CN115730338A - 基于隐私计算的零信任敏感大数据跨域分享方法和装置 - Google Patents
基于隐私计算的零信任敏感大数据跨域分享方法和装置 Download PDFInfo
- Publication number
- CN115730338A CN115730338A CN202310029944.0A CN202310029944A CN115730338A CN 115730338 A CN115730338 A CN 115730338A CN 202310029944 A CN202310029944 A CN 202310029944A CN 115730338 A CN115730338 A CN 115730338A
- Authority
- CN
- China
- Prior art keywords
- data
- database
- app
- sensitive
- account information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 40
- 238000004364 calculation method Methods 0.000 title claims description 7
- 230000005540 biological transmission Effects 0.000 claims abstract description 37
- 238000007726 management method Methods 0.000 claims description 53
- 238000004891 communication Methods 0.000 claims description 31
- 238000013523 data management Methods 0.000 claims description 15
- 238000012795 verification Methods 0.000 claims description 11
- 238000005259 measurement Methods 0.000 claims description 10
- 230000008569 process Effects 0.000 claims description 7
- 238000012550 audit Methods 0.000 claims description 3
- 239000000284 extract Substances 0.000 claims description 3
- 230000007246 mechanism Effects 0.000 claims description 3
- 238000011161 development Methods 0.000 abstract description 5
- 238000013500 data storage Methods 0.000 abstract description 3
- 230000008676 import Effects 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 4
- 238000007792 addition Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000004806 packaging method and process Methods 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种基于隐私计算的零信任敏感大数据跨域分享方法和装置,构建出一种零信任的数据存储、传输、使用环境,使得敏感数据提供方可安全的将数据跨域全量导入到数据使用方计算环境的数据库中供其二次使用,依然能够保证任何恶意方都无法窃取原始敏感数据,对于数据使用方来说,可像常规开发应用一样对应用进行开发部署,没有部署环境上的限制。对于数据提供方来说,分享环境处于零信任状态,可全量提供敏感数据到使用方区域,仅需对使用方的应用进行审核,应用没有恶意泄露行为即可批准应用使用对应的敏感数据,且可通过禁用账户等方式,随时终止应用使用数据,可适用于大数据量的敏感数据分享场景。
Description
技术领域
本发明属于数据安全技术领域,尤其是涉及一种基于隐私计算的零信任敏感大数据跨域分享方法和装置。
背景技术
目前在政务、金融、医疗等领域均存在大量的敏感数据需要进行跨域分享,进而发挥数据的多元价值。
基于目前常用的技术手段,数据在跨域分享时,一旦进入使用者的区域,数据提供方通常就失去了对数据的控制权。无论在数据传输、存储和使用中均可轻易的被数据使用方或恶意人员窃取。
在现有技术中,为了保障敏感数据的安全性,目前常规的做法是数据不出域。使用方想要使用其他领域的数据通常有两种方案,一是将使用方开发的应用部署到数据提供方的机房中直接拉取数据使用,二是数据提供方根据使用方想要的数据需求,开发对应的API接口给数据使用方。这两种方案均存在很大的技术缺陷,极大的约束了数据分享使用的便利性,同时依然存在安全风险。
应用部署到数据提供方的机房需要占用数据提供方的计算、网络等实际资源,应用提供方不掌控应用部署的服务器,使其对应用的维护也存在较大问题。这直接导致这种分享模式无法被大规模使用,只适用于简单且数量有限的应用使用敏感数据的场景。
数据提供方提供API接口的方式,会增加数据提供方开发工作量,且接口方式存在很大的定制性,通常只能适用于小部分和小数据量场景。当遇到业务场景变化,就需要重新定制开发,因此也无法进行大规模的应用。同时API的方式,依然会存在暴露原始数据给使用方的风险。
发明内容
本发明的目的是针对上述问题,提供一种基于隐私计算的零信任敏感大数据跨域分享方法和装置,构建出一种零信任的数据存储、传输、使用环境,使得敏感数据提供方可安全的将数据跨域全量导入到数据使用方计算环境的数据库中供其二次使用,依然能够保证任何恶意方都无法窃取原始敏感数据。
为达到上述目的,本发明采用了下列技术方案:
一种基于隐私计算的零信任敏感大数据跨域分享方法,数据使用方执行过程包括:
与数据提供方建立加密通信链路;
向数据提供方注册自己的应用程序app并指定相应的敏感数据;
从数据提供方下载被嵌入有账户信息获取工具的应用程序app’;
接收数据提供方通过加密通信链路发送的敏感数据,以及应用程序app’的度量值app_hash;
更新自己的应用程序app为嵌入有账户信息获取工具的应用程序app’;
将敏感数据存入为其创建的数据库实例X,并将为其创建的账户信息X’分配给所述的应用程序app’;账户信息X’被创建为仅能访问数据库实例X;
通过透明加密服务将数据库实例X的敏感数据,以及应用程序度量值app_hash与账户信息X’的对应关系加密存储至服务器磁盘;
在TEE环境中启动应用程序app’,获取应用程序app’的度量值app_hash,使用度量值app_hash远程请求相应的账户信息X’,将账户信息X’发送给应用程序app’;
应用程序app’在TEE环境中使用账户信息X’登陆相应的数据库实例X以获取相应的敏感数据,并在TEE环境中运行对应的业务逻辑完成敏感数据使用。
在上述的基于隐私计算的零信任敏感大数据跨域分享方法中,在部署阶段建立数据使用方与数据提供方之间的加密通信链路:
S11.数据使用方在TEE环境中启动加密数据库模块;
S12. 加密数据库模块的自签名工具判断是否已经生成自签名证书,若是,则通过透明文件加密服务解密已有证书的服务端证书Cert1文件和服务端私钥PrivateKey1文件,否则,使用自签名工具生成包括根证书CA1文件,服务端证书Cert1文件和服务端私钥PrivateKey1文件的自签名证书文件,并将Cert1和PrivateKey1通过透明文件加密服务加密存储至区服务器磁盘中;
S13.将根证书CA1文件配置给数据提供方,作为与数据提供方建立TLS通信的校验证书。
在上述的基于隐私计算的零信任敏感大数据跨域分享方法中,透明文件加密服务用的密钥key通过如下方式配置:
加密数据库模块启动后,TEE环境基于加密数据库模块的度量值hash为其派生唯一对应的密钥key,将密钥key配置给透明文件加密服务,用于对需要存储至服务器磁盘的文件透明加解密。
在上述的基于隐私计算的零信任敏感大数据跨域分享方法中,数据提供方接收到应用程序注册请求及其指定的敏感数据使用需求时执行以下步骤:
对应用程序app进行审核,若审核通过,则对应用程序app嵌入账户信息获取工具并对其度量得到app_hash;
将app_hash与数据库名称X绑定,并将嵌入有账户信息获取工具的应用程序app’的度量值app_hash与数据库名称X的绑定关系通过加密通信链路发送给数据使用方的加密数据库模块中加密保存。
在上述的基于隐私计算的零信任敏感大数据跨域分享方法中,数据使用方接收到数据提供方发送的信息后执行以下步骤:
创建名为X的数据库实例,创建仅能访问数据库实例X的账户信息X’,并将app_hash与账户信息X’的对应关系通过透明加密服务加密存储至服务器磁盘,以将账户信息X’分配给相应的应用程序app’。
在上述的基于隐私计算的零信任敏感大数据跨域分享方法中,数据使用方的应用程序具体通过如下方式使用相应的敏感数据:
在TEE环境中启动app’,账户信息获取工具基于TEE的远程证明机制先获取嵌有由TEE环境度量的app_hash值的应用运行报告report,然后生成一个嵌入report信息的自签名证书ra-cert;
app’通过该ra-cert向加密数据库模块的账户管理服务发起基于TLS通信协议建立加密通信链路的请求;账户管理服务用于管理数据库实例及各数据库实例的账户信息;
账户管理服务接收到请求后,从证书中提取report,并对report使用TEE硬件提供商提供的公共证书CA_TEE对其进行验签;
若验证通过,则从report中提取app_hash,账户管理服务查找对应的账户信息X’,并将账户信息X’信息发送给账户信息获取工具;
app’中的账户信息获取工具获取到账户信息X’后,将其写入至TEE运行环境的环境变量中;
获取账户信息X’后,账户信息获取工具将启动业务程序,业务程序从环境变量中获取账户信息X’,并利用账户信息向加密数据库模块的普通数据库发起连接请求;普通数据库包括所述的数据库实例;
普通数据库对登录信息进行验证,验证通过后响应app’请求,将相应的敏感数据发送给app’;
app’获取到敏感数据,在TEE环境的加密内存中运行对应的业务逻辑,完成敏感数据使用。
在上述的基于隐私计算的零信任敏感大数据跨域分享方法中,应用运行报告report由TEE环境的硬件私钥进行签名后嵌入至所述的自签名证书ra-cert中。
一种基于隐私计算的零信任敏感大数据跨域分享装置,包括安装于数据提供方的敏感数据管理模块和安装于数据使用方的加密数据库模块,所述的敏感数据管理模块包括应用管理子模块、多源数据库管理子模块和数据传输工具子模块,所述的加密数据库模块包括普通数据库子模块、账户管理服务子模块、透明文件加密服务子模块和自签名工具子模块,其中,
应用管理子模块,用于应用注册和数据绑定;
多源数据库管理子模块,用于根据加密数据库模块中的普通数据库和敏感数据库生成相应的传输配置给数据传输工具子模块;
数据传输工具子模块,用于基于传输配置,通过加密通信链路将指定的敏感数据传输至数据使用方;
普通数据库子模块,用于存储数据提供方提供的敏感数据;
透明文件加密服务子模块,用于提供文件透明加密能力;
自签名工具子模块,用于为加密数据库模块生成自签名证书,加密数据库模块基于自签名证书与数据提供方建立加密通信链路;
账户管理服务子模块,用于增删数据库实例、增删数据库账户以及为应用程序分发数据库账户。
在上述的基于隐私计算的零信任敏感大数据跨域分享装置中,应用管理子模块,用于对数据使用方的应用程序进行审核,在应用程序中嵌入账户信息获取工具,并对最终的程序进行度量,得到度量值app_hash,最后打包成可运行的容器应用镜像完成应用注册;
应用管理子模块,用于对数据使用方选定的敏感数据集与所述的度量值app_hash绑定以完成应用的数据绑定;
账户管理服务子模块,用于为应用程序创建数据库实例和数据库账户信息,与所述应用程序绑定的敏感数据集被存储于相应的数据库实例中;通过将账户信息与应用程序app_hash绑定的方式将数据库账户分发给相应的应用程序,应用程序基于账户信息读取存储于相应数据库实例的敏感数据;
数据使用方接收到的敏感数据,以及账户信息与应用程序app_hash的绑定关系均通过透明文件加密服务子模块被加密存储于服务器磁盘中。
在上述的基于隐私计算的零信任敏感大数据跨域分享装置中,透明文件加密服务子模块用于加密文件的密钥key由数据使用方的TEE环境基于加密数据库模块的度量值hash派生而得。
本发明的优点在于:
在安全性上的优点有:1.将敏感数据导出到数据使用方区域,且利用TEE技术,以保障使用方区域加密数据库等应用程序均在加密状态,保障数据在分享状态时处于零信任状态;2.将自签名工具嵌入到加密数据库程序中,使得证书在TEE环境中生成,并采用与软件度量值绑定的芯片派生密钥对证书和数据进行加密保存,以保障普通数据库的传输和存储均处于零信任状态;3.将数据使用方应用程序运行在TEE中,并利用其嵌入度量值的硬件报告建立安全通信链路传递敏感数据,保障数据传输的安全性;4.将数据库账户管理服务运行在TEE环境中,使得新建账户时的信息均被封存在TEE中,保障账户密码等重要信息不泄露;
在通用性上的优点有:对于数据使用方来说,可像常规开发应用一样对应用进行开发部署,没有部署环境上的限制。对于数据提供方来说,分享环境处于零信任状态,可全量提供敏感数据到使用方区域,仅需对使用方的应用进行审核,应用没有恶意泄露行为即可批准应用使用对应的敏感数据,且可通过禁用账户等方式,随时终止应用使用数据,可适用于大数据量的敏感数据分享场景。
附图说明
图1是本发明基于隐私计算的零信任敏感大数据跨域分享装置的结构框图;
图2是本发明基于隐私计算的零信任敏感大数据跨域分享方法的整体流程图;
图3是本发明基于隐私计算的零信任敏感大数据跨域分享方法中敏感数据从数据提供方导出至数据使用方的示意图;
图4是本发明基于隐私计算的零信任敏感大数据跨域分享方法中数据使用方应用程序使用敏感数据的示意图。
具体实施方式
下面结合附图和具体实施方式对本发明做进一步详细的说明。本方案提供了一种基于隐私计算的零信任敏感大数据跨域分享方法和装置,应用了基于隐私计算的芯片层级的可信执行环境技术(TEE),该技术通过可信、抗篡改的软硬件构建一个可信的安全环境:在硬件中由芯片指令集直接为敏感数据分配加密内存,所有软件程序均在加密内存中运行,并且除了经过授权的接口外,硬件中的其他部分不能访问这块隔离内存中的信息,以此来保护程序代码或者数据不被操作系统或者其他应用程序窃取或篡改。区别于普通的运行环境,可信计算环境的攻击界面变得非常小,甚至在操作系统、网络、内核层被攻破的情况下也能够保障数据无法被泄露窃取。
如图1所示,本方案所提供的基于隐私计算的零信任敏感大数据跨域分享装置包括用于部署在数据提供方区域的敏感数据管理模块和部署在数据使用方区域的加密数据库模块,其中:
敏感数据管理模块包括应用管理、多源数据库管理和数据传输工具三个子模块。
应用管理子模块主要用于应用注册和数据绑定。应用注册是指,对数据使用方开发的应用程序进行审核,在应用程序中嵌入账户信息获取工具,并对最终的程序进行度量,得到度量值app_hash,最后打包成可运行的容器应用镜像,此时,应用程序由两部分组成,一部分是用于执行业务逻辑的业务程序,一部分是由数据提供方嵌入的账户信息获取工具。数据绑定是指,对数据使用方选定的敏感数据集与应用的唯一度量值app_hash进行绑定,并将绑定结果通过TLS加密发送给多源数据库管理子模块。
多源数据库管理子模块主要用于加密数据库管理和传输策略管理。加密数据库管理,简称加密库管理,用于对接部署在数据使用方方区域的加密数据库模块,跨区域对加密数据库模块发送数据库初始化,账户信息更新,数据库实例新建等操作指令。传输策略管理主要用于根据数据使用方选定的敏感数据集生成数据传输策略,根据加密数据库模块中的数据库和敏感数据库的不同将生成不同的传输配置给数据传输工具。
数据传输工具子模块主要用于传输敏感数据,该工具配置有数据提供方区域的敏感数据库和数据使用方区域的加密数据库模块普通数据库的账户信息,一端连接敏感数据库,另一端连接数据使用方区域的普通数据库,成为数据传输的桥梁,根据多源数据库管理子模块生成的数据传输策略,将指定的敏感数据通过TLS加密传输到数据使用方区域。
加密数据库模块运行在数据使用方的TEE环境中,主要包括透明文件加密服务、普通数据库、账户管理服务和自签名工具四个子模块。
透明文件加密服务子模块主要提供了文件透明加密能力,即基于其能力,其他程序可像使用普通文件系统一样向服务器磁盘存储文件,但真正存储在磁盘的文件是被加密的,程序在读取文件时也同时具备自动解密的能力。该加密服务的密钥key由TEE环境派生提供,且与加密数据库模块的hash值绑定,即仅被数据提供方认可的加密数据库模块程序才能够生成正确的加解密密钥,从而可保障加密数据库存储下来的数据均为零信任的。
普通数据库子模块用于存储被导出的敏感数据,以便被使用方的应用所使用。根据使用方的需要,它可以是任意支持TLS传输和账户认证的数据库,如MySQL、PostgreSQL等,普通数据库被运行在TEE环境中,且它的存储需通过透明文件加密服务,从而保障数据库本身与其存储的数据都是在加密状态。
账户管理服务子模块提供数据库实例增删、数据库账户增删和账户分发功能。数据库实例增删和数据库账户增删用于执行敏感数据管理模块发送的对普通数据库初始化,账户信息更新,数据库实例新建等操作指令。账户分发是指将与应用绑定的数据库账户信息分发给运行的应用。此处账户分发具备TEE远程认证能力,即将通过对应用在TEE环境运行时获取的硬件可信报告的验证来建立安全信道来传输账户信息。由于此处账户分发逻辑和使用方应用本身均运行在TEE环境中,账户信息不管在传输还是运行态均处于零信任的加密态,可有效保护账户信息的安全。
自签名工具子模块用于在TEE环境中生成基于椭圆曲线算法的ECDHE自签名证书,需要指出的是该自签名工具生成的服务端证书和私钥均将通过透明文件加密服务加密存储,因此生成的证书体系无法被中间人破解,从而可保障由此建立的通信链路的安全性。
如图2所示,本方案所提供的基于隐私计算的零信任敏感大数据跨域方法具体的应用场景为:数据提供方和数据使用方分别处于两个区域中,实际中可能为两个不同的服务器机房,这里用A区代表数据提供方区域,B区代表数据使用方区域。A区和B区相互隔离,且A区的服务器只能由数据提供方管理,而B区的服务器只能由数据使用方管理。数据提供方需要将敏感数据从A区导入到B区服务器中,但需要保证数据使用方,无法在自己掌控的B区窃取导入的全量敏感数据,而只能通过被数据提供方认可的应用程序进行有限访问使用。
整体步骤如下:
1)数据使用方根据需要使用的敏感数据的基本信息开发对应的应用程序app,开发完后向敏感数据管理模块注册自己的应用,并且选择相应的敏感数据进行绑定;
2)数据提供方利用数据传输工具将敏感数据从A区推送到B区的加密数据库模块中;
3)数据提供方的敏感数据管理模块指示数据使用方的加密数据库模块创建数据库实例及对应的账户,并且将账户登录信息在数据使用方加密保存;
4)数据使用方启动应用,从加密数据库模块中获取账户登录信息,登录加密数据库,拉取数据进行使用。
为保障数据在跨域分享时的安全,利用TEE环境设计出一种让数据使用方区域(B区)的程序组件都处于零信任状态的方法。
所谓零信任状态即数据在跨域分享过程中,无论在传输、存储还是运行态都处于加密状态,且加密的密钥没有一个人为实体可知晓和获取,并且只有数据提供方认可的应用程序可以登录获取数据,同时软件程序本身也不可被篡改。在该状态下,即使恶意人员拥有软件程序运行服务器的最高权限或服务器在软件层面被攻破,依然无法修改,窃取软件运行时所使用、存储和传输的数据。从而保证数据即使已被导入至数据使用方控制的B区,依然无法被B区的使用者恶意窃取。
如图3所示,下面将分敏感数据导出和应用使用敏感数据两部分,详细描述该方法的相关步骤。
部署阶段:
1)加密数据库模块中被嵌入自签名工具和透明文件加密服务,在部署前对加密数据库模块的程序包进行度量得到hash1;
2)在TEE环境中启动加密数据库模块,TEE环境在启动时将加密数据库模块加载到加密内存中(该加密内存由TEE本身的能力提供,且内存加密密钥仅芯片可见);
3)加密数据库模块加载到内存后,在TEE环境中再次度量加密数据库模块程序包hash值,当hash值与hash1一致时,才开始运行程序,否则直接报错退出。此过程能够确保第一次加载至加密内存的加密数据库模块的安全性。
4)加密数据库模块启动后,TEE环境基于hash为其派生唯一对应的密钥key,将密钥key配置给透明文件加密服务,用于对需要存储到服务器磁盘的文件透明加解密,密钥key为TEE环境从芯片直接派生产生,并且与hash绑定,所以只有该对应hash的加密数据库模块程序才能获取到正确的密钥。
5)加密数据库模块的自签名工具判断是否已经生成自签名证书,若没有,则使用自签名工具生成自签名证书文件(包括根证书CA1文件,服务端证书Cert1文件和服务端私钥PrivateKey1文件),并且将Cert1和PrivateKey1通过透明文件加密服务加密存储到B区服务器磁盘中,将CA1不加密存储到B区磁盘中;
6)加密数据库模块启动普通数据库(该方法中数据库可为任意支持TLS传输和账户认证的数据库,如MySQL、PostgreSQL等)和账户管理服务,并均对外开启TLS通信链路,且使用步骤5)所述的自签名证书文件作为TLS通信链路的证书;
7)普通数据库和账户管理服务均通过透明文件加密服务使用外部服务器磁盘存储数据;
8)将加密数据库模块生成的CA1导出,并且配置给数据传输工具和敏感数据管理模块,作为与加密数据库模块建立TLS通信的校验证书;
9)数据提供方通过A区敏感数据管理模块初始化B区普通数据库,敏感数据管理模块通过TLS通信链路连接到账户管理服务,以指示其创建账户;
10)数据提供方将B区普通数据库的数据库信息配置给数据传输工具;同时数据提供方将敏感数据库的数据库信息配置给数据传输工具,打通A区敏感数据库与B区普通数据库的传输的通路,用于将敏感数据传输给数据使用方,以及指示数据使用方为敏感数据创建数据库实例等。
此外,在部署过程中,数据提供方同时更新数据使用方普通数据库的超级管理员账户密码,并通过透明文件加密服务将账户数据保存到B区服务器磁盘中。数据提供方通过指示数据使用方登陆超级管理员账户密码创建数据库实例和写入数据。
运行阶段:
1)当数据使用方提交应用程序向敏感数据管理模块提出数据dbname使用需求时,数据提供方开始审核使用方的应用程序是否存在恶意使用或泄露敏感数据的操作;
2)若审核通过,则对应用程序嵌入账户信息获取工具并进行度量得到app_hash;
3)敏感数据管理模块将app_hash与数据库实例名称dbname绑定,并将绑定信息利用CA1建立的TLS加密通信链路发送给加密数据库模块的账户管理服务;数据库实例的名称不限定为dbname,可以使用其他名称,一个数据使用方,各个数据库实例之间具有不一样的名称,以区分各个数据库实例。
4)账户管理服务收到绑定信息后,在普通数据库中创建名为dbname的数据库实例,且创建只能访问该数据库的账户信息dbaccount,将app_hash与dbaccount绑定,将该绑定信息通过透明文件加密服务加密存储到磁盘中;
5)数据传输工具与加密数据库模块的普通数据库利用CA1建立TLS通信链路,并将数据使用方需要的敏感数据从A区的敏感数据库导出至B区的dbname数据库实例中;
6)普通数据库接收到敏感数据后,通过透明加密服务将数据加密存储到服务器磁盘中,完成整个敏感数据的导出过程。
如图4所示为应用使用敏感数据的示意图,数据使用方通过开发业务应用程序的方式来使用数据。具体步骤如下:
1)数据使用方根据常规的程序开发步骤,开发业务应用程序;
2)应用程序app开发完毕后,提交给数据提供方的敏感数据管理模块进行审核;
3)数据提供方对应用程序app审核通过后,在业务应用程序app中嵌入账户信息获取工具生成审核通过的应用app’,并按照运行阶段的步骤进行应用注册和数据导出;
4)假设已完成运行阶段步骤,即已度量得到app’的hash值为app_hash、敏感数据已导入数据库实例dbname、数据库的账户信息dbaccount与app_hash的对应信息已加密存储到账户管理服务;
5)数据使用方在B区的TEE环境中启动app’;
6)app’启动后,账户信息获取工具基于TEE的远程证明机制,获取应用运行报告report(该报告中嵌有TEE环境度量的app_hash值,并且使用TEE环境无人可知的硬件私钥进行签名),然后生成一个嵌入report信息的自签名证书ra-cert,该自签名证书ra-cert由账户信息获取工具生成,用于实现app’与加密数据库模块之间的加密通信链路;
7)app’通过该ra-cert向加密数据库模块的账户管理服务发起基于TLS通信协议建立加密通信链路的请求,即图中的RA-TLS;
8)账户管理服务接收到请求后,从证书中提取report,并对报告使用TEE硬件提供商提供的公共证书CA_TEE对其进行验签,该验签过程可确保report是在真实的TEE环境中由TEE硬件生成,从而保证app_hash的正确性;
9)若验证通过,则从报告中提取app_hash,账户管理服务查找对应的dbaccount信息,应答app’完成RA-TLS加密通信链路的建立,并将dbaccount信息发送给app’;
10)app’中的账户信息获取工具获取到dbaccount信息后,将其写入到TEE运行环境的环境变量中;
11)获取dbaccount信息后,账户信息获取工具将启动业务程序,业务程序从环境变量中获取dbaccount,并利用账户信息向加密数据库模块的普通数据库发起连接请求;
12)普通数据库对登录信息进行验证,验证通过后响应业务程序请求,将数据发送给应用程序app’;
13)应用程序app’获取到敏感数据,并在TEE环境的加密内存中运行对应的业务逻辑,完成敏感数据使用。
本方案所提供的方法和装置构建出了一种零信任的数据存储、传输、使用环境,将敏感数据导出到数据使用方区域,且利用TEE技术,能够保障使用方区域加密数据库等应用程序均在加密状态,保障数据在分享状态时处于零信任状态;将自签名证书工具嵌入到加密数据库程序中,使得证书在TEE环境中生成,并采用与软件度量值绑定的芯片派生密钥对证书和数据进行加密保存,能够保障普通数据库的传输和存储均处于零信任状态;将数据使用方应用运行在TEE中,并利用其嵌入度量值的硬件报告建立安全通信链路来传递敏感数据,能够保障应用程序使用过程中处于零信任状态;将数据库账户管理服务运行在TEE环境中,使得新建账户时的信息均被封存在TEE中,保障账户密码等重要信息不泄露。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
Claims (10)
1.一种基于隐私计算的零信任敏感大数据跨域分享方法,其特征在于,数据使用方执行过程包括:
与数据提供方建立加密通信链路;
向数据提供方注册自己的应用程序app并指定相应的敏感数据;
从数据提供方下载被嵌入有账户信息获取工具的应用程序app’;
接收数据提供方通过加密通信链路发送的敏感数据,以及应用程序app’的度量值app_hash;
更新自己的应用程序app为嵌入有账户信息获取工具的应用程序app’;
将敏感数据存入为其创建的数据库实例X,并将为其创建的账户信息X’分配给所述的应用程序app’;账户信息X’被创建为仅能访问数据库实例X;
通过透明加密服务将数据库实例X的敏感数据,以及应用程序度量值app_hash与账户信息X’的对应关系加密存储至服务器磁盘;
在TEE环境中启动应用程序app’,获取应用程序app’的度量值app_hash,使用度量值app_hash请求相应的账户信息X’,将账户信息X’发送给应用程序app’;
应用程序app’在TEE环境中使用账户信息X’登陆相应的数据库实例X以获取相应的敏感数据,并在TEE环境中运行对应的业务逻辑完成敏感数据使用。
2.根据权利要求1所述的基于隐私计算的零信任敏感大数据跨域分享方法,其特征在于,在部署阶段建立数据使用方与数据提供方之间的加密通信链路:
S11.数据使用方在TEE环境中启动加密数据库模块;
S12. 加密数据库模块的自签名工具判断是否已经生成自签名证书,若是,则通过透明文件加密服务解密已有证书的服务端证书Cert1文件和服务端私钥PrivateKey1文件,否则,使用自签名工具生成包括根证书CA1文件,服务端证书Cert1文件和服务端私钥PrivateKey1文件的自签名证书文件,并将Cert1和PrivateKey1通过透明文件加密服务加密存储至区服务器磁盘中;
S13.将根证书CA1文件配置给数据提供方,作为与数据提供方建立TLS通信的校验证书。
3.根据权利要求2所述的基于隐私计算的零信任敏感大数据跨域分享方法,其特征在于,透明文件加密服务用的密钥key通过如下方式配置:
加密数据库模块启动后,TEE环境基于加密数据库模块的度量值hash为其派生唯一对应的密钥key,将密钥key配置给透明文件加密服务,用于对需要存储至服务器磁盘的文件透明加解密。
4.根据权利要求1所述的基于隐私计算的零信任敏感大数据跨域分享方法,其特征在于,数据提供方接收到应用程序注册请求及其指定的敏感数据使用需求时执行以下步骤:
对应用程序app进行审核,若审核通过,则对应用程序app嵌入账户信息获取工具并对其度量得到app_hash;
将app_hash与数据库名称X绑定,并将嵌入有账户信息获取工具的应用程序app’的度量值app_hash与数据库名称X的绑定关系通过加密通信链路发送给数据使用方。
5.根据权利要求4所述的基于隐私计算的零信任敏感大数据跨域分享方法,其特征在于,数据使用方接收到数据提供方发送的信息后执行以下步骤:
创建名为X的数据库实例,创建仅能访问数据库实例X的账户信息X’,并将app_hash与账户信息X’的对应关系通过透明加密服务加密存储至服务器磁盘,以将账户信息X’分配给相应的应用程序app’。
6.根据权利要求5所述的基于隐私计算的零信任敏感大数据跨域分享方法,其特征在于,数据使用方的应用程序具体通过如下方式使用相应的敏感数据:
在TEE环境中启动app’,账户信息获取工具基于TEE的远程证明机制先获取嵌有由TEE环境度量的app_hash值的应用运行报告report,然后生成一个嵌入report信息的自签名证书ra-cert;
app’通过该ra-cert向加密数据库模块的账户管理服务发起基于TLS通信协议建立加密通信链路的请求;账户管理服务用于管理数据库实例及各数据库实例的账户信息;
账户管理服务接收到请求后,从证书中提取report,并对report使用TEE硬件提供商提供的公共证书CA_TEE对其进行验签;
若验证通过,则从report中提取app_hash,账户管理服务查找对应的账户信息X’,并将账户信息X’信息发送给账户信息获取工具;
app’中的账户信息获取工具获取到账户信息X’后,将其写入至TEE运行环境的环境变量中;
获取账户信息X’后,账户信息获取工具将启动业务程序,业务程序从环境变量中获取账户信息X’,并利用账户信息向加密数据库模块的普通数据库发起连接请求;普通数据库包括所述的数据库实例;
普通数据库对登录信息进行验证,验证通过后响应app’请求,将相应的敏感数据发送给app’;
app’获取到敏感数据,在TEE环境的加密内存中运行对应的业务逻辑,完成敏感数据使用。
7.根据权利要求6所述的基于隐私计算的零信任敏感大数据跨域分享方法,其特征在于,应用运行报告report由TEE环境的硬件私钥进行签名后嵌入至所述的自签名证书ra-cert中。
8.一种基于隐私计算的零信任敏感大数据跨域分享装置,其特征在于,包括安装于数据提供方的敏感数据管理模块和安装于数据使用方的加密数据库模块,所述的敏感数据管理模块包括应用管理子模块、多源数据库管理子模块和数据传输工具子模块,所述的加密数据库模块包括普通数据库子模块、账户管理服务子模块、透明文件加密服务子模块和自签名工具子模块,其中,
应用管理子模块,用于应用注册和数据绑定;
多源数据库管理子模块,用于根据加密数据库模块中的普通数据库和敏感数据库生成相应的传输配置给数据传输工具子模块;
数据传输工具子模块,用于基于传输配置,通过加密通信链路将指定的敏感数据传输至数据使用方;
普通数据库子模块,用于存储数据提供方提供的敏感数据;
透明文件加密服务子模块,用于提供文件透明加密能力;
自签名工具子模块,用于为加密数据库模块生成自签名证书,加密数据库模块基于自签名证书与数据提供方建立加密通信链路;
账户管理服务子模块,用于增删数据库实例、增删数据库账户以及为应用程序分发数据库账户。
9.根据权利要求8所述的基于隐私计算的零信任敏感大数据跨域分享装置,其特征在于,应用管理子模块,用于对数据使用方的应用程序进行审核,在应用程序中嵌入账户信息获取工具,并对最终的程序进行度量,得到度量值app_hash,最后打包成可运行的容器应用镜像完成应用注册;
应用管理子模块,用于对数据使用方选定的敏感数据集与所述的度量值app_hash绑定以完成应用的数据绑定;
账户管理服务子模块,用于为应用程序创建数据库实例和数据库账户信息,与所述应用程序绑定的敏感数据集被存储于相应的数据库实例中;通过将账户信息与应用程序app_hash绑定的方式将数据库账户分发给相应的应用程序,应用程序基于账户信息读取存储于相应数据库实例的敏感数据;
数据使用方接收到的敏感数据,以及账户信息与应用程序app_hash的绑定关系均通过透明文件加密服务子模块被加密存储于服务器磁盘中。
10.根据权利要求9所述的基于隐私计算的零信任敏感大数据跨域分享装置,其特征在于,透明文件加密服务子模块用于加密文件的密钥key由数据使用方的TEE环境基于加密数据库模块的度量值hash派生而得。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310029944.0A CN115730338B (zh) | 2023-01-09 | 2023-01-09 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
| PCT/CN2023/113926 WO2024148820A1 (zh) | 2023-01-09 | 2023-08-21 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
| NL2036298A NL2036298A (en) | 2023-01-09 | 2023-11-17 | Cross-domain sharing method and apparatus for zero-trust sensitive big data based on privacy computation |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310029944.0A CN115730338B (zh) | 2023-01-09 | 2023-01-09 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115730338A true CN115730338A (zh) | 2023-03-03 |
| CN115730338B CN115730338B (zh) | 2023-05-05 |
Family
ID=85302055
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310029944.0A Active CN115730338B (zh) | 2023-01-09 | 2023-01-09 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN115730338B (zh) |
| NL (1) | NL2036298A (zh) |
| WO (1) | WO2024148820A1 (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116881973A (zh) * | 2023-09-05 | 2023-10-13 | 浙江省金融综合服务平台管理有限公司 | 一种基于多数据源的金融隐私数据可信计算方法及系统 |
| CN117544428A (zh) * | 2024-01-10 | 2024-02-09 | 中国信息通信研究院 | 基于人工智能的通信管理系统 |
| CN117786667A (zh) * | 2023-12-22 | 2024-03-29 | 北京熠智科技有限公司 | 一种用于可控计算的进程权限管理方法、系统及存储介质 |
| CN118350017A (zh) * | 2024-06-18 | 2024-07-16 | 南湖实验室 | 一种基于机密计算的大模型安全可信使用方法及其系统 |
| WO2024148820A1 (zh) * | 2023-01-09 | 2024-07-18 | 南湖实验室 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200028693A1 (en) * | 2018-07-17 | 2020-01-23 | Huawei Technologies Co., Ltd. | Verifiable Encryption Based on Trusted Execution Environment |
| US20200127850A1 (en) * | 2019-12-20 | 2020-04-23 | Intel Corporation | Certifying a trusted platform module without privacy certification authority infrastructure |
| CN111082934A (zh) * | 2019-12-31 | 2020-04-28 | 支付宝(杭州)信息技术有限公司 | 基于可信执行环境的跨域安全多方计算的方法及装置 |
| CN114117522A (zh) * | 2021-11-23 | 2022-03-01 | 上海交通大学 | 基于区块链和可信执行环境的车联网数据共享实现方法 |
| CN114679270A (zh) * | 2022-05-25 | 2022-06-28 | 南湖实验室 | 一种基于隐私计算的数据跨域加解密方法 |
| CN114760071A (zh) * | 2022-06-13 | 2022-07-15 | 深圳市永达电子信息股份有限公司 | 基于零知识证明的跨域数字证书管理方法、系统和介质 |
| US20220376929A1 (en) * | 2021-05-21 | 2022-11-24 | International Business Machines Corporation | Data in Transit Protection with Exclusive Control of Keys and Certificates Across Heterogeneous Distributed Computing Environments |
| CN115473678A (zh) * | 2022-03-16 | 2022-12-13 | 北京大学 | 一种基于sgx与智能合约的可控数据共享方法 |
| CN115580413A (zh) * | 2022-12-07 | 2023-01-06 | 南湖实验室 | 一种零信任的多方数据融合计算方法和装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110034924B (zh) * | 2018-12-12 | 2022-05-13 | 创新先进技术有限公司 | 一种数据处理方法和装置 |
| CN115730338B (zh) * | 2023-01-09 | 2023-05-05 | 南湖实验室 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
-
2023
- 2023-01-09 CN CN202310029944.0A patent/CN115730338B/zh active Active
- 2023-08-21 WO PCT/CN2023/113926 patent/WO2024148820A1/zh unknown
- 2023-11-17 NL NL2036298A patent/NL2036298A/en unknown
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200028693A1 (en) * | 2018-07-17 | 2020-01-23 | Huawei Technologies Co., Ltd. | Verifiable Encryption Based on Trusted Execution Environment |
| US20200127850A1 (en) * | 2019-12-20 | 2020-04-23 | Intel Corporation | Certifying a trusted platform module without privacy certification authority infrastructure |
| CN111082934A (zh) * | 2019-12-31 | 2020-04-28 | 支付宝(杭州)信息技术有限公司 | 基于可信执行环境的跨域安全多方计算的方法及装置 |
| US20220376929A1 (en) * | 2021-05-21 | 2022-11-24 | International Business Machines Corporation | Data in Transit Protection with Exclusive Control of Keys and Certificates Across Heterogeneous Distributed Computing Environments |
| CN114117522A (zh) * | 2021-11-23 | 2022-03-01 | 上海交通大学 | 基于区块链和可信执行环境的车联网数据共享实现方法 |
| CN115473678A (zh) * | 2022-03-16 | 2022-12-13 | 北京大学 | 一种基于sgx与智能合约的可控数据共享方法 |
| CN114679270A (zh) * | 2022-05-25 | 2022-06-28 | 南湖实验室 | 一种基于隐私计算的数据跨域加解密方法 |
| CN114760071A (zh) * | 2022-06-13 | 2022-07-15 | 深圳市永达电子信息股份有限公司 | 基于零知识证明的跨域数字证书管理方法、系统和介质 |
| CN115580413A (zh) * | 2022-12-07 | 2023-01-06 | 南湖实验室 | 一种零信任的多方数据融合计算方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| JIM JING-YAN WANG等: "Beyond cross-domain learning: Multiple-domain nonnegative matrix factorization" * |
| 安鹏等: "基于微服务与隐私计算技术的数据安全共享服务平台" * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2024148820A1 (zh) * | 2023-01-09 | 2024-07-18 | 南湖实验室 | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 |
| CN116881973A (zh) * | 2023-09-05 | 2023-10-13 | 浙江省金融综合服务平台管理有限公司 | 一种基于多数据源的金融隐私数据可信计算方法及系统 |
| CN116881973B (zh) * | 2023-09-05 | 2023-12-05 | 浙江省金融综合服务平台管理有限公司 | 一种基于多数据源的金融隐私数据可信计算方法及系统 |
| CN117786667A (zh) * | 2023-12-22 | 2024-03-29 | 北京熠智科技有限公司 | 一种用于可控计算的进程权限管理方法、系统及存储介质 |
| CN117786667B (zh) * | 2023-12-22 | 2024-06-11 | 北京熠智科技有限公司 | 一种用于可控计算的进程权限管理方法、系统及存储介质 |
| CN117544428A (zh) * | 2024-01-10 | 2024-02-09 | 中国信息通信研究院 | 基于人工智能的通信管理系统 |
| CN117544428B (zh) * | 2024-01-10 | 2024-03-22 | 中国信息通信研究院 | 基于人工智能的通信管理系统 |
| CN118350017A (zh) * | 2024-06-18 | 2024-07-16 | 南湖实验室 | 一种基于机密计算的大模型安全可信使用方法及其系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115730338B (zh) | 2023-05-05 |
| NL2036298A (en) | 2024-07-12 |
| WO2024148820A1 (zh) | 2024-07-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111541785B (zh) | 基于云计算的区块链数据处理方法及装置 | |
| US20230004675A1 (en) | Secure identity and profiling system | |
| CN111092914B (zh) | 访问外部数据的方法及装置 | |
| RU2673842C1 (ru) | Автоматическая аттестация сохранности устройства с применением цепочки блоков | |
| CN115730338B (zh) | 基于隐私计算的零信任敏感大数据跨域分享方法和装置 | |
| US8856544B2 (en) | System and method for providing secure virtual machines | |
| EP2791817B1 (en) | Cryptographic certification of secure hosted execution environments | |
| US7526649B2 (en) | Session key exchange | |
| WO2022073264A1 (en) | Systems and methods for secure and fast machine learning inference in trusted execution environment | |
| CN104506487B (zh) | 云环境下隐私策略的可信执行方法 | |
| US10270757B2 (en) | Managing exchanges of sensitive data | |
| CN115580413B (zh) | 一种零信任的多方数据融合计算方法和装置 | |
| KR20130101964A (ko) | 플랫폼 컴포넌트들의 보안 업그레이드 또는 다운그레이드를 위한 방법 및 시스템 | |
| WO2024139273A1 (zh) | 联邦学习方法、装置、可读存储介质及电子设备 | |
| Leicher et al. | Implementation of a trusted ticket system | |
| Aslam et al. | Security and trust preserving inter‐and intra‐cloud VM migrations | |
| JP2024501752A (ja) | 鍵付きハッシュメッセージ認証コードの鍵マテリアルとしての属性ベースの暗号化鍵ユーザ認証および認可 | |
| Bravi | Use of Trusted Computing techniques to counteract Cybersecurity attacks in Critical Infrastructures | |
| Tamrakar et al. | On rehoming the electronic id to TEEs | |
| Ferro et al. | Standard-Based Remote Attestation: The Veraison Project | |
| CN118611883A (zh) | 基于密码服务的资源访问方法、装置、设备及产品 | |
| CN116305203A (zh) | 基于Trustzone的超级账本数据可信加密方法 | |
| Lyle et al. | The Workshop on Web Applications and Secure Hardware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |