本技术涉及计算机,尤其涉及一种基于可信执行环境的数据处理方法、装置、设备以及介质。
背景技术:
1、目前针对集成有资源管理客户端的业务终端(例如,用户终端)而言,所采用的密钥存储方案大多为中心化的密钥托管方案,即该中心化的密钥托管方案具体是指业务对象(例如,用户a和用户b)会通过相应业务终端(例如,用户终端)将自己的密钥单点(或者集中)存放在第三方托管方对应的托管设备中。
2、发明人在实践中发现,对于上述中心化的密钥托管方案而言,当某个用户(例如,用户a)需要使用自己的密钥(例如,密钥y),对自己当前所获取到的交易(例如,交易tx1)进行交易签名时,就可以在该用户a访问该资源管理客户端时,直接通过由托管设备所存储的该用户a的这个密钥(例如,密钥y),来对这笔交易进行交易签名,进而可以将交易签名后所得到的交易签名信息返回给该用户a所访问的资源管理客户端。但是,由于托管设备被用于单点(或者集中)存储不同用户的密钥,那么,当非法用户非法访问到该第三放托管方对应的托管设备时,将会造成单点(或者集中)存储在该托管设备中的密钥的批量性丢失。所以,对于该用户a所对应的资源管理客户端而言,将难以判断在该交易tx1的签名过程中所使用的该用户a的密钥是否为合法密钥。换言之,对于目前所使用的中心化的密钥托管方案而言,将难以确保由第三方所托管的用户密钥的安全性。
技术实现思路
1、本技术实施例提供一种基于可信执行环境的数据处理方法、装置、设备以及介质,可以确保在交易签名过程中所使用的存储在不同设备中的密钥分片的安全性,从而可以提升交易上链的可靠性。
2、本技术实施例一方面提供了一种基于可信执行环境的数据处理方法,方法由资源管理客户端执行,方法包括:
3、在业务对象通过对象访问数据信息访问资源管理客户端时,对部署在可信执行环境中的密钥托管客户端进行远程认证,且在远程认证成功时,获取与密钥托管客户端协商得到的第一通信密钥,通过第一通信密钥对对象访问数据信息进行加密处理,得到对象数据加密信息;
4、在获取到业务对象发送的待签名交易时,基于待签名交易对应的第一阈值签名策略将对象数据加密信息和待签名交易发送给密钥托管客户端,以使密钥托管客户端基于第一通信密钥解密得到对象访问数据信息,通过对象访问数据信息对业务对象进行身份验证,且在身份验证成功时,通过密钥托管客户端所存储的托管密钥分片对待签名交易进行远程签名处理,得到待签名交易的交易远程签名信息;
5、在接收到密钥托管客户端返回的交易远程签名信息时,使用对象访问数据信息解密得到业务对象的第一密钥分片,通过第一密钥分片对待签名交易进行本地签名处理,得到待签名交易的交易本地签名信息;
6、基于交易远程签名信息和交易本地签名信息,确定待签名交易的第一累计签名数量,在第一累计签名数量达到第一阈值签名策略所指示的累计签名阈值时,将待签名交易作为待写入区块链的已签名交易,将已签名交易发送给区块链节点,以使区块链节点将已签名交易写入区块链。
7、本技术实施例一方面提供了一种基于可信执行环境的数据处理方法,由密钥托管客户端执行,密钥托管客户端部署在可信执行环境中,方法包括:
8、接收资源管理客户端基于待签名交易对应的第一阈值签名策略发送的对象数据加密信息和待签名交易;对象数据加密信息是资源管理客户端通过第一通信密钥对对象访问数据信息进行加密处理后所得到的;第一通信密钥是资源管理客户端在对密钥托管客户端进行远程认证,且远程认证成功时,与密钥托管客户端协商得到的;对象访问数据信息是在业务对象访问资源管理客户端时所录入的;
9、基于第一通信密钥解密得到对象访问数据信息,通过对象访问数据信息对业务对象进行身份验证,且在身份验证成功时,通过密钥托管客户端所存储的托管密钥分片对待签名交易进行远程签名处理,得到待签名交易的交易远程签名信息;
10、将交易远程签名信息发送给资源管理客户端,以使资源管理客户端在使用对象访问数据信息解密得到业务对象的第一密钥分片时,通过第一密钥分片对待签名交易进行本地签名处理,得到待签名交易的交易本地签名信息,且在资源管理客户端基于交易远程签名信息和交易本地签名信息,确定待签名交易的第一累计签名数量,在第一累计签名数量达到第一阈值签名策略所指示的累计签名阈值时,将待签名交易作为待写入区块链的已签名交易,将已签名交易发送给区块链节点。
11、本技术实施例一方面提供了一种基于可信执行环境的数据处理装置,装置运行在资源管理客户端上,包括:
12、远程认证模块,用于在业务对象通过对象访问数据信息访问资源管理客户端时,对部署在可信执行环境中的密钥托管客户端进行远程认证,且在远程认证成功时,获取与密钥托管客户端协商得到的第一通信密钥,通过第一通信密钥对对象访问数据信息进行加密处理,得到对象数据加密信息;
13、交易发送模块,用于在获取到业务对象发送的待签名交易时,基于待签名交易对应的第一阈值签名策略将对象数据加密信息和待签名交易发送给密钥托管客户端,以使密钥托管客户端基于第一通信密钥解密得到对象访问数据信息,通过对象访问数据信息对业务对象进行身份验证,且在身份验证成功时,通过密钥托管客户端所存储的托管密钥分片对待签名交易进行远程签名处理,得到待签名交易的交易远程签名信息;
14、本地签名处理模块,用于在接收到密钥托管客户端返回的交易远程签名信息时,使用对象访问数据信息解密得到业务对象的第一密钥分片,通过第一密钥分片对待签名交易进行本地签名处理,得到待签名交易的交易本地签名信息;
15、交易上链模块,用于基于交易远程签名信息和交易本地签名信息,确定待签名交易的第一累计签名数量,在第一累计签名数量达到第一阈值签名策略所指示的累计签名阈值时,将待签名交易作为待写入区块链的已签名交易,将已签名交易发送给区块链节点,以使区块链节点将已签名交易写入区块链。
16、可选的,其中,装置还包括:
17、注册信息查找模块,用于在获取到业务对象录入的对象访问数据信息时,在与资源管理客户端相关联的注册业务数据库中查找与对象访问数据信息相匹配的对象注册数据信息,得到数据信息查找结果;
18、注册访问模块,若数据信息查找结果指示查找到与对象访问数据信息相匹配的对象注册数据信息,则确定业务对象为具备访问权限的已注册对象,且允许作为已注册对象的业务对象访问资源管理客户端。
19、可选的,装置还包括:
20、提示生成模块,用于若数据信息查找结果指示未查找到与对象访问数据信息相匹配的对象注册数据信息,则确定业务对象为未注册对象,且生成用于提示业务对象的访问失败提示信息。
21、其中,对象注册数据信息包括业务对象在请求注册资源管理客户端时所录入的注册密码信息和注册生物特征信息;
22、注册信息查找模块包括:
23、访问信息获取单元,用于获取业务对象在请求访问资源管理客户端所录入的对象访问数据信息;
24、查找匹配单元,用于在对象访问数据信息包含访问密码信息和访问生物特征信息时,在与资源管理客户端相关联的注册业务数据库中查找与访问密码信息匹配的注册密码信息,且在注册数据库中查找与访问生物特征信息相匹配的注册生物特征信息;
25、第一查找确定单元,用于若在业务数据库中查找到与访问密码信息匹配的注册密码信息,且查找到与访问生物特征信息相匹配的注册生物特征信息,则确定在注册业务数据库中查找到与对象访问数据信息相匹配的对象注册数据信息;
26、第二查找确定单元,用于若业务数据库中未查找到与访问密码信息匹配的注册密码信息,或者未查找到与访问生物特征信息相匹配的注册生物特征信息,则确定在注册业务数据库中未查找到与对象访问数据信息相匹配的对象注册数据信息,且将未查找到与对象访问数据信息相匹配的对象注册数据信息的查找结果作为信息查找失败结果;
27、查找结果确定单元,用于将信息查找成功结果或者信息查找失败结果,作为数据信息查找结果。
28、其中,远程认证模块包括:
29、访问鉴权单元,用于获取业务对象的对象访问数据信息,在基于对象访问数据信息确定业务对象具备访问资源管理客户端的访问权限时,基于访问权限允许业务对象访问资源管理客户端;对象访问数据信息中包含业务对象在访问资源管理客户端时所录入的访问密码信息;
30、远程认证单元,用于通过资源管理客户端对部署在可信执行环境中的密钥托管客户端进行远程认证,得到远程认证结果;
31、认证成功确定单元,用于在远程认证结果指示可信执行环境为安全执行环境,且密钥托管客户端为安全执行环境中的可信客户端时,确定远程认证成功;
32、信息加密处理单元,用于在远程认证成功时,获取进行远程认证时与密钥托管客户端协商得到的第一通信密钥,通过第一通信密钥对对象访问数据信息中的访问密码信息进行加密处理,将加密处理后的访问密码信息作为业务对象的对象数据加密信息。
33、其中,对象访问数据信息中包含业务对象在访问资源管理客户端时所录入的访问生物特征信息;
34、信息加密处理单元,具体用于通过第一通信密钥对对象访问数据信息中的访问生物特征信息进行加密处理,将加密处理后的访问生物特征信息作为业务对象的对象数据加密信息。
35、其中,远程认证单元,具体用于生成用于进行远程认证的第一随机数,在生成用于数据通信的第一通信密钥对时,将第一随机数和第一通信密钥对中的第一通信公钥作为请求参数,基于请求参数生成用于向部署在可信执行环境中的密钥托管客户端发送第一远程认证请求;
36、远程认证单元,还具体用于将第一远程认证请求发送给密钥托管客户端,以使密钥托管客户端基于第一远程认证请求生成第二通信密钥对,将第二通信密钥对中的第二通信公钥和接收到的远程认证请求中的第一随机数作为报告参数,生成携带报告参数的本地验证报告;本地验证报告用于指示与可信执行环境相关联的本地平台认证签名组件,对本地验证报告进行本地验证,且在本地验证成功时,生成本地验证报告对应的远程托管认证签名报告;
37、远程认证单元,还具体用于接收由本地平台认证签名组件返回的远程托管认证签名报告,获取由远程认证服务器提供的托管环境认证报告,在基于托管环境认证报告确定远程托管认证签名报告为有效认证报告时,确定可信执行环境为安全执行环境,从与资源管理客户端相关联的可信客户端审核平台上,获取由多个审核机构针对密钥托管客户端进行任务评审后所得到的远程托管评审认证报告;
38、远程认证单元,还具体用于将远程托管评审认证报告中的关键报告参数与远程托管认证签名报告中的关键报告参数进行参数对比,且在参数比对成功时,确定部署在安全执行环境中的密钥托管客户端为可信客户端的远程认证成功结果,将远程认证成功结果作为远程认证结果。
39、其中,资源管理客户端的资源管理内存中存储有注册对称密钥和第一密钥分片对应的第一加密密钥分片;注册对称密钥是由业务对象在注册资源管理客户端时所提供的注册生物特征信息所生成的;第一加密密钥分片是在业务对象为已注册对象时,通过注册对称密钥对第一密钥分片进行加密处理后所得到的;
40、本地签名处理模块包括:
41、生物特征获取单元,用于在接收到密钥托管客户端返回的交易远程签名信息时,基于对象注册策略中的在线分片加密策略,从对象访问数据信息中获取业务对象在访问资源管理客户端时所提供的访问生物特征信息;
42、访问密钥生成单元,用于通过访问生物特征信息生成访问对称密钥,从资源管理内存中获取注册对称密钥和第一加密密钥分片;
43、密钥分片解密单元,用于在确定注册对象密钥与访问注册对象密钥匹配时,通过与注册对象密钥匹配的访问注册密钥,对第一加密密钥分片进行解密处理,还原得到第一加密密钥分片对应的第一密钥分片;
44、本地签名信息确定单元,用于通过第一密钥分片对待签名交易进行本地签名处理,得到待签名交易的交易本地签名信息。
45、其中,交易上链模块包括:
46、签名数量累计单元,用于基于第一阈值签名策略,累计交易远程签名信息和交易本地签名信息的第一签名数量,将累计到的第一签名数量作为待签名交易的第一累计签名数量;
47、聚合签名单元,用于在第一累计签名数量达到第一阈值签名策略所指示的累计签名阈值时,基于第一阈值签名策略对交易远程签名信息和交易本地签名信息进行聚合签名,得到待签名交易的第一聚合签名信息,基于第一聚合签名信息将待签名交易作为待写入区块链的已签名交易;
48、聚合签名发送单元,用于将已签名交易、第一聚合签名信息发送给区块链节点,以使区块链节点基于第一聚合签名信息中所携带的全局聚合公钥对已签名交易进行聚合签名验证,且在聚合签名验证成功时,将已签名交易写入区块链节点所维护的区块链;全局聚合公钥是对远程签名信息中所携带的公钥和本地签名信息中所携带的公钥进行聚合计算所得到的。
49、可选的,其中,可信执行环境中部署有独立于密钥托管客户端的日志记录客户端;在日志记录客户端为可信客户端时,日志记录客户端用于在获取到由密钥托管客户端发送的交易远程签名信息时,基于日志签名密钥生成交易远程签名信息对应的签名记录流水信息,且将签名记录流水信息添加至日志记录客户端对应的可信日志内存;
50、装置还包括:
51、日志评审报告获取模块,用于从与资源管理客户端相关联的可信客户端审核平台上,获取由多个审核机构针对日志记录客户端进行任务评审后所得到的远程日志评审认证报告,基于远程日志评审认证报告中所携带的日志签名密钥生成针对待签名交易进行签名查询的第一签名查询请求;
52、流水信息查找模块,用于将第一签名查询请求发送给日志记录客户端,以使日志记录客户端基于第一签名查询请求中所携带的日志签名密钥在可信日志内存中查找签名记录流水信息;
53、远程签名确认模块,用于通过资源管理客户端接收由日志记录客户端返回的在可信日志内存中查找到的签名记录流水信息的第一查找结果,基于第一查找结果中的签名记录流水信息确定密钥托管客户端在第一阈值签名策略时参与对待签名交易进行远程签名处理。
54、其中,装置还包括:
55、日志认证报告获取模块,用于在向日志记录客户端进行远程认证时,接收由与可信执行环境相关联的本地平台认证签名组件发送的远程日志认证签名报告;
56、执行环境确认模块,用于获取由远程认证服务器针对可信执行环境提供的日志环境认证报告,在通过日志环境认证报告确定与远程日志认证签名报告为有效认证报告时,确定可信执行环境为安全执行环境,从与资源管理客户端相关联的可信客户端审核平台上,获取由多个审核机构针对日志记录客户端进行任务评审后所得到的远程日志评审认证报告;
57、执行环境确认模块,还用于将远程日志评审认证报告中的关键报告参数与远程日志认证签名报告中的关键报告参数进行参数对比,且在参数比对成功时,确定部署在安全执行环境中的日志记录客户端为可信客户端。
58、可选地,其中,资源管理客户端集成运行在第一业务终端上,与业务对象相关联的业务终端包含第二业务终端;第二业务终端为独立于第一业务终端的离线终端;第二业务终端用于记录业务对象的第二密钥分片;
59、装置还包括:
60、数据码获取模块,用于在远程认证失败时,确定密钥托管客户端当前处于离线状态,在获取到业务对象发送的待签名交易时,基于待签名交易对应的第二阈值签名策略,获取第二业务终端上显示的待签名交易的交易签名数据码;交易签名数据码是由第二业务终端针对待签名交易的第一类签名信息所生成的;第一类签名信息是由第二业务终端通过第二密钥分片对待签名交易进行第一签名处理后所得到的;
61、离线签名解析模块,用于对获取到的交易签名数据码进行数据解析,解析得到交易签名数据码中携带的第一类签名信息;
62、第一密钥分片解密模块,用于在使用对象访问数据信息解密得到业务对象的第一密钥分片时,通过第一密钥分片对待签名交易进行第二签名处理,得到待签名交易的第二类签名信息;
63、签名数量累计模块,用于基于第一类签名信息和第二类签名信息,确定待签名交易的第二累计签名数量,在第二累计签名数量达到第二阈值签名策略所指示的累计签名阈值时,将待签名交易作为待写入区块链的已签名交易,将已签名交易发送给区块链节点,以使区块链节点将已签名交易写入区块链。
64、可选地,其中,装置还包括:
65、签名查询请求生成模块,用于从与资源管理客户端相关联的客户端审核平台上,获取由多个审核机构针对日志记录客户端进行任务评审后所得到的远程日志评审认证报告,基于远程日志评审认证报告中所携带的日志签名密钥生成针对待签名交易进行签名查询的第二签名查询请求;
66、签名查询请求发送模块,用于将第二签名查询请求发送给日志记录客户端,以使日志记录客户端基于签名查询请求中所携带的日志签名密钥在日志记录客户端的可信日志内存中查找针对待签名交易的签名记录流水信息;
67、查找结果确定模块,用于通过资源管理客户端接收由日志记录客户端返回的在可信日志内存中未查找到签名记录流水信息的第二查找结果,基于第二查找结果确定密钥托管客户端在第二阈值签名策略时未参与对待签名交易进行远程签名处理。
68、可选的,其中,在业务对象通过对象访问数据信息访问资源管理客户端之前,远程认证模块还用于在业务对象为未注册对象时,通过业务对象提供的对象注册数据信息对资源管理客户端进行对象注册,且在对象注册成功时将对象注册数据信息存储至注册业务数据库后,通过资源管理客户端对部署在可信执行环境中的密钥托管客户端进行远程认证,且在远程认证成功时,获取与密钥托管客户端协商得到的第二通信密钥;
69、远程认证模块,还用于通过第二通信密钥对对象注册数据信息中的注册密码信息进行加密处理,得到注册密码信息对应的注册密码加密信息;
70、远程认证模块,还用于将注册密码加密信息发送给密钥托管客户端,以使密钥托管客户端通过与资源管理客户端协商得到的第二通信密钥,对注册密钥加密信息进行解密处理,还原得到注册密码信息,且将还原得到的注册密码信息存储至密钥托管客户端的可信托管内存;存储在密钥托管客户端的可信托管内存中的注册密码信息用于对获取到的对象访问数据信息中的访问密码信息进行远程信息鉴权,且在远程信息鉴权成功时,授权业务对象调用托管密钥分片。
71、本技术实施例一方面提供了一种基于可信执行环境的数据处理装置,装置运行在密钥托管客户端上,密钥托管客户端部署在可信执行环境中,包括:
72、交易接收模块,用于接收资源管理客户端基于待签名交易对应的第一阈值签名策略发送的对象数据加密信息和待签名交易;对象数据加密信息是资源管理客户端通过第一通信密钥对对象访问数据信息进行加密处理后所得到的;第一通信密钥是资源管理客户端在对部署在可信执行环境中的密钥托管客户端进行远程认证,且远程认证成功时,与密钥托管客户端协商得到的;对象访问数据信息是在业务对象访问资源管理客户端时所录入的;
73、远程签名处理模块,用于基于第一通信密钥解密得到对象访问数据信息,通过对象访问数据信息对业务对象进行身份验证,且在身份验证成功时,通过密钥托管客户端所存储的托管密钥分片对待签名交易进行远程签名处理,得到待签名交易的交易远程签名信息;
74、远程签名信息发送模块,用于将交易远程签名信息发送给资源管理客户端,以使资源管理客户端在使用对象访问数据信息解密得到业务对象的第一密钥分片时,通过第一密钥分片对待签名交易进行本地签名处理,得到待签名交易的交易本地签名信息,且在资源管理客户端基于交易远程签名信息和交易本地签名信息,确定待签名交易的第一累计签名数量,在第一累计签名数量达到第一阈值签名策略所指示的累计签名阈值时,将待签名交易作为待写入区块链的已签名交易,将已签名交易发送给区块链节点。
75、本技术实施例一方面提供了一种计算机设备,包括存储器和处理器,存储器与处理器相连,存储器用于存储计算机程序,处理器用于调用计算机程序,以使得该计算机设备执行本技术实施例中上述一方面提供的方法。
76、本技术实施例一方面提供了一种计算机可读存储介质,计算机可读存储介质中存储有计算机程序,计算机程序适于由处理器加载并执行,以使得具有处理器的计算机设备执行本技术实施例中上述一方面提供的方法。
77、根据本技术的一个方面,提供了一种计算机程序产品或计算机程序,该计算机程序产品或计算机程序包括计算机指令,该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令,处理器执行该计算机指令,使得该计算机设备执行上述一方面提供的方法。
78、本技术实施例可以在业务对象通过对象访问数据信息访问资源管理客户端时,通过资源管理客户端对部署在可信执行环境中的密钥托管客户端进行远程认证,且在远程认证成功时,获取与密钥托管客户端协商得到的第一通信密钥,进而可以通过第一通信密钥对对象访问数据信息进行加密处理,得到对象数据加密信息;进一步的,资源管理客户端可以在获取到业务对象发送的待签名交易时,基于待签名交易对应的第一阈值签名策略将对象数据加密信息和待签名交易发送给密钥托管客户端,以使密钥托管客户端基于第一通信密钥解密得到对象访问数据信息,通过对象访问数据信息对业务对象进行身份验证,且在身份验证成功时,通过密钥托管客户端所存储的托管密钥分片对待签名交易进行远程签名处理,得到待签名交易的交易远程签名信息;进一步的,资源管理客户端可以在接收到密钥托管客户端返回的交易远程签名信息时,使用对象访问数据信息解密得到业务对象的第一密钥分片,通过第一密钥分片对待签名交易进行本地签名处理,得到待签名交易的交易本地签名信息;由此可见,本技术实施例通过将密钥分片部署在不同的客户终端上(例如,第一密钥分片可以加密存储在资源管理客户端上、托管密钥分片可以存储在部署于可信执行环境中的密钥托管客户端上),可以确保密钥存储的安全性,从而可以在交易签名过程中,提升交易签名的可靠性。比如,本技术实施例通过将密钥托管客户端部署在可信执行环境,可以从根源上解决第三方托管方所持有的密钥托管设备因设备丢失而造成的托管密钥分片非法泄露的问题,通过将在写密钥分片进行加密存储,也可以防止用户所持有的业务终端因遗失所导致的第一密钥分片的非法泄露的现象。最后,本技术实施例可以基于交易远程签名信息和交易本地签名信息,确定待签名交易的第一累计签名数量,在第一累计签名数量达到第一阈值签名策略所指示的累计签名阈值时,将待签名交易作为待写入区块链的已签名交易,将已签名交易发送给区块链节点,以使区块链节点将已签名交易写入区块链。换言之,本技术实施例通过使用阈值签名策略(这里是指用户与第三方托管方可以共同参与进行协同签名的策略),可以依赖于达到累计签名阈值(例如,2个)的多个签名信息,将当前交易(即待签名交易)确定为已签名交易,进而可以将该已签名交易通过区块链节点写入至区块链,以确保交易上链的可靠性。
1.一种基于可信执行环境的数据处理方法,其特征在于,所述方法由资源管理客户端执行,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求2所述的方法,其特征在于,所述对象注册数据信息包括所述业务对象在请求注册所述资源管理客户端时所录入的注册密码信息和注册生物特征信息;
5.根据权利要求1所述的方法,其特征在于,所述在业务对象通过对象访问数据信息访问所述资源管理客户端时,对部署在所述可信执行环境中的密钥托管客户端进行远程认证,且在远程认证成功时,获取与所述密钥托管客户端协商得到的第一通信密钥,通过所述第一通信密钥对所述对象访问数据信息进行加密处理,得到对象数据加密信息,包括:
6.根据权利要求5所述的方法,其特征在于,所述对象访问数据信息中包含所述业务对象在访问所述资源管理客户端时所录入的访问生物特征信息;
7.根据权利要求5所述的方法,其特征在于,所述通过所述资源管理客户端对部署在所述可信执行环境中的密钥托管客户端进行远程认证,得到远程认证结果,包括:
8.根据权利要求1所述的方法,其特征在于,所述资源管理客户端的资源管理内存中存储有注册对称密钥和所述第一密钥分片对应的第一加密密钥分片;所述注册对称密钥是由所述业务对象在注册所述资源管理客户端时所提供的注册生物特征信息所生成的;所述第一加密密钥分片是在所述业务对象为已注册对象时,通过所述注册对称密钥对所述第一密钥分片进行加密处理后所得到的;
9.根据权利要求1所述的方法,其特征在于,所述基于所述交易远程签名信息和所述交易本地签名信息,确定所述待签名交易的第一累计签名数量,在所述第一累计签名数量达到所述第一阈值签名策略所指示的累计签名阈值时,将所述待签名交易作为待写入区块链的已签名交易,将所述已签名交易发送给区块链节点,包括:
10.根据权利要求1所述的方法,其特征在于,所述可信执行环境中部署有独立于所述密钥托管客户端的日志记录客户端;在所述日志记录客户端为可信客户端时,所述日志记录客户端用于在获取到由所述密钥托管客户端发送的所述交易远程签名信息时,基于日志签名密钥生成所述交易远程签名信息对应的签名记录流水信息,且将所述签名记录流水信息添加至所述日志记录客户端对应的可信日志内存;
11.根据权利要求10所述的方法,其特征在于,所述方法还包括:
12.根据权利要求1所述的方法,其特征在于,所述资源管理客户端集成运行在第一业务终端上,与所述业务对象相关联的业务终端包含第二业务终端;所述第二业务终端为独立于所述第一业务终端的离线终端;所述第二业务终端用于记录所述业务对象的第二密钥分片;
13.根据权利要求12所述的方法,其特征在于,所述方法还包括:
14.根据权利要求1所述的方法,其特征在于,在业务对象通过对象访问数据信息访问所述资源管理客户端之前,所述方法还包括:
15.一种基于可信执行环境的数据处理方法,其特征在于,所述方法由密钥托管客户端执行,所述密钥托管客户端部署在所述可信执行环境中,所述方法包括:
16.一种基于可信执行环境的数据处理装置,其特征在于,所述装置运行在资源管理客户端上,包括:
17.一种基于可信执行环境的数据处理装置,其特征在于,所述装置运行在密钥托管客户端上,所述密钥托管客户端部署在所述可信执行环境中,包括:
18.一种计算机设备,其特征在于,包括存储器和处理器;
19.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机程序,所述计算机程序适于由处理器加载并执行,以使得具有所述处理器的计算机设备执行权利要求1-15任一项所述的方法。
20.一种计算机程序产品,其特征在于,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现权利要求1-15任一项所述的方法。
