CN115001687B - 一种基于秘密共享的身份隐私数据分布式存储方法和系统 - Google Patents

Abstract

本发明提供一种基于秘密共享的身份隐私数据分布式存储方法和系统，包括以下步骤：S1：获取身份隐私数据；S2：将所述身份隐私数据切分为若干份；S3：对切分后的每一份身份隐私数据进行编码；S4：将编码后的每一份身份隐私数据加密存储至不同的存储节点中。本发明将身份隐私数据编码后，分散存储至不同的存储节点。采用秘密共享技术，对不同存储节点的身份数据进行安全处理。

Description

一种基于秘密共享的身份隐私数据分布式存储方法和系统

技术领域

本发明涉及信息技术领域，更具体地，涉及一种基于秘密共享的身份隐私数据分布式存储方法和系统。

背景技术

随着大数据时代的到来，如何保护隐私数据和防止敏感信息泄露成为当前面临的重大挑战。在具体应用中，隐私即为数据，所有者不愿意被披露的敏感信息，包括敏感数据以及数据所表征的特性。含有隐私的信息在网络中传播的过程中，隐私感知、隐私保护、隐私分析都依赖于对隐私信息的定量化描述、隐私信息处理过程中形式化描述、隐私度量演化的公理化描述体系。隐私计算模型是研究基于多维度的隐私定义、刻画及演化理论构建的计算模型，可利用信息论、博弈论、优化理论、计算复杂性理论等工具，给出隐私的量化定义，建立一整套隐私信息处理过程中隐私变换的描述和计算规则，揭示隐私度量、隐私泄露收益损失比、隐私保护与分析复杂性代价以及隐私保护效果之间的内在联系，为隐私保护技术提供一套科学的、体系化的理论工具。

现有的隐私数据大量应用于生物识别中，所谓生物识别技术就是，通过计算机与光学、声学、生物传感器和生物统计学原理等高科技手段密切结合，利用人体固有的生理特性，（如指纹、脸象、虹膜等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定。生物识别技术比传统的身份鉴定方法更具安全、保密和方便性。生物特征识别技术具不易遗忘、防伪性能好、不易伪造或被盗、随身“携带”和随时随地可用等优点。

现有的个人生物隐私数据，比如人脸、指纹、虹膜等，往往作为图片，采用集中式存储和管理的方式保存在中心数据节点，并于其它的身份信息关联（比如身份证号、学号、手机号等）。目前，除了在登录系统时的密码保护外，并没有采取其它更多的保护措施，从而存在极大的隐私泄露风险。

现有技术中公开一种保护隐私的身份信息存储、身份认证方法及装置，其中，保护隐私的身份信息存储方法包括：身份证明服务端在对用户实名认证通过后，生成用户的分布式身份标识，并将分布式身份标识发送至用户的终端设备；终端设备获取用户的生物特征信息作为生物特征模板，并利用终端设备的第一公钥，采用同态加密算法对生物特征模板进行加密，得到密文生物特征模板，以及向身份签发服务端发送身份签发请求，其中包括分布式身份标识和密文生物特征模板；身份签发服务端响应于身份签发请 求，生成用户的身份凭证，并将身份凭证保存至区块链，其中，身份凭证包括分布式身份标识和密文生物特征模板。该方案利用传统的加解密方式来确保数据安全性、利用身份凭证来对应区块链的存储节点来方便数据查找，同样存在容易泄漏隐私的问题。

发明内容

本发明的首要目的是提供一种基于秘密共享的身份隐私数据分布式存储方法，采用秘密共享技术，对不同存储节点的身份数据进行安全处理。

本发明的进一步目的是提供一种基于秘密共享的身份隐私数据分布式存储系统。

为解决上述技术问题，本发明的技术方案如下：

一种基于秘密共享的身份隐私数据分布式存储方法，包括以下步骤：

S1：获取身份隐私数据；

S2：将所述身份隐私数据切分为若干份；

S3：对切分后的每一份身份隐私数据进行编码；

S4：将编码后的每一份身份隐私数据加密存储至不同的存储节点中。

上述方案中基于秘密共享对身份隐私数据进行保存，所谓秘密共享是将秘密拆分成多个分片，每个分片交由不同的参与方管理。只有超过一定门限数量的若干个参与方共同协作才能还原秘密信息，仅通过单一分片无法破解秘密，更加安全的保护身份隐私数据。

优选地，所述步骤S1中的身份隐私数据包括人脸图片。

优选地，所述步骤S1中，还将获取的人脸图片固定为一致的分辨率。

优选地，所述步骤S2中，将所述身份隐私数据切分为若干份，具体为：

将身份隐私数据切分为L份，按照顺序为每份身份隐私数据设置一个ID，ID的范围为0至L，同时为每份身份隐私数据生成一个RID，并建立RID与ID的关联关系。

优选地，所述步骤S3中，对切分后的每一份身份隐私数据进行编码，具体为：

对切分后的每一份身份隐私数据编码，转换成Base64编码。

优选地，所述步骤S4中，将编码后的每一份身份隐私数据加密存储至不同的存储节点中，存储节点规则如下：

根据存储节点的部署情况，获取存储节点数量，记为N，每个存储节点具有不同的ID，ID取值1至N；

对每一个RID，计算RID的hash值，记为H；

另H对N取模，记结果为i，i满足i＜N；

把每一个RID对应的Base64编码和RID存储至ID为i的存储节点上。

优选地，每个存储节点均做主从备份。

优选地，所述步骤S4中，将编码后的每一份身份隐私数据加密存储至不同的存储节点中，具体的加密方法如下：

根据存储节点的部署情况，获取存储节点数量，记为N，并保留在所有存储节点中，每个存储节点具有不同的ID，ID取值1至N；

随机生成密钥维度数据，记为M，其中，M≤N；

根据密钥维度数量，随机生成一个M维度的密钥向量，记为

；

随机生成N个M维向量，记为

；

根据密钥向量K和向量

构建N个方程：

通过方程

计算得到N个数值，记为

，作为存储节点n的私钥；

采用密钥向量K进行位移加密，具体为：

记存储到存储节点i的Base64编码为Bs64[i]，在密钥向量K中取第i个值

，把第i个Base64编码的每个字符的ASC值都加上

，通过转换后得到加密后的Base64编码，记为Bs64_Enc，加密完成。

优选地，存储在存储节点的数据进行解密时，具体的流程为：

集合M个节点的私钥

，从

中根据节点ID获取M个向量

，组合成M个方程组：

求解上面方程组可以获得密钥向量

；

令需要解密的字符串Bs64_Enc和节点i，在向量中K中取第i个值

，把第Bs64_Enc的每个字符的ASC值减去

，通过转换后得到解密后的Base64码，记为Bs64[i]。

一种基于秘密共享的身份隐私数据分布式存储系统，包括：

数据获取模块，所述数据获取模块获取身份隐私数据；

切分模块，所述切分模块将所述身份隐私数据切分为若干份；

编码模块，所述编码模块对切分后的每一份身份隐私数据进行编码；

分布存储模块，所述分布存储模块将编码后的每一份身份隐私数据加密存储至不同的存储节点中。

与现有技术相比，本发明技术方案的有益效果是：

本发明将身份隐私数据编码后，分散存储至不同的存储节点。采用秘密共享技术，对不同存储节点的身份数据进行安全处理。本发明可以构建身份数据的容灾体系，故障时快速恢复数据；在单一数据存储节点被攻破后，身份数据无法被还原和窃取。

附图说明

图1为本发明的方法流程示意图。

图2为本发明的系统模块示意图。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；

为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；

对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

下面结合附图和实施例对本发明的技术方案做进一步的说明。

实施例1

本实施例提供一种基于秘密共享的身份隐私数据分布式存储方法，如图1所示，包括以下步骤：

S1：获取身份隐私数据；

S2：将所述身份隐私数据切分为若干份；

S3：对切分后的每一份身份隐私数据进行编码；

S4：将编码后的每一份身份隐私数据加密存储至不同的存储节点中。

实施例2

本实施例在实施例1的基础上，继续公开以下内容：

所述步骤S1中的身份隐私数据包括人脸图片。

所述步骤S1中，还将获取的人脸图片固定为一致的分辨率，在本实施例中，将人脸图片固定为512*512分辨率。

所述步骤S2中，将所述身份隐私数据切分为若干份，具体为：

将身份隐私数据切分为L份，按照顺序为每份身份隐私数据设置一个ID，ID的范围为0至L，同时为每份身份隐私数据生成一个RID，并建立RID与ID的关联关系。

在本实施例中，将人脸图片按照16*16切分为1024个图片，这样就可以将图片分开不同节点存储，按照顺序为每一个图片设置一个ID，ID∈[0,1023]，这样就可以根据ID序号组合成完整图片。

在本实施例中，还要对人脸图片随机打乱顺序，并未打乱顺序后的图片生成一个RID，建立RID和ID的关联关系，因为随机存储，在存储时并不存储ID相关信息，所以需要一个RID作为关联关系，好找回图片相关的ID序号。

所述步骤S3中，对切分后的每一份身份隐私数据进行编码，具体为：

对切分后的每一份身份隐私数据编码，转换成Base64编码。

在本实施例，循环将1024张图片转换成1024个Base64编码。

所述步骤S4中，将编码后的每一份身份隐私数据加密存储至不同的存储节点中，存储节点规则如下：

根据存储节点的部署情况，获取存储节点数量，记为N，每个存储节点具有不同的ID，ID取值1至N；

对每一个RID，计算RID的hash值，记为H；

另H对N取模，记结果为i，i满足i＜N；

把每一个RID对应的Base64编码和RID存储至ID为i的存储节点上。

在本实施例中，数据根据规则分在不同的存储节点中，在数据检索时并行检索所有存储节点，把返回的base64编码转回图片，再根据Rid和ID的关联关系，重新拼接成一张图片。

每个存储节点均做主从备份，从而支持集群对数据存储的容灾需要。

本实施例的数据存储采用秘密共享的技术，因为不同的数据分片，存储在不同的节点，由不同的节点管理程序进行管理，只有所有的节点管理程序同时进行协作，才能恢复身份数据。

所述步骤S4中，将编码后的每一份身份隐私数据加密存储至不同的存储节点中，具体的加密方法如下：

根据存储节点的部署情况，获取存储节点数量，记为N，并保留在所有存储节点中，每个存储节点具有不同的ID，ID取值1至N；

随机生成密钥维度数据，记为M，其中，M≤N，本实施例中，默认数据存储到所有节点，所以M=N，这样只要不知道所有的节点密钥，就无法进行解密；

根据密钥维度数量，随机生成一个M维度的密钥向量，记为

；

随机生成N个M维向量，记为

，因为K和V都是随机生成，每次都不一致，这就提高了暴力破解的难度；

根据密钥向量K和向量

构建N个方程：

通过方程

计算得到N个数值，记为

，作为存储节点n的私钥；

采用密钥向量K进行位移加密，具体为：

记存储到存储节点i的Base64编码为Bs64[i]，在密钥向量K中取第i个值

，把第i个Base64编码的每个字符的ASC值都加上

，通过转换后得到加密后的Base64编码，记为Bs64_Enc，加密完成，这样每个节点加密密钥都不一样，只要泄露的密钥数量不超过M，就无法对数据进行解密，这就对增加了数据被破解的难度。

存储在存储节点的数据进行解密时，具体的流程为：

集合M个节点的私钥

，从

中根据节点ID获取M个向量

，组合成M个方程组：

求解上面方程组可以获得密钥向量

；

令需要解密的字符串Bs64_Enc和节点i，在向量中K中取第i个值

，把第Bs64_Enc的每个字符的ASC值减去

，通过转换后得到解密后的Base64码，记为Bs64[i]。

加解密时的过程可以分为两部分：第一部分是数据切分和组合，第二部分是数据的加解密。这两部分的耗时根据数据量和节点数的不同，占比会发生变化。当只有一个节点时，数据切分和数据加密都在同一个节点处理，数据分切占用的时间和数据加解密占用时间比例大概在2:8左右；随着节点的增加，数据加密可以并行分布在不同的节点执行，加密的时间占比在一定的范围内将呈现线性下降趋势。虽然数据切分在一个节点处理，节点的增加会提高切分和组合的耗时，不过增加的切分组合耗时远远小于加解密耗时的降低，并行加密对单个数据的加解密最大可以提高性能4到5倍左右。测试数据如下：

一、数据切分与加密

上表可见，随着节点数量的增加，数据的切分性能并没有太多的消耗，随着节点数量的增加，数据的加密性能得到大幅提升。

二、数据组合与解密

由上表可见，随着节点数量的增加，数据的组合性能并没有太多的消耗；随着节点数量的增加，数据的解密性能得到大幅提升。

实施例3

本实施例提供一种基于秘密共享的身份隐私数据分布式存储系统，如图2所示，包括：

数据获取模块，所述数据获取模块获取身份隐私数据；

切分模块，所述切分模块将所述身份隐私数据切分为若干份；

编码模块，所述编码模块对切分后的每一份身份隐私数据进行编码；

分布存储模块，所述分布存储模块将编码后的每一份身份隐私数据加密存储至不同的存储节点中。

相同或相似的标号对应相同或相似的部件；

附图中描述位置关系的用语仅用于示例性说明，不能理解为对本专利的限制；

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。

Claims (8)

1.一种基于秘密共享的身份隐私数据分布式存储方法，其特征在于，包括以下步骤：

S1：获取身份隐私数据；

S2：将所述身份隐私数据切分为若干份；

S3：对切分后的每一份身份隐私数据进行编码；

S4：将编码后的每一份身份隐私数据加密存储至不同的存储节点中；

所述步骤S3中，对切分后的每一份身份隐私数据进行编码，具体为：

对切分后的每一份身份隐私数据编码，转换成Base64编码；

所述步骤S4中，将编码后的每一份身份隐私数据加密存储至不同的存储节点中，具体的加密方法如下：

根据存储节点的部署情况，获取存储节点数量，记为N，并保留在所有存储节点中，每个存储节点具有不同的ID，ID取值1至N；

随机生成密钥维度数据，记为M，其中，M≤N；

根据密钥维度数量，随机生成一个M维度的密钥向量，记为K=[k ₁, ……,k _M ]；

随机生成N个M维向量，记为V _n =[a1 _n ,a2 _n , ……,aM _n]，1≤n≤N；

根据密钥向量K和向量V _n 构建N个方程：

f(K, V _n )= a1 _n k ₁+……+ aM _n k _M

通过方程f(K, V _n )计算得到N个数值，记为r _n ，作为存储节点n的私钥；

采用密钥向量K进行位移加密，具体为：

记存储到存储节点i的Base64编码为Bs64[i]，在密钥向量K中取第i个值k _i ，把第i个Base64编码的每个字符的ASC值都加上k _i ，通过转换后得到加密后的Base64编码，记为Bs64_Enc，加密完成。

2.根据权利要求1所述的基于秘密共享的身份隐私数据分布式存储方法，其特征在于，所述步骤S1中的身份隐私数据包括人脸图片。

3.根据权利要求2所述的基于秘密共享的身份隐私数据分布式存储方法，其特征在于，所述步骤S1中，还将获取的人脸图片固定为一致的分辨率。

4.根据权利要求3所述的基于秘密共享的身份隐私数据分布式存储方法，其特征在于，所述步骤S2中，将所述身份隐私数据切分为若干份，具体为：

将身份隐私数据切分为L份，按照顺序为每份身份隐私数据设置一个ID，ID的范围为0至L，同时为每份身份隐私数据生成一个RID，并建立RID与ID的关联关系。

5.根据权利要求4所述的基于秘密共享的身份隐私数据分布式存储方法，其特征在于，所述步骤S4中，将编码后的每一份身份隐私数据加密存储至不同的存储节点中，存储节点规则如下：

根据存储节点的部署情况，获取存储节点数量，记为N，每个存储节点具有不同的ID，ID取值1至N；

对每一个RID，计算RID的hash值，记为H；

另H对N取模，记结果为i，i满足i＜N；

把每一个RID对应的Base64编码和RID存储至ID为i的存储节点上。

6.根据权利要求5所述的基于秘密共享的身份隐私数据分布式存储方法，其特征在于，每个存储节点均做主从备份。

7.根据权利要求6所述的基于秘密共享的身份隐私数据分布式存储方法，其特征在于，存储在存储节点的数据进行解密时，具体的流程为：

集合M个节点的私钥r _n ，从V _n 中根据节点ID获取M个向量V _m ，组合成M个方程组：

r _n =F _m (V _m )= a1 _m k ₁+……+ aM _m k _M ，1≤m≤M

求解上面方程组获得密钥向量K=[k ₁, ……,k _M ]；

令需要解密的字符串Bs64_Enc和节点i，在向量中K中取第i个值k _i ，把第Bs64_Enc的每个字符的ASC值减去k _i ，通过转换后得到解密后的Base64码，记为Bs64[i]。

8.一种基于秘密共享的身份隐私数据分布式存储系统，其特征在于，包括：

数据获取模块，所述数据获取模块获取身份隐私数据；

切分模块，所述切分模块将所述身份隐私数据切分为若干份；

编码模块，所述编码模块对切分后的每一份身份隐私数据进行编码；

分布存储模块，所述分布存储模块将编码后的每一份身份隐私数据加密存储至不同的存储节点中；

所述编码模块对切分后的每一份身份隐私数据进行编码，具体为：

对切分后的每一份身份隐私数据编码，转换成Base64编码；

所述分布存储模块将编码后的每一份身份隐私数据加密存储至不同的存储节点中，具体的加密方法如下：

根据存储节点的部署情况，获取存储节点数量，记为N，并保留在所有存储节点中，每个存储节点具有不同的ID，ID取值1至N；

随机生成密钥维度数据，记为M，其中，M≤N；

根据密钥维度数量，随机生成一个M维度的密钥向量，记为K=[k ₁, ……,k _M ]；

随机生成N个M维向量，记为V _n =[a1 _n ,a2 _n , ……,aM _n]，1≤n≤N；

根据密钥向量K和向量V _n 构建N个方程：

f(K, V _n )= a1 _n k ₁+……+ aM _n k _M

通过方程f(K, V _n )计算得到N个数值，记为r _n ，作为存储节点n的私钥；

采用密钥向量K进行位移加密，具体为：

记存储到存储节点i的Base64编码为Bs64[i]，在密钥向量K中取第i个值k _i ，把第i个Base64编码的每个字符的ASC值都加上k _i ，通过转换后得到加密后的Base64编码，记为Bs64_Enc，加密完成。

Images