CN112438034B - 基于可信执行环境的可校验加密 - Google Patents

Abstract

公开了一种用于使用密文校验明文的属性的方法。在实施例中，计算设备可以在所述计算设备的可信执行环境(TEE)处接收所述密文。所述TEE可以使用加密密钥对的私有加密密钥对所述密文进行解密以生成所述明文。所述加密密钥对包括公共加密密钥和所述私有加密密钥。所述TEE可以通过使用签名密钥对的私有签名密钥对验证结果进行加密来生成数字签名的验证结果。所述签名密钥对包括公共签名密钥和所述私有签名密钥。所述私钥是从所述计算设备的安全存储器检索的，并且所述安全存储器可能仅能够由所述TEE访问。然后，所述计算设备可以发送所述数字签名的验证结果。

Description

基于可信执行环境的可校验加密

技术领域

本专利申请要求于2018年7月17日提交的标题为“基于可信执行环境的可校验加密(VERIFIABLE ENCRYPTION BASED ON TRUSTED EXECUTION ENVIRONMENT)”的第16/037,789号美国专利申请的优先权，其全部内容以引用的方式并入本文中，就如同全文复制一般。

领域

本发明大体上涉及一种用于加密的系统和方法，并且在特定实施例中，涉及一种用于使用密文校验明文的属性的系统和方法。

背景技术

对于大多数加密方法，仅使用密文难以校验明文的属性。此问题被称作可校验加密问题(Verifiable Encryption Problem，VEP)。

零知识证明(zero knowledge proof，ZKP)是VEP的一种已知的解决方案。然而，一般的ZKP适用于校验明文的一个属性，并且通常不适用于校验明文的其它属性。这意味着，为了证明一个特定知识(在VEP情况下，为了证明明文的一些属性)，必须构造专门用于解决一个特定问题的一个特定ZKP。此外，校验由ZKP构造的算法的安全性通常会花费数年时间。ZKP也非常复杂且不易使用。另外，对于不同的问题，用户必须再次运行计算密集型过程以生成新协议。

VEP的另一种解决方案是一种被称为ZK-SNARK的新ZKP技术，所述技术声称其为可以由图灵机(Turing machine)解决的所有问题的通用框架。然而，将问题转换成多项式会需要大量的计算和复杂的数学技能。因此，需要一种更简单、更通用、更快速的VEP解决方案。

发明内容

根据广义方面，提供一种用于使用密文校验明文的属性的方法。计算设备可以在计算设备的可信执行环境(trusted execution environment，TEE)处接收密文。TEE可以使用加密密钥对的私有加密密钥对密文进行解密以生成明文。加密密钥对包括公共加密密钥和私有加密密钥。TEE可以通过使用签名密钥对的私有签名密钥对验证结果进行加密来生成数字签名的验证结果。签名密钥对包括公共签名密钥和私有签名密钥。私钥是从计算设备的安全存储器检索的，并且所述安全存储器可能仅能够由TEE访问。然后，计算设备可以发送数字签名的验证结果。

根据前述方面，所发送的数字签名的验证结果使接收者能够通过使用公共签名密钥校验数字签名的验证结果来确认明文的属性。

根据前述方面中的任一方面，发送包括由计算设备将密文和数字签名的验证结果发送给接收者。

根据前述方面中的任一方面，方法进一步包括：TEE获得加密密钥对；TEE生成签名密钥对；TEE从注册服务器接收认证证书，认证证书校验由TEE执行以校验明文的属性的代码正确。

根据前述方面中的任一方面，方法进一步包括：计算设备的富执行环境(richexecution environment，REE)将加密密钥对提供给TEE；TEE生成签名密钥对并将私有签名密钥存储在计算设备的安全存储器中；TEE将远程认证请求发送到注册服务器；TEE经由在TEE与注册服务器之间建立的安全信道在证书请求中发送公共加密密钥和公共签名密钥；TEE从注册服务器接收地址证明请求；TEE基于私有加密密钥和地址证明请求将地址证明响应发送给注册服务器；TEE接收由注册服务器内的安全元件生成的认证证书，安全元件包括无法从安全元件外部读取的密钥，其中，认证证书校验由TEE执行以校验明文的属性的代码正确，认证证书包括公共签名密钥。

根据前述方面中的任一方面，加密密钥对包括Paillier密钥对，并且其中签名密钥对包括通用关键字密码(Rivest-Shamir-Adleman，RSA)密钥对或椭圆曲线数字签名算法(Elliptic Curve Digital Signature Algorithm，ECDSA)密钥对中的一者。

根据前述方面中的任一方面，密文包括使用区块链的对等网络上的加密货币交易的加密交易值，并且其中明文的属性是交易值的范围。

根据前述方面中的任一方面，所接收的密文是使用加性同态加密算法进行加密。

根据前述方面中的任一方面，密文是加密字符串，并且其中明文的属性是明文的字符串长度。

根据前述方面中的任一方面，密文是明文的哈希值，其中，明文的属性是等于特定值的哈希值。

根据另一广义方面，提供一种用于使用密文校验明文的属性的计算设备。计算设备包括：用于存储指令的存储器存储装置，存储器存储装置包括安全存储器和非安全存储器；与存储器存储装置通信的一个或多个处理器，其中，一个或多个处理器执行指令以进行以下操作：计算设备的可信执行环境(TEE)接收密文；TEE使用加密密钥对的私有加密密钥对密文进行解密以生成明文，加密密钥对包括公共加密密钥和私有加密密钥；TEE生成校验明文的属性的验证结果；TEE通过使用签名密钥对的私有签名密钥对验证结果进行加密来生成数字签名的验证结果，签名密钥对包括公共签名密钥和私有签名密钥，私有签名密钥是从计算设备的安全存储器检索到的，安全存储器仅能够由TEE访问；计算设备发送数字签名的验证结果。

根据前述方面，所发送的数字签名的验证结果使接收者能够通过使用公共签名密钥校验数字签名的验证结果来确认明文的属性。

根据前述方面中的任一方面，发送包括由计算设备将密文和数字签名的验证结果发送到接收者。

根据前述方面中的任一方面，一个或多个处理器进一步执行指令以进行以下操作：TEE获得加密密钥对；TEE生成签名密钥对；TEE从注册服务器接收认证证书，认证证书校验由TEE执行以校验明文的属性的代码正确。

根据前述方面中的任一方面，一个或多个处理器进一步执行指令以进行以下操作：计算设备的富执行环境(REE)将加密密钥对提供给TEE；TEE生成签名密钥对并将私有签名密钥存储在计算设备的安全存储器中；TEE将远程认证请求发送到注册服务器；TEE经由TEE与注册服务器之间建立的安全信道在证书请求中发送公共加密密钥和公共签名密钥；TEE从注册服务器接收地址证明请求；TEE基于私有加密密钥和地址证明请求将地址证明响应发送给注册服务器；TEE接收由注册服务器内的安全元件生成的认证证书，安全元件包括无法从安全元件外部读取的密钥，其中，认证证书校验由TEE执行以校验明文的属性的代码正确，认证证书包括公共签名密钥。

根据前述方面中的任一方面，加密密钥对包括Paillier密钥对，其中，签名密钥对包括通用关键字密码(RSA)密钥对或椭圆曲线数字签名算法(ECDSA)密钥对中的一者。

根据前述方面中的任一方面，密文包括使用区块链的对等网络上的加密货币交易的加密交易值，并且其中明文的属性是交易值的范围。

根据前述方面中的任一方面，所接收的密文是使用加性同态加密算法进行加密。

根据前述方面中的任一方面，密文是加密字符串，并且其中明文的属性是明文的字符串长度。

根据前述方面中的任一方面，密文是明文的哈希值，其中，明文的属性是等于特定值的哈希值。

根据另一广义方面，提供一种计算机可读存储介质，包括安全存储器和非安全存储器，计算机可读存储介质具有存储在其上的指令，指令在由计算设备的一个或多个处理器执行时促使计算设备执行用于使用密文校验明文的属性的操作，操作包括：计算设备的可信执行环境(TEE)接收密文；TEE使用加密密钥对的私有加密密钥对密文进行解密以生成明文，加密密钥对包括公共加密密钥和私有加密密钥；TEE生成校验明文的属性的验证结果；TEE通过使用签名密钥对的私有签名密钥对验证结果进行加密来生成数字签名的验证结果，签名密钥对包括公共签名密钥和私有签名密钥，私有签名密钥是从计算设备的安全存储器检索到的，安全存储器仅能够由TEE访问；计算设备发送数字签名的验证结果。

附图说明

为了更全面地理解本发明及其优点，现在参考结合附图进行的以下描述，其中：

图1是示出需要校验密文的明文的情境的分散式系统的逻辑框图；

图2A以示意图示出根据本公开的实施例的计算设备的示例；

图2B展示可信执行环境(TEE)的实施例；

图3展示根据一些实施例的用于使用密文校验明文的属性的方法的流程图。

图4是根据实施例的示出校验密文的明文而不对密文进行解密的系统的实施例的框图；

图5是用于注册服务器初始化的方法的实施例的图解；

图6A和图6B展示用于注册新对等体的方法的实施例的图解；并且

图7A和图7B展示用于验证含有加密数据的交易的方法的实施例的图解。

具体实施方式

下文将详细论述实施例的制作和使用。然而，应了解，本发明提供可以在各种特定上下文中体现的多个适用的发明性概念。所论述的特定实施例仅仅说明用于制作和使用本发明的特定方式，而并不限制本发明的范围。

对于大多数加密方法，仅使用通过使用加密算法对明文进行加密而生成的密文难以校验明文的属性。本文公开了用于使用通过使用加密算法对明文进行加密而生成的密文来校验明文的属性的系统和方法。在一些实施例中，明文是数值，并且要校验的明文的属性是数值在范围内。在其它实施例中，明文是字符串，并且要校验的属性是字符串的长度。在另外其它实施例中，明文是哈希值，并且要校验的明文的属性是等于特定值的哈希值。在整个本专利中，使用密文校验明文的属性的问题被称为“可校验加密问题(VEP)”。

VEP的一个示例是校验加密货币交易的加密交易值。考虑以下示例。艾丽斯(Alice)通过分散式网络将10美元的加密货币转账给鲍勃(Bob)，在所述分散式网络中使用区块链记录交易。在此情境下存在三个角色：1)发送方艾丽斯；2)接收方鲍勃；以及3)校验器。校验器是分散式网络上的对等计算设备，其校验每一加密货币交易以保证加密货币交易有效。加密货币交易中的交易值被加密，并且艾丽斯和鲍勃两者的账户余额出于隐私目的而被加密。存在两个问题。由于交易值被加密，鲍勃可如何在交易中校验交易值实际上是10美元？并且，在此网络上的校验器可如何校验艾丽斯在她的账户上有超过10美元的加密货币？这两个问题是相同的，两者都考虑如何使用在艾丽斯与鲍勃之间的交易中包括的加密交易值(例如，密文)来证明交易值(例如，10美元的加密货币)在特定范围内(例如，明文的属性)。此问题被称作“密文范围证明(Range Proof over Ciphertext，RPoC)”。RPoC是一种VEP。在本公开中，RPoC将用作解释所公开的VEP解决方案的示例。然而，所公开的系统和方法可以应用于任何一般的VEP，而不仅仅应用于RPoC。

本文公开了用于通过涉及计算设备的可信执行环境(TEE)来解决VEP的方法和系统。在实施例中，计算设备可以在计算设备的TEE处接收密文。TEE可以使用加密密钥对的私有加密密钥对密文进行解密以生成明文。加密密钥对包括公共加密密钥和私有加密密钥。TEE可以通过使用签名密钥对的私有签名密钥对验证结果进行加密来生成数字签名的验证结果。签名密钥对包括公共签名密钥和私有签名密钥。私钥是从计算设备的安全存储器检索的，并且安全存储器可能仅能够由TEE访问。然后，计算设备可以发送数字签名的验证结果。

将上文所描述的RPoC作为示例。在艾丽斯一方，艾丽斯的计算设备的TEE包括用于校验交易值在特定范围内的证明器。在此示例中，证明器是包括用于校验交易的交易值(例如，10美元的加密货币)在特定范围内的编程指令并在证明器确定交易值在特定范围内时生成验证结果的软件代码。证明器然后通过使用签名密钥对的私有签名密钥对验证结果进行加密来生成数字签名的验证结果。验证结果证明交易有效。证明器的软件代码由软件代码提供者提供。校验器的计算设备通过分散式网络接收交易(其包括加密交易值)和数字签名的验证结果，并使用公共签名密钥校验数字签名的验证结果的数字签名，以验证(例如证明)交易值在特定范围内。具体地说，过程具有以下步骤。TEE中的证明器接收艾丽斯的私有加密密钥。证明器证明明文具有特定属性(交易值是10美元且艾丽斯的账户余额超过10美元)并使用签名密钥对的私钥对证明进行数字签名。校验器校验数字签名的证明(即，验证结果)以确认交易值是10美元且艾丽斯的余额超过10美元。

本公开的一个或多个实施例的一个优点在于，可以在不泄漏私有加密密钥和私有签名密钥的任何信息的情况下证明使用密文的明文的属性(例如，用于将密文解密为明文的艾丽斯的私钥和由证明器用来对验证结果进行数字签名的私钥)和明文。私有加密密钥、私有签名密钥和明文存储在仅可由艾丽斯的计算设备的TEE访问的安全存储器中。除了数据(即，私有加密密钥、私有签名密钥和明文)的所有者之外，没有人知道安全存储器中的此类数据。在一个方面，私有加密密钥由TEE接收。密文被传递到TEE中并在TEE中被解密。属性被校验，并且那些属性的证明是由证明器在TEE中生成的。为了证明所述证明是在TEE内部生成的，证明器使用签名密钥对的私有签名密钥对所述证明进行数字签名。私有签名密钥存储在仅可由TEE访问的安全存储器中。应注意，在整个过程中，私有加密密钥和明文都不会泄漏到TEE之外。因此，私有加密密钥和明文的安全性简化为TEE的安全性。由于私有签名密钥存储在仅可由TEE访问的安全存储器中，故证明的完整性也简化为TEE的安全性。

本公开的一个或多个实施例的另一优点在于，可以通过使用公共信息来校验证明。为了校验证明，校验器仅需要公共可用的信息。证明是由私有签名密钥进行数字签名，所述私有签名密钥是例如PKI密钥对的签名密钥对的私钥。为了校验数字签名，校验器仅需要知道签名密钥对的公共签名密钥，所述公共签名密钥是公共已知的信息。

本公开的一个或多个实施例的另一优点在于，软件代码提供者可以证明其具有关于例如私有加密密钥、私有签名密钥和明文的敏感信息的零知识。TEE内部的明文的属性的校验是可能泄漏敏感信息的唯一过程。由于软件代码中不存在凭证，故软件代码提供者可以打开TEE中的证明器的软件代码以进行评审。通过评审软件代码，每个人都知道软件代码未泄漏私钥或明文。远程认证可以保证在TEE中运行的软件代码实际上是经过评审的软件代码。

所公开的系统和方法的替代方案是零知识证明(ZKP)。然而，在ZKP中，为了证明明文的特定属性，必须专门为此目的而构造ZKP协议。ZKP协议的构造需要数学背景和一些巧妙的技能。然而，所公开的方法和系统是通用的，这意味着，为了证明明文的特定属性，仅需要在TEE中写入对应代码。此外，与ZKP相比，所公开的系统和方法可以证明明文更多种类的属性。与此对比，并非所有属性都可以由ZKP证明。然而，只要可以由图灵机生成证明，就可以应用所公开的系统和方法来安全地对其进行证明。

另外，与ZKP相比，所公开的方法和系统效率更高。通常，ZKP方法是基于大量的公钥加密计算。然而，执行大量的公钥加密计算的效率极低。与此对比，对于所公开的系统和方法，唯一的额外成本是进出TEE的成本。此上下文切换成本远低于一系列公钥加密计算。如果考虑涉及若干轮网络通信的交互式ZKP，则所公开的系统和方法性能优点甚至大于ZKP。

另外，所公开的系统和方法的安全性简化为完善的TEE技术。所公开的系统和方法的安全性简化为TEE的安全性，而所述TEE的安全性已被充分研究多年。

图1是示出需要校验密文的明文的属性的情境的系统100的逻辑框图。系统100是需要使用区块链上的RPoC作为示例来校验交易的交易值(例如，明文)的示例。下文将示出展示如何使用TEE来解决本文所描述的VEP的实施例。然而，所公开的系统和方法不限于使用其中使用区块链110进行交易的分散式网络执行的加密货币交易，而是可以用于校验任何密文的明文的属性。

系统100包括两个用户——艾丽斯102和鲍勃104、校验器106和审计器108。考虑以下情境。艾丽斯102和鲍勃104在同一区块链上，所述区块链是由分散式网络管理的记录列表。此分散式网络管理隐私保护区块链。这意味着所有交易和账户余额均被加密。艾丽斯102想要通过此分散式网络将10美元发送给鲍勃104。此交易T 112与由分散式网络管理的区块链上的其它交易相同地被加密。校验器106，分散式网络上的一个对等计算设备，必须能够校验此交易T 112。也就是说，在操作114处，校验器106必须校验T 112，从艾丽斯102转账给鲍勃104的金额大于零，艾丽斯102具有足够的余额来将交易值(例如，10美元的加密货币)转账给鲍勃104。然而，在常规方法中，因为校验器106不具有解密密钥，所以校验明文(例如，从艾丽斯102转账给鲍勃104的金额大于零，并且艾丽斯102的账户上有足够的资金来转账10美元的交易值)的校验过程114必须在不对密文进行解密的情况下在所述密文上执行。校验器106在操作116处将校验交易(Txn)追加到区块链110。在操作118处由审计器108审计校验。

图2A以示意图示出根据本公开的实施例的计算设备200的示例。计算设备200可以是例如智能手机、平板电脑、例如笔记本电脑的个人计算机、可穿戴计算设备、物联网(Internet of Things，IoT)设备等。

计算设备200包括若干组件，包括处理器202、存储器204、存储装置206和用于连接计算设备202的组件的总线207。计算设备200还可以包括额外组件，例如一个或多个输入/输出(input/output，I/O)设备208和一个或多个网络接口210(以虚线示出)。计算设备200的组件可以形成于一个或多个半导体芯片中，所述一个或多个半导体芯片安装到印刷电路板以用于组件之间的通信。在一些实施例中，例如处理器202和网络接口210的多个组件并入在被称作片上系统(system-on-chip)的单个半导体芯片中。在其它实施例中，每一组件是离散芯片。

处理器202是任何合适类型的处理器，例如实施ARM或x86指令集的处理器。

存储器204是可由处理器202访问的任何合适类型的随机存取存储器。存储器204包括安全存储器212。在一些实施例中，安全存储器212是离散物理模块。在其它实施例中，存储器204经分段以在与其它存储器相同的物理模块内限定安全存储器。在一些实施例中，安全存储器212占据存储器204的地址空间内的存储器地址范围。在一些实施例中，安全存储器212可由不同存储器空间内的处理器202访问。

存储装置206可以是例如具有合适容量的一个或多个与非(NAND)闪存模块，或可以是一个或多个持久性计算机存储设备，例如硬盘驱动器、固态驱动器等。存储装置206包括安全存储装置214。在一些实施例中，安全存储装置214存在于与其它存储装置206共享的设备上。在其它实施例中，安全存储装置214存在于离散硬盘驱动器、快闪存储装置等上。

总线207可以是包括存储器总线或存储器控制器和外围总线的任何类型的若干总线架构中的一种或多种。

I/O设备208包括例如用户接口装置，例如能够接收呈触摸形式的输入的电容性或电阻性触敏屏，或具有集成触摸传感器的触摸屏显示器，其用于在检测到触摸屏显示器上的触摸时接收输入并在其上显现图像作为输出。在一些实施例中，I/O设备208另外或替代地包括以下各者中的一个或多个：扬声器、麦克风、例如加速计和全球定位系统(globalpositioning system，GPS)接收器的传感器、小键盘、触控板等。在一些实施例中，I/O设备208包括用于将计算设备200连接到其它计算设备的端口。在一示例中，I/O设备208包括用于将计算设备200连接到外围装置或连接到主机计算设备的通用串行总线(universalserial bus，USB)控制器。

网络接口210能够将计算设备200连接到一个或多个通信网络。在一些实施例中，网络接口210包括用于将计算设备200无线地连接到无线通信网络的一个或多个无线电，例如WiFi或蜂窝(例如，GPRS、GSM、EDGE、CDMA、LTE等)。

计算设备200在包括操作系统(OS)216的软件程序的控制下进行操作。软件程序的计算机可读指令存储在存储装置206或安全存储装置214中，并由存储器204或安全存储器212中的处理器202执行。

计算设备200包括或用于提供如图2B中所展示的多个不同执行环境。不同执行环境可以被提供对不同存储和处理资源的访问。可以使用软件或硬件来强制隔离这些环境。在一些实施例中，环境中的一个可以被称作可信执行环境(TEE)且可能能够访问隔离的且安全的存储和处理资源。在一些实施例中，环境中的一个可以被称作富执行环境(REE)，其包括面向用户的OS。与REE相比，TEE更安全。REE和TEE可以彼此通信。

分配到TEE的资源可以包括单独的处理器(例如，多核处理器中的单个核可以分配到TEE)和隔离的存储装置(除了与隔离的核相关联的寄存器之外，不同的存储器地址范围也可以专用于分配到TEE的此类处理器或协处理器的使用)。此TEE环境可以支持不同的操作系统，或其可以是可访问由整个系统的基础操作系统(例如，OS 216)分配以使用它的应用程序的一组安全资源。在一些实施例中，可以存在例如一般存储资源(例如，存储装置206)内的安全存储装置214的专用安全存储资源，以及例如所述一般存储资源(例如，存储器204)内的安全存储器212的专用安全存储器。对于本领域的技术人员，在一些实施例中，这些安全资源可以是物理上和逻辑上不同于相同类型的一般资源中的至少一者。如上所述，在多核处理器中，核中的一个或多个可以专用于一个或多个TEE。在其它实施例中，处理器202外部的协处理器可以提供用于TEE的安全处理资源。

图2B展示计算设备200的可信执行环境TEE 252和REE 254的实施例。在实施例中，REE 252包括面向用户的操作系统。尽管TEE 254能够完全访问处理器202和存储器204，但TEE 254是与计算设备200的其它组件隔离的硬件，其保护所述TEE 254免于由在计算设备200的主操作系统中运行的用户安装的应用程序访问。TEE 254可以被视为具有来自REE252的输入和到REE 252的输出的黑箱。TEE 254具有以下属性：1)没人能从外部(例如，REE252)看到TEE 254内部的数据和代码；以及2)没人能从外部(例如，REE 252)改变TEE 254内部的数据和代码。这两个属性是硬件保证的，这意味着，只有当攻击者可以破坏硬件时，攻击者才可以破坏TEE 254并访问TEE 254内部的数据和代码。TEE 254的示例包括

Trust

和

SGX。

图3展示根据一些实施例的用于使用密文校验明文的属性的方法300的流程图。方法300可以由例如图2A中的计算设备200的计算设备的硬件实行或执行。方法300还可以由计算设备的一个或多个处理器执行的例程、子例程或软件模块实行或执行。方法300可以进一步由硬件和软件的组合实行或执行。用于实行或执行方法300的软件的编码完全在对本公开而言的本领域普通技术人员的范围内。方法300可以包括与所展示和描述的那些操作相比更多或更少的操作，并且所述方法可以不同次序实行或执行。可由计算设备的一个或多个处理器执行的软件的计算机可读代码或指令可以存储在例如计算设备的存储器的非暂时性计算机可读介质上。

方法300中的操作的一部分可以由例如图2A中的TEE 254的计算设备的TEE执行。对应于由TEE执行的操作的部分的指令可能仅存储在计算机可读介质的安全存储装置中，例如图2中的计算设备的安全存储装置214。在如此操作时，除了TEE之外，计算设备内部的其它组件或任何其它外部设备都不能执行对应于由方法300中的TEE执行的操作的部分的指令。此外，如下文中详细所解释，由TEE生成的一些数据可能仅存储在计算机可读介质的安全存储装置中，所述安全存储装置仅可由TEE访问。

在操作302处开始方法300，其中计算设备的TEE(例如，TEE 254)可以接收密文。加密密钥对的公共加密密钥可以用于对明文进行加密以生成密文。加密密钥对可以包括公共加密密钥和私有加密密钥。

在操作304处，TEE可以使用加密密钥对的私有加密密钥对密文进行解密以生成明文。在一个实施例中，计算设备的REE可以将加密密钥对提供给TEE。

在操作306处，TEE可以基于从密文解密的明文生成验证结果。验证结果可以校验明文的属性。在一些实施例中，明文可以是数值，并且验证结果可以校验数值在范围内的明文的属性。在其它实施例中，明文可以是字符串，并且验证结果可以校验明文字符串的属性，所述属性可以是字符串的长度。在另外其它实施例中，明文可以是哈希值，并且验证结果可以校验等于特定值的哈希值的明文的属性。

在操作308处，TEE可以通过使用签名密钥对的私有签名密钥对验证结果进行加密来生成数字签名的验证结果。签名密钥对可以包括公共签名密钥和私有签名密钥。在一个实施例中，TEE可以生成并存储签名密钥对。可以从计算设备的安全存储器(例如，安全存储器214)存储并检索签名密钥对的私有签名密钥。安全存储器可能仅可由TEE访问。

在操作310处，计算设备发送数字签名的验证结果。所发送的数字签名的验证结果可以使接收者能够通过使用签名密钥对的公共签名密钥校验数字签名的验证结果来确认明文的属性。在一个实施例中，计算设备可以将密文和数字签名的验证结果发送到接收者。

在一个实施例中，TEE可以获得加密密钥对并生成签名密钥对。TEE可以从注册服务器接收认证证书。认证证书可以校验由TEE执行以校验明文的属性的代码正确。

在一个实施例中，计算设备的REE将加密密钥对提供给TEE。TEE生成签名密钥对并将私有签名密钥存储在计算设备的安全存储器中。TEE可以将远程认证请求发送到注册服务器。TEE还可以在证书请求中将公共加密密钥和公共签名密钥发送到注册服务器。TEE可以接收地址证明请求并基于私有加密密钥和地址证明请求将地址证明响应发送给注册服务器。TEE可以接收由注册服务器内的安全元件生成的认证证书。安全元件可以包括无法从所述安全元件外部读取的密钥。认证证书可以校验由TEE执行以校验明文的属性的代码正确。认证证书可以包括公共签名密钥。

在一个实施例中，加密密钥对可以包括Paillier密钥对。签名密钥对可以包括通用关键字密码(RSA)密钥对或椭圆曲线数字签名算法(ECDSA)密钥对中的一者。

在一个实施例中，密文可以包括使用区块链的对等网络上的加密货币交易的加密交易值。明文的属性可以是交易值的范围。所接收的密文可以使用加性同态加密算法进行加密。

在一个实施例中，密文可以是加密字符串，并且明文的属性可以是明文的字符串长度。在另一实施例中，密文可以是明文的哈希值，并且明文的属性可以是等于特定值的哈希值。

图4是根据本公开的示出使用密文校验明文的属性的系统400的实施例的框图。系统400包括与用户艾丽斯404和鲍勃408、校验器412、审计器414以及注册服务器402相关联的计算设备。系统400类似于图1中所描绘的系统100，只是系统400还包括注册服务器402除外。与用户艾丽斯404和鲍勃408相关联的计算设备各自包括相应TEE 406、410。所公开的使用密文校验明文的属性可以分成三个步骤。第一步骤是初始化注册服务器402并向所述注册服务器提供用于对证书进行签名的密钥。此过程仅在建立用于管理区块链的分散式网络时发生一次。第二步骤是注册对等体。注册服务器402向新添加的对等体(例如，艾丽斯404或鲍勃406)颁发证书。此过程仅在对等体首次加入网络时对每一对等体发生一次。第三步骤是广播交易。对等计算设备(例如，艾丽斯404或鲍勃406)生成一个交易，并将所述交易以及在对等体的TEE(例如，TEE 406或TEE 410)内部生成的证明广播到分散式网络的其它对等计算设备(例如，艾丽斯404或鲍勃406)。下文更详细地描述这三个步骤中的每一个。

图5是用于注册服务器初始化的方法500的实施例的图解。在实施例中，注册服务器501包括非安全元件(non-secure element，NSE)注册服务器部分502(例如，REE)和安全元件504。在实施例中，安全元件504是安全硬件。可以仅在安全元件504内部使用安全元件504中的密钥。无法从安全元件504中读出密钥。NSE注册服务器502向安全元件504发起紧急呼叫(ECall)S406以生成例如通用关键字密码(RSA)密钥对的公共-私有密钥对。安全元件504在安全元件504内部生成RSA密钥对(即，私钥sk_RS和公钥pk_RS)，并向其自身颁发自签名证书cert_RS。私钥sk_RS将用于向新对等体颁发证书，并且自签名证书cert_RS将是根证书。自签名证书cert_RS由安全元件504内部的密钥ss_RS＝(cert_RS、标签)进行完整性保护。标签是保护cert_RS的完整性的数据段。对cert_RS的任何改变都可以通过校验标签来检测。保护自签名证书的完整性的密钥cert_RS可以是非对称密钥，也可以是对称密钥。自签名证书cert_RS由密钥进行完整性保护的一个原因是，自签名的签名cert_RS不能保护证书的完整性。安全元件504将完整性保护的自签名数字证书ss_RS返回S508到存储ss_RS的NSE注册服务器502。

图6A和图6B展示用于在分散式网络中注册新对等计算设备的方法600的实施例的图解。方法600包括远程认证。远程认证是可以用来校验在新对等体的计算设备的远端上的TEE中运行的代码是否为正确代码的方法。这是运行TEE的代码的认证过程。方法600包括在新对等体的计算设备602与注册服务器608之间交换消息。对等计算设备602(在下文中被称作对等体602)包括如上文所描述的REE 604和TEE 606。注册服务器608包括NSE注册服务器610和安全元件612。

在步骤S616处开始方法600，其中REE 604向TEE 606注册对等体602的公钥pk_A和私钥sk_A。TEE 606生成密钥对(pk_EnclaveA、sk_EnclaveA)和证书签名请求。私钥sk_EnclaveA将永不离开TEE。此密钥对(pk_EnclaveA、sk_EnclaveA)的目的是在TEE内部校验交易之后对证明进行签名。在步骤S618处，TEE 606将远程认证请求发送到NSE注册服务器610。在步骤S620处，NSE注册服务器610将远程认证请求(对应于从对等体602接收的请求)发送到对等体602的处理器的制造商614，所述制造者可以是但不限于例如Intel^TM。制造商614执行远程认证。TEE 606收集证据(技术上被称为报价)并将其发送到处理器614的制造商(在下文中被称为制造商614)。通过校验报价，制造商614证明TEE 606实际上是一个正确的TEE 606。英特尔614将认证报告返回到注册服务器610。报价含有公钥的信息，并且所述信息将最终进入由制造商614返回的报告中。通过校验制造商的报告，注册服务器610知道其与正确的TEE 606通信，并且由TEE 606生成并保护对应于公钥的私钥。在步骤S622处，制造商614将远程认证成功消息发送到注册服务器610。在步骤S624处，在NSE注册服务器610与TEE 606之间建立安全信道。在步骤S626处，出于完整性保护的目的，TEE 606通过安全信道将包括两个公钥pk_A和pk_EnclaveA的证书请求发送到NSE注册服务器610。响应于证书请求，NSE注册服务器610生成会话ID id和随机数r。在步骤S628处，NSE注册服务器610向TEE 606发送包括会话ID id和随机数r的地址证明请求。响应于地址证明请求，NSE注册服务器610使用A的私钥sk_A以及id和r生成地址证明响应s，其中

是用于生成数字签名的算法。在步骤S630处，TEE 606将地址证明响应s发送到NSE注册服务器610。响应于接收到地址证明响应s，NSE注册服务器610通过校验Hash(pk_A)处于证书签名请求(csr)中而使用pk_A校验s。如果实体希望从CA申请证书，则所述实体会生成csr并将其发送给所述CA。CA校验csr中的信息并基于所述csr生成证书。在步骤S632处，NSE注册服务器610将得到响应消息发送到安全元件612。得到响应消息包括cert_RS、标签和csr。安全元件612校验cert_RS和标签。安全元件612还使用注册服务器的私钥sk_RS对证书cert_EnclaveA进行签名。在步骤S634处，安全元件612将签名的证书cert_EnclaveA和cert_RS返回到TEE 606。在步骤S636处，关闭安全信道。TEE606校验cert_EnclaveA并密封cert_RS、sk_RS和sk_EnclaveA。TEE 606根据ss_A＝Seal(cert_RS,sk_A,sk_EnclaveA)确定ss_A。在步骤S638处，TEE 606将cert_EnclaveA和ss_A返回到REE 604。REE 604存储cert_EnclaveA和ss_A。

图7A和图7B展示根据本公开的用于使用密文验证明文的属性的方法700的实施例的图解，其中明文是加密货币交易值并且要校验的属性是加密货币交易值在给定范围内。方法700描述在计算设备702(在下文中被称作设备702)的REE 704与TEE 706之间的消息流程以及在设备702与印记签署器708之间的消息流程。印记签署器708可与与设备702相同或不同的计算设备相关联。在所描绘的示例中，交易包括将从计算设备702传输到另一计算设备的交易值。然而，所公开的方法700可以应用于其它类型的交易且不限于加密货币交易。在此示例中，密文是使用加密密钥对的私有加密密钥sk_A进行解密的加密交易值。私有加密密钥sk_A存储在仅可由TEE 706访问的计算设备702的安全存储器中。由于解密发生在TEE706中，故私有加密密钥或明文不可由REE 706或任何其它第三方访问。验证结果由签名密钥对的私有签名密钥进行数字签名，所述私有签名密钥存储在计算设备702的安全存储器中且仅可由TEE 706访问。因此，校验器可以简单地使用签名密钥对的签名公钥来校验数字签名，以确认验证结果，且因此确认交易值的属性(例如，交易值在特定范围内)。

方法700始于设备702(例如，转账方)的REE 704获得加密的账户余额β_A。由表达式

给出加密的余额β_A，其中b₀是实际余额并且E是加性同态加密。在步骤S712处，REE 704向TEE 706发送呼叫以确认实际余额b₀大于要转账的金额t。TEE 706加载ss_A并对ss_A进行解封以得到s_kA和sk_EnclaveA。TEE 706对β_A进行解密，b₀＝D_skA，其中D是校验t≥0和b₀≥t的解密。在一方面，TEE 706计算b₁＝b₀–t。在步骤S714处，TEE 706将β′_A、β″_A、τ、τ′和S_EnclaveA返回到REE 704。β′_A是由A的公共加密密钥加密的A 702的新账户余额。β″_A是由审计器的公共加密密钥加密的A 702的新余额。τ是由B的公共加密密钥加密的交易金额。τ′是由审计器的公共加密密钥加密的交易金额。S_EnclaveA是使用签名密钥对的签名私钥的消息的签名。REE704生成交易链式码T，其中T＝(从、T_Oo、β′_A、β″_A、τ、τ′、SEnclaveA)。REE 704然后在T上签名。在步骤S716，REE 704将T、s_A、pk_A和cert_EnclaveA广播到印记签署器REE 708。印记签署器REE 704校验_EnclaveA，校验s_A，校验s_EnclaveA，并校验β_A确实是区块链上的值。印记签署器REE 708校验s_A以确保此交易由A发送。印记签署器REE 708校验cert_EnclaveA以确保证书中的公共签名密钥属于包体A。印记签署器REE 708校验以确保在TEE₇₀₆中生成可信的交易。一旦印记签署器708进行这些校验，所述印记签署器就可以信任证书中的数据。然后，印记签署器REE 708将β′_A和τ追加到区块链。由TEE 706接收的加密密钥对的私钥sk_A对加密的账户余额进行解密。由于解密发生在TEE 706中，故私钥或明文不可由外部恶意第三方访问。由TEE706中的签名密钥对的签名私钥对验证结果进行签名。签名私钥从未暴露于外部。因此，校验器可以简单地校验签名以确认交易的验证。

应了解，本文所提供的实施例方法的一个或多个步骤可以由对应单元或模块执行。例如，信号可以由发送单元或发送模块发送。信号可以由接收单元或接收模块接收。信号可以由处理单元或处理模块处理。其它步骤可以由其它单元或模块执行。相应单元/模块可以是硬件、软件或其组合。例如，单元/模块中的一个或多个单元/模块可以是集成电路，例如现场可编程门阵列(field programmable gate array，FPGA)或专用集成电路(application-specific integrated circuit，ASIC)。应了解，在模块是软件的情况下，它们可以根据需要在单个或多个实例中由处理器按需整体或部分地单独或一起检索以供处理，并且所述模块自身可以包括用于进一步部署和实例化的指令。

所公开的方法和系统提供使用密文来校验明文的属性的通用技术，所述属性是例如数值在范围内、字符串长度，以及等于特定值的哈希值。这些所描述的明文属性示例用于说明的目的。本公开中所描述的通用技术适用于使用密文校验明文的任何其它类型的属性。

虽然已参考说明性实施例描述了本发明，但此描述并不意图以限制性意义来理解。本领域的技术人员在参考所述描述后，将会明白说明性实施例的各种修改和组合以及本发明其它实施例。因此，所附权利要求书意图涵盖任何此类修改或实施例。

Claims (19)

1.一种用于使用密文校验明文的属性的方法，其特征在于，所述方法包括：

计算设备的可信执行环境TEE接收所述密文；

所述TEE使用加密密钥对的私有加密密钥对所述密文进行解密以生成所述明文，所述加密密钥对包括公共加密密钥和所述私有加密密钥；

所述TEE生成校验所述明文的属性的验证结果；

所述TEE通过使用签名密钥对的私有签名密钥对所述验证结果进行加密来生成数字签名的验证结果，所述签名密钥对包括公共签名密钥和所述私有签名密钥，所述私有签名密钥是从所述计算设备的安全存储器检索到的，所述安全存储器仅能够由所述TEE访问；

由所述计算设备发送所述数字签名的验证结果。

2.根据权利要求1所述的方法，其特征在于，所发送的数字签名的验证结果使接收者能够通过使用所述公共签名密钥校验所述数字签名的验证结果来确认所述明文的所述属性。

3.根据权利要求2所述的方法，其特征在于，所述发送包括：

所述计算设备将所述密文和所述数字签名的验证结果发送给所述接收者。

4.根据权利要求1至3任一项所述的方法，其特征在于，进一步包括：

所述TEE获得所述加密密钥对；

所述TEE生成所述签名密钥对；

所述TEE从注册服务器接收认证证书，所述认证证书校验由所述TEE执行以校验所述明文的所述属性的代码正确。

5.根据权利要求1至3任一项所述的方法，其特征在于，进一步包括：

所述计算设备的富执行环境REE将所述加密密钥对提供给所述TEE；

所述TEE生成所述签名密钥对并将所述私有签名密钥存储在所述计算设备的所述安全存储器中；

所述TEE将远程认证请求发送给注册服务器；

所述TEE经由所述TEE与所述注册服务器之间建立的安全信道在证书请求中发送所述公共加密密钥和所述公共签名密钥；

所述TEE从所述注册服务器接收地址证明请求；

所述TEE基于所述私有加密密钥和所述地址证明请求将地址证明响应发送给所述注册服务器；

所述TEE接收所述注册服务器内的安全元件生成的认证证书，所述安全元件包括无法从所述安全元件外部读取的密钥，其中，所述认证证书校验由所述TEE执行以校验所述明文的所述属性的代码正确，所述认证证书包括所述公共签名密钥。

6.根据权利要求1至3任一项所述的方法，其特征在于，所述加密密钥对包括Paillier密钥对，其中，所述签名密钥对包括通用关键字密码密钥对或椭圆曲线数字签名算法（ECDSA）密钥对中的一者。

7.根据权利要求1至3任一项所述的方法，其特征在于，所述密文包括使用区块链的对等网络上的加密货币交易的加密交易值，其中，所述明文的所述属性是所述交易值的范围。

8.根据权利要求1至3任一项所述的方法，其特征在于，所接收的密文是使用加性同态加密算法进行加密的。

9.根据权利要求1至3任一项所述的方法，其特征在于，所述密文是加密字符串，其中，所述明文的所述属性是所述明文的字符串长度。

10.一种用于使用密文校验明文的属性的计算设备，其特征在于，所述计算设备包括：

用于存储指令的存储器存储装置，所述存储器存储装置包括安全存储器和非安全存储器；

与所述存储器存储装置通信的一个或多个处理器，其中，所述一个或多个处理器执行所述指令以进行以下操作：

所述计算设备的可信执行环境TEE接收所述密文；

所述TEE使用加密密钥对的私有加密密钥对所述密文进行解密以生成所述明文，所述加密密钥对包括公共加密密钥和所述私有加密密钥；

所述TEE生成校验所述明文的属性的验证结果；

所述TEE通过使用签名密钥对的私有签名密钥对所述验证结果进行加密来生成数字签名的验证结果，所述签名密钥对包括公共签名密钥和所述私有签名密钥，所述私有签名密钥是从所述计算设备的所述安全存储器检索到的，所述安全存储器仅能够由所述TEE访问；

由所述计算设备发送所述数字签名的验证结果。

11.根据权利要求10所述的计算设备，其特征在于，所发送的数字签名的验证结果使接收者能够通过使用所述公共签名密钥校验所述数字签名的验证结果来确认所述明文的所述属性。

12.根据权利要求11所述的计算设备，其特征在于，所述发送包括：

所述计算设备将所述密文和所述数字签名的验证结果发送给所述接收者。

13.根据权利要求10至12任一项所述的计算设备，其特征在于，所述一个或多个处理器进一步执行所述指令以进行以下操作：

所述TEE获得所述加密密钥对；

所述TEE生成所述签名密钥对；

所述TEE从注册服务器接收认证证书，所述认证证书校验由所述TEE执行以校验所述明文的所述属性的代码正确。

14.根据权利要求10至12任一项所述的计算设备，其特征在于，所述一个或多个处理器进一步执行所述指令以进行以下操作：

所述计算设备的富执行环境REE将所述加密密钥对提供给所述TEE；

所述TEE生成所述签名密钥对并将所述私有签名密钥存储在所述计算设备的所述安全存储器中；

所述TEE将远程认证请求发送给注册服务器；

所述TEE经由在所述TEE与所述注册服务器之间建立的安全信道在证书请求中发送所述公共加密密钥和所述公共签名密钥；

所述TEE从所述注册服务器接收地址证明请求；

所述TEE基于所述私有加密密钥和所述地址证明请求将地址证明响应发送给所述注册服务器；

所述TEE接收所述注册服务器内的安全元件生成的认证证书，所述安全元件包括无法从所述安全元件外部读取的密钥，其中，所述认证证书校验由所述TEE执行以校验所述明文的所述属性的代码正确，所述认证证书包括所述公共签名密钥。

15.根据权利要求10至12任一项所述的计算设备，其特征在于，所述加密密钥对包括Paillier密钥对，其中，所述签名密钥对包括通用关键字密码密钥对或椭圆曲线数字签名算法（ECDSA）密钥对中的一者。

16.根据权利要求10至12任一项所述的计算设备，其特征在于，所述密文包括使用区块链的对等网络上的加密货币交易的加密交易值，其中，所述明文的所述属性是所述交易值的范围。

17.根据权利要求10至12任一项所述的计算设备，其特征在于，所接收的密文是使用加性同态加密算法进行加密的。

18.根据权利要求10至12任一项所述的计算设备，其特征在于，所述密文是加密字符串，并且其中所述明文的所述属性是所述明文的字符串长度。

19.一种计算机可读存储介质，其特征在于，包括存储在其上的指令，所述指令在由计算设备的一个或多个处理器执行时促使所述计算设备执行根据权利要求1至9任一项所述的方法。

Images