本技术属于云计算领域,尤其涉及一种隐私数据的获取方法、装置及系统。
背景技术:
1、大数据时代,数据作为生产要素的价值逐渐显著。隐私保护不再是数据要素流通的限制和制约,而成为业界探索在隐私不泄露的前提下挖掘数据价值的驱动力,利用隐私数据进行计算得以蓬勃发展。
2、现有方法中,为了保证隐私数据计算的安全性,通常采用同态加密技术等数据安全加密手段对隐私数据进行复杂加密,从而获取加密的隐私数据以满足计算需求。
3、然而,此方法中因数据加密的复杂度高,导致数据解密时计算量大、资源占用较高,隐私数据的获取性能较差,不适用于信息密度较低的低敏数据的获取。
技术实现思路
1、本技术实施例提供了一种隐私数据的获取方法、装置及系统,能够保证隐私数据安全性的同时提高隐私数据的获取性能。
2、本技术实施例的一方面,提供一种隐私数据的获取方法,应用于可信空间,该方法包括:
3、响应于第一用户端发送的身份验证请求,判断身份验证请求中携带的访问属性标签是否满足访问控制策略,访问控制策略为第二用户端确定的能够对隐私密文数据进行访问的属性标签类型,隐私密文数据为对隐私明文数据进行简单加密后得到的数据;
4、在访问属性标签满足访问控制策略的情况下,生成并向第一用户端发送允许访问隐私密文数据的数据访问令牌以及对隐私密文数据进行解密的目标密钥;
5、响应于第一用户端利用数据访问令牌发送的数据访问请求,向第二用户端发送数据上传请求,以使第二用户端上传隐私密文数据至第一存储空间,供第一用户端利用目标密钥获取隐私密文数据。
6、本技术实施例的一方面,提供一种隐私数据的获取方法,应用于第一用户端,该方法包括:
7、向可信空间发送身份验证请求,以使可信空间判断身份验证请求中携带的访问属性标签是否满足访问控制策略,访问控制策略为第二用户端确定的能够对隐私密文数据进行访问的属性标签类型,隐私密文数据为对隐私明文数据进行简单加密后得到的数据;
8、在访问属性标签满足访问控制策略的情况下,接收可信空间发送的允许访问隐私密文数据的数据访问令牌以及对隐私密文数据进行解密的目标密钥;
9、利用数据访问令牌,向可信空间发送数据访问请求,以使可信空间指示第二用户端上传隐私密文数据至第一存储空间;
10、利用目标密钥,获取第一存储空间中的隐私密文数据。
11、本技术实施例的一方面,提供一种隐私数据的获取方法,应用于第二用户端,该方法包括:
12、利用访问属性标签集合,确定与访问属性标签集合对应的访问控制策略,访问控制策略为能够对隐私密文数据进行访问的属性标签类型,隐私密文数据为对隐私明文数据进行简单加密后得到的数据;
13、将访问控制策略发送至可信空间,以使可信空间判断第一用户端的身份验证请求中携带的访问属性标签是否满足访问控制策略;
14、响应于可信空间发送的数据上传请求,将隐私密文数据上传至第一存储空间,供第一用户端利用目标密钥获取隐私密文数据。
15、本技术实施例的一方面,提供一种隐私数据的获取装置,应用于可信空间,该装置包括:
16、请求判断模块,用于响应于第一用户端发送的身份验证请求,判断身份验证请求中携带的访问属性标签是否满足访问控制策略,访问控制策略为第二用户端确定的能够对隐私密文数据进行访问的属性标签类型,隐私密文数据为对隐私明文数据进行简单加密后得到的数据;
17、信息发送模块,用于在访问属性标签满足访问控制策略的情况下,生成并向第一用户端发送允许访问隐私密文数据的数据访问令牌以及对隐私密文数据进行解密的目标密钥;
18、第一请求发送模块,用于响应于第一用户端利用数据访问令牌发送的数据访问请求,向第二用户端发送数据上传请求,以使第二用户端上传隐私密文数据至第一存储空间,供第一用户端利用目标密钥获取隐私密文数据。
19、本技术实施例的一方面,提供一种隐私数据的获取装置,应用于第一用户端,该装置包括:
20、第二请求发送模块,用于向可信空间发送身份验证请求,以使可信空间判断身份验证请求中携带的访问属性标签是否满足访问控制策略,访问控制策略为第二用户端确定的能够对隐私密文数据进行访问的属性标签类型,隐私密文数据为对隐私明文数据进行简单加密后得到的数据;
21、信息接收模块,用于在访问属性标签满足访问控制策略的情况下,接收可信空间发送的允许访问隐私密文数据的数据访问令牌以及对隐私密文数据进行解密的目标密钥;
22、第二请求发送模块,还用于利用数据访问令牌,向可信空间发送数据访问请求,以使可信空间指示第二用户端上传隐私密文数据至第一存储空间;
23、数据获取模块,用于利用目标密钥,获取第一存储空间中的隐私密文数据。
24、本技术实施例的一方面,提供一种隐私数据的获取装置,应用于第二用户端,该装置包括:
25、策略确定模块,用于利用访问属性标签集合,确定与访问属性标签集合对应的访问控制策略,访问控制策略为能够对隐私密文数据进行访问的属性标签类型,隐私密文数据为对隐私明文数据进行简单加密后得到的数据;
26、策略发送模块,用于将访问控制策略发送至可信空间,以使可信空间判断第一用户端的身份验证请求中携带的访问属性标签是否满足访问控制策略;
27、数据上传模块,用于响应于可信空间发送的数据上传请求,将隐私密文数据上传至第一存储空间,供第一用户端利用目标密钥获取隐私密文数据。
28、本技术实施例的一方面,提供一种隐私数据的获取系统,该系统包括:
29、可信空间,用于执行数据计算时实现如上述应用于可信空间的隐私数据的获取方法;
30、第一用户端,与可信空间电连接,用于执行数据计算时实现如上述应用于第一用户端的隐私数据的获取方法;
31、第二用户端,与可信空间电连接,用于执行数据计算时实现如上述应用于第二用户端的隐私数据的获取方法。
32、本技术实施例的一方面,提供一种电子设备,该设备包括:存储器及存储在存储器上并可在处理器上运行的程序或指令,程序或指令被处理器执行时实现如上述本技术实施例的任意一方面提供的隐私数据的获取方法。
33、本技术实施例的一方面,提供一种可读存储介质,可读存储介质上存储程序或指令,程序或指令被处理器执行时实现如上述本技术实施例的任意一方面提供的隐私数据的获取方法。
34、本技术实施例的一方面,提供一种计算机程序产品,计算机程序产品中的指令由电子设备的处理器执行时,使得电子设备执行如上述本技术实施例的任意一方面提供的隐私数据的获取方法。
35、本技术实施例提供的隐私数据的获取方法中,通过对隐私明文数据进行简单加密,避免因复杂加密所导致的数据解密时计算量大、资源占用较高的情况。然后第一用户端在获取隐私数据时需要向可信空间发送身份验证请求,可信空间根据身份验证请求中携带的访问属性标签,判断其是否满足隐私密文数据的访问控制要求。如果满足隐私密文数据的访问控制要求,则生成并向第一用户端发送允许访问隐私密文数据的数据访问令牌以及对隐私密文数据进行解密的目标密钥。然后通知第二用户端上传隐私密文数据至第一存储空间,供第一用户端利用目标密钥获取隐私密文数据。如此,本技术实施例构建了一套完整的数据安全访问控制流程,通过利用数据使用者独特的访问属性标签进行身份验证以及简单的数据加密来保证数据计算的安全性,无需再对数据进行复杂的安全加密流程,能够在保证隐私数据安全性的同时提高隐私数据的获取性能。
1.一种隐私数据的获取方法,其特征在于,应用于可信空间,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述响应于所述第一用户端利用所述数据访问令牌发送的数据访问请求,向所述第二用户端发送数据上传请求之后,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述在所述访问属性标签满足访问控制策略的情况下,生成并向所述第一用户端发送允许访问所述隐私密文数据的数据访问令牌以及对所述隐私密文数据进行解密的目标密钥,包括:
4.一种隐私数据的获取方法,其特征在于,应用于第一用户端,所述方法包括:
5.根据权利要求4所述的方法,其特征在于,所述利用所述目标密钥,获取所述第一存储空间中的所述隐私密文数据,包括:
6.一种隐私数据的获取方法,其特征在于,应用于第二用户端,所述方法包括:
7.根据权利要求6所述的方法,其特征在于,所述响应于所述可信空间发送的数据上传请求,将隐私密文数据上传至第一存储空间之前,所述方法还包括:
8.根据权利要求7所述的方法,其特征在于,所述利用所述访问控制策略,构建访问控制树,包括:
9.一种隐私数据的获取装置,其特征在于,应用于可信空间,所述装置包括:
10.一种隐私数据的获取装置,其特征在于,应用于第一用户端,所述装置包括:
11.一种隐私数据的获取装置,其特征在于,应用于第二用户端,所述装置包括:
12.一种隐私数据的获取系统,其特征在于,所述系统包括:
