CN111814195A - 一种基于可信硬件的数据管理方法、装置及设备 - Google Patents

一种基于可信硬件的数据管理方法、装置及设备 Download PDF

Info

Publication number
CN111814195A
CN111814195A CN202010921428.5A CN202010921428A CN111814195A CN 111814195 A CN111814195 A CN 111814195A CN 202010921428 A CN202010921428 A CN 202010921428A CN 111814195 A CN111814195 A CN 111814195A
Authority
CN
China
Prior art keywords
data
target
trusted
owner
description information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010921428.5A
Other languages
English (en)
Other versions
CN111814195B (zh
Inventor
陈远
李书博
杨文玉
杨仁慧
刘勤
熊琴
张盛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Alipay Hangzhou Information Technology Co Ltd
Original Assignee
Alipay Hangzhou Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Alipay Hangzhou Information Technology Co Ltd filed Critical Alipay Hangzhou Information Technology Co Ltd
Priority to CN202110778564.8A priority Critical patent/CN113434849A/zh
Priority to CN202010921428.5A priority patent/CN111814195B/zh
Publication of CN111814195A publication Critical patent/CN111814195A/zh
Application granted granted Critical
Publication of CN111814195B publication Critical patent/CN111814195B/zh
Priority to US17/359,219 priority patent/US11341284B2/en
Priority to EP21182488.3A priority patent/EP3965359B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • H04L9/0897Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • G06F21/79Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3234Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Storage Device Security (AREA)

Abstract

本说明书实施例中公开了一种基于可信硬件的数据管理方法、装置及设备。该方案包括:数据所有方可以基于区块链技术注册个人的分布式数字身份标识,并建立该数据所有方的分布式数字身份标识与可信硬件之间的绑定关系,从而在该可信硬件获取到用于描述可信机构处可提供的数据所有方的目标数据的数据描述信息后,可以请求该可信机构验证是否存储有生成该目标数据所需的用户业务数据;若该可信机构处存储有生成该目标数据所需的用户业务数据,则数据所有方可以通过该可信硬件发布该数据描述信息,从而令数据所有方可以通过该可信硬件对数据资产进行便捷地管理。

Description

一种基于可信硬件的数据管理方法、装置及设备
技术领域
本申请涉及互联网技术领域,尤其涉及一种基于可信硬件的数据管理方法、装置及设备。
背景技术
随着科技的发展和进步,目前已经进入了数字化时代。通过计算机存储、处理和传播等技术,使得我们的信息得到了极大速度的推广和传播,数字技术也已经成为了当代各类传媒的核心技术和普遍技术。随之而来的,由个人及企业拥有或者控制的数据资源,也逐渐开始能够为个人及企业带来越来越多的利益,因此,数据资产也被认为是数字时代的最重要的资产形式之一。
基于此,如何提供一种使用更加便捷、可靠的管理用户数据的方法成为了一种亟需解决的问题。
发明内容
本说明书实施例提供一种基于可信硬件的数据管理方法、装置及设备,以提升用户管理个人数据时的便捷性及可靠性。
为解决上述技术问题,本说明书实施例是这样实现的:
本说明书实施例提供的一种基于可信硬件的数据管理方法,包括:
可信硬件获取待发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的数据所有方的目标数据;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
请求所述可信机构验证所述可信机构处是否存储有生成所述目标数据所需的用户业务数据;
接收所述可信机构反馈的验证结果;
若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则发布所述数据描述信息。
本说明书实施例提供的一种数据获取方法,包括:
获取数据所有方发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的所述数据所有方的目标数据;
根据所述数据描述信息,生成针对所述目标数据的获取请求;
发送所述获取请求至所述数据所有方的可信硬件处;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
接收所述目标数据。
本说明书实施例提供的一种基于可信硬件的数据管理装置,包括:
第一获取模块,用于可信硬件获取待发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的数据所有方的目标数据;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
请求检验模块,用于请求所述可信机构验证所述可信机构处是否存储有生成所述目标数据所需的用户业务数据;
第一接收模块,用于接收所述可信机构反馈的验证结果;
发布模块,用于若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则发布所述数据描述信息。
本说明书实施例提供的一种数据获取装置,包括:
第一获取模块,用于获取数据所有方发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的所述数据所有方的目标数据;
获取请求生成模块,用于根据所述数据描述信息,生成针对所述目标数据的获取请求;
发送模块,用于发送所述获取请求至所述数据所有方的可信硬件处;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
接收模块,用于接收所述目标数据。
本说明书实施例提供的一种基于可信硬件的数据管理设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取待发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的数据所有方的目标数据;所述数据所有方的分布式数字身份标识与所述可信硬件具有绑定关系;
请求所述可信机构验证所述可信机构处是否存储有生成所述目标数据所需的用户业务数据;
接收所述可信机构反馈的验证结果;
若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则发布所述数据描述信息。
本说明书实施例提供的一种数据获取设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取数据所有方发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的所述数据所有方的目标数据;
根据所述数据描述信息,生成针对所述目标数据的获取请求;
发送所述获取请求至所述数据所有方的可信硬件处;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
接收所述目标数据。
本说明书中提供的至少一个实施例能够实现以下有益效果:
与数据所有方的分布式数字身份标识具有绑定关系的可信硬件,在获取到用于描述可信机构处可提供的数据所有方的目标数据的数据描述信息后,可以请求该可信机构验证是否存储有生成所述目标数据所需的用户业务数据;若是,则可以认为该数据描述信息真实有效,从而可以通过该可信硬件发布该数据描述信息。该方案不仅令数据所有方可以通过可信硬件对个人的数据资产进行便捷地管理,还可以避免数据所有方发布虚假的数据描述信息,从而便于数据所有方对个人数据资产进行可靠有效的管理。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书实施例提供的一种基于可信硬件的数据管理方法的流程示意图;
图2为本说明书实施例提供的一种数据获取方法的流程示意图;
图3为本说明书实施例提供的对应于图1的一种基于可信硬件的数据管理装置的结构示意图;
图4为本说明书实施例提供的对应于图2的一种数据获取装置的结构示意图;
图5为本说明书实施例提供的对应于图1的一种基于可信硬件的数据管理设备的结构示意图;
图6为本说明书实施例提供的对应于图2的一种数据获取设备的结构示意图。
具体实施方式
为使本说明书一个或多个实施例的目的、技术方案和优点更加清楚,下面将结合本说明书具体实施例及相应的附图对本说明书一个或多个实施例的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本说明书一个或多个实施例保护的范围。
以下结合附图,详细说明本说明书各实施例提供的技术方案。
现有技术中,数据资产可以指由个人或企业拥有或者控制的,能够为个人或企业带来未来经济利益的,以物理或电子的方式记录的数据资源。例如,个人或企业的照片、文档、图纸、视频、数字版权等等以文件为载体的数据;数据资产是相对于实物资产以数据形式存在的一类资产。数据资产被认为是数字时代的最重要的资产形式之一。但目前尚无可以对个人或企业的数据资产进行安全、便捷、有效的管理的方法。
为了解决现有技术中的缺陷,本方案给出了以下实施例:
图1为本说明书实施例提供的一种基于可信硬件的数据管理方法的流程示意图。从程序角度而言,该流程的执行主体可以为可信硬件,或者也可以为与可信硬件通信连接的用于管理用户数据资产的应用客户端或应用服务端。如图1所示,该流程可以包括以下步骤:
步骤102:可信硬件获取待发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的数据所有方的目标数据;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系。
在本说明书实施例中,可信硬件是可信计算的重要基础之一,基于可信硬件可以在硬件设备上构建可信执行环境(Trusted Execution Environments,TEE) ,以保护可信硬件中的程序代码和数据免于被披露及被修改,进而可以保护可信硬件中的数据的隐私和安全。在实际应用中,可信硬件的类型有多种,例如,英特尔的SGX、ARM TrustZone等可信芯片。在本说明书实施例中,对于可信硬件所采用的具体型号不作具体限定。该可信硬件还可以包括搭载有可信芯片的终端设备或服务器等。
在本说明书实施例中,区块链(Block chain),可以理解为是多个区块顺序存储构成的数据链,每个区块的区块头都包含有本区块的时间戳、前一个区块信息的哈希值和本区块信息的哈希值,由此实现区块与区块之间的相互验证,构成不可篡改的区块链。每个区块都可以理解为是一个数据块(存储数据的单元)。区块链作为一种去中心化的数据库,是一串使用密码学方法相互关联产生的数据块,每一个数据块中包含了一次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块与区块首尾相连形成的链,即为区块链。若需要修改块内数据,则需要修改此区块之后所有区块的内容,并将区块链网络中所有节点备份的数据进行修改。因此,区块链具有难以篡改、删除的特点,在数据已保存至区块链后,其作为一种保持内容完整性的方法具有可靠性。
在本说明书实施例中,可以通过区块链平台提供分布式数字身份服务。具体的,数据所有方可以通过用于管理用户数据资产的应用去请求分布式身份服务器(Decentralized Identity Service,DIS)来创建个人的分布式数字身份标识(Decentralized Identitfiers,DID)以及分布式数字身份标识的文档(DecentralizedIdentitfiers Document,DID Doc)。在实际应用中,数据所有方的DID及DID Doc均可以存储在区块链平台中。
其中,DIS是一种基于区块链的身份管理方案,DIS服务器可以与区块链平台相连,并提供数字身份的创建、验证和管理等功能,从而实现规范化地管理和保护实体数据,同时保证信息流转的真实性和效率,并可以解决跨机构的身份认证和数据合作等难题。
在本说明书实施例中,数据所有方还可以利用可信硬件或者与该可信硬件通信连接的用于管理用户数据资产的应用,去请求建立该可信硬件与该数据所有方的DID之间的绑定关系,从而便于数据所有方利用该可信硬件对个人的数据资产进行管理。
具体的,步骤102:获取待发布的数据描述信息之前,还可以包括:
获取数据所有方的身份识别信息。
获取可信硬件的硬件标识信息。
根据所述身份识别信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述数据所有方的分布式数字身份标识与所述可信硬件之间的对应关系。
发送所述分布式数字身份标识绑定请求至分布式身份服务器。
分布式身份服务器响应于所述分布式数字身份标识绑定请求,在数据所有方的DID Doc存储该数据所有方的DID与可信硬件的硬件标识信息之间的对应关系信息,从而完成对可信硬件与该数据所有方的DID之间的绑定关系的建立。
在实际应用中,分布式身份服务器还可以针对与数据所有方DID绑定的可信硬件生成一组密钥对,该密钥对中的私钥可以存储于可信硬件中,而该私钥对应的公钥可以存储于数据所有方的DID Doc里。
从而数据所有方可以利用该可信硬件中存储的私钥对操作指令或个人数据进行数字签名,而其他用户则可以利用该数据所有方的DID Doc里的公钥对数据所有方的操作指令或个人数据进行签名验证,以实现其他用户对数据所有方的身份的验证。这也使得数据所有方可以通过可信硬件对个人数据资产及个人身份进行有效管控。
在本说明书实施例中,数据所有方的身份识别信息可以包含能够确定出该数据所有方的身份的信息。该数据所有方既可以是企业用户也可以是个人用户。个人用户的身份识别信息可以包括身份证号信息、联系方式信息等。企业用户的身份识别信息可以包括企业营业执照编号、企业的统一社会信用代码、企业纳税人识别号等,对此不作具体限定。
在实际应用中,用户可以在用于管理用户数据资产的应用的应用界面中去输入身份识别信息;或者,用户可以使用图像采集设备去采集个人证件图像;或者,用户可以通过音频采集设备去采集包含身份识别信息的音频等,以令图1中方法的执行主体可以获取到该用户的身份识别信息。对此不作具体限定。
而可信硬件的硬件标识信息可以指用于标识该可信硬件的信息,该可信硬件的硬件标识信息通常需保证与其他可信硬件相比唯一且不变。在实际应用中,该可信硬件的硬件标识信息既可以是可信硬件的提供商为该可信硬件生成的唯一标识信息,也可以是用于管理用户数据资产的应用为该可信硬件生成的唯一标识信息,对此不作具体限定。
在实际应用中,由于可信硬件中存储的信息不可篡改,从而可以保证该可信硬件中存储的数据的可信性。因此,可以将可信硬件的硬件标识信息存储于该可信硬件中。当数据所有方需利用该可信硬件管理个人数据资产时,图1中方法的执行主体可以自动请求获取该可信硬件中存储的硬件标识信息,方便快捷,且能够保证获取到的可信硬件的硬件标识信息的可信性。或者,数据所有方也可以在用于管理用户数据资产的应用的应用界面中去输入可信硬件的硬件标识信息,对此不作具体限定。
步骤104:请求所述可信机构验证所述可信机构处是否存储有生成所述目标数据所需的用户业务数据。
在本说明书实施例中,数据所有方待发布的数据描述信息可以指对于该数据所有方需利用可信硬件进行管理的数据资产的描述信息。具体的,该数据描述信息可以用于反映数据所有方所拥有的目标数据的来源、类型、内容概述等,对此不作具体限定。例如,针对数据所有方的目标数据的数据资产描述信息可以表示为:数据来源-XX银行;类型-季度流水总额;内容概述-数据范围-2019年8月1日至2020年7月31日,该数据资产描述信息可以反映数据所有方具有对XX银行处的个人工资流水数据进行处理而得到的自2019年8月1日至2020年7月31日的个人季度工资流水总额这一数据。
在实际应用中,为避免用户发布虚假的数据描述信息,可以利用可信机构去验证该可信机构处是否存储有生成所述目标数据所需的用户业务数据。若是,则表示数据所有方确实具有该数据描述信息所指示的数据资产,若否,则可以表示数据所有方并不具有该数据描述信息所指示的数据资产。
其中,可信机构的种类可以有多种,不同可信机构所能提供的数据的类型通常也并不完全一致。例如,可信机构可以包括银行、税务局、权威征信机构、商务平台等,其中,银行可以提供可信的工资流水数据,税务局可以提供可信的缴税记录,权威征信机构可以提供可信的信用报告,商务平台可以提供可信的商家的交易流水数据等,对此不作具体限定。
在本说明书实施例中,由于可信硬件中存储有数据所有方的私钥,而该私钥对应的公钥存储于数据所有方的DID Doc里。因此,步骤104:数据所有方可以利用可信硬件向可信机构发送数据描述信息验证请求,该数据描述信息里可以包括:数据所有方的身份识别信息、数据所有方的DID标识以及利用可信硬件中的私钥数字签名后的数据描述信息。
对应的,可信机构可以根据数据所有方的身份识别信息或DID标识确定数据所有方的身份,并利用从该数据所有方的DID Doc里获取的与该私钥对应的公钥,对数字签名后的数据描述信息进行签名验证,若签名验证通过,则可以表示该数据描述信息验证请求确实是数据所有方发送的,从而可以对该数据描述信息验证请求进行响应。而若签名验证不通过,则可以表示该数据描述信息验证请求并非是数据所有方发送的,从而可以拒绝对该数据描述信息验证请求进行响应,以避免不法分子去获取他人是否具有指定数据资产的信息,有利于提升数据所有方的数据资产的安全性及隐私性。
步骤106:接收所述可信机构反馈的验证结果。
步骤108:若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则发布所述数据描述信息。
在本说明书实施例中,若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则可以确定数据所有方可以取得该数据描述信息所指示的目标数据,即数据所有方具有该数据描述信息所指示的数据资产,因此,可以发布该数据描述信息。
在本说明书实施例中,可以发布该数据描述信息至数据流通应用,以便于数据流通应用处的其他注册用户可以获知该数据所有方具有该数据描述信息所指示的数据资产,进而便于其他注册用户与该数据所有方进行数据资产交易。其中,数据流通应用可以提供数据资产的发布、传递、交易等服务。该数据流通应用与本说明书实施例中提及的用于管理用户数据资产的应用可以为用一个应用程序,也可以为不同应用程序,对此不作具体限定。
应当理解,本说明书一个或多个实施例所述的方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。
图1中的方法,与数据所有方的分布式数字身份标识具有绑定关系的可信硬件,在获取到用于描述可信机构处可提供的数据所有方的目标数据的数据描述信息后,可以请求该可信机构验证是否存储有生成所述目标数据所需的用户业务数据;若是,则可以认为该数据描述信息真实有效,从而可以通过该可信硬件发布该数据描述信息。该方案不仅令数据所有方可以通过可信硬件对个人的数据资产进行便捷地管理,还可以避免数据所有方发布虚假的数据描述信息,从而便于数据所有方对个人数据资产进行可靠有效的管理。
基于图1的方法,本说明书实施例还提供了该方法的一些具体实施方案,下面进行说明。
在本说明书实施例中,获取待发布的数据描述信息的实现方式有多种。
方式一
数据所有方的目标数据可以利用可信硬件以外的设备去生成,数据所有方可以在将其他设备生成的目标数据存储到个人的可信硬件中之前,就利用可信硬件去发布针对目标数据的数据描述信息。此时,步骤102:可信硬件获取待发布的数据描述信息,具体可以包括:
可信硬件识别数据所有方针对目标应用界面中显示的目标安全应用程序的程序标识的选中操作;所述选中操作用于指示采用所述目标安全应用程序对可信机构处的所述数据所有方的用户业务数据进行处理以得到目标数据;所述目标安全应用程序部署于目标服务器的可信应用环境中。
根据所述选中操作,生成针对所述目标数据的待发布的数据描述信息。
在本实现方式中,所述目标应用界面可以指用于管理用户数据资产的应用的应用界面。该目标应用界面中可以显示该用于管理用户数据资产的应用所支持的多种安全应用程序的程序标识,从而便于数据所有方去选择其允许用于生成目标数据的安全应用程序。
其中,安全应用程序(Trusted Application,TAPP)可以指运行于可信执行环境(Trusted Execution Environment,TEE)中的应用程序,该安全应用程序运行时可以根据指定计算规则对从可信数据源处获取的数据进行处理以生成目标数据。在实际应用中,安全应用程序既可以部署于用于管理用户数据资产的应用服务端的可信应用环境中,也可以部署于与用于管理用户数据资产的应用服务端通信连接的其他服务器的可信应用环境中,对此不作具体限定。
在实际应用中,可以预先设置安全应用程序的输入数据的数据源为可信机构,并预先设置安全应用程序所需执行的数据处理规则,以令安全应用程序可以从可信机构处获取数据所有方的指定类型的用户业务数据,并执行预设的数据处理规则去进生成所述目标数据。
在本说明书实施例中,对于安全应用程序的数据源、所需执行的数据处理规则及生成的目标数据的类型不对具体限定,用户可以根据实际需求设置。例如,安全应用程序可以根据用户在A银行处的月工资流水数据去生成用户的季度工资流水总额,该季度工资流水总额则可以为该安全应用程序生成的目标数据。基于此,数据所有方在选中目标安全应用程序的程序标识后,即可根据该目标安全应用程序的设置信息,去自动生成针对目标数据的待发布的数据描述信息。
在本说明书实施例中,可以在数据所有方的分布式数字身份标识的文档DID Doc中存储所述目标安全应用程序与所述目标数据的对应关系信息。从而便于后续根据数据所有方的DID Doc信息,确定用于生成数据所有方的目标数据的安全应用程序,对此不再赘述。
在本说明书实施例中,数据所有方在将针对目标数据的数据描述信息发布至数据流通应用后,数据使用方可以根据数据所有方发布的信息,去向数据所有方请求获取该目标数据。
因此,发布所述数据描述信息之后,还可以包括:
获取数据使用方根据所述数据描述信息生成的针对所述目标数据的获取请求;所述获取请求可以是数据使用方根据从所述数据流通应用处获取的数据所有方所发布的针对目标数据的数据描述信息而生成的。
响应于所述获取请求,发送针对所述目标数据的生成请求至搭载有所述目标安全应用程序的目标服务器处。
接收所述目标服务器反馈的处理结果。
在本说明书实施例中,数据所有方获取到数据使用方的针对目标数据的获取请求后,可以根据数据所有方的DID Doc信息,确定用于生成该目标数据的目标安全应用程序。若数据所有方允许数据使用方获取到目标数据,则数据所有方可以通过可信应用向搭载有该目标安全应用程序的目标服务器发送针对目标数据的生成请求,以便于该目标服务器运行目标安全应用程序去生成目标数据。
目标服务器还可以向数据所有方反馈处理结果,若该处理结果表示已生成目标数据,则数据所有方及数据使用方均可以去目标服务器处获取目标数据,从而令数据所有方可以通过可信硬件对个人数据资产进行管理。
同时,由于目标安全应用程序运行于可信执行环境内,从而使得该目标安全应用程序生成的目标数据具有不可篡改的特性,且由于该目标安全应用程序用于对从可信数据源处获取的用户业务数据进行处理,从而可以保证该目标安全应用程序生成的目标数据的可信性。以及,由于该安全应用程序生成的目标数据是对用户原始业务数据进行处理而得到的,通过令数据使用方仅能获取到该目标数据,而无法获取到生成该目标数据所涉及的用户原始数据,以提升数据所有方的原始业务数据的安全性及隐私性。
在本说明书实施例中,数据所有方还可以设置针对目标数据的使用授权审批流程,以在审批通过后,再允许数据使用方获取到目标数据。
具体的,在发送针对所述目标数据的生成请求至搭载有所述目标安全应用程序的目标服务器处之前,还可以包括:
获取目标数据的使用授权审批方针对所述获取请求的使用授权指令。
根据所述使用授权指令,生成使用授权信息。
利用可信硬件中的数据所有方的私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息。所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中。
发送所述数字签名后使用授权信息至搭载有所述目标安全应用程序的目标服务器处。
该目标服务器可以从数据所有方的DID Doc中获取与可信硬件中存储的私钥对应的公钥,利用该公钥对数字签名后使用授权信息进行签名验证,若验证通过,则可以确定该数字签名后使用授权信息是数据所有方授权生成的,因此,可以运行目标安全应用程序去生成目标数据。而若目标数据的使用授权审批方未审批通过,或者,目标服务器对签名后使用授权信息未签名验证通过,则可以禁止安全应用程序去生成目标数据,从而令数据使用方无法获取到该目标数据,以保证数据所有方的数据资产的安全性。
方式二
数据所有方的目标数据需利用可信硬件生成,数据所有方可以在利用可信硬件生成目标数据之后,再发布针对目标数据的数据描述信息。此时,步骤102:可信硬件获取待发布的数据描述信息,具体可以包括:
可信硬件从可信机构处获取数据所有方的用户业务数据。
利用所述可信硬件内搭载的目标安全应用程序对所述用户业务数据进行处理,得到目标数据。
根据该目标数据,生成针对所述目标数据的待发布的数据描述信息。
本实现方式中提及的目标安全应用程序与实现方式一中提及的目标安全应用程序的实现原理可以是相同的,但在本实现方式中,该目标安全应用程序可以部署于可信硬件中。
具体的,所述目标安全应用程序可以搭载于所述可信硬件中的可信执行环境内,所述可信执行环境与所述可信硬件的操作系统隔离。
对应的,所述可信硬件从可信机构处获取数据所有方的用户业务数据,具体可以包括:所述可信硬件通过所述可信执行环境中的代码中预先定义的接口,从可信机构处获取数据所有方的用户业务数据。
在本说明书实施例中,可信执行环境(Trusted Execution Environment, TEE)是基于CPU硬件的安全扩展,且与外部完全隔离的可信执行环境。目前工业界十分关注TEE的方案,几乎所有主流的芯片和软件联盟都有自己的TEE解决方案,比如软件方面的TPM(Trusted Platform Module,可信赖平台模块)以及硬件方面的Intel SGX(SoftwareGuard Extensions, 软件保护扩展)、ARM Trustzone(信任区)和AMD PSP(PlatformSecurity Processor,平台安全处理器)等。TEE可以起到硬件黑箱作用,在TEE中执行的代码和数据即便是操作系统层都无法偷窥,只有通过代码中预先定义的接口才能对其进行操作。在效率方面,由于TEE的黑箱性质,在TEE中进行运算的是明文数据,而不是同态加密中复杂的密码学运算,计算过程效率几乎没有损失。因此,通过在TEE环境中部署的程序去从可信机构处获取数据所有方的用户业务数据并对获取到的用户业务数据件处理,可以在性能损失相对较小的前提下很大程度上满足数据隐私需求。且由于可信执行环境内的程序及数据具有不可篡改性,从而可以提升基于该TEE中部署的程序生成的目标数据的可信度。
当然,在目标安全应用程序部署于目标服务器处时,也可以将该目标安全应用程序部署于该目标服务器中的可信执行环境内,该可信执行环境与目标服务器的操作系统隔离,该目标安全应用程序可以通过所述可信执行环境中的代码中预先定义的接口,从可信机构处获取数据所有方的用户业务数据,以对所述用户业务数据进行处理,得到目标数据,从而可以提升基于该TEE中部署的程序生成的目标数据的可信度。
当数据使用方需获取目标数据时,由于目标数据已经存储在可信硬件中,因此,步骤108:发布所述数据描述信息之后,还可以包括:
获取数据使用方根据所述数据描述信息生成的针对所述目标数据的获取请求;所述获取请求可以是数据使用方根据从所述数据流通应用处获取的数据所有方所发布的针对目标数据的数据描述信息而生成的。
获取目标数据的使用授权审批方针对所述获取请求的使用授权指令。
响应于所述获取请求,利用可信硬件中存储的数据所有方的私钥对存储于所述可信硬件中的所述目标数据进行数字签名,得到数字签名后数据。所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中。
发送所述数字签名后数据至所述数据使用方。
数据使用方可以从数据所有方的DID Doc中获取与可信硬件中存储的私钥对应的公钥,利用该公钥对数字签名后数据进行签名验证,若验证通过,则可以确定该数字签名后数据是数据所有方授权使用的目标数据。若验证未通过,则可以确定该数字签名后数据并非是数据所有方授权使用的目标数据,即获取到的数据不可信。
在本说明书实施例中,用户在发布针对目标数据的数据描述信息之前,还可以指定针对该目标数据的使用授权审批流程,以保证数据所有方的数据资产的安全性。
因此,步骤108:所述发布所述数据描述信息之前,还可以包括:
获取所述数据所有方针对所述目标数据设置的使用授权审批流程信息。
建立所述使用授权审批流程信息与所述数据描述信息之间的对应关系。
基于同样的思路,图2为本说明书实施例提供的一种数据获取方法的流程示意图。从程序角度而言,流程的执行主体可以为数据使用方的设备,或者,数据使用方设备上搭载的用于管理用户数据资产的应用程序。
如图2所示,该流程可以包括以下步骤:
步骤202:获取数据所有方发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的所述数据所有方的目标数据。
在本说明书实施例中,由于数据所有方可以将数据描述信息发布到数据流通应用处,因此,步骤202中可以令数据使用方从数据流通应用处获取数据所有方发布的数据描述信息。该数据流通应用与用于管理用户数据资产的应用可以是同一应用,也可以是不同应用,对此不作具体限定。
步骤204:根据所述数据描述信息,生成针对所述目标数据的获取请求。
步骤206:发送所述获取请求至所述数据所有方的可信硬件处;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系。
步骤208:接收所述目标数据。
应当理解,本说明书一个或多个实施例所述的方法其中部分步骤的顺序可以根据实际需要相互交换,或者其中的部分步骤也可以省略或删除。
图2中的方法,数据使用方可以根据数据所有方利用可信硬件发布的针对目标数据的数据描述信息,去向数据所有方的可信硬件请求获取该目标数据,并接收该目标数据。从而令数据使用方可以便捷地获取到数据所有方的数据资产,有利于提升数据资产管理、传递的便捷性。
基于图2的方法,本说明书实施例还提供了该方法的一些具体实施方案,下面进行说明。
在本说明书实施例中,步骤208:接收所述目标数据,具体可以包括:
接收目标服务器反馈的所述目标数据;所述目标数据是利用所述目标服务器内搭载的目标安全应用程序对可信机构处存储的所述数据所有方的用户业务数据进行处理而得到的。
或者,接收所述可信硬件反馈的所述目标数据;所述目标数据是利用所述可信硬件内搭载的目标安全应用程序对可信机构处存储的所述数据所有方的用户业务数据进行处理而得到的。
在本说明书实施例中,若所述目标安全应用程序搭载于所述目标服务器内,则所述目标安全应用程序搭载于所述目标服务器处的可信执行环境内,所述可信执行环境与所述目标服务器的操作系统隔离。且由于可信执行环境内的程序及数据具有不可篡改性,从而可以提升基于该TEE中部署的程序生成的目标数据的可信度。
若所述目标安全应用程序搭载于所述可信硬件内,则所述目标安全应用程序搭载于所述可信硬件处的可信执行环境内,所述可信执行环境与所述可信硬件的操作系统隔离。且由于可信执行环境内的程序及数据具有不可篡改性,从而可以提升基于该TEE中部署的程序生成的目标数据的可信度。
由于数据所有方的可信硬件中可以存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中。
因此,步骤208:所述接收所述目标数据,具体可以包括:
接收利用所述私钥数字签名后的所述目标数据。
所述接收利用所述私钥数字签名后的所述目标数据之后,还可以包括:
获取所述数据所有方的分布式数字身份标识的文档中的所述公钥。
利用所述公钥对所述数字签名后的所述目标数据进行签名验证。
基于同样的思路,本说明书实施例还提供了上述方法对应的装置。图3为本说明书实施例提供的对应于图1的一种基于可信硬件的数据管理装置的结构示意图。如图3所示,该装置可以包括:
第一获取模块302,用于可信硬件获取待发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的数据所有方的目标数据;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系。
请求检验模块304,用于请求所述可信机构验证所述可信机构处是否存储有生成所述目标数据所需的用户业务数据。
第一接收模块306,用于接收所述可信机构反馈的验证结果。
发布模块308,用于若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则发布所述数据描述信息。
可选的,图3中的装置还可以包括:
身份识别信息获取模块,用于获取数据所有方的身份识别信息。
硬件标识信息获取模块,用于获取可信硬件的硬件标识信息。
绑定请求模块,用于根据所述身份识别信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;该分布式数字身份标识绑定请求用于请求建立所述数据所有方的分布式数字身份标识与所述可信硬件之间的对应关系。
绑定请求发送模块,用于发送所述分布式数字身份标识绑定请求至分布式身份服务器。
可选的,所述第一获取模块302,具体可以用于:
可信硬件识别数据所有方针对目标应用界面中显示的目标安全应用程序的程序标识的选中操作;所述选中操作用于指示采用所述目标安全应用程序对可信机构处的所述数据所有方的用户业务数据进行处理以得到目标数据;所述目标安全应用程序部署于目标服务器的可信应用环境中。
根据所述选中操作,生成针对所述目标数据的待发布的数据描述信息。
可选的,图3中的装置,还可以包括:
对应关系信息存储模块,用于在所述数据所有方的分布式数字身份标识的文档中存储所述目标安全应用程序与所述目标数据的对应关系信息。
可选的,图3中的装置,还可以包括:
第二获取模块,用于获取数据使用方根据所述数据描述信息生成的针对所述目标数据的获取请求。
发送模块,用于响应于所述获取请求,发送针对所述目标数据的生成请求至搭载有所述目标安全应用程序的目标服务器处。
第二接收模块,用于接收所述目标服务器反馈的处理结果。
可选的,所述可信硬件中存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中;图3中的装置,还可以包括:
第三获取模块,用于获取所述目标数据的使用授权审批方针对所述获取请求的使用授权指令。
使用授权信息生成模块,用于根据所述使用授权指令,生成使用授权信息。
第一数字签名模块,用于利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息。
所述发送模块,具体可以用于:
发送所述数字签名后使用授权信息至搭载有所述目标安全应用程序的目标服务器处。
可选的,所述第一获取模块302,具体可以用于:
可信硬件从可信机构处获取数据所有方的用户业务数据。
利用所述可信硬件内搭载的目标安全应用程序对所述用户业务数据进行处理,得到目标数据。
生成针对所述目标数据的待发布的数据描述信息。
可选的,所述目标安全应用程序搭载于所述可信硬件中的可信执行环境内,所述可信执行环境与所述可信硬件的操作系统隔离。
对应的,所述可信硬件从可信机构处获取数据所有方的用户业务数据,具体包括:
所述可信硬件通过所述可信执行环境中的代码中预先定义的接口,从可信机构处获取数据所有方的用户业务数据。
可选的,所述可信硬件中存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中;图3中的装置,还可以包括:
第四获取模块,用于获取数据使用方根据所述数据描述信息生成的针对所述目标数据的获取请求。
第二数字签名模块,用于响应于所述获取请求,利用所述私钥对存储于所述可信硬件中的所述目标数据进行数字签名,得到数字签名后数据。
使用授权指令获取模块,用于获取所述目标数据的使用授权审批方针对所述获取请求的使用授权指令。
目标数据发送模块,用于若获取到所述使用授权指令,则发送所述数字签名后数据至所述数据使用方。
可选的,图3中的装置,还可以包括:
审批流程信息获取模块,用于获取所述数据所有方针对所述目标数据设置的使用授权审批流程信息;
对应关系建立模块,用于建立所述使用授权审批流程信息与所述数据描述信息之间的对应关系。
可选的,所述发布模块308,具体可以用于:发布所述数据描述信息至数据流通应用。
第二获取模块或者第四获取模块,具体可以用于:获取数据使用方的针对所述目标数据的获取请求,所述获取请求是根据从所述数据流通应用处获取的所述数据描述信息生成的。
基于同样的思路,本说明书实施例还提供了上述方法对应的装置。图4为本说明书实施例提供的对应于图2的一种数据获取装置的结构示意图。如图4所示,该装置可以包括:
第一获取模块402,用于获取数据所有方发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的所述数据所有方的目标数据;
获取请求生成模块404,用于根据所述数据描述信息,生成针对所述目标数据的获取请求;
发送模块406,用于发送所述获取请求至所述数据所有方的可信硬件处;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
接收模块408,用于接收所述目标数据。
可选的,图4中的装置,所述接收模块408,具体可以用于:
接收目标服务器反馈的所述目标数据;所述目标数据是利用所述目标服务器内搭载的目标安全应用程序对可信机构处存储的所述数据所有方的用户业务数据进行处理而得到的。
或者,接收所述可信硬件反馈的所述目标数据;所述目标数据是利用所述可信硬件内搭载的目标安全应用程序对可信机构处存储的所述数据所有方的用户业务数据进行处理而得到的。
可选的,若所述目标安全应用程序搭载于所述目标服务器内,则所述目标安全应用程序搭载于所述目标服务器处的可信执行环境内,所述可信执行环境与所述目标服务器的操作系统隔离。
若所述目标安全应用程序搭载于所述可信硬件内,则所述目标安全应用程序搭载于所述可信硬件处的可信执行环境内,所述可信执行环境与所述可信硬件的操作系统隔离。
可选的,所述可信硬件中存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中;所述接收模块408,具体可以用于:接收利用所述私钥数字签名后的所述目标数据。
可选的,图4中的装置,还可以包括:
第二获取模块,用于获取所述数据所有方的分布式数字身份标识的文档中的所述公钥。
签名验证模块,用于利用所述公钥对所述数字签名后的所述目标数据进行签名验证。
基于同样的思路,本说明书实施例还提供了上述方法对应的设备。
图5为本说明书实施例提供的对应于图1的一种基于可信硬件的数据管理设备的结构示意图。如图5所示,设备500可以包括:
至少一个处理器510;以及,
与所述至少一个处理器通信连接的存储器530;其中,
所述存储器530存储有可被所述至少一个处理器510执行的指令520,所述指令被所述至少一个处理器510执行,以使所述至少一个处理器510能够:
获取待发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的数据所有方的目标数据;所述数据所有方的分布式数字身份标识与所述可信硬件具有绑定关系。
请求所述可信机构验证所述可信机构处是否存储有生成所述目标数据所需的用户业务数据。
接收所述可信机构反馈的验证结果。
若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则发布所述数据描述信息。
基于同样的思路,本说明书实施例还提供了上述方法对应的设备。
图6为本说明书实施例提供的对应于图2的一种数据获取设备的结构示意图。如图6所示,设备600可以包括:
至少一个处理器610;以及,
与所述至少一个处理器通信连接的存储器630;其中,
所述存储器630存储有可被所述至少一个处理器610执行的指令620,所述指令被所述至少一个处理器610执行,以使所述至少一个处理器610能够:
获取数据所有方发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的所述数据所有方的目标数据。
根据所述数据描述信息,生成针对所述目标数据的获取请求。
发送所述获取请求至所述数据所有方的可信硬件处;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系。
接收所述目标数据。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于图5及图6所示的设备而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
在20世纪90年代,对于一个技术的改进可以很明显地区分是硬件上的改进(例如,对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而,随着技术的发展,当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此,不能说一个方法流程的改进就不能用硬件实体模块来实现。例如,可编程逻辑器件(Programmable Logic Device, PLD)(例如现场可编程门阵列(Field Programmable GateArray,FPGA))就是这样一种集成电路,其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字符系统“集成”在一片PLD上,而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且,如今,取代手工地制作集成电路芯片,这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现,它与程序开发撰写时所用的软件编译器相类似,而要编译之前的原始代码也得用特定的编程语言来撰写,此称之为硬件描述语言(Hardware Description Language,HDL),而HDL也并非仅有一种,而是有许多种,如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等,目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚,只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中,就可以很容易得到实现该逻辑方法流程的硬件电路。
控制器可以按任何适当的方式实现,例如,控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit,ASIC)、可编程逻辑控制器和嵌入微控制器的形式,控制器的例子包括但不限于以下微控制器:ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20 以及Silicone Labs C8051F320,存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道,除了以纯计算机可读程序代码方式实现控制器以外,完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件,而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至,可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的,计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字符助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。
为了描述的方便,描述以上装置时以功能分为各种单元分别描述。当然,在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字符多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
以上所述仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。

Claims (31)

1.一种基于可信硬件的数据管理方法,包括:
可信硬件获取待发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的数据所有方的目标数据;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
请求所述可信机构验证所述可信机构处是否存储有生成所述目标数据所需的用户业务数据;
接收所述可信机构反馈的验证结果;
若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则发布所述数据描述信息。
2.根据权利要求1所述的方法,所述获取待发布的数据描述信息之前,还包括:
获取数据所有方的身份识别信息;
获取可信硬件的硬件标识信息;
根据所述身份识别信息及所述硬件标识信息,生成分布式数字身份标识绑定请求;所述分布式数字身份标识绑定请求用于请求建立所述数据所有方的分布式数字身份标识与所述可信硬件之间的对应关系;
发送所述分布式数字身份标识绑定请求至分布式身份服务器。
3.根据权利要求1所述的方法,所述可信硬件获取待发布的数据描述信息,具体包括:
可信硬件识别数据所有方针对目标应用界面中显示的目标安全应用程序的程序标识的选中操作;所述选中操作用于指示采用所述目标安全应用程序对可信机构处的所述数据所有方的用户业务数据进行处理以得到目标数据;所述目标安全应用程序部署于目标服务器的可信应用环境中;
根据所述选中操作,生成针对所述目标数据的待发布的数据描述信息。
4.根据权利要求3所述的方法,所述发布所述数据描述信息之后,还包括:
在所述数据所有方的分布式数字身份标识的文档中存储所述目标安全应用程序与所述目标数据的对应关系信息。
5.根据权利要求3所述的方法,所述发布所述数据描述信息之后,还包括:
获取数据使用方根据所述数据描述信息生成的针对所述目标数据的获取请求;
响应于所述获取请求,发送针对所述目标数据的生成请求至搭载有所述目标安全应用程序的目标服务器处;
接收所述目标服务器反馈的处理结果。
6.根据权利要求5所述的方法,所述可信硬件中存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中;
所述发送针对所述目标数据的生成请求至搭载有所述目标安全应用程序的目标服务器处之前,还包括:
获取所述目标数据的使用授权审批方针对所述获取请求的使用授权指令;
根据所述使用授权指令,生成使用授权信息;
利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息;
所述发送针对所述目标数据的生成请求至搭载有所述目标安全应用程序的目标服务器处,具体包括:
发送所述数字签名后使用授权信息至搭载有所述目标安全应用程序的目标服务器处。
7.根据权利要求1所述的方法,所述可信硬件获取待发布的数据描述信息,具体包括:
可信硬件从可信机构处获取数据所有方的用户业务数据;
利用所述可信硬件内搭载的目标安全应用程序对所述用户业务数据进行处理,得到目标数据;
生成针对所述目标数据的待发布的数据描述信息。
8.根据权利要求7所述的方法,所述可信硬件中存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中;
所述发布所述数据描述信息之后,还包括:
获取数据使用方根据所述数据描述信息生成的针对所述目标数据的获取请求;
响应于所述获取请求,利用所述私钥对存储于所述可信硬件中的所述目标数据进行数字签名,得到数字签名后数据;
发送所述数字签名后数据至所述数据使用方。
9.根据权利要求8所述的方法,所述发送所述数字签名后数据至所述数据使用方之前,还包括:
获取所述目标数据的使用授权审批方针对所述获取请求的使用授权指令。
10.根据权利要求6或9所述的方法,所述发布所述数据描述信息之前,还包括:
获取所述数据所有方针对所述目标数据设置的使用授权审批流程信息;
建立所述使用授权审批流程信息与所述数据描述信息之间的对应关系。
11.根据权利要求5或8所述的方法,所述发布所述数据描述信息,具体包括:
发布所述数据描述信息至数据流通应用;
所述获取数据使用方根据所述数据描述信息生成的针对所述目标数据的获取请求,具体包括:
获取数据使用方的针对所述目标数据的获取请求,所述获取请求是根据从所述数据流通应用处获取的所述数据描述信息生成的。
12.根据权利要求7所述的方法,所述目标安全应用程序搭载于所述可信硬件中的可信执行环境内,所述可信执行环境与所述可信硬件的操作系统隔离。
13.如权利要求12所述的方法,所述可信硬件从可信机构处获取数据所有方的用户业务数据,具体包括:
所述可信硬件通过所述可信执行环境中的代码中预先定义的接口,从可信机构处获取数据所有方的用户业务数据。
14.一种数据获取方法,包括:
获取数据所有方发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的所述数据所有方的目标数据;
根据所述数据描述信息,生成针对所述目标数据的获取请求;
发送所述获取请求至所述数据所有方的可信硬件处;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
接收所述目标数据。
15.根据权利要求14所述的方法,所述接收所述目标数据,具体包括:
接收目标服务器反馈的所述目标数据;所述目标数据是利用所述目标服务器内搭载的目标安全应用程序对可信机构处存储的所述数据所有方的用户业务数据进行处理而得到的;
或者,接收所述可信硬件反馈的所述目标数据;所述目标数据是利用所述可信硬件内搭载的目标安全应用程序对可信机构处存储的所述数据所有方的用户业务数据进行处理而得到的。
16.根据权利要求15所述的方法,若所述目标安全应用程序搭载于所述目标服务器内,则所述目标安全应用程序搭载于所述目标服务器处的可信执行环境内,所述可信执行环境与所述目标服务器的操作系统隔离;
若所述目标安全应用程序搭载于所述可信硬件内,则所述目标安全应用程序搭载于所述可信硬件处的可信执行环境内,所述可信执行环境与所述可信硬件的操作系统隔离。
17.根据权利要求14所述的方法,所述可信硬件中存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中;
所述接收所述目标数据,具体包括:
接收利用所述私钥数字签名后的所述目标数据;
所述接收利用所述私钥数字签名后的所述目标数据之后,还包括:
获取所述数据所有方的分布式数字身份标识的文档中的所述公钥;
利用所述公钥对所述数字签名后的所述目标数据进行签名验证。
18.一种基于可信硬件的数据管理装置,包括:
第一获取模块,用于可信硬件获取待发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的数据所有方的目标数据;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
请求检验模块,用于请求所述可信机构验证所述可信机构处是否存储有生成所述目标数据所需的用户业务数据;
第一接收模块,用于接收所述可信机构反馈的验证结果;
发布模块,用于若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则发布所述数据描述信息。
19.根据权利要求18所述的装置,所述第一获取模块,具体用于:
可信硬件识别数据所有方针对目标应用界面中显示的目标安全应用程序的程序标识的选中操作;所述选中操作用于指示采用所述目标安全应用程序对可信机构处的所述数据所有方的用户业务数据进行处理以得到目标数据;所述目标安全应用程序部署于目标服务器的可信应用环境中;
根据所述选中操作,生成针对所述目标数据的待发布的数据描述信息。
20.根据权利要求19所述的装置,还包括:
第二获取模块,用于获取数据使用方根据所述数据描述信息生成的针对所述目标数据的获取请求;
发送模块,用于响应于所述获取请求,发送针对所述目标数据的生成请求至搭载有所述目标安全应用程序的目标服务器处;
第二接收模块,用于接收所述目标服务器反馈的处理结果。
21.根据权利要求20所述的装置,所述可信硬件中存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中;所述装置还包括:
第三获取模块,用于获取所述目标数据的使用授权审批方针对所述获取请求的使用授权指令;
使用授权信息生成模块,用于根据所述使用授权指令,生成使用授权信息;
第一数字签名模块,用于利用所述私钥对所述使用授权信息进行数字签名,得到数字签名后使用授权信息;
所述发送模块,具体用于:
发送所述数字签名后使用授权信息至搭载有所述目标安全应用程序的目标服务器处。
22.根据权利要求18所述的装置,所述第一获取模块,具体用于:
可信硬件从可信机构处获取数据所有方的用户业务数据;
利用所述可信硬件内搭载的目标安全应用程序对所述用户业务数据进行处理,得到目标数据;
生成针对所述目标数据的待发布的数据描述信息。
23.根据权利要求22所述的装置,所述可信硬件中存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中;所述装置还包括:
第四获取模块,用于获取数据使用方根据所述数据描述信息生成的针对所述目标数据的获取请求;
第二数字签名模块,用于响应于所述获取请求,利用所述私钥对存储于所述可信硬件中的所述目标数据进行数字签名,得到数字签名后数据;
目标数据发送模块,用于发送所述数字签名后数据至所述数据使用方。
24.根据权利要求22所述的装置,所述目标安全应用程序搭载于所述可信硬件中的可信执行环境内,所述可信执行环境与所述可信硬件的操作系统隔离。
25.如权利要求24所述的装置,所述可信硬件从可信机构处获取数据所有方的用户业务数据,具体包括:
所述可信硬件通过所述可信执行环境中的代码中预先定义的接口,从可信机构处获取数据所有方的用户业务数据。
26.一种数据获取装置,包括:
第一获取模块,用于获取数据所有方发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的所述数据所有方的目标数据;
获取请求生成模块,用于根据所述数据描述信息,生成针对所述目标数据的获取请求;
发送模块,用于发送所述获取请求至所述数据所有方的可信硬件处;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
接收模块,用于接收所述目标数据。
27.根据权利要求26所述的装置,所述接收模块,具体用于:
接收目标服务器反馈的所述目标数据;所述目标数据是利用所述目标服务器内搭载的目标安全应用程序对可信机构处存储的所述数据所有方的用户业务数据进行处理而得到的;
或者,接收所述可信硬件反馈的所述目标数据;所述目标数据是利用所述可信硬件内搭载的目标安全应用程序对可信机构处存储的所述数据所有方的用户业务数据进行处理而得到的。
28.根据权利要求27所述的装置,若所述目标安全应用程序搭载于所述目标服务器内,则所述目标安全应用程序搭载于所述目标服务器处的可信执行环境内,所述可信执行环境与所述目标服务器的操作系统隔离;
若所述目标安全应用程序搭载于所述可信硬件内,则所述目标安全应用程序搭载于所述可信硬件处的可信执行环境内,所述可信执行环境与所述可信硬件的操作系统隔离。
29.根据权利要求26所述的装置,所述可信硬件中存储有所述数据所有方的私钥;所述私钥对应的公钥存储于所述数据所有方的分布式数字身份标识的文档中;
所述接收模块,具体用于:
接收利用所述私钥数字签名后的所述目标数据;
所述装置还包括:
第二获取模块,用于获取所述数据所有方的分布式数字身份标识的文档中的所述公钥;
签名验证模块,用于利用所述公钥对所述数字签名后的所述目标数据进行签名验证。
30.一种基于可信硬件的数据管理设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取待发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的数据所有方的目标数据;所述数据所有方的分布式数字身份标识与所述可信硬件具有绑定关系;
请求所述可信机构验证所述可信机构处是否存储有生成所述目标数据所需的用户业务数据;
接收所述可信机构反馈的验证结果;
若所述验证结果表示所述可信机构处存储有生成所述目标数据所需的用户业务数据,则发布所述数据描述信息。
31.一种数据获取设备,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够:
获取数据所有方发布的数据描述信息;所述数据描述信息用于描述可信机构处可提供的所述数据所有方的目标数据;
根据所述数据描述信息,生成针对所述目标数据的获取请求;
发送所述获取请求至所述数据所有方的可信硬件处;所述可信硬件与所述数据所有方的分布式数字身份标识具有绑定关系;
接收所述目标数据。
CN202010921428.5A 2020-09-04 2020-09-04 一种基于可信硬件的数据管理方法、装置及设备 Active CN111814195B (zh)

Priority Applications (4)

Application Number Priority Date Filing Date Title
CN202110778564.8A CN113434849A (zh) 2020-09-04 2020-09-04 一种基于可信硬件的数据管理方法、装置及设备
CN202010921428.5A CN111814195B (zh) 2020-09-04 2020-09-04 一种基于可信硬件的数据管理方法、装置及设备
US17/359,219 US11341284B2 (en) 2020-09-04 2021-06-25 Trusted hardware-based data management methods, apparatuses, and devices
EP21182488.3A EP3965359B1 (en) 2020-09-04 2021-06-29 Trusted hardware-based data management methods, apparatuses, and devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010921428.5A CN111814195B (zh) 2020-09-04 2020-09-04 一种基于可信硬件的数据管理方法、装置及设备

Related Child Applications (1)

Application Number Title Priority Date Filing Date
CN202110778564.8A Division CN113434849A (zh) 2020-09-04 2020-09-04 一种基于可信硬件的数据管理方法、装置及设备

Publications (2)

Publication Number Publication Date
CN111814195A true CN111814195A (zh) 2020-10-23
CN111814195B CN111814195B (zh) 2021-05-25

Family

ID=72859883

Family Applications (2)

Application Number Title Priority Date Filing Date
CN202010921428.5A Active CN111814195B (zh) 2020-09-04 2020-09-04 一种基于可信硬件的数据管理方法、装置及设备
CN202110778564.8A Pending CN113434849A (zh) 2020-09-04 2020-09-04 一种基于可信硬件的数据管理方法、装置及设备

Family Applications After (1)

Application Number Title Priority Date Filing Date
CN202110778564.8A Pending CN113434849A (zh) 2020-09-04 2020-09-04 一种基于可信硬件的数据管理方法、装置及设备

Country Status (3)

Country Link
US (1) US11341284B2 (zh)
EP (1) EP3965359B1 (zh)
CN (2) CN111814195B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112528343A (zh) * 2020-12-30 2021-03-19 楚天龙股份有限公司 应用于指纹卡的个人化数据检查的方法、装置及介质
CN115129518A (zh) * 2022-08-25 2022-09-30 北京百度网讯科技有限公司 Tee内存储数据的备份和恢复方法、装置、设备及介质

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210314293A1 (en) * 2020-04-02 2021-10-07 Hewlett Packard Enterprise Development Lp Method and system for using tunnel extensible authentication protocol (teap) for self-sovereign identity based authentication
CN111930846B (zh) * 2020-09-15 2021-02-23 支付宝(杭州)信息技术有限公司 一种数据处理方法、装置及设备
CN114356231B (zh) * 2021-12-27 2023-10-20 阿里巴巴(中国)有限公司 数据处理方法、设备及计算机存储介质
CN114896603A (zh) * 2022-05-26 2022-08-12 支付宝(杭州)信息技术有限公司 一种业务处理方法、装置及设备
CN115186286B (zh) * 2022-09-09 2022-11-18 北京数牍科技有限公司 模型处理方法、装置、设备、可读存储介质及程序产品

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107507091A (zh) * 2017-09-07 2017-12-22 复旦大学 基于区块链和智能合约的增强型数据权益保护方法
CN107579979A (zh) * 2017-09-07 2018-01-12 成都理工大学 基于区块链技术的电子病历的共享查询方法
CN108076011A (zh) * 2016-11-10 2018-05-25 中国移动通信有限公司研究院 一种可信执行环境数据迁移方法及装置
CN109660358A (zh) * 2019-01-08 2019-04-19 余炀 一种基于区块链及安全执行环境的数据流通方法
CN109768865A (zh) * 2019-01-18 2019-05-17 深圳市威赫科技有限公司 可信执行环境下的区块链上身份数字化实现方法及系统
CN109840436A (zh) * 2017-11-29 2019-06-04 阿里巴巴集团控股有限公司 数据处理方法、可信用户界面资源数据的应用方法及装置
CN110083610A (zh) * 2019-04-29 2019-08-02 百度在线网络技术(北京)有限公司 数据处理方法、装置、系统、可信计算装置、设备和介质
CN110086804A (zh) * 2019-04-25 2019-08-02 广州大学 一种基于区块链及可信硬件的物联网数据隐私保护方法
CN110224837A (zh) * 2019-06-06 2019-09-10 西安纸贵互联网科技有限公司 基于分布式身份标识的零知识证明方法及终端
CN110968743A (zh) * 2019-12-13 2020-04-07 支付宝(杭州)信息技术有限公司 针对隐私数据的数据存储、数据读取方法及装置

Family Cites Families (66)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100542140C (zh) 2006-12-15 2009-09-16 华为技术有限公司 一种访问用户数据的方法及用户档案管理服务器
EP2071898A1 (en) * 2007-12-10 2009-06-17 Telefonaktiebolaget LM Ericsson (publ) Method for alteration of integrity protected data in a device, computer program product and device implementing the method
CN103677935A (zh) 2013-12-23 2014-03-26 北京奇虎科技有限公司 一种应用程序的安装控制方法、系统及装置
CN104010044B (zh) 2014-06-12 2018-02-23 北京握奇数据系统有限公司 基于可信执行环境技术的应用受限安装方法、管理器和终端
CN105631322A (zh) 2015-12-25 2016-06-01 北京奇虎科技有限公司 免root对通知栏进行管理的方法及装置
CN107145768B (zh) * 2016-03-01 2021-02-12 华为技术有限公司 版权管理方法和系统
US10505741B1 (en) 2016-09-29 2019-12-10 Amazon Technologies, Inc. Cryptographically provable data certification and provenance
CN106408486A (zh) 2016-09-30 2017-02-15 深圳市华傲数据技术有限公司 用于网格化管理的数据采集方法及系统
EP3454238B1 (en) * 2016-12-23 2022-02-09 CloudMinds (Shanghai) Robotics Co., Ltd. Registration and authorization method, device and system
US20180254898A1 (en) 2017-03-06 2018-09-06 Rivetz Corp. Device enrollment protocol
CN109245893A (zh) 2017-07-10 2019-01-18 浙江华信区块链科技服务有限公司 一种用于替代u盾的身份构建及签名方法
GB201711878D0 (en) * 2017-07-24 2017-09-06 Nchain Holdings Ltd Computer - implemented system and method
CN107622385A (zh) 2017-08-28 2018-01-23 南京邮电大学 一种基于区块链智能合约的数字作品发行方法
CN107729745A (zh) 2017-10-24 2018-02-23 珠海市魅族科技有限公司 数据处理方法、终端、计算机装置及计算机可读存储介质
CN107742189A (zh) 2017-11-13 2018-02-27 广东航程科技有限公司 一种简单为非特定b2b平台建立企业间合作关系的方法
CN110233739B (zh) 2017-11-15 2020-12-18 财付通支付科技有限公司 身份管理方法、装置及存储介质
US20190197130A1 (en) * 2017-12-21 2019-06-27 Microsoft Technology Licensing, Llc Ensuring consistency in distributed incremental content publishing
CN109993490A (zh) 2017-12-29 2019-07-09 中思博安科技(北京)有限公司 一种报关系统和报关方法
CN108471350A (zh) 2018-03-28 2018-08-31 电子科技大学成都研究院 基于区块链的可信数据计算方法
EP3782346A1 (en) * 2018-04-20 2021-02-24 InfoNetworks LLC System for verification of pseudonymous credentials for digital identities with managed access to personal data on trust networks
CN108616539B (zh) 2018-05-03 2019-08-20 东莞市翔实信息科技有限公司 一种区块链交易记录访问的方法及系统
US10692086B2 (en) * 2018-05-07 2020-06-23 Accenture Global Solutions Limited Distributed ledger based identity and origins of supply chain application enabling financial inclusion and sustainability
CN108881160A (zh) 2018-05-07 2018-11-23 北京信任度科技有限公司 基于区块链智能合约的医疗健康数据管理方法及系统
CN108632284B (zh) 2018-05-10 2021-02-23 网易(杭州)网络有限公司 基于区块链的用户数据授权方法、介质、装置和计算设备
CN110555292B (zh) 2018-05-31 2021-07-06 本无链科技(深圳)有限公司 一种防窃取与可信授权的版权作品发行方法及其系统
CN108932297B (zh) 2018-06-01 2022-03-22 创新先进技术有限公司 一种数据查询、数据共享的方法、装置及设备
CN108985089B (zh) 2018-08-01 2020-08-07 清华大学 互联网数据共享系统
CN110795737A (zh) * 2018-08-03 2020-02-14 华为技术有限公司 对电子身份证的业务适用范围进行升级的方法和终端设备
CN109150607A (zh) 2018-08-22 2019-01-04 中链科技有限公司 用于区块链网络的分级管控方法及装置
CN109376504B (zh) 2018-09-26 2022-04-12 福州大学 一种基于区块链技术的图片隐私保护方法
CN109522722A (zh) 2018-10-17 2019-03-26 联想(北京)有限公司 系统安全处理方法和装置
CN109525400A (zh) 2018-11-01 2019-03-26 联想(北京)有限公司 安全处理方法、系统和电子设备
US11425111B2 (en) * 2018-11-14 2022-08-23 Intel Corporation Attestation token sharing in edge computing environments
CN110034924B (zh) 2018-12-12 2022-05-13 创新先进技术有限公司 一种数据处理方法和装置
CN110046482A (zh) * 2018-12-25 2019-07-23 阿里巴巴集团控股有限公司 身份核实方法及其系统
CN110035052B (zh) * 2018-12-28 2021-06-08 创新先进技术有限公司 一种查看历史交易信息的方法、装置及电子设备
CN109710270A (zh) 2018-12-29 2019-05-03 北京神州绿盟信息安全科技股份有限公司 一种安全应用交付方法、装置以及存储介质
CN109741039B (zh) 2019-01-07 2021-01-19 深圳市红砖坊技术有限公司 记账方法、矿池服务器、终端设备、挖矿节点及矿池
CN109547500A (zh) 2019-01-21 2019-03-29 信雅达系统工程股份有限公司 一种保护用户数据所有权的数据共享方法及系统
CN110009232A (zh) 2019-04-04 2019-07-12 重庆龙易购电子商务有限公司 在线企业服务管理平台
CN110046165A (zh) 2019-04-17 2019-07-23 江苏全链通信息科技有限公司 分布式应用程序的发布方法、设备及计算机可读存储介质
CN110222533B (zh) 2019-06-17 2021-08-13 英联(厦门)金融技术服务股份有限公司 分布式数据安全应用方法、系统及电子设备
CN110335149B (zh) 2019-06-19 2021-08-20 华中科技大学 一种基于区块链的资产确权交易实现方法及系统
CN111066020B (zh) * 2019-07-02 2023-08-04 创新先进技术有限公司 用于创建去中心化标识的系统和方法
CN111213147B (zh) * 2019-07-02 2023-10-13 创新先进技术有限公司 用于基于区块链的交叉实体认证的系统和方法
EP3688633A4 (en) 2019-07-02 2020-10-07 Alibaba Group Holding Limited SYSTEM AND PROCEDURE FOR VERIFICATION OF VERIFICABLE CLAIMS
CN110516178A (zh) 2019-07-23 2019-11-29 平安科技(深圳)有限公司 基于大数据的多级品目展示方法、服务器及存储介质
CN110457875B (zh) 2019-07-31 2021-04-27 创新先进技术有限公司 基于区块链的数据授权方法及装置
US11102009B2 (en) * 2019-08-01 2021-08-24 EMC IP Holding Company LLC Method and system transacting data using verifiable claims
CN110636062B (zh) 2019-09-20 2022-02-08 百度在线网络技术(北京)有限公司 设备的安全交互控制方法、装置、电子设备及存储介质
CN113221169B (zh) 2019-10-30 2023-01-20 支付宝(杭州)信息技术有限公司 区块链隐私数据的查询方法及装置
CN110837658A (zh) 2019-11-18 2020-02-25 浙江蓝景科技有限公司 联单信息的处理方法及系统、电子设备、存储介质
CN111179067B (zh) 2019-12-31 2023-06-27 杭州趣链科技有限公司 一种基于区块链的银行间客户信息交换系统
US20210209603A1 (en) * 2020-01-08 2021-07-08 Wipro Limited Method for preventing fraud in trusted network, and system thereof
US11388147B2 (en) * 2020-01-31 2022-07-12 EMC IP Holding Company LLC System and method for redirecting data access to local trust managers via an indirection logic service
CN111414599A (zh) 2020-02-26 2020-07-14 北京奇艺世纪科技有限公司 身份验证方法、装置、终端、服务端以及可读存储介质
CN111680274B (zh) 2020-03-03 2022-11-22 支付宝(杭州)信息技术有限公司 资源访问方法、装置及设备
CN111340627A (zh) 2020-03-09 2020-06-26 广东珠影星光科技有限公司 基于区块链的影视资产版权交易系统
SG11202013204QA (en) * 2020-03-13 2021-01-28 Alipay Hangzhou Inf Tech Co Ltd Data authorization based on decentralized identifiers
CN111049660B (zh) 2020-03-16 2020-06-09 杭州海康威视数字技术股份有限公司 证书分发方法、系统、装置及设备、存储介质
CN111415157A (zh) 2020-03-28 2020-07-14 贵阳大数据交易所有限责任公司 一种基于区块链的数据资产安全流通方法
CN111191268B (zh) 2020-04-10 2020-08-07 支付宝(杭州)信息技术有限公司 一种可验证声明的存储方法、装置及设备
CN113641983B (zh) * 2020-04-15 2024-06-07 支付宝(杭州)信息技术有限公司 一种应用程序的账户绑定方法、装置及系统
CN111506662A (zh) 2020-04-24 2020-08-07 江苏荣泽信息科技股份有限公司 一种基于区块链的企业固定资产整理用数据收集系统
CN111597565A (zh) 2020-05-12 2020-08-28 山大地纬软件股份有限公司 一种基于区块链的处方可信流转装置及方法
CN111741036B (zh) 2020-08-28 2020-12-18 支付宝(杭州)信息技术有限公司 一种可信数据传输方法、装置及设备

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108076011A (zh) * 2016-11-10 2018-05-25 中国移动通信有限公司研究院 一种可信执行环境数据迁移方法及装置
CN107507091A (zh) * 2017-09-07 2017-12-22 复旦大学 基于区块链和智能合约的增强型数据权益保护方法
CN107579979A (zh) * 2017-09-07 2018-01-12 成都理工大学 基于区块链技术的电子病历的共享查询方法
CN109840436A (zh) * 2017-11-29 2019-06-04 阿里巴巴集团控股有限公司 数据处理方法、可信用户界面资源数据的应用方法及装置
CN109660358A (zh) * 2019-01-08 2019-04-19 余炀 一种基于区块链及安全执行环境的数据流通方法
CN109768865A (zh) * 2019-01-18 2019-05-17 深圳市威赫科技有限公司 可信执行环境下的区块链上身份数字化实现方法及系统
CN110086804A (zh) * 2019-04-25 2019-08-02 广州大学 一种基于区块链及可信硬件的物联网数据隐私保护方法
CN110083610A (zh) * 2019-04-29 2019-08-02 百度在线网络技术(北京)有限公司 数据处理方法、装置、系统、可信计算装置、设备和介质
CN110224837A (zh) * 2019-06-06 2019-09-10 西安纸贵互联网科技有限公司 基于分布式身份标识的零知识证明方法及终端
CN110968743A (zh) * 2019-12-13 2020-04-07 支付宝(杭州)信息技术有限公司 针对隐私数据的数据存储、数据读取方法及装置

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112528343A (zh) * 2020-12-30 2021-03-19 楚天龙股份有限公司 应用于指纹卡的个人化数据检查的方法、装置及介质
CN115129518A (zh) * 2022-08-25 2022-09-30 北京百度网讯科技有限公司 Tee内存储数据的备份和恢复方法、装置、设备及介质
CN115129518B (zh) * 2022-08-25 2022-12-13 北京百度网讯科技有限公司 Tee内存储数据的备份和恢复方法、装置、设备及介质

Also Published As

Publication number Publication date
EP3965359B1 (en) 2023-12-20
US20220075902A1 (en) 2022-03-10
US11341284B2 (en) 2022-05-24
EP3965359A1 (en) 2022-03-09
CN113434849A (zh) 2021-09-24
CN111814195B (zh) 2021-05-25

Similar Documents

Publication Publication Date Title
CN111932426B (zh) 一种基于可信硬件的身份管理方法、装置及设备
CN111814195B (zh) 一种基于可信硬件的数据管理方法、装置及设备
CN111741036B (zh) 一种可信数据传输方法、装置及设备
CN111814196B (zh) 一种数据处理方法、装置及设备
CN111931238B (zh) 一种基于区块链的数据资产流转方法、装置及设备
CN111814156B (zh) 一种基于可信设备的数据获取方法、装置及设备
US11431503B2 (en) Self-sovereign data access via bot-chain
CN111193597B (zh) 一种可验证声明的传输方法、装置、设备及系统
WO2023207086A1 (zh) 一种基于区块链的用户数据流转方法、装置及设备
CN111814172A (zh) 一种数据授权信息的获取方法、装置及设备
CN111932263B (zh) 一种数据管理方法、装置及设备
CN111815420A (zh) 一种基于可信资产数据的匹配方法、装置及设备
CN111930846B (zh) 一种数据处理方法、装置及设备
CN111818094B (zh) 一种身份注册方法、装置及设备
CN113761496A (zh) 一种基于区块链的身份校验方法及装置和电子设备
CN112766755A (zh) 一种业务处理方法、装置、设备及介质
CN111460466A (zh) 一种基于区块链的电子车票管理方法、设备及介质
CN115758418A (zh) 一种基于区块链网络的数据管理方法、装置及设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40039119

Country of ref document: HK