[发明专利]一种可信计算方法和系统

权利要求书

1.一种可信计算方法，其特征在于，包括：

数据使用方在对云端服务器的可信计算环境和可信计算函数库的合法性验证通过后，根据从第三方授权认证中心获取的数据访问授权信息，在相应授权范围内生成数据运算任务，并发送给计算服务提供方；所述云端服务器由所述计算服务提供方提供；所述计算服务提供方为提供数据存储和可信计算服务的云服务商；

所述计算服务提供方根据所述数据运算任务，获取任务执行时所需要数据的密文以及相应密钥的密文，并保存至云端服务器；其中，所述数据的密文由相应的数据拥有方加密，所述密钥的密文利用公钥加密得到，所述公钥由所述第三方授权认证中心为所述数据拥有方生成；

所述数据使用方采用安全传输方式，将所述数据访问授权信息中用于对所述密钥的密文解密的计算私钥，发送给所述云端服务器，触发所述云端服务器在所述可信计算环境中，利用所述计算私钥、所述任务执行时所需要数据的密文以及相应密钥的密文，获得所述任务执行时所需要数据的明文，利用所述明文和所述可信计算函数库，执行所述数据运算任务，并采用加密传输的方式，将相应的执行结果发送给所述数据使用方。

2.如权利要求1所述的方法，其特征在于，在所述合法性验证之前，所述方法进一步包括：

所述数据拥有方将对自身数据的访问控制策略，发送给所述第三方授权认证中心；

所述第三方授权认证中心根据所述访问控制策略，生成相应的公钥和主私钥；将所述公钥发送给所述数据拥有方；

所述数据访问授权信息的获取包括：

所述数据使用方向所述第三方授权认证中心，请求对所述数据拥有方的数据的使用权限；

所述第三方授权认证中心根据所述请求和所述数据拥有方发送的访问控制策略，利用所述主私钥，为所述数据使用方生成所述计算私钥以及相应的数据访问授权证书，向所述数据使用方发送所述数据访问授权信息，所述数据访问授权信息携带所述计算私钥以及所述数据访问授权证书。

3.如权利要求2所述的方法，其特征在于，所述第三方授权认证中心采用属性加密方法，生成所述公钥、所述主私钥和所述计算私钥。

4.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

所述数据拥有方预先按照预设的数据上传策略，对自身的数据进行加密，并利用所述第三方授权认证中心为本方生成的公钥，对加密时采用的密钥进行加密，将相应的数据加密结果和密钥加密结果上传至所述云端服务器。

5.如权利要求1所述的方法，其特征在于，所述获取任务执行时所需要数据的密文以及相应密钥的密文，并保存至云端服务器包括：

所述计算服务提供方判断所述云端服务器中是否已保存所述任务执行时所需要数据的密文以及相应密钥的密文，如果没有，则触发相应的数据拥有方执行相应数据的加密上传过程；所述加密上传过程包括：对需要上传的数据进行加密，并采用所述第三方授权认证中心为该数据拥有方生成的公钥，对加密时采用的密钥进行加密，将相应的数据加密结果和密钥加密结果上传至所述云端服务器。

6.如权利要求1所述的方法，其特征在于，所述可信计算函数库中的每个可信计算函数仅具有第一接口和第二接口，所述第一接口用于输入运算参数；所述第二接口用于输出经过加密的数据运算结果。

7.如权利要求1所述的方法，其特征在于，所述数据使用方采用远程验证的方式进行所述合法性验证。

8.如权利要求1所述的方法，其特征在于，所述安全传输方式为在线安全提供的方式。

9.如权利要求1所述的方法，其特征在于，所述方法进一步包括：

所述数据使用方将自身定义的可信计算函数上传至所述云端服务器的所述可信计算函数库中。