隐私数据处理方法及装置与流程

1.本说明书实施例涉及计算机技术领域，具体地，涉及隐私数据处理方法及装置。


背景技术：

2.用户的隐私数据通常分布在该用户使用的若干机构的业务系统中。任意的该业务系统例如可以为购物系统、理财系统、保险系统或支付系统，等等。当其他机构需要使用用户隐私数据时，一般直接与该若干机构中的机构协商，从而从该机构处获得所需的数据。


技术实现要素：

3.本说明书实施例提供了隐私数据处理方法及装置，能在尊重用户意愿的前提下，帮助多方进行用户隐私数据有效流转，并且保障用户隐私数据流转过程的隐私安全。
4.第一方面，本说明书实施例提供了一种隐私数据处理方法，应用于隐私计算平台，包括：接收第一机构提交的对目标用户的隐私数据的授权申请；将所述授权申请发送至所述目标用户的用户设备；响应于接收到所述用户设备发送的授权声明，基于所述授权声明，从所述目标用户使用的数据存储端获取密文隐私数据；所述授权声明包括所述第一机构的信息；基于所述密文隐私数据，生成密文结果数据；将所述密文结果数据返回给所述第一机构。
5.在一些实施例中，在接收第一机构提交的对目标用户的隐私数据的授权申请之前，还包括：从所述用户设备接收所述目标用户的信息发布请求；所述信息发布请求包括所述目标用户的用户标识和隐私数据的相关信息；对所述用户标识和所述相关信息进行关联存储。
6.在一些实施例中，所述授权申请包括数据使用方式；所述授权声明中还包括以下至少一项：数据类别、数据范围、数据使用方式。
7.在一些实施例中，所述相关信息包括所述数据类别和对应于所述数据类别的数据价值信息。
8.在一些实施例中，所述授权申请还包括所述数据类别，以及所述第一机构提供的对应于所述数据类别的数据价值信息。
9.在一些实施例中，在将所述密文结果数据返回给所述第一机构之后，还包括：基于所述数据价值信息，为所述目标用户进行价值分配。
10.在一些实施例中，在将所述密文结果数据返回给所述第一机构之后，还包括：将以下至少一项存储至区块链：所述授权声明、所述密文隐私数据对应的明文隐私数据的哈希值、时间信息；所述时间信息包括以下至少一项：所述授权声明的颁发时间、所述授权声明的接收时间、所述密文隐私数据的接收时间、所述密文结果数据的发送时间。
11.在一些实施例中，所述隐私计算平台保存有所述目标用户提供的数据存储端地址；以及所述从所述目标用户使用的数据存储端获取密文隐私数据，包括：从所述数据存储端地址指示的数据存储端获取密文隐私数据。
12.在一些实施例中，所述授权声明还包括所述目标用户的用户标识，并且添加有所述目标用户的第一签名；以及所述基于所述授权声明，从所述目标用户使用的数据存储端获取密文隐私数据，包括：向所述数据存储端发送数据获取请求；所述数据获取请求包括添加有第一签名的所述授权声明；接收所述数据存储端在对所述第一签名验证通过后返回的密文隐私数据。
13.在一些实施例中，所述第一机构的信息包括机构标识，所述用户标识和所述机构标识均为去中心化身份标识。
14.在一些实施例中，所述隐私计算平台中包括可信执行环境tee单元；以及所述基于所述密文隐私数据，生成密文结果数据，包括：所述tee单元基于所述密文隐私数据，生成密文结果数据。
15.在一些实施例中，所述授权申请包括数据使用方式；以及所述基于所述密文隐私数据，生成密文结果数据，包括：对所述密文隐私数据进行解密，得到明文隐私数据；基于所述数据使用方式对所述明文隐私数据进行处理，生成密文结果数据。
16.在一些实施例中，所述方法还包括：从所述数据存储端获取其为所述密文隐私数据生成的第二签名；所述tee单元对所述第二签名进行验证；所述对所述密文隐私数据进行解密，包括：响应于所述第二签名通过验证，对所述密文隐私数据进行解密。
17.在一些实施例中，所述数据存储端保存有所述tee单元的第一公钥，所述密文隐私数据通过利用所述第一公钥对所述明文隐私数据进行加密而获得；以及所述对所述密文隐私数据进行解密，包括：所述tee单元利用其第一私钥对所述密文隐私数据进行解密。
18.在一些实施例中，所述数据使用方式为使用原文；以及所述基于所述数据使用方式对所述明文隐私数据进行处理，生成密文结果数据，包括：将预先保存的所述第一机构的第二公钥提供给所述tee单元；所述tee单元利用所述第二公钥对所述明文隐私数据进行加密，得到密文结果数据。
19.在一些实施例中，所述数据使用方式为使用隐私计算结果，所述隐私计算平台保存有所述第一机构提供的对应于所述数据使用方式的隐私计算算法；以及所述基于所述数据使用方式对所述明文隐私数据进行处理，生成密文结果数据，包括：利用所述隐私计算算法对所述明文隐私数据进行计算处理，得到计算结果；将预先保存的所述第一机构的第二公钥提供给所述tee单元；所述tee单元利用所述第二公钥对所述计算结果进行加密，得到密文结果数据。
20.在一些实施例中，所述数据存储端保存有所述目标用户托管的若干数据类别的隐私数据；所述若干数据类别的隐私数据，来源于所述目标用户使用的若干机构的业务系统，是所述用户设备通过可信采集方式从所述业务系统采集的。
21.在一些实施例中，所述若干机构包括第二机构，所述第二机构的业务系统包括所述第二机构对外开放的数据接口，所述数据接口用于供用户下载数据并对数据进行签名；所述若干数据类别的隐私数据中来源于该业务系统的隐私数据，是所述用户设备通过调用所述数据接口采集的，并且关联有签名。
22.在一些实施例中，所述若干机构包括第三机构，所述若干数据类别的隐私数据中来源于所述第三机构的业务系统的隐私数据，是所述用户设备通过可信证明技术从该业务系统采集的。
23.第二方面，本说明书实施例提供了一种隐私数据处理方法，包括：隐私计算平台接收第一机构提交的对目标用户的隐私数据的授权申请，并将所述授权申请发送至所述目标用户的用户设备；所述用户设备在所述目标用户同意所述授权申请后，生成包括所述第一机构的信息的授权声明，并将所述授权声明发送至所述隐私计算平台；所述隐私计算平台向所述目标用户使用的数据存储端发送数据获取请求；所述数据获取请求包括所述授权声明；所述数据存储端基于所述授权声明，对本地保存的所述目标用户的隐私数据进行处理，生成密文隐私数据，并将所述密文隐私数据发送至所述隐私计算平台；所述隐私计算平台基于所述密文隐私数据生成密文结果数据，并将所述密文结果数据返回给所述第一机构。
24.第三方面，本说明书实施例提供了一种隐私数据处理装置，应用于隐私计算平台，包括：接收单元，被配置成接收第一机构提交的对目标用户的隐私数据的授权申请；发送单元，被配置成将所述授权申请发送至所述目标用户的用户设备；获取单元，被配置成响应于接收到所述用户设备发送的授权声明，基于所述授权声明，从所述目标用户使用的数据存储端获取密文隐私数据；所述授权声明包括所述第一机构的信息；生成单元，被配置成基于所述密文隐私数据，生成密文结果数据；所述发送单元，还被配置成将所述密文结果数据返回给所述第一机构。
25.第四方面，本说明书实施例提供了一种计算机可读存储介质，其上存储有计算机程序，其中，当该计算机程序在计算机中执行时，令该计算机执行如第一方面中任一实现方式描述的方法。
26.第五方面，本说明书实施例提供了一种计算设备，包括存储器和处理器，其中，该存储器中存储有可执行代码，该处理器执行该可执行代码时，实现如第一方面中任一实现方式描述的方法。
27.第六方面，本说明书实施例提供了一种计算机程序，其中，当该计算机程序在计算机中执行时，令该计算机执行如第一方面中任一实现方式描述的方法。
28.本说明书的上述实施例提供的方案，可以使得隐私计算平台对接有数据使用需求的机构(如前文中的第一机构)的机构设备，作为数据所有者的用户(如前文中的目标用户)的用户设备，以及该用户使用的数据存储端。在该方案中，隐私计算平台在接收到第一机构提交的对目标用户的隐私数据的授权申请后，通过将授权申请发送至目标用户的用户设备，可以使得目标用户判断是否进行授权，如此能尊重目标用户的意愿。在目标用户同意该授权申请后，用户设备可以生成包括第一机构的信息的授权声明，并将授权声明发送至隐私计算平台，以使得隐私计算平台基于授权声明从目标用户使用的数据存储端获取密文隐私数据，并基于密文隐私数据生成密文结果数据，以及将密文结果数据返回给第一机构。由于隐私计算平台从数据存储端获取的隐私数据和向第一机构返回的隐私数据均为密文数据，因而能保障用户隐私数据流转过程的隐私安全。因此，该方案能在尊重用户意愿的前提下，帮助多方进行用户隐私数据有效流转，并且保障用户隐私数据流转过程的隐私安全。
附图说明
29.为了更清楚地说明本说明书披露的多个实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书披露的多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据
这些附图获得其它的附图。
30.图1是本说明书的一些实施例可以应用于其中的一个示例性系统架构图；
31.图2是隐私数据处理方法的一个实施例的示意图；
32.图3是隐私数据处理方法的一个实施例的示意图；
33.图4是隐私数据处理装置的一个结构示意图。
具体实施方式
34.下面结合附图和实施例对本说明书作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。所描述的实施例仅仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
35.需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。在不冲突的情况下，本说明书中的实施例及实施例中的特征可以相互组合。
36.如前所述，用户的隐私数据通常分布在该用户使用的若干机构的业务系统中。当其他机构需要使用用户隐私数据时，一般直接与该若干机构中的机构协商，从而从该机构处获得所需的数据。这样的隐私数据获取过程，会跳过用户，不尊重用户的意愿。
37.基于此，本说明书的一些实施例提供了隐私数据处理方法，能在尊重用户意愿的前提下，帮助多方进行用户隐私数据有效流转，并且保障用户隐私数据流转过程的隐私安全。
38.参看图1，其为适用于本说明书的一些实施例的示例性系统架构图。如图1所示，其示出的示例性系统架构可以包括，作为数据所有者的用户user1的用户设备101，user1使用的若干机构的业务系统(如图1中所示的机构a的业务系统102和机构b的业务系统103)，user1使用的数据存储端(如图1中所示的隐私数据中心104)，隐私计算平台105，以及有数据使用需求的机构c的机构设备106。
39.其中，任意的该业务系统例如可以为购物系统、理财系统、保险系统或支付系统，等等。在user1使用的业务系统包括购物系统时，对该购物系统来说，user1可以是入驻该购物系统的商家，或者是该购物系统中的普通用户(如买家)。
40.隐私数据中心(private data hub，pdh)104，是帮助用户存储管理隐私数据的仓库，可以实现为云服务或安装在用户设备上的客户端应用。隐私数据中心104可以对隐私数据进行分类管理，并且有校验用户授权声明的能力。
41.隐私计算平台105可以称为隐私数据撮合平台。隐私计算平台105可以支持数据所有者在平台上发布自己拥有的隐私数据的相关信息，以及支持有数据使用需求的机构在平台上查找需要的数据，并申请授权。另外，隐私计算平台105可以从数据所有者的pdh将加密后的数据拉取下来，并提供隐私计算能力。
42.机构c可以是任意类别的机构，例如可以是银行机构，或者用于大数据分析的机构，等等。以银行机构为例，银行机构在接收到用户的贷款申请后，通过申请使用该用户的隐私数据，可以将该隐私数据用于评估该用户的贷款额度。机构c的机构设备106可以是终端设备或服务器，在此不做具体限定。
43.需要说明，为了便于描述，仅在图1中示出了一个作为数据所有者的用户和一个有
数据使用需求的机构。应该理解，隐私计算平台105可以支持多个用户进行隐私数据相关信息的发布，以及支持一个或多个有数据使用需求的机构申请隐私数据授权。
44.在从隐私数据采集到隐私数据使用的全链路中，user1可以使用其用户设备101，通过可信采集方式从业务系统102、103中采集user1的隐私数据。其中，通过可信采集方式采集的隐私数据，可以被他人验证是从相应的业务系统下载的，并且数据所有者也无法进行篡改，保障了隐私数据的可信性。
45.接着，user1可以通过用户设备101将自己的隐私数据托管到隐私数据中心104。之后，若user1想要使得自己的隐私数据能够被他人使用，例如被他人有偿使用等，则可以通过用户设备101向隐私计算平台105发布隐私数据的相关信息，从而使得隐私计算平台105存储该相关信息。其中，在隐私计算平台105中，该相关信息可供有数据使用需求的机构查看。
46.当机构c查看到该相关信息，并想要获得该相关信息对应的隐私数据的授权时，可以通过机构设备106向隐私计算平台105发送对user1的隐私数据的授权申请。之后，隐私计算平台105可以将该授权申请发送至用户设备101。用户设备101在user1同意该授权申请后，可以为第一机构生成授权声明，并将授权声明发送至隐私计算平台105。接着，隐私计算平台105可以基于授权声明，从隐私数据中心104获取密文隐私数据，并基于密文隐私数据生成密文结果数据，以及将该密文结果数据返回给机构c。
47.通过采用以上描述的隐私数据处理过程，能在尊重user1意愿的前提下，帮助多方进行用户隐私数据有效流转，并且保障用户隐私数据流转过程的隐私安全。
48.本说明书实施例提供的方案，可以分为隐私数据准备阶段和隐私数据使用阶段。
49.下面，先结合图2，介绍隐私数据准备阶段的相关内容。
50.参看图2，其示出了隐私数据处理方法的一个实施例的示意图。该方法包括以下步骤：
51.步骤202，目标用户的用户设备通过可信采集方式，从目标用户使用的若干机构的业务系统采集隐私数据；
52.步骤204，用户设备将所采集的隐私数据发送至目标用户使用的数据存储端；
53.步骤206，数据存储端保存所接收的隐私数据。
54.步骤208，用户设备向隐私计算平台发送目标用户的信息发布请求；信息发布请求包括目标用户的用户标识和隐私数据的相关信息；
55.步骤210，隐私计算平台对用户标识和上述相关信息进行关联存储。
56.下面，对步骤202-210做进一步说明。
57.在步骤202中，用户设备可以通过可信采集方式，从目标用户使用的若干机构的业务系统采集隐私数据，例如采集若干数据类别的隐私数据。其中，单个数据类别例如可以为订单数据、支付数据、理财数据或保险数据，等等。应该理解，数据类别可根据实际需求划分，在此不做具体限定。
58.通过可信采集方式采集的隐私数据，可以被他人验证是从相应的业务系统下载的，并且数据所有者也无法进行篡改，保障了隐私数据的可信性。
59.在一个例子中，上述若干机构中某个机构(可称为第二机构)的业务系统，可以包括该机构对外开放的数据接口。该数据接口可用于供用户下载数据并对数据进行签名。用
户设备可以通过调用第二机构的业务系统的该数据接口，从该业务系统采集目标用户的隐私数据。其中，该隐私数据关联有签名。该签名可以具体是第二机构的签名。
60.在另一个例子中，上述若干机构中某个机构(可称为第三机构)的业务系统，不具有如前所述的数据接口。用户设备可以通过可信证明技术，从第三机构的业务系统采集目标用户的隐私数据。其中，该可信证明技术包括但不限于tlsnotoray证明技术。tlsnotary可以利用tls1.1协议的机制，引入第三方作为审核方，从而提高数据的可信性。由于tlsnotoray证明技术是公知技术，因而在此不再赘述。
61.接着，在步骤204中，用户设备可以将所采集的隐私数据发送至目标用户使用的数据存储端。具体地，目标用户可以通过用户设备对从上述若干机构的业务系统采集的隐私数据进行汇总，而后将汇总后的隐私数据发送至该数据存储端。其中，该数据存储端可以为前文中描述的隐私数据中心。
62.接着，在步骤206中，数据存储端可以保存所接收的隐私数据，例如，可以对所接收的隐私数据进行分类存储。
63.需要说明，在数据存储端不位于用户设备本地时，例如数据存储端为云服务，为了确保隐私数据在传输过程中的安全性，用户设备可以利用预先保存的数据存储端的公钥，对所采集的隐私数据进行加密，而后将加密结果发送至数据存储端。之后，数据存储端可以利用其私钥对该加密结果进行解密，得到解密出的隐私数据，并保存该隐私数据。
64.进一步地，为了确保隐私数据的完整性，用户设备在得到该加密结果后，可以利用目标用户的私钥为该加密结果生成签名，并将该加密结果和该签名发送至数据存储端。之后，数据存储端可以利用预先保存的目标用户的公钥对该签名进行验证，并在该签名通过验证后，利用自己的私钥对该加密结果进行解密，得到解密出的隐私数据，并保存该隐私数据。
65.在将隐私数据托管到数据存储端之后，若目标用户想要使得自己的隐私数据能够被他人使用，例如被他人有偿使用等，则可以使用用户设备执行步骤208。在步骤208中，用户设备可以向隐私计算平台发送目标用户的信息发布请求。该信息发布请求可以包括目标用户的用户标识和隐私数据的相关信息。该相关信息例如可以包括数据类别。进一步地，该相关信息还可以包括对应于该数据类别的数据价值信息。该数据价值信息例如可以指示出，他人使用该数据类别的隐私数据应支付的费用。接着，在步骤210中，隐私计算平台可以对目标用户的用户标识和该相关信息进行关联存储。
66.图2对应的实施例提供的隐私数据处理方法，可以实现对用户隐私数据的可信采集，以及对隐私数据的相关信息的发布。其中，可信采集的隐私数据，能被他人验证是从相应的业务系统下载的，并且数据所有者也无法进行篡改，保障了数据的可信性。
67.实践中，存储于隐私计算平台中的该相关信息，可供有数据使用需求的机构查看。对于任意的有数据使用需求的机构(可称为第一机构)，当该机构查看到该相关信息，并想要获得该相关信息对应的隐私数据的授权时，可以进入隐私数据使用阶段。
68.下面，结合图3，介绍隐私数据使用阶段的相关内容。
69.参看图3，其示出了隐私数据处理方法的一个实施例的示意图。该方法包括以下步骤：
70.步骤302，第一机构的机构设备向隐私计算平台发送对目标用户的隐私数据的授
权申请；
71.步骤304，隐私计算平台将授权申请发送至目标用户的用户设备；
72.步骤306，用户设备在目标用户同意授权申请后，生成包括第一机构的信息的授权声明；
73.步骤308，用户设备将授权声明发送至隐私计算平台；
74.步骤310，隐私计算平台向目标用户使用的数据存储端发送数据获取请求；数据获取请求包括授权声明；
75.步骤312，数据存储端基于授权声明，对本地保存的目标用户的隐私数据进行处理，生成密文隐私数据；
76.步骤314，数据存储端将密文隐私数据发送至隐私计算平台；
77.步骤316，隐私计算平台基于密文隐私数据生成密文结果数据；
78.步骤318，隐私计算平台将密文结果数据返回给第一机构。
79.下面，对步骤302-318做进一步说明。
80.在步骤302中，第一机构的机构设备可以向隐私计算平台发送对目标用户的隐私数据的授权申请。由此，隐私计算平台可以接收第一机构提交的该授权申请。
81.该授权申请可以包括数据使用方式。该数据使用方式例如可以为使用原文或使用隐私计算结果。进一步地，该授权申请还可以包括但不限于以下至少一项：目标用户的用户标识、第一机构的信息、数据类别、第一机构提供的对应于该数据类别的数据价值信息。其中，第一机构的信息例如可以包括第一机构的机构标识。该数据类别为第一机构申请的隐私数据所归属的数据类别。该数据价值信息可以指示出，第一机构为使用该数据类别的隐私数据而愿意支付的费用。
82.需要说明，目标用户的用户标识和第一机构的机构标识，可以均为去中心化身份标识(decentralized identifier，did)。其中，该去中心化身份标识也可称为去中化标识符或分布式身份标识。
83.在本说明书实施例中，例如可以通过dis(decentralized identity service，分布式身份服务)结合区块链的方式为各个机构、用户创建数字身份。区块链可以提供去中心化(或弱中心化)的、不可篡改(或难以篡改)的、可信的分布式账本，并可以提供安全、稳定、透明、可审计且高效的记录交易以及数据信息交互的方式。区块链网络可以包括多个节点。一般来说区块链的一个或多个节点归属于一个参与方。笼统的说，区块链网络的参与方越多，参与方越权威，区块链网络的可信程度越高。这里称多个参与方构成的区块链网络为区块链平台。借助区块链平台，可以帮助机构、用户验证身份。
84.以机构为例，为了使用区块链平台提供的分布式数字身份服务，机构可以将自身的身份在区块链平台中登记。例如，机构c可以创建一对公钥和私钥，私钥保密存储，并可以创建一个去中心化身份标识。可以由机构c自己创建did，也可以请求dis系统来创建did。dis是一种基于区块链的身份管理方案，可以提供数字身份的创建、验证和管理等功能，从而实现规范化地管理和保护实体数据，同时保证信息流转的真实性和效率，并可以解决跨机构的身份认证和数据合作等难题。dis系统可以与区块链平台相连。通过dis系统可以为机构c创建一个did，并将该did和所述公钥发送至区块链平台保存，还将该创建的did返回给机构c。所述公钥可以包含到diddoc中，所述diddoc可以存储于区块链平台中。dis为机构
c创建did，可以基于机构c发来的公钥创建，例如采用hash函数对所述机构c的公钥进行计算后创建，也可以根据机构c的其它信息(可以包括所述公钥或不包括所述公钥)创建。后者可能需要机构c提供一些公钥之外的信息。之后，机构c可以提供验证功能，从而向其它方证明自身是机构c。
85.接着，在步骤304中，隐私计算平台可以将授权申请发送至目标用户的用户设备。而后，用户设备例如可以向目标用户展示授权申请，以供目标用户判断是否进行授权。在目标用户同意授权申请后，也即通过授权申请后，用户设备可以接着执行步骤306。
86.在步骤306中，用户设备可以生成包括第一机构的信息的授权声明。进一步地，该授权声明还可以包括但不限于以下至少一项：目标用户的用户标识、数据类别、数据范围、数据使用方式、授权声明的颁发时间。
87.应该理解，授权声明中的数据类别，是目标用户允许第一机构使用的隐私数据所归属的数据类别。授权声明中的数据范围，是目标用户允许第一机构使用的隐私数据的范围，该范围可以包括但不限于时间范围。授权声明中的数据使用方式，是目标用户允许第一机构对隐私数据的使用方式。需要指出，当第一机构的授权申请包括数据类别和数据使用方式时，授权声明中的数据类别和数据使用方式通常与授权申请中的一致。
88.接着，在步骤308中，用户设备可以将授权声明发送至隐私计算平台。进一步地，为了确保授权声明的完整性，用户设备可以为授权声明添加目标用户的签名(可称为第一签名)。而后，用户设备可以将添加有第一签名的授权声明发送至隐私计算平台。
89.接着，隐私计算平台可以基于授权声明，从目标用户使用的数据存储端获取密文隐私数据。作为示例，隐私计算平台可以保存有目标用户提供的数据存储端地址，隐私计算平台可以从该数据存储端地址指示的数据存储端获取密文隐私数据。
90.具体地，隐私计算平台可以通过执行步骤310，向目标用户使用的数据存储端发送数据获取请求。该数据获取请求包括授权声明，例如包括添加有第一签名的授权声明。而后，数据存储端可以通过执行步骤312，基于授权声明，对本地保存的目标用户的隐私数据进行处理，生成密文隐私数据。
91.其中，在授权声明添加有第一签名的情况下，数据存储端可以先对第一签名进行验证。例如，第一签名是利用目标用户的私钥添加的，数据存储端可以利用预先保存的目标用户的公钥对第一签名进行验证。
92.在第一签名通过验证后，数据存储端可以基于授权声明，对本地保存的目标用户的隐私数据进行处理，生成密文隐私数据。例如，数据存储端可以在本地查找符合授权声明的隐私数据，如当授权声明包括数据类别时，在本地查找该数据类别的隐私数据。在查找到符合授权声明的隐私数据后，数据存储端可以利用预先保存的隐私计算平台中tee(trusted execution environment，可信执行环境)单元的公钥(可称为第一公钥)，对该隐私数据进行加密，得到密文隐私数据。
93.其中，tee是基于cpu硬件的安全扩展，且与外部完全隔离的可信执行环境。目前工业界十分关注tee的方案，几乎所有主流的芯片和软件联盟都有自己的tee解决方案，比如软件方面的tpm(trusted platform module，可信赖平台模块)以及硬件方面的intel sgx(software guard extensions,软件保护扩展)、arm trustzone(信任区)和amd psp(platform security processor，平台安全处理器)等。tee可以起到硬件黑箱作用，在tee
中执行的代码和数据即便是操作系统层都无法偷窥，只有通过代码中预先定义的接口才能对其进行操作。在效率方面，由于tee的黑箱性质，在tee中进行运算的是明文数据，而不是同态加密中复杂的密码学运算，计算过程效率几乎没有损失。
94.以intel sgx(以下简称sgx)技术为例。区块链节点可以基于sgx技术创建enclave(围圈或飞地)作为tee。其中，服务器可利用cpu中新增的处理器指令，在内存中可以分配一部分区域epc(enclave page cache，围圈页面缓存或飞地页面缓存)，以用于驻留上述的enclave。上述epc对应的内存区域被cpu内部的内存加密引擎mee(memory encryption engine)加密，该内存区域中的内容(enclave中的代码和数据)只有在cpu内核中才能够被解密，且用于加解密的密钥只有在epc启动时生成并存储在cpu中。可见，enclave的安全边界只包含其自身和cpu，无论是特权或非特权软件都无法访问enclave，即便是操作系统管理员和vmm(virtual machine monitor，虚拟机监视器；或称为hypervisor)也无法影响enclave中的代码和数据，因而具有极高的安全性，并且在上述安全性保障的前提下，cpu能够在enclave中对明文形式的数据进行处理，具有极高的运算效率，从而兼顾了数据安全性和计算效率。而对于进、出tee的数据，可以是加密的，从而保障数据的隐私。
95.所述tee在被使用前，可以向使用者证明自身是可信的。证明自身可信的过程可能涉及远程证明报告。远程证明报告产生于对tee的远程证明过程中。远程证明报告可以由权威的认证服务器对tee产生的自荐信息进行验证后生成。该远程证明报告可以用于表明tee可信任。
96.例如，数据存储端在使用tee单元的第一公钥对隐私数据加密之前，可以首先验证tee单元是否可信。具体的，数据存储端可以向tee单元发起挑战，并接收tee单元返回的远程证明报告。数据存储端在获取远程证明报告后，可以根据权威认证服务器的公钥对该远程证明报告的签名进行验证，如果验证通过则可以确认tee单元是可信的。具体是，tee单元在接收验证请求之后，基于其内部机制生成认证信息，并将该认证信息及tee单元的硬件公钥发送给数据存储端。所述认证信息例如包括所述tee单元的签名信息、硬件信息和软件信息等。其中，所述签名信息例如通过tee单元的硬件密钥生成；所述硬件信息例如包括，各种硬件的指标，比如cpu主频，内存容量等等；所述软件信息包括各个程序的代码哈希值、代码名称、版本、运行日志等。如本领域技术人员所知，tee单元可通过内存硬件执行对其中运行程序的“测量”，例如获取该程序的代码哈希值、该程序在特定执行点的内存占有的哈希值等等，并在所述认证信息中包括对所述程序的“测量”信息，由于该“测量”信息由该tee单元自身实体(内存硬件)执行，而不涉及任何软件、操作系统，因此是真实可信的。数据存储端在接收到所述认证信息之后，可把所述认证信息发送给tee单元的远程认证服务器，从而从所述服务器接收到对所述tee单元的远程证明报告。所述远程证明报告包括所述tee单元的身份验证、及对所述tee单元内部执行程序的验证等等。从而，数据存储端基于该远程证明报告可确定tee单元是可信的，通过该tee单元的查询结果是可信的。同时，数据存储端可在本地保存tee单元的硬件公钥，以用于后续对tee单元的签名的验证。其中，tee单元中存储一对公私钥，私钥妥善保管在tee单元中。所述tee单元传出的内容，可以用所述tee单元内保存的私钥来签名，从而证明是由该tee单元执行的结果。
97.接着，在步骤314中，数据存储端可以将密文隐私数据发送至隐私计算平台。进一步地，为了确保密文隐私数据的完整性，数据存储端可以利用其私钥为密文隐私数据生成
签名(可称为第二签名)。之后，数据存储端可以将密文隐私数据和第二签名发送至隐私计算平台。
98.接着，在步骤316中，隐私计算平台可以基于密文隐私数据生成密文结果数据。具体地，隐私计算平台中的tee单元可以基于密文隐私数据生成密文结果数据。
99.需要说明，若隐私计算平台在获取到密文隐私数据的同时，还获取到数据存储端为密文隐私数据生成的第二签名，则隐私计算平台中的tee单元可以先对第二签名进行验证。例如，第二签名是利用数据存储端的私钥生成的，隐私计算平台可以将预先保存的数据存储端的公钥提供给tee单元，而后tee单元可以利用该公钥对第二签名进行验证。在第二签名通过验证后，tee单元可以基于密文隐私数据生成密文结果数据。
100.在一个例子中，tee单元可以对密文隐私数据进行解密，得到明文隐私数据。例如，密文隐私数据通过利用tee单元的第一公钥对相应的明文隐私数据进行加密而获得，tee单元可以利用其私钥(可称为第一私钥)对密文隐私数据进行解密，得到明文隐私数据。另外，隐私计算平台可以将第一机构的公钥(可称为第二公钥)提供给tee单元，tee单元可以利用第二公钥对该明文隐私数据进行加密，得到密文结果数据。
101.在另一个例子中，如前所述的授权申请包括数据使用方式。tee单元可以对密文隐私数据进行解密，得到明文隐私数据，而后基于数据使用方式对明文隐私数据进行处理，生成密文结果数据。
102.例如，当数据使用方式为使用原文时，隐私计算平台可以将第一机构的第二公钥提供给tee单元，tee单元可以利用第二公钥对该明文隐私数据进行加密，得到密文结果数据。
103.再例如，当数据使用方式为使用隐私计算结果时，隐私计算平台可以预先保存有第一机构提供的对应于该数据使用方式的隐私计算算法。隐私计算平台可以利用该隐私计算算法对该明文隐私数据进行计算处理，得到计算结果，并将预先保存的第一机构的第二公钥提供给tee单元，tee单元可以利用第二公钥对该计算结果进行加密，得到密文结果数据。
104.接着，在步骤318中，隐私计算平台可以将密文结果数据返回给第一机构，例如将密文结果数据发送至第一机构的机构设备。
105.之后，该机构设备可以对密文结果数据进行解密，例如密文结果数据通过利用第一机构的第二公钥对相应的明文结果数据(如前所述的明文隐私数据或计算结果)进行加密而获得，该机构设备可以利用第一机构的私钥(可称为第二私钥)对密文结果数据进行解密，得到明文结果数据。接着，该机构设备例如可以基于明文结果数据，对目标用户进行相应的业务处理，如贷款额度评估或增信等。
106.图3对应的实施例提供的隐私数据处理方法，能在尊重用户意愿的前提下，帮助多方进行用户隐私数据有效流转，并且保障用户隐私数据流转过程的隐私安全。
107.在一个实施例中，若上述授权申请还包括数据类别，并且满足以下任一项：隐私计算平台还保存有目标用户发布的对应于该数据类别的数据价值信息、上述授权申请还包括第一机构提供的对应于该数据类别的数据价值信息，则在上述步骤318之后，隐私计算平台还可以基于数据价值信息，为目标用户进行价值分配。
108.作为一个示例，隐私计算平台可以基于数据价值信息，确定目标用户本次的应得
费用，并对目标用户的目标账户的余额增加该应得费用。其中，该目标账户可以是目标用户在隐私计算平台中的账户，也可以是第三方账户。当目标账户为第三方账户时，隐私计算平台可以通过与目标账户所归属的服务平台进行交互，以实现对目标账户的余额的增加。
109.作为另一个示例，隐私计算平台可以基于数据价值信息，确定第一机构本次的应支付费用和目标用户本次的应得费用，其中，该应支付费用大于等于该应得费用。而后，隐私计算平台可先向第一机构收取该应支付费用，然后再对目标用户的目标账户的余额增加该应得费用。需要指出，当该应支付费用大于该应得费用时，该应支付费用和该应得费用之间的差值，可以是隐私计算平台向目标用户收取的服务费。
110.实践中，用户隐私数据有一定的价值，在被机构使用的过程中，这部分价值往往会被机构截取掉，个人无法从中获益。本说明书实施例提供的方案，通过支持目标用户发布对应于数据类别的数据价值信息，以及支持有数据使用需求的机构在授权申请中提供对应于数据类别的数据价值信息，能实现为目标用户进行价值分配，使得目标用户在其隐私数据被机构使用的过程中能获得收益。而且，该方案可以使得隐私数据在保障安全的前提下进行价值流转变得简单。
111.在一个实施例中，为了方便后续的审计及回溯，在上述步骤318之后，隐私计算平台还可以将以下至少一项存储至区块链：授权声明、密文隐私数据对应的明文隐私数据的哈希值、时间信息。该时间信息可以包括以下至少一项：授权声明的颁发时间、授权声明的接收时间、密文隐私数据的接收时间、密文结果数据的发送时间。
112.根据前文中的描述，可以看出，本说明书的上述实施例提供的方案能达到以下有益效果：轻量化的数据采集、确权、授权、保护；在不触碰数据的情况下进行数据的真实性验证；提供以个人维度轻量化的隐私数据撮合方式；通过将数据价值进行合理分配，来促进数据所有者积极贡献数据。
113.进一步参考图4，本说明书提供了一种隐私数据处理装置的一个实施例，该装置可以应用于如图1所示的隐私计算平台105。
114.如图4所示，本实施例的隐私数据处理装置400包括：接收单元401、发送单元402、获取单元403和生成单元404。其中，接收单元401被配置成接收第一机构提交的对目标用户的隐私数据的授权申请；发送单元402被配置成将授权申请发送至目标用户的用户设备；获取单元403被配置成响应于接收到用户设备发送的授权声明，基于授权声明，从目标用户使用的数据存储端获取密文隐私数据；授权声明包括第一机构的信息；生成单元404被配置成基于密文隐私数据，生成密文结果数据；发送单元402还被配置成将密文结果数据返回给第一机构。
115.在一些实施例中，接收单元401还可以被配置成：在接收第一机构提交的对目标用户的隐私数据的授权申请之前，从用户设备接收目标用户的信息发布请求；信息发布请求包括目标用户的用户标识和隐私数据的相关信息；上述装置400还可以包括：第一存储单元(图中未示出)，被配置成对该用户标识和该相关信息进行关联存储。
116.在一些实施例中，授权申请包括数据使用方式；授权声明中还包括以下至少一项：数据类别、数据范围、数据使用方式。
117.在一些实施例中，上述相关信息包括数据类别和对应于数据类别的数据价值信息。
118.在一些实施例中，授权申请还包括数据类别，以及第一机构提供的对应于数据类别的数据价值信息。
119.在一些实施例中，上述装置400还可以包括：价值分配单元(图中未示出)，被配置成在发送单元402将密文结果数据返回给第一机构之后，基于上述数据价值信息，为目标用户进行价值分配。
120.在一些实施例中，上述装置400还可以包括：第二存储单元(图中未示出)，被配置成在发送单元402将密文结果数据返回给第一机构之后，将以下至少一项存储至区块链：授权声明、密文隐私数据对应的明文隐私数据的哈希值、时间信息；该时间信息包括以下至少一项：授权声明的颁发时间、授权声明的接收时间、密文隐私数据的接收时间、密文结果数据的发送时间。
121.在一些实施例中，隐私计算平台保存有目标用户提供的数据存储端地址；以及获取单元403可以进一步被配置成：从该数据存储端地址指示的数据存储端获取密文隐私数据。
122.在一些实施例中，授权声明还包括目标用户的用户标识，并且添加有目标用户的第一签名；以及获取单元403可以进一步被配置成：向数据存储端发送数据获取请求；数据获取请求包括添加有第一签名的授权声明；接收数据存储端在对第一签名验证通过后返回的密文隐私数据。
123.在一些实施例中，第一机构的信息包括机构标识，用户标识和机构标识均为去中心化身份标识。
124.在一些实施例中，隐私计算平台中包括可信执行环境tee单元；以及生成单元404可以进一步被配置成：通过执行tee单元，基于密文隐私数据生成密文结果数据。
125.在一些实施例中，授权申请包括数据使用方式；以及生成单元404可以进一步被配置成：通过执行tee单元，对密文隐私数据进行解密，得到明文隐私数据，并基于数据使用方式对明文隐私数据进行处理，生成密文结果数据。
126.在一些实施例中，获取单元403还可以被配置成：从数据存储端获取其为密文隐私数据生成的第二签名；生成单元404还可以被配置成：通过执行tee单元，对第二签名进行验证，并响应于第二签名通过验证，对密文隐私数据进行解密。
127.在一些实施例中，数据存储端保存有tee单元的第一公钥，密文隐私数据通过利用第一公钥对明文隐私数据进行加密而获得；以及生成单元404可以进一步被配置成：通过执行tee单元，利用tee单元的第一私钥对密文隐私数据进行解密。
128.在一些实施例中，数据使用方式为使用原文；以及生成单元404可以进一步被配置成：将预先保存的第一机构的第二公钥提供给tee单元；通过执行tee单元，利用第二公钥对明文隐私数据进行加密，得到密文结果数据。
129.在一些实施例中，数据使用方式为使用隐私计算结果，隐私计算平台保存有第一机构提供的对应于数据使用方式的隐私计算算法；以及生成单元404可以进一步被配置成：利用该隐私计算算法对明文隐私数据进行计算处理，得到计算结果；将预先保存的第一机构的第二公钥提供给tee单元；通过执行tee单元，利用第二公钥对该计算结果进行加密，得到密文结果数据。
130.在一些实施例中，数据存储端保存有目标用户托管的若干数据类别的隐私数据；
若干数据类别的隐私数据，来源于目标用户使用的若干机构的业务系统，是用户设备通过可信采集方式从该业务系统采集的。
131.在一些实施例中，该若干机构包括第二机构，第二机构的业务系统包括第二机构对外开放的数据接口，该数据接口用于供用户下载数据并对数据进行签名；该若干数据类别的隐私数据中来源于该业务系统的隐私数据，是用户设备通过调用该数据接口采集的，并且关联有签名。
132.在一些实施例中，该若干机构包括第三机构，该若干数据类别的隐私数据中来源于第三机构的业务系统的隐私数据，是用户设备通过可信证明技术从该业务系统采集的。该可信证明技术包括但不限于tlsnotoray证明技术。
133.在图3对应的装置实施例中，各单元的具体处理及其带来的技术效果可参考图2对应实施例中的相关说明，在此不再赘述。
134.本说明书实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，其中，当该计算机程序在计算机中执行时，令计算机执行以上各方法实施例分别描述的隐私数据处理方法。
135.本说明书实施例还提供了一种计算设备，包括存储器和处理器，其中，该存储器中存储有可执行代码，该处理器执行该可执行代码时，实现以上各方法实施例分别描述的隐私数据处理方法。
136.本说明书实施例还提供了一种计算机程序，其中，当该计算机程序在计算机中执行时，令计算机执行以上各方法实施例分别描述的隐私数据处理方法。
137.本领域技术人员应该可以意识到，在上述一个或多个示例中，本说明书披露的多个实施例所描述的功能可以用硬件、软件、固件或它们的任意组合来实现。当使用软件实现时，可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
138.在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
139.以上所述的具体实施方式，对本说明书披露的多个实施例的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本说明书披露的多个实施例的具体实施方式而已，并不用于限定本说明书披露的多个实施例的保护范围，凡在本说明书披露的多个实施例的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本说明书披露的多个实施例的保护范围之内。