【技术实现步骤摘要】
针对隐私数据的数据存储、数据读取方法及装置
本说明书一个或多个实施例涉及数据安全领域,尤其涉及针对隐私数据的数据存储、数据读取方法及装置。
技术介绍
可信计算集群是由运行在可信执行环境(TrustedExecutionEnvironment,TEE)中的多个可信计算单元所构成的计算集群。可信计算集群能够提供数据计算服务。可信计算单元具有一定的隔离能力,进而保证数据计算的安全性。可信计算单元完成对数据的计算之后,可以将计算过程中产生的隐私数据通过加密的方式存储在高可用存储设备中。数据查看方可以对高可用存储设备中的隐私数据进行读取,且可能存在多次读取的需求。可信计算单元存在向数据查看方提供隐私数据的解密密钥的需求,但又需要尽可能避免与数据查看方进行过多交互。因此,希望能有改进的方案,可以更加安全、便利地实现数据存储和数据提取。
技术实现思路
本说明书一个或多个实施例描述了针对隐私数据的数据存储、数据读取方法及装置,可以更加安全、便利地实现数据存储和数据提取。具体的技术方案如下。第一方面,实施例...
【技术保护点】
1.一种针对隐私数据的数据存储方法,通过第一可信计算单元执行,所述方法包括:/n获取待存储的第一隐私数据;/n确定针对所述第一隐私数据的第一密钥信息;其中,所述第一密钥信息包括第一加密密钥和对应的第一解密密钥;/n使用所述第一加密密钥加密所述第一隐私数据,得到第一加密数据;/n将所述第一加密数据存储至数据存储平台;/n使用数据管理方的公钥加密所述第一解密密钥,得到第二加密数据;/n将所述第二加密数据存储至所述数据管理方,以使得数据查看方通过与所述数据管理方的交互获取所述第一解密密钥。/n
【技术特征摘要】
1.一种针对隐私数据的数据存储方法,通过第一可信计算单元执行,所述方法包括:
获取待存储的第一隐私数据;
确定针对所述第一隐私数据的第一密钥信息;其中,所述第一密钥信息包括第一加密密钥和对应的第一解密密钥;
使用所述第一加密密钥加密所述第一隐私数据,得到第一加密数据;
将所述第一加密数据存储至数据存储平台;
使用数据管理方的公钥加密所述第一解密密钥,得到第二加密数据;
将所述第二加密数据存储至所述数据管理方,以使得数据查看方通过与所述数据管理方的交互获取所述第一解密密钥。
2.根据权利要求1所述的方法,所述获取待存储的第一隐私数据的步骤,包括:
将调用第一子计算任务对第一客户端发送的第一请求进行数据处理过程中生成的隐私数据,确定为待存储的第一隐私数据。
3.根据权利要求2所述的方法,所述确定针对所述第一隐私数据的第一密钥信息的步骤,包括:
生成与所述第一请求对应的第一密钥信息,作为针对所述第一隐私数据的第一密钥信息;或者,
确定与所述第一客户端对应的第一密钥信息,作为针对所述第一隐私数据的第一密钥信息;或者,
确定所述第一子计算任务的第一处理类型,确定与所述第一处理类型对应的第一密钥信息,作为针对所述第一隐私数据的第一密钥信息。
4.根据权利要求1所述的方法,在使用所述数据管理方的公钥加密所述第一解密密钥之前,还包括:
与所述数据管理方进行远程RA认证,建立RA通道;
通过所述RA通道,获取所述数据管理方的公钥。
5.根据权利要求1所述的方法,所述第一加密密钥和所述第一解密密钥相同或者不同。
6.一种针对隐私数据的数据读取方法,通过数据查看方执行,所述方法包括:
向数据管理方发送针对第一隐私数据的查看请求;
获取所述数据管理方返回的第三加密数据;其中,所述第三加密数据基于使用所述数据查看方的公钥对第一解密密钥进行加密而得到,所述第一解密密钥用于对第一加密数据进行解密,所述第一加密数据基于对所述第一隐私数据加密而得到;
使用与所述数据查看方的公钥对应的私钥,对所述第三加密数据进行解密,得到所述第一解密密钥;
从数据存储平台获取所述第一加密数据;
使用所述第一解密密钥对所述第一加密数据进行解密,得到所述第一隐私数据。
7.根据权利要求6所述的方法,所述第三加密数据由所述数据管理方在确定所述数据查看方具有对所述第一隐私数据的查看权限时发送。
8.根据权利要求6所述的方法,在获取所述数据管理方返回的第三加密数据之前,还包括:
与所述数据管理方进行远程RA认证,建立RA通道;
通过所述RA通道,将所述数据查看方的公钥发送至所述数据管理方,以使所述数据管理方使用所述数据查看方的公钥对所述第一解密密钥进行加密而得到所述第三加密数据。
9.一种针对隐私数据的数据处理方法,通过数据管理方执行,所述方法包括:
获取第一可信计算单元发送的第二加密数据;其中,所述第二加密数据基于使用所述数据管理方的公钥对第一解密密钥进行加密而得到,所述第一解密密钥用于对第一加密数据进行解密,所述第一加密数据基于使用第一加密密钥对第一隐私数据进行加密而得到;
使用与所述数据管理方的公钥对应的私钥,对所述第二加密数据进行解密,得到所述第一解密密钥;
获取数据查看方发送的针对所述第一隐私数据的查看请求;
使用所述数据查看方的公钥对所述第一解密密钥进行加密,得到第三加密数据;
将所述第三加密数据发送至所述数据查看方,以使所述数据查看方使用与所述数据查看方的公钥对应的私钥对所述第三加密数据进行解密而得到所述第一解密密钥。
10.根据权利要求9所述的方法,所述使用所述数据查看方的公钥对所述第一解密密钥进行加密的步骤,包括:
验证所述数据查看方对所述第一隐私数据的查看权限;
当确定所述数据查看方具有对所述第一隐私数据的查看权限时,使用所述数据查看方的公钥对所述第一解密密钥进行加密。
11.根据权利要求10所述的方法,所述验证所述数据查看方对所述第一隐私数据的查看权限的步骤,包括:
向第三方管理平台验证所述数据查看方对所述第一隐私数据的查看权限;或者,
在所述数据管理方预先存储了具有对所述第一隐私数据的查看权限的查看方名单的情况下,判断所述数据查看方是否存在于所述查看方名单中,如果存在,则确定所述数据查看方具有对所述第一隐私数据的查看权限。
12.根据权利要求9所述的方法,在获取第一可信计算单元发送的第二加密数据之前,还包括:
与所述第一可信计算单元进行远程RA认证,建立RA通道;
通过所述RA通道,向所述第一可信计算单元发送所述数据管理方的公钥。
13.根据权利要求9所述的方法,在使用所述数据查看方的公钥对所述第一解密密钥进行加密之前,还包括:
与所述数据查看方进行远程RA认证,建立RA通道;
通过所述RA通道,获取所述数据查看方的公钥。
14.一种针对隐私数据的数据存储装置,部署在第一可信计算单元中,所述装置包括:
第一获取单元,配置为获取待存储的第一隐私数据;
第一确定单元,配置为确定针对所述第一隐私数据的第一密钥信息;其中,所述第一密钥信息包括第一加密密钥和对应的第一解密密钥;
第一加密单元,配置为使用所述第一加密密钥加密所述第一隐私数据,得到第一加密数据;
第一存储单元,配置为...
【专利技术属性】
技术研发人员:张宁,王磊,余超凡,周爱辉,
申请(专利权)人:支付宝杭州信息技术有限公司,
类型:发明
国别省市:浙江;33
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。