CN110336837B - 一种实用性的云端隐私保护外包计算系统及其计算方法 - Google Patents

Abstract

本发明涉及一种实用性的云端隐私保护外包计算系统（ATOM）及其计算方法，用户可以在单个云端服务器上安全获取外包存储数据以及快速地进行安全的数据处理操作。具体来说，本发明首次提出了下云服务器具备多个可信任单元（TPU）的前提下的ATOM计算系统，然而TPU面临侧通道攻击的危害。在ATOM系统下，本发明设计了两个特殊的快速处理工具包，其允许用户获取进行安全整数计算以及安全浮点型计算以此来抵御TPU的侧通道攻击的危害。另外，本发明的ATOM系统在数据处理以及获取用户私人信息的同时也保证了访问模式不被泄露。

Description

一种实用性的云端隐私保护外包计算系统及其计算方法

技术领域

本发明涉及网络安全领域，特别是一种实用性的云端隐私保护外包计算系统及其计算方法。

背景技术

嵌入到电子器件，网络链接以及其它诸如传感器的硬件之中的物互联设备能够连接到网络，且能识别出其他设备。随着物联网设备数量的不断增加，产生的大量数据需要存储在相应设备之中。根据IDC调查研究表明，接入网络的物联网设备到2025年将会达到800亿的数量，并且有助于每年产生180万亿字节的新数据。其中，近四分之一的数据将会实时创建，并且有95％的数据是来自物联网的实时资料。伴随着大量的实时资料产生，对于存储资源有限的物联网设备而言及时存储并分析数据的相关性质已经没有可能。目前，几乎具备无限存储以及计算能力的云端计算设备提供了各种各样的功能特性，诸如，存储、数据库、网络、软件、分析、智能化。在云计算的帮助下，截至2025年将会有45％的数据被存储在公共云端环境中。因此，意料之中的是，由IOT设备产生的大量数量流外包给云端用于长期的存储并且可以获取实时的在线处理。

尽管通过IOT云数据外包架构提供了许多优势，但是个自的IOT用户在没有任何保护方法下对系统实现数据的存储以及处理持有怀疑的态度。以医疗用品为例，病人的可穿戴医疗设备通常装有生物计量观测传感器(例如，心率，排汗水平，氧气水平)以此记录病人的一些身体特征。医院可以利用用户的PHI决策模型去检测病人的健康状况。倘若没有保护方法的采用，病人的健康指标可能会被不法分子利用。另外，医院的模型被第三方公司采用以此来牟利。传统的加密算法可以保证数据不被泄露，但是，密文失去了明文原本的意义故而不能对密文做任何操作。

保护数据以及获取仿真性的安全外包计算是一个引人注目的领域以此解决以上的问题。目前，已经存在了两个典型的技术方面用于获取安全的外包计算的方案：理论上的安全加密系统解决方案和系统安全解决方案。对于理论上的安全加密系统，同态加密被认为是一个非常优秀用于解决外包计算的解决方案，它允许第三方在不释放明文的前提下能够在密文的基础上完成相应的计算。而，全同态则可以完成任意情况下明文对应在密文上的复杂操作。但是，这些方案的计算代价很大，所以实用性不强。(例如，它要求29.5秒的时间内在公共PC上执行安全整型乘法计算。)半独立的同态加密方法仅仅支持同态的一种类型(如，加法同态)可以在密文下借助诚实且好奇的服务器安全地完成复杂数据的计算。但是，额外的计算服务将会增加信息泄露的可能性。最近，工业界，可信任的执行环境(如，TEE)将运用于完成允许用户级或者操作系统级代码定义的私人记忆存储区域，同样被称之为安全域。这些在安全域内被保护的数据既不能被读取也不能在安全域之外的任何区域被保存。TEE对应明文的计算代价。TEE很容易受到单边信道攻击，以及安全域内单边信息泄露给敌手的可能。因此，需要创建一个系统用于平衡实用性外包计算系统与排除额外信息泄露的风险。

发明内容

有鉴于此，本发明的目的是提出一种实用性的云端隐私保护外包计算系统及其计算方法，实现快速稳定的单云安全计算。

本发明采用以下方案实现：一种实用性的云端隐私保护外包计算系统，包括请求用户端即RU和云端；所属云端包括不可信存储即UNS以及可信任存储单元即TPUs；所述请求用户端用于生成公钥和私钥并对密钥和数据进行分享；所述不可信存储用于存储或管理所述请求用户端的外包数据；所述可信任存储单元用于为独自的RU提供孤立的安全计算环境并且上传、分享该可信任存储单元从UNS获取到的数据用以完成确定的计算，然后，将所述分享的数据进行封装用于数据存储。

进一步地，本发明还提供一种基于实用性的云端隐私保护外包计算系统的计算方法，包括以下步骤：

步骤S1：所述请求用户端对系统进行初始化：所述请求用户端产生一个公钥pk和私钥sk，系统将所述私钥sk分解成p个离散分享数值sk_i(i＝1,…,p)；对于云端的每一个TPUi都需要初始化一个安全域i，从而建立一个安全信道以及将更新的sk_i存储到安全域内；TPUi将产生的pk,sk_i封装后安全地存储在UNS中；

步骤S2：进行数据更新：所述RU随机地分裂数据x_j,1,…,x_j,p∈G；然后，TPU i(i＝1,…,p)利用Intel处理器的SGX方法，通过CPU的硬件模式切换，系统进入可信模式执行，加载一个极小的微内核操作系统支持任务调度，完成身份认证以此创建安全域i；RU定义程序c_i，建立与TPU安全域i的安全信道，并对安全域i内部的x_1,i,…,x_v,i,c_i进行加载，并将加载的值安全的封装在UNS中；最后，TPU i对所有的i＝1,…,p释放安全域i；

步骤S3：进行数据的安全计算：首先每一个TPUi产生一个安全域i；然后，所有的TPUs之间通过DH密钥交换协议产生一对密钥对，然后通过密钥对对TPUs之间通信的数据进行加密以此建立安全的信道通信，接着从UNS中加载封装的数据x_1,i,…,x_v,i,pk,sk_i,c_i给安全域i，并且将其定义为S_i；TPUs通过用户默认的程序c₁,…c_p交互计算(y_1,1,...,y_ω,1:...:y_1,p,...,y_ω,p)←GenCpt(S₁:...:S_p)；最后，所有的TPUs交互更新私钥和数据共享；TPUi将y_1,i,...,y_ω,i封装在UNS中然后对安全域i进行释放；

步骤S4：进行数据的检索：如果RU要在云端检索结果，则TPUi将创建安全域i，打开封装的数据y_1,i,...y_ω,i与RU建立一个安全信道，并向RU发回发回分享的数据值；当所有的shares发送回RU，则对于j＝1,…,ω，RU计算

如果RU不需检索则无需做作何操作。

进一步地，本发明还提供一种基于实用性的云端隐私保护外包计算系统的计算方法，包括以下步骤：

步骤SA：所述请求用户端对系统进行初始化：所述请求用户端产生一个公钥pk和私钥sk，系统将所述私钥sk分解成p个离散分享数值sk_i(i＝1,…,p)；对于云端的每一个TPUi都需初始化一个安全域i，从而建立一个安全信道以及将更新的sk_i存储到安全域内；TPUi将产生的pk,sk_i封装后安全地存储在UNS中；

步骤SB:进行数据的更新：系统初始化以后，对具有功能计算步骤的t(t＝1,…,ζ)和随机分离的数据x_j,1,1,…,x_j,1,p定义程序变量c_i,t，然后，RU与TPU的安全域i之间DH密钥交换协议建立安全信道，远程向安全域i加载数据c_1,i,…,c_ζ,i,x_1,1,i,…,x_v,1,i以及将其安全地封装在UNS中；最后，TPUi对所有i＝1,…,p释放安全域i；

步骤SC:进行数据的安全计算：首先，每一个TPUi产生一个安全域i；然后，所有的TPUs之间通过DH密钥交换协议产生一对密钥对，然后通过密钥对对TPUs之间通信的数据进行加密以此建立安全的信道通信，接着从UNS中加载封装的数据x_1,t,i,…,x_v,t,i,pk,sk_i,c_1,i,…,c_ζ,i到安全域i并将其组成一个集合ε_t,i；根据用户端定义的程序c_1,i,…,c_ζ,i，TPUs交互计算(y_1,t,1,…,y_ω,t,1:…:y_1,t,n,…,y_ω,t,p)←GenCpt(ε_t,i:…:ε_t,i)；所有的TPUs交互对私钥以及data shares进行更新，如果t＝ξ，PUi将y_1,ζ,i,…,y_ω,ζ,i封装到UNS，然后对安全域进行释放；如果t≠ζ，对于TPUi，则需要从y_1,ζ,i,…,y_ω,t,p中选择x_1,t+1,1,…,x_v,t+1,i；然后，TPUs将x_1,t+1,1,…,x_v,t+1,i封装到UNS，最后释放安全域；

步骤SD:进行数据检索：通过步骤SA至步骤SC,TPUi开辟一个新的安全域i,打开封装的数据y_1,ζ,i,…,y_ω,ζ,i,并且与RU之将建立一个安全的信道通信，然后将数据重新传回RU；TPU中的数据被发出，则RU在ζ(j＝1,…,ω)时执行

进一步地，所述GenCpt函数的具体实现过程如下：

首先，定义一个多输出多变量函数f，令TPUi(i＝1,…,p)含有x_1,i,…,x_v,i,，对于每一个TPU i,GenCpt能够安全地输出(y₁,…,y_ω)←f(x₁,…,x_v)，在此处当j＝1,…,v；k＝1,…ω时有x_j,1+…+x_j,p＝x_j以及y_k,1+…+y_k,p＝y_k；GenCpt又能够被分为离线与在线两个阶段；

离线阶段：对于每一个TPUi(i＝1,…,p)创建一个安全域i，从UNS中加载已封装的钥匙pk,sk_i以及程序c_i到安全域并与其它TPUs之间建立安全的信道通信；然后，所有的TPUs协同产生随机数进行分享然后再将其组成一个集合

并且，集合

在产生的过程之中对其它的TPUs是保密的；通过以上计算过程，每一个TPUi，将

分别封装到UNS之中；

在线阶段：对于每一个TPUi(i＝1,…,p)，从离线阶段中的安全域i中加域封装的随机集合

然后，所有的TPU协同计算

输出结果；根据RU的隐私程序c_i，f_i表示域

上的+,×以及域

上的

∧具有特殊功能的联合计算。

进一步地，所述系统将所述私钥sk分解成p个离散分享数值sk_i(i＝1,…,p)，具体包括以下步骤：

步骤Sa:所述公钥和私钥不被改变，TPU在没有RU的参与下将会周期性对keyshares进行刷新；在时间t(t＝0,1,2,…)内使分享值更新，更新的分享值为

此处，对于i＝1,…,p时，

以及

步骤Sb:每一个TPUi(i＝1,…,p)创建一个安全域i；然后，TPUi与TPUj的安全域(j＝1,…,p；j≠i)之间建立安全的信道；

步骤Sc:TPUi随机的挑选数值δ_i,1,…,δ_i,p∈G，然后将δ_i,j发送给TPU的安全域j；

步骤Sd:当接收到发送的δ_j,i后，TPU i计算它本身的新的

然后，TPUi擦除当前使用的安全钥匙

以外的其它所有变量。

进一步地，所述用户端对密钥和数据进行分享建立在基础的数据共享操作协议的基础之上，具体内容为：建立三个群域Z_n＝{0,1,…,N-1}，

以及Z₂＝{0,1}；通过通过Paillier密码系统分布式解密方法(PCDD方法)进行离线处理其明文数据在群域Z_N之中，并且令将数据x从群Z_N转到D_N的函数为「x」N，

所述数据分享有两种类型，一种时整型分享另一种是二进制分享；对于整型分享，RU执行Share(m)，即m＝m₁+…+m_p，此时，m,m₁,…,m_p∈D_N；对于二进制分享，RU执行Share(m)，即m＝m₁+…+m_p，此时，m,m₁,…,m_p∈Z₂，然后，RU发送整型类型的分享值m_i或者二进制类型的分享值m_i给TPUi，然后，封装到UNS进行安全地存储。

进一步地，所述所有的TPUs之间通过DH密钥交换协议产生一对密钥对，然后通过密钥对对TPUs之间通信的数据进行加密以此建立安全的信道通信，接着从UNS中加载封装的数据x_1,t,i,…,x_v,t,i,pk,sk_i,c_1,i,…,c_ζ,i到安全域i，其中所述加载封装数据x_1,t,i,…,x_v,t,i,pk,sk_i,c_1,i,…,c_ζ,i，采用的是封装算法，具体为：TPUi加密共享的数据x将其变为

将输入的

与TPU第t时间隐私钥匙分享值

使用哈希函数H:{0,1}^*→Z_N进行计算

其中ID_i是[x_i]的事务标识；

可信存储i将[x_i]与S_t,i一起发送到不可信存储中存储。

进一步地，所述打开封装的数据y_1,ζ,i,…,y_ω,ζ,i，采用的是解封算法，具体为：TPUi用S_t,i加载

到安全域i，并计算

用以检验结果是否等于S_t,i；假设

与S_t,i不相等，，则此算法停止；否则可信处理单元i利用安全分布式解密算法去共享x_i。

进一步地，所述所有的TPUs之间通过DH密钥交换协议产生一对密钥对的具体内容为：TPU 1随机生成r_i ⁽¹⁾,...,r_i ^(ι)∈Z₂，将它们加密为

表示它们为

并将这些密文发送到处理单元2；然后，TPU i(i＝1,…,p)生成r_i ⁽¹⁾,···,r_i ^(ι)∈Z₂并计算

如果i≠p，TPU i将

发送给TPU i+1；如果i＝p，则TPU计算

最后，对于TPU i(i＝1,…,p)随机生成r_i∈D_N并计算[r]←[r]·[r_i]，并将[r]发送到TPUi+1；TPU 1得到[r]，使用安全分布式解密算法获取r，并将

表示r₁；计算后，每个TPUi(i＝1,…,p)随机持有位r_i ⁽¹⁾,...,r_i ^(ι)∈Z₂和整数r_i∈D_N。

进一步地，所述安全分布式解密算法具体为：首先，TUP的安全域χ与其它安全域i(i≠χ)之间建立安全的信道。接着，安全域χ发送

到其它的安全域i；然后，一旦

被接收，TPUi使用PDec算法去获取CT_i以及安全地将CT_i发送到安全域χ；最后，TPUχ通过TDec算法安全地利用CT_χ获取x。

与现有技术相比，本发明有以下有益效果：

不同于现有的多服务器外包计算模型，本发明可以实现用户端在单个云端服务器上安全获取外包存储数据以及快速地进行安会的数据处理操作，并且本发明还首次提出云服务器具备多个可信单元进行数据的一系统的计算。最重要的是本发明可以实现快速稳定的单云安全计算。

附图说明

图1为本发明实施例的系统框图。

图2为本发明实施例的系统密钥更新图。

具体实施方式

下面结合附图及实施例对本发明做进一步说明。

应该指出，以下详细说明都是例示性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属技术领域的普通技术人员通常理解的相同含义。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

如图1、2所示，本实施例提供了一种实用性的云端隐私保护外包计算系统，包括请求用户端即RU和云端；所属云端包括不可信存储即UNS以及可信任存储单元即TPUs；所述请求用户端用于生成公钥和私钥并对密钥和数据进行分享；所述不可信存储用于存储或管理所述请求用户端的外包数据；所述可信任存储单元用于为独自的RU提供孤立的安全计算环境并且上传、分享该可信任存储单元从UNS获取到的数据用以完成确定的计算，然后，将所述分享的数据进行封装用于数据存储。

本实施例还提供一种基于实用性的云端隐私保护外包计算系统的计算方法，应用于单一功能的方法设计，达到了三方面的目的：1)在不可信的云存储中实现数据的安全存储；2)TPUs在抵御单信道攻击前提下的数据安全处理；3)高效和动态的外包密钥以及数据的更新分享；

包括以下步骤：

步骤S1：所述请求用户端对系统进行初始化：所述请求用户端产生一个公钥pk和私钥sk，并且私钥sk适用于公钥加密系统；系统将所述私钥sk分解成p个离散分享数值sk_i(i＝1,…,p)；对于云端的每一个TPUi，对于云端的每一个TPUi都需要初始化一个安全域i，从而建立一个安全信道以及将更新的sk_i存储到安全域内；TPUi将产生的pk,sk_i封装后安全地存储在UNS中；

步骤S2：进行数据更新：所述RU随机地分裂数据x_j,1,…,x_j,p∈G；例如当j＝1,…,v时x_j,1+…+x_j,p＝x_j。然后，TPU i(i＝1,…,p)利用Intel处理器的SGX方法，通过CPU的硬件模式切换，系统进入可信模式执行，只使用必需的硬件构成一个完全隔离的特权模式，加载一个极小的微内核操作系统支持任务调度，完成身份认证以此创建安全域i；对于用到的计算函数，RU定义程序c_i，建立与TPU安全域i的安全信道，并对安全域i内部的x_1,i,…,x_v,i,c_i进行加载，并将加载的值安全的封装在UNS中；最后，TPU i对所有的i＝1,…,p释放安全域i；

步骤S3：进行数据的安全计算：所有的TPUs之间通过DH密钥交换协议产生一对密钥对，然后通过密钥对对TPUs之间通信的数据进行加密以此建立安全的信道通信，接着从UNS中加载封装的数据x_1,i,…,x_v,i,pk,sk_i,c_i给安全域i，并且将其定义为S_i；TPUs通过用户默认的程序c₁,…c_p交互计算(y_1,1,…,y_ω,1:…:y_1,p,…,y_ω,p)←GenCpt(S₁:…:S_p)；最后，所有的TPUs交互更新私钥和数据共享；TPUi将y_1,i,…,y_ω,i封装在UNS中然后对安全域i进行释放；

步骤S4：进行数据的检索：如果RU要在云端检索结果，则TPUi将创建安全域i，打开封装的数据y_1,i,…y_ω,i与RU建立一个安全信道，并向RU发回发回分享的数据值；当所有的shares发送回RU，则对于j＝1,…,ω，RU计算

如果RU不需检索则无需做作何操作。

本实施例还一种基于的实用性的云端隐私保护外包计算系统的计算方法，应用于功能组合的方法设计包括以下步骤：

步骤SA：所述请求用户端对系统进行初始化：所述请求用户端产生一个公钥pk和私钥sk，并且私钥sk适用于公钥加密系统；系统将所述私钥sk分解成p个离散分享数值sk_i(i＝1,…,p)；对于云端的每一个TPUi都需初始化一个安全域i，从而建立一个安全信道以及将更新的sk_i存储到安全域内；TPUi将产生的pk,sk_i封装后安全地存储在UNS中；

步骤SB:进行数据的更新：系统初始化以后，对具有功能计算步骤的t(t＝1,…,ζ)和随机分离的数据x_j,1,1,…,x_j,1,p定义程序变量c_i,t，比如，当j＝1,…,v时，x_j,1,1+…+x_j,1,p＝x_j。然后，RU与TPU的安全域i之间DH密钥交换协议建立安全信道，远程向安全域i加载数据c_1,i,…,c_ζ,i,x_1,1,i,…,x_v,1,i以及将其安全地封装在UNS中；最后，TPUi对所有i＝1,…,p释放安全域i；

步骤SC:进行数据的安全计算：首先，每一个TPUi产生一个安全域i；然后，所有的TPUs之间通过DH密钥交换协议产生一对密钥对，然后通过密钥对对TPUs之间通信的数据进行加密以此建立安全的信道通信，接着从UNS中加载封装的数据x_1,t,i,…,x_v,t,i,pk,sk_i,c_1,i,…,c_ζ,i到安全域i并将其组成一个集合ε_t,i；根据用户端定义的程序c_1,i,…,c_ζ,i，TPUs交互计算(y_1,t,1,…,y_ω,t,1:…:y_1,t,n,…,y_ω,t,p)←GenCpt(ε_t,i:…:ε_t,i)；所有的TPUs交互对私钥以及data shares进行更新，如果t＝ξ，PUi将y_1,ζ,i,…,y_ω,ζ,i封装到UNS，然后对安全域进行释放；如果t≠ζ，对于TPUi，则需要从y_1,ζ,i,…,y_ω,t,p中选择x_1,t+1,1,…,x_v,t+1,i；然后，TPUs将x_1,t+1,1,…,x_v,t+1,i封装到UNS，最后释放安全域；

步骤SD:进行数据检索：通过步骤SA至步骤SC,TPUi开辟一个新的安全域i,打开封装的数据y_1,ζ,i,…,y_ω,ζ,i,并且与RU之将建立一个安全的信道通信，然后将数据重新传回RU；TPU中的数据被发出，则RU在ζ(j＝1,…,ω)时执行

在本实施例中，所述GenCpt函数的具体实现过程如下：

首先，定义一个多输出多变量函数f，令TPUi(i＝1,…,p)含有x_1,i,…,x_v,i,，对于每一个TPU i,GenCpt能够安全地输出(y₁,…,y_ω)←f(x₁,…,x_v)，在此处当j＝1,…,v；k＝1,…ω时有x_j,1+…+x_j,p＝x_j以及y_k,1+…+y_k,p＝y_k；GenCpt又能够被分为离线与在线两个阶段；

离线阶段：对于每一个TPUi(i＝1,…,p)创建一个安全域i，从UNS中加载已封装的钥匙pk,sk_i以及程序c_i到安全域并与其它TPUs之间建立安全的信道通信；然后，借用同态公钥加密系统的特点，所有的TPUs协同产生随机数进行分享然后再将其组成一个集合

并且，集合

在产生的过程之中对其它的TPUs是保密的；通过以上计算过程，每一个TPUi，将

分别封装到UNS之中；

在线阶段：对于每一个TPUi(i＝1,…,p)，从离线阶段中的安全域i中加域封装的随机集合

然后，所有的TPU协同计算

输出结果；根据RU的隐私程序c_i，f_i表示域

上的+,×以及域

上的

∧具有特殊功能的联合计算。

在本实施例中，所述系统将所述私钥sk分解成p个离散分享数值sk_i(i＝1,…,p)，具体包括以下步骤：

步骤Sa:所述公钥和私钥不被改变，TPU在没有RU的参与下将会周期性对keyshares进行刷新；在时间t(t＝0,1,2,…)内使分享值更新，更新的分享值为

此处，对于i＝1,…,p时，

以及

步骤Sb:每一个TPUi(i＝1,…,p)创建一个安全域i；然后，TPUi与TPUj的安全域(j＝1,…,p；j≠i)之间建立安全的信道；

步骤Sc:TPUi随机的挑选数值δ_i,1,…,δ_i,p∈G，比如：在群G下满足δ_i,1+…+δ_i,p＝0，然后将δ_i,j发送给TPU的安全域j；

步骤Sd:当接收到发送的δ_j,i后，TPUi计算它本身的新的

然后，TPUi擦除当前使用的安全钥匙

以外的其它所有变量。

另外，系统也可以抵御侧信道攻击下实现数据的共享。当然，实现数据的共享需要将数据加载到TPU用于处理，由于侧信道的攻击分享时有可能将数据泄给敌手，进而敌手可以重建RU的原始数据。因此，需要动态地在时间t(t＝0,1,2,…)更新数据共享值

比如

此时当i＝1,…,p时，

以及

在本实施例中，所述用户端对密钥和数据进行分享建立在基础的数据共享操作协议的基础之上，具体内容为：建立三个群域Z_n＝{0,1,…,N-1}，

以及Z₂＝{0,1}；通过Paillier密码系统分布式解密方法(PCDD方法)进行离线处理其明文数据在群域Z_N之中，并且令将数据x从群Z_N转到D_N的函数为「x」N，

另外，为了确保安全共享的安全性，在ATOM系统中数据共享有两种类型被应用，所述数据分享有两种类型，一种时整型分享另一种是二进制分享；对于整型分享，RU执行Share(m)，即m＝m₁+…+m_p，此时，m,m₁,…,m_p∈D_N；对于二进制分享，RU执行Share(m)，即m＝m₁+…+m_p，此时，m,m₁,…,m_p∈Z₂，然后，RU发送整型类型的分享值m_i或者二进制类型的分享值m_i给TPUi，然后，封装到UNS进行安全地存储。

在本实施例中，算法1所述安全地分布式解密算法(SDD):

构建TPU操作之前，首先需要构建安全分布式解密算法，此算法目的在于允许所有的TPUs对PCDD的密文进行解密。其具体步骤如下：

步骤1：TUP的安全域χ与其它安全域i(i≠χ)之间建立安全的信道。接着，安全域χ发送

到其它的安全域i。

步骤2：一旦

被接收，TPUi使用PDec算法去获取CT_i以及安全地将CT_i发送到安全域χ。

步骤3：TPUχ通过TDec算法安全地利用CT_χ获取x。

算法2：基于TPU的安全的数据封装与解封。

作为TPU的安全域在安全处理过程当中不仅仅提供了单独的计算环境，而且在TPU安全域中的数据还需要被封装在UNS用于长期的存储，因此，需要设计数据的封装算法以及数据的解封算法。

(1)封装算法：

步骤1：TPUi加密共享的数据x将其变为

步骤2：将输与的

与TPU第t时间隐私钥匙分享值

使用哈希函数H:{0,1}^*→Z_N进行计算

此处，，其中ID_i是[x_i]的事务标识。

步骤3：可信存储i将[x_i]与S_t,i一起发送到不可信存储中存储。

(2)解封算法：

步骤1：TPUi用S_t,i加载

到安全域i，并计算

以检验结果是否等于S_t,i。

步骤2：假设

与S_t,i不相等，这算法就停止。否则可信处理单元i利用安全分布式解密算法去共享x_i。

算法3：随机分享产生。

基于秘密共享的隐私计算需要一次随机数进行处理。在构建基于可信处理单元的计算之前，我们设计了一种称为随机元组生成协议的协议。随机元组生成协议的目标是让可信处理单元协同生成任意元组r_i ⁽¹⁾,...,r_i ^(ι)∈Z₂和r_i∈D_N(i＝1,…,p)，使

和

r＝r₁+····+r_p，其中l是随机数r∈D_n的位长。随机元组生成协议生成如下:

步骤1：TPU 1随机生成r_i ⁽¹⁾,...,r_i ^(ι)∈Z₂，将它们加密为

表示它们为

并将这些密文发送到处理单元2。

步骤2：TPU i(i＝1,…,p)生成r_i ⁽¹⁾,···,r_i ^(ι)∈Z₂并计算

如果i≠p，TPU i将

发送给TPU i+1。如果i＝p，则TPU计算

步骤3：对于TPU i(i＝1,…,p)随机生成r_i∈D_N并计算[r]←[r]·[r_i]，并将[r]发送到TPUi+1。TPU 1得到[r]，使用安全分布式解密算法获取r，并将

表示r₁。计算后，每个TPUi(i＝1,…,p)随机持有位r_i ⁽¹⁾,...,r_i ^(ι)∈Z₂和整数r_i∈D_N。

算法3：共享域变换

一、二进制共享到整数共享转换

步骤1：假设TPU i持有比特共享a_i∈Z₂，其中

则该协议的目标是为每个TPU i生成一个随机整数共享b_i∈Z_n，使b₁+···+b_p＝s。

步骤2：为了执行B2I，可信处理单元i随机生成b₁∈Z_N，表示x＝b₁和s＝a_i，加密x为[x]，s为[s]，并将[x]和[s]发送到可信处理单元2。

步骤3：在此之后，可信处理单元Ⅰ(i＝2，...，P-1)基因速率b₁∈Z₂和计算

使用安全分布式解密算法解密和获取b_p。

二、整数共享到二进制共享转换

步骤1：假设i持有整数共享a_i∈Z_n，其中a₁+···+a_p＝s∈Z₂，整数共享到二进制共享转换算法的目的为每个可信处理单元I生成随机比特共享b_i∈Z₂，使

步骤2：为了执行整数共享到二进制共享转换，可信处理单元1允许y＝a₁，加密y为[y]，并发送到TPU2进行计算。在此之后，TPUi(i＝1,…,p)使用共享来计算[y]←[y]·[a₁]。

步骤3：如果i≠p，可信处理单元i向可信处理单元i+1发送[y]。

步骤4：表示[s]←[y]和每个可信处理单元i(i＝P，...，2)生成b_i∈Z₂，并计算

并将[s]发送给可信处理单元i-1。步骤5：一旦收到[s]，可信处理单元1使用安全分布式解密算法解密[s]并将结果表示为b₁。

本实施例所搭建的系统包含如下几部分：

1、请求用户(RU)：其生成相应的公钥和私钥并对密钥和数据进行分享。当然RU可以安全地外包公钥、私钥以及数据分享给云端以便可以进行安全的存储。另外，RU同样可以要求云端完成外包数据的安全计算并且可以安全的取回加密后的最后结果。

2、不可信存储(UNS)：云端的UNS具有无限的数据存储空间用于存储或管理从注册用户RU的外包数据。同样，UNS以加密的形式存储所有中间以及最终的结果。

3、可信任存储单元(TPUs)：云端的可信任存储单元TPUs对每一个RUs提供在线的计算能力。每一个TPU为独自的RU提供孤立的安全计算环境并且可以上传、分享从UNS获取到的数据以此完成确定的计算，接着安全地封装分享的数据用于存储。需要指出的是TPU并不能上传其它的TPU封装在UNS中的数据。

本实施例主要实现了处理器内部多处理器协同处理的目的，具体流程是将数据经过加密存储到不可信任的存储空间中，然后多可处理单元对需要处理的数据通过本发明所设计的安全计算协议进行可处理单元之间的协同处理，提高数据的处理效率，输出结果任然是密文的计算结果。

本实施例提出了一种实用性的云平台下的隐私保护计算系统，并将其定义为ATOM。不同于现有的多服务器外包计算模型，使用ATOM，用户可以在单个云端服务器上安全获取外包存储数据以及快速地进行安全的数据处理操作。具体来说，本实施例首次提出了下云服务器具备多个可信任单元(TPU)的前提下的ATOM计算框架，然而TPU面临侧通道攻击的危害。在ATOM框架下，本实施例设计了两个特殊的快速处理工具包，其允许用户获取进行安全整数计算以及安全浮点型计算以此来抵御TPU的侧通道攻击的危害。另外，本实施例的ATOM框架在数据处理以及获取用户私人信息的同时也保证了访问模式不被泄露。

以上所述仅为本发明的较佳实施例，凡依本发明申请专利范围所做的均等变化与修饰，皆应属本发明的涵盖范围。

Claims (9)

1.一种实用性的云端隐私保护外包计算系统，其特征在于：包括请求用户端即RU和云端；所属云端包括不可信存储即UNS以及可信任存储单元即TPUs；所述请求用户端用于生成公钥和私钥并对密钥和数据进行分享；所述不可信存储用于存储或管理所述请求用户端的外包数据；所述可信任存储单元用于为独自的RU提供孤立的安全计算环境并且上传、分享该可信任存储单元从UNS获取到的数据用以完成确定的计算，然后，将所述分享的数据进行封装用于数据存储；

其中，上述实用性的云端隐私保护外包计算系统的计算方法，包括以下步骤：

步骤S1：所述请求用户端对系统进行初始化：所述请求用户端产生一个公钥pk和私钥sk，系统将所述私钥sk分解成p个离散分享数值sk_i(i＝1,…,p)；对于云端的每一个TPUi都需要初始化一个安全域i，从而建立一个安全信道以及将更新的sk_i存储到安全域内；TPUi将产生的pk,sk_i封装后安全地存储在UNS中；

步骤S2：进行数据更新：所述RU随机地分裂数据x_j,1,…,x_j,p∈G；然后，TPU i(i＝1,…,p)利用Intel处理器的SGX方法，通过CPU的硬件模式切换，系统进入可信模式执行，加载一个极小的微内核操作系统支持任务调度，完成身份认证以此创建安全域i；RU定义程序c_i，建立与TPU安全域i的安全信道，并对安全域i内部的x_1,i,…,x_v,i,c_i进行加载，并将加载的值安全的封装在UNS中；最后，TPU i对所有的i＝1,…,p释放安全域i；

步骤S3：进行数据的安全计算：首先每一个TPUi产生一个安全域i；然后，所有的TPUs之间通过DH密钥交换协议产生一对密钥对，然后通过密钥对对TPUs之间通信的数据进行加密以此建立安全的信道通信，接着从UNS中加载封装的数据x_1,i,…,x_v,i,pk,sk_i,c_i给安全域i，并且将其定义为S_i；TPUs通过用户默认的程序c₁,…c_p交互计算(y_1,1,…,y_ω,1:…:y_1,p,…,y_ω,p)←GenCpt(S₁:…:S_p)；其中，GenCpt(ε_t,i:…:ε_t,i)表示通用安全函数计算方法；最后，所有的TPUs交互更新私钥和数据共享；TPUi将y_1,i,…,y_ω,i封装在UNS中然后对安全域i进行释放；

步骤S4：进行数据的检索：如果RU要在云端检索结果，则TPUi将创建安全域i，打开封装的数据y_1,i,…y_ω,i与RU建立一个安全信道，并向RU发回发回分享的数据值；当所有的shares发送回RU，则对于j＝1,…,ω，RU计算

如果RU不需检索则无需做作何操作。

2.一种基于权利要求1所述的实用性的云端隐私保护外包计算系统的计算方法，其特征在于：包括以下步骤：

步骤SA：所述请求用户端对系统进行初始化：所述请求用户端产生一个公钥pk和私钥sk，系统将所述私钥sk分解成p个离散分享数值sk_i(i＝1,…,p)；对于云端的每一个TPUi都需初始化一个安全域i，从而建立一个安全信道以及将更新的sk_i存储到安全域内；TPUi将产生的pk,sk_i封装后安全地存储在UNS中；

步骤SB:进行数据的更新：系统初始化以后，对具有功能计算步骤的t(t＝1,…,ζ)和随机分离的数据x_j,1,1,…,x_j,1,p定义程序变量c_i,t，然后，RU与TPU的安全域i之间DH密钥交换协议建立安全信道，远程向安全域i加载数据c_1,i,…,c_ζ,i,x_1,1,i,…,x_v,1,i以及将其安全地封装在UNS中；最后，TPUi对所有i＝1,…,p释放安全域i；

步骤SC:进行数据的安全计算：首先，每一个TPUi产生一个安全域i；然后，所有的TPUs之间通过DH密钥交换协议产生一对密钥对，然后通过密钥对对TPUs之间通信的数据进行加密以此建立安全的信道通信，接着从UNS中加载封装的数据x_1,t,i,…,x_v,t,i,pk,sk_i,c_1,i,…,c_ζ,i到安全域i并将其组成一个集合ε_t,i；根据用户端定义的程序c_1,i,…,c_ζ,i，TPUs交互计算(y_1,t,1,…,y_ω,t,1:…:y_1,t,n,…,y_ω,t,p)←GenCpt(ε_t,i:…:ε_t,i)；其中，GenCpt(ε_t,i:…:ε_t,i)表示通用安全函数计算方法；所有的TPUs交互对私钥以及分享值进行更新，如果t＝ξ，PUi将y_1,ζ,i,…,y_ω,ζ,i封装到UNS，然后对安全域进行释放；如果t≠ζ，对于TPUi，则需要从y_1,ζ,i,…,y_ω,t,p中选择x_1,t+1,1,…,x_v,t+1,i；然后，TPUs将x_1,t+1,1,…,x_v,t+1,i封装到UNS，最后释放安全域；

步骤SD:进行数据检索：通过步骤SA至步骤SC,TPUi开辟一个新的安全域i,打开封装的数据y_1,ζ,i,…,y_ω,ζ,i,并且与RU之将建立一个安全的信道通信，然后将数据重新传回RU；TPU中的数据被发出，则RU在ζ(j＝1,…,ω)时执行

3.根据权利要求2所述的一种实用性的云端隐私保护外包计算系统的计算方法，其特征在于：所述GenCpt函数的具体实现过程如下：

首先，定义一个多输出多变量函数f，令TPUi(i＝1,…,p)含有x_1,i,…,x_v,i，对于每一个TPU i,GenCpt能够安全地输出(y₁,…,y_ω)←f(x₁,…,x_v)，在此处当j＝1,…,v；k＝1,…ω时有x_j,1+…+x_j,p＝x_j以及y_k,1+…+y_k,p＝y_k；GenCpt又能够被分为离线与在线两个阶段；

离线阶段：对于每一个TPUi(i＝1,…,p)创建一个安全域i，从UNS中加载已封装的钥匙pk,sk_i以及程序c_i到安全域并与其它TPUs之间建立安全的信道通信；然后，所有的TPUs协同产生随机数进行分享然后再将其组成一个集合

并且，集合

在产生的过程之中对其它的TPUs是保密的；通过以上计算过程，每一个TPUi，将

分别封装到UNS之中；

在线阶段：对于每一个TPUi(i＝1,…,p)，从离线阶段中的安全域i中加域封装的随机集合

然后，所有的TPU协同计算

输出结果；根据RU的隐私程序c_i，能够抽象出满足不同应用条件下的计算函数f_i，函数f_i能够在

域中执行+×运算，在

域中完成

的计算。

4.根据权利要求2所述的一种实用性的云端隐私保护外包计算系统的计算方法，其特征在于：所述系统将所述私钥sk分解成p个离散分享数值sk_i(i＝1,…,p)，具体包括以下步骤：

步骤Sa:所述公钥和私钥不被改变，TPU在没有RU的参与下将会周期性对key shares进行刷新；在时间t(t＝0,1,2,…)内使分享值更新，更新的分享值为

此处，对于i＝1,…,p时，

以及

步骤Sb:每一个TPUi(i＝1,…,p)创建一个安全域i；然后，TPUi与TPUj的安全域(j＝1,…,p；j≠i)之间建立安全的信道；

步骤Sc:TPUi随机的挑选数值δ_i,1,…,δ_i,p∈G，然后将δ_i,j发送给TPU 的安全域j；

步骤Sd:当接收到发送的δ_j,i后，TPU i计算它本身的新的

然后，TPUi擦除当前使用的安全钥匙

以外的其它所有变量。

5.根据权利要求1所述的一种实用性的云端隐私保护外包计算系统，其特征在于：所述用户端对密钥和数据进行分享建立在基础的数据共享操作协议的基础之上，具体内容为：建立三个群域Z_n＝{0,1,…,N-1}，

以及Z₂＝{0,1}；通过Paillier密码系统分布式解密方法进行离线处理其明文数据在群域Z_N之中，并且令将数据x从群Z_N转到D_N的函数为「x」N，

所述数据分享有两种类型，一种是整型分享另一种是二进制分享；对于整型分享，RU执行Share(m)，即m＝m₁+…+m_p，此时，m,m₁,…,m_p∈D_N；对于二进制分享，RU执行Share(m)，即m＝m₁+…+m_p，此时，m,m₁,…,m_p∈Z₂，然后，RU发送整型类型的分享值m_i或者二进制类型的分享值m_i给TPUi，然后，封装到UNS进行安全地存储。

6.根据权利要求2或3所述的一种实用性的云端隐私保护外包计算系统的计算方法，其特征在于：所述所有的TPUs之间通过DH密钥交换协议产生一对密钥对，然后通过密钥对对TPUs之间通信的数据进行加密以此建立安全的信道通信，接着从UNS中加载封装的数据x_1,t,i,…,x_v,t,i,pk,sk_i,c_1,i,…,c_ζ,i到安全域i，其中所述加载封装数据x_1,t,i,…,x_v,t,i,pk,sk_i,c_1,i,…,c_ζ,i，采用的是封装算法，具体为：TPUi加密共享的数据x将其变为

将输入的

与TPU第t时间隐私钥匙分享值

使用哈希函数H:{0,1}^*→Z_N进行计算

其中ID_i是[x_i]的事务标识；

可信存储i将[x_i]与S_t,i一起发送到不可信存储中存储。

7.根据权利要求2或3所述的一种实用性的云端隐私保护外包计算系统的计算方法，其特征在于：所述打开封装的数据y_1,ζ,i,…,y_ω,ζ,i，采用的是解封算法，具体为：TPUi用S_t,i加载

到安全域i，并计算

用以检验结果是否等于S_t,i；假设

与S_t,i不相等，则此算法停止；否则可信处理单元i利用安全分布式解密算法去共享x_i。

8.根据权利要求2或3所述的一种实用性的云端隐私保护外包计算系统的计算方法，其特征在于：所述所有的TPUs之间通过DH密钥交换协议产生一对密钥对的具体内容为：TPU 1随机生成r_i ⁽¹⁾,...,r_i ^(ι)∈Z₂，将它们加密为

表示它们为

并将这些密文发送到处理单元2；然后，TPUi(i＝1,…,p)生成r_i ⁽¹⁾,···,r_i ^(ι)∈Z₂并计算

如果i≠p，TPUi将

发送给TPU i+1；如果i＝p，则TPU计算

最后，对于TPU i(i＝1,…,p)随机生成r_i∈D_N并计算[r]←[r]·[r_i]，并将[r]发送到TPUi+1；TPU 1得到[r]，使用安全分布式解密算法获取r，并将

表示r₁；计算后，每个TPUi(i＝1,…,p)随机持有位r_i ⁽¹⁾,...,r_i ^(ι)∈Z₂和整数r_i∈D_N。

9.根据权利要求8所述的一种实用性的云端隐私保护外包计算系统的计算方法，其特征在于：所述安全分布式解密算法具体为：首先，TUP的安全域χ与其它安全域i(i≠χ)之间建立安全的信道；接着，安全域χ发送

到其它的安全域i；然后，一旦

被接收，TPUi使用PDec算法去获取CT_i以及安全地将CT_i发送到安全域χ；最后，TPUχ通过TDec算法安全地利用CT_χ获取x。

Images