数据传输、处理、授权方法及其系统技术方案

本说明书中的实施例提供了数据传输、处理、授权方法及其系统。各方的私密数据可按可信区域组内的一个或多个可信区域内的数据处理流程被处理成目标数据，待处理数据或结果数据在安全传输至可信区域前始终携来自指定方的秘钥，两者被一并加密，可信区域组内的某一可信区域获得目标数据以及解密出的来自指定方的秘钥后，使用该秘钥加密至少部分目标数据，再将使用该秘钥加密后的至少部分目标数据输出。如此，可以有效保护各方数据隐私。

【技术实现步骤摘要】
数据传输、处理、授权方法及其系统
本说明书实施例涉及信息
，特别涉及数据传输、处理、授权方法及其系统。
技术介绍
在可信执行环境（TrustedExecutionEnvironment，TEE）中联合多方的私密数据进行数据处理时，除了需要对数据的处理代码进行限制，以避免数据滥用和隐私泄漏，还有一种需求，就是希望在TEE中进行数据处理后输出的结果（如，模型、预测结果、统计信息等）只能由指定方使用，以避免数据滥用。目前，希望提供一种可避免在TEE中进行数据处理后输出的结果被滥用的方案。
技术实现思路
本说明书实施例之一提供一种数据传输方法，其中，所述方法由数据提供方的设备执行，其包括：获取待处理数据，所述待处理数据用于按可信区域组内的一个或多个可信区域中的数据处理流程被处理成目标数据；获取用于加密至少部分目标数据的秘钥；基于所述待处理数据以及所述秘钥，获得待加密信息；获取来自可信区域组授权系统的组公钥，所述组公钥对应于所述可信区域组；使用所述组公钥加密所述待加密信息，并将加密结果发送给具有所述可信区域内某一可信区域的设备。本说明书实施例之一提供一种数据传输系统，其中，包括：待处理数据获取模块，用于获取待处理数据，所述待处理数据用于按可信区域组内的一个或多个可信区域中的数据处理流程被处理成目标数据；秘钥获取模块，用于获取用于加密至少部分目标数据的秘钥；第一待加密信息获得模块，用于基于所述待处理数据以及所述秘钥，获得待加密信息；组公钥获取模块，获取来自可信区域组授权系统的组公钥，所述组公钥对应于所述可信区域组；第一加密模块，用于使用所述组公钥加密所述待加密信息，并将加密结果发送给具有所述可信区域组内的某一可信区域的设备。本说明书实施例之一提供一种数据传输装置，其中，包括处理器和存储设备，所述存储设备用于存储指令，当所述处理器执行指令时，实现如本说明书任一实施例所述的数据传输方法。本说明书实施例之一提供一种数据处理方法，其中，所述方法在可信区域组内的某一可信区域中执行，其包括：接收密文；获取来自可信区域组授权系统的组公钥和组私钥，所述组公钥和组私钥与所述可信区域组对应；使用所述组私钥解密所述密文，以获得待处理数据以及用于加密至少部分目标数据的秘钥；对所述待处理数据执行数据处理流程，以得到结果数据；基于所述结果数据以及所述秘钥，获得待加密信息；使用所述组私钥加密所述待加密信息，并将加密结果发送给所述可信区域组内的其他可信区域。本说明书实施例之一提供一种数据处理系统，其中，所述系统在可信区域组内的某一可信区域中实现，其包括：第一接收模块，用于接收密文；组公私钥获取模块，用于获取来自可信区域组授权系统的组公钥和组私钥，所述组公钥和组私钥与所述可信区域组对应；第一解密模块，用于使用所述组私钥解密所述密文，以获得待处理数据以及用于加密至少部分目标数据的秘钥；数据处理模块，用于对所述待处理数据执行数据处理流程，以得到结果数据；第二待加密信息获得模块，用于基于所述结果数据以及所述秘钥，获得待加密信息；第二加密模块，用于使用所述组私钥加密所述待加密信息，并将加密结果发送给所述可信区域组内的其他可信区域。本说明书实施例之一提供一种数据处理装置，其中，包括处理器和存储设备，所述存储设备用于存储指令，当所述处理器执行指令时，实现如本说明书任一实施例所述的数据处理方法。本说明书实施例之一提供一种数据授权方法，其中，所述方法在可信区域组内的某一可信区域中执行，其包括：接收密文；获取来自可信区域组授权系统的组私钥，所述组私钥与所述可信区域组对应；使用所述组私钥解密所述密文，以获得待处理数据以及用于加密至少部分目标数据的秘钥；基于所述待处理数据获得目标数据；利用所述秘钥加密至少部分目标数据；输出经过加密的至少部分目标数据。本说明书实施例之一提供一种数据授权系统，其中，所述系统在可信区域组内的某一可信区域中实现，其包括：第二接收模块，用于接收密文；组私钥获取模块，用于获取来自可信区域组授权系统的组私钥，所述组私钥与所述可信区域组对应；第二解密模块，用于使用所述组私钥解密所述密文，以获得待处理数据以及用于加密至少部分目标数据的秘钥；目标数据获得模块，用于基于所述待处理数据获得目标数据；第三加密模块，用于利用所述秘钥加密至少部分目标数据；输出模块，用于输出经过加密的至少部分目标数据。本说明书实施例之一提供一种数据授权装置，其中，包括处理器和存储设备，所述存储设备用于存储指令，当所述处理器执行指令时，实现如本说明书任一实施例所述的数据授权方法。附图说明本说明书将以示例性实施例的方式进一步说明，这些示例性实施例将通过附图进行详细描述。这些实施例并非限制性的，在这些实施例中，相同的编号表示相同的结构，其中：图1是根据本说明书一些实施例所示的数据共享系统的应用场景示意图；图2是根据本说明书一些实施例所示的数据传输方法的示例性流程图；图3是根据本说明书一些实施例所示的数据处理方法的示例性流程图；图4是根据本说明书一些实施例所示的数据在可信区域组内安全传输的示意图；图5是根据本说明书一些实施例所示的数据授权方法的示例性流程图；图6是根据本说明书一些实施例所示的数据传输系统的示例性框图；图7是根据本说明书一些实施例所示的数据处理系统的示例性框图；图8是根据本说明书一些实施例所示的数据授权系统的示例性框图。具体实施方式为了更清楚地说明本说明书实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单的介绍。显而易见地，下面描述中的附图仅仅是本说明书的一些示例或实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图将本说明书应用于其它类似情景。除非从语言环境中显而易见或另做说明，图中相同标号代表相同结构或操作。应当理解，本文使用的“系统”、“装置”、“单元”和/或“模组”是用于区分不同级别的不同组件、元件、部件、部分或装配的一种方法。然而，如果其他词语可实现相同的目的，则可通过其他表达来替换所述词语。如本说明书和权利要求书中所示，除非上下文明确提示例外情形，“一”、“一个”、“一种”和/或“该”等词并非特指单数，也可包括复数。一般说来，术语“包括”与“包含”仅提示包括已明确标识的步骤和元素，而这些步骤和元素不构成一个排它性的罗列，方法或者设备也可能包含其它的步骤或元素。本说明书中使用了流程图用来说明根据本说明书的实施例的系统所执行的操作。应当理解的是，前面或后面操作不一定按照顺序来精确地执行。相反，可以按照倒序或同时处理各个步骤。同时，也可以将其他操作添加到这些过程中，或从这些过程移除某一步或数步操作。在一些场景下，需要联合多方的私密数据进行数据处理。例如，数据提供方A持有特征数据，数据提供方B持有私密的标签数据，需要联合两方各自持有的特征数据和标签数据进行模型训练。又如，多个数据提供方持有私密且不同的特征数据，联合多方的特征数据进行模型训练本文档来自技高网...

【技术保护点】
1.一种数据传输方法，其中，所述方法由数据提供方的设备执行，其包括：/n获取待处理数据，所述待处理数据用于按可信区域组内的一个或多个可信区域中的数据处理流程被处理成目标数据；/n获取用于加密至少部分目标数据的秘钥；/n基于所述待处理数据以及所述秘钥，获得待加密信息；/n获取来自可信区域组授权系统的组公钥，所述组公钥对应于所述可信区域组；/n使用所述组公钥加密所述待加密信息，并将加密结果发送给具有所述可信区域内某一可信区域的设备。/n

【技术特征摘要】
1.一种数据传输方法，其中，所述方法由数据提供方的设备执行，其包括：
获取待处理数据，所述待处理数据用于按可信区域组内的一个或多个可信区域中的数据处理流程被处理成目标数据；
获取用于加密至少部分目标数据的秘钥；
基于所述待处理数据以及所述秘钥，获得待加密信息；
获取来自可信区域组授权系统的组公钥，所述组公钥对应于所述可信区域组；
使用所述组公钥加密所述待加密信息，并将加密结果发送给具有所述可信区域内某一可信区域的设备。


2.如权利要求1所述的方法，其中，所述待处理数据包括用于进行模型训练的样本数据，所述目标数据包括经过样本数据训练得到的模型和/或模型信息。


3.如权利要求1所述的方法，其中，所述秘钥包括数据提供方的公钥和/或来自第三方设备的公钥。


4.如权利要求1所述的方法，其中，所述可信区域包括SGX可信执行环境中的Enclave。


5.一种数据传输系统，其中，包括：
待处理数据获取模块，用于获取待处理数据，所述待处理数据用于按可信区域组内的一个或多个可信区域中的数据处理流程被处理成目标数据；
秘钥获取模块，用于获取用于加密至少部分目标数据的秘钥；
第一待加密信息获得模块，用于基于所述待处理数据以及所述秘钥，获得待加密信息；
组公钥获取模块，获取来自可信区域组授权系统的组公钥，所述组公钥对应于所述可信区域组；
第一加密模块，用于使用所述组公钥加密所述待加密信息，并将加密结果发送给具有所述可信区域组内的某一可信区域的设备。


6.一种数据传输装置，其中，包括处理器和存储设备，所述存储设备用于存储指令，当所述处理器执行指令时，实现如权利要求1~4中任一项所述的方法。


7.一种数据处理方法，其中，所述方法在可信区域组内的某一可信区域中执行，其包括：
接收密文；
获取来自可信区域组授权系统的组公钥和组私钥，所述组公钥和组私钥与所述可信区域组对应；
使用所述组私钥解密所述密文，以获得待处理数据以及用于加密至少部分目标数据的秘钥；
对所述待处理数据执行数据处理流程，以得到结果数据；
基于所述结果数据以及所述秘钥，获得待加密信息；
使用所述组私钥加密所述待加密信息，并将加密结果发送给所述可信区域组内的其他可信区域。


8.如权利要求7所述的方法，其中，所述秘钥包括来自数据提供方的公钥和/或来自第三方设备的公钥。


9.如权利要求7所述的方法，其中，所述数据处理流程为：
数据融合流程，用于将来自多个数据提供方的待处理数据进行融合；或者，
模型训练流程，用于利用样本数据对模型进行训练。


10.如权利要求7所述的方法，其中，所述可信区域包括SGX可信执行环境中的Enclave。


11.一种数据处理系统，其中，所述系统在可信区域组内的某一可信区域中实现，其包括：
第...

【专利技术属性】
技术研发人员：王磊，余超凡，
申请(专利权)人：支付宝杭州信息技术有限公司，
类型：发明
国别省市：浙江;33