数据安全处理方法、装置及电子设备与流程

1.本技术涉及数据处理技术领域，尤其是涉及到一种数据安全处理方法、装置及电子设备。


背景技术：

2.广告主可在广告平台上投放广告，用户通过点击投放的广告可进入广告主平台，进而在广告主平台上产生广告主数据。广告主数据再回流给广告平台，以反馈广告投放效果。
3.目前，在广告主数据回流给广告平台的过程中，可基于密码学的方式将广告主的用户关联键信息(如手机号、设备指纹等)做md5加密处理，与广告主在其他的业务行为特征一起返回给广告平台。
4.然而，这种方式可以在广告平台侧通过映射关系，反向遍历或数据推理广告主的数据逻辑，容易导致隐私数据和商业秘密泄露，甚至可能被恶意滥用。


技术实现要素：

5.有鉴于此，本技术提供了一种数据安全处理方法、装置及电子设备，主要目的在于改善目前现有技术中容易造成广告主数据泄密，导致隐私数据和商业秘密泄露，影响广告数据协作处理安全性的技术问题。
6.依据本技术的一个方面，提供了一种数据安全处理方法，该方法包括：
7.为参与协作双方的可信计算节点分别配置可信执行环境；
8.每个可信计算节点在启动时，分别向服务端发送自身的可信硬件环境信息进行认证；
9.若每个可信计算节点认证成功，则建立双方信任的点对点通信通道；
10.在可信执行环境中，通过所述点对点通信通道进行双方可信计算节点之间的通信，以便将双方的私域数据中同一用户在双方产生的关联行为数据进行联合处理。
11.可选的，所述在可信执行环境中，通过所述点对点通信通道进行双方可信计算节点之间的通信，以便将双方的私域数据中同一用户在双方产生的关联行为数据进行联合处理，具体包括：
12.在一方的私域数据中获取用户的第一行为数据，以及在另一方的私域数据中获取同一用户的第二行为数据，其中，所述第一行为数据与所述第二行为数据相关联，所述第一行为数据包含产生用户转化行为的数据，所述第二行为数据包含引导用户产生转化行为的数据；
13.将所述第一行为数据和所述第二行为数据进行联合处理。
14.可选的，所述将所述第一行为数据和所述第二行为数据进行联合处理，具体包括：
15.对所述第一行为数据和所述第二行为数据进行数据清洗，包括：缺失值填写和特征筛选；
16.将数据清洗后的所述第一行为数据和所述第二行为数据进行联合处理。
17.可选的，所述可信硬件环境信息包括：可信计算节点当前的硬件信息、节点间当前通信的私钥和软件版本。
18.可选的，所述建立双方信任的点对点通信通道，具体包括：
19.通过安全传输层协议tls加密信道建立点对点通信，并通过交换rsa密钥发送密文校验对方的身份；
20.若双方密文验签成功，则确定所述点对点通信通道成功建立。
21.可选的，所述建立双方信任的点对点通信通道，具体还包括：
22.若在通过tls加密信道建立点对点通信阶段判定网络不可达，则继续发起重试，并在重试超过预设次数后终止；
23.若至少一方密文验签失败，则终止双方数据协作。
24.可选的，所述参与协作双方的可信计算节点为广告主侧的第一可信计算节点，和广告平台侧的第二可信计算节点；
25.所述在可信执行环境中，通过所述点对点通信通道进行双方可信计算节点之间的通信，以便将双方的私域数据中同一用户在双方产生的关联行为数据进行联合处理，具体包括：
26.通过所述第一可信计算节点获取用户的广告主数据，以及通过所述第二可信计算节点获取用户的广告平台数据；
27.将同一用户的广告主数据和广告平台数据进行联合处理。
28.可选的，所述通过所述第一可信计算节点获取用户的广告主数据，具体包括：
29.获取用户通过广告平台进入广告主系统中产生的行为数据；
30.根据所述广告主系统中产生的行为数据，生成用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合；
31.依据所述用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合，确定用户的广告主数据。
32.可选的，所述根据所述广告主系统中产生的行为数据，生成用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合，具体包括：
33.从行为数据中，提取转化行为数据；
34.基于所述转化行为数据，生成用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合。
35.可选的，所述依据所述用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合，确定用户的广告主数据，具体包括：
36.从所述用户行为标签中筛选出与预设行为标签匹配的目标行为标签，所述预设行为标签为与广告效果强相关的行为标签；
37.依据带有所述目标行为标签的用户标识、所述目标行为标签以及与所述目标行为标签各自对应的特征变量集合，确定用户的广告主数据。
38.可选的，所述将同一用户的广告主数据和广告平台数据进行联合处理，具体包括：
39.将具有相同用户标识的广告主数据和广告平台数据进行组合，以生成训练集数据；
40.利用所述训练集数据迭代训练广告投放模型；
41.若训练得到的广告投放模型收敛，则确定广告投放模型更新完成；
42.基于待推荐用户当前的广告平台数据，利用更新后的广告投放模型确定向所述待推荐用户投放广告的投放策略信息；
43.根据所述投放策略信息进行广告投放。
44.依据本技术的另一方面，提供了一种数据安全处理装置，该装置包括：
45.配置模块，用于为参与协作双方的可信计算节点分别配置可信执行环境；
46.发送模块，用于每个可信计算节点在启动时，分别向服务端发送自身的可信硬件环境信息进行认证；
47.建立模块，用于若每个可信计算节点认证成功，则建立双方信任的点对点通信通道；
48.处理模块，用于在可信执行环境中，通过所述点对点通信通道进行双方可信计算节点之间的通信，以便将双方的私域数据中同一用户在双方产生的关联行为数据进行联合处理。
49.依据本技术再一个方面，提供了一种存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述数据安全处理方法。
50.依据本技术再一个方面，提供了一种电子设备，包括存储介质、处理器及存储在存储介质上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述数据安全处理方法。
51.借由上述技术方案，本技术提供的一种数据安全处理方法、装置及电子设备，与目前现有技术相比，本技术基于可信执行环境安全的保护了参与协作双方的数据隐私，尤其是广告主的数据隐私。并且隐私保护基于硬件环境、不依赖复杂的安全算法不需要大量的计算资源。具体的，在为双方提供可信执行环境后，在双方可信计算节点启动时通过服务端进行双方认证，双方认证成功后，建立双方信任的点对点通信通道。进而在可信执行环境中，通过双方信任的通信通道将双方的私域数据中同一用户在双方产生的关联行为数据进行联合处理，从而实现广告主数据安全回流给广告平台。通过本技术方案，基于远程认证技术，保证广告协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露，从而保证了广告数据协作处理的安全性。
52.上述说明仅是本技术技术方案的概述，为了能够更清楚了解本技术的技术手段，而可依照说明书的内容予以实施，并且为了让本技术的上述和其它目的、特征和优点能够更明显易懂，以下特举本技术的具体实施方式。
附图说明
53.此处所说明的附图用来提供对本技术的进一步理解，构成本技术的一部分，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
54.图1示出了本技术实施例提供的一种数据安全处理方法的流程示意图；
55.图2示出了本技术实施例提供的一种广告数据的安全处理方法示例的流程示意图；
56.图3示出了本技术实施例提供的另一种广告数据的安全处理方法示例的流程示意
图；
57.图4示出了本技术实施例提供的示例方案架构示意图；
58.图5示出了本技术实施例提供的应用场景示例的流程示意图；
59.图6示出了本技术实施例提供的一种数据安全处理装置的结构示意图。
具体实施方式
60.下文中将参考附图并结合实施例来详细说明本技术。需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。
61.为了改善目前现有技术中容易造成广告主数据泄密，导致隐私数据和商业秘密泄露，影响广告数据处理安全性的技术问题。本实施例提供了一种数据安全处理方法，如图1所示，该方法包括：
62.步骤101、为参与协作双方的可信计算节点分别配置可信执行环境。
63.可信执行环境(trusted execution environment，tee)是一种硬件保护技术，处理器会用空间隔离、访问控制，甚至加密的手段来保证运行在这一环境下的代码及运行状态不会被其他部分的代码访问、偷窥、干扰、攻击等。本实施例事先为广告主节点和广告平台节点双方分别提供可信执行环境，即可在双方配备有相同的可信执行环境特性的硬件(该硬件提供可信执行环境的服务)，双方均在各自的可信执行环境中进行数据处理，可保证广告数据协作处理的安全性。
64.步骤102、每个可信计算节点在启动时，分别向服务端发送自身的可信硬件环境信息进行认证。
65.服务端具体可为远程认证中心或者用于安全认证的云端等，如ca认证中心等。
66.例如，双方的可信计算节点在启动时，需要跟第三方ca认证中心发送自己的可信硬件环境信息，从而认证自己的身份，才能发起后续的协作。
67.步骤103、若每个可信计算节点认证成功，则建立双方信任的点对点通信通道。
68.步骤104、在可信执行环境中，通过点对点通信通道进行双方可信计算节点之间的通信，以便将双方的私域数据中同一用户在双方产生的关联行为数据进行联合处理。
69.私域数据可为己方的保密数据，不能直接透出到对方。
70.通过双方协作实现的用户目标事件，其中该同一用户在每一方产生的行为数据具有关联性，即同一用户在双方产生的关联行为数据。在本实施例中，可将双方的私域数据中同一用户在双方产生的关联行为数据进行联合处理，进而分析出有利于产生用户目标事件的条件信息，从而促使实现更多用户的目标事件。
71.需要说明的是，通过本实施例方法，有效解决将双方的私域数据进行联合处理的安全问题，可不局限于广告数据的安全处理，还可适用于更多场景。
72.与目前现有技术相比，本实施例基于可信执行环境安全的保护了参与协作双方的数据隐私，尤其是广告主的数据隐私。并且隐私保护基于硬件环境、不依赖复杂的安全算法不需要大量的计算资源。通过本实施例方案，基于远程认证技术，保证广告协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露，从而保证了广告数据协作处理的安全性。
73.进一步的，作为上述实施例具体实施方式的细化和扩展，可选的，步骤102中的可
信硬件环境信息具体可包括：可信计算节点当前的硬件信息(如支持硬件加密的cpu信息等)、节点间当前通信的私钥和软件版本等。通过这些可信硬件环境信息，可实现准确地身份认证。
74.可选的，步骤103中建立双方信任的点对点通信通道，具体包括：通过安全传输层协议(transport layer security，tls)加密信道建立点对点通信，并通过交换rsa密钥发送密文校验对方的身份；若双方密文验签成功，则确定点对点通信通道成功建立。
75.通过这种方式建立得到的双方点对点通信通道可保证双方的安全通信，鉴别了参与数据协作处理的双方的身份特征，保证协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露。
76.另一方面，建立双方信任的点对点通信通道，具体还可包括：若在通过tls加密信道建立点对点通信阶段判定网络不可达，则继续发起重试，并在重试超过预设次数后终止；若至少一方密文验签失败，则终止双方数据协作，以免被攻击或者导致数据泄露。
77.可选的，步骤104具体可包括：首先在一方的私域数据中获取用户的第一行为数据，以及在另一方的私域数据中获取同一用户的第二行为数据，其中，第一行为数据与第二行为数据相关联，该第一行为数据可包含产生用户转化行为的数据，第二行为数据可包含引导用户产生转化行为的数据；然后将第一行为数据和第二行为数据进行联合处理，进而分析出有利于产生用户转化事件的条件信息，从而促使实现更多用户的转化事件。
78.在本实施例中，可从双方私域数据中，利用用户标识和时间范围，筛选出(即回传给协作处理系统)符合要求的第一行为数据和第二行为数据，如产生用户转化行为的数据，以及引导该用户产生该转化行为的数据，然后进行联合处理，而其他虽引导用户产生转化行为，而实际未产生相应转化行为的数据可不回传。
79.在广告数据的应用场景中，广告数据的特点是特征数量巨大，且出现缺失值的特征比较多。如用户点击广告链接进入广告主平台的过程中，用户的信息很难获取全面，需要基于大量的数据去预测。因此为了准确进行双方广告数据的安全联合处理，可选的，将第一行为数据和第二行为数据进行联合处理，具体可包括：先对第一行为数据和第二行为数据进行数据清洗，包括：缺失值填写和特征筛选；然后将数据清洗后的第一行为数据和第二行为数据进行联合处理。
80.例如，通过填0或随机数、或填可能值(前(后)一条数据的值，均值，中位数，众数等)，或通过机器学习算法(如k邻近算法、线性回归、贝叶斯估计等)利用已有的数据进行估计等，实现特征缺失值的填写。而对于特征筛选过程，可利用相关系数、卡方校验等方法选取相关程度高的特征。
81.示例性的，参与协作双方的可信计算节点具体可为广告主侧的第一可信计算节点，和广告平台侧的第二可信计算节点。步骤104具体可包括：通过第一可信计算节点获取用户的广告主数据，以及通过第二可信计算节点获取用户的广告平台数据；然后将同一用户的广告主数据和广告平台数据进行联合处理。
82.其中，通过第一可信计算节点获取用户的广告主数据，具体可包括：首先获取用户通过广告平台进入广告主系统中产生的行为数据；再根据广告主系统中产生的行为数据，生成用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合；最后依据用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标
签各自对应的特征变量集合，确定用户的广告主数据。
83.可选的，根据广告主系统中产生的行为数据，生成用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合，具体包括：从行为数据中，提取转化行为数据；基于转化行为数据，生成用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合。
84.可选的，依据用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合，确定用户的广告主数据，具体包括：从用户行为标签中筛选出与预设行为标签匹配的目标行为标签，预设行为标签为与广告效果强相关的行为标签；依据带有目标行为标签的用户标识、目标行为标签以及与目标行为标签各自对应的特征变量集合，确定用户的广告主数据。
85.基于上述方式，可选的，将同一用户的广告主数据和广告平台数据进行联合处理，具体可包括：首先将具有相同用户标识的广告主数据和广告平台数据进行组合，以生成训练集数据；然后利用训练集数据迭代训练广告投放模型；若训练得到的广告投放模型收敛，则确定广告投放模型更新完成。广告投放模型可用于制定出为用户投放广告的策略信息。
86.在确定广告投放模型更新完成之后，本实施例方法还包括：基于待推荐用户当前的广告平台数据，利用更新后的广告投放模型确定向待推荐用户投放广告的投放策略信息；然后根据投放策略信息进行广告投放。
87.通过本实施例方法，可安全实现广告主数据回流给广告平台，并可优化广告投放模型，后续可实现更好的广告投放效果。
88.为了详细说明本实施例方法，下面分别以广告主节点(广告主侧的第一可信计算节点)和广告平台节点(广告平台侧的第二可信计算节点)为例，提供了一种广告数据的安全处理方法，可应用于广告主节点，如图2所示，该方法包括：
89.步骤201、广告主节点向ca认证中心发送广告主节点的可信硬件环境信息进行认证。
90.广告主节点和广告平台节点均预先设有可信执行环境。可信执行环境(trusted execution environment，tee)是一种硬件保护技术，处理器会用空间隔离、访问控制，甚至加密的手段来保证运行在这一环境下的代码及运行状态不会被其他部分的代码访问、偷窥、干扰、攻击等。本实施例事先为广告主节点和广告平台节点双方分别提供可信执行环境，即可在双方配备有相同的可信执行环境特性的硬件(该硬件提供可信执行环境的服务)，双方均在各自的可信执行环境中进行数据处理，可保证广告数据协作处理的安全性。
91.在本实施例中，广告主节点和广告平台节点双方在启动时，需要跟第三方ca认证中心发送自己的可信硬件环境信息，从而认证自己的身份，才能发起后续的协作。
92.步骤202、广告主节点接收ca认证中心返回的认证成功信息，建立广告主节点和广告平台节点双方信任的点对点通信通道。
93.在双方认证成功后再建立双方信任的点对点通信通道。本实施例基于远程认证技术，保证广告协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露，从而保证了广告数据协作处理的安全性。
94.步骤203、在可信执行环境中，广告主节点通过建立的点对点通信通道向广告平台节点发送数据协作请求。
95.数据协作请求中携带有广告主数据，进一步的以使得广告平台节点在可信区内存储广告主数据，并结合广告平台对应记录的用户行为数据更新广告投放模型。
96.广告主数据中可包含用户关联键信息(如手机号、身份证、设备指纹等)、用户在广告主平台中的行为信息(如下载广告主的应用、新用户注册、激活账户等信息)。广告平台对应记录的用户行为数据可包含该用户在广告平台中的浏览行为、搜索关键词等。广告投放模型可用于制定出为用户投放广告的策略信息。
97.与目前现有技术相比，本实施例基于可信执行环境安全的保护了参与广告协作双方的数据隐私，尤其是广告主的数据隐私。并且隐私保护基于硬件环境、不依赖复杂的安全算法不需要大量的计算资源。具体的，通过ca认证中心进行双方认证，双方认证成功后，建立双方信任的点对点通信通道。进而在可信执行环境中，通过双方信任的通信通道实现广告主数据回流给广告平台，并可优化广告投放模型，后续可实现更好的广告投放效果。通过本实施例方案，基于远程认证技术，保证广告协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露，从而保证了广告数据协作处理的安全性。
98.进一步的，作为上述实施例具体实施方式的细化和扩展，可选的，步骤202中建立广告主节点和广告平台节点双方信任的点对点通信通道，具体可包括：通过安全传输层协议(transport layer security，tls)加密信道建立点对点通信，并通过交换rsa密钥发送密文校验对方的身份；若对广告平台节点发送的密文验签成功，则确定广告主节点和广告平台节点双方的点对点通信通道成功建立。
99.在本实施例中，需要广告主节点和广告平台节点双方都有可信执行环境特性的硬件，通常可以在云服务商获取得到，双方都有可信执行环境，这是可信协作的基础。每一方在启动时，需要通过第三方ca认证中心认证自己的身份，才能发起后续的协作。双方通过tls加密信道建立通信，通过交换rsa秘钥发送密文校验对方的身份。具体的，点对点tls通信，通过交换rsa秘钥，发送密文，验签密文；验签成功即可认为通信成功建立，身份验证完成。
100.通过这种方式建立得到的双方点对点通信通道可保证双方的安全通信，鉴别了参与广告数据协作处理的双方的身份特征，保证广告协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露。
101.另一方面，建立广告主节点和广告平台节点双方信任的点对点通信通道，具体还可包括：若在通过tls加密信道建立点对点通信阶段判定网络不可达，则继续发起重试，并在重试超过预设次数后终止；若对广告平台节点发送的密文验签失败，则终止与广告平台节点进行数据协作。
102.如果协作双方在建立点对点tls通信阶段发现网络不可达情况，则可以继续发起重试，重试超过一定次数(根据实际需求确定次数阈值)之后，则终止；如果协作双方在建立点对点tls通信阶段后，进入交换rsa秘钥，在验签密文阶段失败，表明很可能参与方的可信环境出现可疑，或者密文内容遭到篡改，导致验签不通过，这种情况，系统控制应该立即终止整个协作过程，以免被攻击或者导致数据泄露。
103.为了得到满足广告投放模型训练需求的广告主数据，可选的，本实施例方法还可包括：获取用户通过广告平台进入广告主系统中产生的行为数据；根据广告主系统中产生的行为数据，生成用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各
自对应的特征变量集合；然后依据该用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合，确定广告主数据。进而根据该广告主数据确定步骤103中发送的数据协作请求中所携带的广告主数据。
104.用户标识可为广告主节点和广告平台节点双方约定的唯一标识(id)，通过该用户标识，可查询到同一用户分别在广告主系统和广告平台中分别对应的行为数据。例如，用户标识各自对应的用户行为标签可为用户的下载、注册、激活、购买等行为的标签。
105.在实际当中，用户通过广告平台投放的广告进入到广告主系统后，可能仅是浏览行为，未产生转化行为(如下载、注册、激活、购买等行为)。因此可对用户在广告主系统中产生的行为数据进行过滤，筛选出具有转化行为的广告主数据，以便通过这些更有价值的数据优化广告投放模型，使得广告投放效果更佳，满足广告主的业务需求。相应的，上述根据广告主系统中产生的行为数据，生成用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合，具体可包括：首先从用户在广告主系统中产生的行为数据中，提取转化行为数据；然后基于转化行为数据，生成用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合。
106.进一步的，为了提高后续广告投放模型的广告投放精确度，提高信息推荐精确性，可选的，上述依据用户标识、与用户标识各自对应的用户行为标签、以及与用户行为标签各自对应的特征变量集合，确定广告主数据，具体可包括：从用户行为标签中筛选出与预设行为标签匹配的目标行为标签，该预设行为标签为与广告效果强相关的行为标签；然后依据带有目标行为标签的用户标识、目标行为标签以及与目标行为标签各自对应的特征变量集合，确定广告主数据。
107.与广告效果强相关的行为标签可根据广告主的实际需求进行确定，例如，用户在广告主系统中的购买行为标签可为与广告效果强相关的行为标签；再例如，用户在广告主系统中的新用户注册行为标签以及游戏行为标签可为与广告效果强相关的行为标签等。
108.通过这种可选方式，可筛选出更具有价值的广告主数据进一步优化广告投放模型。后续通过该广告投放模型制定的广告投放策略进行广告投放，可提高广告投放的精确度，进而提高了信息推荐的精确性。
109.上述实施例内容为在广告主节点侧描述的广告数据的安全处理过程，进一步的，为了完整说明本实施例的实施方式，本实施例还提供了另一种广告数据的安全处理方法，可应用于广告平台节点侧，如图3所示，该方法包括：
110.步骤301、广告平台节点向ca认证中心发送广告平台节点的可信硬件环境信息进行认证。
111.广告平台节点和广告主节点均预先设有可信执行环境。广告平台节点通过ca认证中心进行身份认证的过程，与广告主节点的认证过程类似，在此不再赘述。
112.步骤302、广告平台节点接收ca认证中心返回的认证成功信息，建立广告平台节点和广告主节点双方信任的点对点通信通道。
113.本实施例基于远程认证技术，保证广告协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露，从而保证了广告数据协作处理的安全性。
114.步骤303、在可信执行环境中，广告平台节点通过建立的点对点通信通道接收广告主节点发送的数据协作请求。
115.其中，数据协作请求中携带有广告主数据。
116.步骤304、在可信区内存储数据协作请求中携带的广告主数据，并结合广告平台对应记录的用户行为数据更新广告投放模型。
117.例如，广告投放模型的初始建立过程包括：广告平台用户根据用户的浏览行为等确定用户的标签，用户分层等策略来确定用户可能对哪些内容感兴趣；而对于搜索平台广告，如搜索引擎网站，可以根据用户的gps地理位置，ip地址，搜索关键词等信息，推荐对应关联的广告主内容；而对于内容平台，如新闻类应用，可以根据用户的查看新闻，文章，短视频等内容的偏好，来推荐关联的广告主内容；广告投放模型具体可使用到机器学习算法，比如逻辑回归，神经网络模型等。
118.对于广告投放模型的输入数据可以是当前用户的行为动作，比如搜索关键词，比如查看新闻，文章，小视频等；广告投放模型的输出数据可以是在当前的曝光域，推送广告主的广告；广告投放模型可预测的内容可以是与用户标签和动作关联度比较高的内容，也可以是随机的投放内容等。
119.与目前现有技术相比，本实施例基于可信执行环境安全的保护了参与广告协作双方的数据隐私，尤其是广告主的数据隐私。并且隐私保护基于硬件环境、不依赖复杂的安全算法不需要大量的计算资源。具体的，通过ca认证中心进行双方认证，双方认证成功后，建立双方信任的点对点通信通道。进而在可信执行环境中，通过双方信任的通信通道实现广告主数据回流给广告平台，并可优化广告投放模型，后续可实现更好的广告投放效果。通过本实施例方案，基于远程认证技术，保证广告协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露，从而保证了广告数据协作处理的安全性。
120.进一步的，作为上述实施例具体实施方式的细化和扩展，可选的，步骤302具体可包括：通过tls加密信道建立点对点通信，并通过交换rsa密钥发送密文校验对方的身份；若对广告主节点发送的密文验签成功，则确定广告主节点和广告平台节点双方的点对点通信通道成功建立。
121.通过这种方式建立得到的双方点对点通信通道可保证双方的安全通信，鉴别了参与广告数据协作处理的双方的身份特征，保证广告协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露。
122.另一方面，建立广告平台节点和广告主节点双方信任的点对点通信通道，具体还可包括：若在通过tls加密信道建立点对点通信阶段判定网络不可达，则继续发起重试，并在重试超过预设次数后终止；若对广告主节点发送的密文验签失败，则终止与广告主节点进行数据协作。
123.如果协作双方在建立点对点tls通信阶段发现网络不可达情况，则可以继续发起重试，重试超过一定次数(根据实际需求确定次数阈值)之后，则终止；如果协作双方在建立点对点tls通信阶段后，进入交换rsa秘钥，在验签密文阶段失败，表明很可能参与方的可信环境出现可疑，或者密文内容遭到篡改，导致验签不通过，这种情况，系统控制应该立即终止整个协作过程，以免被攻击或者导致数据泄露。
124.为了准确优化广告投放模型，可选的，步骤304具体可包括：将具有相同用户标识的用户行为数据和广告主数据进行组合(即根据双方各自私域数据，对模型训练所需的特征数据进行补全)，以生成训练集数据；然后利用该训练集数据迭代训练广告投放模型；若
训练得到的广告投放模型收敛，则确定广告投放模型更新完成。
125.进一步可选的，在步骤304之后，本实施例方法还可包括：基于待推荐用户当前的行为数据，利用更新后的广告投放模型确定向待推荐用户投放广告的投放策略信息；然后根据该投放策略信息进行广告投放。
126.待推荐用户当前的行为数据具体可包括：待推荐用户当前的gps地理位置、ip地址、搜索关键词、浏览的内容等中信息的一个或多个。然后可将该当前行为数据处理得到输入模型的数据，然后输入到广告投放模型中计算，得到该用户当前的曝光域可推送的广告主的广告信息。
127.为了说明上述各实施例的具体实施过程，给出如下应用场景，但不限于此：
128.广告主可为线上的外卖订购平台，而广告平台可为新闻类应用平台。为了实现在用户浏览该新闻类应用平台的页面时，判定合适时机向该用户推荐外卖订购平台的广告，需要广告主数据回流广告平台。目前主要基于密码学的方式，比如将广告主的用户关联键信息(手机号，设备指纹等等)做md5等加密形式，与广告主在其他的业务行为特征一起返回给广告平台，这样一来，广告主的数据处于裸奔状态，广告平台可以通过映射关系，反向遍历或数据推理广告主的数据逻辑，导致隐私数据和商业秘密泄露，甚至可能被恶意滥用，尤其是存在竞对关系的情况下，同时，广告rta(实时api)平台的数据回流机制，也存在合规隐患。
129.为了解决上述广告数据协作的数据安全问题，基于本实施例方法，从技术的手段提出了一种新型的解决方案，解决广告主数据回流rta平台的数据隐私和安全问题，同时确保广告平台更加合规。
130.如图4所示，可在广告主节点和广告平台节点预先布置可信多方计算平台(tmpc)的硬件和软件，可实现为协作处理的双方提供可信执行环境并建立信任通信，进而利用可信多方计算平台来解决跨私域数据融合、协作的技术问题。
131.通过可信多方计算平台，将双方私域数据分别加载到各自对应的本地可信区域，具体可加载到应用服务启动后的可信内存中。该可信区域内的数据仅可由可信多方计算平台访问，不允许其他恶意节点调用，保证了私域数据的安全性。
132.如图4所示，首先广告平台通过广告投放模型在用户端当前曝光域制定广告投放策略，按照该投放策略并进行广告投放。用户点击广告链接进入广告主业务系统，在该广告主业务系统中产生用户行为(id，y值)，其中，id表示用户标识(如手机号、设备指纹信息等)，y值为该用户标识对应用户的行为标签(可以是一个集合，代表一系列行为标签)。进而找到用户转化行为(如下载，注册，激活，下单
…
)。将用户转化行为(id，x值，y值)打包作为广告主数据。其中，x值可以是标签y对应的特征变量集合，如用户的年龄标签、职业标签、地理位置标签、购买偏好标签、收入能力标签、婚否标签、有房无房标签、购物频次标签等等特征变量集合。根据实际需求回吐哪些广告主数据，如有时只需要回吐一部分对广告效果强相关的那部分标签即可，即回吐部分x值。
133.将打包的广告主数据通过双方部署的可信计算节点进行通信，与广告平台侧记录的该用户标识对应的用户行为数据进行联合训练广告投放模型，进而实现优化广告投放模型的目的。具体的模型训练过程可如图5所示，首先广告主数据准备(id，x值，y值)，广告主可信计算节点发起数据协作请求，与广告平台可信计算节点之间实现建立安全计算加密通
信。广告平台可信计算节点接收数据协作请求，广告平台的数据管理(data management platform，dmp)数据加载(id，x值，y值)，然后广告平台rta广告效果优化模型加载，广告平台可信计算节点安全内存区保护加载的广告主数据。再然后执行优化广告投放模型训练，参数优化直至广告投放模型收敛，广告平台更新广告投放模型。
134.基于本实施例方案，提供一种基于tmpc可信计算技术底座的跨私域数据协作在广告平台的落地，解决当前广告行业数据安全和隐私问题，保护双方的数据安全。不同于传统的基于密码学数据加密，单向的广告主数据回流rta平台的方式；鉴别了参与广告协作双方的身份特征，避免恶意节点的加入；广告平台数据协作，模型训练，预测，调优都确保运行于可信执行环境，确保了隐私数据不被泄露，不被滥用，实现可用不可见；在保护私域隐私数据的同时，实现了用双方针对广告业务合作的商业目标。具体可有以下优点：
135.基于可信执行环境安全的保护参与广告协作双方的数据隐私，尤其是广告主的数据隐私；隐私保护基于硬件环境、不依赖复杂的安全算法不需要大量的计算资源；基于远程认证技术、保证广告协作的节点是可信性的，避免了恶意节点的加入，导致了数据泄露的风险；在可信执行环境内进行广告业务的数据协作，保证更安全的数据协作执行环境。
136.进一步的，作为图1所示方法的具体实现，本实施例提供了一种数据安全处理装置，如图6所示，该装置包括：配置模块41、发送模块42、建立模块43、处理模块44。
137.配置模块41，用于为参与协作双方的可信计算节点分别配置可信执行环境；
138.发送模块42，用于每个可信计算节点在启动时，分别向服务端发送自身的可信硬件环境信息进行认证；
139.建立模块43，用于若每个可信计算节点认证成功，则建立双方信任的点对点通信通道；
140.处理模块44，用于在可信执行环境中，通过所述点对点通信通道进行双方可信计算节点之间的通信，以便将双方的私域数据中同一用户在双方产生的关联行为数据进行联合处理。
141.在具体的应用场景中，处理模块44，具体用于在一方的私域数据中获取用户的第一行为数据，以及在另一方的私域数据中获取同一用户的第二行为数据，其中，所述第一行为数据与所述第二行为数据相关联，所述第一行为数据包含产生用户转化行为的数据，所述第二行为数据包含引导用户产生转化行为的数据；将所述第一行为数据和所述第二行为数据进行联合处理。
142.在具体的应用场景中，处理模块44，具体还用于对所述第一行为数据和所述第二行为数据进行数据清洗，包括：缺失值填写和特征筛选；将数据清洗后的所述第一行为数据和所述第二行为数据进行联合处理。
143.在具体的应用场景中，可选的，所述可信硬件环境信息包括：可信计算节点当前的硬件信息、节点间当前通信的私钥和软件版本。
144.在具体的应用场景中，建立模块43，具体用于通过安全传输层协议tls加密信道建立点对点通信，并通过交换rsa密钥发送密文校验对方的身份；若双方密文验签成功，则确定所述点对点通信通道成功建立。
145.在具体的应用场景中，建立模块43，具体还用于若在通过tls加密信道建立点对点通信阶段判定网络不可达，则继续发起重试，并在重试超过预设次数后终止；若至少一方密
frequency，rf)电路，传感器、音频电路、wi
‑
fi模块等等。用户接口可以包括显示屏(display)、输入单元比如键盘(keyboard)等，可选用户接口还可以包括usb接口、读卡器接口等。网络接口可选的可以包括标准的有线接口、无线接口(如wi
‑
fi接口)等。
160.本领域技术人员可以理解，本实施例提供的上述实体设备结构并不构成对该实体设备的限定，可以包括更多或更少的部件，或者组合某些部件，或者不同的部件布置。
161.存储介质中还可以包括操作系统、网络通信模块。操作系统是管理上述实体设备硬件和软件资源的程序，支持信息处理程序以及其它软件和/或程序的运行。网络通信模块用于实现存储介质内部各组件之间的通信，以及与信息处理实体设备中其它硬件和软件之间通信。
162.基于上述内容，进一步的，本技术实施例还提供了一种广告数据的安全处理系统，该系统包括广告主节点设备、广告平台节点设备；
163.其中，广告主节点设备可用于执行如图2所示的方法，广告平台节点设备可用于执行如图3所示的方法。
164.广告主节点设备，可用于向ca认证中心发送广告主节点设备的可信硬件环境信息进行认证，广告主节点设备和广告平台节点设备均预先设有可信执行环境；接收ca认证中心返回的认证成功信息，建立广告主节点设备和广告平台节点设备双方信任的点对点通信通道；在可信执行环境中，通过所述点对点通信通道向所述广告平台节点设备发送数据协作请求，所述数据协作请求中携带有广告主数据，以使得所述广告平台节点设备在可信区内存储所述广告主数据，并结合广告平台对应记录的用户行为数据更新广告投放模型；
165.广告平台节点设备，可用于向ca认证中心发送广告平台节点设备的可信硬件环境信息进行认证；接收ca认证中心返回的认证成功信息，建立广告平台节点设备和广告主节点设备双方信任的点对点通信通道；在可信执行环境中，通过所述点对点通信通道接收所述广告主节点设备发送的数据协作请求，所述数据协作请求中携带有广告主数据；在可信区内存储所述广告主数据，并结合广告平台对应记录的用户行为数据更新广告投放模型。
166.通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本技术可以借助软件加必要的通用硬件平台的方式来实现，也可以通过硬件实现。通过应用本实施例的技术方案，基于可信执行环境安全的保护了参与广告协作双方的数据隐私，尤其是广告主的数据隐私。并且隐私保护基于硬件环境、不依赖复杂的安全算法不需要大量的计算资源。通过本技术方案，基于远程认证技术，保证广告协作的节点是可信的，可有效避免恶意节点的加入，防止数据泄露，从而保证了广告数据协作处理的安全性。
167.本领域技术人员可以理解附图只是一个优选实施场景的示意图，附图中的模块或流程并不一定是实施本技术所必须的。本领域技术人员可以理解实施场景中的装置中的模块可以按照实施场景描述进行分布于实施场景的装置中，也可以进行相应变化位于不同于本实施场景的一个或多个装置中。上述实施场景的模块可以合并为一个模块，也可以进一步拆分成多个子模块。
168.上述本技术序号仅仅为了描述，不代表实施场景的优劣。以上公开的仅为本技术的几个具体实施场景，但是，本技术并非局限于此，任何本领域的技术人员能思之的变化都应落入本技术的保护范围。