CN111460475A - 基于云服务实现数据对象主体去标识化处理的方法 - Google Patents
基于云服务实现数据对象主体去标识化处理的方法 Download PDFInfo
- Publication number
- CN111460475A CN111460475A CN202010228464.3A CN202010228464A CN111460475A CN 111460475 A CN111460475 A CN 111460475A CN 202010228464 A CN202010228464 A CN 202010228464A CN 111460475 A CN111460475 A CN 111460475A
- Authority
- CN
- China
- Prior art keywords
- identification
- cloud service
- data object
- value
- anonymous
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
Abstract
本发明涉及一种基于云服务实现数据对象主体去标识化处理的方法,包括以下步骤:云服务客户端对数据对象的主体标识信息进行计算,计算生成标识匿名值;云服务客户端根据标识匿名值和附加信息通过非对称密码算法进行加密;云服务服务器端通过云服务系统私钥在专用密码设备中解密标识匿名编码前端请求值,提取标识匿名值,并生成数据对象去标识化编码。采用了本发明的基于云服务实现数据对象主体去标识化处理的方法,可以解决数据处理系统中对数据对象去标识化,进而保护数据隐私的问题,只需要安装软件SDK就可以按照统一标准使用云服务对数据对象去标识化,为不同数据业务处理系统间进行数据采集、存储、交换时提供极大的便利。
Description
技术领域
本发明涉及云服务领域,尤其涉及网络数据流通与信息安全的交叉技术领域,具体是指一种基于云服务实现数据对象主体去标识化处理的方法。
背景技术
随着大数据技术的成熟和发展,大数据在商业上的应用越来越广泛,有关大数据的交互、整合、交换、交易的例子也日益增多。目前,大部分的数据源到数据需求方相对独立:一方面,数据拥有方由于业务职能缺少应用场景,对数据没能有效利用,无法充分发掘数据价值;另一方面,数据应用方苦于没有数据,大数据业务开展举步维艰。这种现象因此催生了大数据交易的出现。为了安全的完成大数据交易,首先必须对交易对象——数据主体对象进行去标识化,即将数据资源中的原始数据对象主体标识信息按照一定的准则进行变换,一方面隐藏原始标识信息,另一方面也要便于交易双方根据变换后的标识进行数据匹配。目前已有技术方案可以对数据对象主体标识信息进行密码学运算变换完成去标识化,而且这种去标识化处理与处理者的信息相关,即不同的处理者对相同的数据对象主体标识的去标识化处理结果不同,从而避免攻击者根据数据对象主体标识的去标识结果将具有同一结果的数据进行汇聚分析,而只有得到授权的处理者才可以将某一数据对象主体标识的去标识结果转换为该数据对象主体标识的另一个结果,以便同一数据对象主体标识的不同去标识结果进行匹配,从而在不暴露数据对象主体标识的情况下,完成同一数据对象主体标识的数据交易和汇聚。但这种方式需要所有数据处理者都要部署专用密码设备,导入专用密码算法密钥在本地进行密码学运算。
发明内容
本发明的目的是克服了上述现有技术的缺点,提供了一种满足安全性高、操作简便、适用范围较为广泛的基于云服务实现数据对象主体去标识化处理的方法。
为了实现上述目的,本发明的基于云服务实现数据对象主体去标识化处理的方法如下:
该基于云服务实现数据对象主体去标识化处理的方法,其主要特点是,所述的方法包括以下步骤:
(1)云服务客户端对数据对象的主体标识信息进行计算,计算生成标识匿名值;
(2)云服务客户端根据标识匿名值和附加信息通过非对称密码算法进行加密;
(3)云服务客户端将匿名编码前端请求值和请求方id值发送至云服务服务器端,生成匿名编码前端请求值;
(4)云服务服务器端通过云服务系统私钥在专用密码设备中解密标识匿名编码前端请求值,提取标识匿名值,并生成数据对象去标识化编码;
(5)云服务服务器端将数据对象去标识化编码返回至云服务客户端。
较佳地,所述的步骤(1)中计算生成标识匿名值,具体为:
根据以下公式计算生成标识匿名值:
idhash=Hash(id)+CRC32(id);
其中,Hash()为杂凑密码函数,CRC32()为循环冗余校验码函数,id为标识id值。
较佳地,所述的步骤(1)中的配置文件包括云服务系统公钥和业务应用标识。
较佳地,所述的步骤(2)中的加密密钥为云服务系统公钥。
较佳地,所述的步骤(4)具体包括以下步骤:
(4.1)云服务服务器端根据匿名编码前端请求值查找对应的解密私钥索引;
(4.2)云服务服务器端使用解密私钥索引对标识匿名编码前端请求值进行解密,得到标识匿名值;
(4.3)提取metacrc,并校验metacrc是否正确,如果是,则继续步骤(4.4);否则,终止后续计算,退出步骤;
(4.4)根据标识匿名值生成数据对象主体去标识化编码。
采用了本发明的基于云服务实现数据对象主体去标识化处理的方法,可以解决数据处理系统中对数据对象去标识化,进而保护数据隐私的问题。尤其是使用该系统和方法不需要业务系统部署专用密码设备和密钥管理系统,只需要安装软件SDK就可以按照统一标准使用云服务对数据对象去标识化,为不同数据业务处理系统间进行数据采集、存储、交换时提供极大的便利。
附图说明
图1为本发明的基于云服务实现数据对象主体去标识化处理的方法的流程图。
具体实施方式
为了能够更清楚地描述本发明的技术内容,下面结合具体实施例来进行进一步的描述。
本发明的该基于云服务实现数据对象主体去标识化处理的方法,其中包括以下步骤:
(1)云服务客户端对数据对象的主体标识信息进行计算,计算生成标识匿名值;
(2)云服务客户端根据标识匿名值和附加信息通过非对称密码算法进行加密;
(3)云服务客户端将匿名编码前端请求值和请求方id值发送至云服务服务器端,生成匿名编码前端请求值;
(4)云服务服务器端通过云服务系统私钥在专用密码设备中解密标识匿名编码前端请求值,提取标识匿名值,并生成数据对象去标识化编码;
(4.1)云服务服务器端根据匿名编码前端请求值查找对应的解密私钥索引;
(4.2)云服务服务器端使用解密私钥索引对标识匿名编码前端请求值进行解密,得到标识匿名值;
(4.3)提取metacrc,并校验metacrc是否正确,如果是,则继续步骤(4.4);否则,终止后续计算,退出步骤;
(4.4)根据标识匿名值生成数据对象主体去标识化编码;
(5)云服务服务器端将数据对象去标识化编码返回至云服务客户端。
作为本发明的优选实施方式,所述的步骤(1)中计算生成标识匿名值,具体为:
根据以下公式计算生成标识匿名值:
idhash=Hash(id)+CRC32(id);
其中,Hash()为杂凑密码函数,CRC32()为循环冗余校验码函数,id为标识id值。
作为本发明的优选实施方式,所述的步骤(1)中的配置文件包括云服务系统公钥和业务应用标识。
作为本发明的优选实施方式,所述的步骤(2)中的加密密钥为云服务系统公钥。
本发明的具体实施方式中,提出了一种基于云服务实现数据对象主体去标识化处理的方法和系统。采用这种方法,数据对象处理方可以通过云服务接口将数据对象主体标识进行去标识化处理,解决了数据持有方和安全服务方在去标识化过程中的操作问题。
本发明在数据持有方客户端使用单向不可逆的密码算法对数据对象主体标识进行匿名化计算,并使用云服务系统的非对称密码算法公钥加密传输数据对象主体标识匿名值;在云服务系统服务端进行去标识化编码并返回给客户端。这样既保证了云服务提供方不需要接触原始数据对象主体标识,又不需要在客户端部署专用密码设备,同时也避免了数据对象主体标识在传输给云服务系统服务端时的安全风险。该系统包括如下模块:
(1)数据对象去标识化云服务客户端SDK,部署在数据对象持有方客户端,提供标识匿名值生成接口和匿名编码前端请求值生成接口。
(2)数据对象去标识化云服务服务器端,部署在云服务端,提供根据匿名编码前端请求值生成去标识编码的接口。
本发明的去标识化云服务处理方法,其中,包括以下步骤:
(1)数据对象采集客户端调用所述的数据对象去标识化云服务客户端SDK的标识匿名值生成接口,对数据对象的主体标识信息进行单向不可逆的密码学计算,生成标识匿名值,保障数据对象主体标识不会明文或可逆数据传输上网。
(2)数据对象采集客户端调用所述的数据对象去标识化云服务客户端SDK的匿名编码前端请求值生成接口,对标识匿名值和附加信息进行非对称密码算法加密,加密使用云服务系统公钥。
一方面加密的匿名编码前端请求值只有云服务方使用专用密码设备和专用私钥解密,另一方面数据加密的结果可随机变化,不会在传输过程中被中间人劫持分析和追踪。
(3)数据对象采集客户端调用所述数据对象去标识化云服务服务器端的标识匿名编码生成接口,将匿名编码前端请求值发送给所述数据对象去标识化云服务服务器端。
(4)所述数据对象去标识化云服务服务器端使用云服务系统私钥在专用密码设备中解密标识匿名编码前端请求值,提取出标识匿名值,并按照数据对象去标识化编码生成方法生成数据对象去标识化编码。
(5)所述数据对象去标识化云服务服务器端将数据对象其标识化编码返回给数据采集方客户端。
本发明的具体实施例中,包括以下步骤:
(1)调用所述的客户端SDK标识匿名值生成接口对数据对象的主体标识信息进行单向不可逆的密码学计算,达到数据对象主体标识匿名脱敏的目的。具体方式如下:
idhash=Hash(id)+CRC32(id)。
其中Hash()为杂凑密码算法,CRC32()为循环冗余校验码算法。
(2)调用所述的客户端SDK匿名编码前端请求值生成接口,对标识匿名值和附加信息进行非对称密码算法加密,生成匿名编码前端请求值meta,加密密钥为云服务系统公钥,预置在SDK配置文件中,具体方式如下:
meta=pubkeyhash+AENC(pubkey)[metacrc+idhash],
AENC表示使用()中的公钥对[]中的数据进行非对称算法加密;
pubkeyhash=Hash(pubkey);
metacrc=crc32(pubkeyhash+idhash)
(3)所述SDK提交meta和请求方appid等信息;
(4)所述云服务服务端根据meta中的pubkeyhash查找到对应的解密私钥索引;
(5)所述云服务服务端的去标识化编码生成接口使用解密私钥解密标识匿名编码前端请求值,具体方式如下:
metacrc+idhash=ADEC(prikey)[meta-pubkeyhash],
ADEC表示使用()中的非对称私钥对[]中的数据进行非对称算法解密计算,xidmeta-pubkeyhash表示从xidmeta中去除pubkeyhash后的数据。
(6)提取并校验metacrc是否正确,如果不正确则终止后续计算,否则进行步骤7)计算。
(7)提取出idhash,按照去标识化编码方法生成数据对象主体去标识化编码。
采用了本发明的基于云服务实现数据对象主体去标识化处理的方法,可以解决数据处理系统中对数据对象去标识化,进而保护数据隐私的问题。尤其是使用该系统和方法不需要业务系统部署专用密码设备和密钥管理系统,只需要安装软件SDK就可以按照统一标准使用云服务对数据对象去标识化,为不同数据业务处理系统间进行数据采集、存储、交换时提供极大的便利。
在此说明书中,本发明已参照其特定的实施例作了描述。但是,很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此,说明书和附图应被认为是说明性的而非限制性的。
Claims (5)
1.一种基于云服务实现数据对象主体去标识化处理的方法,其特征在于,所述的方法包括以下步骤:
(1)云服务客户端对数据对象的主体标识信息进行计算,计算生成标识匿名值;
(2)云服务客户端根据标识匿名值和附加信息通过非对称密码算法进行加密;
(3)云服务客户端将匿名编码前端请求值和请求方id值发送至云服务服务器端,生成匿名编码前端请求值;
(4)云服务服务器端通过云服务系统私钥在专用密码设备中解密标识匿名编码前端请求值,提取标识匿名值,并生成数据对象去标识化编码;
(5)云服务服务器端将数据对象去标识化编码返回至云服务客户端。
2.根据权利要求1所述的基于云服务实现数据对象主体去标识化处理的方法,其特征在于,所述的步骤(1)中计算生成标识匿名值,具体为:
根据以下公式计算生成标识匿名值:
idhash=Hash(id)+CRC32(id);
其中,Hash()为杂凑密码函数,CRC32()为循环冗余校验码函数,id为标识id值。
3.根据权利要求1所述的基于云服务实现数据对象主体去标识化处理的方法,其特征在于,所述的步骤(1)中的配置文件包括云服务系统公钥和业务应用标识。
4.根据权利要求1所述的基于云服务实现数据对象主体去标识化处理的方法,其特征在于,所述的步骤(2)中的加密密钥为云服务系统公钥。
5.根据权利要求1所述的基于云服务实现数据对象主体去标识化处理的方法,其特征在于,所述的步骤(4)具体包括以下步骤:
(4.1)云服务服务器端根据匿名编码前端请求值查找对应的解密私钥索引;
(4.2)云服务服务器端使用解密私钥索引对标识匿名编码前端请求值进行解密,得到标识匿名值;
(4.3)提取metacrc,并校验metacrc是否正确,如果是,则继续步骤(4.4);否则,终止后续计算,退出步骤;
(4.4)根据标识匿名值生成数据对象主体去标识化编码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010228464.3A CN111460475B (zh) | 2020-03-27 | 2020-03-27 | 基于云服务实现数据对象主体去标识化处理的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010228464.3A CN111460475B (zh) | 2020-03-27 | 2020-03-27 | 基于云服务实现数据对象主体去标识化处理的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111460475A true CN111460475A (zh) | 2020-07-28 |
| CN111460475B CN111460475B (zh) | 2023-04-25 |
Family
ID=71683531
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010228464.3A Active CN111460475B (zh) | 2020-03-27 | 2020-03-27 | 基于云服务实现数据对象主体去标识化处理的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111460475B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115118458A (zh) * | 2022-05-31 | 2022-09-27 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备及存储介质 |
| EP4187839A1 (en) * | 2021-11-26 | 2023-05-31 | Disney Enterprises, Inc. | Systems and methods for de-identifying data using a combination of cryptographic techniques |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130305054A1 (en) * | 2012-03-19 | 2013-11-14 | Dell Inc | Truly anonymous cloud key broker |
| CN106533650A (zh) * | 2016-11-17 | 2017-03-22 | 浙江工商大学 | 面向云端的交互型隐私保护方法和系统 |
| CN108011714A (zh) * | 2017-11-30 | 2018-05-08 | 公安部第三研究所 | 基于密码学运算实现数据对象主体标识的保护方法及系统 |
| CN110493347A (zh) * | 2019-08-26 | 2019-11-22 | 重庆邮电大学 | 基于区块链的大规模云存储中数据访问控制方法及系统 |
| CN110602218A (zh) * | 2019-09-17 | 2019-12-20 | 深圳市迅雷网络技术有限公司 | 一种自定义组装云服务的方法及相关装置 |
-
2020
- 2020-03-27 CN CN202010228464.3A patent/CN111460475B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130305054A1 (en) * | 2012-03-19 | 2013-11-14 | Dell Inc | Truly anonymous cloud key broker |
| CN106533650A (zh) * | 2016-11-17 | 2017-03-22 | 浙江工商大学 | 面向云端的交互型隐私保护方法和系统 |
| CN108011714A (zh) * | 2017-11-30 | 2018-05-08 | 公安部第三研究所 | 基于密码学运算实现数据对象主体标识的保护方法及系统 |
| CN110493347A (zh) * | 2019-08-26 | 2019-11-22 | 重庆邮电大学 | 基于区块链的大规模云存储中数据访问控制方法及系统 |
| CN110602218A (zh) * | 2019-09-17 | 2019-12-20 | 深圳市迅雷网络技术有限公司 | 一种自定义组装云服务的方法及相关装置 |
Non-Patent Citations (1)
| Title |
|---|
| 胡先祥;曹斌;: "基于Android平台短信的来源认证系统设计与实现" * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4187839A1 (en) * | 2021-11-26 | 2023-05-31 | Disney Enterprises, Inc. | Systems and methods for de-identifying data using a combination of cryptographic techniques |
| CN115118458A (zh) * | 2022-05-31 | 2022-09-27 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备及存储介质 |
| CN115118458B (zh) * | 2022-05-31 | 2024-04-19 | 腾讯科技(深圳)有限公司 | 数据处理方法、装置、计算机设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111460475B (zh) | 2023-04-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11677729B2 (en) | Secure multi-party protocol | |
| US8447983B1 (en) | Token exchange | |
| US8631230B2 (en) | Differential client-side encryption of information originating from a client | |
| CN108154038B (zh) | 数据处理方法及装置 | |
| JP6884642B2 (ja) | データ再暗号化を介して機密データを保護するためのコンピュータ実施システムおよび方法 | |
| US20140172830A1 (en) | Secure search processing system and secure search processing method | |
| CN109684129B (zh) | 数据备份恢复方法、存储介质、加密机、客户端和服务器 | |
| US20150082022A1 (en) | Devices and techniques for controlling disclosure of sensitive information | |
| CN108809936B (zh) | 一种基于混合加密算法的智能移动终端身份验证方法及其实现系统 | |
| CN107465665A (zh) | 一种基于指纹识别技术的文件加解密方法 | |
| CN114039785B (zh) | 数据加密、解密、处理方法、装置、设备和存储介质 | |
| CN103108028A (zh) | 一种具有安全架构的云计算处理系统 | |
| CN112861157A (zh) | 一种基于去中心化身份和代理重加密的数据共享方法 | |
| CN113190584A (zh) | 一种基于不经意传输协议的匿踪查询方法 | |
| CN111460475B (zh) | 基于云服务实现数据对象主体去标识化处理的方法 | |
| US8402278B2 (en) | Method and system for protecting data | |
| CN110113162A (zh) | 一种敏感信息处理系统、方法及其设备 | |
| WO2014146609A1 (zh) | 信息处理方法、信任服务器及云服务器 | |
| EP1125393B1 (en) | Method of sending and receiving secure data with a shared key | |
| CN116707778A (zh) | 数据混合加密传输方法、装置和电子设备 | |
| CN103916237A (zh) | 对用户加密密钥恢复进行管理的方法和系统 | |
| CN108011714B (zh) | 基于密码学运算实现数据对象主体标识的保护方法及系统 | |
| US11436351B1 (en) | Homomorphic encryption of secure data | |
| CN114866317A (zh) | 多方的数据安全计算方法、装置、电子设备和存储介质 | |
| CN112788046A (zh) | 一种加密传输信息的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |