用户数据的隐私保护验证的制作方法

1.本公开的实施例涉及用于用户数据的隐私保护验证(privacy preserving verification)的方法、第一用户设备、第二用户设备和数据处理系统。


背景技术：

2.客户或用户可以通过指定所参与实体(例如，用户和外部实体)之间的各种条件、服务和/或交互的智能合约与外部实体交互。
3.一些智能合约可能依赖于用户数据。此类智能合约可进一步提供对用户数据有效性的验证，以确保用户数据未被用户篡改(tamper，破坏)。为了验证用户数据的有效性，用户可能需要向外部实体透露用户数据。由于用户数据可能包含敏感的个人信息，因此用户的隐私能够通过向外部实体透露用户数据被侵犯。
4.此外，外部实体可能担心用户数据已被篡改。
5.第一文件(us 2008/0147502al)提出了用于接收或发送用户进行了由异常安排规定的体育训练的验证的概念。
6.然而，第一文件没有公开用于保护用户隐私的适当概念。该概念可能需要基于指示体育训练的明文用户数据的验证。
7.第二文件(wo 2019/032643 al)公开了用于处理基于绩效的医疗保健支付的概念。该概念提供由处理器接收来自计算设备的患者健康数据，由处理器确定患者健康数据满足合约条款的条件，并由处理器响应于确定患者健康数据满足条件而自动执行合约。这可能需要以破译的形式评估患者健康数据。因此，第二文件可能不提供用于保护患者/用户隐私的概念。
8.第三文件(us 2016/0142380 al)提出了一种使用动态生成的令牌来提供用户隐私和安全的概念，以在用户在计算机网络上的活动、交换或通信期间使用户的身份和动作匿名。
9.然而，第三文件提出的概念并没有提供解决办法来克服外部实体对用户数据被篡改的担忧。
10.第四文件(us 10 176 529 b2)公开了一种活动评估系统。评估系统包括电子评估模块，电子评估模块被配置为根据工人的活动数据确定工人的活动安全级别。此外，活动评估系统包括通信模块，用于向由第二实体操作的计算机系统提供活动数据和/或活动安全级别，以调整与风险相关的参数。
11.第四文件可能不提供用于保护用户隐私的概念。
12.第五文件(us 2018/0082041 al)提出了用于跟踪和报告与支付卡相关联的持卡人的健康数据的概念。健身支付卡具有健身跟踪组件和向支付网络报告健康数据的能力。
13.第五文件提出的概念可能不适于保护用户/持卡人的隐私。
14.因此，可能需要提供对用户数据的隐私保护验证的概念。


技术实现要素：

15.该需求可以由根据独立的权利要求的主题来满足。有利实施例由从属权利要求解决。
16.根据第一方面，本公开涉及一种方法。该方法包括，在第一用户设备处，从防篡改的第二用户设备接收用户数据。此外，该方法包括，在第一用户设备处，根据第一逻辑聚合用户数据，并将聚合的用户数据和用户数据发送到外部服务器。该方法进一步包括，在外部服务器处，验证使聚合的用户数据和用户数据彼此相关的第一逻辑是否对应于用于验证聚合的用户数据有效性的预限定的第二逻辑。
17.第一用户设备例如是个人计算机(pc)或移动电话。可选地，第一用户设备可以是任何其他可编程硬件。第一用户设备可以经由诸如蓝牙、近场通信(nfc)接口或网络路径的数据链路与第二用户设备耦接，以获得用户数据。
18.例如，用户数据可以包括一个或多个记录，如活动数据(例如旅行距离和/或步数)、健康数据(例如心率和/或血压)或个人信息(例如年龄)。此外，用户数据可以包括单个或多个记录，例如，每个记录指示连续天的每日步数。
19.第二用户设备例如是包括心率传感器、血压传感器、全球定位系统(gps)传感器、步数计数器和/或数据处理电路的活动跟踪器或移动设备，以通过监视用户获得用户数据。
20.例如，可以使用第二用户设备的私钥对用户数据进行签名。因此，可以将第二用户设备标识为用户数据的源。
21.第二用户设备是防篡改的，使得用户或第三方不能操纵用户数据。因此，用户可能无法增加包括在用户数据中的步数的数量或假装活动，例如以“非法方式”生成活动数据。
22.第一逻辑和/或第二逻辑可以指定用于聚合用户数据的规则和/或运算操作。例如，第一逻辑提供累加用户数据的顺序记录，例如每日步数。
23.通过将用户数据与聚合的用户数据进行比较，外部服务器可以确定根据第一逻辑对数字签名数据的聚合是否可与第二逻辑协调。
24.第二逻辑可以由外部实体限定。例如，可以结合用户和外部实体之间的智能合约来限定第二逻辑。
25.外部服务器可以被配置为经由网络路径或经由互联网连接到第一用户设备以发送聚合的用户数据和用户数据。
26.此外，外部服务器可以由可信的第三方操作，使得外部实体不能访问用户数据。外部实体可以(仅)访问数字签名和/或聚合的用户数据的验证结果。在一些实施例中，外部实体也不能访问聚合的用户数据。
27.因此，可以对外部实体保持用户的隐私。此外，该方法可以创建外部实体对数字签名和/或聚合的用户数据的有效性的置信度。
28.根据第二方面，本公开涉及第一用户设备。第一用户设备被配置为从防篡改的第二用户设备接收用户数据，并根据第一逻辑聚合用户数据。此外，第一用户设备被配置为将聚合的用户数据和用户数据发送到外部服务器，以验证使聚合的用户数据和用户数据彼此相关的第一逻辑是否对应于用于验证聚合的用户数据的有效性的预限定的第二逻辑。
29.根据第三方面，本公开涉及一种外部服务器，其被配置成接收用户数据和来自第一用户设备的聚合的用户数据。用户数据从防篡改的第二用户设备获得。此外，外部服务器
被配置为验证使聚合的用户数据和用户数据彼此相关的第一逻辑是否对应于用于验证聚合的用户数据的有效性的预限定的第二逻辑。
30.例如，第一用户设备和外部服务器可以如结合前述方法描述的那样配置。
31.根据第四方面，本公开涉及一种数据处理系统，其包括外部服务器和第一用户设备。第一用户设备被配置为从防篡改的第二用户设备接收用户数据，并从用户数据确定聚合的用户数据。此外，第一用户设备被配置为将聚合的用户数据和用户数据发送到外部服务器。外部服务器被配置为验证使聚合的用户数据和用户数据彼此相关的第一逻辑是否对应于用于验证聚合的用户数据的有效性的预限定的第二逻辑。
32.例如，可以使用数据处理系统来执行上述方法。
33.根据第五方面，本公开涉及一种计算机程序，该计算机程序包括当由至少一个处理器执行时使处理器执行上述方法的指令。
附图说明
34.以下将仅通过示例的方式并参考附图来描述设备和/或方法的一些示例，其中
35.图1示出了示意性地说明用于用户数据的隐私保护验证的方法的框图；
36.图2示出了数据共享系统的第一示例；
37.图3a示出了用户数据和数字签名加密用户数据的传输；
38.图3b示出了聚合的用户数据的验证；
39.图4示出了示意性地说明用于用户数据的隐私保护验证的方法的示例的框图；以及
40.图5示出了数据共享系统的第二示例。
具体实施方式
41.现在将参考附图更全面地描述各种示例，其中示出了一些示例。在图中，为了清楚起见，可以夸大线、层和/或区域的厚度。
42.因此，尽管进一步的示例能够进行各种修改和替代形式，但其一些特定示例在图中示出，并随后将详细描述。然而，本详细描述并不将进一步的示例限制到所描述的特定形式。进一步的示例可以涵盖落入本公开范围内的所有修改、等同物和替代方案。相同或相似的数字指的是在整个附图描述中相同或相似的元件，当相互比较时，它们可以相同地或以修改的形式实现，同时提供相同或相似的功能。
43.应当理解，当元件被称为与另一元件“连接”或“耦接”时，元件可以直接连接或经由一个或多个中间元件耦接。如果两个元件a和b使用“或”组合，这将被理解为揭示所有可能的组合，即只有a，只有b以及a和b，如果没有以其他方式明确或隐含地限定的话。相同组合的替代措辞是“a和b中的至少一者”或“a和/或b”。这同样适用于两个以上元件的组合。
44.此处用于描述特定示例的术语并不旨在限制进一步的示例。每当使用诸如“一个”“一种”和“所述”之类的单数形式并且仅使用单个元件既不显式也不隐式地限定为强制时，进一步的示例也可以使用多个元件来实现相同的功能。同样，当功能随后被描述为使用多个元件实现时，进一步的示例可以使用单个元件或处理实体实现相同的功能。将进一步理解，术语“包括”包含、“具有”和/或“含有”，当使用时，指定所述特征、整数、步骤、操作、过
程、动作、元件和/或组件的存在，但不排除一个或多个其他特征、整数、步骤、操作、过程、动作、元件、组件和/或其任何组的存在或添加。
45.除非另有限定，所有术语(包括技术和科学术语)在此以它们在本实施例所属的技术中的普通含义使用。
46.为了验证用户数据的有效性，例如与智能合约有关，用户可能需要向参与智能合约的外部实体透露用户数据。由于用户数据可能包含敏感的个人信息，因此通过向外部实体透露用户数据可能会侵犯用户的隐私。
47.此外，外部实体可能担心用户数据已被篡改。
48.因此，可能需要提供对用户数据的隐私保护验证的概念。
49.图1示意性地示出了用于用户数据的隐私保护验证的方法100。
50.该方法包括，在第一用户设备处，从防篡改的第二用户设备接收110用户数据，并根据第一逻辑聚合120用户数据。此外，方法100包括向外部服务器发送130聚合的用户数据和用户数据。
51.此外，方法100提供用于验证140使聚合的用户数据和用户数据彼此相关的第一逻辑是否对应于用于在外部服务器验证聚合的用户数据的有效性的预限定的第二逻辑。
52.如图2所示，外部服务器可以实现为数据处理系统200的云存储220。
53.数据处理系统200还包括作为第一用户设备的用户240的移动电话210。
54.移动电话210可以与第二用户设备230通信以发送用户数据。在所示示例中，第二用户设备230对应于活动跟踪器。
55.如图2所示，活动跟踪器230例如设计为腕带。
56.如图3a所示，用户数据310可以包括用户数据310的第一组312-1和至少一个第二组312-2。例如，用户数据310的第一组312-1和第二组312-1各自表示每日记录。在本公开的一些实施例中，用户数据310的第一组312-1和第二组312-2中的每个组可以包括多个记录。
57.活动跟踪器230可以将数字签名加密用户数据320传送到用户240的移动电话210。为此，活动跟踪器230可以对用户数据310进行加密和签名。活动跟踪器230例如用移动电话210的公钥对每日记录进行同态加密(homomorphically encrypt)。
58.可以用活动跟踪器230的私有(签名)密钥对用户数据310或加密用户数据进行签名，以获得数字签名加密用户数据320。
59.私有(签名密钥)可以由其制造商(物理地)嵌入到活动跟踪器230的硬件中。因此，数字签名加密用户数据320上的签名可以保证它们的真实性。
60.如图3b所示，移动电话210能够通过使用移动电话210的私钥解密数字签名加密用户数据320来恢复用户数据310。
61.因此，移动电话210可以根据生成(明文)聚合的用户数据330-1的第一逻辑聚合(明文)用户数据310，以便与预限定第二逻辑进行比较，如后面更详细地说明的。
62.例如，预限定的第二逻辑规定将用户数据310的第一组312-1和用户数据310的至少第二组312-2累加，以生成聚合的用户数据330-1。
63.此外，用户数据310的第一组312-1可以指示第一时间段，而用户数据310的第二组312-2可以指示第二时间段。
64.例如，用户数据310的第一组312-1和第二组312-2指示每日步数。
65.如图2和图3b中的箭头所示，移动电话210将数字签名加密用户数据320和聚合的用户数据330-1发送到云存储220。
66.为了验证，云存储220通过根据预限定的第二逻辑聚合从移动电话210接收的数字签名加密用户数据320，来确定第一加密聚合的用户数据330-3。
67.此外，云存储220通过对从移动电话210接收的聚合的用户数据330-1进行同态加密，来确定第二加密聚合的用户数据330-2。
68.因此，云存储可以通过检查第一加密聚合的用户数据330-3和第二加密聚合的用户数据330-2的对应性，来验证聚合的用户数据330-1数据的有效性。
69.由于第一加密聚合的用户数据330-3和第二加密聚合的用户数据330-2的同态加密，如果它们来自相同的用户数据310，并且如果第一逻辑对应于第二逻辑，则这些数据可以对应。此外，第一加密聚合的用户数据330-3和第二加密聚合的用户数据330-2的对应可以指示用户数据310的签名与活动跟踪器230的私钥匹配。
70.这可以使外部实体250获得关于聚合的用户数据330-1的有效性的确定性。同时，用户240不需要向外部实体250透露用户数据310的单个记录以验证聚合的用户数据330-1。此外，用户数据310的记录在任何时候都不公开性可见。
71.外部实体250例如是私人或公司。
72.随后，外部实体250可以访问(明文)聚合的用户数据330-1和验证结果，以检查聚合的用户数据330-1的有效性。
73.结合前述实施例描述的这个概念可以进一步实现用于验证聚合的用户数据330-1的非交互式但隐私保护的方式。
74.为了防止影响经数字签名加密用户数据320的预先计算攻击，用户数据310的加密可以提供向用户数据310的记录添加一些随机噪声。随机噪声可以比用户数据310的记录312-1和312-2的值低多个幅度，使得随机噪声对从数字签名加密用户数据320中提取的第一加密聚合的用户数据330-3和第二加密聚合的用户数据330-2没有影响。
75.因此，不能预先计算数字签名加密用户数据320，而聚合的用户数据330-1可能不受随机噪声的影响。
76.前述方法可以包括用户240和外部实体250之间的智能合约260。
77.依靠聚合的用户数据330-1的有效性，方法100还可以包括根据智能合约260触发用户240和外部实体250之间的交互，如图2所示。
78.该交互例如意味着用户240在外部实体250的产品上的退款和/或折扣。
79.出于透明度和安全性的原因，执行验证和/或存储/管理智能合约260的云存储220可以实现为区块链(系统)。
80.如图4和图5所示，方法100还可以包括将用户数据310和聚合的用户数据330-1提供给零知识证明(zkp)证明函数(作为输入)，用于生成密码证明510，密码证明510表示聚合的用户数据330-1是否根据第二逻辑基于用户数据310计算，而不包含或揭示用户数据310和聚合的用户数据330-1。这例如由移动电话210使用上述用于生成密码证明510的证明函数运行(适当的)证明程序或“zkp证明器”来执行。
81.换句话说，用户例如运行“zkp证明器”程序，该程序将用户数据310和聚集的用户数据330-1作为输入，以生成密码证明510。例如，密码证明510是零知识简明非交互式知识
论证(zk-snark)，其不显式地包含用户数据310和/或聚合的用户数据330-1。
82.此外，移动电话210可以将聚合的用户数据330-1和密码证明510发送到外部实体。因此，例如，移动电话210本身不发送用户数据310。
83.密码证明510允许验证聚合的用户数据330-1是基于例如提供累加用户数据310的第二逻辑生成的。
84.因此，密码证明510可以被理解为(约定的)计算的证明。
85.此外，方法100可以包括使用与zkp证明函数相关的zkp验证函数从密码证明510获得160二进制值。在该上下文中，zkp验证函数可以被理解为“与zkp证明函数相关”，使得zkp验证函数被配置或专用于验证由zkp证明函数生成的密码证明。
86.二进制值指示表示用户数据310的聚合的第一逻辑是否对应于预限定的第二逻辑。因此，二进制值表示聚合的用户数据330-1的有效性。
87.例如，外部实体250运行“zkp验证器”程序，该程序将密码证明510和聚合的用户数据330-1作为输入，用于验证聚合的用户数据330-1是否根据预限定的第二逻辑从用户数据310的聚合中产生。
88.在密码学中，第一方(证明者)可以使用零知识证明向另一方(验证者)证明他们知道值x，而不传递除了他们知道值x的事实之外的任何信息。
89.根据以多个概念中的一者(例如基于值的离散对数、图的哈密顿循环、(非)交互式零知识证明)用于生成密码证明510，可以对可以理解为zkp证明函数的输入的用户数据310和聚合的用户数据330-1应用各种数学运算。
90.如在图5中可以看到的，移动电话210可以将密码证明510传送到区块链220。
91.例如，区块链220被配置为使用zkp验证功能从密码证明510和聚合的用户数据330-1获得二进制值。例如，二进制值是布尔值。
92.根据其状态(例如“正确”或“错误”)，布尔值指示第一逻辑是否与预限定的第二逻辑相对应(“正确”)或(“错误”)。因此，布尔值可以隐式地指示聚合的用户数据的有效性。
93.随后，例如，移动电话210可以直接或经由区块链220将聚合的用户数据330-1发送到外部实体250，以便触发由智能合约260限定的交互。
94.与方法100的前述实施例一样，结合密码证明510的这个概念可以实现对聚合的用户数据330-1的非交互式的、隐私保护的验证，因为与已知概念相比，暴露给外部服务器的信息量可以减少。
95.受益于本公开的技术人员将认识到，使用密码证明510来验证聚合的用户数据330-1的有效性的上述概念可以适用于本公开中上述的各种使用情况。
96.与一个或多个先前详细的示例和图一起提及和描述的方面和特征还可以与一个或多个其他示例相结合，以便替换另一个示例的类似特征或为了将该特征附加地引入另一个示例。
97.示例还可以是或涉及具有用于在计算机或处理器上执行计算机程序时形成上述方法中的一个或多个的程序代码的计算机程序。各种上述方法的步骤、操作或过程可由编程计算机或处理器执行。示例还可以包括诸如数字数据存储介质的电子存储设备，其是机器、处理器或计算机可读的，并对指令的机器可执行、处理器可执行或计算机可执行程序进行编码。所述指令执行或导致执行上述方法的一些或全部行为。程序存储设备可以包括或
为例如数字存储器、诸如磁盘和磁带的磁存储介质、硬盘驱动器或光学可读数字数据存储介质。进一步的示例还可能包括被编程以执行上述方法的计算机、处理器或控制单元，或(场)可编程逻辑阵列((f)pla)或(场)可编程序门阵列((f)pga)，被编程以执行上述方法的操作。
98.描述和附图仅说明本公开的原理。此外，这里所列举的所有示例主要是明确地仅用于说明性的说明，以帮助读者理解本发明的原理和发明人为进一步推进本领域而贡献的概念。在此陈述本公开的原理、方面和示例的所有陈述及其具体示例旨在包括其等同物。
99.表示为执行某一功能的“用于
……
的装置”的功能块可以指被配置为执行某一功能的电路。因此，“用于一些事物(s.th)的装置”可以被实现为“被配置为或适合于一些事物的装置”，例如被设计为或适合于各自任务的设备或电路。
100.附图中所示的各种元件的功能，包括被标记为“装置”、“用于提供信号的装置”、“用于产生信号的装置”等的任何功能块，可以以专用硬件的形式实现，例如“信号提供器”、“信号处理单元”、“处理器”、“控制器”等，以及能够执行与适当软件相关联的软件的硬件。当由处理器提供时，功能可以由单个专用处理器、单个共享处理器或多个单独的处理器提供，其中一些或所有处理器可以共享。然而，术语“处理器”或“控制器”远不限于仅能执行软件的硬件，而是可以包括数字信号处理器(dsp)硬件、网络处理器、专用集成电路(asic)、现场可编程门阵列(fpga)、存储软件的只读存储器(rom)、随机存取存储器(ram)和非易失性存储器。也可以包括其他常规的和/或定制的硬件。
101.以下示例涉及进一步的实施例：
102.(1)一种方法，包括：
103.在第一用户设备处：
104.从防篡改的第二用户设备接收用户数据；
105.根据第一逻辑聚合所述用户数据；
106.将聚合的用户数据和用户数据发送到外部服务器；
107.在所述外部服务器处：
108.验证使所述聚合的用户数据和所述用户数据彼此相关的所述第一逻辑是否对应于用于验证所述聚合的用户数据有效性的预限定的第二逻辑。
109.(2)根据(1)的方法，其中，方法进一步包括：
110.通过对用户数据进行同态加密生成加密用户数据，
111.通过对加密用户数据进行签名来生成数字签名加密用户数据，
112.其中，发送用户数据包括发送数字签名加密用户数据；以及
113.其中，验证第一逻辑是否对应于预限定的第二逻辑包括：
114.根据预限定的第二逻辑，通过聚合从第一用户设备接收的数字签名加密用户数据来确定第一加密聚合的用户数据；
115.通过对从第一用户设备接收的聚合的用户数据进行同态加密来确定第二加密聚合的用户数据；以及
116.通过检查第一加密聚合的用户数据和第二加密聚合的用户数据的对应性来验证聚合的用户数据的有效性。
117.(3)根据(1)的方法，其中，方法进一步包括：
118.作为基于存储在第一用户设备上的元数据的函数，将用户数据和聚合的用户数据提供给零知识证明协议，用于将聚合的用户数据是基于用户数据计算的密码证明发送到外部服务器；以及
119.使用密码证明和存储在外部服务器上的元数据从零知识证明协议获得二进制值，其中二进制值指示第一逻辑是否对应于预限定的第二逻辑，以验证聚合的用户数据的有效性。
120.(4)如(1)至(3)中任一项的方法，其中，方法还包括将聚合的用户数据存储在外部服务器上实现的区块链中。
121.(5)如(1)至(4)中任一项的方法，其中方法包括用户与外部实体之间的智能合约，并且其中方法进一步包括
122.根据聚合的用户数据的有效性，根据智能合约触发用户与外部实体之间的交互。
123.(6)如(1)至(5)中任一项的方法，其中预限定的第二逻辑规定累加第一组用户数据和至少第二组用户数据。
124.(7)根据(1)至(6)中任一项的方法，其中用户数据包括指示第一时间段的第一组用户数据和指示第二时间段的至少第二组用户数据。
125.(8)如(1)至(7)中任一项的方法，其中用户数据指的是步数。
126.(9)一种第一用户设备，被配置为：
127.从防篡改的第二用户设备接收用户数据；
128.根据第一逻辑聚合用户数据；
129.将聚合的用户数据和用户数据发送到外部服务器，用于验证使聚合的用户数据和用户数据彼此相关的第一逻辑是否对应于用于验证聚合的用户数据有效性的预限定的第二逻辑。
130.(10)一种外部服务器，被配置为：
131.从第一用户设备接收用户数据和聚合的用户数据，其中，用户数据从防篡改的第二用户设备获得；以及
132.验证使聚合的用户数据和用户数据彼此相关的第一逻辑是否对应于用于验证聚合的用户数据有效性的预限定的第二逻辑。
133.(11)一种数据处理系统，包括：
134.外部服务器；以及
135.第一用户设备，所述第一用户设备被配置为：
136.从防篡改的第二用户设备接收用户数据；
137.从用户数据确定聚合的用户数据；以及
138.将聚合的用户数据和用户数据发送到外部服务器，其中，外部服务器被配置为验证使聚合的用户数据和用户数据相互相关的第一逻辑是否对应于用于验证聚合的用户数据有效性的预限定的第二逻辑。
139.(12)一种包括指令的计算机程序，当由至少一个处理器执行时，该指令使处理器执行(1)的方法。
140.例如，框图可以示出实现本公开的原理的高级电路图。类似地，流程图、流程附图、状态转换图、伪代码等可以表示各种过程、操作或步骤，例如，这些过程、操作和步骤可以基
本上在计算机可读介质中表示，并由计算机或处理器执行，无论是否明显地示出了此类计算机或处理器。本说明书或权利要求书中公开的方法可以通过具有用于执行这些方法的各个动作中的每个动作的装置的设备来实现。
141.应理解，说明书或权利要求书中公开的多个动作、过程、操作、步骤或功能的公开可不被解释为在特定顺序内，除非明确或隐含地另有说明，例如出于技术原因。因此，公开多个行为或功能不会将这些行为或功能限制在一个特定的顺序上，除非这些行为或功能由于技术原因不能互换。此外，在一些示例中，单个行为、功能、过程、操作或步骤可以包括或可以分别分解为多个子行为、子-功能、子-过程、子-操作或-子步骤。除非明确排除，否则这些子行为可以包括在本单一行为的公开中，并成为公开的一部分。
142.此外，所附权利要求在此被合并到详细描述中，其中每个权利要求可以单独作为单独的示例。虽然每个权利要求可以单独作为一个单独的示例，但应当注意，尽管从属权利要求在权利要求中可以指代与一个或多个其他权利要求的特定组合，但其他示例也可以包括从属权利要求与每个其他从属或独立权利要求的主题的组合。这样的组合在此被明确提出，除非声明不打算进行特定的组合。此外，它还旨在包括任何其他独立权利要求的权利要求的特征，即使该权利要求并不直接依赖于独立权利要求。