申请/专利权人：北京工业大学

申请日：2022-01-25

公开（公告）日：2024-03-29

公开（公告）号：CN114462047B

主分类号：G06F21/57

分类号：G06F21/57;G06F21/60

优先权：

专利状态码：有效-授权

法律状态：2024.03.29#授权;2022.05.27#实质审查的生效;2022.05.10#公开

摘要：一种基于SGX技术的云外包计算安全方法属于云计算安全领域，解决了云环境运行环境不透明、不安全问题。本方法利用IntelSGX提供的可信执行环境Enclave确保云计算节点的可信性，在注册阶段通过第三方可信机构制定的统一安全标准对云环境进行配置与远程认证，保证云端的软硬件环境安全可靠。利用IntelSGX的密码学库成公私钥对，公钥生成集群证书，私钥通过密封机制保存在云端，确保只有受过认证的相同配置的Enclave才能通过解封获得证书私钥。在工作阶段，用户通过集群证书中的公钥加密自己的隐私数据上传到云环境中，云节点启动Enclave向第三方可信机构进行远程认证、通过密封机制获得私钥、解密读取用户数据、计算并加密输出。

主权项：1.一种基于SGX技术的云外包计算安全方法，其特征在于，包括以下步骤：1云服务提供商向第三方可信机构进行注册，生成集群证书；2用户向云服务提供商申请服务，安全执行分布式计算作业；3云计算节点应用总体流程架构；云服务提供商向第三方可信机构进行注册，生成集群证书步骤包括：首先，第三方可信机构制定统一的安全标准，实地对申请注册的云服务提供商计算环境进行验证；接着，第三方可信机构在云端系统中创建可信执行环境Enclave，并使用SGX提供的远程认证服务可以确保其创建的Enclave运行在正确的、支持IntelSGX技术的硬件环境中，保证云计算环境的软硬件基础的可信性；然后，通过SGX提供的密码学库，在Enclave中生成公私钥对；其中私钥通过SGX的密封机制存储至文件系统中保证其安全性，且根据SGX密封机制只有同一配置的Enclave才能解封；最后第三方可信机构通过生成的公钥与云端系统相关信息生成只属于这个集群的集群证书，完成注册；用户向云服务提供商申请服务，安全执行分布式计算作业步骤包括：首先，用户向云服务提供商申请服务，云服务提供商向用户传输由第三方可信机构颁发的集群证书；用户生成对称密钥并通过加密数据，再使用集群证书中的公钥对对称密钥进行加密，把加密的数据、加密的对称密钥上传到云端系统中；然后，云端系统中的云计算节点创建与注册阶段同一配置的Enclave环境，向第三方可信机构进行远程认证，确保软硬兼环境可信；远程认证通过后，云计算节点Enclave使用SGX的密封机制解封私钥，使用私钥解密用户上传的对称密钥，再通过SGX密码学库解密数据，进行计算；最后云计算节点Enclave使用用户上传的对称密钥加密输出数据；从而可以保证代码及数据只在可信执行环境中处于明文状态执行计算，在云端各个节点中的传输过程中始终处于使用用户密钥的加密状态；云计算节点应用总体流程架构是在HadoopMap-Reduce计算中云计算节点的执行过程，包括可信与不可信两个部分：1不可信部分包含两个模块：数据处理模块、编码模块、Ecall模块；2可信部分包含四个模块：远程认证模块、密封模块、加解密模块、计算模块；其中不可信部分作为HadoopStreaming架构与Enclave的交流层，具有以下功能：1创建与销毁Enclave；2把从标准输入中读取的数据通过调用可信函数传递给Enclave；3把Enclave中通过可信函数传递回来的输出结果按要求写入到标准输出中；4对二进制数据进行base64编码解码；云计算节点应用在启动时首先由不可信部分创建Enclave，然后执行远程认证模块，只有远程认证通过后才允许计算任务执行；由于Enclave本身资源有限，为了保证运行效率将不需要保密措施的数据处理与编码任务放在不可信部分执行；通过可信函数调用来将处理好的行数据传入Enclave内部解密计算，并通过函数返回加密的计算结果。

全文数据：

权利要求：

百度查询： 北京工业大学 一种基于SGX技术的云外包计算安全方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息，力求客观、公正，但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解，仅供参考使用，不能作为本公司承担任何法律责任的依据或者凭证。

阅读全文 双屏查看 官方信息 专利公告 收藏专利 下载PDF 下载WORD