CN114499901A - 一种信息处理方法、装置、服务器、终端及数据平台 - Google Patents
一种信息处理方法、装置、服务器、终端及数据平台 Download PDFInfo
- Publication number
- CN114499901A CN114499901A CN202011156075.0A CN202011156075A CN114499901A CN 114499901 A CN114499901 A CN 114499901A CN 202011156075 A CN202011156075 A CN 202011156075A CN 114499901 A CN114499901 A CN 114499901A
- Authority
- CN
- China
- Prior art keywords
- access
- data
- target
- level
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000010365 information processing Effects 0.000 title claims abstract description 102
- 238000003672 processing method Methods 0.000 title claims abstract description 57
- 238000000586 desensitisation Methods 0.000 claims abstract description 110
- 238000012795 verification Methods 0.000 claims abstract description 11
- 238000012545 processing Methods 0.000 claims description 46
- 125000004122 cyclic group Chemical group 0.000 claims description 10
- 238000000034 method Methods 0.000 description 30
- 238000004364 calculation method Methods 0.000 description 17
- 230000000694 effects Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 7
- 230000035945 sensitivity Effects 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 3
- 238000012946 outsourcing Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000013503 de-identification Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种信息处理方法、装置、服务器、终端及数据平台,其中,信息处理方法包括:接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;对所述目标密文数据进行脱敏操作;将脱敏后的目标密文数据发送给所述终端;其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。本方案很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种信息处理方法、装置、服务器、终端及数据平台。
背景技术
数据共享是大数据时代发挥数据价值的必要手段,但是用户个人信息泄露,开放共享带来的访问压力成为数据开放共享的瓶颈。如何在保证数据安全的前提下开展数据共享成为亟需解决的问题。
目前已有数据脱敏、差分隐私、数据加密、数据标签化等不同技术方案来对共享数据提供不同程度的保护,保证数据共享过程中敏感信息不对合作方可见。其中数据脱敏是目前使用较多的防护方法,数据脱敏大部分算法较加密速度快,能够快速进行去标识化处理,适合企业对有一定权限的用户开放部分隐私数据使用。目前数据脱敏都是基于明文进行处理。
目前企业的数据共享一般面向多个用户,用户的频繁访问给企业平台带来很高的访问压力。为了降低用户破解数据脱敏算法,不同用户间合谋攻击等问题,会采用“一访问一处理”的方式,保证每次用户访问得到的结果不同,这又进一步增加了数据平台的处理压力。为降低数据共享带来的计算开销,企业寻求计算上云的方法,将共享的数据放到云服务器上,访问用户直接到云平台读取,由云服务器完成“一访问一处理”的数据脱敏过程。但是将数据放到云端将使共享数据面临云端不可信等问题。为保护云端数据安全性可采用加密存储的方式,但是云服务器又难以基于密文进行数据脱敏处理。这就使企业的数据共享工作面临数据安全性保护与企业平台保障的艰难选择。
也就是说,以上的现有技术存在以下缺点:
1.对不同用户进行不同处理的脱敏方式给数据共享平台带来较大开销,目前脱敏算法都是基于明文进行处理,难以将脱敏处理压力进行转移。
2.由于要共享的数据经常包括大量敏感信息,加密成为共享数据上云的重要解决方案。但加密的方式阻碍脱敏方案实现:(1)若先脱敏后加密存储到云端,难以做到每次访问处理结果不同;(2)若先加密存储到云端,难以进行脱敏处理,共享用户访问到的数据要么是完全密文,要么是完全明文。
由上可知,现有针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大等问题。
发明内容
本发明的目的在于提供一种信息处理方法、装置、服务器、终端及数据平台,以解决现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
为了解决上述技术问题,本发明实施例提供一种信息处理方法,应用于服务器,包括:
接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;
在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;
对所述目标密文数据进行脱敏操作;
将脱敏后的目标密文数据发送给所述终端;
其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。
可选的,所述根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据,包括:
将所述目标访问标识与所述预存储信息中的访问标识进行匹配,以及将所述目标访问权限等级与所述预存储信息中的访问权限等级进行匹配,得到所述终端被允许的数据访问等级;
根据所述被允许的数据访问等级,从所述预存储信息中获取对应的密文数据作为目标密文数据。
可选的,所述对所述目标密文数据进行脱敏操作,包括:
采用公式一,对所述目标密文数据进行脱敏操作;
其中,所述公式一为:
Cr=C×r;
Cr表示脱敏后的所述目标密文数据;
C表示所述目标密文数据;
r表示脱敏参数;
在所述目标密文数据对应的数据访问等级大于1时,r=0,否则,r为随机数。
可选的,在根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据之前,还包括:
接收数据平台发送的相对应的访问权限等级、数据访问等级和密文数据,以及相对应的所述目标访问标识以及目标访问权限等级;
根据所述访问权限等级、数据访问等级、密文数据、目标访问标识以及目标访问权限等级,得到所述预存储信息。
本发明实施例还提供了一种信息处理方法,应用于终端,包括:
向数据平台发送注册请求;
接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;
根据所述目标访问标识和目标访问权限等级向服务器发送访问请求;
接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;
根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据。
可选的,所述根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据,包括:
采用公式二,根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据;
其中,所述公式二为:
mt表示所述目标明文数据,Cr表示所述脱敏后的目标密文数据,SK表示所述访问密钥,C表示所述目标密文数据,r表示脱敏参数;
SK=e(g,g)ab;e(g,g)表示生成元为g的双线性对,a,b表示固定参数值。
本发明实施例还提供了一种信息处理方法,应用于数据平台,包括:
接收终端发送的注册请求;
根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;
将所述目标访问标识、目标访问权限等级以及访问密钥,发送给所述终端。
可选的,根据所述注册请求,针对所述终端生成访问密钥,包括:
采用公式三,针对所述终端生成访问密钥;
其中,所述公式三为:
SK=e(g,g)ab;
SK表示所述访问密钥;
a,b表示固定参数值;
e(g,g)表示生成元为g的双线性对。
可选的,在接收终端发送的注册请求之前,还包括:
根据字段对待共享的数据表进行划分,并对划分得到的各个部分匹配对应的访问权限等级;
针对所述各个部分形成与所述访问权限等级对应的数据访问等级;
根据所述访问权限等级和数据访问等级,生成对应部分的密文数据。
可选的,所述根据所述访问权限等级和数据访问等级,生成对应部分的密文数据,包括:
确定所述访问权限等级和数据访问等级所对应的部分数据表,以及所述部分数据表所对应的随机数;
从循环群中选取双线性对;
根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据。
可选的,所述根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据,包括:
采用公式四,根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据;
其中,所述公式四为:
C=mk×ck×e(ga,gb),k∈[1,n];
C表示所述部分数据表对应的密文数据;
mk表示所述部分数据表对应的明文数据;
ck表示所述随机数;
a和b分别表示所述固定参数值;
e(g,g)表示所述双线性对。
可选的,在根据所述访问权限等级和数据访问等级,生成对应部分的密文数据之后,还包括:
将相对应的所述访问权限等级、数据访问等级以及密文数据,发送给服务器进行存储。
可选的,在根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥之后,还包括:
将相对应的所述目标访问标识以及目标访问权限等级,发送给服务器进行存储。
本发明实施例还提供了一种信息处理装置,应用于服务器,包括:
第一接收模块,用于接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;
第一确定模块,用于在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;
第一处理模块,用于对所述目标密文数据进行脱敏操作;
第一发送模块,用于将脱敏后的目标密文数据发送给所述终端;
其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。
可选的,所述第一确定模块,包括:
第一处理子模块,用于将所述目标访问标识与所述预存储信息中的访问标识进行匹配,以及将所述目标访问权限等级与所述预存储信息中的访问权限等级进行匹配,得到所述终端被允许的数据访问等级;
第一获取子模块,用于根据所述被允许的数据访问等级,从所述预存储信息中获取对应的密文数据作为目标密文数据。
可选的,所述第一处理模块,包括:
第二处理子模块,用于采用公式一,对所述目标密文数据进行脱敏操作;
其中,所述公式一为:
Cr=C×r;
Cr表示脱敏后的所述目标密文数据;
C表示所述目标密文数据;
r表示脱敏参数;
在所述目标密文数据对应的数据访问等级大于1时,r=0,否则,r为随机数。
可选的,还包括:
第二接收模块,用于在根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据之前,接收数据平台发送的相对应的访问权限等级、数据访问等级和密文数据,以及相对应的所述目标访问标识以及目标访问权限等级;
第二处理模块,用于根据所述访问权限等级、数据访问等级、密文数据、目标访问标识以及目标访问权限等级,得到所述预存储信息。
本发明实施例还提供了一种信息处理装置,应用于终端,包括:
第二发送模块,用于向数据平台发送注册请求;
第三接收模块,用于接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;
第三发送模块,用于根据所述目标访问标识和目标访问权限等级向服务器发送访问请求;
第四接收模块,用于接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;
第三处理模块,用于根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据。
可选的,所述第三处理模块,包括:
第三处理子模块,用于采用公式二,根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据;
其中,所述公式二为:
mt表示所述目标明文数据,Cr表示所述脱敏后的目标密文数据,SK表示所述访问密钥,C表示所述目标密文数据,r表示脱敏参数;
SK=e(g,g)ab;e(g,g)表示生成元为g的双线性对,a,b表示固定参数值。
本发明实施例还提供了一种信息处理装置,应用于数据平台,包括:
第五接收模块,用于接收终端发送的注册请求;
第一生成模块,用于根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;
第四发送模块,用于将所述目标访问标识、目标访问权限等级以及访问密钥,发送给所述终端。
可选的,所述第一生成模块,包括:
第一生成子模块,用于采用公式三,针对所述终端生成访问密钥;
其中,所述公式三为:
SK=e(g,g)ab;
SK表示所述访问密钥;
a,b表示固定参数值;
e(g,g)表示生成元为g的双线性对。
可选的,还包括:
第四处理模块,用于在接收终端发送的注册请求之前,根据字段对待共享的数据表进行划分,并对划分得到的各个部分匹配对应的访问权限等级;
第五处理模块,用于针对所述各个部分形成与所述访问权限等级对应的数据访问等级;
第二生成模块,用于根据所述访问权限等级和数据访问等级,生成对应部分的密文数据。
可选的,所述第二生成模块,包括:
第一确定子模块,用于确定所述访问权限等级和数据访问等级所对应的部分数据表,以及所述部分数据表所对应的随机数;
第一选取子模块,用于从循环群中选取双线性对;
第二生成子模块,用于根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据。
可选的,所述根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据,包括:
采用公式四,根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据;
其中,所述公式四为:
C=mk×ck×e(ga,gb),k∈[1,n];
C表示所述部分数据表对应的密文数据;
mk表示所述部分数据表对应的明文数据;
ck表示所述随机数;
a和b分别表示所述固定参数值;
e(g,g)表示所述双线性对。
可选的,还包括:
第五发送模块,用于在根据所述访问权限等级和数据访问等级,生成对应部分的密文数据之后,将相对应的所述访问权限等级、数据访问等级以及密文数据,发送给服务器进行存储。
可选的,还包括:
第六发送模块,用于在根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥之后,将相对应的所述目标访问标识以及目标访问权限等级,发送给服务器进行存储。
本发明实施例还提供了一种服务器,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;
在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;
对所述目标密文数据进行脱敏操作;
通过所述收发机将脱敏后的目标密文数据发送给所述终端;
其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。
可选的,所述处理器具体用于:
将所述目标访问标识与所述预存储信息中的访问标识进行匹配,以及将所述目标访问权限等级与所述预存储信息中的访问权限等级进行匹配,得到所述终端被允许的数据访问等级;
根据所述被允许的数据访问等级,从所述预存储信息中获取对应的密文数据作为目标密文数据。
可选的,所述处理器具体用于:
采用公式一,对所述目标密文数据进行脱敏操作;
其中,所述公式一为:
Cr=C×r;
Cr表示脱敏后的所述目标密文数据;
C表示所述目标密文数据;
r表示脱敏参数;
在所述目标密文数据对应的数据访问等级大于1时,r=0,否则,r为随机数。
可选的,所述处理器还用于:
在根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据之前,通过所述收发机接收数据平台发送的相对应的访问权限等级、数据访问等级和密文数据,以及相对应的所述目标访问标识以及目标访问权限等级;
根据所述访问权限等级、数据访问等级、密文数据、目标访问标识以及目标访问权限等级,得到所述预存储信息。
本发明实施例还提供了一种终端,包括:处理器和收发机;
所述处理器,用于通过所述收发机向数据平台发送注册请求;
通过所述收发机接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;
根据所述目标访问标识和目标访问权限等级通过所述收发机向服务器发送访问请求;
通过所述收发机接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;
根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据。
可选的,所述处理器具体用于:
采用公式二,根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据;
其中,所述公式二为:
mt表示所述目标明文数据,Cr表示所述脱敏后的目标密文数据,SK表示所述访问密钥,C表示所述目标密文数据,r表示脱敏参数;
SK=e(g,g)ab;e(g,g)表示生成元为g的双线性对,a,b表示固定参数值。
本发明实施例还提供了一种数据平台,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收终端发送的注册请求;
根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;
将所述目标访问标识、目标访问权限等级以及访问密钥,通过所述收发机发送给所述终端。
可选的,所述处理器具体用于:
采用公式三,针对所述终端生成访问密钥;
其中,所述公式三为:
SK=e(g,g)ab;
SK表示所述访问密钥;
a,b表示固定参数值;
e(g,g)表示生成元为g的双线性对。
可选的,所述处理器还用于:
在接收终端发送的注册请求之前,根据字段对待共享的数据表进行划分,并对划分得到的各个部分匹配对应的访问权限等级;
针对所述各个部分形成与所述访问权限等级对应的数据访问等级;
根据所述访问权限等级和数据访问等级,生成对应部分的密文数据。
可选的,所述处理器具体用于:
确定所述访问权限等级和数据访问等级所对应的部分数据表,以及所述部分数据表所对应的随机数;
从循环群中选取双线性对;
根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据。
可选的,所述处理器具体用于:
采用公式四,根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据;
其中,所述公式四为:
C=mk×ck×e(ga,gb),k∈[1,n];
C表示所述部分数据表对应的密文数据;
mk表示所述部分数据表对应的明文数据;
ck表示所述随机数;
a和b分别表示所述固定参数值;
e(g,g)表示所述双线性对。
可选的,所述处理器还用于:
在根据所述访问权限等级和数据访问等级,生成对应部分的密文数据之后,将相对应的所述访问权限等级、数据访问等级以及密文数据,通过所述收发机发送给服务器进行存储。
可选的,所述处理器还用于:
在根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥之后,将相对应的所述目标访问标识以及目标访问权限等级,通过所述收发机发送给服务器进行存储。
本发明实施例还提供了一种服务器,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述服务器侧的信息处理方法。
本发明实施例还提供了一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述终端侧的信息处理方法。
本发明实施例还提供了一种数据平台,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述数据平台侧的信息处理方法。
本发明实施例还提供了一种可读存储介质,其上存储有程序,该程序被处理器执行时实现上述服务器侧的信息处理方法中的步骤;或者,
该程序被处理器执行时实现上述终端侧的信息处理方法中的步骤;或者,
该程序被处理器执行时实现上述数据平台侧的信息处理方法中的步骤。
本发明的上述技术方案的有益效果如下:
上述方案中,所述信息处理方法通过接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;对所述目标密文数据进行脱敏操作;将脱敏后的目标密文数据发送给所述终端;其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
附图说明
图1为本发明实施例的信息处理方法流程示意图一;
图2为本发明实施例的信息处理方法流程示意图二;
图3为本发明实施例的信息处理方法流程示意图三;
图4为本发明实施例的信息处理方法具体实现框架示意图;
图5为本发明实施例的信息处理装置结构示意图一;
图6为本发明实施例的信息处理装置结构示意图二;
图7为本发明实施例的信息处理装置结构示意图三;
图8为本发明实施例的服务器结构示意图;
图9为本发明实施例的终端结构示意图;
图10为本发明实施例的数据平台结构示意图。
具体实施方式
为使本发明要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。
本发明针对现有的技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题,提供一种信息处理方法,应用于服务器,如图1所示,包括:
步骤11:接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;
步骤12:在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;
步骤13:对所述目标密文数据进行脱敏操作;
步骤14:将脱敏后的目标密文数据发送给所述终端;其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。
本发明实施例提供的所述信息处理方法通过接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;对所述目标密文数据进行脱敏操作;将脱敏后的目标密文数据发送给所述终端;其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
其中,所述根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据,包括:将所述目标访问标识与所述预存储信息中的访问标识进行匹配,以及将所述目标访问权限等级与所述预存储信息中的访问权限等级进行匹配,得到所述终端被允许的数据访问等级;根据所述被允许的数据访问等级,从所述预存储信息中获取对应的密文数据作为目标密文数据。
具体的,所述对所述目标密文数据进行脱敏操作,包括:采用公式一,对所述目标密文数据进行脱敏操作;其中,所述公式一为:
Cr=C×r;Cr表示脱敏后的所述目标密文数据;C表示所述目标密文数据;r表示脱敏参数;在所述目标密文数据对应的数据访问等级大于1时,r=0,否则,r为随机数。
进一步的,在根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据之前,还包括:接收数据平台发送的相对应的访问权限等级、数据访问等级和密文数据,以及相对应的所述目标访问标识以及目标访问权限等级;根据所述访问权限等级、数据访问等级、密文数据、目标访问标识以及目标访问权限等级,得到所述预存储信息。
本发明实施例还提供了一种信息处理方法,应用于终端,如图2所示,包括:
步骤21:向数据平台发送注册请求;
步骤22:接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;
步骤23:根据所述目标访问标识和目标访问权限等级向服务器发送访问请求;
步骤24:接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;
步骤25:根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据。
本发明实施例提供的所述信息处理方法通过向数据平台发送注册请求;接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;根据所述目标访问标识和目标访问权限等级向服务器发送访问请求;接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
其中,所述根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据,包括:采用公式二,根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据;其中,所述公式二为:
mt表示所述目标明文数据,Cr表示所述脱敏后的目标密文数据,SK表示所述访问密钥,C表示所述目标密文数据,r表示脱敏参数;SK=e(g,g)ab;e(g,g)表示生成元为g的双线性对,a,b表示固定参数值。
本发明实施例还提供了一种信息处理方法,应用于数据平台,如图3所示,包括:
步骤31:接收终端发送的注册请求;
步骤32:根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;
步骤33:将所述目标访问标识、目标访问权限等级以及访问密钥,发送给所述终端。
本发明实施例提供的所述信息处理方法通过接收终端发送的注册请求;根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;将所述目标访问标识、目标访问权限等级以及访问密钥,发送给所述终端;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
其中,根据所述注册请求,针对所述终端生成访问密钥,包括:采用公式三,针对所述终端生成访问密钥;其中,所述公式三为:
SK=e(g,g)ab;SK表示所述访问密钥;a,b表示固定参数值;e(g,g)表示生成元为g的双线性对。
进一步的,在接收终端发送的注册请求之前,还包括:根据字段对待共享的数据表进行划分,并对划分得到的各个部分匹配对应的访问权限等级;针对所述各个部分形成与所述访问权限等级对应的数据访问等级;根据所述访问权限等级和数据访问等级,生成对应部分的密文数据。
其中,所述根据所述访问权限等级和数据访问等级,生成对应部分的密文数据,包括:确定所述访问权限等级和数据访问等级所对应的部分数据表,以及所述部分数据表所对应的随机数;从循环群中选取双线性对;根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据。
具体的,所述根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据,包括:采用公式四,根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据;其中,所述公式四为:
C=mk×ck×e(ga,gb),k∈[1,n];C表示所述部分数据表对应的密文数据;mk表示所述部分数据表对应的明文数据;ck表示所述随机数;a和b分别表示所述固定参数值;e(g,g)表示所述双线性对(具体为生成元为g的双线性对)。
进一步的,在根据所述访问权限等级和数据访问等级,生成对应部分的密文数据之后,还包括:将相对应的所述访问权限等级、数据访问等级以及密文数据,发送给服务器进行存储。
更进一步的,在根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥之后,还包括:将相对应的所述目标访问标识以及目标访问权限等级,发送给服务器进行存储。
下面结合服务器、终端及数据平台等多侧对本发明实施例提供的所述信息处理方法进行举例说明,服务器以云服务器为例。
针对上述技术问题,本发明实施例提供了一种信息处理方法,具体可实现为一种基于数据分级的细粒度密文脱敏方案,使得云服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销。
也可理解为本发明实施例提供了一种面向数据共享的密文脱敏方案,本方案的实现可采用如图4所示的架构,该架构所涉及的主要模块如下:
1)数据加密模块:
数据加密模块部署在数据提供方的平台(即上述数据平台)上,主要功能是对进行数据加密、密钥管理和访问用户管理。具体功能如下:
a.对待共享的数据以字段为单位进行分级;
b.针对不同文件计算其加密密钥;
c.对待共享的文件进行加密并上传到云服务器;
d.管理访问用户:维护用户名及其访问ID(标识),按级别授予用户访问权限,为访问用户计算并分发解密密钥。
2)密文脱敏模块:
密文脱敏模块部署在云服务器上,根据访问需求进行密文脱敏计算:
a.管理数据加密模块上传的加密文件;
b.接收用户访问需求,对密文进行脱敏操作;
c.传输脱敏密文。
3)用户访问模块:
用户访问模块部署在访问客户端(即上述终端),进行用户注册、发出访问请求并解密。
a.向数据加密模块发出用户注册请求(即上述发送注册请求),经身份认证后得到其访问ID与解密密钥;
b.向云服务器发起访问请求,得到密文并解密(接收到的脱敏后的密文数据)。
本发明实施例提供的方案结合上述架构主要涉及以下过程:
(1)初始化阶段:数据加密模块负责对待共享的文件进行管理,对需要上传至云服务器的文件进行加密,维护数据加密信息。
数据分级:对待共享的数据表以字段为单位划分敏感级别,比如:从低到高分为1,2,3,4级。
数据加密:假设数据表中待加密的列为m1,m2……mn,为每一列选取随机数(c1,c2,c3,……cn),即确定所述部分数据表所对应的随机数;并形成待访问数据表的敏感级别列表t=(1,2,3,4……)。选取双线性对e(g,g),生成随机数a,b,计算密文C=mk×ck×e(ga,gb),k∈[1,n]。
将密文C以及敏感级别列表上传至云服务器。
具体的,关于“形成待访问数据表的敏感级别列表t”可以为:假设数据分类分级规则设定的敏感级别为1-4级,匹配待加密列的敏感级别并形成敏感级别列表;
关于“选取双线性对e(g,g)”可以是:先找个循环群G,群里是一组数字,从里面随意选取一个;
关于双线性对,可以为:
定义设q是一个素数,G1、G2、G3是阶为q的循环群。映射e:G1×G2→G3为一个双线性对,如果e满足以下性质:
1)双线性性:对于任意的G1的生产元g1,任意的G2的生成元g2,选择任意的a,b∈Zp,有e(g1 a,g2 b)=e(g1,g2)ab。
2)非退化性:存在g1∈G1,g2∈G2,使得e(g1,g2)≠1,1指的是G3中的单位元。
3)可计算性:存在有效的算法对任意的g1∈G1,g2∈G2能计算e(g1,g2)的值。
关于“随机数a,b”:就是随便选取的数字,在程序中通过函数调用即可实现,在此不再赘述。
(2)用户发起注册请求,数据加密模块为用户生成唯一访问ID,对用户进行授权,并根据用户访问权限(数据加密模块根据注册者身份判定得到的)采用如下公式为用户计算解密密钥(即上述访问密钥),得到如下表格:
SK=e(g,g)ab;
用户名 | 访问ID | 访问权限 | 密钥 |
user1 | uID1 | 2 | SK1 |
user2 | uID2 | 3 | SK2 |
usern | uIDn | 4 | …… |
用户访问权限与数据分级保持一致,从低到高分为1-4级,1级访问权限表示此用户可以访问1级数据,2级访问权限表示此用户可访问1,2级数据,以此类推,4级为最高访问权限。
数据加密模块将用户访问ID、权限同步至云服务器进行存储;即上述将相对应的所述目标访问标识以及目标访问权限等级,发送给服务器进行存储。
(3)数据加密模块将访问ID、权限与访问密钥以安全的方式传输给用户,至此用户注册成功。
(4)用户访问模块使用访问ID向云服务器发起(针对目标密文数据的)访问请求。
a.云服务器验证访问ID通过后,查询用户访问权限并进行对比,然后对照敏感级别表t,并对存储的密文(即目标密文数据)进行脱敏操作:
若目标密文数据对应的数据访问等级>l,则下述涉及的r=0,否则r为云服务器选取的随机数,关于脱敏操作可采用如下公式:
Cr=C×r。
其中,Cr表示脱敏后的所述目标密文数据;C表示所述目标密文数据;r表示脱敏参数。
如有针对多个目标密文数据的访问请求,则重复上述操作。
b.如有多个用户访问请求,为每个用户重复一次上述操作,最终每个访问用户得到的密文不同(由于有随机数的参与,因此即使同等级的用户得到的数据也不同)。
(5)云服务器将Cr发送给用户访问模块,用户访问模块采用如下公式使用密钥进行解密:
mt为解密后得到的明文(即上述目标明文数据),Cr表示所述脱敏后的目标密文数据,SK表示所述访问密钥,C表示所述目标密文数据,r表示脱敏参数;
SK=e(g,g)ab;e(g,g)表示生成元为g的双线性对,a,b表示固定参数值。
最终用户得到脱敏处理过的明文,且每个用户得到的明文不同,对于没有访问权限的列解密失败,不能访问。
由上可知,本发明实施例提供的方案可实现云服务器基于密文的脱敏计算,保护数据对云服务器不可见;以及实现基于数据敏感级别的脱敏控制和加密存储,粒度可到列级别。
进一步的,与现有方案相比,本方案中:1.云端进行数据脱敏操作可降低数据开放者的计算压力;2.可实现基于敏感数据分级的密文访问控制;3.可实现基于密文的脱敏技术,使得云服务对数据可用不可见,保护用户数据机密性。
综上,本发明实施例提供的方案可实现数据的安全外包脱敏计算,主要涉及将数据分级和用户分级相结合实现分组权限管控,并将脱敏计算安全外包,降低数据提供方的计算压力,由云服务器实现细粒度的脱敏。
本发明实施例还提供了一种信息处理装置,应用于服务器,如图5所示,包括:
第一接收模块51,用于接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;
第一确定模块52,用于在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;
第一处理模块53,用于对所述目标密文数据进行脱敏操作;
第一发送模块54,用于将脱敏后的目标密文数据发送给所述终端;
其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。
本发明实施例提供的所述信息处理装置通过接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;对所述目标密文数据进行脱敏操作;将脱敏后的目标密文数据发送给所述终端;其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
其中,所述第一确定模块,包括:第一处理子模块,用于将所述目标访问标识与所述预存储信息中的访问标识进行匹配,以及将所述目标访问权限等级与所述预存储信息中的访问权限等级进行匹配,得到所述终端被允许的数据访问等级;第一获取子模块,用于根据所述被允许的数据访问等级,从所述预存储信息中获取对应的密文数据作为目标密文数据。
具体的,所述第一处理模块,包括:第二处理子模块,用于采用公式一,对所述目标密文数据进行脱敏操作;其中,所述公式一为:
Cr=C×r;Cr表示脱敏后的所述目标密文数据;C表示所述目标密文数据;r表示脱敏参数;在所述目标密文数据对应的数据访问等级大于1时,r=0,否则,r为随机数。
进一步的,所述的信息处理装置,还包括:第二接收模块,用于在根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据之前,接收数据平台发送的相对应的访问权限等级、数据访问等级和密文数据,以及相对应的所述目标访问标识以及目标访问权限等级;第二处理模块,用于根据所述访问权限等级、数据访问等级、密文数据、目标访问标识以及目标访问权限等级,得到所述预存储信息。
其中,上述服务器侧的信息处理方法的所述实现实施例均适用于该信息处理装置的实施例中,也能达到相同的技术效果。
本发明实施例还提供了一种信息处理装置,应用于终端,如图6所示,包括:
第二发送模块61,用于向数据平台发送注册请求;
第三接收模块62,用于接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;
第三发送模块63,用于根据所述目标访问标识和目标访问权限等级向服务器发送访问请求;
第四接收模块64,用于接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;
第三处理模块65,用于根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据。
本发明实施例提供的所述信息处理装置通过向数据平台发送注册请求;接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;根据所述目标访问标识和目标访问权限等级向服务器发送访问请求;接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
其中,所述第三处理模块,包括:第三处理子模块,用于采用公式二,根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据;其中,所述公式二为:
mt表示所述目标明文数据,Cr表示所述脱敏后的目标密文数据,SK表示所述访问密钥,C表示所述目标密文数据,r表示脱敏参数;SK=e(g,g)ab;e(g,g)表示生成元为g的双线性对,a,b表示固定参数值。
其中,上述终端侧的信息处理方法的所述实现实施例均适用于该信息处理装置的实施例中,也能达到相同的技术效果。
本发明实施例还提供了一种信息处理装置,应用于数据平台,如图7所示,包括:
第五接收模块71,用于接收终端发送的注册请求;
第一生成模块72,用于根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;
第四发送模块73,用于将所述目标访问标识、目标访问权限等级以及访问密钥,发送给所述终端。
本发明实施例提供的所述信息处理装置通过接收终端发送的注册请求;根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;将所述目标访问标识、目标访问权限等级以及访问密钥,发送给所述终端;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
其中,所述第一生成模块,包括:第一生成子模块,用于采用公式三,针对所述终端生成访问密钥;其中,所述公式三为:
SK=e(g,g)ab;SK表示所述访问密钥;a,b表示固定参数值;e(g,g)表示生成元为g的双线性对。
进一步的,所述的信息处理装置,还包括:第四处理模块,用于在接收终端发送的注册请求之前,根据字段对待共享的数据表进行划分,并对划分得到的各个部分匹配对应的访问权限等级;第五处理模块,用于针对所述各个部分形成与所述访问权限等级对应的数据访问等级;第二生成模块,用于根据所述访问权限等级和数据访问等级,生成对应部分的密文数据。
其中,所述第二生成模块,包括:第一确定子模块,用于确定所述访问权限等级和数据访问等级所对应的部分数据表,以及所述部分数据表所对应的随机数;第一选取子模块,用于从循环群中选取双线性对;第二生成子模块,用于根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据。
具体的,所述根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据,包括:采用公式四,根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据;其中,所述公式四为:
C=mk×ck×e(ga,gb),k∈[1,n];C表示所述部分数据表对应的密文数据;mk表示所述部分数据表对应的明文数据;ck表示所述随机数;a和b分别表示所述固定参数值;e(g,g)表示所述双线性对。
进一步的,所述的信息处理装置,还包括:第五发送模块,用于在根据所述访问权限等级和数据访问等级,生成对应部分的密文数据之后,将相对应的所述访问权限等级、数据访问等级以及密文数据,发送给服务器进行存储。
更进一步的,所述的信息处理装置,还包括:第六发送模块,用于在根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥之后,将相对应的所述目标访问标识以及目标访问权限等级,发送给服务器进行存储。
其中,上述数据平台侧的信息处理方法的所述实现实施例均适用于该信息处理装置的实施例中,也能达到相同的技术效果。
本发明实施例还提供了一种服务器,如图8所示,包括:处理器81和收发机82;
所述处理器81,用于通过所述收发机82接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;
在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;
对所述目标密文数据进行脱敏操作;
通过所述收发机82将脱敏后的目标密文数据发送给所述终端;
其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。
本发明实施例提供的所述服务器通过接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;对所述目标密文数据进行脱敏操作;将脱敏后的目标密文数据发送给所述终端;其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
其中,所述处理器具体用于:将所述目标访问标识与所述预存储信息中的访问标识进行匹配,以及将所述目标访问权限等级与所述预存储信息中的访问权限等级进行匹配,得到所述终端被允许的数据访问等级;根据所述被允许的数据访问等级,从所述预存储信息中获取对应的密文数据作为目标密文数据。
具体的,所述处理器具体用于:采用公式一,对所述目标密文数据进行脱敏操作;其中,所述公式一为:
Cr=C×r;Cr表示脱敏后的所述目标密文数据;C表示所述目标密文数据;r表示脱敏参数;在所述目标密文数据对应的数据访问等级大于1时,r=0,否则,r为随机数。
进一步的,所述处理器还用于:在根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据之前,通过所述收发机接收数据平台发送的相对应的访问权限等级、数据访问等级和密文数据,以及相对应的所述目标访问标识以及目标访问权限等级;根据所述访问权限等级、数据访问等级、密文数据、目标访问标识以及目标访问权限等级,得到所述预存储信息。
其中,上述服务器侧的信息处理方法的所述实现实施例均适用于该服务器的实施例中,也能达到相同的技术效果。
本发明实施例还提供了一种终端,如图9所示,包括:处理器91和收发机92;
所述处理器91,用于通过所述收发机92向数据平台发送注册请求;
通过所述收发机92接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;
根据所述目标访问标识和目标访问权限等级通过所述收发机92向服务器发送访问请求;
通过所述收发机92接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;
根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据。
本发明实施例提供的所述终端通过向数据平台发送注册请求;接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;根据所述目标访问标识和目标访问权限等级向服务器发送访问请求;接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
其中,所述处理器具体用于:采用公式二,根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据;其中,所述公式二为:
mt表示所述目标明文数据,Cr表示所述脱敏后的目标密文数据,SK表示所述访问密钥,C表示所述目标密文数据,r表示脱敏参数;SK=e(g,g)ab;e(g,g)表示生成元为g的双线性对,a,b表示固定参数值。
其中,上述终端侧的信息处理方法的所述实现实施例均适用于该终端的实施例中,也能达到相同的技术效果。
本发明实施例还提供了一种数据平台,如图10所示,包括:处理器101和收发机102;
所述处理器101,用于通过所述收发机102接收终端发送的注册请求;
根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;
将所述目标访问标识、目标访问权限等级以及访问密钥,通过所述收发机102发送给所述终端。
本发明实施例提供的所述数据平台通过接收终端发送的注册请求;根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;将所述目标访问标识、目标访问权限等级以及访问密钥,发送给所述终端;能够支撑实现基于数据分级的细粒度密文脱敏方案,使得服务器能够对加密后的数据进行脱敏处理,并且实现每次用户访问得到不同的脱敏数据,既能保证存储数据的机密性,又能降低数据开放方的脱敏计算开销;很好的解决了现有技术中针对密文脱敏的信息处理方案存在无法保证存储数据的机密性、开销大的问题。
其中,所述处理器具体用于:采用公式三,针对所述终端生成访问密钥;其中,所述公式三为:
SK=e(g,g)ab;SK表示所述访问密钥;a,b表示固定参数值;e(g,g)表示生成元为g的双线性对。
进一步的,所述处理器还用于:在接收终端发送的注册请求之前,根据字段对待共享的数据表进行划分,并对划分得到的各个部分匹配对应的访问权限等级;针对所述各个部分形成与所述访问权限等级对应的数据访问等级;根据所述访问权限等级和数据访问等级,生成对应部分的密文数据。
其中,所述处理器具体用于:确定所述访问权限等级和数据访问等级所对应的部分数据表,以及所述部分数据表所对应的随机数;从循环群中选取双线性对;根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据。
具体的,所述处理器具体用于:采用公式四,根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据;其中,所述公式四为:
C=mk×ck×e(ga,gb),k∈[1,n];C表示所述部分数据表对应的密文数据;mk表示所述部分数据表对应的明文数据;ck表示所述随机数;a和b分别表示所述固定参数值;e(g,g)表示所述双线性对。
进一步的,所述处理器还用于:在根据所述访问权限等级和数据访问等级,生成对应部分的密文数据之后,将相对应的所述访问权限等级、数据访问等级以及密文数据,通过所述收发机发送给服务器进行存储。
更进一步的,所述处理器还用于:在根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥之后,将相对应的所述目标访问标识以及目标访问权限等级,通过所述收发机发送给服务器进行存储。
其中,上述数据平台侧的信息处理方法的所述实现实施例均适用于该数据平台的实施例中,也能达到相同的技术效果。
本发明实施例还提供了一种服务器,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述服务器侧的信息处理方法。
其中,上述服务器侧的信息处理方法的所述实现实施例均适用于该服务器的实施例中,也能达到相同的技术效果。
本发明实施例还提供了一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述终端侧的信息处理方法。
其中,上述终端侧的信息处理方法的所述实现实施例均适用于该终端的实施例中,也能达到相同的技术效果。
本发明实施例还提供了一种数据平台,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;所述处理器执行所述程序时实现上述数据平台侧的信息处理方法。
其中,上述数据平台侧的信息处理方法的所述实现实施例均适用于该数据平台的实施例中,也能达到相同的技术效果。
本发明实施例还提供了一种可读存储介质,其上存储有程序,该程序被处理器执行时实现上述服务器侧的信息处理方法中的步骤;或者,该程序被处理器执行时实现上述终端侧的信息处理方法中的步骤;或者,该程序被处理器执行时实现上述数据平台侧的信息处理方法中的步骤。
其中,上述服务器侧、终端侧或数据平台侧的信息处理方法的所述实现实施例均适用于该可读存储介质的实施例中,也能达到对应相同的技术效果。
需要说明的是,此说明书中所描述的许多功能部件都被称为模块/子模块,以便更加特别地强调其实现方式的独立性。
本发明实施例中,模块/子模块可以用软件实现,以便由各种类型的处理器执行。举例来说,一个标识的可执行代码模块可以包括计算机指令的一个或多个物理或者逻辑块,举例来说,其可以被构建为对象、过程或函数。尽管如此,所标识模块的可执行代码无需物理地位于一起,而是可以包括存储在不同位里上的不同的指令,当这些指令逻辑上结合在一起时,其构成模块并且实现该模块的规定目的。
实际上,可执行代码模块可以是单条指令或者是许多条指令,并且甚至可以分布在多个不同的代码段上,分布在不同程序当中,以及跨越多个存储器设备分布。同样地,操作数据可以在模块内被识别,并且可以依照任何适当的形式实现并且被组织在任何适当类型的数据结构内。所述操作数据可以作为单个数据集被收集,或者可以分布在不同位置上(包括在不同存储设备上),并且至少部分地可以仅作为电子信号存在于系统或网络上。
在模块可以利用软件实现时,考虑到现有硬件工艺的水平,所以可以以软件实现的模块,在不考虑成本的情况下,本领域技术人员都可以搭建对应的硬件电路来实现对应的功能,所述硬件电路包括常规的超大规模集成(VLSI)电路或者门阵列以及诸如逻辑芯片、晶体管之类的现有半导体或者是其它分立的元件。模块还可以用可编程硬件设备,诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑设备等实现。
以上所述的是本发明的优选实施方式,应当指出对于本技术领域的普通人员来说,在不脱离本发明所述原理前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (21)
1.一种信息处理方法,应用于服务器,其特征在于,包括:
接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;
在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;
对所述目标密文数据进行脱敏操作;
将脱敏后的目标密文数据发送给所述终端;
其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。
2.根据权利要求1所述的信息处理方法,其特征在于,所述根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据,包括:
将所述目标访问标识与所述预存储信息中的访问标识进行匹配,以及将所述目标访问权限等级与所述预存储信息中的访问权限等级进行匹配,得到所述终端被允许的数据访问等级;
根据所述被允许的数据访问等级,从所述预存储信息中获取对应的密文数据作为目标密文数据。
3.根据权利要求1所述的信息处理方法,其特征在于,在根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据之前,还包括:
接收数据平台发送的相对应的访问权限等级、数据访问等级和密文数据,以及相对应的所述目标访问标识以及目标访问权限等级;
根据所述访问权限等级、数据访问等级、密文数据、目标访问标识以及目标访问权限等级,得到所述预存储信息。
4.一种信息处理方法,应用于终端,其特征在于,包括:
向数据平台发送注册请求;
接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;
根据所述目标访问标识和目标访问权限等级向服务器发送访问请求;
接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;
根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据。
5.一种信息处理方法,应用于数据平台,其特征在于,包括:
接收终端发送的注册请求;
根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;
将所述目标访问标识、目标访问权限等级以及访问密钥,发送给所述终端。
6.根据权利要求5所述的信息处理方法,其特征在于,在接收终端发送的注册请求之前,还包括:
根据字段对待共享的数据表进行划分,并对划分得到的各个部分匹配对应的访问权限等级;
针对所述各个部分形成与所述访问权限等级对应的数据访问等级;
根据所述访问权限等级和数据访问等级,生成对应部分的密文数据。
7.根据权利要求6所述的信息处理方法,其特征在于,所述根据所述访问权限等级和数据访问等级,生成对应部分的密文数据,包括:
确定所述访问权限等级和数据访问等级所对应的部分数据表,以及所述部分数据表所对应的随机数;
从循环群中选取双线性对;
根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据。
8.一种信息处理装置,应用于服务器,其特征在于,包括:
第一接收模块,用于接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;
第一确定模块,用于在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;
第一处理模块,用于对所述目标密文数据进行脱敏操作;
第一发送模块,用于将脱敏后的目标密文数据发送给所述终端;
其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。
9.根据权利要求8所述的信息处理装置,其特征在于,所述第一确定模块,包括:
第一处理子模块,用于将所述目标访问标识与所述预存储信息中的访问标识进行匹配,以及将所述目标访问权限等级与所述预存储信息中的访问权限等级进行匹配,得到所述终端被允许的数据访问等级;
第一获取子模块,用于根据所述被允许的数据访问等级,从所述预存储信息中获取对应的密文数据作为目标密文数据。
10.根据权利要求8所述的信息处理装置,其特征在于,还包括:
第二接收模块,用于在根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据之前,接收数据平台发送的相对应的访问权限等级、数据访问等级和密文数据,以及相对应的所述目标访问标识以及目标访问权限等级;
第二处理模块,用于根据所述访问权限等级、数据访问等级、密文数据、目标访问标识以及目标访问权限等级,得到所述预存储信息。
11.一种信息处理装置,应用于终端,其特征在于,包括:
第二发送模块,用于向数据平台发送注册请求;
第三接收模块,用于接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;
第三发送模块,用于根据所述目标访问标识和目标访问权限等级向服务器发送访问请求;
第四接收模块,用于接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;
第三处理模块,用于根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据。
12.一种信息处理装置,应用于数据平台,其特征在于,包括:
第五接收模块,用于接收终端发送的注册请求;
第一生成模块,用于根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;
第四发送模块,用于将所述目标访问标识、目标访问权限等级以及访问密钥,发送给所述终端。
13.根据权利要求12所述的信息处理装置,其特征在于,还包括:
第四处理模块,用于在接收终端发送的注册请求之前,根据字段对待共享的数据表进行划分,并对划分得到的各个部分匹配对应的访问权限等级;
第五处理模块,用于针对所述各个部分形成与所述访问权限等级对应的数据访问等级;
第二生成模块,用于根据所述访问权限等级和数据访问等级,生成对应部分的密文数据。
14.根据权利要求13所述的信息处理装置,其特征在于,所述第二生成模块,包括:
第一确定子模块,用于确定所述访问权限等级和数据访问等级所对应的部分数据表,以及所述部分数据表所对应的随机数;
第一选取子模块,用于从循环群中选取双线性对;
第二生成子模块,用于根据固定参数值、所述随机数、双线性对以及部分数据表,生成所述部分数据表对应的密文数据。
15.一种服务器,其特征在于,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收终端发送的访问请求,所述访问请求中携带有目标访问标识和所述终端对应的目标访问权限等级;
在针对所述目标访问标识的验证通过的情况下,根据所述目标访问标识、目标访问权限等级以及预存储信息,确定目标密文数据;
对所述目标密文数据进行脱敏操作;
通过所述收发机将脱敏后的目标密文数据发送给所述终端;
其中,所述预存储信息包括:依次互相对应的访问标识、访问权限等级、数据访问等级以及密文数据。
16.一种终端,其特征在于,包括:处理器和收发机;
所述处理器,用于通过所述收发机向数据平台发送注册请求;
通过所述收发机接收所述数据平台根据所述注册请求发送的目标访问标识、目标访问权限等级以及访问密钥;
根据所述目标访问标识和目标访问权限等级通过所述收发机向服务器发送访问请求;
通过所述收发机接收所述服务器根据所述访问请求发送的脱敏后的目标密文数据;
根据所述访问密钥对所述目标密文数据进行解密,得到目标明文数据。
17.一种数据平台,其特征在于,包括:处理器和收发机;
所述处理器,用于通过所述收发机接收终端发送的注册请求;
根据所述注册请求,针对所述终端生成目标访问标识、目标访问权限等级以及访问密钥;
将所述目标访问标识、目标访问权限等级以及访问密钥,通过所述收发机发送给所述终端。
18.一种服务器,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求1至3中任一项所述的信息处理方法。
19.一种终端,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求4所述的信息处理方法。
20.一种数据平台,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的程序;其特征在于,所述处理器执行所述程序时实现如权利要求5至7中任一项所述的信息处理方法。
21.一种可读存储介质,其上存储有程序,其特征在于,该程序被处理器执行时实现如权利要求1至3中任一项所述的信息处理方法中的步骤;或者,
该程序被处理器执行时实现如权利要求4所述的信息处理方法中的步骤;或者,
该程序被处理器执行时实现如权利要求5至7中任一项所述的信息处理方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011156075.0A CN114499901A (zh) | 2020-10-26 | 2020-10-26 | 一种信息处理方法、装置、服务器、终端及数据平台 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011156075.0A CN114499901A (zh) | 2020-10-26 | 2020-10-26 | 一种信息处理方法、装置、服务器、终端及数据平台 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114499901A true CN114499901A (zh) | 2022-05-13 |
Family
ID=81470428
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011156075.0A Pending CN114499901A (zh) | 2020-10-26 | 2020-10-26 | 一种信息处理方法、装置、服务器、终端及数据平台 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114499901A (zh) |
Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108520183A (zh) * | 2018-04-13 | 2018-09-11 | 杭州橙鹰数据技术有限公司 | 一种数据存储方法及装置 |
CN109325326A (zh) * | 2018-08-16 | 2019-02-12 | 深圳云安宝科技有限公司 | 非结构化数据访问时的数据脱敏方法、装置、设备及介质 |
CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
CN109657492A (zh) * | 2018-12-12 | 2019-04-19 | 泰康保险集团股份有限公司 | 数据库管理方法、介质及电子设备 |
CN109741803A (zh) * | 2019-01-14 | 2019-05-10 | 南京大学 | 基于区块链的医疗数据安全协作系统 |
WO2019114766A1 (zh) * | 2017-12-14 | 2019-06-20 | 中兴通讯股份有限公司 | 一种数据脱敏方法、服务器、终端及计算机可读存储介质 |
CN110704864A (zh) * | 2019-08-28 | 2020-01-17 | 电子科技大学 | 基于区块链的政府诚信档案证照管理方法 |
CN110995657A (zh) * | 2019-11-11 | 2020-04-10 | 广州市品高软件股份有限公司 | 一种基于数据标签的数据访问方法、服务端及系统 |
CN111209575A (zh) * | 2018-11-22 | 2020-05-29 | 阿里巴巴集团控股有限公司 | 数据保护方法、生成方法、传输方法、设备及存储介质 |
CN111400765A (zh) * | 2020-03-25 | 2020-07-10 | 支付宝(杭州)信息技术有限公司 | 一种隐私数据的访问方法、装置及电子设备 |
-
2020
- 2020-10-26 CN CN202011156075.0A patent/CN114499901A/zh active Pending
Patent Citations (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2019114766A1 (zh) * | 2017-12-14 | 2019-06-20 | 中兴通讯股份有限公司 | 一种数据脱敏方法、服务器、终端及计算机可读存储介质 |
CN108520183A (zh) * | 2018-04-13 | 2018-09-11 | 杭州橙鹰数据技术有限公司 | 一种数据存储方法及装置 |
CN109325326A (zh) * | 2018-08-16 | 2019-02-12 | 深圳云安宝科技有限公司 | 非结构化数据访问时的数据脱敏方法、装置、设备及介质 |
CN109472159A (zh) * | 2018-11-15 | 2019-03-15 | 泰康保险集团股份有限公司 | 访问控制方法、装置、介质及电子设备 |
CN111209575A (zh) * | 2018-11-22 | 2020-05-29 | 阿里巴巴集团控股有限公司 | 数据保护方法、生成方法、传输方法、设备及存储介质 |
CN109657492A (zh) * | 2018-12-12 | 2019-04-19 | 泰康保险集团股份有限公司 | 数据库管理方法、介质及电子设备 |
CN109741803A (zh) * | 2019-01-14 | 2019-05-10 | 南京大学 | 基于区块链的医疗数据安全协作系统 |
CN110704864A (zh) * | 2019-08-28 | 2020-01-17 | 电子科技大学 | 基于区块链的政府诚信档案证照管理方法 |
CN110995657A (zh) * | 2019-11-11 | 2020-04-10 | 广州市品高软件股份有限公司 | 一种基于数据标签的数据访问方法、服务端及系统 |
CN111400765A (zh) * | 2020-03-25 | 2020-07-10 | 支付宝(杭州)信息技术有限公司 | 一种隐私数据的访问方法、装置及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN111783075B (zh) | 基于密钥的权限管理方法、装置、介质及电子设备 | |
US9219722B2 (en) | Unclonable ID based chip-to-chip communication | |
WO2022199290A1 (zh) | 多方安全计算 | |
US20200401726A1 (en) | System and method for private integration of datasets | |
JP2023502346A (ja) | 量子安全ネットワーキング | |
Guo et al. | Fedcrowd: A federated and privacy-preserving crowdsourcing platform on blockchain | |
CN112069092B (zh) | 实现数据访问的方法和实现由请求方访问数据的设备 | |
CN107733933B (zh) | 一种基于生物识别技术的双因子身份认证的方法及系统 | |
US10958630B2 (en) | System and method for securely exchanging data between devices | |
JP2023500570A (ja) | コールドウォレットを用いたデジタルシグニチャ生成 | |
CN115242518A (zh) | 混合云环境下医疗健康数据保护系统与方法 | |
CN112953974B (zh) | 数据碰撞方法、装置、设备及计算机可读存储介质 | |
Selvamani et al. | A review on cloud data security and its mitigation techniques | |
CN111400728A (zh) | 应用于区块链的数据加密解密方法及装置 | |
Bhandari et al. | A framework for data security and storage in Cloud Computing | |
CN108170753B (zh) | 一种共有云中Key-Value数据库加密与安全查询的方法 | |
CN113645195A (zh) | 基于cp-abe和sm4的密文访问控制系统及方法 | |
CN114884697A (zh) | 基于国密算法的数据加解密方法及相关设备 | |
US11640480B2 (en) | Data message sharing | |
CN114826702A (zh) | 数据库访问密码加密方法、装置和计算机设备 | |
CN111698203A (zh) | 一种云数据加密方法 | |
Ullah et al. | TCLOUD: A Trusted Storage Architecture for Cloud Computing | |
Tang et al. | Functional privacy-preserving outsourcing scheme with computation verifiability in fog computing | |
CN114499901A (zh) | 一种信息处理方法、装置、服务器、终端及数据平台 | |
CN113328860A (zh) | 一种基于区块链的用户隐私数据安全提供方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |