[发明专利]共享集群密钥的方法及装置

说明书

本说明书提供一种共享集群密钥的方法及装置，该方法包括：链下隐私计算集群中的任一节点获取其他节点发送的对应于第一链下可信执行环境的第一远程证明报告；获取在任一节点的第二链下可信执行环境内生成的集群身份密钥，在区块链节点与各节点进行交互以部署或调用链下合约的过程中，集群身份密钥用于对交互数据进行加密解密和/或签名验签；在根据第一远程证明报告确定第一链下可信执行环境可信的情况下，向其他节点发送集群身份密钥和第二远程证明报告，在第二远程证明报告表明第二链下可信执行环境可信的情况下，集群身份密钥被其他节点认可。上述共享密钥的过程可确保数据安全，从而后续各节点可通过集群身份密钥进行隐私保护。

技术领域

本说明书一个或多个实施例涉及可验证计算技术领域，尤其涉及一种共享集群密钥的方法及装置。

背景技术

在相关技术中，针对各种场景下的隐私需求，一种方式是通过同态加密(Homomorphic encryption)和零知识证明(Zero-knowledge proof)等加密技术实现隐私保护，但也随之带来了严重的性能损失。可信执行环境(Trusted Execution Environment,TEE)是另一种解决方式。TEE可以起到硬件中的黑箱作用，在TEE中执行的代码和数据操作系统层都无法偷窥，只有代码中预先定义的接口才能对其进行操作。在效率方面，由于TEE的黑箱性质，在TEE中进行运算的是明文数据，而不是同态加密中的复杂密码学运算，计算过程效率没有损失。

发明内容

有鉴于此，本说明书一个或多个实施例提供一种共享集群密钥的方法及装置，能够在链下环境内安全实现共享集群密钥的操作。

为实现上述目的，本说明书一个或多个实施例提供技术方案如下：

根据本说明书一个或多个实施例的第一方面，提出了一种共享集群密钥的方法，包括：

链下隐私计算集群中的任一节点获取所述链下隐私计算集群中其他节点发送的第一远程证明报告，所述第一远程证明报告由认证服务器对所述其他节点针对创建的第一链下可信执行环境产生的第一自荐信息进行验证后生成；

所述任一节点获取对应于所述链下隐私计算集群的集群身份密钥，所述集群身份密钥在所述任一节点创建的第二链下可信执行环境内生成，在区块链节点与所述链下隐私计算集群中的各节点进行交互以部署或调用链下合约的过程中，所述集群身份密钥用于对交互数据进行加密解密和/或签名验签；

所述任一节点在根据所述第一远程证明报告确定所述第一链下可信执行环境可信的情况下，向所述其他节点发送所述集群身份密钥和第二远程证明报告，所述集群身份密钥在根据所述第二远程证明报告确定所述第二链下可信执行环境可信的情况下，被维护在所述第一链下可信执行环境内，所述第二远程证明报告由认证服务器对所述任一节点针对所述第二链下可信执行环境产生的第二自荐信息进行验证后生成。

根据本说明书一个或多个实施例的第二方面，提出了一种共享集群密钥的方法，包括：

链下隐私计算集群中的任一节点向所述链下隐私计算集群中其他节点提供第一远程证明报告，所述第一远程证明报告由认证服务器对所述任一节点针对创建的第一链下可信执行环境产生的第一自荐信息进行验证后生成；

所述任一节点接收所述其他节点在根据所述第一远程证明报告确定所述第一链下可信执行环境可信的情况下发送的对应于所述链下隐私计算集群的集群身份密钥和第二远程证明报告，所述集群身份密钥在所述其他节点创建的第二链下可信执行环境内生成，在区块链节点与所述链下隐私计算集群中的各节点进行交互以部署或调用链下合约的过程中，所述集群身份密钥用于对交互数据进行加密解密和/或签名验签，所述第二远程证明报告由认证服务器对所述其他节点针对所述第二链下可信执行环境产生的第二自荐信息进行验证后生成；

所述任一节点在根据所述第二远程证明报告确定所述第二链下可信执行环境可信的情况下，在所述第一链下可信执行环境内维护所述集群身份密钥。