CN116629864B - 一种隐私计算场景下api服务收费方法、平台及存储介质 - Google Patents

Abstract

本发明实施例公开了一种隐私计算场景下API服务收费方法、平台及存储介质，方法包括：接收数据提供方发送的待验证消息；对所述待验证消息进行验证；若所述待验证消息验证合法，从数据使用方预存的资金中扣除第一预设费用，并将第二预设费用支付给所述数据提供方，所述第二预设费用小于等于第一预设费用。解决在数据隐私计算的场景中，数据提供方以API的方式提供数据服务后，平台方能够在不窃取隐私的前提下对数据使用方每次API请求进行收费的问题。

Description

一种隐私计算场景下API服务收费方法、平台及存储介质

技术领域

本发明涉及计算机软件技术领域，具体涉及一种隐私计算场景下API服务收费方法、平台及存储介质。

背景技术

在数据隐私计算的场景中，数据提供方以API(应用程序接口)的方式提供数据服务(以下简称API服务)；平台方需要能够在不窃取隐私的前提下对数据使用方每次API请求进行收费。

数据提供方以API的方式提供数据服务。数据使用方向API服务发送请求(以下简称API请求)以获取API的返回结果。具体而言，API请求为包含参数的数据请求，API返回此次请求的结果，包括但不限于部分数据或相关数据信息等。平台方作为一个独立第三方，用于撮合每次API请求的收费过程。通常，对于每次API请求，数据使用方支付相关费用，费用大部分交付给数据提供方，同时平台抽取剩余部分作为手续费。

平台方需要满足如下场景需求：

1.平台方需要保证每次收费过程的合法性。即一旦产生计费，则必定是数据使用方发送了API请求且数据提供方返回了请求的结果，不会产生无端计费。

2.平台方在每次API请求的全过程中都不能接触请求内容和返回结果的任何明文或密文信息，以实现数据隐私保护。

3.平台方需要防止其他两方作恶的可能性，包括数据提供方通过伪造请求的方式获取额外费用。

4.额外地，平台实现收费的原则与请求的具体内容无关。即，如果数据使用方在不同的时间发起了相同的API请求，平台应针对这两次请求分别计费。

发明内容

针对现有技术中的技术缺陷，本发明实施例的目的在于提供一种隐私计算场景下API服务收费方法、平台及存储介质，使平台方能够在不窃取数据隐私的前提下对数据使用方每次API请求进行收费，并支付给数据提供方。

为实现上述目的，第一方面，本发明实施例提供了一种隐私计算场景下API服务收费方法，包括：

接收数据提供方发送的待验证消息；

对所述待验证消息进行验证；

若所述待验证消息验证合法，从数据使用方预存的资金中扣除第一预设费用，并将第二预设费用支付给所述数据提供方，所述第二预设费用小于等于第一预设费用。

进一步，所述待验证消息包括H(m)、nonce、σ以及H(n||nonce)，其中，

所述H(m)为API请求m的哈希值；

nonce为对API请求m的计数值，初始为0，每次请求递增1；

σ为所述数据使用方用私钥sk对H(m)和nonce的联合体进行的签名；

H(n||nonce)为n和nonce的联合体的哈希值，其中，n为所述数据提供方发送给数据使用方的返回结果。

进一步，所述若所述待验证消息验证合法，包括：

使用公钥pk验证签名σ的合法性，所述公钥pk为所述数据使用方生成提供；

若签名σ验证合法，判断nonce是否被使用过；

若nonce未被使用过，则所述待验证消息验证合法。

进一步，若nonce未被使用过，所述方法还包括：

将nonce标记为使用过,并记录H(n||nonce)用于存证。

进一步，所述方法还包括：

接收所述数据使用方发送的nonce查询请求；

向所述数据使用方返回nonce_max+1，其中，nonce_max为所有被标记为使用过的nonce中的最大数值。

第二方面，本发明实施例提供了一种API服务收费平台，包括：

接收模块，用于接收数据提供方发送的待验证消息；

验证模块，用于对所述待验证消息进行验证；

支付模块，用于若所述待验证消息验证合法，从数据使用方预存的资金中扣除第一预设费用，并将第二预设费用支付给所述数据提供方，所述第二预设费用小于等于第一预设费用。

进一步，所述待验证消息包括H(m)、nonce、σ以及H(n||nonce)，其中，

所述H(m)为API请求m的哈希值；

nonce为对API请求m的计数值，初始为0，每次请求递增1；

σ为所述数据使用方用私钥sk对H(m)和nonce的联合体进行的签名；

H(n||nonce)为n和nonce的联合体的哈希值，其中，n为所述数据提供方发送给数据使用方的返回结果。

进一步，所述若所述待验证消息验证合法，包括：

使用公钥pk验证签名σ的合法性，所述公钥pk为所述数据使用方生成提供；

若签名σ验证合法，判断nonce是否被使用过；

若nonce未被使用过，则所述待验证消息验证合法。

进一步，所述验证模块还用于：若nonce未被使用过，将nonce标记为使用过,并记录H(n||nonce)用于存证。

第三方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如第一方面所述的方法。

实施本发明实施例，具有以下技术效果：

(1)平台方在实现正确计费的基础上，全过程未接触过API请求内容和返回结果，无论是明文还是密文。这意味着即使秘钥泄露平台方也不能窃取包括请求和结果在内的隐私数据，有效保护了数据隐私性。

(2)平台方有效防止了数据提供方的作恶行为。平台方针对每个签名过的nonce只进行一次计费，如果恶意的数据提供方想伪造请求以获取更多费用，由于其没有私钥sk,其无法生成合法的对新nonce的签名，故平台不会执行支付过程。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。

图1是本发明实施例提供的数据提供方、数据使用方和平台方之间的架构图；

图2是本发明实施例提供的隐私计算场景下API服务收费方法的流程示意图；

图3是本发明实施例提供的API服务收费平台的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

在本申请中，术语“上”、“下”、“左”、“右”、“前”、“后”、“顶”、“底”、“内”、“外”、“中”、“竖直”、“水平”、“横向”、“纵向”等指示的方位或位置关系为基于附图所示的方位或位置关系。这些术语主要是为了更好地描述本申请及其实施例，并非用于限定所指示的装置、元件或组成部分必须具有特定方位，或以特定方位进行构造和操作。

并且，上述部分术语除了可以用于表示方位或位置关系以外，还可能用于表示其他含义，例如术语“上”在某些情况下也可能用于表示某种依附关系或连接关系。对于本领域普通技术人员而言，可以根据具体情况理解这些术语在本申请中的具体含义。

此外，术语“安装”、“设置”、“设有”、“连接”、“相连”、“套接”应做广义理解。例如，可以是固定连接，可拆卸连接，或整体式构造；可以是机械连接，或电连接；可以是直接相连，或者是通过中间媒介间接相连，又或者是两个装置、元件或组成部分之间内部的连通。对于本领域普通技术人员而言，可以根据具体情况理解上述术语在本申请中的具体含义。

相关技术中的问题在于：在数据隐私计算的场景中，数据提供方以API的方式提供数据服务后，平台方能够在不窃取隐私的前提下对数据使用方每次API请求进行收费的问题。数据提供方、数据使用方和平台方之间的架构如图1所示。

数据使用方如何使用API返回结果以及如何实现结果的隐私保护不在本发明的考虑范围之类。并且，本方案中不考虑数据提供方作恶，篡改API结果的情形，这种情形仅会造成数据使用方无法获得正确的分析结果，但不会产生额外计费。

本技术方案的实现，需要依赖现有的数字签名技术、哈希函数和数据加密传输通道。其中，数字签名技术体系包含一对公钥和私钥，其中私钥用于生成对某个信息的签名，公钥用于验证签名，能被对应公钥验证通过的签名为合法签名。签名不会暴露私钥的任何信息，且任何未拥有私钥的人无法生成对某个信息的合法签名。

哈希函数也叫摘要函数，其将任意长度的输入转化为固定长度的输出，输出被称为哈希值。哈希函数满足抗碰撞性和不可逆性，具体而言，任何人难以找到两个哈希值相同的不同输入，且给定哈希值任何人难以计算出其对应的输入。

数据加密传输通道如https等，其保证两方传输的数据无法被任何第三方窃取。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

如图2所示，是本申请实施例中隐私计算场景下API服务收费方法，该方法包括如下的步骤S110至步骤S130：：

S110：接收数据提供方发送的待验证消息。

所述待验证消息包括H(m)、nonce、σ以及H(n||nonce)，其中，所述H(m)为API请求m的哈希值；nonce为对API请求m的计数值，初始为0，每次请求递增1；σ为所述数据使用方用私钥sk对H(m)和nonce的联合体进行的签名；H(n||nonce)为n和nonce的联合体的哈希值，其中，n为所述数据提供方发送给数据使用方的返回结果。

数据使用方生成一对签名用的公私钥对，私钥记为sk，由数据使用方自己保存；公钥记为pk,公开给平台方和数据数据提供方。数据使用方将一笔资金预存至平台方，作为可用资金用于支付未来产生的API服务费用。每次API服务结束后平台将从可用资金中扣除此次服务费用并支付给数据提供方。

数据使用方要发起一次API请求时，假设此次API请求记为m。首先，计算m的哈希值H(m),其中H为给定的哈希函数。然后，用私钥sk对H(m)和nonce的联合体进行签名，签名记为σ。nonce为一个计数器的计数值，初始为0，每次请求递增1，以保证每次请求的nonce互不相同。再然后，将本地记录的nonce增加1。最后，将m,H(m),nonce,σ通过加密传输通道发送至数据提供方。

数据提供方接收到数据使用方发送的m,H(m),nonce,σ之后，首先，使用公钥pk验证签名σ的合法性，若失败则拒绝请求。然后，向其本地的API服务发送请求m,得到返回结果n。再然后，将n通过加密传输通道发送至数据使用方。最后，向平台方发送H(m)、nonce、σ、H(n||nonce)，表示结果已经给出，并请求支付费用。

S120：对所述待验证消息进行验证。

平台方接收到数据提供方发送的待验证消息后，对待验证消息进行验证，以验证待验证消息是否合法。

S130：若所述待验证消息验证合法，从数据使用方预存的资金中扣除第一预设费用，并将第二预设费用支付给所述数据提供方，所述第二预设费用小于等于第一预设费用。

进行支付清算环节，平台方将该次API服务的费用转给数据提供方，并减少数据使用方的可用资金，减少数量为数据提供方获得费用+平台手续费。

具体的，所述若所述待验证消息验证合法，包括：

S131：使用公钥pk验证签名σ的合法性，所述公钥pk为所述数据使用方生成提供，若验证非法则拒绝请求。

S132：若签名σ验证合法，判断nonce是否被使用过；若是，则拒绝请求。

S133：若nonce未被使用过，则所述待验证消息验证合法。

进一步，若nonce未被使用过，所述方法还包括：将nonce标记为使用过,并记录H(n||nonce)用于存证。

进一步，数据使用方如果因为意外状况导致本地nonce丢失，可以向平台发送nonce查询请求来获取最新nonce。如果平台方接收到数据使用方发送的nonce查询请求，则返回nonce_max+1,其中，nonce_max为所有被标记为使用过的nonce中的最大数值。

因此，可选的，该方法还可以包括：

S140：接收所述数据使用方发送的nonce查询请求；

S150：向所述数据使用方返回nonce_max+1，其中，nonce_max为所有被标记为使用过的nonce中的最大数值。

综上，通过实施上述方法，平台方在实现正确计费的基础上，全过程未接触过API请求内容和返回结果，无论是明文还是密文。这意味着即使秘钥泄露平台方也不能窃取包括请求和结果在内的隐私数据，有效保护了数据隐私性。

并且，平台方有效防止了数据提供方的作恶行为。平台方针对每个签名过的nonce只进行一次计费，如果恶意的数据提供方想伪造请求以获取更多费用，由于其没有私钥sk,其无法生成合法的对新nonce的签名，故平台不会执行支付过程。

根据本申请实施例，还提供了一种用于实施上述方法的API服务收费平台，如图3所示，该平台包括：

接收模块201，用于接收数据提供方发送的待验证消息。

验证模块202，用于对所述待验证消息进行验证。

支付模块203，用于若所述待验证消息验证合法，从数据使用方预存的资金中扣除第一预设费用，并将第二预设费用支付给所述数据提供方，所述第二预设费用小于等于第一预设费用。

所述待验证消息包括H(m)、nonce、σ以及H(n||nonce)，其中，所述H(m)为API请求m的哈希值；nonce为对API请求m的计数值，初始为0，每次请求递增1；σ为所述数据使用方用私钥sk对H(m)和nonce的联合体进行的签名；H(n||nonce)为n和nonce的联合体的哈希值，其中，n为所述数据提供方发送给数据使用方的返回结果。

数据使用方生成一对签名用的公私钥对，私钥记为sk，由数据使用方自己保存；公钥记为pk,公开给平台方和数据数据提供方。数据使用方将一笔资金预存至平台方，作为可用资金用于支付未来产生的API服务费用。每次API服务结束后平台将从可用资金中扣除此次服务费用并支付给数据提供方。

数据使用方要发起一次API请求时，假设此次API请求记为m。首先，计算m的哈希值H(m),其中H为给定的哈希函数。然后，用私钥sk对H(m)和nonce的联合体进行签名，签名记为σ。nonce为一个计数器的计数值，初始为0，每次请求递增1，以保证每次请求的nonce互不相同。再然后，将本地记录的nonce增加1。最后，将m,H(m),nonce,σ通过加密传输通道发送至数据提供方。

数据提供方接收到数据使用方发送的m,H(m),nonce,σ之后，首先，使用公钥pk验证签名σ的合法性，若失败则拒绝请求。然后，向其本地的API服务发送请求m,得到返回结果n。再然后，将n通过加密传输通道发送至数据使用方。最后，向平台方发送H(m)、nonce、σ、H(n||nonce)，表示结果已经给出，并请求支付费用。

进行支付清算环节，平台方将该次API服务的费用转给数据提供方，并减少数据使用方的可用资金，减少数量为数据提供方获得费用+平台手续费。

具体的，所述若所述待验证消息验证合法，包括：使用公钥pk验证签名σ的合法性，所述公钥pk为所述数据使用方生成提供，若验证非法则拒绝请求。若签名σ验证合法，判断nonce是否被使用过；若是，则拒绝请求。若nonce未被使用过，则所述待验证消息验证合法。

进一步，验证模块还用于：若nonce未被使用过，将nonce标记为使用过,并记录H(n||nonce)用于存证。

进一步，数据使用方如果因为意外状况导致本地nonce丢失，可以向平台发送nonce查询请求来获取最新nonce。如果平台方接收到数据使用方发送的nonce查询请求，则返回nonce_max+1,其中，nonce_max为所有被标记为使用过的nonce中的最大数值。

进一步地，本发明实施例还提供了一种可读存储介质，存储有计算机程序，所述计算机程序包括程序指令，所述程序指令被处理器执行时实现：上述隐私计算场景下API服务收费方法。

所述计算机可读存储介质可以是前述实施例所述的后台服务器的内部存储单元，例如系统的硬盘或内存。所述计算机可读存储介质也可以是所述系统的外部存储设备，例如所述系统上配备的插接式硬盘，智能存储卡(Smart Media Card,SMC)，安全数字(SecureDigital,SD)卡，闪存卡(Flash Card)等。进一步地，所述计算机可读存储介质还可以既包括所述系统的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述系统所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以是两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分，或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-OnlyMemory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims (6)

1.一种隐私计算场景下API服务收费方法，其特征在于，包括：

接收数据提供方发送的待验证消息；

对所述待验证消息进行验证；

若所述待验证消息验证合法，从数据使用方预存的资金中扣除第一预设费用，并将第二预设费用支付给所述数据提供方，所述第二预设费用小于等于第一预设费用；其中，

所述待验证消息包括H(m)、nonce、σ以及H(n||nonce)，其中，

所述H(m)为API请求m的哈希值；

nonce为对API请求m的计数值，初始为0，每次请求递增1；

σ为所述数据使用方用私钥sk对H(m)和nonce的联合体进行的签名；

H(n||nonce)为m和nonce的联合体的哈希值，其中，n为所述数据提供方发送给数据使用方的返回结果；

所述若所述待验证消息验证合法，包括：

使用公钥pk验证签名σ的合法性，所述公钥pk为所述数据使用方生成提供；

若签名σ验证合法，判断nonce是否被使用过；

若nonce未被使用过，则所述待验证消息验证合法。

2.如权利要求1所述的一种隐私计算场景下API服务收费方法，其特征在于，若nonce未被使用过，所述方法还包括：

将nonce标记为使用过，并记录H(n||nonce)用于存证。

3.如权利要求1所述的一种隐私计算场景下API服务收费方法，其特征在于，所述方法还包括：

接收所述数据使用方发送的nonce查询请求；

向所述数据使用方返回nonce_max+1，其中，nonce_max为所有被标记为使用过的nonce中的最大数值。

4.一种API服务收费平台，其特征在于，包括：

接收模块，用于接收数据提供方发送的待验证消息；

验证模块，用于对所述待验证消息进行验证；

支付模块，用于若所述待验证消息验证合法，从数据使用方预存的资金中扣除第一预设费用，并将第二预设费用支付给所述数据提供方，所述第二预设费用小于等于第一预设费用；

所述待验证消息包括H(m)、monce、σ以及H(n||nonce)，其中，

所述H(m)为API请求m的哈希值；

nonce为对API请求m的计数值，初始为0，每次请求递增1；

σ为所述数据使用方用私钥sk对H(m)和nonce的联合体进行的签名；

H(n||nonce)为n和nonce的联合体的哈希值，其中，n为所述数据提供方发送给数据使用方的返回结果；

所述若所述待验证消息验证合法，包括：

使用公钥pk验证签名σ的合法性，所述公钥pk为所述数据使用方生成提供；

若签名σ验证合法，判断nonce是否被使用过；

若nonce未被使用过，则所述待验证消息验证合法。

5.如权利要求4所述的一种API服务收费平台，其特征在于，所述验证模块还用于：

若nonce未被使用过，将nonce标记为使用过，并记录H(n||nonce)用于存证。

6.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器执行时使所述处理器执行如权利要求1-3任一项所述的方法。