(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211180672.6 (22)申请日 2022.09.27 (71)申请人 南湖实验室 地址 314000 浙江省嘉兴 市南湖区七 星街 道香湖别墅2 9幢 (72)发明人 张磊　 (74)专利代理 机构 浙江永鼎律师事务所 3 3233 专利代理师 陆永强 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种支持隐私计算持久化数据大规模跨平 台迁徙的方法 (57)摘要 本发明公开了一种支持隐私计算持久化数 据大规模跨平台迁徙的方法， 借助秘钥管理系统 SKMS， 基于隐私计算的基本功能可信封存和可信 连接， 通过向满足要求的平台提供下载链接方式 能够实现隐私数据低部署成本、 高安全性和高效 率下的大规模迁徙， 极大提升数据部署、 使用灵 活性， 以及可信封存技 术落地性。 权利要求书2页 说明书5页 附图1页 CN 115277259 A 2022.11.01 CN 115277259 A 1.一种支持隐私计算持久化数据大规模跨平台迁徙的方法， 其特征在于， 包括以下步 骤： S1.Host0安全区与秘钥管理系统SKMS安全区建立可信连接； Host0是向其他平台分享 隐私数据的平台； S2.Host0安全区基于可信连接发送条目内容包含下载链接、 下载链接哈希值以及授权 平台信息的映射表至 秘钥管理系统SKMS安全区； Host0发送下载链接哈希值至一个或多个Hosti； Hosti为被分享隐私数据的平台， i=1, 2,...,N； S3.Hosti发送包 含自己身份信息的数据签名包至 秘钥管理系统SKMS； S4.秘钥管理系统SKMS安全区基于数据签名包和映射表对Hosti进行授权身份验证， 验 证通过后与Hosti建立可信连接； S5.秘钥管理系统SKMS安全区基于可信连接将Hosti所映射到的下载链接发送给相应 Hosti安全区， Hosti基于下载链接下载隐私数据； 所述的隐私数据为Host0基于隐私计算可 信封存技 术可信封存的数据； S6.Hosti基于事先获取的加密秘钥 对隐私数据在安全环境中解密， 基于隐私计算的可 信封存技 术对隐私数据进行本地可信封存。 2.根据权利要求1所述的支持隐私计算持久化数据大规模跨平台迁徙的方法， 其特征 在于， Host0可信封存隐私数据时选择可信封存方式为基于MrX；  MrX为Mrenclave或 Mrsigner， Mrenclave指相同的应用enclave才能解密， Mrsigner指相同的应用开发者开发 的应用才能解密。 3.根据权利要求2所述的支持隐私计算持久化数据大规模跨平台迁徙的方法， 其特征 在于， Hosti的数据签名包通过以下 方式生成： 由硬件测 量MrX_i： 获取应用测 量值Mrenclave_i、 应用开发者信息Mrsigner_i和硬件 标识符pid_i， 并由CPU硬件 对包含前述三者信息的repor t进行签名生成数据签名包。 4.根据权利要求3所述的支持隐私计算持久化数据大规模跨平台迁徙的方法， 其特征 在于， 步骤S6中， 所述的加密秘钥为由Host0提供的用于封存相应隐私数据的封存秘钥Ks， Hosti基于封存秘钥 Ks在安全区解密隐私数据， 并在隐私计算安全区里调用硬件指令集得 到封存秘钥Ksi， 基于 封存秘钥Ksi对隐私数据重新加密后封存； 步骤S2中， 所述映射表的条目内容还包括封存秘钥Ks以及封存秘钥ID标识符； Host0还 发送封存秘钥ID标识符至所述的一个或多个Hosti； 步骤S5中， 秘钥管理系统SKMS同时将Hosti所映射到的Host0封存秘钥Ks发送给相应 Hosti安全区。 5.根据权利要求4所述的支持隐私计算持久化数据大规模跨平台迁徙的方法， 其特征 在于， Host0可信封存隐私数据时生成相应封存秘钥Ks的ID： Ho st0_Ks_ID=Ho st0_pid+TYPE +MrX； 其中， Host0_pid为Host0硬件CPU标识符； TYPE=1时， MrX为  Mrenclave； TYPE=2时， MrX为  Mrsigner， 封存秘钥ID标识符为： Host0_Ks_ID的哈希值Hash(Host0_Ks_ID)。 6.根据权利要求5所述的支持隐私计算持久化数据大规模跨平台迁徙的方法， 其特征权　利　要　求　书 1/2 页 2 CN 115277259 A 2在于， 所述的映射表信息如下： 秘钥ID标识符Hash(Host0_Ks_ID)   ‑‑封存秘钥Ks ‑‑被分享隐私数据的平台白名单 {pid_t+TYPE_t+MrX_t} ‑‑封存加密数据地址{URL} ‑‑封存加密数据地址哈希Hash({URL}； 其中pid_t为被允许的其它平台硬件CPU标识符， 当pid_t设为0时， 表示允许任意硬件 平台； TYPE_t为允许方式， MrX_t为允许方式对应的值； TYPE_t=1时， 表示需要校验其它平台 上运行的应用MrEnclav e符合时才允许； TYPE_t=2时， 表 示需要校验其它平台上运行的应用 MrSigner符合时才允许； TYPE_t= 0时， 表示无需校验此允许 方式。 7.根据权利要求6所述的支持隐私计算持久化数据大规模跨平台迁徙的方法， 其特征 在于， 步骤S3中， Hosti发送数据签名包+封存秘钥Ks标识符Hash(Host0_Ks_ID)  +Hash ({URL})给秘钥管理系统SKMS； 步骤S4中， 秘钥管理系统SKMS验证数据签名包有效性， 并从包中提取出Mrenclave_i、 Mrsigner_i、 TYPE_i以及pid_i， 得到来自Hosti的Hash(Ho st0_Ks_ID)+pid_i+TYPE_i+MrX_ i(Mrenclave_i或Mrsigner_i)  + Hash({URL}） ， 基于映射表验证 收到的Hash(Host0_Ks_ ID)+pid_i+TYPE_i+MrX_i(Mrenclave_i或Mrsigner _i) + Hash({URL}） 是否与映射表存在 匹配条目， 若 有， 则建立可信连接 。 8.根据权利要求3 ‑7任意一项所述的支持隐私计算持久化数据 大规模跨平台迁徙的方 法， 其特征在于， Host0可信封存隐私数据时在隐私计算安全区里调用硬件指 令集得到封存 秘钥Ks， 基于 封存秘钥Ks加密隐私数据落盘存 储， 存储地址为{URL}； 所述的下载链接为隐私数据的存储地址URL， 下载链接 哈希值为相应的地址 哈希Hash ({URL}。 9.根据权利要求1 ‑7任意一项所述的支持隐私计算持久化数据 大规模跨平台迁徙的方 法， 其特征在于， 步骤S1中， Host0安全区与秘钥管理系统SKMS安全区建立可信 连接之前还 包括如下步骤： 秘钥管理系统SKMS在隐私计算 安全区运行秘钥管理应用Ap p‑SKMS； Host0先与 秘钥管理系统S KMS建立TLS连接， 秘钥管理系统S KMS安全区应用App ‑SKMS由 硬件测量得到测量 值Mrenclave_SKMS， 并签名发送给Host0安全区； Host0基于远程认证机制验证签名有效性， 当Mrenclave_SKMS在Host0白名单上时， 说 明SKMS及其 运行的应用是 可信的， 可进入步骤S1， 否则结束运行。 10.根据权利要求1 ‑7任意一下所述的支持隐私计算持久化数据大规模跨平台迁徙的 方法， 其特 征在于， 步骤S6中， Hosti对隐私数据可信封存之前先选择隐私数据可信封存方式MrX， TYPE_i= 1： 为Mrenclave 方式或者TYPE_i=2： 为Mrsigner方式； Host0至所有Hosti数据迁移均成功后， 秘钥管理系统SKMS删除所述的映射表。权　利　要　求　书 2/2 页 3 CN 115277259 A 3