CN115277259B - 一种支持隐私计算持久化数据大规模跨平台迁徙的方法 - Google Patents

Abstract

本发明公开了一种支持隐私计算持久化数据大规模跨平台迁徙的方法，借助秘钥管理系统SKMS，基于隐私计算的基本功能可信封存和可信连接，通过向满足要求的平台提供下载链接方式能够实现隐私数据低部署成本、高安全性和高效率下的大规模迁徙，极大提升数据部署、使用灵活性，以及可信封存技术落地性。

Description

一种支持隐私计算持久化数据大规模跨平台迁徙的方法

技术领域

本发明属于隐私技术领域的数据迁移技术，尤其是涉及一种支持隐私计算持久化数据大规模跨平台迁徙的方法。

背景技术

基于CPU层级的隐私计算是近年来兴起的在信息安全领域最前沿的技术之一，它是指基于芯片层级的可信基的可信执行环境，不受系统层, kernel层控制（即拥有一台计算机系统最高管理权限或Kernel层级控制权也无法查看，篡改，控制此安全环境内的数据和运行），从而来保证可信执行环境内数据隐私保护安全性和运行的可信性，相应的技术目前有Intel SGX技术， AMD SEV技术等。芯片层级硬件安全环境相对应的技术(诸如IntelSGX)已经广泛的应用在通用芯片，并集成在在市场上一般通用电脑与服务器上，比如目前英特尔i3,i5,i7笔记本和PC机，基于第三代Xeon芯片的服务器等。

隐私计算有个很重要的功能：可信封存技术，例如Intel SGX sealing技术。可信封存技术可以由CPU硬件通过指令集直接生成唯一秘钥（此秘钥绑定主机硬件），在隐私计算安全区里基于应用enclave来加密隐私数据并持久性落盘。秘钥无法被外界或主机最高权限者获取。此加密数据只能在同一台主机上（因为秘钥绑定主机硬件）由相同的应用enclave (基于SGX MrEnclave)或者同一个应用开发者开发的应用enclave（基于SGXMrSigner）由CPU硬件通过指令集生成同一个解密秘钥来加载、解密、使用。

上述隐私计算的可信封存技术能够很好的确保数据的安全性，但是同时也存在一个很大的缺陷，就是加密好的数据不可灵活的迁移至其它主机。由上所述，因为数据封存封存秘钥sealing key绑定芯片硬件,这就导致了在主机A上某个隐私计算应用相关数据加密落盘后只能由本机加载、解密、使用，而无法迁移至另一台主机直接解密、使用。如果主机A损坏，加密落盘数据将永远无法被解密恢复。所以目前隐私计算可信封存技术（例如IntelSGX Sealing）落地方案不灵活，对用户场景不够友好。申请人查阅了大量资料均没有针对可信封存技术数据大规模迁徙的有效解决方案。

发明内容

本发明的目的是针对上述问题，提供一种支持隐私计算持久化数据大规模跨平台迁徙的方法。

为达到上述目的，本发明采用了下列技术方案：

一种支持隐私计算持久化数据大规模跨平台迁徙的方法，包括以下步骤：

S1.Host0安全区与秘钥管理系统SKMS安全区建立可信连接；Host0为向其他平台分享隐私数据的平台；

S2.Host0安全区基于可信连接发送条目内容包含下载链接、下载链接哈希值以及授权平台信息的映射表至秘钥管理系统SKMS安全区；

Host0发送下载链接哈希值至一个或多个Hosti；Hosti为被分享隐私数据的平台，i=1,2,...,N；

S3.Hosti发送包含自己身份信息的数据签名包至秘钥管理系统SKMS；

S4.秘钥管理系统SKMS安全区基于数据签名包和映射表对Hosti进行授权身份验证，验证通过后与Hosti建立可信连接；

S5.秘钥管理系统SKMS安全区基于可信连接将Hosti所映射到的下载链接发送给相应Hosti安全区，Hosti基于下载链接下载隐私数据；所述的隐私数据为Host0基于隐私计算可信封存技术可信封存的数据；

S6.Hosti基于事先获取的加密秘钥对隐私数据解密，基于隐私计算的可信封存技术对隐私数据进行本地可信封存。

在上述的支持隐私计算持久化数据大规模跨平台迁徙的方法中， Host0可信封存隐私数据时选择可信封存方式为基于MrX； MrX为Mrenclave或Mrsigner，Mrenclave指相同的应用enclave才能解密，Mrsigner指相同的应用开发者开发的应用才能解密，例如基于芯片级隐私计算Intel SGX技术。

在上述的支持隐私计算持久化数据大规模跨平台迁徙的方法中，Hosti的数据签名包通过以下方式生成：

由硬件测量MrX_i：获取应用测量值Mrenclave_i、应用开发者注册信息Mrsigner_i，和硬件标识符pid_i，并由CPU硬件对包含前述三者信息的report进行签名生成数据签名包。

在上述的支持隐私计算持久化数据大规模跨平台迁徙的方法中，步骤S6中，所述的加密秘钥为由Host0提供的用于封存相应隐私数据的封存秘钥Ks，Hosti基于封存秘钥Ks在安全区解密隐私数据，并在隐私计算安全区里调用硬件指令集，如Intel SGX EGETKEY指令得到封存秘钥Ksi，基于封存秘钥Ksi对隐私数据重新加密后封存；

步骤S2中，所述映射表的条目内容还包括封存秘钥Ks以及封存秘钥ID标识符；Host0还发送封存秘钥ID标识符至所述的一个或多个Hosti；

步骤S5中，秘钥管理系统SKMS同时将Hosti所映射到的封存秘钥Ks发送给相应Hosti安全区。

在上述的支持隐私计算持久化数据大规模跨平台迁徙的方法中， Host0可信封存隐私数据时生成相应封存秘钥Ks的ID：Host0_Ks_ID=Host0_pid+TYPE+MrX；

其中，Host0_pid为Host0硬件CPU标识符；

TYPE=1时，MrX为 Mrenclave；TYPE=2时，MrX为 Mrsigner，封存秘钥ID标识符为：Host0_Ks_ID的哈希值Hash(Host0_Ks_ID)。

在上述的支持隐私计算持久化数据大规模跨平台迁徙的方法中，所述的映射表信息如下：

秘钥ID标识符Hash(Host0_Ks_ID)--封存秘钥Ks--被分享隐私数据的平台白名单{pid_t+TYPE_t+MrX_t}--封存加密数据地址{URL}--封存加密数据地址哈希Hash({URL}；

其中pid_t为被允许的其它平台硬件CPU标识符，当pid_t设为0时，表示允许任意硬件平台；

TYPE_t为允许方式，MrX_t为允许方式对应的值；TYPE_t=1时，表示需要校验其它平台上运行的应用MrEnclave符合时才允许；TYPE_t=2时，表示需要校验其它平台上运行的应用MrSigner符合时才允许；TYPE_t=0时，表示无需校验此允许方式。

在上述的支持隐私计算持久化数据大规模跨平台迁徙的方法中，步骤S3中，Hosti发送数据签名包+封存秘钥Ks标识符Hash(Host0_Ks_ID)+ Hash({URL})给秘钥管理系统SKMS；

步骤S4中，秘钥管理系统SKMS验证数据签名包有效性，并从包中提取出Mrenclave_i、Mrsigner_i、TYPE_i以及pid_i，从而得到来自Hosti的Hash(Host0_Ks_ID)+pid_i+TYPE_i+MrX_i(Mrenclave_i或Mrsigner_i) + Hash({URL}，基于映射表验证收到的Hash(Host0_Ks_ID)+pid_i+TYPE_i+MrX_i(Mrenclave_i或Mrsigner_i) + Hash({URL}是否与映射表存在匹配条目，若有，则建立可信连接。

在上述的支持隐私计算持久化数据大规模跨平台迁徙的方法中， Host0可信封存隐私数据时在隐私计算安全区里调用硬件指令集，如Intel SGX EGETKEY得到封存秘钥Ks，基于封存秘钥Ks加密隐私数据落盘存储，存储地址为{URL}；

所述的下载链接为隐私数据的存储地址URL，下载链接哈希值为相应的地址哈希Hash({URL}。

在上述的支持隐私计算持久化数据大规模跨平台迁徙的方法中，步骤S1中，Host0安全区与秘钥管理系统SKMS安全区建立可信连接之前还包括如下步骤：

秘钥管理系统SKMS在隐私计算安全区运行秘钥管理应用App-SKMS；

Host0先与秘钥管理系统SKMS建立TLS连接，秘钥管理系统SKMS安全区应用App-SKMS由硬件测量得到测量值Mrenclave_SKMS，并签名发送给Host0安全区；

Host0基于远程认证机制验证签名有效性，当Mrenclave_SKMS在Host0白名单上时，说明SKMS及其运行的应用是可信的，可进入步骤S1，否则结束运行。

在上述的支持隐私计算持久化数据大规模跨平台迁徙的方法中， 步骤S6中，Hosti对隐私数据可信封存之前先选择隐私数据可信封存方式MrX，TYPE_i=1：为Mrenclave方式 (相同的应用enclave才能解密)或者TYPE_i=2：为Mrsigner方式(相同的应用开发者开发的应用才能解密)；

Host0至所有Hosti数据迁移均成功后，秘钥管理系统SKMS删除所述的映射表。

本发明的优点在于：本方案借助秘钥管理系统SKMS，基于隐私计算的基本功能可信封存和可信连接，通过向满足要求的平台提供下载链接方式能够实现隐私数据低部署成本、高安全性和高效率下的大规模迁徙，极大提升数据部署、使用灵活性，以及可信封存技术落地性。

附图说明

图1为本发明第一个实施例的移植过程执行流程图。

具体实施方式

下面结合附图和具体实施方式对本发明做进一步详细的说明。

如图1所示，下面以情景为Host0上可信封存数据可以大规模移植到其它平台（Host1,Host2…HostN）上解密、落盘、使用为例对本方案的实现过程进行详细介绍：

1）启动封存秘钥管理系统SKMS(Sealing Key Manage Service),在隐私计算SGX中运行秘钥管理应用App-SKMS。此步骤在实际运用时也可以在后面步骤6）处开始执行。

2）主机Host0上运行基于Intel SGX可信执行环境的应用APP (生成APP安全区enclave)，同一主机可以运行多个隐私计算应用。

3）当Host0隐私计算安全区某一应用enclave需要加密隐私数据并持久性落盘时,选择可信封存秘钥生成方式是基于MrX； MrX为Mrenclave (相同的应用enclave才能解密)或Mrsigner(相同的应用开发者开发的应用才能解密)。

4）隐私计算安全区里调用硬件指令集EGETKEY得到封存秘钥Ks，并产生此封存秘钥Ks的ID：Host0_Ks_ID=Host0_pid+TYPE+MrX；其中Host0_pid为Host0硬件CPU标识符；TYPE=1时，MrX为 Mrenclave；TYPE=2时，MrX为 Mrsigner。定义封存秘钥ID标识符为：Host0_Ks_ID的哈希值Hash(Host0_Ks_ID)。

5）在Host0安全区里基于封存秘钥Ks加密隐私数据，落盘并传输至本地或远端，存储地址为{URL},{URL}可以为多个或一个加密数据集。

6）当Host0要把可信封存数据移植到其它平台（Host1,Host2…HostN）时，Host0首先与SKMS建立TLS连接,SKMS可信安全区应用由硬件测量（测量值为Mrenclave_SKMS）并签名发送给Host0可信安全区。

7）Host0基于远程认证机制（例如Intel SGX IAS或Intel SGX DCAP）验证签名有效性，当Mrenclave_SKMS在Host0白名单上时，说明SKMS及其运行的应用是可信的；

8）Host0安全区与SKMS安全区应用建立可信连接（比如基于SGX中RA-TLS机制(https://arxiv.org/ftp/arxiv/papers/1801/1801.05863.pdf)）。

9）从Host0安全区里发送以下映射表信息至SKMS安全区：

秘钥ID标识符Hash(Host0_Ks_ID) --封存秘钥Ks --其他平台白名单{pid_t+TYPE_t+MrX_t}--封存加密数据地址{URL}--封存加密数据地址哈希Hash({URL})。其他平台白名单对应的平台即授权平台，即被分享隐私数据的平台。

其中pid_t为允许的其它平台硬件标识符，当pid_t设为0时，表示允许任意硬件平台；

TYPE_t为允许方式；MrX_t为允许方式对应的值。TYPE_t=1时，表示需要校验其它平台上运行的应用MrEnclave(需要符合测量值的应用)符合时才允许；TYPE_t=2时，表示需要校验其它平台上运行的应用MrSigner(相同的应用开发者开发的应用)符合时才允许；TYPE_t=0时，代表无需校验此允许方式。

10）Host0通知加密封存数据要移植的其它平台Host1,Host2…HostN，发送以下两个信息至Host1,Host2…HostN：封存秘钥ID标识符Hash(Host0_Ks_ID)和封存加密数据地址哈希Hash({URL})。这两个哈希值为非隐私数据，Host0可以通过点对点或广播(Broadcast)的形式通知各个平台。

至此Host0可以下线，不必须保持联网状态。

11）Host_i决定隐私数据加密封存方式MrX，TYPE_i=1：为Mrenclave方式 (相同的应用enclave才能解密)或者TYPE_i=2：为Mrsigner方式(相同的应用开发者开发的应用才能解密)。此步骤可在步骤18）之前任何时候执行。

12）每个要接收封存数据的平台Host_i运行应用在SGX可信环境安全区内，由硬件指令集测量MrX_i:应用测量值(Mrenclave_i)、应用开发者信息(Mrsigner_i)，同时由硬件指令集测量硬件标识符pid_i，并由CPU硬件对包含上述信息的report签名生成数据签名包。

13）Host_i与SKMS建立连接，发送数据签名包+Host_0封存秘钥Ks标识符Hash(Host0_Ks_ID)+ Hash({URL})给SKMS。

14）SKMS基于远程认证机制（Intel SGX IAS或Intel SGX DCAP）验证数据签名包有效性，并从包中提取出Host_i上安全区运行的应用Mrenclave_i、Mrsigner_i、TYPE_i以及Host_i平台硬件标识符pid_i；

SKMS基于之前Host0更新的映射表：

秘钥ID标识符--封存秘钥--其他平台白名单--封存加密数据地址--封存加密数据地址哈希

Hash(Host0_Ks_ID)--Ks--{pid_t+TYPE_t+MrX_t}--{URL}--Hash({URL})

验证从Host_i收到信息：

Hash(Host0_Ks_ID)+pid_i+TYPE_i+MrX_i(Mrenclave_i或Mrsigner_i) + Hash({URL})是否与上表有匹配条目。

15）如有匹配条目，则基于远程认证机制SKMS安全区与Host_i安全区建立可信安全连接并继续下方步骤。如无匹配，发送错误消息（无匹配信息错误码）返回给Host_i，结束执行。

16）基于安全连接SKMS安全区把所匹配条目对应的封存秘钥Ks与封存数据{URL}发送给Host_i安全区，返回格式可以为：

Hash(Host0_Ks_ID) --Ks--{URL}

即通过Hash(Host0_Ks_ID)+pid_i+TYPE_i+MrX_i(Mrenclave_i或Mrsigner_i) +Hash({URL}映射到封存秘钥Ks与封存数据{URL}，如果映射表中不存在与Hash(Host0_Ks_ID)+pid_i+TYPE_i+MrX_i(Mrenclave_i或Mrsigner_i) + Hash({URL}一致的映射条目，则无法映射到封存秘钥Ks与封存数据{URL}。

17）当Host_i收到Ks和{URL}时，在Host_i应用安全区里基于{URL}下载HostO加密封存的数据，并基于Ks在安全区解密得到明文数据。

18）Host_i在隐私计算安全区里启动可信封存程序，调用硬件指令集（如IntelSGX EGETKEY指令，具体根据所采用的隐私计算芯片确定）得到封存秘钥Ksi,使用Ksi重新加密封存上述解密后的数据。

19）Host_i通知SKMS数据迁移成功

当Host_1,Host_2…Host_N都迁移才完成时。SKMS在安全区删除Hash(Host0_Ks_ID) --Ks--{pid_t + TYPE_t + MrX_t}--{URL}--Hash({URL})记录。Ks就算在隐私计算安全区里都全程不落盘。

封存密钥管理系统SKMS是一个密钥管理系统，自身可以运行在可信环境中保证安全，本方案利用该管理系统能够保证密钥安全的同时简化部署成本。

进一步地，上述加密封存秘钥Ks也可以扩展为隐私计算应用其它隐私数据。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (10)

1.一种支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，包括以下步骤：

S1.Host0安全区与秘钥管理系统SKMS安全区建立可信连接；Host0是向其他平台分享隐私数据的平台；

S2.Host0安全区基于可信连接发送条目内容包含下载链接、下载链接哈希值以及授权平台信息的映射表至秘钥管理系统SKMS安全区；

Host0发送下载链接哈希值至一个或多个Hosti；Hosti为被分享隐私数据的平台，i=1,2,...,N；

S3.Hosti发送包含自己身份信息的数据签名包至秘钥管理系统SKMS；

S4.秘钥管理系统SKMS安全区基于数据签名包和映射表对Hosti进行授权身份验证，验证通过后与Hosti建立可信连接；

S5.秘钥管理系统SKMS安全区基于可信连接将Hosti所映射到的下载链接发送给相应Hosti安全区，Hosti基于下载链接下载隐私数据；所述的隐私数据为Host0基于隐私计算可信封存技术可信封存的数据；

S6.Hosti基于事先获取的加密秘钥对隐私数据在安全环境中解密，基于隐私计算的可信封存技术对隐私数据进行本地可信封存。

2.根据权利要求1所述的支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，Host0可信封存隐私数据时选择可信封存方式为基于MrX； MrX为Mrenclave或Mrsigner，Mrenclave指相同的应用enclave才能解密，Mrsigner指相同的应用开发者开发的应用才能解密。

3.根据权利要求2所述的支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，Hosti的数据签名包通过以下方式生成：

由硬件测量MrX_i：获取应用测量值Mrenclave_i、应用开发者信息Mrsigner_i和硬件标识符pid_i，并由CPU硬件对包含前述三者信息的report进行签名生成数据签名包。

4.根据权利要求3所述的支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，步骤S6中，所述的加密秘钥为由Host0提供的用于封存相应隐私数据的封存秘钥Ks，Hosti基于封存秘钥Ks在安全区解密隐私数据，并在隐私计算安全区里调用硬件指令集得到封存秘钥Ksi，基于封存秘钥Ksi对隐私数据重新加密后封存；

步骤S2中，所述映射表的条目内容还包括封存秘钥Ks以及封存秘钥ID标识符；Host0还发送封存秘钥ID标识符至所述的一个或多个Hosti；

步骤S5中，秘钥管理系统SKMS同时将Hosti所映射到的Host0封存秘钥Ks发送给相应Hosti安全区。

5.根据权利要求4所述的支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，Host0可信封存隐私数据时生成相应封存秘钥Ks的ID：Host0_Ks_ID=Host0_pid+TYPE+MrX；

其中，Host0_pid为Host0硬件CPU标识符；

TYPE=1时，MrX为 Mrenclave；TYPE=2时，MrX为 Mrsigner，封存秘钥ID标识符为：Host0_Ks_ID的哈希值Hash(Host0_Ks_ID)。

6.根据权利要求5所述的支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，所述的映射表信息如下：

秘钥ID标识符Hash(Host0_Ks_ID) --封存秘钥Ks--被分享隐私数据的平台白名单{pid_t+TYPE_t+MrX_t}--封存加密数据地址{URL}--封存加密数据地址哈希Hash{URL}；

其中pid_t为被允许的其它平台硬件CPU标识符，当pid_t设为0时，表示允许任意硬件平台；

TYPE_t为允许方式，MrX_t为允许方式对应的值；TYPE_t=1时，表示需要校验其它平台上运行的应用MrEnclave符合时才允许；TYPE_t=2时，表示需要校验其它平台上运行的应用MrSigner符合时才允许；TYPE_t=0时，表示无需校验此允许方式。

7.根据权利要求6所述的支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，步骤S3中，Hosti发送数据签名包+封存秘钥Ks标识符Hash(Host0_Ks_ID) +Hash({URL})给秘钥管理系统SKMS；

步骤S4中，秘钥管理系统SKMS验证数据签名包有效性，并从包中提取出Mrenclave_i、Mrsigner_i、TYPE_i以及pid_i，得到来自Hosti的Hash(Host0_Ks_ID)+pid_i+TYPE_i+MrX_i(Mrenclave_i或Mrsigner_i) + Hash({URL}），基于映射表验证收到的Hash(Host0_Ks_ID)+pid_i+TYPE_i+MrX_i(Mrenclave_i或Mrsigner_i) + Hash({URL}）是否与映射表存在匹配条目，若有，则建立可信连接。

8.根据权利要求3-7任意一项所述的支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，Host0可信封存隐私数据时在隐私计算安全区里调用硬件指令集得到封存秘钥Ks，基于封存秘钥Ks加密隐私数据落盘存储，存储地址为{URL}；

所述的下载链接为隐私数据的存储地址URL，下载链接哈希值为相应的地址哈希Hash{URL}。

9.根据权利要求1-7任意一项所述的支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，步骤S1中，Host0安全区与秘钥管理系统SKMS安全区建立可信连接之前还包括如下步骤：

秘钥管理系统SKMS在隐私计算安全区运行秘钥管理应用App-SKMS；

Host0先与秘钥管理系统SKMS建立TLS连接，秘钥管理系统SKMS安全区应用App-SKMS由硬件测量得到测量值Mrenclave_SKMS，并签名发送给Host0安全区；

Host0基于远程认证机制验证签名有效性，当Mrenclave_SKMS在Host0白名单上时，说明SKMS及其运行的应用是可信的，可进入步骤S1，否则结束运行。

10.根据权利要求1-7任意一下所述的支持隐私计算持久化数据大规模跨平台迁徙的方法，其特征在于，

步骤S6中，Hosti对隐私数据可信封存之前先选择隐私数据可信封存方式MrX，TYPE_i=1：为Mrenclave方式或者TYPE_i=2：为Mrsigner方式；

Host0至所有Hosti数据迁移均成功后，秘钥管理系统SKMS删除所述的映射表。

Images