CN116933334A - 基于数据运营项目的计算要素认证方法及装置 - Google Patents

Abstract

本发明实施例涉及一种基于数据运营项目的计算要素认证方法及装置，所述方法包括：接收计算要素实例节点发送的身份证书签名请求文件，依据所述身份证书签名请求文件进行认证后，向该计算要素实例节点发送身份证书；接收任务相关的计算要素实例节点发送的任务证书签名请求文件，依据所述任务证书签名请求文件进行认证后，向该计算要素实例节点发送任务证书。本发明实施例提供的技术方案，将数据运营项目中涉及的计算要素形成计算要素实例进行整体认证，认证证书在整个项目执行期间有效，使得监管***的服务端在整个项目执行器件可以实现对相关计算要素的监管，提高了认证的可靠性和数据交互的安全性。

Description

基于数据运营项目的计算要素认证方法及装置

技术领域

本发明实施例涉及数据计算的认证技术领域，尤其涉及一种基于数据运营项目的计算要素认证方法及装置。

背景技术

在现有的监管***认证方案中，被监管服务仅仅只从监管***完成身份注册，获得一个长期的授权证书后即可与其他被监管服务随意通信（不限时间不限次数的通信）。在这种方案中存在很明显的问题：监管***在分发证书后就无法控制详细的计算过程。

发明内容

基于现有技术的上述情况，本发明实施例的目的在于提供一种基于数据运营项目的计算要素认证方法及装置，将数据运营项目中涉及的计算要素形成计算要素实例进行整体认证，提高了认证的可靠性和数据的安全性。

为达到上述目的，根据本发明的一个方面，提供了一种基于项目的计算要素认证方法，应用于监管服务端，所述方法包括：

接收计算要素实例节点发送的身份证书签名请求文件，依据所述身份证书签名请求文件进行认证后，向该计算要素实例节点发送身份证书；

接收任务相关的计算要素实例节点发送的任务证书签名请求文件，依据所述任务证书签名请求文件进行认证后，向该计算要素实例节点发送任务证书，以使得各计算要素实例节点在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。

进一步的，所述方法还包括：

依据预设的项目形成项目要素集合，所述项目要素集合包括依据所述项目可被调用的多个计算要素实例；

向多个计算要素实例相关的计算要素提供方发送搭建指令，以使得各计算要素提供方根据搭建指令搭建项目要素集合中的计算要素实例，构成计算要素实例节点。

进一步的，所述方法还包括：获取所述项目中任务的任务信息，依据所述任务信息选取一个或多个计算要素实例搭建任务计算框架，并向所选取的计算要素实例节点发送通知指令，所述选取的计算要素实例节点为任务相关的计算要素实例节点；所述任务计算框架包括所选取的计算要素实例和所述任务信息；

将所述项目要素集合中各个计算要素实例的工作状态存储于计算要素实例列表中，所述工作状态至少包括当前所属任务和当前任务预计完成时间。

进一步的，向多个计算要素实例相关的计算要素提供方发送搭建指令，以使得各计算要素提供方根据搭建指令搭建项目要素集合中的计算要素实例，包括：

确定计算要素实例中涉及的计算要素和各计算要素之间的对应关系，所述计算要素包括硬件、平台和算法，或者硬件、平台和数据；

将所述算法或者数据部署至对应平台上，将已部署算法或者数据的平台部署至对应硬件上。

进一步的，将所述算法或者数据部署至对应平台上，将已部署算法或者数据的平台部署至对应硬件上，包括：

向所述硬件发送对应平台的哈希值和对应算法或者数据的哈希值；

向所述平台发送对应硬件的哈希值；

向所述算法或者数据发送对应硬件的哈希值和对应平台的哈希值；

以使得所述硬件、平台和算法，或者硬件、平台和数据之间通过哈希值进行验证并建立连接，以搭建所述计算要素实例。

进一步的，所述方法还包括：依据所述身份证书签名请求文件对计算要素实例节点进行认证后，依据身份认证后的计算要素实例节点进行组合，形成多个安全计算空间。

进一步的，所述计算要素实例节点的身份证书签名请求文件包括组成该算法要素实例的计算要素的哈希值，所述计算要素为硬件、平台、算法或者数据；依据所述身份证书签名请求文件进行认证，包括：

提取所述身份证书签名请求文件中计算要素的哈希值；

将所述计算要素的哈希值与已在本地注册和存储的计算要素哈希表以及黑名单进行对照，得到对照结果，所述计算要素哈希表包括硬件哈希表、平台哈希表、算法实例哈希表以及数据实例哈希表中的至少一个；

若对照结果符合要求，则向所述计算要素实例节点发送签名的身份证书。

进一步的，依据所述任务证书签名请求文件进行认证，包括：

接收计算要素实例节点发送的身份证书；

依据所述计算要素实例的身份证书进行身份验证；

若身份验证通过，则向所述计算要素实例节点发送签名的任务证书。

根据本发明的第二个方面，提供了一种基于项目的计算要素认证方法，应用于计算要素实例节点，所述方法包括：

向监管服务端发送身份证书签名请求文件，以从监管服务端获取身份证书；

接收监管服务端发送的通知指令，所述通知指令指示包括该计算要素实例在任务中的角色、任务涉及的组网规则、中间数据和结果数据的加密方式、以及与其他计算要素实例交互的预估时间；

向监管服务端发送任务证书签名请求文件，以从监管服务端获取任务证书，并在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。

进一步的，所述方法还包括：

依据所述任务证书携带的密钥对监管服务端下发的指令及相关信息进行加密和/或解密，对其他计算要素实例节点的相关数据进行加密和/或解密。

根据本发明的第三个方面，提供了一种基于项目的计算要素认证装置，应用于监管服务端，所述装置包括：

身份证书签发模块，用于接收计算要素实例节点发送的身份证书签名请求文件，依据所述身份证书签名请求文件进行认证后，向该计算要素实例节点发送身份证书；

任务证签发模块，用于接收任务相关的计算要素实例节点发送的任务证书签名请求文件，依据所述任务证书签名请求文件进行认证后，向该计算要素实例节点发送任务证书，以使得各计算要素实例节点在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。

综上所述，本发明实施例提供了一种基于数据运营项目的计算要素认证方法及装置，所述方法包括：接收计算要素实例节点发送的身份证书签名请求文件，依据所述身份证书签名请求文件进行认证后，向该计算要素实例节点发送身份证书；接收任务相关的计算要素实例节点发送的任务证书签名请求文件，依据所述任务证书签名请求文件进行认证后，向该计算要素实例节点发送任务证书，以使得各计算要素实例节点在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。本发明实施例提供的技术方案，将数据运营项目中涉及的计算要素形成计算要素实例进行整体认证，认证证书在整个项目执行期间有效，使得监管***的服务端在整个项目执行器件可以实现对相关计算要素的监管，提高了认证的可靠性和数据交互的安全性。

附图说明

图1是本发明一实施例提供的计算要素认证方法的流程图；

图2是本发明实施例中涉及的各因素之间的关系示意图；

图3是本发明实施例中技术要素实例的搭建示意图；

图4是一个算法要素实例为例的构建过程示意图；

图5是监管服务端向计算要素实例节点签发任务证书的过程示意图；

图6是本发明另一实施例提供的计算要素认证方法的流程图；

图7是计算要素实例节点通过身份证书签名请求文件获取身份证书的示意图；

图8是本发明一实施例提供的电子设备的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明了，下面结合具体实施方式并参照附图，对本发明进一步详细说明。应该理解，这些描述只是示例性的，而并非要限制本发明的范围。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本发明的概念。

需要说明的是，除非另外定义，本发明一个或多个实施例使用的技术术语或者科学术语应当为本发明所属领域内具有一般技能的人士所理解的通常意义。本发明一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。

下面结合附图对本发明的技术方案进行详细说明。本发明的实施例，提供了一种基于项目的计算要素认证方法，应用于监管服务端，图1中示出了该计算要素认证方法的流程图，所述方法包括如下步骤：

S202、接收计算要素实例节点发送的身份证书签名请求文件，依据所述身份证书签名请求文件进行认证后，向该计算要素实例节点发送身份证书。

S204、接收任务相关的计算要素实例节点发送的任务证书签名请求文件，依据所述任务证书签名请求文件进行认证后，向该计算要素实例节点发送任务证书，以使得各计算要素实例节点在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。

本发明实施例的计算要素认证方法例如基于数据运营项目的计算要素认证，首先由计算要素实例节点向监管服务端发送身份证书签名请求文件，以获得身份证书，然后由计算要素实例节点向监管服务端发送任务证书签名请求文件，以获得任务证书。身份证书是指由监管服务端签发的，定义计算要素实例身份的，在一个项目范围内生效的，用于向监管服务端证明身份的证书；任务证书是指由监管服务端签发的，在某一个计算任务中生效的，用于计算要素实例之间互相证明身份的证书。其中，计算要素实例节点的身份证书签名请求文件包括组成该算法要素实例的计算要素的哈希值，所述计算要素为硬件、平台、算法或者数据。上述步骤S202中，可以基于各计算要素的哈希值进行身份认证，包括如下步骤：

S2021、提取所述身份证书签名请求文件中计算要素的哈希值；计算要素实例节点包括算法要素实例节点和数据要素实例节点，算法要素实例的哈希值包括算法的哈希值、搭载该算法的平台和硬件的哈希值；数据要素实例的哈希值包括数据的哈希值、搭载该数据的平台和硬件的哈希值。根据所提取的哈希值，与在监管服务端注册和存储的平台哈希表、硬件哈希表、算法组件哈希表/数据哈希表、以及黑名单进行验证，如果平台哈希存在，硬件哈希存在，算法组件/数据哈希存在，且不在黑名单中，则签发该计算要素实例的身份证书。具体为：基于私钥生成证书签名请求，发送给监管服务端，监管服务端对证书进行数字签名并返回签名证书，保存在该计算要素实例节点。身份证书内容包括：硬件号、平台型号、版本号、算法/数据名称、算法组件版本号、数据集大小、数据集元数据、要素唯一标识符（硬件，平台，算法/数据）、到期时间、以及项目编号等。

S2022、将所述计算要素的哈希值与已在本地注册和存储的计算要素哈希表以及黑名单进行对照，得到对照结果，所述计算要素哈希表包括硬件哈希表、平台哈希表、算法实例哈希表以及数据实例哈希表中的至少一个；

S2023、若对照结果符合要求，则向所述计算要素实例节点发送签名的身份证书。

上述步骤S204中，在签发任务证书之前，依据计算要素实例节点的身份证书进行身份验证，若身份验证通过，则向所述计算要素实例节点发送签名的任务证书，从而获得任务证书的各计算要素实例节点在执行该任务期间可以依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。

根据某些可选的实施例，所述方法还包括：依据所述身份证书签名请求文件对计算要素实例节点进行认证后，依据身份认证后的计算要素实例节点进行组合，形成多个安全计算空间。其中，可以依据不同的节点特征形成安全计算空间，所述节点特征包括隐私计算策略、参与节点量、数据源、以及计算能力。可以依据不同的隐私计算策略形成安全计算空间，例如将计算策略为联邦学习的计算要素实例节点组成安全计算空间，将计算策略为多方安全计算的计算要素实例节点组成安全计算空间；还可以依据不同的节点量形成安全计算空间，例如将对应联邦学习的参与节点为10个的计算要素实例节点组成安全计算空间，对应联邦学习的参与节点为3个的计算要素实例节点组成安全计算空间；还可以依据不同的数据源形成安全计算空间，例如数据源分别医疗、金融、政务相关数据，以及为上述各个数据源的混合的计算要素实例节点分别组成安全计算空间；还可以依据不同的计算能力形成安全计算空间，例如，将数据吞吐量为同一级别的计算要素实例节点划分为同一计算空间。从而用户可以输入计算需求，例如隐私计算策略、节点数量、场景等，根据计算需求可以直接调取相应的安全计算空间进行计算。

图2中示出了本发明实施例中涉及的各因素之间的关系示意图。如图2所示，项目，通常指涉及多方计算的总工程，一个项目中会涉及多个项目相关的计算要素实例。一个项目中通常包含多个计算任务，项目信息是指同步给监管服务端的项目的基本信息，主要包括项目中涉及到的计算要素，计算要素排列组合后形成计算要素实例，计算要素间的认证方式，计算要素间传输的信息以及传输方式。计算要素实例由监管服务端管控和调度，由计算要素排列组合而成。计算要素包括数据、算法、平台、以及硬件。任务计算框架是指服务于项目中一个计算任务的计算框架，包括涉及到的计算要素实例和任务消息。其中，计算要素实例节点根据目标项目确定，例如通过如下步骤：

依据预设的项目形成项目要素集合，所述项目要素集合包括依据所述项目可被调用的多个计算要素实例；

向多个计算要素实例相关的计算要素提供方发送搭建指令，以使得各计算要素提供方根据搭建指令搭建项目要素集合中的计算要素实例，构成计算要素实例节点：确定计算要素实例中涉及的计算要素和各计算要素之间的对应关系，所述计算要素包括硬件、平台和算法，或者硬件、平台和数据；将所述算法或者数据部署至对应平台上，将已部署算法或者数据的平台部署至对应硬件上。搭建指令的内容可以包括：项目要素、要素角色（数据提供方、安全计算方、结果方），组网规则（数据提供方与安全计算方的匹配，以及要素之间的传输流向和数据读取方式）、各中间数据的加密方式，结果数据的加密方式，算法组件参数与数据参数的映射关系），计算要素实例两两之间在本次任务中交互所需的时间的预估。

图3中示出了技术要素实例的搭建示意图，如图3所示，可以先向事先已在监管服务端注册的计算要素发送项目信息以搭建项目相关的计算要素实例（项目中涉及到的计算要素，计算要素的排列组合信息（计算要素实例），计算要素间的认证方式，计算要素间传输的信息以及传输方式）。 接到项目信息的计算要素进行交互，先将平台部署到硬件，再将算法部署到已经部署了平台的硬件上，从而实现了包含算法、平台和硬件的算法要素实例的搭建；同理，数据要素实例也按照这样搭建。

可以通过发送待部署的计算要素的哈希值来实现部署，包括：向所述硬件发送对应平台的哈希值和对应算法或者数据的哈希值向所述平台发送对应硬件的哈希值；向所述算法或者数据发送对应硬件的哈希值和对应平台的哈希值；以使得所述硬件、平台和算法，或者硬件、平台和数据之间通过哈希值进行验证并建立连接，以搭建所述计算要素实例。图4中示出了以一个算法要素实例A为例的构建过程示意图，该算法实例由算法01、硬件01和平台01 组合而成，如图4所示，该算法要素实例的构建过程为：（1）将硬件01的哈希值与平台01的哈希值，发送给算法01；（2）将硬件01的哈希值发送给平台01；（3）将平台01的哈希值和算法01哈希值，发送给硬件01；在硬件01、平台01、算法01得到这些信息后，平台01与硬件01之间通过哈希值进行验证并建立连接，并通过该连接将平台01部署到硬件01上。算法01与部署了平台的硬件通过哈希值进行验证并建立连接，将算法01部署到已经部署了平台的硬件上，以此形成该算法要素实例。

根据某些可选的实施例，所述方法还包括：获取所述项目中任务的任务信息，依据所述任务信息选取一个或多个计算要素实例搭建任务计算框架，并向所述选取的计算要素实例节点发送通知指令，所述选取的计算要素实例节点为任务相关的计算要素实例节点；所述任务计算框架包括所选取的计算要素实例和所述任务信息；将所述项目要素集合中各个计算要素实例的工作状态存储于计算要素实例列表中，所述工作状态至少包括当前所属任务和当前任务预计完成时间。其中，在对计算要素进行选取时，可以依据所述任务信息确认项目要素集合中与该任务相关的计算要素实例；在所存储的计算要素实例列表中，选取当前所属任务为无，或者当前任务预计完成时间最短的计算要素实例。可以通过任务引擎对任务消息进行任务配置和分发，分发规则为：优先选择归属权为监管服务端或者该任务关联的项目中的同个类型的算法要素实例列表中，排队队列中总耗时短的算法要素实例（基于该算法要素实例所关联的硬件所能支持的最大计算并发数以及当前队列中的任务总数）。图5中示出了监管服务端向计算要素实例节点签发任务证书的过程示意图，其中，计算要素实例例如是联邦学习算法要素实例、密码学算法要素实例等。在任务引擎完成分配后，监管服务端下发任务消息给任务计算框架中各个算法要素实例和数据要素实例，各个算法要素实例和数据要素实例向监管服务端请求任务证书。其中，监管服务端通过各个计算要素实例身份证书验证计算要素实例的身份。验证通过后，签发任务证书给该计算要素实例。签发流程包括对计算要素实例私钥生成的证书签名请求进行数字签名，返回给计算要素实例。任务证书内容可以包括身份证书内容信息、证书有效期（根据计算所需时间的预估结果确定）、数据读取方式、要素实例组网对象、要素实例传输流向、要素实例角色信息等。

在任务结束之后，所述方法还包括：

接收计算要素实例节点发送的任务计算框架拆除信息，并依据所述拆除信息拆除所述任务计算框架。

本发明的实施例，还提供了一种基于项目的计算要素认证方法，应用于计算要素实例节点，图6中示出了该计算要素认证方法的流程图，所述方法包括如下步骤：

S402、向监管服务端发送身份证书签名请求文件，以从监管服务端获取身份证书。向监管服务端发送身份证书签名请求文件，事先获取该计算要素实例对应硬件的哈希值、对应平台的哈希值和对应算法或者数据的哈希值；基于各所述哈希值生成身份证书签名请求文件；将所述身份证书签名请求文件采用私钥签名后发送至监管服务端，由监管服务端采用对应的公钥验签。

身份证书签名请求文件（CSR）中包含了计算要素实例的哈希值。计算要素实例包含组成这个实例的计算要素，比如数据要素实例，包含数据、平台和硬件；算法要素实例，包含算法、平台和硬件。所以数据要素实例的哈希值，包含了组成它的数据的哈希值、平台的哈希值、硬件的哈希值；算法要素实例的哈希值，包含了组成它的算法的哈希值、平台的哈希值、硬件的哈希值。其中，身份证书签名请求文件可以通过各计算要素所属本地的专业注册工具（例如特定应用程序），结合该计算要素相应的数据信息，生成各计算要素的哈希值。图7中示出了计算要素实例节点通过身份证书签名请求文件获取身份证书的示意图。

S404、接收监管服务端发送的通知指令，所述通知指令指示包括该计算要素实例在任务中的角色、任务涉及的组网规则、中间数据和结果数据的加密方式、以及与其他计算要素实例交互的预估时间。

S406、向监管服务端发送任务证书签名请求文件，以从监管服务端获取任务证书，并在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。依据任务证书与其他计算要素实例节点进行认证，可以利用非对称密钥对进行认证。计算要素实例节点还可以依据所述任务证书携带的密钥对监管服务端下发的指令及相关信息进行加密和/或解密，对其他计算要素实例节点的相关数据进行加密和/或解密。其中，任务证书携带的密钥是随着任务证书下发的密钥，携带的密钥中可以包含指令加密密钥、指令解密密钥、数据加密密钥、数据解密密钥等。相关信息可以是任务相关信息，相关数据可以是任务计算需要传输的数据。获取任务证书中携带的验证公钥，所述验证公钥与所述身份证书签名请求文件的私钥对应；采用所述验证公钥对其他计算要素实例节点的任务证书中的签名进行认证。上述验证，可以依据约定的散列函数和规则生成对应所述计算要素实例的原始散列值；将所述原始散列值发送至监管服务端，以使得监管服务端对所述原始散列值进行签名后得到签名散列值；接收监管服务端发送的签名散列值和待认证其他计算要素实例节点发送的原始散列值；采用所述验证公钥对签名散列值进行解密，得到解密散列值；将所述解密散列值与所接收的原始散列值进行比对，若比对结果一致，则认证通过。例如有3个计算要素实例A、B、C，相互之间需要进行认证，任务中计算要素实例A和计算要素实例B需要将中间参数传输给计算要素实例C，则计算要素实例C需要验证计算要素实例A和计算要素实例B的任务证书，且计算要素实例A和计算要素实例B需要验证计算要素实例C的任务证书，任务证书由监管服务端签发，签发的任务证书中携带有对于监管服务端数字签名的私钥对应的验证公钥，所以计算要素实例C通过所获得的验证公钥验证计算要素实例A和计算要素实例B证书中的数字签名，同理计算要素实例A和计算要素实例B也是这样去验证计算要素实例C。验证过程中，计算要素实例根据约定的散列函数和规则生成对应这个计算要素实例的散列值（可以使用哈希值），监管服务端对于这个散列值进行签名，验证方会收到签名后的散列值1和要素实例未签名的散列值2，将签名后的散列值1使用监管服务端的公钥进行解密获取散列值1，与散列值2进行对比，如果是一致的，则验证通过。

根据某些可选的实施例，所述方法还包括：获取待认证其他计算要素实例节点的任务证书有效期，所述任务证书有效期根据所述与其他计算要素实例交互的预估时间生成在小于所述任务证书有效期的第一时间点处对待认证其他计算要素实例节点进行延期认证；若在第一时间点与其他计算要素实例交互未完成，则向监管服务端发送待交互的数据信息，以向监管服务端申请延长该计算要素实例节点的任务证书有效期；在任务执行完毕时，向监管服务端发送任务计算框架拆除信息，以使得监管服务端依据所述拆除信息拆除所述任务计算框架。针对证书超时情况的处理：因为每个任务证书签发时会通过任务单元的预估时间而形成任务证书有效期，在计算要素实例C中，会采集计算要素实例A和计算要素实例B的任务证书有效期，设置任务证书验证的时间点（小于有效期的时间点以及等于有效期的时间点），在小于有效期的时间戳下对计算要素实例A和计算要素实例B的证书再次进行验证，如果任务单元的计算任务没有完成，则需要任务证书过期的要素再去监管服务端进行申请延期任务证书，如果通过申请，则证书时间延长，如果没有通过申请，则证书不延长，并且在等于有效期的时间点验证时，证书销毁，任务单元停止。

本发明的实施例，还提供了一种基于项目的计算要素认证装置，应用于监管服务端，所述装置包括：

身份证书签发模块，用于接收计算要素实例节点发送的身份证书签名请求文件，依据所述身份证书签名请求文件进行认证后，向该计算要素实例节点发送身份证书；

任务证签发模块，用于接收任务相关的计算要素实例节点发送的任务证书签名请求文件，依据所述任务证书签名请求文件进行认证后，向该计算要素实例节点发送任务证书，以使得各计算要素实例节点在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。

本发明上述实施例提供的计算要素认证装置中各个模块实现其功能的具体过程与本发明上述实施例提供的计算要素认证方法的各步骤相同，因此，此处将省略其重复描述。

本发明的实施例，还提供了一种电子设备，图8所示为本发明一实施例提供的电子设备的结构示意图。如图8所示，该电子设备800包括：一个或多个处理器801和存储器802；以及存储在存储器802中的计算机程序指令，计算机程序指令在被处理器801运行时使得处理器801执行如上述任一实施例的计算要素认证方法。处理器801可以是中央处理单元（CPU）或者具有数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备中的其他组件以执行期望的功能。

存储器802可以包括一个或多个计算机程序产品，计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。易失性存储器例如可以包括随机存取存储器(RAM)和/或高速缓冲存储器(cache)等。非易失性存储器例如可以包括只读存储器(ROM)、硬盘、闪存等。在计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器801可以运行程序指令，以实现上文的本发明的各个实施例的计算要素认证方法中的步骤以及/或者其他期望的功能。

在一些实施例中，电子设备800还可以包括：输入装置803和输出装置804，这些组件通过总线***和/或其他形式的连接机构（图8中未示出）互连。例如，在该电子设备是单机设备时，该输入装置803可以是通信网络连接器，用于从外部的可移动设备接收所采集的输入信号。此外，该输入设备803还可以包括例如键盘、鼠标、麦克风等。该输出装置804可以向外部输出各种信息，例如可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等。

除了上述方法和设备以外，本发明的实施例还可以是计算机程序产品，包括计算机程序指令，计算机程序指令在被处理器运行时使得处理器执行如上述任一实施例的计算要素认证方法中的步骤。

计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本发明实施例操作的程序代码，程序设计语言包括面向对象的程序设计语言，诸如Java、C++等，还包括常规的过程式程序设计语言，诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。

此外，本发明的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，计算机程序指令在被处理器运行时使得处理器执行本发明的各个实施例的计算要素认证方法中的步骤。

计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器（RAM）、只读存储器（ROM）、可擦式可编程只读存储器（EPROM或闪存）、光纤、便携式紧凑盘只读存储器（CD-ROM）、光存储器件、磁存储器件、或者上述的任意合适的组合。

应理解，本发明实施例中的处理器可以为中央处理单元（Central ProcessingUnit，CPU），该处理器还可以是其他通用处理器、数字信号处理器（Digital SignalProcessor，DSP）、专用集成电路（Application Specific Integrated Circuit，ASIC）、现成可编程门阵列（Field Programmable Gate Array，FPGA）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

综上所述，本发明实施例涉及一种基于数据运营项目的计算要素认证方法及装置，所述方法包括：接收计算要素实例节点发送的身份证书签名请求文件，依据所述身份证书签名请求文件进行认证后，向该计算要素实例节点发送身份证书；接收任务相关的计算要素实例节点发送的任务证书签名请求文件，依据所述任务证书签名请求文件进行认证后，向该计算要素实例节点发送任务证书，以使得各计算要素实例节点在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。本发明实施例提供的技术方案，将数据运营项目中涉及的计算要素形成计算要素实例进行整体认证，认证证书在整个项目执行期间有效，使得监管***的服务端在整个项目执行器件可以实现对相关计算要素的监管，提高了认证的可靠性和数据交互的安全性。

应当理解的是，以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明的范围（包括权利要求）被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。本发明的上述具体实施方式仅仅用于示例性说明或解释本发明的原理，而不构成对本发明的限制。因此，在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。此外，本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (11)

1.一种基于项目的计算要素认证方法，其特征在于，应用于监管服务端，所述方法包括：

接收计算要素实例节点发送的身份证书签名请求文件，依据所述身份证书签名请求文件进行认证后，向该计算要素实例节点发送身份证书；

接收任务相关的计算要素实例节点发送的任务证书签名请求文件，依据所述任务证书签名请求文件进行认证后，向该计算要素实例节点发送任务证书，以使得各计算要素实例节点在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。

2.根据权利要求1所述的方法，其特征在于，所述方法还包括：

依据预设的项目形成项目要素集合，所述项目要素集合包括依据所述项目可被调用的多个计算要素实例；

向多个计算要素实例相关的计算要素提供方发送搭建指令，以使得各计算要素提供方根据搭建指令搭建项目要素集合中的计算要素实例，构成计算要素实例节点。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：获取所述项目中任务的任务信息，依据所述任务信息选取一个或多个计算要素实例搭建任务计算框架，并向所选取的计算要素实例节点发送通知指令，所述选取的计算要素实例节点为任务相关的计算要素实例节点；所述任务计算框架包括所选取的计算要素实例和所述任务信息；

将所述项目要素集合中各个计算要素实例的工作状态存储于计算要素实例列表中，所述工作状态至少包括当前所属任务和当前任务预计完成时间。

4.根据权利要求3所述的方法，其特征在于，向多个计算要素实例相关的计算要素提供方发送搭建指令，以使得各计算要素提供方根据搭建指令搭建项目要素集合中的计算要素实例，包括：

确定计算要素实例中涉及的计算要素和各计算要素之间的对应关系，所述计算要素包括硬件、平台和算法，或者硬件、平台和数据；

将所述算法或者数据部署至对应平台上，将已部署算法或者数据的平台部署至对应硬件上。

5.根据权利要求4所述的方法，其特征在于，将所述算法或者数据部署至对应平台上，将已部署算法或者数据的平台部署至对应硬件上，包括：

向所述硬件发送对应平台的哈希值和对应算法或者数据的哈希值；

向所述平台发送对应硬件的哈希值；

向所述算法或者数据发送对应硬件的哈希值和对应平台的哈希值；

以使得所述硬件、平台和算法，或者硬件、平台和数据之间通过哈希值进行验证并建立连接，以搭建所述计算要素实例。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：依据所述身份证书签名请求文件对计算要素实例节点进行认证后，依据身份认证后的计算要素实例节点进行组合，形成多个安全计算空间。

7.根据权利要求6所述的方法，其特征在于，所述计算要素实例节点的身份证书签名请求文件包括组成该算法要素实例的计算要素的哈希值，所述计算要素为硬件、平台、算法或者数据；依据所述身份证书签名请求文件进行认证，包括：

提取所述身份证书签名请求文件中计算要素的哈希值；

将所述计算要素的哈希值与已在本地注册和存储的计算要素哈希表以及黑名单进行对照，得到对照结果，所述计算要素哈希表包括硬件哈希表、平台哈希表、算法实例哈希表以及数据实例哈希表中的至少一个；

若对照结果符合要求，则向所述计算要素实例节点发送签名的身份证书。

8.根据权利要求7所述的方法，其特征在于，依据所述任务证书签名请求文件进行认证，包括：

接收计算要素实例节点发送的身份证书；

依据所述计算要素实例的身份证书进行身份验证；

若身份验证通过，则向所述计算要素实例节点发送签名的任务证书。

9.一种基于项目的计算要素认证方法，其特征在于，应用于计算要素实例节点，所述方法包括：

向监管服务端发送身份证书签名请求文件，以从监管服务端获取身份证书；

接收监管服务端发送的通知指令，所述通知指令指示包括该计算要素实例在任务中的角色、任务涉及的组网规则、中间数据和结果数据的加密方式、以及与其他计算要素实例交互的预估时间；

向监管服务端发送任务证书签名请求文件，以从监管服务端获取任务证书，并在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。

10.根据权利要求9所述的方法，其特征在于，所述方法还包括：

依据所述任务证书携带的密钥对监管服务端下发的指令及相关信息进行加密和/或解密，对其他计算要素实例节点的相关数据进行加密和/或解密。

11.一种基于项目的计算要素认证装置，其特征在于，应用于监管服务端，所述装置包括：

身份证书签发模块，用于接收计算要素实例节点发送的身份证书签名请求文件，依据所述身份证书签名请求文件进行认证后，向该计算要素实例节点发送身份证书；

任务证签发模块，用于接收任务相关的计算要素实例节点发送的任务证书签名请求文件，依据所述任务证书签名请求文件进行认证后，向该计算要素实例节点发送任务证书，以使得各计算要素实例节点在执行该任务期间依据任务证书与监管服务端或者其他计算要素实例节点进行认证后进行数据传输和/或数据计算。