CN111262694A

CN111262694A - 一种基于tee的安全代理重加密方法

Info

Publication number: CN111262694A
Application number: CN202010026636.9A
Authority: CN
Inventors: 李伟; 邱炜伟; 尹可挺; 匡立中; 胡为
Original assignee: Hangzhou Qulian Technology Co Ltd
Current assignee: Hangzhou Qulian Technology Co Ltd
Priority date: 2020-01-10
Filing date: 2020-01-10
Publication date: 2020-06-09

Abstract

本发明公开了一种基于TEE的安全代理重加密方法，属于计算机安全和密码学技术领域，该方法具体为：信息传输双方各自生成非对称密钥对，并将各自的密钥对上传至载有可信执行环境的可信服务器中。信息发送方用自身的公钥加密信息后，发送至可信服务器；可信服务器先用发送方的私钥解密，再用接收方的公钥加密，然后将加密后的信息发送给接收方。接收方接收到解密的信息后，用自身的私钥解密即可。本方法中，载有TEE的可信服务器充当了代理人角色。该方法具有资源消耗小，成本低的特点。

Description

一种基于TEE的安全代理重加密方法

技术领域

本发明属于计算机安全和密码学技术领域，具体地涉及一种基于TEE的安全代理重加密方法。

背景技术

基于用户数据隐私性考虑，用户存放在云端的数据都是加密形式存在的。而云环境中存在着大量数据共享的场景。由于数据拥有者对云服务提供商并不完全信任，不能将解密密文的密钥发送给云端，由云端来解密并分享出去。数据拥有者自己下载密文解密后，再用数据接收方的公钥加密并分享，无疑给数据拥有者带来很大的麻烦，同时也失去了云端数据共享的意义。

发明内容

针对现有技术存在的问题，本发明提供了一种基于TEE的安全代理重加密方法。该方法基于TEE的代理重加密功能将用户的非对称密钥存储在TEE中，确保密钥不会被窃取，可以使代理重加密在***漏数据拥有者解密密钥的情况下，实现云端密文数据共享。

本发明的目的是通过如下技术方案实现的：一种基于TEE的安全代理重加密方法，具体包括以下步骤：

(1)数据发送方与数据接收方各自生成非对称密钥对，并将数据发送方ID、数据发送方的非对称密钥对、数据接收方ID和数据接收方的非对称密钥对上传至可信服务器安全存储；所述非对称密钥对包含一个公钥和一个私钥。

(2)数据发送方用其非对称密钥对中的公钥加密数据后，发送到可信服务器。

(3)数据发送方将数据发送方ID和数据接收方ID作为参数发送给可信服务器，发送基于HTTP或RPC协议的代理重加密请求到可信服务器；

(4)可信服务器收到代理重加密请求后，先用数据发送方的私钥解密，再用数据接收方的公钥加密，获得重加密数据。

(5)可信服务器将重加密数据发送给数据接收方。

(6)数据接收方用其私钥解密得到源数据。

与现有技术相比，本发明具有如下有益效果：基于可信硬件，减少了对计算资源的消耗，所需计算成本低。同时通过硬件增强了***的安全性，即使可信服务器被入侵，可信执行环境也能保证信息交换方的密钥安全，保证数据不会被窃取，降低了被攻击的可能性。

附图说明

图1为本发明安全代理重加密方法的流程图。

具体实施方式

如图1为本发明安全代理重加密方法的流程图，所述安全代理重加密方法具体包括以下步骤：

(1)数据发送方与数据接收方各自生成非对称密钥对，并将数据发送方ID、数据发送方的非对称密钥对、数据接收方ID和数据接收方的非对称密钥对上传至可信服务器安全存储；所述非对称密钥对包含一个公钥和一个私钥。此时，可信服务器拥有各方的ID和密钥对，可以代表各方进行可信加解密操作，充当了可信代理人的角色。

(2)数据发送方用其非对称密钥对中的公钥加密数据后，连同数据发送方ID和数据接收方ID作为参数，发送基于HTTP或RPC协议的代理重加密请求到可信服务器，调用代理重加密功能；

(3)可信服务器收到代理重加密请求后，先用数据发送方的私钥解密，获取源数据，再用数据接收方的公钥加密，获得重加密数据。由于加解密是在可信执行环境中执行的，保证了数据的安全性和隐私性。

(4)可信服务器将重加密数据发送给数据接收方。

(5)数据接收方用其私钥解密得到源数据。

本发明的方法能够减少了对计算资源的消耗，所需计算成本低。同时通过硬件增强了***的安全性，即使可信服务器被入侵，可信执行环境也能保证信息交换方的密钥安全，保证数据不会被窃取，降低了被攻击的可能性。

Claims

1.一种基于TEE的安全代理重加密方法，其特征在于，具体包括以下步骤：

(5)可信服务器将重加密数据发送给数据接收方。

(6)数据接收方用其私钥解密得到源数据。