TW202044087A - 提高區塊鏈網路與外部資料源之間的通信的完整性 - Google Patents

提高區塊鏈網路與外部資料源之間的通信的完整性 Download PDF

Info

Publication number
TW202044087A
TW202044087A TW109110280A TW109110280A TW202044087A TW 202044087 A TW202044087 A TW 202044087A TW 109110280 A TW109110280 A TW 109110280A TW 109110280 A TW109110280 A TW 109110280A TW 202044087 A TW202044087 A TW 202044087A
Authority
TW
Taiwan
Prior art keywords
relay system
data
request
hash value
node
Prior art date
Application number
TW109110280A
Other languages
English (en)
Other versions
TWI737240B (zh
Inventor
余逸榮
Original Assignee
開曼群島商創新先進技術有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from PCT/CN2019/079800 external-priority patent/WO2019120318A2/en
Priority claimed from PCT/CN2019/080478 external-priority patent/WO2019120325A2/en
Application filed by 開曼群島商創新先進技術有限公司 filed Critical 開曼群島商創新先進技術有限公司
Publication of TW202044087A publication Critical patent/TW202044087A/zh
Application granted granted Critical
Publication of TWI737240B publication Critical patent/TWI737240B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/088Usage controlling of secret information, e.g. techniques for restricting cryptographic keys to pre-authorized uses, different access levels, validity of crypto-period, different key- or password length, or different strong and weak cryptographic algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves
    • H04L9/3073Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves involving pairings, e.g. identity based encryption [IBE], bilinear mappings or bilinear pairings, e.g. Weil or Tate pairing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3242Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/42Anonymization, e.g. involving pseudonyms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Mathematical Analysis (AREA)
  • Algebra (AREA)
  • Mathematical Optimization (AREA)
  • Mathematical Physics (AREA)
  • Pure & Applied Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

用於提高區塊鏈網路安全性的方法、系統和裝置,包括編碼在計算機儲存媒體上的計算機程式。實施例包括:生成針對來自資料源的資料的請求,請求包括明文資料和加密資料,加密資料包括存取資料和明文資料的雜湊值;將請求發送到位於區塊鏈網路外部的中繼系統組件;從中繼系統組件接收使用中繼系統組件的私鑰數位地簽名的結果;以及,基於中繼系統組件的公鑰和結果的數位簽名來驗證結果的完整性。

Description

提高區塊鏈網路與外部資料源之間的通信的完整性
本文涉及從外部資料源向區塊鏈網路提供資料。
分布式帳本系統(DLS),也可稱為共識網路及/或區塊鏈網路,使得參與的實體能夠安全地且不可篡改地儲存資料。在不參考任何特定用例的情況下,DLS通常被稱為區塊鏈網路。區塊鏈網路的類型的示例可以包括提供給選擇的實體組的聯盟區塊鏈網路,該實體組控制共識處理,並包括存取控制層。 智慧合約是在區塊鏈網路中執行的程式。在一些示例中,在區塊鏈上運行的智慧合約需要來自區塊鏈外部的輸入以評估預定義規則並執行相應的動作。但是,智慧合約本身不能直接存取外部資料源。因此,可以使用中繼代理來檢索外部資料,並將資料提交給區塊鏈以由智慧合約進行處理。但是,此處理可能導致安全問題,例如安全資訊的洩漏(例如,存取外部資料源可能需要的憑證)。 儘管已經提出了用於解決與從外部資料源檢索資料相關的安全性問題的技術,但是解決所述安全性問題的更有效的解決方案將是有利的。
本文描述了用於從外部資料源檢索用於在區塊鏈網路內進行處理的資料的技術。本文的實施例涉及一種系統,該系統協調從用戶計算設備通過區塊鏈網路到區塊鏈網路外部的基於網際網路的資料源的通信。更具體地,本文的實施例使得用戶計算設備能夠使用用於查詢基於網際網路的資料源的中繼系統節點的公鑰來對存取基於網際網路的資料可能需要的機密資訊進行加密。在一些實施例中,中繼系統節點使用私鑰對回應進行加密,並且該回應由用戶計算設備使用公鑰驗證。在一些實施例中,中繼系統節點執行可信執行環境(TEE),並且通過TEE的認證處理來提供公鑰和私鑰。 本文還提供了耦接到一個或多個處理器並且其上儲存有指令的一個或多個非暫態計算機可讀儲存媒體,當所述指令由所述一個或多個處理器執行時,所述指令將促使所述一個或多個處理器按照本文提供的方法的實施例執行操作。 本文還提供了用於實施本文提供的所述方法的系統。該系統包括一個或多個處理器以及耦接到所述一個或多個處理器並且其上儲存有指令的計算機可讀儲存媒體,當所述指令由所述一個或多個處理器執行時,所述指令將導致所述一個或多個處理器按照本文提供的方法的實施例執行操作。 應瞭解,依據本文的方法可以包括本文描述的方面和特徵的任意組合。也就是說,根據本文的方法不限於本文具體描述的方面和特徵的組合,還包括所提供的方面和特徵的任意組合。 以下在附圖和描述中闡述了本文的一個或多個實施例的細節。根據說明書和附圖以及申請專利範圍,本文的其他特徵和優點將顯現。
本文描述了用於從外部資料源檢索用於在區塊鏈網路內進行處理的資料的技術。本文的實施例涉及一種系統,該系統協調從用戶計算設備通過區塊鏈網路到區塊鏈網路外部的基於網際網路的資料源的通信。更具體地,本文的實施例使得用戶計算設備能夠使用用於查詢基於網際網路的資料源的中繼系統節點的公鑰來對存取基於網際網路的資料可能需要的機密資訊進行加密。在一些實施例中,中繼系統節點使用私鑰對回應進行加密,並且該回應由用戶計算設備使用公鑰驗證。在一些實施例中,中繼系統節點執行可信執行環境(TEE),並且通過TEE的認證處理來提供公鑰和私鑰。 本文中描述的技術產生若干技術效果。例如,本文的實施例確保了用戶計算設備向中繼系統節點提交的用於向區塊鏈網路外部的資料源查詢的請求的完整性。作為另一個示例,本文的實施例確保了從外部資料源提供回區塊鏈網路的回應的完整性。因此,本公開的實施例通過區塊鏈網路提高了用戶計算設備與中繼系統節點之間的通信的完整性。通過這種方式,可以減少惡意用戶的潛在攻擊管道,從而提高安全性。 為本文的實施例提供進一步的背景,如上所述,分布式帳本系統(DLS),其也可以稱為共識網路(例如,由點對點節點組成)和區塊鏈網路,使參與的實體能夠安全地且不可篡改地進行交易和儲存資料。儘管術語“區塊鏈”通常與特定網路及/或用例相關聯,但是在不參考任何特定用例的情況下,本文使用“區塊鏈”來一般地指代DLS。 區塊鏈是以交易不可篡改的方式儲存交易的資料結構。因此,區塊鏈上記錄的交易是可靠且可信的。區塊鏈包括一個或多個區塊。鏈中的每個區塊通過包含在鏈中緊鄰其之前的前一區塊的加密雜湊值(cryptographic hash)鏈接到該前一區塊。每個區塊還包括時間戳、其自身的加密雜湊值以及一個或多個交易。已經被區塊鏈網路中的節點驗證的交易經雜湊處理並編入默克爾(Merkle)樹中。Merkle樹是一種資料結構,在該樹的葉節點處的資料是經雜湊處理的,並且在該樹的每個分支中的所有雜湊值在該分支的根處連接。此過程沿著樹持續一直到整個樹的根,在整個樹的根處儲存了代表樹中所有資料的雜湊值。聲稱是儲存在樹中的交易的雜湊值可以通過確定其是否與樹的結構一致而被快速驗證。 區塊鏈是用於儲存交易的去中心化或至少部分去中心化的資料結構,而區塊鏈網路是通過廣播、驗證和確認交易等來管理、更新和維護一個或多個區塊鏈的計算節點的網路。如上所述,區塊鏈網路可作為公有區塊鏈網路、私有區塊鏈網路或聯盟區塊鏈網路被提供。這裡參考聯盟區塊鏈網路進一步詳細描述了本文的實施例。然而,預期本文的實施例可以在任何適當類型的區塊鏈網路中實現。 通常,聯盟區塊鏈網路在參與實體間是私有的。在聯盟區塊鏈網路中,共識處理由可以被稱為共識節點的授權的節點集控制,一個或多個共識節點由相應的實體(例如,金融機構、保險公司)操作。例如,由十(10)個實體(例如,金融機構、保險公司)組成的聯盟可以操作聯盟區塊鏈網路,每個實體操作聯盟區塊鏈網路中的至少一個節點。 在一些示例中,在聯盟區塊鏈網路內,提供全域區塊鏈作為跨所有節點複製的區塊鏈。也就是說,所有共識節點相對於全域區塊鏈處於完全共識狀態。為了達成共識(例如,同意向區塊鏈添加區塊),共識協定在聯盟區塊鏈網路內實施。例如,聯盟區塊鏈網路可以實施實用拜占庭容錯(Practical Byzantine Fault Tolerance,PBFT)共識,下面將進一步詳細描述。 圖1是示出了可用於執行本文的實施例的環境100的示例的圖示。在一些示例中,環境100使得實體能夠參與至聯盟區塊鏈網路102中。環境100包括計算系統106、108和網路110。在一些示例中,網路110包括區域網(LAN)、廣域網路(WAN)、網際網路或其組合,並且連接網站、用戶設備(例如,計算設備)和後端系統。在一些示例中,可以通過有線及/或無線通信鏈路來存取網路110。在一些示例中,網路110使得能夠與聯盟區塊鏈網路102通信或在聯盟區塊鏈網路102內通信。通常,網路110表示一個或多個通信網路。在一些情況下,計算系統106、108可以是雲端計算系統(未示出)的節點,或者每個計算系統106、108可以是單獨的雲端計算系統,其包括通過網路互連並且用作分布式處理系統的多個計算機。 在所描繪的示例中,計算系統106、108可以各自包括能夠作為節點參與至聯盟區塊鏈網路102中的任何適當的計算設備。計算設備的示例包括(但不限於)伺服器、桌上型電腦、筆記本電腦、平板電腦和智慧手機。在一些示例中,計算系統106、108承載用於與聯盟區塊鏈網路102互動的一個或多個由計算機實施的服務。例如,計算系統106可以承載第一實體(例如,用戶A)的由計算機實施的、例如交易管理系統的服務,第一實體使用該交易管理系統管理其與一個或多個其他實體(例如,其他用戶)的交易。計算系統108可以承載第二實體(例如,用戶B)的由計算機實施的、例如交易管理系統的服務,第二實體使用該交易管理系統管理其與一個或多個其他實體(例如,其他用戶)的交易。在圖1的示例中,聯盟區塊鏈網路102被表示為節點的點對點網路(Peer-to-Peer network),並且計算系統106、108分別提供參與至聯盟區塊鏈網路102中的第一實體和第二實體的節點。 圖2描繪了根據本文的實施例的架構200的示例。示例性概念架構200包括分別對應於參與者A、參與者B和參與者C的參與者系統202、204、206。每個參與者(例如,用戶、企業)參與到作為點對點網路提供的區塊鏈網路212中,該點對點網路包括多個節點214,多個節點214中的至少一些節點將資訊不可篡改地記錄在區塊鏈216中。如本文進一步詳述,儘管在區塊鏈網路212中示意性地描述了單個區塊鏈216,但是在區塊鏈網路212上提供並維護區塊鏈216的多個副本。 在所描繪的示例中,每個參與者系統202、204、206分別由參與者A、參與者B和參與者C提供或代表參與者A、參與者B和參與者C,並且在區塊鏈網路中作為各自的節點214發揮作用。如這裡所使用的,節點通常是指連接到區塊鏈網路212且使相應的參與者能夠參與到區塊鏈網路中的個體系統(例如,計算機、伺服器)。在圖2的示例中,參與者對應於每個節點214。然而,可以預期,一個參與者可以操作區塊鏈網路212內的多個節點214,及/或多個參與者可以共享一個節點214。在一些示例中,參與者系統202、204、206使用協定(例如,超文本傳輸協定安全(HTTPS))及/或使用遠程程序呼叫(RPC)與區塊鏈網路212通信或通過區塊鏈網路212進行通信。 節點214可以在區塊鏈網路212內具有不同的參與程度。例如,一些節點214可以參與共識處理(例如,作為將區塊添加到區塊鏈216的礦工節點),而其他節點214不參與此共識處理。作為另一示例,一些節點214儲存區塊鏈216的完整副本,而其他節點214僅儲存區塊鏈216的部分副本。例如,資料存取特權可以限制相應的參與者在其相應的系統內儲存的區塊鏈資料。在圖2的示例中,參與者系統202、204、206儲存區塊鏈216的相應的完整副本216’、216”和216’”。 區塊鏈(例如,圖2的區塊鏈216)由一系列區塊組成,每個區塊儲存資料。資料的示例包括表示兩個或更多個參與者之間的交易的交易資料。儘管本文通過非限制性示例使用了“交易”,但是可以預期,任何適當的資料可以儲存在區塊鏈中(例如,文檔、影像、視頻、音頻)。交易的示例可以包括(但不限於)有價物(例如,資產、產品、服務、貨幣)的交換。交易資料不可篡改地儲存在區塊鏈中。也就是說,交易資料不能改變。 在將交易資料儲存在區塊中之前,對交易資料進行雜湊處理。雜湊處理是將交易資料(作為字串資料提供)轉換為固定長度雜湊值(也作為字串資料提供)的過程。不可能對雜湊值進行去雜湊處理(un-hash)以獲取交易資料。雜湊處理可確保即使交易資料輕微改變也會導致完全不同的雜湊值。此外,如上所述,雜湊值具有固定長度。也就是說,無論交易資料的大小如何,雜湊值的長度都是固定的。雜湊處理包括通過雜湊函數處理交易資料以生成雜湊值。雜湊函數的示例包括(但不限於)輸出256位雜湊值的安全雜湊算法(SHA)-256。 多個交易的交易資料被雜湊處理並儲存在區塊中。例如,提供兩個交易的雜湊值,並對它們本身進行雜湊處理以提供另一個雜湊值。重複此過程,直到針對所有要儲存在區塊中的交易提供單個雜湊值為止。該雜湊值被稱為Merkle根雜湊值,並儲存在區塊的頭中。任何交易中的更改都會導致其雜湊值發生變化,並最終導致Merkle根雜湊值發生變化。 通過共識協定將區塊添加到區塊鏈。區塊鏈網路中的多個節點參與共識協定,並競相將區塊添加到區塊鏈中。這種節點稱為共識節點。上面介紹的PBFT用作共識協定的非限制性示例。共識節點執行共識協定以將交易添加到區塊鏈,並更新區塊鏈網路的整體狀態。 更詳細地,共識節點生成區塊頭,對區塊中的所有交易進行雜湊處理,並將所得的雜湊值成對地組合以生成進一步的雜湊值,直到為區塊中的所有交易提供單個雜湊值(Merkle根雜湊值)。將此雜湊值添加到區塊頭中。共識節點還確定區塊鏈中最新區塊(即,添加到區塊鏈中的最後一個區塊)的雜湊值。共識節點還向區塊頭添加隨機數(nonce)值和時間戳。 通常,PBFT提供容忍拜占庭故障(例如,故障節點、惡意節點)的實用拜占庭狀態機複製。這通過在PBFT中假設將發生故障(例如,假設存在獨立節點故障及/或由共識節點發送的操縱資訊)而實現。在PBFT中,以包括主共識節點和備共識節點的順序提供共識節點。主共識節點被週期性地改變。通過由區塊鏈網路內的所有共識節點對區塊鏈網路的全域狀態達成一致,將交易添加到區塊鏈中。在該處理中,資訊在共識節點之間傳輸,並且每個共識節點證明資訊是從指定的對等節點(peer node)接收的,並驗證在傳輸期間資訊未被篡改。 在PBFT中,共識協定是在所有共識節點以相同的狀態開始的情況下分多個階段提供的。首先,客戶端向主共識節點發送呼叫服務操作(例如,在區塊鏈網路內執行交易)的請求。反應於接收到請求,主共識節點將請求組播到備共識節點。備共識節點執行請求,並且各自向客戶端發送回復。客戶端等待直到接收到閾值數量的回復。在一些示例中,客戶端等待直到接收到f+1個回復,其中f是區塊鏈網路內可以容忍的錯誤共識節點的最大數量。最終結果是,足夠數量的共識節點就將記錄添加到區塊鏈的順序達成一致,並且該記錄或被接受或被拒絕。 在一些區塊鏈網路中,用密碼學來維護交易的隱私。例如,如果兩個節點想要保持交易隱私,以使得區塊鏈網路中的其他節點不能看出交易的細節,則這兩個節點可以對交易資料進行加密處理。加密處理的示例包括但不限於對稱加密和非對稱加密。對稱加密是指使用單個密鑰既進行加密(從明文生成密文)又進行解密(從密文生成明文)的加密過程。在對稱加密中,同一密鑰可用於多個節點,因此每個節點都可以對交易資料進行加密/解密。 非對稱加密使用密鑰對,每個密鑰對包括私鑰和公鑰,私鑰僅對於相應節點是已知的,而公鑰對於區塊鏈網路中的任何或所有其他節點是已知的。節點可以使用另一個節點的公鑰來加密資料,並且該加密的資料可以使用其他節點的私鑰被解密。例如,再次參考圖2,參與者A可以使用參與者B的公鑰來加密資料,並將加密資料發送給參與者B。參與者B可以使用其私鑰來解密該加密資料(密文)並提取原始資料(明文)。使用節點的公鑰加密的資訊只能使用該節點的私鑰解密。 非對稱加密用於提供數位簽名,這使得交易中的參與者能夠確認交易中的其他參與者以及交易的有效性。例如,節點可以對資訊進行數位簽名,而另一個節點可以根據參與者A的該數位簽名來確認該資訊是由該節點發送的。數位簽名也可以用於確保資訊在傳輸過程中不被篡改。例如,再次參考圖2,參與者A將向參與者B發送資訊。參與者A生成該資訊的雜湊值,然後使用其私鑰加密該雜湊值以提供作為加密雜湊值的數位簽名。參與者A將該數位簽名附加到該資訊上,並將該具有數位簽名的資訊發送給參與者B。參與者B使用參與者A的公鑰解密該數位簽名,並提取雜湊值。參與者B對該資訊進行雜湊處理並比較雜湊值。如果雜湊值相同,參與者B可以確認該資訊確實來自參與者A,且未被篡改。 在一些示例中,在區塊鏈網路內執行的智慧合約需要來自區塊鏈網路外部的輸入以評估預定義規則並執行相應的動作。作為非限制性示例,智慧合約可能需要基於股票報價來做出決策,該股票報價來自區塊鏈網路外部的資料源。作為另一個非限制性示例,智慧合約可能需要基於在區塊鏈網路外部維護的帳戶的帳戶資訊來做出決策。但是,智慧合約本身無法直接查詢外部資料源。 傳統方法包括使用中繼代理來檢索外部資料,並將資料提交到區塊鏈以通過智慧合約進行處理。但是,此過程可能導致安全問題,例如安全資訊的洩漏(例如,存取外部資料源可能需要的憑證)。例如,傳統方法可以使用TEE來證明中繼代理已誠實地執行了指定的查詢請求。但是,由於區塊鏈的開放性,所有查詢請求對於區塊鏈網路中的所有用戶(節點)都是可見的。因此,對於需要對需要存取控制(例如查詢)的外部資料源進行存取的查詢請求,存在權限洩漏的風險。例如,存在請求字串可能被截取、修改和重放,從而導致資訊洩漏或其他問題的風險。 在使用SGX的一種常規方法中,在圍圈(enclave)(圍圈程式)中執行的TA或TA的一部分充當中繼節點,以存取外部資料源。例如,圍圈程式可以將查詢請求(例如,HTTPS請求)發送到基於網際網路的資料源,並且可以將回應提供給發起請求的智慧合約。在一些示例中,提供了隱私欄位功能,該功能可以用於使用圍圈的公鑰對敏感資訊(例如,存取憑證)進行加密。在一些示例中,中繼節點使用圍圈的私鑰對隱私欄位進行解密、呼叫HTTPS客戶端以存取基於網際網路的目標資料源、接收請求的資料並使用私鑰對回傳的資料進行數位簽名。在數位簽名後,資料將被回傳到發起請求的智慧合約。 然而,這種傳統方法具有缺點。直接對隱私欄位進行加密的示例性缺點是具有隱私欄位密文的請求不具有完整性保護。例如,用戶在請求中攜帶加密的API密鑰欄位,以請求基於網際網路的資料源的所有授權資訊。攻擊者可以攔截該通信。儘管攻擊者無法直接解密出API密鑰資訊的明文,但是攻擊者可以修改該請求以使用相同的隱私欄位來構建用於存取資訊的請求,並將其發送到中繼節點。這可能導致敏感資訊(例如憑證)洩漏。 鑒於以上背景,本文的實施例涉及使用中繼系統和TEE來查詢外部資料源(例如,基於網際網路的資料源)。更具體地,如本文中進一步詳細描述的,本文的實施例提供了授權請求完整性檢查,同時保護了敏感資訊(例如,憑證)。以這種方式,如本文中進一步詳細描述的,本文的實施例解決了常規方法的缺點,諸如防止用戶權限洩漏。 圖3是示出了根據本文的實施例的系統300的示例的圖示。如圖所示,系統300包括開發者伺服器302、用戶設備304、中繼系統節點306、認證服務308和網路310(例如,網際網路)。在一些實施例中,使用TEE技術(例如,英特爾SGX)來實現中繼系統節點306。通常,認證服務308為用戶設備304驗證中繼系統節點306的合法性。認證服務的示例包括如上所述的IAS。注意到,僅為了說明目的,系統300被示出為包括一個中繼系統節點306。系統300可以包括任何合適數量的中繼系統節點306。 開發者伺服器302包括任何合適的伺服器、計算機、模組或計算元件,以儲存和處理與中繼系統節點306有關的程式碼及/或資料。例如,開發者伺服器302可以儲存中繼系統節點306的原始碼和測量值(例如,中繼系統節點306的初始狀態的摘要)。如本文所述,開發者伺服器302通信地耦接到用戶設備304。例如,開發者伺服器302可以根據請求將中繼系統節點306的測量值發送到用戶設備304。 用戶設備304包括任何合適的計算機、處理器、模組或計算元件,以使客戶端能夠與開發者伺服器302、中繼系統節點306和認證服務308進行通信。例如,客戶端可以使用用戶設備304以從系統300的其他組件請求資料或服務。用戶設備304可以包括用於客戶端與用戶設備304互動的圖形用戶界面(GUI)。在一些實施例中,用戶設備304從中繼系統節點306請求認證證據320。認證證據320指示中繼系統節點306的合法性(例如,中繼系統節點306是否是可信實體),並且包括測量值322、公鑰324和簽名326。測量值322可以包括中繼系統節點306的初始狀態的摘要(例如,雜湊值)。公鑰324與中繼系統節點306相關聯,並且可以與中繼系統節點306的私鑰一起隨機地生成。簽名326包括測量值322和利用中繼系統節點306的認證密鑰簽名的公鑰324。 在一些實施例中,中繼系統節點306的認證密鑰包括增強的隱私標識(EPID)私鑰。EPID是英特爾(Intel)提供的一種用於認證可信系統同時保護隱私的算法。通常,網路的每個成員(例如,計算機或伺服器)都分配有用於對認證證據進行簽名的EPID私鑰,並且網路中認證證據的驗證者儲存與網路的其他成員的EPID私鑰配對的EPID公鑰。每個成員都可以使用其自己的EPID私鑰生成認證證據的簽名,驗證者可以使用EPID公鑰來驗證其他成員的簽名。這樣,EPID密鑰可用於證明例如計算機或伺服器的設備是真實設備。 中繼系統節點306包括使用TEE技術(例如,英特爾SGX)實現的任何合適的伺服器、計算機、模組或計算元件。中繼系統節點306可以根據來自用戶設備304的請求來生成認證證據320。中繼系統節點306可以接收和處理來自用戶設備304的資料及/或服務請求,並查詢網路310中的外部資料源,例如,啟用HTTPS的網際網路服務。在一些實施例中,中繼系統節點306被提供有公鑰324和與公鑰324配對的私鑰。公鑰324和配對的私鑰可被中繼系統節點306用來對與用戶設備304的通信進行認證和加密。在一些實施例中,中繼系統節點306進一步被提供有用於對認證證據320進行簽名的認證密鑰(例如,EPID私鑰)。用EPID私鑰簽名的認證證據320可以由認證服務308使用EPID公鑰來驗證。 認證服務308包括用於驗證認證證據320的合法性的任何合適的伺服器、計算機、模組或計算元件。如上所述,認證證據320包括中繼系統節點306的測量值322、公鑰324和簽名326。在接收到認證證據320時,認證服務308可以驗證簽名326並生成認證驗證報告(AVR)330。 認證服務308使用認證密鑰(例如,EPID公鑰)來驗證認證證據320中的簽名326。在使用EPID公鑰驗證簽名326之後,認證服務308生成AVR 330,該AVR 330包括認證證據320、指示認證證據320中的簽名326是否有效的驗證結果334、以及認證服務的簽名336。 在一些實施例中,AVR 330包括不包括中繼系統節點310的簽名326的認證證據320。例如,AVR 330可以包括中繼系統節點306的測量值322、公鑰324、驗證結果334和簽名336。在一些實施例中,簽名336包括使用報告簽名密鑰(例如,認證服務312用來對AVR進行簽名的私鑰)簽名的認證證據320和驗證結果334。 在操作中,用戶設備304從開發者伺服器302接收中繼系統節點306的測量值322。用戶設備304查詢中繼系統節點306、接收認證證據320並將認證證據320發送到認證服務308。認證服務308驗證認證證據320,並將AVR發送到用戶設備304。用戶設備304基於AVR 330中的簽名336和測量值322來驗證AVR 330。在成功驗證AVR 330之後,用戶設備304確定中繼系統節點306是可信實體,並註冊(例如,儲存)中繼系統節點306的公鑰324。下面將參考圖4更詳細地討論對認證證據320的驗證。 圖4描繪了根據本文的實施例的信號流400的示例。信號流400表示認證驗證過程。為方便起見,該處理將被描述為由位於一個或多個位置並根據本文被適當地編程的一個或多個計算機的系統執行。例如,被適當編程的分布式系統(圖3的系統300)可以執行該處理。 在圖4的示例中,開發者伺服器302根據來自用戶設備304的請求,將中繼系統節點306的測量值322發送(402)到用戶設備304。例如,用戶設備304可以向開發者伺服器302發送針對一個或多個中繼系統節點306的測量值322的請求。在驗證用戶設備的身份之後,開發者伺服器302可以將請求的測量值322發送到用戶設備304。 用戶設備304向中繼系統節點306發送(404)認證請求(例如,質詢)。認證請求被發送到中繼系統節點306,以請求指示中繼系統節點306的合法性的認證證據320。在一些實施例中,認證證據320包括中繼系統節點306的測量值322、公鑰324和簽名326。 反應於該認證請求,中繼系統節點306生成(406)認證證據320。如上所述,認證證據320指示中繼系統節點306的合法性,並且包括中繼系統節點306的測量值322、公鑰324和簽名326。 在一些實施例中,測量值322可以包括中繼系統節點306的初始狀態的摘要。例如,測量值322可以包括在中繼系統節點306上實現的處理程式碼的雜湊值。公鑰324可以與私鑰一起由中繼系統節點306使用例如,Rivest-Shamir-Adleman(RSA)算法的預定密鑰生成算法隨機生成。在一些示例中,公鑰324被提供在認證證據320中並且被發送到用戶設備304,並且可以被用於用戶設備304與中繼系統節點306之間的未來通信。例如,中繼系統節點306可以使用其私鑰來生成查詢結果的簽名,並且用戶設備304可以使用公鑰324來驗證簽名。認證證據320中的簽名326包括使用中繼系統節點306的認證密鑰(例如,EPID私鑰)簽名的測量值322和公鑰324。 反應於來自用戶設備304的認證請求,中繼系統節點306將如上生成的認證證據320發送(408)到用戶設備304。 用戶設備304將認證證據320從中繼系統節點306轉發(410)到認證服務308。在一些實施例中,用戶設備304將認證驗證請求發送到認證服務308。認證驗證請求包括中繼系統節點306的認證證據320以及一些補充資訊,例如指示中繼系統節點306是否使用SGX平台服務的描述符。 反應於接收到由用戶設備304轉發的認證證據320,認證服務308驗證(412)認證證據320。如所指出的,認證證據320包括中繼系統節點306的測量值322、公鑰324和簽名326。簽名326包括使用中繼系統節點306的認證密鑰(例如,EPID私鑰)簽名的測量值322和公鑰324。認證服務308可以通過使用認證服務308的認證密鑰(例如,EPID公鑰)驗證認證證據320中的簽名326,來驗證認證證據320。 如果認證服務308確定認證證據320中的簽名326有效,則認證服務308確定中繼系統節點306是可信實體。如果認證服務308確定認證證據320中的簽名326無效,則認證服務308確定中繼系統節點306不是可信實體,並且可以拒絕來自中繼系統節點306的任何後續資料和請求。 認證服務308基於對認證證據320的驗證來生成(414) AVR 330。在一些實施例中,AVR 330可以包括認證證據320、認證驗證結果334和認證服務308的數位簽名336。在一些實施例中,AVR 330可以包括不包括中繼系統節點310的簽名326的認證證據320。例如,AVR 330可以包括測量值322、公鑰324、認證驗證結果334和認證服務308的簽名336。 AVR 330中的認證驗證結果334指示認證證據320中的簽名326是否有效。例如,認證驗證結果330可以包括指示認證證據320中的簽名326有效的值“valid”或“OK”,或指示簽名326無效的值“invalid”。 在一些實施例中,AVR 330中的認證服務308的簽名336包括使用報告簽名密鑰進行簽名的認證證據320和認證驗證結果334。報告簽名密鑰可以是認證服務308用來對AVR 330進行簽名的私鑰。在一些實施例中,報告簽名密鑰是認證服務308使用預定的密鑰生成算法生成的。例如,可以使用RSA安全雜湊算法(SHA)256生成報告簽名密鑰。 在一些實施例中,認證服務308將AVR 330發送(416)到用戶設備304。如上所述,AVR 330包括以加密方式簽名的中繼系統節點306的身份驗證報告,並且可以包括認證證據320、認證驗證結果335和認證服務308的數位簽名336。 在一些實施例中,用戶設備304在從認證服務308接收到AVR 330之後驗證(418)AVR 330。例如,用戶設備304可以驗證AVR 330中的認證服務308的簽名336。在一些實施例中,用戶設備304使用報告簽名證書來驗證AVR 330中的簽名336。報告簽名證書可以是X.509數位證書。報告簽名證書可以與認證服務312用來對AVR進行簽名的報告簽名密鑰配對。如果用戶設備304驗證AVR 330中的認證服務308的簽名336有效,則用戶設備304確定AVR 330確實是由認證服務308發送的。如果用戶設備304確定AVR 330中的簽名336無效,則用戶設備304確定AVR 330不是真實的,並且可以拒絕AVR 330。用戶設備304可以進一步檢查AVR 330中的認證驗證結果334,以確定認證證據320中的簽名326是否有效。 在一些實施例中,用戶設備304還將認證證據320中的測量值322與先前從開發者伺服器302獲得的測量值322進行比較,以確定認證證據320是否有效。 反應於確定AVR 330是真實的,用戶設備304將中繼系統節點306註冊(420)為可信實體。例如,如果AVR 330中的測量值322與先前從開發者伺服器302獲得的測量值322匹配、驗證結果334指示簽名326有效及/或簽名336被驗證為有效,則用戶設備304可以認為中繼系統節點306是可信的。用戶設備304可以進一步儲存包括在AVR 330中的認證證據320中的公鑰324。公鑰324將被用戶設備304用來對用戶設備304與中繼系統節點306之間的未來通信進行認證和加密。 圖5是示出了根據本文的實施例的系統500的示例的圖示。如圖所示,系統500包括用戶設備502、區塊鏈504、中繼系統節點510和網路512(例如,網際網路)。在所描繪的示例中,區塊鏈504包括客戶端智慧合約506和中繼系統智慧合約508。在一些實施例中,中繼系統節點510使用TEE技術(例如,英特爾SGX)來實現。通常,用戶設備502請求來自網路512中的資料源的資料,並通過區塊鏈504和中繼系統節點510接收從該資料源檢索到的資料,使得可以驗證該請求和檢索到的資料的完整性。圖5的中繼系統(例如,中繼系統智慧合約508、中繼系統節點510)有助於避免用戶設備502與中繼系統節點之間的直接接觸,從而避免暴露中繼系統節點的位置或接入點。這樣,中繼系統節點不易於被惡意行動者在網路上使用例如分布式拒絕服務(DDoS)攻擊而發現並攻擊。這提高了中繼系統節點的安全性,從而進一步提高了區塊鏈與中繼系統節點之間的通信的安全性。 用戶設備502、中繼系統節點510和網路512可以分別是與圖3中描繪的用戶設備304、中繼系統節點306和網路310相同的組件。客戶端智慧合約506是一種用作鏈外客戶端(例如,用戶設備502)的請求者以請求來自網路512的資料或服務的智慧合約。客戶端智慧合約304通信地耦接到區塊鏈504中的中繼系統智慧合約508。中繼系統智慧合約508包括或用作用於處理和操作在客戶端智慧合約506和中繼系統節點510之間傳輸的資料的應用程式界面(API)。客戶端智慧合約506、中繼系統智慧合約508和中繼系統節點510一起用作中繼系統,以將請求從用戶設備502中繼到網路512,並將請求結果從網路512中繼到用戶設備502。 在操作中,用戶設備502生成請求,該請求將要通過客戶端智慧合約506和中繼系統智慧合約508被中繼到中繼系統節點510。該請求由用戶設備502生成為包括加密的雜湊值,使得中繼系統節點510可以基於該加密的雜湊值來驗證該請求的完整性。下面將參考圖6更詳細地討論對請求的驗證。 圖6描繪了根據本文的實施例的信號流600的示例。信號流600表示根據本公開的實施例的用於驗證被發送到外部資料源的請求的處理。為方便起見,該處理將被描述為由位於一個或多個位置並根據本文被適當地編程的一個或多個計算機的系統執行。例如,被適當編程的分布式系統(例如,圖1的區塊鏈系統100;圖5的系統500)可以執行該處理。 用戶設備502生成(602)針對來自基於網際網路的資料源512的資料或服務的請求。例如,該請求可以是針對客戶端的帳戶的存取請求,並且客戶端可以操作用戶設備502以生成存取請求。存取請求可以包括例如網址的明文部分和例如用戶502的帳戶憑證(例如,用戶名、密碼)的機密資料部分。可以對存取請求中的機密資料部分進行加密,使得網路上的惡意行為者不能獲得用戶帳戶的個人資訊來滲透用戶帳戶。然而,機密資料部分儘管仍被加密,但是仍可以由惡意行為者獲得,並與例如第二網址的不同的明文部分組合。例如,第二網址可以位於第一網址的同一域下,並且加密的機密資料部分可以用於存取第二網址上的客戶端的個人資料(例如,如果客戶端在第二網址上使用與第一網址相同的用戶名和密碼,這樣的攻擊將是成功的)。 如本文所述,本文的實施例通過提高請求的完整性來減少這種攻擊。在一些實施例中,為了提高請求的完整性和個人資料的安全性,由用戶設備502生成的請求包括明文資料元素、以及機密資料元素和明文資料元素的雜湊值的加密組合。例如,用戶設備502可以計算出明文資料元素的雜湊值並且將該雜湊值級聯(concatenate)到機密資料元素。用戶設備502可以進一步使用由中繼系統節點510先前生成併發送給用戶設備502的公鑰來對級聯的雜湊值和機密資料元素進行加密。例如:
Figure 02_image001
其中,R 是由用戶的計算設備向區塊鏈網路發出的請求;P 是明文部分(例如,要查詢的資料源的URL);PKRSN 是查詢資料源的中繼系統節點的公鑰;C 是用於存取資料源的機密資訊(例如,憑證);H 是明文部分P 的雜湊值;以及 ||表示CH 的級聯,該級聯使用PKRSN 來進行加密。 雜湊值和機密資料元素的加密級聯可以由中繼系統節點510使用與公鑰配對的私鑰來解密。 在一些實施例中,用戶設備502使用公鑰分別對雜湊值和機密資料元素進行加密。例如,用戶設備502可以使用公鑰對雜湊值進行加密,並且可以使用公鑰對機密資料元素進行加密。用戶設備502組合(例如,級聯)加密的雜湊值和加密的機密資料元素。例如:
Figure 02_image003
其中, R是由用戶的計算設備向區塊鏈網路發出的請求; P是明文部分(例如,要查詢的資料源的URL); PKRSN 是查詢資料源的中繼系統節點的公鑰; C是用於存取資料源的機密資訊(例如,憑證); H是明文部分P的雜湊值;以及 ||表示加密的C和加密的H的級聯,該加密的C和該加密的H各自使用PKRSN 來進行加密。 級聯的加密的雜湊值和加密的機密資料元素可以由中繼系統節點510使用與公鑰配對的私鑰來解密。 用戶設備502將請求發送(604)到客戶端智慧合約506。例如,用戶設備502可以將請求提交給區塊鏈504,並且區塊鏈504將請求分配給與用戶設備502相關聯的客戶端智慧合約506。在從用戶設備502接收到請求之後,客戶端智慧合約506將請求轉發(606)到中繼系統智慧合約508。在從客戶端智慧合約506接收到請求之後,中繼系統智慧合約508將請求轉發(608)到中繼系統節點510。 在一些實施例中,中繼系統節點510使用中繼系統節點510的私鑰從請求中獲得(610)機密資料元素和明文資料元素的雜湊值。如上所述,請求包括明文資料元素、以及使用中繼系統節點510的公鑰加密的機密資料元素和明文資料元素的雜湊值的組合。中繼系統節點510儲存與用戶設備502用來對請求中的明文資料元素的雜湊值和機密資料元素進行加密的公鑰配對的私鑰。中繼系統節點510可以使用私鑰來解密雜湊值和機密資料元素的加密組合以獲得明文資料元素的雜湊值和機密資料元素。 中繼系統節點510計算(612)請求中的明文資料元素的雜湊值。例如,中繼系統節點510可以獲得請求中的明文資料元素,並且將預定的雜湊函數應用於明文資料元素以計算明文資料元素的雜湊值。中繼系統節點510將在612確定的明文資料元素的雜湊值與在610獲得的明文資料元素的雜湊值進行比較(614)。中繼系統節點510確定兩個雜湊值是否匹配。如果雜湊值匹配,則中繼系統節點510確定請求中的明文資料元素未被篡改。如果兩個雜湊值不匹配,則中繼系統節點510可以確定明文資料元素已被篡改(例如,被惡意行為者篡改)。 中繼系統節點510基於在614執行的兩個雜湊值的比較來驗證(616)該請求是否真實。例如,如果在612處確定的明文資料元素的雜湊值與在610處獲得的明文資料元素的雜湊值匹配,則中繼系統節點510確定該請求是完整的(例如,未被篡改)。如果兩個雜湊值不匹配,則中繼系統節點510確定該請求已被篡改,或者是不完整的。如果中繼系統節點510確定請求是不完整的,則中繼系統節點510可以拒絕該請求,並且不會查詢基於網際網路的資料源512。 在一些實施例中,反應於確定該請求是完整的,中繼系統節點510將該請求發送(618)到基於網際網路的資料源512以獲得請求結果。在一些實施例中,中繼系統節點510構建包括明文資料元素和機密資料元素的新請求,並使用新請求來查詢基於網際網路的資料源512。例如,新請求可以包括:包括用戶設備502要存取帳戶的網址的明文資料元素;以及包括用戶設備502的用於登錄帳戶的憑證(例如,用戶名和密碼)的機密資料元素。在一些示例中,基於網際網路的資料源512處理(620)該請求,並將請求結果回傳(622)到中繼系統節點510。 中繼系統節點510對從基於網際網路的資料源512接收到的請求結果進行簽名(624),並且將簽名的請求結果發送(626)到中繼系統智慧合約508。例如,中繼系統節點510可以生成簽名,該簽名包括使用中繼系統節點510的私鑰簽名的請求結果。中繼系統節點510用於對請求結果進行簽名的私鑰與中繼系統節點510先前用於對請求中的加密機密資料元素和明文資料元素的雜湊值進行解密的私鑰相同。中繼系統節點510可以將簽名與請求結果組合(例如,級聯),並將它們發送到中繼系統智慧合約508。在一些實施例中,中繼系統節點510計算請求結果的雜湊值,並使用中繼系統節點510的私鑰對該雜湊值進行簽名。中繼系統節點510將請求結果與請求結果的簽名的雜湊值組合。以這種方式,用戶設備502可以通過使用其公鑰提取請求結果的雜湊值、計算請求結果的雜湊值並確定兩個雜湊值是否匹配來驗證請求結果,如本文所述。 中繼系統智慧合約508將請求結果轉發(628)到客戶端智慧合約506。客戶端智慧合約506將請求結果提供(630)給用戶設備502。 在一些實施例中,用戶設備502通過使用其公鑰驗證包括在簽名的請求結果中的簽名來驗證(632)簽名的請求。例如,如果簽名的請求結果包括請求結果和請求結果的簽名的雜湊值,則用戶設備502可以使用其公鑰獲得請求結果的雜湊值、計算請求結果的雜湊值並確定兩個雜湊值是否匹配。如果兩個雜湊值匹配,則用戶設備502確定請求結果有效。如果兩個雜湊值不匹配,則用戶設備502確定請求結果無效,並且可以拒絕該請求結果。 圖7描繪了可根據本文的實施例執行的處理700的示例。在一些實施例中,示例性處理700可使用一個或多個計算機可執行程式來執行,所述一個或多個計算機可執行程式使用一個或多個計算設備來執行。在一些示例中,處理700可以由中繼系統執行,用於檢索區塊鏈網路(例如,圖5的客戶端智慧合約506、中繼系統智慧合約508和中繼系統節點510)外部的資料。 接收請求(702)。例如,圖5的中繼系統節點510接收源自圖5的用戶設備502的請求。在一些示例中,如本文所述,用戶設備502生成包括第一部分和第二部分的請求,第一部分包括明文資料,而第二部分包括加密資料,加密資料包括存取資料和第一雜湊值,第一雜湊值作為明文資料的雜湊值是使用中繼系統節點510的公鑰而生成的。客戶端智慧合約506和中繼系統智慧合約508將請求轉發到中繼系統節點510。 確定明文(704)。例如,中繼系統節點510使用其私鑰對加密的資料進行解密以確定第一雜湊值(作為明文)。計算雜湊值(706)。例如,中繼系統節點510處理第一部分的明文資料以提供第二雜湊值。確定請求是否有效(708)。例如,中繼系統節點510比較第一雜湊值和第二雜湊值。如果第一雜湊值與第二雜湊值相同,則該請求有效。即,確定請求的完整性是完整的。如果第一雜湊值與第二雜湊值不同,則該請求無效。即,確定請求的完整性已經受到損害。如果該請求無效,則指示錯誤(710),並且示例性處理700結束。 如果該請求有效,則將查詢發送到資料源(712)。例如,中繼系統節點510構建查詢(例如,新請求),該查詢包括其已接收到的請求(例如,原始請求)的明文資料元素和機密資料元素。例如,新請求可以包括:包括用戶設備502要存取帳戶的網址的明文資料元素;以及包括用戶設備502的用於登錄帳戶的憑證(例如,用戶名和密碼)的機密資料元素。中繼系統節點510使用該查詢來查詢基於網際網路的資料源512。 從資料源接收結果(714)。在一些示例中,基於網際網路的資料源512處理該請求,並將請求結果(例如,資料值)回傳到中繼系統節點510。準備回應(716),並且發送回應(718)。例如,中繼系統節點510可以生成簽名,該簽名包括使用中繼系統節點510的私鑰簽名的請求結果。中繼系統節點510使用對請求結果進行簽名的私鑰與中繼系統節點510先前用來對原始請求中的加密資料進行解密的私鑰相同。中繼系統節點510可以將簽名與請求結果組合(例如,級聯),並將它們發送到中繼系統智慧合約508。在一些實施例中,中繼系統節點510計算請求結果的雜湊值,並使用私鑰對該雜湊值進行簽名。中繼系統節點510將請求結果與請求結果的簽名的雜湊值組合。 計算雜湊值(720)。例如,用戶設備502基於請求結果來計算雜湊值(例如,資料值)。確定回應是否有效(722)。例如,用戶設備502使用公鑰獲得請求結果的雜湊值,並確定該雜湊值是否與計算出的雜湊值匹配。如果兩個雜湊值匹配,則用戶設備502確定請求結果有效。如果兩個雜湊值不匹配,則用戶設備502確定請求結果無效,並且可以拒絕該請求結果。如果該請求無效,則指示錯誤(724),並且示例過程700結束。如果請求有效,則請求結果的完整性是完整的,並且將請求結果提供給用戶設備502以進行進一步處理。 圖8描繪了根據本文的實施例的裝置800的模組的示例。裝置800可以是用戶計算設備的示例實施例。在一些示例中,用戶計算設備向區塊鏈網路外部的中繼系統的一個或多個組件發佈請求並從其接收回應,並且查詢在區塊鏈網路外部的資料源。 設備800可以對應於上述實施例,並且設備800包括以下:生成模組802,其生成針對來自資料源的資料的請求,該請求包括第一部分和第二部分,第一部分包括明文資料,而第二部分包括加密資料,加密資料包括存取資料和第一雜湊值,該第一雜湊值是由提交請求的用戶計算設備生成為明文資料的雜湊值;發送模組804,將請求發送至區塊鏈網路外部的中繼系統組件;接收模組806,其從中繼系統組件接收結果,該結果包括結果資料和第二雜湊值,結果資料是使用存取資料檢索的,第二雜湊值基於結果資料生成並使用中繼系統組件的私鑰進行數位簽名;驗證模組808,其基於中繼系統組件的公鑰、結果的數位簽名和第二雜湊值來驗證結果的完整性。 在先前實施例中示出的系統、裝置、模組或單元可以通過使用計算機晶片或實體來實現,或者可以通過使用具有特定功能的產品來實現。典型的實施例設備是計算機,計算機可以是個人計算機、膝上型計算機、蜂巢式電話、相機電話、智慧手機、個人數位助理、媒體播放器、導航設備、電子郵件收發設備、遊戲控制台、平板計算機、可穿戴設備或這些設備的任意組合。 對於裝置中每個模組的功能和作用的實施例處理,可以參考前一方法中相應步驟的實施例處理。為簡單起見,這裡省略了細節。 由於裝置實施例基本上對應於方法實施例,對於相關部分,可以參考方法實施例中的相關描述。先前描述的裝置實施例僅是示例。被描述為單獨部分的模組可以是或不是物理上分離的,並且顯示為模組的部分可以是或不是物理模組,可以位於一個位置,或者可以分佈在多個網路模組上。可以基於實際需求來選擇一些或所有模組,以實現本文方案的目標。本領域的普通技術人員無需付出創造性勞動就能理解和實現本申請的實施例。 再次參見圖8,它可以被解釋為示出了區塊鏈資料檢索裝置的內部功能模組和結構。區塊鏈資料檢索裝置可以是用戶計算設備的示例。執行主體本質上可以是電子設備,並且該電子設備包括以下:一個或多個處理器;以及被配置為儲存一個或多個處理器的可執行指令的一個或多個計算機可讀記憶體。在一些實施例中,一個或多個計算機可讀記憶體耦接至一個或多個處理器且其上儲存有編程指令,所述編程指令能夠由所述一個或多個處理器執行以執行如本文中所述的算法、方法、函數、處理、流程和程式。 本文描述的技術產生了一個或多個技術效果。在一些實施例中,確保了由用戶計算設備向中繼系統節點提交的用於查詢區塊鏈網路外部的資料源的請求的完整性。在一些實施例中,確保了從外部資料源提供回區塊鏈網路的回應的完整性。因此,本公開的實施例通過區塊鏈網路提高了用戶計算設備與中繼系統節點之間的通信的完整性。通過這種方式,可以減少惡意用戶潛在的攻擊管道,從而提高安全性。 所描述的主題的實施例可以包括單獨或組合的一個或多個特徵。反應於接收到請求,中繼系統組件使用私鑰對加密的資料進行解密以提供第一雜湊值,基於包括在請求中的明文資料計算雜湊值,以及將第一雜湊值與該雜湊值進行比較,以驗證明文資料不存在任何更改;反應於驗證請求,中繼系統組件向資料源發送查詢請求;中繼系統組件包括中繼系統節點,該中繼系統節點接收來自在區塊鏈網路內執行的中繼系統智慧合約的請求;明文資料包括資料源的統一資源定位符(URL);中繼系統組件執行可信執行環境(TEE),並且中繼系統組件的私鑰和公鑰是在TEE的認證處理期間提供的;用戶計算設備通過中繼系統節點和認證服務執行認證處理;以及資料源包括基於網際網路的資料源。 本文中描述的主題、動作以及操作的實施例可以在數位電子電路、有形體現的計算機軟體或韌體、計算機硬體中實現,包括本文中公開的結構及其結構等同物,或者它們中的一個或多個的組合。本文中描述的主題的實施例可以實現為一個或多個計算機程式,例如,一個或多個計算機程式指令模組,編碼在計算機程式載體上,用於由資料處理裝置執行或控制資料處理裝置的操作。例如,計算機程式載體可以包括一個或多個計算機可讀儲存媒體,其上編碼或儲存有指令。載體可以是有形的非暫態計算機可讀媒體,諸如磁碟、磁光碟或光碟、固態驅動器、隨機存取記憶體(RAM),唯讀記憶體(ROM)或其他類型的媒體。可選地或附加地,載體可以是人工生成的傳播信號,例如,機器生成的電、光或電磁信號,其被生成來編碼資訊用於傳輸到合適的接收器裝置以供資料處理裝置執行。計算機儲存媒體可以是或可以部分是可機讀儲存設備、可機讀儲存基板、隨機或串行存取記憶體設備或它們中的一個或多個的組合。計算機儲存媒體不是傳播信號。 計算機程式也可以被稱為或描述為程式、軟體、軟體應用程式、app、模組、軟體模組、引擎、腳本或程式碼,可以以任何形式的編程語言編寫,包括編譯或演繹性語言、說明或程式性語言;它可以配置為任何形式,包括作為獨立程式,或者作為模組、組件、引擎、子程式或適合在計算環境中執行的其他單元,該環境可包括由通信資料網路互聯的在一個或多個位置的一台或多台計算機。 計算機程式可以但非必須對應於文件系統中的文件。計算機程式可以儲存在:保存其他程式或資料的文件的一部分中,例如,儲存在標記語言文檔中的一個或多個腳本;專用於所討論的程式的單個文件;或者多個協調文件,例如,儲存一個或多個模組、子程式或程式碼部分的多個文件。 用於執行計算機程式的處理器包括:例如,通用和專用微處理器兩者,和任意種類的數位計算機的任意一個或多個處理器。通常,處理器將接收用於執行的計算機程式的指令以及來自耦接至處理器的非暫態計算機可讀媒體的資料。 術語“資料處理裝置”包括用於處理資料的所有類型的裝置、設備和機器,包括例如可編程處理器、計算機或者多處理器或計算機。資料處理裝置可以包括專用邏輯電路,例如FPGA(現場可編程閘陣列)、ASIC(專用積體電路)或GPU(圖形處理單元)。除了硬體,該裝置還可以包括為計算機程式創建執行環境的程式碼,例如,構成處理器韌體、協定堆疊、資料庫管理系統、操作系統或者它們中一個或多個的組合的程式碼。 本文中描述的處理和邏輯流程可由一台或多台計算機或處理器執行一個或多個計算機程式進行,以進行通過對輸入資料進行運算並生成輸出的操作。處理和邏輯流程也可以由例如FPGA、ASIC、GPU等的專用邏輯電路或專用邏輯電路與一個或多個編程計算機的組合來執行。 適合於執行計算機程式的計算機可以基於通用及/或專用微處理器,或任何其他種類的中央處理單元。通常,中央處理單元將從只讀記憶體及/或隨機存取記憶體接收指令和資料。計算機的元件可包括用於執行指令的中央處理單元以及用於儲存指令和資料的一個或多個記憶體設備。中央處理單元和記憶體可以補充有專用邏輯電路或整合在專用邏輯電路中。 通常,計算機還將包括或可操作地耦接至一個或多個儲存設備,以從一個或多個儲存設備接收資料或將資料傳輸到一個或多個儲存設備。儲存設備可以是例如,磁碟、磁光碟或光碟、固態驅動器或任何其他類型的非暫態計算機可讀媒體。但是,計算機不需要這樣的設備。因此,計算機可以耦接至諸如一個或多個記憶體的、本地的及/或遠程的一個或多個儲存設備。例如,計算機可以包括作為計算機積體組件的一個或多個本地記憶體,或者計算機可以耦接至處於雲網路中的一個或多個遠程記憶體。此外,計算機可嵌入在另一個設備中,例如行動電話、個人數位助理(PDA)、行動音頻或視頻播放器、遊戲控制台、全球定位系統(GPS)接收器或便攜式儲存設備,例如,通用串行匯流排(USB)閃存驅動器,這裡僅舉幾例。 組件可以通過例如直接地或通過一個或多個中間組件彼此電連接或光學連接通信地彼此“耦接”。如果其中一個組件整合到另一個組件中,組件也可以彼此“耦接”。例如,整合到處理器(例如,L2緩存組件)中的儲存組件“耦接到”處理器。 為了提供與用戶的互動,本文中描述的主題的實施例可以在計算機上實現或配置為與該計算機通信,該計算機具有:顯示設備,例如,LCD(液晶顯示器)監視器,用於向用戶顯示資訊;以及輸入設備,用戶可以通過該輸入設備向該計算機提供輸入,例如鍵盤和例如滑鼠、軌跡球或觸摸板等的指針設備。其他類型的設備也可用於提供與用戶的互動;例如,提供給用戶的反饋可以是任何形式的感官反饋,例如視覺反饋、聽覺反饋或觸覺反饋;並且可以接收來自用戶的任何形式的輸入,包括聲音、語音或觸覺輸入。此外,計算機可以通過向用戶使用的設備發送文檔和從用戶使用的設備接收文檔來與用戶互動;例如,通過向用戶設備上的web瀏覽器發送web頁面以回應從web瀏覽器收到的請求,或者通過與例如智慧電話或電子平板電腦等的用戶設備上運行的應用程式(app)進行互動。此外,計算機可以通過向個人設備(例如,運行資訊應用程式的智慧手機)輪流發送文本資訊或其他形式的資訊,並接收來自用戶的回應資訊來與用戶互動。 本說明書使用與系統、裝置和計算機程式組件有關的術語“配置為”。對於被配置為執行特定操作或動作的一個或多個計算機的系統,意味著系統已經在其上安裝了在運行中促使該系統執行所述操作或動作的軟體、韌體、硬體或它們的組合。對於被配置為執行特定操作或動作的一個或多個計算機程式,意味著一個或多個程式包括當被資料處理裝置執行時促使該裝置執行所述操作或動作的指令。對於被配置為執行特定操作或動作的專用邏輯電路,意味著該電路具有執行所述操作或動作的電子邏輯。 雖然本文包含許多具體實施例細節,但是這些不應被解釋為由申請專利範圍本身限定的對要求保護的範圍的限制,而是作為對特定實施例的具體特徵的描述。在本文多個單獨實施例的上下文中描述的多個特定特徵也可以在單個實施例中的組合實現。相反,在單個實施例的上下文中描述的各種特徵也可以單獨地或以任何合適的子組合在多個實施例中實現。此外,儘管上面的特徵可以描述為以某些組合起作用並且甚至最初如此要求保護,但是在一些情況下,可以從要求保護的組合中刪除來自該組合的一個或多個特徵,並且可以要求保護指向子組合或子組合的變體。 類似地,雖然以特定順序在附圖中描繪了操作並且在申請專利範圍中敘述了操作,但是這不應該被理解為:為了達到期望的結果,要求以所示的特定順序或依次執行這些操作,或者要求執行所有示出的操作。在一些情況下,多任務並行處理可能是有利的。此外,上述實施例中的各種系統模組和組件的劃分不應被理解為所有實施例中都要求如此劃分,而應當理解,所描述的程式組件和系統通常可以一起整合在單個軟體產品或者打包成多個軟體產品。 已經描述了主題的特定實施例。其他實施例在以下申請專利範圍的範圍內。例如,申請專利範圍中記載的動作可以以不同的順序執行並且仍然實現期望的結果。作為一個示例,附圖中描繪的過程無需要求所示的特定順序或次序來實現期望的結果。在一些情況下,多任務和平行處理可能是有利的。
100:環境 102:聯盟區塊鏈網路 106:計算系統 108:計算系統 110:網路 200:架構 202:參與者系統 204:參與者系統 206:參與者系統 212:區塊鏈網路 214:節點 216:區塊鏈 216’:完整副本 216”:完整副本 216”’:完整副本 300:系統 302:開發者伺服器 304:用戶設備 306:中繼系統節點 308:認證服務 310:網路 320:認證證據 322:測量值 324:公鑰 326:簽名 330:認證驗證報告 334:驗證結果 336:簽名 500:系統 502:用戶設備 504:區塊鏈 506:客戶端智慧合約 508:中繼系統智慧合約 510:中繼系統節點 512:網路 800:裝置 802:生成模組 804:發送模組 806:接收模組 808:驗證模組
[圖1] 是示出了可用於執行本文的實施例的環境示例的圖示。 [圖2] 是示出了根據本文的實施例的概念性架構示例的圖示。 [圖3] 是示出了根據本文的實施例的系統示例的圖示。 [圖4] 是示出了根據本文的實施例的處理示例的信號流。 [圖5] 是示出了根據本文的實施例的系統示例的圖示。 [圖6] 是示出了根據本文的實施例的處理示例的信號流。 [圖7] 是示出了可根據本文的實施例執行的處理示例的流程圖。 [圖8] 是示出了根據本文的實施例的裝置的模組示例的圖示。 各附圖中相同的附圖標記和名稱表示相同的元件。
300:系統
302:開發者伺服器
304:用戶設備
306:中繼系統節點
308:認證服務
310:網路
320:認證證據
322:測量值
324:公鑰
326:簽名
330:認證驗證報告
334:驗證結果
336:簽名

Claims (10)

  1. 一種計算機實現的用於從位於區塊鏈網路外部的資料源檢索資料的方法,該方法包括: 由用戶計算設備生成針對該資料源的資料的請求,該請求包括第一部分和第二部分,該第一部分包括明文資料,該第二部分包括加密資料,該加密資料包括存取資料和第一雜湊值,該第一雜湊值是由該用戶計算設備作為該明文資料的雜湊值而生成的; 由該用戶計算設備將該請求發送至位於該區塊鏈網路外部的中繼系統組件; 由該用戶計算設備從該中繼系統組件接收結果,該結果包括結果資料和第二雜湊值,該結果資料是使用該存取資料檢索的,該第二雜湊值基於該結果資料生成並使用該中繼系統組件的私鑰被數位地簽名;以及 由該用戶計算設備基於該中繼系統組件的公鑰、該結果的數位簽名以及該第二雜湊值驗證該結果的完整性。
  2. 如請求項1所述的方法,其中,反應於接收到該請求,該中繼系統組件: 使用該私鑰對該加密資料進行解密,以提供該第一雜湊值; 基於包括在該請求中的該明文資料計算雜湊值;以及 將該第一雜湊值與該雜湊值進行比較,以驗證該明文資料沒有任何更改。
  3. 如請求項1所述的方法,其中,反應於驗證該請求,該中繼系統組件將查詢請求發送至該資料源。
  4. 如請求項1所述的方法,其中,該中繼系統組件包括中繼系統節點,該中繼系統節點接收從在該區塊鏈網路內執行的中繼系統智慧合約接收該請求。
  5. 如請求項1所述的方法,其中,該明文資料包括該資料源的統一資源定位符URL。
  6. 如請求項1所述的方法,其中, 該中繼系統組件執行可信執行環境TEE,並且 該中繼系統組件的該私鑰和該公鑰是在該TEE的認證處理期間提供的。
  7. 如請求項1所述的方法,其中,該用戶計算設備利用該中繼系統節點和認證服務執行該認證處理。
  8. 如前述任一項請求項所述的方法,其中,該資料源包括基於網際網路的資料源。
  9. 一種用於從位於區塊鏈網路外部的資料源檢索資料的裝置,該裝置包括用於執行請求項1至8中任一項所述的方法的多個模組。
  10. 一種系統,包括: 一個或多個處理器;以及 耦接到該一個或多個處理器且其上儲存有指令的一個或多個計算機可讀記憶體,該指令能由所述一個或多個處理器執行以執行請求項1至8中任一項所述的方法。
TW109110280A 2019-03-27 2020-03-26 提高區塊鏈網路與外部資料源之間的通信的完整性 TWI737240B (zh)

Applications Claiming Priority (6)

Application Number Priority Date Filing Date Title
PCT/CN2019/079800 WO2019120318A2 (en) 2019-03-27 2019-03-27 Retrieving public data for blockchain networks using highly available trusted execution environments
WOPCT/CN2019/079800 2019-03-27
WOPCT/CN2019/080478 2019-03-29
PCT/CN2019/080478 WO2019120325A2 (en) 2019-03-29 2019-03-29 Retrieving access data for blockchain networks using highly available trusted execution environments
PCT/CN2019/096032 WO2019179542A2 (en) 2019-03-27 2019-07-15 Improving integrity of communications between blockchain networks and external data sources
WOPCT/CN2019/096032 2019-07-15

Publications (2)

Publication Number Publication Date
TW202044087A true TW202044087A (zh) 2020-12-01
TWI737240B TWI737240B (zh) 2021-08-21

Family

ID=67988428

Family Applications (3)

Application Number Title Priority Date Filing Date
TW109110280A TWI737240B (zh) 2019-03-27 2020-03-26 提高區塊鏈網路與外部資料源之間的通信的完整性
TW109110282A TWI734426B (zh) 2019-03-27 2020-03-26 使用可信執行環境檢索區塊鏈網路的公開資料
TW109110281A TWI730692B (zh) 2019-03-27 2020-03-26 提高區塊鏈網路與外部資料源之間的通信的完整性

Family Applications After (2)

Application Number Title Priority Date Filing Date
TW109110282A TWI734426B (zh) 2019-03-27 2020-03-26 使用可信執行環境檢索區塊鏈網路的公開資料
TW109110281A TWI730692B (zh) 2019-03-27 2020-03-26 提高區塊鏈網路與外部資料源之間的通信的完整性

Country Status (6)

Country Link
US (4) US10803205B1 (zh)
EP (3) EP3673617B1 (zh)
CN (4) CN115967534A (zh)
SG (3) SG11202001944UA (zh)
TW (3) TWI737240B (zh)
WO (3) WO2019179541A2 (zh)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11139956B2 (en) 2018-05-24 2021-10-05 Dapper Labs Inc. Decentralized computation system architecture based on node specialization
US11184437B2 (en) 2018-05-24 2021-11-23 Dapper Labs Inc. Decentralized computation system architecture based on node specialization
SG11202001944UA (en) 2019-03-27 2020-04-29 Alibaba Group Holding Ltd Improving integrity of communications between blockchain networks and external data sources
US11379785B2 (en) 2019-03-28 2022-07-05 Ebay Inc. Decentralized shipping network using blockchains
US11159326B1 (en) * 2019-08-29 2021-10-26 Hiro Systems Pbc Client-side authentication system and associated method
US11444878B2 (en) * 2019-09-04 2022-09-13 Yahoo Ad Tech Llc Intelligent dataflow-based service discovery and analysis
US11288380B2 (en) 2019-10-14 2022-03-29 Oracle International Corporation Securely sharing selected fields in a blockchain with runtime access determination
CN112862483B (zh) * 2019-11-12 2024-04-09 航天信息股份有限公司 一种基于智能合约的身份验证方法和装置
CN110944058B (zh) * 2019-12-04 2022-03-04 杭州复杂美科技有限公司 区块链内网节点中继连接方法
CN111090888B (zh) * 2020-03-18 2020-07-07 支付宝(杭州)信息技术有限公司 验证合约的方法及装置
CN111092727B (zh) * 2020-03-18 2020-07-17 支付宝(杭州)信息技术有限公司 共享集群密钥的方法及装置
CN111092914B (zh) * 2020-03-18 2020-06-26 支付宝(杭州)信息技术有限公司 访问外部数据的方法及装置
CN111555870B (zh) * 2020-04-29 2023-01-17 支付宝实验室(新加坡)有限公司 一种密钥运算方法及装置
KR20210142983A (ko) * 2020-05-19 2021-11-26 삼성에스디에스 주식회사 오프-체인 데이터 공유 시스템 및 그 방법
CN111597586B (zh) * 2020-05-26 2023-06-09 牛津(海南)区块链研究院有限公司 一种区块链隐私保护方法、系统及装置
US11947659B2 (en) 2020-05-28 2024-04-02 Red Hat, Inc. Data distribution across multiple devices using a trusted execution environment in a mobile device
US11971980B2 (en) 2020-05-28 2024-04-30 Red Hat, Inc. Using trusted execution environments to perform a communal operation for mutually-untrusted devices
CN111935075A (zh) * 2020-06-23 2020-11-13 浪潮云信息技术股份公司 一种基于区块链的数字身份签发方法、设备及介质
CN111859467B (zh) * 2020-07-23 2024-03-26 中国工商银行股份有限公司 一种基于sgx的云数据完整性审计方法及装置
US10965461B1 (en) * 2020-08-31 2021-03-30 Syniverse Technologies, Llc Method of verifying telecommunications messaging traffic based on decentralized identifiers
KR20220036569A (ko) * 2020-09-16 2022-03-23 에스케이하이닉스 주식회사 메모리 시스템 및 메모리 시스템의 동작 방법
US11848924B2 (en) 2020-10-12 2023-12-19 Red Hat, Inc. Multi-factor system-to-system authentication using secure execution environments
CN114422159A (zh) * 2020-10-13 2022-04-29 北京金山云网络技术有限公司 一种基于区块链的数据处理方法及装置
US11265169B1 (en) 2020-10-30 2022-03-01 Cch Incorporated Methods and systems for exchanging confidential information via a blockchain
EP4062309A4 (en) * 2020-11-25 2022-12-07 Alipay (Hangzhou) Information Technology Co., Ltd. BLOCKCHAIN-BASED TRUSTED PLATFORM
CN112667730B (zh) * 2021-01-13 2023-04-07 永辉云金科技有限公司 一种外部数据验证方法、系统、设备及存储介质
TWI794740B (zh) * 2021-02-08 2023-03-01 宜鼎國際股份有限公司 資料上鏈系統及方法
CN112800453B (zh) * 2021-03-22 2021-08-13 上海众旦信息科技有限公司 一种基于多节点共识的可信查询方法及系统
CN113079020B (zh) * 2021-03-30 2022-05-06 桂林电子科技大学 一种基于门限签名决策体系的联盟链的多链取证方法
WO2022236406A1 (en) * 2021-05-14 2022-11-17 Dapper Labs, Inc. Decentralized computation system based on node specialization
CN113256289B (zh) * 2021-05-17 2023-06-30 网易(杭州)网络有限公司 区块链的判别方法、装置及电子设备
US20220383333A1 (en) * 2021-05-28 2022-12-01 Dell Products L.P. System and method of validating one or more components of an information handling system
CN113411330B (zh) * 2021-06-18 2022-02-01 国网电子商务有限公司 一种区块链网关切换方法及装置
CN113779621B (zh) * 2021-08-24 2023-08-22 浙江数秦科技有限公司 一种基于区块链的数据分享方法
CN114358764A (zh) * 2021-11-15 2022-04-15 深圳众联数字科技有限公司 基于区块链中智能合约的隐私计算方法及相关设备
GB2615820A (en) * 2022-02-22 2023-08-23 Nchain Licensing Ag Data exchange attestation method
US20220300617A1 (en) * 2022-06-01 2022-09-22 Intel Corporation Enhancement of trustworthiness of artificial intelligence systems through data quality assessment
WO2023233029A1 (en) * 2022-06-02 2023-12-07 Nchain Licensing Ag Methods and systems for distributing and validating alerts in a distributed computing system
US20230396619A1 (en) * 2022-06-03 2023-12-07 Apple Inc. Techniques for anonymous rate limiting for services
CN115150417A (zh) * 2022-07-01 2022-10-04 南方电网电力科技股份有限公司 一种基于区块链的数据存储方法及相关装置
US20240095404A1 (en) * 2022-09-15 2024-03-21 Advanced Micro Devices, Inc Offset Data Integrity Checks for Latency Reduction
CN115987524B (zh) * 2022-12-22 2023-06-27 钛信(上海)信息科技有限公司 一种用于堡垒机的多因子认证安全管理方法及装置
CN115913581B (zh) * 2023-02-27 2023-05-16 湖南半岛医疗科技有限公司 一种医疗数据管理方法及系统

Family Cites Families (117)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8069435B1 (en) 2003-08-18 2011-11-29 Oracle America, Inc. System and method for integration of web services
US7698398B1 (en) 2003-08-18 2010-04-13 Sun Microsystems, Inc. System and method for generating Web Service architectures using a Web Services structured methodology
US20060206616A1 (en) * 2005-03-14 2006-09-14 Gridiron Software, Inc. Decentralized secure network login
JP4788212B2 (ja) * 2005-07-13 2011-10-05 富士ゼロックス株式会社 デジタル署名プログラム及びデジタル署名システム
JP4640083B2 (ja) 2005-09-29 2011-03-02 セイコーエプソン株式会社 デバイス管理システム
US7623659B2 (en) * 2005-11-04 2009-11-24 Cisco Technology, Inc. Biometric non-repudiation network security systems and methods
KR101018368B1 (ko) 2006-05-05 2011-03-04 인터디지탈 테크날러지 코포레이션 트러스티드 프로세싱 기술을 사용하는 디지탈 권리 관리
US7860883B2 (en) 2006-07-08 2010-12-28 International Business Machines Corporation Method and system for distributed retrieval of data objects within multi-protocol profiles in federated environments
CN101207613B (zh) 2006-12-21 2012-01-04 松下电器产业株式会社 跨网域信息通信的认证方法、系统及其装置
US9077543B2 (en) * 2009-10-09 2015-07-07 Apple Inc. Methods and apparatus for digital attestation
US8601569B2 (en) 2010-04-09 2013-12-03 International Business Machines Corporation Secure access to a private network through a public wireless network
WO2012009430A1 (en) 2010-07-13 2012-01-19 Verisign, Inc. System and method for zone signing and key management in a dns system
US9065637B2 (en) 2012-01-25 2015-06-23 CertiVox Ltd. System and method for securing private keys issued from distributed private key generator (D-PKG) nodes
WO2013123548A2 (en) 2012-02-20 2013-08-29 Lock Box Pty Ltd. Cryptographic method and system
CN103679436B (zh) 2013-12-17 2018-08-14 重庆邮电大学 一种基于生物信息识别的电子合同保全系统和方法
US9680872B1 (en) * 2014-03-25 2017-06-13 Amazon Technologies, Inc. Trusted-code generated requests
US9998449B2 (en) 2014-09-26 2018-06-12 Qualcomm Incorporated On-demand serving network authentication
CN104392354B (zh) * 2014-11-05 2017-10-03 中国科学院合肥物质科学研究院 一种公钥地址与用户账号的关联和检索方法及其系统
EP3026557A1 (en) * 2014-11-28 2016-06-01 Thomson Licensing Method and device for providing verifying application integrity
US9537862B2 (en) * 2014-12-31 2017-01-03 Vivint, Inc. Relayed network access control systems and methods
WO2016181585A1 (ja) * 2015-05-08 2016-11-17 パナソニックIpマネジメント株式会社 認証方法、認証システムおよびコントローラ
US20180191503A1 (en) 2015-07-14 2018-07-05 Fmr Llc Asynchronous Crypto Asset Transfer and Social Aggregating, Fractionally Efficient Transfer Guidance, Conditional Triggered Transaction, Datastructures, Apparatuses, Methods and Systems
CN106487765B (zh) 2015-08-31 2021-10-29 索尼公司 授权访问方法以及使用该方法的设备
KR101637854B1 (ko) * 2015-10-16 2016-07-08 주식회사 코인플러그 블록체인을 기반으로 하는 공인인증서 발급시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 발급방법 및 블록체인을 기반으로 하는 공인인증서 인증시스템과 이를 이용한 블록체인을 기반으로 하는 공인인증서 인증방법
US9832024B2 (en) 2015-11-13 2017-11-28 Visa International Service Association Methods and systems for PKI-based authentication
CN107181717B (zh) 2016-03-10 2020-05-15 阿里巴巴集团控股有限公司 一种风险终端检测方法及装置
EP4195127A1 (en) * 2016-04-11 2023-06-14 nChain Licensing AG Computer-implemented methods and systems for validating tokens for blockchain-based cryptocurrencies
US10366388B2 (en) * 2016-04-13 2019-07-30 Tyco Fire & Security Gmbh Method and apparatus for information management
CN105975868A (zh) * 2016-04-29 2016-09-28 杭州云象网络技术有限公司 一种基于区块链的证据保全方法及装置
US10044701B2 (en) * 2016-05-24 2018-08-07 Vantiv, Llc Technologies for token-based authentication and authorization of distributed computing resources
US10447478B2 (en) 2016-06-06 2019-10-15 Microsoft Technology Licensing, Llc Cryptographic applications for a blockchain system
US11829998B2 (en) 2016-06-07 2023-11-28 Cornell University Authenticated data feed for blockchains
US10560274B2 (en) 2016-06-09 2020-02-11 International Business Machines Corporation Credential-based authorization
US10108954B2 (en) * 2016-06-24 2018-10-23 PokitDok, Inc. System and method for cryptographically verified data driven contracts
CN107579826B (zh) * 2016-07-04 2022-07-22 华为技术有限公司 一种网络认证方法、中转节点及相关系统
US11088855B2 (en) 2016-07-29 2021-08-10 Workday, Inc. System and method for verifying an identity of a user using a cryptographic challenge based on a cryptographic operation
US10700861B2 (en) 2016-07-29 2020-06-30 Workday, Inc. System and method for generating a recovery key and managing credentials using a smart blockchain contract
KR101950912B1 (ko) * 2016-08-01 2019-02-21 서강대학교산학협력단 블록체인 기반 트랜잭션 검증 시스템 및 그 방법
CN106330452B (zh) * 2016-08-13 2020-02-18 广东中云智安科技有限公司 一种用于区块链的安全网络附加装置及方法
CN106295401A (zh) * 2016-08-13 2017-01-04 深圳市樊溪电子有限公司 一种用于区块链的只读安全文件存储系统及其方法
BR112019003128A2 (pt) 2016-09-15 2019-05-21 Nuts Holdings, Llc trânsito e armazenamento de dados de usuário criptografados
CN107079037B (zh) 2016-09-18 2018-10-23 深圳前海达闼云端智能科技有限公司 基于区块链的身份认证方法、装置、节点及系统
US20180089761A1 (en) 2016-09-26 2018-03-29 Shapeshift Ag System and method of providing a leader-follower multi-asset portfolio
US10749684B2 (en) * 2016-09-30 2020-08-18 Entrust, Inc. Methods and apparatus for providing blockchain participant identity binding
WO2018094297A2 (en) * 2016-11-19 2018-05-24 COSTANZ, Mario A System and method for interaction object reconciliation in a public ledger blockchain environment
CN107079036A (zh) * 2016-12-23 2017-08-18 深圳前海达闼云端智能科技有限公司 注册及授权方法、装置及系统
US11631077B2 (en) * 2017-01-17 2023-04-18 HashLynx Inc. System for facilitating secure electronic communications between entities and processing resource transfers
US10419225B2 (en) * 2017-01-30 2019-09-17 Factom, Inc. Validating documents via blockchain
KR101816653B1 (ko) 2017-02-14 2018-02-21 주식회사 코인플러그 스마트 컨트랙트 및 블록체인 데이터베이스를 사용하여 서비스 제공 서버에 의하여 제공되는 서비스를 이용하기 위한 사용자의 로그인 요청에 대하여 pki 기반의 인증을 통해 로그인을 대행하는 방법 및 이를 이용한 서버
US20180241572A1 (en) 2017-02-22 2018-08-23 Intel Corporation Techniques for remote sgx enclave authentication
DE102018101307A1 (de) * 2017-02-22 2018-08-23 Intel Corporation Techniken für SGX-Enklaven-Fernauthentifizierung
WO2018164955A1 (en) 2017-03-06 2018-09-13 Rivetz Corp. Device enrollment protocol
DE102017204538A1 (de) * 2017-03-17 2018-09-20 Bundesdruckerei Gmbh Protokollieren von Zustandsdaten eines Fahrzeugs in einer Blockchain
EP3379447B1 (de) * 2017-03-22 2022-04-27 Siemens Aktiengesellschaft Verfahren und vorrichtung zum manipulationssicheren speichern von informationen bezüglich objektbezogener massnahmen
US10489597B2 (en) 2017-03-28 2019-11-26 General Electric Company Blockchain verification of network security service
GB201706132D0 (en) 2017-04-18 2017-05-31 Nchain Holdings Ltd Computer-implemented system and method
US10742393B2 (en) 2017-04-25 2020-08-11 Microsoft Technology Licensing, Llc Confidentiality in a consortium blockchain network
US11321680B2 (en) * 2017-04-26 2022-05-03 Ashish Kumar System and method for processing and management of transactions using electronic currency
CN108064440B (zh) * 2017-05-25 2021-04-09 达闼机器人有限公司 基于区块链的fido认证方法、装置及系统
CA3065319A1 (en) 2017-06-01 2018-12-06 Schvey, Inc. d/b/a/ Axoni Distributed privately subspaced blockchain data structures with secure access restriction management
US11055703B2 (en) 2017-06-19 2021-07-06 Hitachi, Ltd. Smart contract lifecycle management
CN107566337B (zh) 2017-07-26 2019-08-09 阿里巴巴集团控股有限公司 一种区块链节点间的通信方法及装置
CN107592293A (zh) 2017-07-26 2018-01-16 阿里巴巴集团控股有限公司 区块链节点间通讯方法、数字证书管理方法、装置和电子设备
CN107592292B (zh) 2017-07-26 2019-08-09 阿里巴巴集团控股有限公司 一种区块链节点间通信方法及装置
US10452776B2 (en) 2017-07-28 2019-10-22 International Business Machines Corporation Cognitive mediator for generating blockchain smart contracts
US10541804B2 (en) * 2017-08-18 2020-01-21 Intel Corporation Techniques for key provisioning in a trusted execution environment
US10554634B2 (en) * 2017-08-18 2020-02-04 Intel Corporation Techniques for shared private data objects in a trusted execution environment
TWI636411B (zh) 2017-09-13 2018-09-21 現代財富控股有限公司 對非區塊鏈節點提供交易不可否認性之系統及其方法
US20190102163A1 (en) * 2017-10-04 2019-04-04 Dispatch Labs, LLC System and Method for a Blockchain-Supported Programmable Information Management and Data Distribution System
US20190116038A1 (en) * 2017-10-12 2019-04-18 Rivetz Corp. Attestation With Embedded Encryption Keys
TWI650723B (zh) 2017-10-30 2019-02-11 天逸財金科技服務股份有限公司 資產證明授權查詢方法與系統
GB201720946D0 (en) * 2017-12-15 2018-01-31 Nchain Holdings Ltd Computer-implemented system and method
CN107896213B (zh) 2017-11-16 2021-07-20 重庆顺利科技有限公司 电子处方数据存储方法
US20190158275A1 (en) 2017-11-22 2019-05-23 Michael Beck Digital containers for smart contracts
EP3489874A1 (en) * 2017-11-27 2019-05-29 Wipro Limited System and method for dual blockchain based validation of instrument reference data and transaction reporting
US11257077B2 (en) 2017-11-30 2022-02-22 Visa International Service Association Blockchain system for confidential and anonymous smart contracts
US10657261B2 (en) * 2017-11-30 2020-05-19 Mocana Corporation System and method for recording device lifecycle transactions as versioned blocks in a blockchain network using a transaction connector and broker service
CN108171083B (zh) 2017-12-18 2020-02-07 深圳前海微众银行股份有限公司 区块链可信数据管理方法、系统及计算机可读存储介质
CN108073829A (zh) 2017-12-29 2018-05-25 上海唯链信息科技有限公司 用于记录对象的运输数据的方法、介质、物联网设备、区块链平台和物联网系统
CN208335190U (zh) 2017-12-29 2019-01-04 上海唯链信息科技有限公司 记录对象的运输数据的物联网设备、区块链平台和物联网系统
EP3522088B1 (en) * 2018-02-05 2022-03-16 Nokia Technologies Oy Securing blockchain access through a gateway
US11100503B2 (en) 2018-02-07 2021-08-24 Mastercard International Incorporated Systems and methods for use in managing digital identities
TWM561279U (zh) 2018-02-12 2018-06-01 林俊良 用於處理金融資產之策略模型腳本之區塊鏈系統與節點伺服器
US20190281028A1 (en) 2018-03-06 2019-09-12 Michael Thomas Gillan System and method for decentralized authentication using a distributed transaction-based state machine
CN108305170A (zh) 2018-03-07 2018-07-20 物数(上海)信息科技有限公司 基于区块链的外部服务访问方法、系统、设备及存储介质
CN108600182B (zh) 2018-03-29 2021-03-19 深圳前海微众银行股份有限公司 区块链密钥管理方法、系统及密钥管理设备、存储介质
US20190303541A1 (en) * 2018-04-02 2019-10-03 Ca, Inc. Auditing smart contracts configured to manage and document software audits
US20190305959A1 (en) * 2018-04-02 2019-10-03 Ca, Inc. Announcement smart contracts to announce software release
US10958642B2 (en) 2018-04-05 2021-03-23 The Toronto-Dominion Bank Dynamic biometric authentication based on distributed ledger data
US11728995B2 (en) * 2018-04-09 2023-08-15 American Express Travel Related Services Company, Inc. Reward point transfers using blockchain
CN108846776B (zh) 2018-04-19 2021-09-21 中山大学 一种基于区块链技术的数字版权保护方法
US10917234B2 (en) * 2018-05-03 2021-02-09 International Business Machines Corporation Blockchain for on-chain management of off-chain storage
GB2573750A (en) * 2018-05-09 2019-11-20 Centrica Plc System for controlling energy supply and processing energy transactions
CN108768988B (zh) * 2018-05-17 2021-01-05 深圳前海微众银行股份有限公司 区块链访问控制方法、设备及计算机可读存储介质
US11038672B2 (en) * 2018-06-01 2021-06-15 Duality Technologies, Inc. Secure and distributed management of a proxy re-encryption key ledger
CN108880794A (zh) 2018-06-15 2018-11-23 浙江华信区块链科技服务有限公司 跨链用户身份及其数字资产管理系统
US10243748B1 (en) 2018-06-28 2019-03-26 Jonathan Sean Callan Blockchain based digital certificate provisioning of internet of things devices
CN108846297B (zh) * 2018-07-16 2019-11-01 广州追溯信息科技有限公司 一种在具有对等节点的区块链网络上分发和检索数据的方法
CN109191108B (zh) 2018-08-07 2022-03-11 广东蓝蜜蜂信息技术有限公司 基于区块链的二维码聚合支付系统及其工作方法
US10601828B2 (en) 2018-08-21 2020-03-24 HYPR Corp. Out-of-band authentication based on secure channel to trusted execution environment on client device
CN109274837B (zh) * 2018-08-22 2020-04-03 北京航空航天大学 基于区块链技术的电话来源可追溯方法及装置
US10250395B1 (en) 2018-08-29 2019-04-02 Accenture Global Solutions Limited Cryptologic blockchain interoperation
CN109327512B (zh) 2018-09-19 2021-04-13 广东微链科技有限公司 基于区块链hash寻址和重加密的游戏数据分区储存方法
CN108965342B (zh) 2018-09-28 2021-05-28 真相网络科技(北京)有限公司 数据请求方访问数据源的鉴权方法及系统
CN109345259A (zh) 2018-09-29 2019-02-15 腾讯科技(深圳)有限公司 基于区块链的虚拟资源转移方法、装置、介质及电子设备
US10778603B2 (en) 2018-10-11 2020-09-15 Citrix Systems, Inc. Systems and methods for controlling access to broker resources
CN109194466B (zh) * 2018-10-29 2021-07-06 南开大学 一种基于区块链的云端数据完整性检测方法及系统
CN109299338B (zh) 2018-10-31 2019-08-06 山东云溪网络科技有限公司 一种跨区块链数据管理系统及方法
US10671372B2 (en) 2018-11-01 2020-06-02 Dell Products L.P. Blockchain-based secure customized catalog system
CN109462588B (zh) 2018-11-13 2021-04-16 上海物融智能科技有限公司 一种基于区块链的去中心化数据交易方法及系统
US20200167770A1 (en) 2018-11-28 2020-05-28 Bank Of America Corporation Blockchain implementation across multiple organizations
CA3049924C (en) * 2018-12-13 2021-04-20 Alibaba Group Holding Limited Off-chain smart contract service based on trusted execution environment
US11720913B2 (en) 2018-12-18 2023-08-08 Rokfin, Inc. Cryptographic-token minting scheduler
ES2864179T3 (es) * 2018-12-29 2021-10-13 Advanced New Technologies Co Ltd Sistema y método para implementar un contrato nativo en una cadena de bloques
JP6853364B2 (ja) 2019-02-28 2021-03-31 アドバンスド ニュー テクノロジーズ カンパニー リミテッド ブロックチェーンベースのデジタル証明書を実装するためのシステム及び方法
SG11202001944UA (en) 2019-03-27 2020-04-29 Alibaba Group Holding Ltd Improving integrity of communications between blockchain networks and external data sources
CN112671769B (zh) 2020-08-28 2022-10-11 支付宝(杭州)信息技术有限公司 电子合同的签署方法、装置及设备

Also Published As

Publication number Publication date
TWI737240B (zh) 2021-08-21
EP3673435B1 (en) 2022-05-25
US20210350028A1 (en) 2021-11-11
WO2019179541A2 (en) 2019-09-26
TW202042171A (zh) 2020-11-16
CN110832519B (zh) 2024-03-19
US11449641B2 (en) 2022-09-20
WO2019179541A3 (en) 2020-02-06
CN111066287B (zh) 2022-11-18
CN110914851A (zh) 2020-03-24
CN115967534A (zh) 2023-04-14
TWI734426B (zh) 2021-07-21
EP3673435A4 (en) 2020-10-07
EP3673617B1 (en) 2021-11-17
US20200313903A1 (en) 2020-10-01
EP3685334A2 (en) 2020-07-29
EP3685334A4 (en) 2020-10-07
WO2019179543A3 (en) 2020-02-20
CN111066287A (zh) 2020-04-24
EP3673435A2 (en) 2020-07-01
US20200311312A1 (en) 2020-10-01
EP3673617A2 (en) 2020-07-01
WO2019179542A3 (en) 2020-02-06
US10803205B1 (en) 2020-10-13
EP3673617A4 (en) 2021-01-13
US11080430B2 (en) 2021-08-03
WO2019179542A2 (en) 2019-09-26
SG11202002774WA (en) 2020-04-29
US20200313867A1 (en) 2020-10-01
SG11202001944UA (en) 2020-04-29
CN110832519A (zh) 2020-02-21
TWI730692B (zh) 2021-06-11
WO2019179543A2 (en) 2019-09-26
SG11202002786UA (en) 2020-04-29
CN110914851B (zh) 2024-02-06
US10824763B2 (en) 2020-11-03
TW202038221A (zh) 2020-10-16
EP3685334B1 (en) 2021-11-24

Similar Documents

Publication Publication Date Title
TWI737240B (zh) 提高區塊鏈網路與外部資料源之間的通信的完整性
TWI707245B (zh) 使用高可用性的可信執行環境檢索區塊鏈網路的存取資料
US11088850B2 (en) Retrieving public data for blockchain networks using highly available trusted execution environments