一种跨数据中心实现多方安全求和方法及系统技术方案

本发明专利技术涉及一种跨数据中心实现多方安全求和方法，该方法包括以下步骤：步骤1：设置多个节点，分别为一个guest数据中心节点和多个host数据中心节点；步骤2：guest数据中心节点发起任务，每个节点生成公钥对(n,g,p)，确定参与的数据中心节点的数量k；步骤3：每个节点执行加密任务；步骤4：每个节点之间交换子密钥数据和承诺；步骤5：每个节点验证收到的子密钥；步骤6：每个节点对子密钥进行求和，host数据中心节点将求和后的子密钥发送至guest数据中心节点；步骤7：guest数据中心节点验证子密钥和；步骤8：guest数据中心节点获取授信额度的总和，与现有技术相比，本发明专利技术具有解决数据安全性和隐私性问题、增强对客户的管控能力和动态跟踪客户的整体状况等优点。跟踪客户的整体状况等优点。跟踪客户的整体状况等优点。

A method and system for multi-party secure summation across data centers

【技术实现步骤摘要】
一种跨数据中心实现多方安全求和方法及系统


[0001]本专利技术涉及数据安全领域，尤其是涉及一种跨数据中心实现多方安全求和方法及系统。

技术介绍

[0002]银行、保险等金融行业普遍自建数据中心，将软件系统在自建数据中心进行私有化部署，即使是金融集团的下属消费金融、银行、保险公司，软件系统也是部署在各自的数据中心当中。当前，集团公司鼓励数据要素流动共享，联合各分散的数据中心所有数据，通过安全合规的多方计算来实现业务的赋能。而为实现业务赋能，需要对各数据中心的部分隐私数据进行求和，而目前仍采用传统通信方式共享这些隐私数据进行求和，这带来了隐私数据泄露的风险。
[0003]FeldmanVSS是一种可验证秘密共享方案，安全性基于大数分解难题，借助公钥密码系统和同态函数，采用拉格朗日插值法恢复秘密。最初用于解决密钥管理问题，防止通信双方在信息交换时密钥泄露或者被篡改替换。所有参与者可以验证密钥管理中心分配的子密钥的一致性和其他人出示的子密钥的真实性，在现有技术中，未进行安全加密，有需求的双方沟通需求范围后，通过传统传输方式互相提供隐私数据进行求和，不符合数据安全规定，即现有不同机构之间数据只能明文传输，具有泄露风险，不符合相关数据安全法规，因此不能共享流通。为此，本专利技术提出了一种多个金融机构各数据中心能够联合进行所需要的隐私数据求和计算，同时又无需泄露自有隐私数据的多方安全求和方法。

技术实现思路

[0004]本专利技术的目的就是为了克服上述现有技术存在的缺陷而提供一种跨数据中心实现多方安全求和方法及系统。
[0005]本专利技术的目的可以通过以下技术方案来实现：
[0006]一种跨数据中心实现多方安全求和方法，该方法包括以下步骤：
[0007]步骤1：设置多个节点，分别为一个作为发起方的guest数据中心节点和多个host数据中心节点；
[0008]步骤2：guest数据中心节点发起任务，每个节点根据RFC5114生成公钥对(n,g,p)，确定参与的其他数据中心节点的数量k；
[0009]步骤3：每个节点执行加密任务；
[0010]步骤4：每个节点之间按照参与的数据中心编号两两交换子密钥数据和承诺；
[0011]步骤5：每个节点通过计算V1和V2验证收到的子密钥；
[0012]步骤6：每个节点将各自分配的子密钥和收到的子密钥进行求和，host数据中心节点将求和后的子密钥发送至guest数据中心节点；
[0013]步骤7：guest数据中心节点同样通过计算V1和V2验证子密钥和；
[0014]步骤8：guest数据中心节点通过重构数据获取某类隐私数据和。
[0015]所述的步骤1中，guest数据中心节点具体为发起需求的数据中心，host数据中心节点具体为提供数据的数据中心。
[0016]所述的步骤3中，每个节点执行加密任务的过程具体包括以下步骤：
[0017]步骤201：每个节点获取输入数据，对原始的授信额度进行编码得到a0，在[0,p]之间随机生成k
‑
1个随机整数a1,a2,a3,...,a
k
‑1，共同组成多项式系数，得到多项式f(x)＝a0+a1*x+a2*x2+...，计算子密钥＜1,f(1)＞、＜2,f(2)＞、
…
、＜k,f(k)＞；
[0018]步骤202：生成承诺C＝g
ai
。
[0019]所述的步骤5中，每个节点通过计算V1和V2验证收到的子密钥的过程具体为：
[0020]若V1＝V2，则验证通过，V1和V2的计算公式分别为：
[0021]V1＝g
f(x)
[0022][0023]其中，V1为本节点计算得到的验证值，V2为某一节点计算得到的验证值，C为收到的某一节点的承诺，g为公钥对(n,g,p)中的参数，f(x)为收到的某一节点的子密钥，k为数据分块数，即节点的数量。
[0024]所述的步骤8中，guest数据中心节点通过重构数据获取授信额度的总和的过程具体为：
[0025]guest数据中心节点采用拉格朗日插值法求解拉格朗日多项式x＝0时的y值，通过解码y值得到某类隐私数据和。
[0026]一种实现所述跨数据中心实现多方安全求和方法的系统，该系统包括guest数据中心节点和多个host数据中心节点：
[0027]所述的guest数据中心节点包括设置在内网区的管理模块、算法模块和数据平台以及设置在DMZ区的反向代理服务器和消息中间件服务器；
[0028]每个所述的host数据中心节点分别包括设置在内网区的管理模块、算法模块和数据平台以及设置在DMZ区的反向代理服务器和消息中间件服务器。
[0029]所述的管理模块用以发起任务；
[0030]所述的算法模块与本地的管理模块连接，用以读写数据；
[0031]所述的数据平台与本地的管理模块和算法模块连接，用以存储本方数据和写入的外部数据，并由算法模块的读写程序控制；
[0032]所述的反向代理服务器与本地的管理模块连接，且每个反向代理服务器之间相互连接，用以负载均衡和安全防护；
[0033]所述的消息中间件服务器与本地的算法模块连接，且每个消息中间件服务器之间建立消息队列连接，用以传输数据。
[0034]所述的消息中间件服务器的功能包括发送和接收子密钥、承诺、密钥和消息。
[0035]所述的管理模块的功能包括任务的发起、任务的审批、任务的终止、数据的授权审批、参与用户的管理、自有数据上传和结果下载，且通过DMZ区的反向代理服务器实现。
[0036]所述的算法模块用以根据管理模块发起的任务调度算法，通过算法读取数据平台的本方数据并进行加密，获取加密结果，通过消息中间件服务器发送加密结果，接收消息中间件服务器的数据进行计算验证，最后将本地的计算结果写入数据平台。
[0037]与现有技术相比，本专利技术具有以下优点：
[0038]本专利技术能够实现金融机构之间跨越各数据中心对业务所需的隐私数据进行多方求和的安全计算，满足监管要求，解决数据安全性和隐私性问题，有利于金融机构之间统一调度，增强对客户的管控能力，动态跟踪客户的整体状况和运用数据赋能业务。
附图说明
[0039]图1为本专利技术的系统结构图。
[0040]图2为本专利技术的方法流程图。
具体实施方式
[0041]下面结合附图和具体实施例对本专利技术进行详细说明。
[0042]实施例
[0043]本专利技术基于安全多方计算协议中的FeldmanVSS，FeldmanVSS具体为Feldman提出的可验证秘密共享方案，各数据中心节点首先对原始数据编码加密，然后进行数据交换，最后在选定节点求和及解密得到各数据中心所求的数据和。节点中的计算基于有限域上的运算，同时使用系数承诺保证了分发的碎片数据可验证。整个数据通信过程中，每一数据中心的隐私数据不出本地，各gu本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种跨数据中心实现多方安全求和方法，其特征在于，该方法包括以下步骤：步骤1：设置多个节点，分别为一个作为发起方的guest数据中心节点和多个host数据中心节点；步骤2：guest数据中心节点发起任务，每个节点根据RFC5114生成公钥对(n,g,p)，确定参与的其他数据中心节点的数量k；步骤3：每个节点执行加密任务；步骤4：每个节点之间按照参与的数据中心编号两两交换子密钥数据和承诺；步骤5：每个节点通过计算V1和V2验证收到的子密钥；步骤6：每个节点将各自分配的子密钥和收到的子密钥进行求和，host数据中心节点将求和后的子密钥发送至guest数据中心节点；步骤7：guest数据中心节点同样通过计算V1和V2验证子密钥和；步骤8：guest数据中心节点通过重构数据获取某类隐私数据和。2.根据权利要求1所述一种跨数据中心实现多方安全求和方法，其特征在于，所述的步骤1中，guest数据中心节点具体为发起需求的数据中心，host数据中心节点具体为提供数据的数据中心。3.根据权利要求1所述一种跨数据中心实现多方安全求和方法，其特征在于，所述的步骤3中，每个节点执行加密任务的过程具体包括以下步骤：步骤201：每个节点获取输入数据，对原始的授信额度进行编码得到a0，在[0,p]之间随机生成k
‑
1个随机整数a1,a2,a3,...,a
k
‑1，共同组成多项式系数，得到多项式f(x)＝a0+a1*x+a2*x2+...，计算子密钥＜1,f(1)＞、＜2,f(2)＞、
…
、＜k,f(k)＞；步骤202：生成承诺C＝g
ai
。4.根据权利要求3所述一种跨数据中心实现多方安全求和方法，其特征在于，所述的步骤5中，每个节点通过计算V1和V2验证收到的子密钥的过程具体为：若V1＝V2，则验证通过，V1和V2的计算公式分别为：V1＝g
f(x)
其中，V1为本节点计算得到的验证值，V2为某一节点计算得到的验证值，C为收到的某一节点的承诺，g为公钥对(n,g,p)中的参数，f(x)为收到的某一节点的子密钥...

【专利技术属性】
技术研发人员：孙舒雯，石新蕾，
申请(专利权)人：中银金融科技有限公司，
类型：发明
国别省市：