[发明专利]基于可信执行环境的业务处理方法及装置

说明书

本说明书一个或多个实施例提供一种基于可信执行环境的业务处理方法及装置，该方法包括：安全计算服务端通过用于密钥协商的可信执行环境与客户端协商得到共享密钥，并将共享密钥加密为相应的共享密钥存储密文后存储；安全计算服务端响应于客户端发起的业务请求，创建用于业务处理的可信执行环境，并将客户端发送的业务信息密文和共享密钥存储密文读入用于业务处理的可信执行环境中；安全计算服务端在用于业务处理的可信执行环境中解密共享密钥存储密文以得到共享密钥，通过共享密钥解密业务信息密文以得到业务信息，并在可信执行环境中处理业务信息。本说明书的技术方案可以应用于各种场景下的业务处理过程，比如人工智能场景、区块链场景等。

技术领域

本说明书一个或多个实施例涉及安全技术领域，尤其涉及一种基于可信执行环境的业务处理方法及装置。

背景技术

目前，业务处理过程面临隐私和性能难以兼顾的问题，已有的解决方案大都是通过损失性能换取隐私，或者不大考虑隐私去追求性能。常见的解决隐私问题的加密技术，如同态加密(Homomorphic encryption)和零知识证明(Zero-knowledge proof)等复杂度高，不仅通用性差，而且还可能带来严重的性能损失。

在解决隐私方面，可信执行环境(Trusted Execution Environment,TEE)是另一种解决方式。TEE可以起到硬件中的黑箱作用，在TEE中执行的代码和数据操作系统层都无法偷窥，只有代码中预先定义的接口才能对其进行操作。在效率方面，由于TEE的黑箱性质，在TEE中进行运算的是明文数据，而不是同态加密中的复杂密码学运算，计算过程效率没有损失，因此与TEE相结合可以在性能损失较小的前提下很大程度上满足业务处理过程中的安全性需求和隐私性需求。目前工业界十分关注TEE的方案，几乎所有主流的芯片和软件联盟都有自己的TEE解决方案，比如软件方面的TPM(Trusted Platform Module，可信赖平台模块)以及硬件方面的Intel SGX(Software Guard Extensions,软件保护扩展)、ARMTrustzone(信任区)和AMD PSP(Platform Security Processor，平台安全处理器)等。

发明内容

有鉴于此，本说明书一个或多个实施例提供一种基于可信执行环境的业务处理方法及装置。

为实现上述目的，本说明书一个或多个实施例提供技术方案如下：

根据本说明书一个或多个实施例的第一方面，提出了一种基于可信执行环境的业务处理方法，包括：

安全计算服务端通过用于密钥协商的可信执行环境与客户端协商得到共享密钥，并将所述共享密钥加密为相应的共享密钥存储密文后存储至所述用于密钥协商的可信执行环境之外的存储空间；

所述安全计算服务端响应于所述客户端发起的业务请求，创建用于业务处理的可信执行环境，并将所述客户端发送的业务信息密文和所述共享密钥存储密文读入所述用于业务处理的可信执行环境中；

所述安全计算服务端在所述用于业务处理的可信执行环境中解密所述共享密钥存储密文以得到所述共享密钥，通过所述共享密钥解密所述业务信息密文以得到业务信息，并在所述用于业务处理的可信执行环境中处理所述业务信息。

根据本说明书一个或多个实施例的第二方面，提出了一种基于可信执行环境的业务处理装置，包括：

密钥协商单元，使安全计算服务端通过用于密钥协商的可信执行环境与客户端协商得到共享密钥；

密钥存储单元，使所述安全计算服务器将所述共享密钥加密为相应的共享密钥存储密文后存储至所述用于密钥协商的可信执行环境之外的存储空间；

环境创建单元，使所述安全计算服务端响应于所述客户端发起的业务请求，创建用于业务处理的可信执行环境；