新请求包括终端设备ID及数据提供服务器信息;
接收所述密钥生成服务器发送的所述私钥,并将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
本说明书提供的所述方法的另一个实施例中,所述接收数据提供服务器发送的基于公钥加密的数据之前,还包括:
接收密钥生成服务器发送的基于预设加密算法加密的私钥,基于所述预设加密算法对应的解密算法对所述基于预设加密算法加密的私钥进行解密处理,获得私钥;
将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
另一方面,本说明书实施例还提供一种数据处理装置,应用于可信执行环境,所述装置包括:
第一数据接收模块,用于接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
安全多方计算模块,用于基于存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
解密模块,用于利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
另一方面,本说明书实施例还提供一种数据处理设备,包括处理器及用于存储处理器可执行指令的存储器,所述指令被所述处理器执行时实现包括以下步骤:接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
基于存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
另一方面,本说明书实施例还提供一种终端设备,所述终端设备包括可信执行环境及安全模块,其中,所述可信执行环境中存储有第一私钥分量,所述安全模块中存储有第二私钥分量,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到密钥生成服务器发送的私钥后拆分获得;
所述可信执行环境用于接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
所述可信执行环境及安全模块用于利用所述第一私钥分量及第二私钥分量联合进行安全多方计算获得私钥;
所述可信执行环境还用于利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
本说明书一个或多个实施例提供的数据处理方法、装置及系统,终端设备的TEE在接收到密钥生成服务器发送的私钥后,可以将私钥拆分成至少两个分量,其中一个分量存储于TEE中,其余分量加密存储至终端设备中专门用于保存密钥的安全模块中。通过将私钥做进一步拆分,将其中一部分私钥分量加密存储于更为安全的安全模块上进行存储,实际应用时,再利用安全多方计算的方法,在另一私钥分量不离开安全模块的基础上,实现对私钥的恢复,能够降低TEE数据被窃取而带来的风险。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本说明书提供的一个实施例中的密钥生成及分发阶段示意图;
图2为本说明书提供的另一个实施例中的密钥使用阶段示意图;
图3为本说明书提供的一种应用于TEE的数据处理方法的流程示意图;
图4为本说明书提供的一种应用于TEE的数据处理装置的模块结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书一个或多个实施例中的附图,对本说明书一个或多个实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅是说明书一部分实施例,而不是全部的实施例。基于说明书一个或多个实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书实施例方案保护的范围。
终端设备CPU中的可信执行环境(TEE)硬件安全环境技术已经越来越多的应用到生产环境中。由于CPU架构设计上的固有缺陷,区块链、AI、大数据处理等安全处理均依赖于CPU自带的可信执行环境(TEE),但TEE技术在硬件内部仅使用了单一的内置私钥,一旦密钥被窃取,数据将面临全面失窃的风险。例如,利用CPU存在Spectre/Meltdown/Foreshadow等安全漏洞可以窃取数据,甚至可以窃取TEE的根密钥(PRIVATE KEY),进而导致全面数据泄露的风险,且目前尚无法通过简单软件补丁方式解决上述问题。
相应的,本说明书实施例提供一种可以加强硬件TEE环境安全的数据处理系统,所述数据处理系统可以包括终端设备、密钥生成服务器及数据提供服务器,所述终端设备中设置有可信执行环境(TEE)及安全模块。终端设备的TEE在接收到密钥生成服务器发送的私钥后,可以将私钥拆分成至少两个分量,其中一个分量存储于TEE中,其余分量加密存储至终端设备中专门用于保存密钥的安全模块中。通过将私钥做进一步拆分,将其中一部分私钥分量加密存储于更为安全的安全模块上进行存储,实际应用时,再利用安全多方计算的方法,在另一私钥分量不离开安全模块的基础上,实现对私钥的恢复,能够降低TEE数据被窃取而带来的风险。
所述密钥生成服务器可以用于生成私钥和公钥对。所述数据提供服务器可以为终端设备上运行的应用所对应的数据提供方的服务器。本说明书实施例所述的服务器可以为单个服务器,也可以为服务器集群,这里不做限定。所述终端设备可以为具有数据处理及数据通讯功能的设备,诸如移动电话(又称为“蜂窝电话”)、无绳电话、手持设备、车载设备、可穿戴设备等等。所述可信执行环境(TEE)可以为终端设备中用于提供安全服务的运行环境,TEE运行时可以使用CPU的全部性能,并同时保证应用的运行安全性。所述安全模块可以为SE(Secure Element)或者移动终端中专门用于密钥加密存储的文件系统等。所述SE可以为通过安全芯片和芯片操作系统实现数据安全存储、加解密运算等功能的微型计算处理模块。
本说明书的一个或者多个实施例中,所述系统可以包括密钥生成服务器、终端设备及数据提供服务器,所述终端设备中设置有可信执行环境及安全模块;
所述数据提供服务器可以用于基于公钥对数据进行加密,并将加密后的数据发送至终端设备,所述公钥由所述密钥生成服务器预先生成并发送给数据提供服务器;
所述终端设备的可信执行环境可以用于接收数据提供服务器发送的加密后的数据,并发起安全多方计算;
所述可信执行环境及安全模块可以用于利用存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量联合进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
所述可信执行环境可以用于利用安全多方计算得到的私钥对所述加密后的数据进行解密处理。
在利用公钥、私钥对进行数据传输处理之前,所述密钥生成服务器可以预先完成密钥的生成,获得公钥、私钥对。图1表示本说明书一个或者多个实施例中提供的密钥生成及分发阶段示意图。如图1所示,所述密钥生成服务器可以用于生成私钥SK及公钥PK,并将生成的私钥发送给终端设备的TEE。TEE在接收到所述私钥后,可以将该私钥拆分成至少两个分量,将其中一个分量存储于TEE中,将其余分量由安全模块进行加密存储。
所述安全模块可以为一个,也可以为两个或者两个以上。一些实施方式中,当安全模块为一个时,如所述安全模块为SE,则TEE可以将该私钥拆分成两部分,一部分本地存储,一部分发送给SE进行加密存储。当安全模块为两个或者两个以上时,则TEE可以将该私钥拆分成两部分以上,一部分本地存储,其余部分分别发送给不同的安全模块进行加密存储。
如图1所示,TEE可以将私钥SK拆分成两部分,分别为第一私钥分量SK1及第二私钥分量SK2,然后,将SK1进行本地存储,将SK2发送给SE或者文件系统进行加密存储。需要说明的是,本说明书实施例中的第一私钥分量及第二私钥分量仅仅是为了区分表述而定义的,并不是对二者数据差异的限定,二者数据上的差异可以根据实际需要设定,这里不做限定。对SK2进行加密的方式可以采用如AES、DES、3DES、RSA等密码算法,这里不做限定。
对应于上述实施例提供的方案,本说明书的一个实施例中,所述密钥生成服务器可以用于生成公钥和私钥,并根据所述数据提供服务器的请求将所述公钥发送给所述数据提供服务器,以及根据所述终端设备的请求将所述私钥发送给所述终端设备的可信执行环境;
所述终端设备可以用于将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
本说明书的另一个实施例中,所述密钥生成服务器还可以用于基于预设加密算法将所述私钥进行加密后,发送给终端设备的可信执行环境。所述密钥生成服务器在生成私钥和公钥后,还可以基于预设加密算法将所述私钥进行加密,然后,将加密后的私钥发送给终端设备的可信执行环境,以进一步提高私钥数据传输的安全性,所述预设加密算法的类型不做限定。相应的,终端设备的可信执行环境在接收到加密的私钥后,可以基于预设加密算法对应的解密算法进行解密处理,以获得所述私钥,再基于上述分发机制进行分发处理。
图2表示本说明书一个或者多个实施例中提供的密钥使用阶段示意图。如图2所示,实际应用时,密钥生成服务器可以基于数据请求向数据提供服务器发送所述公钥,以使得数据提供服务器利用所述公钥对数据进行加密。一些实施方式中,密钥生成服务器可以基于数据提供服务器发送的终端设备ID将所述终端设备ID对应的公钥发送给数据提供服务器。
如图2所示,数据提供服务器在与终端设备进行数据传输时,可以基于所述公钥对待传输的数据进行加密,并发送给终端设备。终端设备的TEE在接收到数据提供服务器发送的基于公钥加密的数据后,可以发起安全多方计算。TEE以及安全模块可以利用TEE中存储的第一私钥分量SK1及SE和/或文件系统等安全模块中存储的第二私钥分量SK2联合进行安全多方计算,完成对私钥SK的恢复。
一些实施方式中,TEE可以向安全模块发起安全多方计算,安全模块在接收到该信息后,可以对第二私钥分量SK2进行解密处理。然后,TEE可以联合安全模块进行安全多方计算以实现对私钥SK的恢复。由于安全多方计算比较需要计算资源,实际使用时,安全多方计算实现过程可以利用软件实现,也可以利用硬件实现。
在一些实施例中,安全多方计算(Secure Muti-Party Computation,MPC)是一种保护数据隐私安全的算法。多个参与方可以在不泄漏自身数据的前提下,使用安全多方计算技术进行协作计算,得到计算结果。例如,使用安全多方计算技术,参与方P1,…,Pn可以协作计算函数y=f(x1,…,xn)。其中,n≥2;x1,...,xn分别为参与方P1,…,Pn的数据;y为计算结果。参与方P1,…,Pn一方或者各方可以获得所述计算结果y。
如前所述,通过密钥生成和分发过程,终端设备的TEE及安全模块可以分别获得不同的私钥分量。如此,TEE可以第一私钥分量SK1作为输入参数,所述安全模块可以在解密处理后以第二私钥分量SK2作为输入参数,使用安全多方计算技术进行协作计算。相应的,可以获得计算结果:密钥SK。
相较于仅将私钥存储于TEE上,本实施例可以将私钥做进一步拆分,将其中一部分私钥分量加密存储于更为安全的安全模块上进行存储,实际应用时,再利用安全多方计算的方法,在另一私钥分量不离开安全模块的基础上,实现对私钥的恢复,从而能够降低TEE数据被窃取而带来的风险。
本说明书的另一个实施例中,所述密钥生成服务器还可以用于在接收到密钥更新请求时生成公钥和私钥,所述密钥更新请求由终端设备和/或数据提供服务器基于预设时间间隔或者数据交互对话发送,所述密钥更新请求包括终端设备ID及数据提供服务器信息;相应的,所述密钥生成服务器还可以用于根据数据提供服务器信息将所述公钥发送给所述数据提供服务器,以及根据终端设备ID将所述私钥发送给所述终端设备的可信执行环境。本实施例中,通过采用间隔一段时间或者每次数据交互对话申请新的密钥的形式,可以进一步提高数据处理的安全性。
一些实施方式中,终端设备和/或数据提供服务器可以每隔一段时间对密钥进行一次更新,向密钥生成服务器发送密钥更新请求,以申请密钥生成服务器生成新的公钥、私钥对。然后,密钥生成服务器可以根据终端设备ID将新的私钥发送给终端设备,终端设备的可信执行环境可以按照上述实施例的机制进行分发保存。同时,密钥生成服务器可以将新的公钥根据数据提供服务器信息向数据提供服务器公布,或者,基于数据提供服务器的请求将新的公钥发送给数据提供服务器。
另一些实施方式中,对应于数据提供服务器和终端设备之间每次数据交互对话,数据提供服务器和/或终端设备可以向密钥生成服务器发送密钥更新请求,密钥生成服务器在接收到该请求后,可以生成新的公钥、私钥对,然后,将公钥发送给该数据交互对话所对应的数据提供服务器,将私钥发送给所述数据交互对话对应的终端设备。
如终端设备可以向密钥生成服务器发送密钥更新请求,所述密钥更新请求中可以包括终端设备ID、本次数据交互对话所对应的数据提供服务器信息等。密钥生成服务器在接收到该密钥更新请求后,可以生成公钥、私钥对,然后,根据终端设备ID将私钥发送给ID对应的终端设备。终端设备的TEE在接收到私钥后,依据上述机制,完成对私钥的拆分及加密存储。密钥生成服务器还可以根据数据提供服务器信息将公钥发送给数据提供服务器,或者根据数据提供服务器的请求将终端设备ID对应的公钥发送给数据提供服务器。
相应的,数据提供服务器在接收到公钥后,可以基于公钥对待传输的数据进行加密,然后,发送给终端设备,终端设备的TEE在接收到该加密数据后,可以发起安全多方计算。然后,TEE和安全模块可以利用TEE中的第一私钥分量及安全模块中的第二私钥分量联合进行安全多方计算,完成对私钥SK的恢复。进一步的,TEE可以利用恢复后获得的私钥对公钥加密的数据进行解密处理。
利用本说明书各个实施例,即使TEE内的私钥数据被窃取,也不会出现数据全面丢失的风险,从而可以大大提高基于硬件TEE进行数据处理的安全性。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。具体的可以参照前述相关处理相关实施例的描述,在此不做一一赘述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书一个或多个实施例提供的数据处理系统,通过将私钥做进一步拆分,将其中一部分私钥分量加密存储于更为安全的安全模块中进行存储,实际应用时,再利用安全多方计算的方法,在另一私钥分量不离开安全模块的基础上,实现对私钥的恢复,从而能够降低TEE数据被窃取而带来的风险。
图3表示本说明书提供的一种数据处理方法的流程示意图。如图3所示,本说明书的另一个实施例中还提供一种数据处理方法,应用于可信执行环境,所述方法可以包括:
S102:接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
S104:基于存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
S106:利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
优选的,本说明书的另一个实施例中,所述接收数据提供服务器发送的基于公钥加密的数据之前,还可以包括:
基于预设时间间隔或者数据提供服务器的数据请求向密钥生成服务器发送密钥更新请求,以使所述密钥生成服务器根据密钥更新请求生成私钥及公钥,所述密钥更新请求包括终端设备ID及数据提供服务器信息;
接收所述密钥生成服务器发送的所述私钥,并将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
优选的,本说明书的另一个实施例中,所述接收数据提供服务器发送的基于公钥加密的数据之前,还可以包括:
接收密钥生成服务器发送的基于预设加密算法加密的私钥,基于所述预设加密算法对应的解密算法对所述基于预设加密算法加密的私钥进行解密处理,获得私钥;
将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
上述一个或者多个实施例的具体实现方式可以参照前述相关处理实施例的描述,在此不做一一赘述。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。具体的可以参照前述相关处理相关实施例的描述,在此不做一一赘述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
本说明书一个或多个实施例提供的数据处理方法,通过将私钥做进一步拆分,将其中一部分私钥分量加密存储于更为安全的安全模块中进行存储,实际应用时,再利用安全多方计算的方法,在另一私钥分量不离开安全模块的基础上,实现对私钥的恢复,从而能够降低TEE数据被窃取而带来的风险。
基于上述所述的数据处理方法,本说明书一个或多个实施例还提供一种数据处理装置。由于装置解决问题的实现方案与方法相似,因此本说明书实施例具体的装置的实施可以参见前述方法的实施,重复之处不再赘述。以下所使用的,术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。具体的,图4表示说明书提供的一种数据处理装置实施例的模块结构示意图,如图4所示,本说明书的另一个实施例中还提供一种数据处理装置,应用于可信执行环境,所述装置可以括:
第一数据接收模块202,可以用于接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
安全多方计算模块204,可以用于基于存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
解密模块206,可以用于利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
本说明书的另一个实施例中,所述装置还可以包括:
密钥更新请求模块,可以用于基于预设时间间隔或者数据提供服务器的数据请求向密钥生成服务器发送密钥更新请求,以使所述密钥生成服务器根据密钥更新请求生成私钥及公钥,所述密钥更新请求包括终端设备ID及数据提供服务器信息;
第二数据接收模块,可以用于接收所述密钥生成服务器发送的所述私钥,并将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。本说明书的另一个实施例中,所述装置还可以包括:
第三数据接收模块,可以用于接收密钥生成服务器发送的基于预设加密算法加密的私钥,基于所述预设加密算法对应的解密算法对所述基于预设加密算法加密的私钥进行解密处理,获得私钥;
密钥分发模块,可以用于将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
需要说明的,上述所述的装置根据方法实施例的描述还可以包括其他的实施方式。具体的实现方式可以参照相关方法实施例的描述,在此不作一一赘述。
本说明书一个或多个实施例提供的数据处理装置,通过将私钥做进一步拆分,将其中一部分私钥分量加密存储于更为安全的安全模块中进行存储,实际应用时,再利用安全多方计算的方法,在另一私钥分量不离开安全模块的基础上,实现对私钥的恢复,从而能够降低TEE数据被窃取而带来的风险。
本说明书提供的上述实施例所述的方法或装置可以通过计算机程序实现业务逻辑并记录在存储介质上,所述的存储介质可以计算机读取并执行,实现本说明书实施例所描述方案的效果。因此,本说明书还提供一种数据处理设备,包括处理器及存储处理器可执行指令的存储器,所述指令被所述处理器执行时实现包括以下步骤:
接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
基于存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
需要说明的,上述所述的设备根据方法实施例的描述还可以包括其他的实施方式。具体的实现方式可以参照相关方法实施例的描述,在此不作一一赘述。
所述存储介质可以包括用于存储信息的物理装置,通常是将信息数字化后再以利用电、磁或者光学等方式的媒体加以存储。所述存储介质有可以包括:利用电能方式存储信息的装置如,各式存储器,如RAM、ROM等;利用磁能方式存储信息的装置如,硬盘、软盘、磁带、磁芯存储器、磁泡存储器、U盘;利用光学方式存储信息的装置如,CD或DVD。当然,还有其他方式的可读存储介质,例如量子存储器、石墨烯存储器等等。
上述实施例所述的数据处理设备,通过将私钥做进一步拆分,将其中一部分私钥分量加密存储于更为安全的安全模块中进行存储,实际应用时,再利用安全多方计算的方法,在另一私钥分量不离开安全模块的基础上,实现对私钥的恢复,从而能够降低TEE数据被窃取而带来的风险。
基于上述实施例所述的数据处理方法、装置及设备,本说明书的一个或者多个实施例中还提供一种终端设备,所述终端设备可以包括可信执行环境及安全模块,其中,所述可信执行环境中存储有第一私钥分量,所述安全模块中可以存储有第二私钥分量,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到密钥生成服务器发送的私钥后拆分获得;
所述可信执行环境可以用于接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
所述可信执行环境及安全模块可以用于利用所述第一私钥分量及第二私钥分量联合进行安全多方计算获得私钥;
所述可信执行环境还可以用于利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
需要说明的,上述所述的设备根据方法实施例的描述还可以包括其他的实施方式。具体的实现方式可以参照相关方法实施例的描述,在此不作一一赘述。
上述实施例所述的终端设备,通过将私钥做进一步拆分,将其中一部分私钥分量加密存储于更为安全的安全模块中进行存储,实际应用时,再利用安全多方计算的方法,在另一私钥分量不离开安全模块的基础上,实现对私钥的恢复,从而能够降低TEE数据被窃取而带来的风险。
需要说明的是,本说明书上述所述的装置或者系统根据相关方法实施例的描述还可以包括其他的实施方式,具体的实现方式可以参照方法实施例的描述,在此不作一一赘述。本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于硬件+程序类、存储介质+程序实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书实施例并不局限于必须是符合标准数据模型/模板或本说明书实施例所描述的情况,某些行业标准或者使用自定义方式或实施例描述的实施基础上略加修改后的实施方案也可以实现上述实施例相同、等同或相近、或变形后可预料的实施效果。应用这些修改或变形后的数据获取、存储、判断、处理方式等获取的实施例,仍然可以属于本说明书的可选实施方案范围之内。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、车载人机交互设备、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个时可以把各模块的功能在同一个或多个软件和/或硬件中实现,也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法或者设备中还存在另外的相同要素。
本领域技术人员应明白,本说明书一个或多个实施例可提供为方法、系统或计算机程序产品。因此,本说明书一个或多个实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本说明书一个或多个实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本说明书一个或多个实施例可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本本说明书一个或多个实施例,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述并不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
以上所述仅为本说明书的实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书可以有各种更改和变化。凡在本说明书的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。

Claims (10)

1.一种数据处理系统,其特征在于,所述系统包括密钥生成服务器、终端设备及数据提供服务器,所述终端设备中设置有可信执行环境及安全模块;
所述数据提供服务器用于基于公钥对数据进行加密,并将加密后的数据发送至终端设备,所述公钥由所述密钥生成服务器预先生成并发送给数据提供服务器;
所述终端设备的可信执行环境用于接收数据提供服务器发送的加密后的数据,并发起安全多方计算;
所述可信执行环境及安全模块用于利用存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量联合进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
所述可信执行环境用于利用安全多方计算得到的私钥对所述加密后的数据进行解密处理。
2.根据权利要求1所述的系统,其特征在于,所述密钥生成服务器用于生成公钥和私钥,并根据所述数据提供服务器的请求将所述公钥发送给所述数据提供服务器,以及根据所述终端设备的请求将所述私钥发送给所述终端设备的可信执行环境;
相应的,所述终端设备的可信执行环境用于将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
3.根据权利要求2所述的系统,其特征在于,所述密钥生成服务器还用于在接收到密钥更新请求时生成公钥和私钥,所述密钥更新请求由终端设备和/或数据提供服务器基于预设时间间隔或者数据交互对话发送,所述密钥更新请求包括终端设备ID及数据提供服务器对应的数据提供方信息;
相应的,所述密钥生成服务器还用于根据数据提供方信息将所述公钥发送给所述数据提供服务器,以及根据终端设备ID将所述私钥发送给所述终端设备的可信执行环境。
4.根据权利要求1-3任一项所述的系统,其特征在于,所述密钥生成服务器还用于基于预设加密算法将所述私钥进行加密后,发送给终端设备的可信执行环境;
相应的,所述可信执行环境用于接收密钥生成服务器发送的基于预设加密算法加密的私钥,并基于所述预设加密算法对应的解密算法对所述基于预设加密算法加密的私钥进行解密处理,获得私钥。
5.一种数据处理方法,应用于可信执行环境,其特征在于,所述方法包括:
接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
基于存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
6.根据权利要求5所述的方法,其特征在于,所述接收数据提供服务器发送的基于公钥加密的数据之前,还包括:
基于预设时间间隔或者数据提供服务器的数据请求向密钥生成服务器发送密钥更新请求,以使所述密钥生成服务器根据密钥更新请求生成私钥及公钥,所述密钥更新请求包括终端设备ID及数据提供服务器信息;
接收所述密钥生成服务器发送的所述私钥,并将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
7.根据权利要求5或6所述的方法,其特征在于,所述接收数据提供服务器发送的基于公钥加密的数据之前,还包括:
接收密钥生成服务器发送的基于预设加密算法加密的私钥,基于所述预设加密算法对应的解密算法对所述基于预设加密算法加密的私钥进行解密处理,获得私钥;
将所述私钥拆分成至少两个私钥分量,其中,所述至少两个私钥分量中的第一私钥分量存储于可信执行环境中,所述至少两个私钥分量中的第二私钥分量存储于安全模块中。
8.一种数据处理装置,应用于可信执行环境,其特征在于,所述装置包括:
第一数据接收模块,用于接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
安全多方计算模块,用于基于存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
解密模块,用于利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
9.一种数据处理设备,其特征在于,包括处理器及用于存储处理器可执行指令的存储器,所述指令被所述处理器执行时实现包括以下步骤:
接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
基于存储于可信执行环境中的第一私钥分量及存储于安全模块中的第二私钥分量进行安全多方计算,获得私钥,其中,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到所述密钥生成服务器发送的私钥后拆分获得;
利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
10.一种终端设备,其特征在于,所述终端设备包括可信执行环境及安全模块,其中,所述可信执行环境中存储有第一私钥分量,所述安全模块中存储有第二私钥分量,所述第一私钥分量及第二私钥分量由所述可信执行环境在接收到密钥生成服务器发送的私钥后拆分获得;
所述可信执行环境用于接收数据提供服务器发送的基于公钥加密的数据,所述公钥由密钥生成服务器预先生成并发送给数据提供服务器;
所述可信执行环境及安全模块用于利用所述第一私钥分量及第二私钥分量联合进行安全多方计算,获得私钥;
所述可信执行环境还用于利用安全多方计算得到的私钥对所述基于公钥加密的数据进行解密处理。
CN201910520920.9A 2019-06-17 2019-06-17 一种数据处理方法、装置及系统 Active CN110278078B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910520920.9A CN110278078B (zh) 2019-06-17 2019-06-17 一种数据处理方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910520920.9A CN110278078B (zh) 2019-06-17 2019-06-17 一种数据处理方法、装置及系统

Publications (2)

Publication Number Publication Date
CN110278078A true CN110278078A (zh) 2019-09-24
CN110278078B CN110278078B (zh) 2022-03-22

Family

ID=67960943

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910520920.9A Active CN110278078B (zh) 2019-06-17 2019-06-17 一种数据处理方法、装置及系统

Country Status (1)

Country Link
CN (1) CN110278078B (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110855628A (zh) * 2019-10-21 2020-02-28 南京磐固信息科技有限公司 一种数据传输方法及系统
CN110992032A (zh) * 2019-12-04 2020-04-10 支付宝(杭州)信息技术有限公司 多方联合进行可信用户评估的方法及装置
CN111082934A (zh) * 2019-12-31 2020-04-28 支付宝(杭州)信息技术有限公司 基于可信执行环境的跨域安全多方计算的方法及装置
CN111723385A (zh) * 2020-06-01 2020-09-29 清华大学 数据信息处理方法、装置、电子设备及存储介质
CN111786955A (zh) * 2020-06-05 2020-10-16 三星电子(中国)研发中心 用于保护模型的方法和装置
WO2020252617A1 (zh) * 2019-06-17 2020-12-24 云图有限公司 一种数据处理方法、装置及系统
CN112165490A (zh) * 2020-09-29 2021-01-01 鹏元征信有限公司 一种加密方法、解密方法、存储介质及终端设备
CN112347517A (zh) * 2021-01-07 2021-02-09 南京区盟链信息科技有限公司 一种基于多方安全计算的kyc合规监管的系统
CN112600833A (zh) * 2020-12-09 2021-04-02 上海文广科技(集团)有限公司 点播影院dcp播放设备私钥的云端分布存储系统及方法
CN112926051A (zh) * 2021-03-25 2021-06-08 支付宝(杭州)信息技术有限公司 多方安全计算方法和装置
CN113992439A (zh) * 2021-12-27 2022-01-28 支付宝(杭州)信息技术有限公司 分布式多方安全计算系统、方法和节点
CN114124434A (zh) * 2021-09-26 2022-03-01 支付宝(杭州)信息技术有限公司 基于tee的网络通信方法、装置及系统
CN114499866A (zh) * 2022-04-08 2022-05-13 深圳致星科技有限公司 用于联邦学习和隐私计算的密钥分级管理方法及装置
CN114553603A (zh) * 2022-04-25 2022-05-27 南湖实验室 一种基于隐私计算的新型数据可信解密的方法
CN115088003A (zh) * 2020-12-11 2022-09-20 维萨国际服务协会 用于安全实时n方计算的系统、方法和计算机程序产品
CN115426134A (zh) * 2022-08-11 2022-12-02 北京海泰方圆科技股份有限公司 一种数据加密传输方法及装置

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015160839A1 (en) * 2014-04-17 2015-10-22 Hrl Laboratories, Llc A method for secure and resilient distributed generation of elliptic curve digital signature algorithm (ecdsa) based digital signatures with proactive security
CN105813060A (zh) * 2016-03-11 2016-07-27 珠海市魅族科技有限公司 一种获取虚拟用户身份的方法及装置
US20160283937A1 (en) * 2015-03-27 2016-09-29 Kenneth W. Reese Technologies for split key security
CN107689947A (zh) * 2016-08-05 2018-02-13 华为国际有限公司 一种数据处理的方法和装置
US20180054312A1 (en) * 2016-08-22 2018-02-22 Mastercard International Incorporated Method and system for secure fido development kit with embedded hardware
US20180176024A1 (en) * 2015-03-25 2018-06-21 Intel Corporation Challenge response authentication for self encrypting drives
CN108418680A (zh) * 2017-09-05 2018-08-17 矩阵元技术(深圳)有限公司 一种基于多方安全计算技术的区块链密钥恢复方法、介质
CN108632030A (zh) * 2018-03-22 2018-10-09 中山大学 一种基于cp-abe高效且安全的细粒度访问控制方法
CN109800584A (zh) * 2018-10-24 2019-05-24 中国科学院信息工程研究所 一种基于Intel SGX机制的身份或属性加密计算方法和系统
CN109818754A (zh) * 2019-02-28 2019-05-28 矩阵元技术(深圳)有限公司 客户端为多个客户端和单一服务器生成密钥的方法、设备
CN109872155A (zh) * 2019-02-22 2019-06-11 矩阵元技术(深圳)有限公司 数据处理方法和装置

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015160839A1 (en) * 2014-04-17 2015-10-22 Hrl Laboratories, Llc A method for secure and resilient distributed generation of elliptic curve digital signature algorithm (ecdsa) based digital signatures with proactive security
US20180176024A1 (en) * 2015-03-25 2018-06-21 Intel Corporation Challenge response authentication for self encrypting drives
US20160283937A1 (en) * 2015-03-27 2016-09-29 Kenneth W. Reese Technologies for split key security
CN105813060A (zh) * 2016-03-11 2016-07-27 珠海市魅族科技有限公司 一种获取虚拟用户身份的方法及装置
CN107689947A (zh) * 2016-08-05 2018-02-13 华为国际有限公司 一种数据处理的方法和装置
US20180054312A1 (en) * 2016-08-22 2018-02-22 Mastercard International Incorporated Method and system for secure fido development kit with embedded hardware
CN108418680A (zh) * 2017-09-05 2018-08-17 矩阵元技术(深圳)有限公司 一种基于多方安全计算技术的区块链密钥恢复方法、介质
CN108632030A (zh) * 2018-03-22 2018-10-09 中山大学 一种基于cp-abe高效且安全的细粒度访问控制方法
CN109800584A (zh) * 2018-10-24 2019-05-24 中国科学院信息工程研究所 一种基于Intel SGX机制的身份或属性加密计算方法和系统
CN109872155A (zh) * 2019-02-22 2019-06-11 矩阵元技术(深圳)有限公司 数据处理方法和装置
CN109818754A (zh) * 2019-02-28 2019-05-28 矩阵元技术(深圳)有限公司 客户端为多个客户端和单一服务器生成密钥的方法、设备

Cited By (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020252617A1 (zh) * 2019-06-17 2020-12-24 云图有限公司 一种数据处理方法、装置及系统
CN110855628A (zh) * 2019-10-21 2020-02-28 南京磐固信息科技有限公司 一种数据传输方法及系统
CN110992032A (zh) * 2019-12-04 2020-04-10 支付宝(杭州)信息技术有限公司 多方联合进行可信用户评估的方法及装置
CN111082934A (zh) * 2019-12-31 2020-04-28 支付宝(杭州)信息技术有限公司 基于可信执行环境的跨域安全多方计算的方法及装置
CN111082934B (zh) * 2019-12-31 2021-04-06 支付宝(杭州)信息技术有限公司 基于可信执行环境的跨域安全多方计算的方法及装置
CN111723385A (zh) * 2020-06-01 2020-09-29 清华大学 数据信息处理方法、装置、电子设备及存储介质
CN111723385B (zh) * 2020-06-01 2024-02-09 清华大学 数据信息处理方法、装置、电子设备及存储介质
CN111786955A (zh) * 2020-06-05 2020-10-16 三星电子(中国)研发中心 用于保护模型的方法和装置
CN112165490A (zh) * 2020-09-29 2021-01-01 鹏元征信有限公司 一种加密方法、解密方法、存储介质及终端设备
CN112165490B (zh) * 2020-09-29 2022-11-08 海南凤凰木科技有限公司 一种加密方法、解密方法、存储介质及终端设备
CN112600833A (zh) * 2020-12-09 2021-04-02 上海文广科技(集团)有限公司 点播影院dcp播放设备私钥的云端分布存储系统及方法
CN115088003A (zh) * 2020-12-11 2022-09-20 维萨国际服务协会 用于安全实时n方计算的系统、方法和计算机程序产品
CN115088003B (zh) * 2020-12-11 2023-10-31 维萨国际服务协会 用于安全实时n方计算的系统、方法和计算机程序产品
CN112347517A (zh) * 2021-01-07 2021-02-09 南京区盟链信息科技有限公司 一种基于多方安全计算的kyc合规监管的系统
CN112926051A (zh) * 2021-03-25 2021-06-08 支付宝(杭州)信息技术有限公司 多方安全计算方法和装置
CN114124434A (zh) * 2021-09-26 2022-03-01 支付宝(杭州)信息技术有限公司 基于tee的网络通信方法、装置及系统
CN113992439A (zh) * 2021-12-27 2022-01-28 支付宝(杭州)信息技术有限公司 分布式多方安全计算系统、方法和节点
CN114499866A (zh) * 2022-04-08 2022-05-13 深圳致星科技有限公司 用于联邦学习和隐私计算的密钥分级管理方法及装置
CN114553603A (zh) * 2022-04-25 2022-05-27 南湖实验室 一种基于隐私计算的新型数据可信解密的方法
CN115426134A (zh) * 2022-08-11 2022-12-02 北京海泰方圆科技股份有限公司 一种数据加密传输方法及装置

Also Published As

Publication number Publication date
CN110278078B (zh) 2022-03-22

Similar Documents

Publication Publication Date Title
CN110278078A (zh) 一种数据处理方法、装置及系统
CN105391840B (zh) 自动创建目标应用程序
CN113765657B (zh) 一种密钥数据处理方法、装置及服务器
JP6692234B2 (ja) グローバルプラットフォーム仕様を使用した発行元セキュリティドメインの鍵管理のためのシステム及び方法
CN108600272A (zh) 一种区块链数据处理方法、装置、处理设备及系统
CN108632045A (zh) 一种区块链数据处理方法、装置、处理设备及系统
CN111898137A (zh) 一种联邦学习的隐私数据处理方法、设备及系统
TW201947910A (zh) 一種區塊鏈資料處理方法、裝置、處理設備及系統
CN108647968A (zh) 一种区块链数据处理方法、装置、处理设备及系统
CN110061829A (zh) 基于区块链网络的安全多方计算方法、装置及存储介质
CN103051455B (zh) 一种云计算环境下的可信密码模块密码功能授权代理的实现方法
CN109726598A (zh) 基于云服务器的嵌入式安全加密芯片
CN109412798A (zh) 区块链的私钥生成、数据交互方法及其系统
CN109714165A (zh) 客户端各自生成密钥分量的密钥管理方法和电子设备
US11449582B2 (en) Auditable secure token management for software licensing/subscription
WO2021082647A1 (zh) 一种联合学习系统、训练结果聚合的方法及设备
CN110460674A (zh) 一种信息推送方法、装置及系统
CN109787762A (zh) 服务器各自生成密钥分量的密钥管理方法、电子设备
CN109146482A (zh) 基于区块链的用户权益提供方法和装置
CN107920060A (zh) 基于账号的数据访问方法和装置
CN111241556A (zh) 一种数据安全存储方法、装置、存储介质及终端
CN109818754A (zh) 客户端为多个客户端和单一服务器生成密钥的方法、设备
Li et al. Efficient secure multiparty computational geometry
CN109818753A (zh) 择一客户端为多客户端多服务器生成密钥的方法和设备
CN110781506A (zh) 一种虚拟化fpga的运行方法、运行装置及运行系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40010316

Country of ref document: HK

GR01 Patent grant
GR01 Patent grant