CN113556339A - 支持异构tee算力节点交互的隐私计算方法 - Google Patents

Abstract

本发明提出一种支持异构TEE算力节点交互的隐私计算方法，该方法包括：基于远程验证、远程验证代理模块、节点注册机制和异构TEE节点的双向验证机制，构建异构TEE远程验证机制；基于TCP协议建立通信连接、基于protobuf的统一接口层和基于TLS进行加固，建立通信应用层统一接口规范；基于所述异构TEE远程验证机制和所述异构TEE远程验证机制，进行异构TEE平台之间的通信，以使得进行隐私计算。本发明实施例支持异构TEE算力节点统一管理、调度，保证拥有不同TEE架构的数据协作方可正常通过隐私计算平台完成数据协作。

Description

支持异构TEE算力节点交互的隐私计算方法

技术领域

本发明涉及计算机技术领域，尤其涉及一种支持异构TEE算力节点交互的隐私计算方法。

背景技术

可信执行环境(Trusted Execution Environment，简称TEE)是隐私计算的基础硬件环境，不同的硬件厂商推出了不同类型的TEE技术，包括Intel SGX、AMD SEV、ARMTrustZone、国产海光、国产兆芯、国产鲲鹏和国产飞腾等。业界对TEE没有统一的技术规范，原生的TEE计算实例之间无法直接进行交互。而隐私计算系统存在多个TEE节点之间进行跨域数据通信以及并行计算的需求。由于计算协作方来自不同的机构，其内部算力硬件自行建设，会出现多方硬件架构不统一的情况。往往在多个计算协作方中采用了不同的TEE技术，使得隐私计算系统面临着计算节点之间无法正常交互的问题。

目前业界推出的隐私计算系统都无法支持异构的TEE算力在系统中正常交互、统一调度。在无法支持异构TEE算力节点交互的技术条件下，一般的隐私计算系统可能会采用如下方法：

一，隐私计算系统成为中心化服务，所有数据协作方将数据提交到中心化服务后，委托中心化隐私计算服务进行计算，并返回结果。由于中心化计算服务由单家机构提供，所以可以基于相同的TEE架构硬件来构建隐私计算系统。但是由于中心化的隐私计算系统导致无法排除数据是否被服务方沉淀，同时服务方无法验证数据参与方的正确性，会降低隐私计算系统安全性，从而降低各数据协作方的参与意愿。

二，强制要求各个数据协作方统一TEE硬件后再接入隐私计算系统。如此可以避免方法一的问题，但是统一计算硬件势必会带来额外成本，提高了各协同方进行数据协作分析的门槛。在TEE技术没有统一的实现标准前，强制统一硬件在实际业务场景中较难执行。

因此，亟需一种支持异构TEE算力节点交互的隐私计算方法。

发明内容

本发明提供一种支持异构TEE算力节点交互的隐私计算方法，其主要目的在于提供一种支持异构TEE算力节点交互的隐私计算方法。

第一方面，本发明实施例提供一种支持异构TEE算力节点交互的隐私计算方法，包括：

基于远程验证、远程验证代理模块、节点注册机制和异构TEE节点的双向验证机制，构建异构TEE远程验证机制；

基于TCP协议建立通信连接、基于protobuf的统一接口层和基于TLS进行加固，建立通信应用层统一接口规范；

基于所述异构TEE远程验证机制和所述异构TEE远程验证机制，进行异构TEE平台之间的通信，以使得进行隐私计算。

优选地，还包括：所述远程验证包括如下步骤：

第一步：挑战者发起认证请求；

第二步：待认证TEE平台根据自身TEE技术，生成独特的TEE认证报告；

第三步：返回认证报告给挑战者；

第四步：挑战者根据待认证平台的TEE技术类型，校验认证报告；

远程验证在技术上采取的是挑战响应的模式，对于异构TEE，只需根据不同TEE技术的要求，把生成报告和验证报告的逻辑一一对应即可。

优选地，所述远程验证代理模块为隐私计算系统独立出的，由验证代理模块收敛所有远程验证差异化逻辑，其他TEE平台借助所述远程验证代理模块完成与对端的远程验证，使得各个TEE平台不需要特别地兼容异构TEE的认证逻辑。

优选地，所述节点注册机制为在异构TEE节点接入时，需要进行节点注册，具体如下：

异构TEE节点需要首先生成一对用于向所述远程验证代理模块验证身份的公私钥；

异构TEE节点向所述远程远程验证代理模块提供自身的验证报告、元信息以及AK的公钥，获取所述远程验证代理模块根证书以及用于远程验证的AK证书。

优选地，所述异构TEE节点的双向验证机制包括：

挑战者向待认证者发起远程验证；

待认证者随即先生成本地报告，然后把此报告以及TEE类型、nonce值、AK证书、使用AK证书对应的私钥对请求的签名一并发给远程验证代理模块，以此来请求远程验证代理模块对本地报告背书并给出远程验证报告；

远程验证代理模块收到请求后，首先会验证AK证书以及签名，从而确认请求节点的合法性，然后根据TEE类型，调用对应的验证逻辑对本地报告进行验证，最后再使用远程验证代理模块根私钥对本地报告以及nonce签发一个远程验证报告，此报告内包含：远程验证代理模块根证书的签名、本地报告、nonce值，并把此远程验证报告返回给待认证者；

待认证者拿到远程验证代理模块背书的远程验证报告后，使用在节点注册阶段获取的远程验证代理模块根证书验证报告的签名，确认未被篡改，然后把此报告返回给挑战者；

挑战者收到待认证者的远程验证报告后，只需要在本地使用远程验证代理模块根证书验证报告的签名，并确认nonce与之前发给待认证者的一致，即可完成对待认证者的远程验证；

对于待认证者验证挑战者，流程与挑战者验证待认证者基本一致，差异仅在于节点生成本地报告环节以及远程验证代理模块验证报告环节，对于挑战者，生成的报告是海光独有的格式，而远程验证代理模块在验证时，会根据海光的验证逻辑进行验证。

优选地，所述基于TCP协议建立通信连接，包括：

在完成异构TEE双向远程验证后，需要对齐异构TEE的通信协议，通信两端的异构TEE传输层基于TCP协议建立连接。

优选地，所述基于protobuf的统一接口层，包括：

应用层各模块的通信统一都通过protobuf编码的消息传输完成，各模块间共享同一的protobuf接口定义，由protobuf统一编码格式。

优选地，所述基于TLS进行加固，包括：

本系统也启用了TLS层来加固，通信的双方在业务调用前会先进行TLS的握手从中协商出一个用于加密数据的对称密钥，从而构建一个安全的加密通信信道，后续的业务层调用都会在此加密信道上，使用协商的对称密钥交换密文数据。

第二方面，本发明实施例提供一种支持异构TEE算力节点交互的隐私计算系统，包括：

验证模块，用于基于远程验证、远程验证代理模块、节点注册机制和异构TEE节点的双向验证机制，构建异构TEE远程验证机制；

通信模块，用于基于TCP协议建立通信连接、基于protobuf的统一接口层和基于TLS进行加固，建立通信应用层统一接口规范；

计算模块，用于基于所述异构TEE远程验证机制和所述异构TEE远程验证机制，进行异构TEE平台之间的通信，以使得进行隐私计算。

本发明实施例提出的一种支持异构TEE算力节点交互的隐私计算方法，支持异构TEE算力节点统一管理、调度，保证拥有不同TEE架构的数据协作方可正常通过隐私计算平台完成数据协作；异构TEE算力节点之间的交互能够保证与同构TEE算力节点交互相同的安全强度，支持双向动态远程验证，支持通信信道加密，支持应用层数据加密；远程验证过程中集成会话密钥的协商，在保证会话一次一密的安全强度下，有效降低了两端握手通信的交互次数。

附图说明

图1为本发明实施例提供的一种支持异构TEE算力节点交互的隐私计算方法的流程图；

图2为本发明实施例提供的一种远程验证流程模式图；

图3为本发明实施例提供的一种隐私计算系统的架构图；

图4位本发明实施例中异构TEE远程验证交互流程示意图；

图5为本发明实施例提供的一种支持异构TEE算力节点交互的隐私计算系统的结构示意图。

本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

数据已被国家定义为七大生产要素之一，数据分析数据处理能够赋予社会创新价值。数据孤岛引发的安全数据协作需求，催生了隐私计算的使用需求。虽然数据密集型产业中各类企业拥有的数据量大，但数据内容偏单一，同质化严重。建立有效的业务策略模型往往还需要借助其他企业的数据进行联合分析。但由于各方都担心数据在联合分析时会被其他协同方窃取或沉淀，造成数据资产流失，所以不愿采用传统模式分享数据。所以迫切想找到更安全的联合计算方法。隐私计算是一种基于可信执行环境技术的加密计算技术，可信计算根极小，能够保证计算过程密态，且计算数据不被外部泄露。隐私计算是解决上述场景需求的基础技术。

异构TEE兼容方案可以类比为整套系统是由TEE模块构成的微服务，各自模块所完成的功能不变，只是各自有不同的实现语言、系统环境。而模块之间的差异带来的问题，核心是跨TEE间的交互问题。

在同构TEE模块之间的交互主要完成了两个功能：

1、TEE模块之间的互认证，确认对端TEE模块的身份以及通过远程验证确认TEE模块的安全性。

2、根据应用层的API接口进行通信。

同样的，异构TEE兼容方案在不同TEE模块之间的交互也要支持以上两个功能。图1为本发明实施例提供的一种支持异构TEE算力节点交互的隐私计算方法的流程图，该方法包括：

S110，基于远程验证、远程验证代理模块、节点注册机制和异构TEE节点的双向验证机制，构建异构TEE远程验证机制；

S120，基于TCP协议建立通信连接、基于protobuf的统一接口层和基于TLS进行加固，建立通信应用层统一接口规范；

S130，基于所述异构TEE远程验证机制和所述异构TEE远程验证机制，进行异构TEE平台之间的通信，以使得进行隐私计算。

本发明实施例描述的方法主要提供异构TEE远程验证机制和应用层统一接口规范。

第一步：异构TEE远程验证机制，如下：

1、统一远程验证流程，包括如下几个步骤：

a、远程验证RA(RemoteAttestation)是隐私计算中的关键技术之一，提供了一种远程审计设备可信状态的手段。

本方法首先统一远程验证的标准流程如下：

(i)第一步：挑战者发起认证请求。

(ii)第二步：待认证TEE平台根据自身TEE技术，生成独特的TEE认证报告。

(iii)第三步：返回认证报告给挑战者。

(iv)第四步：挑战者根据待认证平台的TEE技术类型，校验认证报告。

图2为本发明实施例提供的一种远程验证流程模式图，如图2所示，远程验证在技术上采取的是挑战响应的模式，对于异构TEE，只需根据不同TEE技术的要求，把生成报告和验证报告的逻辑一一对应即可。

b、引入远程验证代理模块。

由于需要不同的TEE之间互验证，涉及到不同TEE的验证机制。如果不改动系统架构，那么各方的TEE模块都要集成多套验证逻辑。一方面这会造成互验证的工程复杂度提高，另一方面也不利于系统后期维护。若系统需要新增一类TEE节点，那么需要所有TEE节点升级来支持新的TEE远程验证逻辑。

为了解决上述问题，隐私计算系统独立出一个TEE远程验证代理模块validator。由这个模块收敛所有远程验证差异化逻辑，其他TEE端借助validator模块完成与对端的远程验证。使得各个TEE端不需要特别地兼容异构TEE的认证逻辑。

validator本身是由TEE实现的，以此保证其自身验证逻辑的正确性。而各个TEE端在交互通信前，需要向对端发起远程验证。远程验证由validator代理完成，远程验证的结果由validator进行背书确认。

以此改造，图3为本发明实施例提供的一种隐私计算系统的架构图，如图3所示，可以将N(N个节点)乘以N(N套远程验证机制)的工程复杂度压缩到N(N个节点)乘以1(1套远程验证机制)。

c、节点注册机制。

在异构TEE节点接入时，需要进行节点注册。

(i)异构TEE节点需要首先生成一对用于向Validator验证身份的AttestationKey公私钥。

(ii)异构TEE节点向Validator提供自身的验证报告、元信息以及AK的公钥，获取Validator根证书以及用于远程验证的AK证书。

d、异构TEE节点的双向验证机制。

图4为本发明实施例中异构TEE远程验证交互流程示意图，如图4所示，具体的远程验证机制说明如下(以SGX节点与海光CSV节点的双向远程验证为例，本方案可支持主流的计算芯片厂商发布的TEE技术，包括国产海光、国产兆芯、国产飞腾、国产鲲鹏、Intel、AMD、ARM等)：

(i)双向远程验证是两个异构或者同构TEE节点互相进行远程验证的过程，类似于TLS双向认证，以海光节点验证SGX节点的单向认证为例来说明；

(ii)海光节点作为挑战者，向SGX节点发起远程验证，并附加一个随机nonce以防止重放攻击；

(iii)SGX节点随即先生成一份Intel SGX类型的本地报告，然后把此报告以及TEE类型、nonce值、AK证书、使用AK证书对应的私钥对请求的签名一并发给Validator，以此来请求Validator对本地报告背书并给出远程验证报告；

(iv)Validator收到请求后，首先会验证AK证书以及签名，从而确认请求节点的合法性，然后根据TEE类型，调用对应的验证逻辑对本地报告进行验证，最后再使用Validator根私钥对本地报告以及nonce签发一个远程验证报告，此报告内包含：Validator根证书的签名、本地报告、nonce值，并把此远程验证报告返回给SGX节点；

(v)SGX节点拿到Validator背书的远程验证报告后，可以使用在节点注册阶段获取的Validator根证书验证报告的签名，确认未被篡改，然后把此报告返回给挑战者海光节点；

(vi)海光节点收到SGX节点的远程验证报告后，只需要在本地使用Validator根证书验证报告的签名，并确认nonce与之前发给SGX节点的一致，即可完成对SGX节点的远程验证；

(vii)对于SGX节点验证海光节点(图4框3流程块)，流程与海光节点验证SGX节点基本一致，差异仅在于节点生成本地报告环节以及Validator验证报告环节，对于海光节点，生成的报告是海光独有的格式，而Validator在验证时，会根据海光的验证逻辑进行验证。

e、双向远程验证过程中协商应用层加密密钥。

(i)被验证节点在提交本地验证报告给Validator的同时，需要为本次通信会话生成会话公私钥对，并将公钥一并提交给Validator；

(ii)Validator对被验证节点的提交物进行一致性签名校验，确保提交的会话公钥作为本次会话密钥协商的素材；

(iii)在完成上述步骤vii的双向验证后，两端都已拥有对端的会话公钥，以及己方的会话私钥。通过约定的密钥协商算法计算出会话密钥。后续用于应用层数据字段的对称加解密。

2、通信应用层统一接口规范。

a、基于TCP协议建立通信连接。

在完成异构TEE双向远程验证后，需要对齐异构TEE的通信协议。目前上述已知的TEE技术都具备操作TCP套接字的接口。所以通信两端的异构TEE传输层基于TCP协议建立连接。

b、基于protobuf的统一接口层。

应用层各模块的通信统一都通过protobuf编码的消息传输完成。各模块间共享同一的protobuf接口定义。由protobuf统一编码格式，解决语言中立性问题。

c、为了保护通信信道的安全，冲量平台也启用了TLS(SSL)层来加固，通信的双方在业务调用前会先进行TLS的握手从中协商出一个用于加密数据的对称密钥，从而构建一个安全的加密通信信道，后续的业务层调用都会在此加密信道上，使用协商的对称密钥交换密文数据。

本发明实施例提出的一种支持异构TEE算力节点交互的隐私计算方法，支持异构TEE算力节点统一管理、调度，保证拥有不同TEE架构的数据协作方可正常通过隐私计算平台完成数据协作；异构TEE算力节点之间的交互能够保证与同构TEE算力节点交互相同的安全强度，支持双向动态远程验证，支持通信信道加密，支持应用层数据加密；远程验证过程中集成会话密钥的协商，在保证会话一次一密的安全强度下，有效降低了两端握手通信的交互次数；隐私计算系统通过统一的代理验证模块屏蔽异构节点双向验证的差异性和复杂度，可显著降低不同框架TEE节点的适配成本。且可用N(N个节点)乘以1(1套远程验证机制)的工程复杂度快速接入更多不同的TEE架构。

图5为本发明实施例提供的一种支持异构TEE算力节点交互的隐私计算系统的结构示意图，如图5所示，该系统包括：验证模块510、通信模块520和计算模块530，其中：

验证模块510用于基于远程验证、远程验证代理模块、节点注册机制和异构TEE节点的双向验证机制，构建异构TEE远程验证机制；

通信模块520用于基于TCP协议建立通信连接、基于protobuf的统一接口层和基于TLS进行加固，建立通信应用层统一接口规范；

计算模块530用于基于所述异构TEE远程验证机制和所述异构TEE远程验证机制，进行异构TEE平台之间的通信，以使得进行隐私计算。

本实施例为与上述方法相对应的系统实施例，其实施过程与上方方法实施例一致，详情请参考上述方法实施例，本实施例在此不再赘述。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，仅以上述各功能单元、模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能单元、模块完成，即将所述装置的内部结构划分成不同的功能单元或模块，以完成以上描述的全部或者部分功能。

以上所述实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围，均应包含在本发明的保护范围之内。

Claims (9)

1.一种支持异构TEE算力节点交互的隐私计算方法，其特征在于，包括：

基于远程验证、远程验证代理模块、节点注册机制和异构TEE节点的双向验证机制，构建异构TEE远程验证机制；

基于TCP协议建立通信连接、基于protobuf的统一接口层和基于TLS进行加固，建立通信应用层统一接口规范；

基于所述异构TEE远程验证机制和所述异构TEE远程验证机制，进行异构TEE平台之间的通信，以使得进行隐私计算。

2.根据权利要求1所述支持异构TEE算力节点交互的隐私计算方法，其特征在于，所述远程验证包括如下步骤：

第一步：挑战者发起认证请求；

第二步：待认证TEE平台根据自身TEE技术，生成独特的TEE认证报告；

第三步：返回认证报告给挑战者；

第四步：挑战者根据待认证平台的TEE技术类型，校验认证报告；

远程验证在技术上采取的是挑战响应的模式，对于异构TEE，只需根据不同TEE技术的要求，把生成报告和验证报告的逻辑一一对应即可。

3.根据权利要求1所述支持异构TEE算力节点交互的隐私计算方法，其特征在于，所述远程验证代理模块为隐私计算系统独立出的，由验证代理模块收敛所有远程验证差异化逻辑，其他TEE平台借助所述远程验证代理模块完成与对端的远程验证，使得各个TEE平台不需要特别地兼容异构TEE的认证逻辑。

4.根据权利要求1所述支持异构TEE算力节点交互的隐私计算方法，其特征在于，所述节点注册机制为在异构TEE节点接入时，需要进行节点注册，具体如下：

异构TEE节点需要首先生成一对用于向所述远程验证代理模块验证身份的公私钥；

异构TEE节点向所述远程远程验证代理模块提供自身的验证报告、元信息以及AK的公钥，获取所述远程验证代理模块根证书以及用于远程验证的AK证书。

5.根据权利要求3所述支持异构TEE算力节点交互的隐私计算方法，其特征在于，所述异构TEE节点的双向验证机制包括：

挑战者向待认证者发起远程验证；

待认证者随即先生成本地报告，然后把此报告以及TEE类型、nonce值、AK证书、使用AK证书对应的私钥对请求的签名一并发给远程验证代理模块，以此来请求远程验证代理模块对本地报告背书并给出远程验证报告；

远程验证代理模块收到请求后，首先会验证AK证书以及签名，从而确认请求节点的合法性，然后根据TEE类型，调用对应的验证逻辑对本地报告进行验证，最后再使用远程验证代理模块根私钥对本地报告以及nonce签发一个远程验证报告，此报告内包含：远程验证代理模块根证书的签名、本地报告、nonce值，并把此远程验证报告返回给待认证者；

待认证者拿到远程验证代理模块背书的远程验证报告后，使用在节点注册阶段获取的远程验证代理模块根证书验证报告的签名，确认未被篡改，然后把此报告返回给挑战者；

挑战者收到待认证者的远程验证报告后，只需要在本地使用远程验证代理模块根证书验证报告的签名，并确认nonce与之前发给待认证者的一致，即可完成对待认证者的远程验证；

对于待认证者验证挑战者，流程与挑战者验证待认证者基本一致，差异仅在于节点生成本地报告环节以及远程验证代理模块验证报告环节，对于挑战者，生成的报告是所运行TEE独有的格式，而远程验证代理模块在验证时，会根据所运行TEE的验证逻辑进行验证。

6.根据权利要求1至5任一所述支持异构TEE算力节点交互的隐私计算方法，其特征在于，所述基于TCP协议建立通信连接，包括：

在完成异构TEE双向远程验证后，需要对齐异构TEE的通信协议，通信两端的异构TEE传输层基于TCP协议建立连接。

7.根据权利要求1至5任一所述支持异构TEE算力节点交互的隐私计算方法，其特征在于，所述基于protobuf的统一接口层，包括：

应用层各模块的通信统一都通过protobuf编码的消息传输完成，各模块间共享同一的protobuf接口定义，由protobuf统一编码格式。

8.根据权利要求1至5任一所述支持异构TEE算力节点交互的隐私计算方法，其特征在于，所述基于TLS进行加固，包括：

本系统启用了TLS层来加固，通信的双方在业务调用前会先进行TLS的握手从中协商出一个用于加密数据的对称密钥，从而构建一个安全的加密通信信道，后续的业务层调用都会在此加密信道上，使用协商的对称密钥交换密文数据。

9.一种支持异构TEE算力节点交互的隐私计算系统，其特征在于，包括：

验证模块，用于基于远程验证、远程验证代理模块、节点注册机制和异构TEE节点的双向验证机制，构建异构TEE远程验证机制；

通信模块，用于基于TCP协议建立通信连接、基于protobuf的统一接口层和基于TLS进行加固，建立通信应用层统一接口规范；

计算模块，用于基于所述异构TEE远程验证机制和所述异构TEE远程验证机制，进行异构TEE平台之间的通信，以使得进行隐私计算。

Images