[发明专利]一种动态加载代码库的隐私保护分布式计算方法及系统

权利要求书

1.一种动态加载代码库的隐私保护分布式计算方法，其特征在于，包括以下步骤：

用户利用对称密钥加密作业输入和作业代码，将作业输入上传至集群中，将作业代码发送到集群中每一个节点的可信区域内，并通过安全信道传输对称密钥；将作业所依赖的代码库利用可验证秘密共享机制共享到集群的每一个节点上；可验证秘密共享机制采用Feldman秘密共享算法，其输出包括发送到每一个节点秘密份额，还包含广播到所有节点的公开承诺，用来在代码库重构时验证份额的准确性；

用户验证可信处理器的签名，如果验证通过，则允许节点在可信区域内解密获得对称密钥，并用来解密作业输入和作业代码；

在集群执行任务之前，通过不经意传输协议传输秘密份额，并验证秘密份额的准确性，验证通过后在可信区域内重构任务所依赖的代码库；通过不经意传输协议传输秘密份额的方法为：执行任务的节点向其它满足一定阈值数量的节点发送秘密份额的请求，通过不经意传输协议传输对应的份额；不经意传输协议是基于密钥生成函数和DDH假设困难性；验证秘密份额的准确性的方法为：当节点收到一定量的秘密份额后，验证每一个份额的准确性，如果全部验证通过，则利用拉格朗日插值法在可信区域内重构代码库，否则取消作业执行；

集群任务在可信区域内执行，当前一阶段任务结束后，产生的中间结果键值对根据后一阶段任务的数量和对称密钥进行处理，产生具有保密性的新的键值；

在任务执行完后，用户从集群中下载作业产生的输出数据，并利用对称密钥进行解密，获得最终的结果。

2.如权利要求1所述的方法，其特征在于，利用远程证实建立的安全信道传输对称密钥，包括以下步骤：

用户将可公开的代码发送到可信区域，该代码包括加解密代码、密钥生成代码；

可信区域加载代码，调用密钥生成算法产生一对公私钥，利用私钥对可信区域内的数据签名，并将其连同公钥返回给用户；

用户利用公钥验证签名的准确性，如果验证通过，则利用返回的公钥加密对称密钥，返回给可信区域；如果没有通过，则重新发起远程证实；

当可信区域收到用户的消息后，利用私钥解密，得到用户的对称密钥。

3.如权利要求1所述的方法，其特征在于，产生的中间结果键值对作为原键值对，原键值对的键利用哈希函数求得散列值，该散列值模后一阶段任务的数量得到新的键值对的键；原键值对的键和值利用对称密钥加密得到新的键值对的值。

4.如权利要求1所述的方法，其特征在于，集群预先设定一阈值作为网络传输中最大点对点传输量以隐藏访问模式，中间结果在传输时如果没有达到该阈值，则该系统在可信区域内产生随机的噪声数据，并利用对称密钥加密。

5.如权利要求1所述的方法，其特征在于，在后一阶段任务执行之前，对加密的噪声数据进行解密，然后删除。

6.如权利要求1所述的方法，其特征在于，当一个任务执行完后，销毁可信区域，可信区域存储的敏感数据会利用可信处理器的数据封装功能加密存储到外存中，以用于新的可信区域创建时被重新加载。

7.一种可用于执行如权利要求1所述的隐私保护分布式计算方法的分布式计算系统，其特征在于，包括分布式代码库管理系统、安全混洗监控器和基于可信处理器的作业应用程序；其中，

分布式代码库管理系统：负责管理集群的每一个节点上用户发送的秘密份额，包括运行在集群主节点上的控制单元和运行在每一个工作节点上的存储单元，控制单元负责记录每一个份额的元数据信息，存储单元负责存储以及传输秘密份额；

安全混洗监控器：负责监控节点之间的混洗过程，当中间结果传输存在节点之间网络流量没有达到预设阈值时，产生一定量的噪声数据，并利用对称密钥进行加密，以隐藏网络访问模式；

基于可信处理器的作业应用程序：包括由任意语言实现的外层应用程序和由可信处理器所支持的语言实现的核心任务函数，负责在外层应用程序中调用可信执行程序、恢复代码库程序、创建和销毁可信区域的程序，用户利用对称密钥加密作业输入和作业代码并传输到集群，验证可信处理器的签名，从集群中下载作业产生的输出数据，并利用对称密钥进行解密，获得最终的结果。