[发明专利]使用具有访客代理的限制操作环境的安全多方计算框架

权利要求书

1.一种用于在可信环境中处理数据的计算机实现的方法，所述方法包括：

响应于服务器的主机代理通过网络从用户的用户设备接收到的处理用户数据的请求，在所述服务器内启动限制操作环境；

所述主机代理将所述请求和任意接收的用户数据保存在随机访问存储器文件系统中，所述随机访问存储器文件系统是被分配给所述限制操作环境且仅用于所述限制操作环境的文件系统；

将代表所述请求的令牌发送给在所述限制操作环境内执行的访客代理，其中与所述令牌相关联的执行器由所述限制操作环境内的所述访客代理启动，其中所述执行器在被执行时被配置为处理所述用户数据以生成处理结果而不需要访问在所述限制操作环境外部的外部组件；

所述访客代理禁用所述限制操作环境的网络接口，使得所述执行器在处理所述用户数据期间不能访问所述外部组件；

所述执行器处理所述用户数据；

响应于所述执行器完成所述用户数据的处理，启用所述限制操作环境的网络接口；以及

将所述处理结果返还给所述用户设备。

2.如权利要求1所述的方法，其中所述请求是从与多个用户相关联的多个用户设备接收的多个请求之一，以及其中所述多个请求中的每个在多个限制操作环境中的对应的一个限制操作环境中被处理。

3.如权利要求1所述的方法，还包括：

从所述主机代理将与所述请求相关联的请求标识符ID和与所述用户相关联的用户ID发送至管理服务；以及

从所述管理服务接收响应于所述请求ID和所述用户ID而发送的与所述请求相关联的所述令牌。

4.如权利要求3所述的方法，其中所述管理服务登记所述请求ID和所述用户ID并生成所述令牌以代表与所述请求ID和所述用户ID相关联的服务会话。

5.如权利要求3所述的方法，还包括：

响应于接收到所述令牌，由所述访客代理将所述令牌发送给所述管理服务以验证所述请求；以及

响应于基于所述令牌成功地验证了所述请求，从所述管理服务接收所述执行器的一个或多个可执行镜像，其中，通过在所述限制操作环境内执行所述一个或多个可执行镜像，所述执行器被启动。

6.如权利要求5所述的方法，其中所述管理服务被配置为检查所述令牌以确定所述令牌是否与先前由所述主机代理登记的所述请求ID和所述用户ID相关联。

7.如权利要求5所述的方法，其中所述管理服务被配置为从一池执行器候选项分配所述执行器并将分配的执行器返回给所述访客代理，使得所述访客代理能够在所述限制操作环境内启动所述执行器。

8.如权利要求3所述的方法，还包括将所述用户数据发送给在所述限制操作环境内执行的所述访客代理或将所述用户数据的可用性指示发送给所述访客代理，使得所述用户数据能够由所述访客代理提取。

9.如权利要求1所述的方法，其中所述执行器被配置为将所述处理结果存储到能够由所述主机代理访问的预定存储器位置，所述主机代理被配置为从所述预定存储器位置检索所述处理结果以将所述处理结果返还给所述用户设备。

10.如权利要求9所述的方法，还包括终止所述限制操作环境但不影响所述预定存储器位置处的所述处理结果。