(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211005864.3 (22)申请日 2022.08.22 (71)申请人 北京冲量在线科技有限公司 地址 100095 北京市海淀区丰豪东路9号院 2号楼5层3单 元509 (72)发明人 宋雨筱　陈浩栋　刘尧　 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 基于可信执行环境与 Spark的安全可信数据 处理系统 (57)摘要 本发明实施例提供一种基于可信执行环境 与Spark的安全可信数据处理系统。 通过可信执 行环境保证数据跨域传输过程和数据计算处理 过程中的机密性， 同时基于可信执行环境的远程 认证机制， 实现数据机密与计算过程的一致性度 量检查。 通过将Spark大数据计算框架执行环境 改造移植至可信执行环境内部， 实现隐私保护条 件下的安全 可信数据处理系统， 从而在保护数据 方数据隐私安全的的条件下， 以当前主流Spark 计算框架进行大数据量级可信安全处理， 实现融 合多方数据的联合建模， 打通多方数据孤岛。 权利要求书2页 说明书4页 附图1页 CN 115378703 A 2022.11.22 CN 115378703 A 1.一种基于可信执行环境与Spark的安全可信数据处理系统， 其特征在于， 包括： 基于 可信执行环境的数据传输网关、 基于可信执行环境的数据连接器、 基于可信执行环境的 Spark worker节点以及基于可信执 行环境的SparkMaster 节点； 所述基于可信执行环境的数据传输网关用于检查数据传输目标方的身份校验及计算 环境一致性检查， 并且与基于可信执行环境的数据连接器进行加密密钥协商， 使用协商后 的加密密钥对数据方 出域数据进行加密操作。 所述基于可信执行环境的数据连接器用于获取后续进行实际计算处理 的加密数据， 并 使用协商密钥对其进 行解密， 将解密后的数据根据程序需求进 行格式转换， 转换为Spar k计 算框架可以处 理的数据结构。 所述基于可信执行环境的Spark  worker节点通过将Spark计算框架的worker模块开发 移植进可信执 行环境， 提供 数据处理的计算环境； 所述基于可信执行环境 的Sparkmaster节点通过将Spark计算框架的master模块开发 移植进可信执 行环境， 提供 数据处理任务创建、 计算任务调度和客户端请求响应。 2.根据权利要求1所述的一种基于可信执行环境与Spark的安全可信数据处理系统， 其 特征在于， 所述基于可信执 行环境的数据传输网关还要求： 该模块自身的实现需要基于具备一致性度量检查或远程认证的可信执行环境技术， 比 如基Enclave的IntelSGX、 基于安全虚拟机的AMD  SEV和海光CSV， 以便可以度量检查该模块 数据加密密钥协商过程与数据加密过程的一致性， 确保相关过程的执行逻辑与声明的执行 逻辑一致。 3.根据权利要求1所述的一种基于可信执行环境与Spark的安全可信数据处理系统， 其 特征在于， 所述基于可信执行环境的数据连接器的实现需要基于具备一致性度量检查或远 程认证的可信执行环境技术， 比如基Enclave的IntelSGX、 基于安全虚拟机的AMD  SEV和海 光CSV， 以便可以度量检查该模块数据加密密钥协商 过程与数据解密过程的一致性， 确保相 关过程的执行逻辑与声明的执行逻辑一致。 该模块的实现还因符合Spark计算框架数据获 取接口要求， 以便可以将加密后的计算数据转换为Spark计算框架可以处 理的特定格式。 4.根据权利要求1所述的一种基于可信执行环境与Spark的安全可信数据处理系统， 其 特征在于， 所述基于可信执行环 境的Spar k worker节点因基于一种符合国家信创标准的安 全虚拟机可信执行环 境技术进 行构建， 例如海光CSV， 原因在于基于安全虚拟机的可信执行 环境可以无侵入完成对应Spark  worker的移植， 以确保对上层Sparkmaster接口的兼容适 配。 5.根据权利要求1所述的一种基于可信执行环境与Spark的安全可信数据处理系统， 其 特征在于， 所述基于可信执行环 境的Spar k master节 点因基于一种符合国家信创标准的安 全虚拟机可信执行环 境技术进 行构建， 例如海光CSV， 原因在于基于安全虚拟机的可信执行 环境可以无侵入完成对应Sparkmaster的移植， 以确保对上层应用客户端及业务系统接口 的兼容适配。 6.根据权利要求1所述的一种基于可信执行环境与Spark的安全可信数据处理系统， 其 特征在于， 所述基于可信执行环境的数据传输网关和基于可信执行环境的数据连接器之间 的密钥协商机制需要符合Diffie ‑Hellman密钥协商算法流程， 通过双方各自公钥和私钥协 商出后续数据加解密所使用的对称密钥。权　利　要　求　书 1/2 页 2 CN 115378703 A 27.根据权利要求1所述的一种基于可信执行环境与Spark的安全可信数据处理系统， 其 特征在于， 所述基于可信执行环境的数据传输网关和基于可信执行环境的数据连接器之间 的数据加解密需要 使用国密SM4对称加解密进行实现。权　利　要　求　书 2/2 页 3 CN 115378703 A 3