本發(fā)明涉及網(wǎng)絡(luò)數(shù)據(jù)的安全使用方法，特別是一種數(shù)據(jù)可用可見安全使用的系統(tǒng)和方法。

背景技術(shù)：

1、隨著網(wǎng)絡(luò)的普及使用，如何在保障各方數(shù)據(jù)隱私安全的前提下，以“可用而不可見”的方式實(shí)現(xiàn)有效的數(shù)據(jù)價(jià)值融合，已成為數(shù)據(jù)行業(yè)迫切需要解決的關(guān)鍵問題。

2、傳統(tǒng)數(shù)據(jù)流通使用方案主要為通過數(shù)據(jù)授權(quán)下載、api調(diào)用或文件交換等方式獲取和使用數(shù)據(jù)。這種方式對(duì)數(shù)據(jù)的使用幾乎無(wú)任何限制手段，數(shù)據(jù)使用方在獲得數(shù)據(jù)后可以超允許范圍使用，對(duì)原始數(shù)據(jù)進(jìn)行復(fù)制、篡改、非法傳播甚至二次倒賣，給數(shù)據(jù)擁有方帶來(lái)巨大的經(jīng)濟(jì)損失和名譽(yù)損失。針對(duì)傳統(tǒng)數(shù)據(jù)的流通使用方案主要有以下缺點(diǎn)：

3、1、多數(shù)系統(tǒng)僅基于用戶名和口令認(rèn)證體系，認(rèn)證和鑒別的措施過于簡(jiǎn)單，無(wú)法抵御賬號(hào)密碼泄露帶來(lái)的身份冒用問題。

4、2、數(shù)據(jù)被獲取后即脫離數(shù)據(jù)提供方的掌控，數(shù)據(jù)使用方可任意復(fù)制并傳播到其它領(lǐng)域。

5、3、無(wú)法監(jiān)測(cè)數(shù)據(jù)的合理使用，數(shù)據(jù)使用方可能做出授權(quán)以外的操作。

6、4、在發(fā)現(xiàn)數(shù)據(jù)非法使用時(shí)，缺少技術(shù)手段終止數(shù)據(jù)的使用。

7、5、發(fā)生數(shù)據(jù)安全事故后，缺少審計(jì)手段判定事故點(diǎn)。

8、為應(yīng)對(duì)上述技術(shù)缺點(diǎn)，發(fā)展出隱私計(jì)算相關(guān)技術(shù)，隱私計(jì)算是涵蓋眾多學(xué)科的交叉融合技術(shù)，主流的隱私計(jì)算技術(shù)按三大方向分類：第一類，以多方安全計(jì)算為代表的基于密碼學(xué)的隱私計(jì)算技術(shù)；第二類，以聯(lián)邦學(xué)習(xí)為代表的人工智能與隱私保護(hù)技術(shù)融合衍生的技術(shù)；第三類，以可信執(zhí)行環(huán)境為代表的基于可信硬件的隱私計(jì)算技術(shù)。不同技術(shù)往往組合使用，在保證原始數(shù)據(jù)安全和隱私性的同時(shí)，完成對(duì)數(shù)據(jù)的計(jì)算和分析任務(wù)。

9、目前，主流的隱私計(jì)算技術(shù)包括如下方法：

10、多方安全計(jì)算(secure?multi-party?computation，mpc)由姚期智于1982年通過提出和解答百萬(wàn)富翁問題而創(chuàng)立，是指在無(wú)可信第三方的情況下，多個(gè)參與方共同計(jì)算一個(gè)目標(biāo)函數(shù),并且保證每一方僅獲取自己的計(jì)算結(jié)果，無(wú)法通過計(jì)算過程中的交互數(shù)據(jù)推測(cè)出其他任意一方的輸入數(shù)據(jù)(除非函數(shù)本身可以由自己的輸入和獲得的輸出推測(cè)出其他參與方的輸入)。

11、聯(lián)邦學(xué)習(xí)(federatedlearning，fl)，又名聯(lián)邦機(jī)器學(xué)習(xí)、聯(lián)合學(xué)習(xí)、聯(lián)盟學(xué)習(xí)等。聯(lián)邦學(xué)習(xí)是實(shí)現(xiàn)在本地原始數(shù)據(jù)不出庫(kù)的情況下，通過對(duì)中間加密數(shù)據(jù)的流通與處理來(lái)完成多方聯(lián)合的機(jī)器學(xué)習(xí)訓(xùn)練。聯(lián)邦學(xué)習(xí)參與方一般包括數(shù)據(jù)方、算法方、協(xié)調(diào)方、計(jì)算方、結(jié)果方、任務(wù)發(fā)起方等角色，根據(jù)參與計(jì)算的數(shù)據(jù)在數(shù)據(jù)方之間分布的情況不同，可以分為橫向聯(lián)邦學(xué)習(xí)、縱向聯(lián)邦學(xué)習(xí)和聯(lián)邦遷移學(xué)習(xí)。

12、可信執(zhí)行環(huán)境(trusted?execution?environment，tee)通過軟硬件方法在中央處理器中構(gòu)建一個(gè)安全的區(qū)域，保證其內(nèi)部加載的程序和數(shù)據(jù)在機(jī)密性和完整性上得到保護(hù)。tee是一個(gè)隔離的執(zhí)行環(huán)境，為在設(shè)備上運(yùn)行的受信任應(yīng)用程序提供了比普通操作系統(tǒng)(rich?operating?system，richos)更高級(jí)別的安全性以及比安全元件(secure?element，se)更多的功能。

13、多方中介計(jì)算(multi-partyintermediary?computation，mpic)是由譚立、孔俊提出的一種新的隱私計(jì)算方法，是指多方數(shù)據(jù)在獨(dú)立于數(shù)據(jù)方和用戶的受監(jiān)管中介計(jì)算環(huán)境內(nèi)，通過安全可信的機(jī)制實(shí)現(xiàn)分析計(jì)算和匿名化結(jié)果輸出的數(shù)據(jù)處理方式，是一個(gè)計(jì)算管理系統(tǒng)。在mpic中，數(shù)據(jù)方的原始數(shù)據(jù)由其去標(biāo)識(shí)化后輸入中介計(jì)算環(huán)境或平臺(tái)參與計(jì)算，完成計(jì)算后立即被刪除，匿名化結(jié)果數(shù)據(jù)經(jīng)審核后按指定路徑輸出。在mpic的特定環(huán)境和規(guī)則下，信息數(shù)據(jù)的身份標(biāo)識(shí)經(jīng)過加密和標(biāo)識(shí)化的處理，因其算法具有不可逆性，故無(wú)法恢復(fù)為原始數(shù)據(jù)，滿足了匿名化的一個(gè)要求，即不能原復(fù)；同時(shí)，由于這些去標(biāo)識(shí)化的信息數(shù)據(jù)被封閉在特定受監(jiān)管環(huán)境或平臺(tái)中，客觀上達(dá)到了匿名化的另一個(gè)要求，即無(wú)法識(shí)別特定自然人。故被處理的數(shù)據(jù)實(shí)質(zhì)可視同匿名化，不再屬于個(gè)人信息，無(wú)需征得個(gè)人同意就可進(jìn)入中介計(jì)算環(huán)境或平臺(tái)參與計(jì)算。

14、針對(duì)上述主流的隱私計(jì)算，雖然能一定程度上解決傳統(tǒng)數(shù)據(jù)流通中的問題，但也存在各自的缺陷：

15、1、多方安全計(jì)算大量使用密碼學(xué)算法，導(dǎo)致計(jì)算性能存在瓶頸，相比明文計(jì)算慢數(shù)倍甚至數(shù)十倍。

16、2、聯(lián)邦計(jì)算存在反推出參與方數(shù)據(jù)分布的可能，且較難規(guī)避惡意參與方提供虛假數(shù)據(jù)的可能性，并且可能由于各參與方的計(jì)算能力不一致影響總體進(jìn)度。

17、3、可信執(zhí)行環(huán)境需要較高的硬件投入，且跟國(guó)際cpu廠商綁定較深，會(huì)影響可信執(zhí)行環(huán)境技術(shù)的可信度。

18、4、多方中介計(jì)算在去標(biāo)識(shí)后輸入中介計(jì)算環(huán)境或平臺(tái)參與計(jì)算，致使需使用標(biāo)識(shí)關(guān)聯(lián)的應(yīng)用無(wú)法實(shí)施。

19、同時(shí)，上述主流隱私計(jì)算技術(shù)，還均存在下述缺陷：

20、1、不能自證安全，需要找權(quán)威機(jī)構(gòu)來(lái)做背書和證明，做安全測(cè)評(píng)或資格認(rèn)證都有較大的成本投入。

21、2、不能解決授權(quán)問題，隱私計(jì)算本質(zhì)是解決多方數(shù)據(jù)安全共用問題的，其本身不具備授權(quán)方面的功能，需要聯(lián)合區(qū)塊鏈等其它技術(shù)去解決授權(quán)問題。

22、3、隱私計(jì)算通過“可用不可見”的方式保障各方數(shù)據(jù)安全共用，在“可用可見且安全”的需求場(chǎng)景下無(wú)能為力。

23、因此，需要設(shè)計(jì)一種保障數(shù)據(jù)隱私安全的同時(shí)，以“可用且可見”的方式實(shí)現(xiàn)有授權(quán)數(shù)據(jù)的安全使用方法。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明為解決上述問題，提出一種數(shù)據(jù)可用可見安全使用的系統(tǒng)和方法，可以保證授權(quán)數(shù)據(jù)安全使用，支持授權(quán)數(shù)據(jù)以“可用可見”的方式安全使用。

2、本發(fā)明的技術(shù)方案如下：

3、一種數(shù)據(jù)可用可見安全使用的系統(tǒng)，包含用戶雙路輸入設(shè)備、輸入信息存儲(chǔ)服務(wù)器、業(yè)務(wù)操作模塊、安全檢測(cè)模塊。

4、所述用戶雙路輸入設(shè)備，包含用戶本地終端、鍵盤、鼠標(biāo)、屏幕觸控裝置、輸入分路器等至少一種輸入設(shè)備，用于將用戶的操作分兩路輸出，一路連接業(yè)務(wù)操作服務(wù)器/容器，一路連接輸入信息存儲(chǔ)服務(wù)器。

5、所述輸入信息存儲(chǔ)服務(wù)器，用于存儲(chǔ)輸入設(shè)備唯一標(biāo)識(shí)號(hào)、輸入操作信息（如鍵盤/鼠標(biāo)擊鍵信息，觸摸屏/觸摸輸入設(shè)備的點(diǎn)擊信息）及時(shí)間等信息，供后續(xù)的安全檢測(cè)使用。

6、所述業(yè)務(wù)操作模塊包括業(yè)務(wù)操作服務(wù)器/容器和使用數(shù)據(jù)的業(yè)務(wù)軟件；所述業(yè)務(wù)操作服務(wù)器/容器，用于提供數(shù)據(jù)封閉使用環(huán)境，以保證加載于數(shù)據(jù)封閉使用環(huán)境中的數(shù)據(jù)被封閉地安全使用。具體的，業(yè)務(wù)操作服務(wù)器的啟動(dòng)是可以提前構(gòu)建備用或根據(jù)用戶需求構(gòu)建，業(yè)務(wù)操作容器可以是根據(jù)用戶需求拉起。

7、進(jìn)一步地，所述業(yè)務(wù)操作服務(wù)器/容器工作時(shí)：

8、當(dāng)業(yè)務(wù)操作容器拉起后或者業(yè)務(wù)操作服務(wù)器啟動(dòng)后，加載業(yè)務(wù)軟件和加密的待使用數(shù)據(jù)，獲得授權(quán)密鑰后對(duì)待使用數(shù)據(jù)進(jìn)行解密，獲取授權(quán)后數(shù)據(jù)被加載到數(shù)據(jù)封閉使用環(huán)境中，用戶遠(yuǎn)程接入數(shù)據(jù)封閉使用環(huán)境，即可使用數(shù)據(jù)，整個(gè)使用過程中數(shù)據(jù)被禁止出數(shù)據(jù)封閉使用環(huán)境；業(yè)務(wù)操作服務(wù)器/容器每次工作，都會(huì)形成相應(yīng)的業(yè)務(wù)操作日志。

9、在特殊情況（如參與方高度可信）下，可省略數(shù)據(jù)授權(quán)解密環(huán)節(jié)，當(dāng)在業(yè)務(wù)操作容器/服務(wù)器啟動(dòng)后，用戶遠(yuǎn)程接入數(shù)據(jù)封閉使用環(huán)境即可使用數(shù)據(jù)。

10、所述數(shù)據(jù)封閉使用環(huán)境可以通過專用的硬件服務(wù)器配合安全措施實(shí)現(xiàn)；所述專用的硬件服務(wù)器是指針對(duì)數(shù)據(jù)的使用場(chǎng)景建立一個(gè)服務(wù)器環(huán)境，使用必要的安全網(wǎng)絡(luò)配置結(jié)合安全防護(hù)軟件，實(shí)現(xiàn)數(shù)據(jù)不能隨意傳出服務(wù)器以外的環(huán)境，如通過相應(yīng)的斷網(wǎng)機(jī)制實(shí)現(xiàn)數(shù)據(jù)的封閉。還可以使用虛擬機(jī)技術(shù)配合安全措施構(gòu)建安全容器實(shí)現(xiàn)數(shù)據(jù)封閉使用環(huán)境，或者使用docker等容器化技術(shù)配合安全措施構(gòu)建安全容器實(shí)現(xiàn)數(shù)據(jù)封閉使用環(huán)境。

11、進(jìn)一步地，所述業(yè)務(wù)軟件根據(jù)數(shù)據(jù)使用的場(chǎng)景，選用成熟軟件或定制專用軟件，通過數(shù)據(jù)的挖掘使用創(chuàng)造價(jià)值。

12、所述安全檢測(cè)模塊，運(yùn)行安全檢測(cè)程序時(shí)，用于檢查用戶在業(yè)務(wù)操作模塊中的行為是否正常，當(dāng)發(fā)現(xiàn)異常時(shí)，按安全策略配置執(zhí)行相應(yīng)的應(yīng)對(duì)操作，可以立即中斷用戶操作，必要時(shí)銷毀數(shù)據(jù)（例如，中斷操作后還存在數(shù)據(jù)泄露風(fēng)險(xiǎn)時(shí)，則采用銷毀數(shù)據(jù)措施），還可以提示異常、請(qǐng)求三方確認(rèn)、發(fā)送預(yù)警信息等不同操作方式。其中：檢查的行為包括但不限于用戶賬號(hào)和雙路輸入設(shè)備標(biāo)識(shí)是否匹配、用戶是否執(zhí)行了非法操作，用戶操作和輸入信息是否匹配、用戶擊鍵行為特征和本人是否匹配等；檢查策略根據(jù)業(yè)務(wù)需要選取或定制，可以采取定點(diǎn)檢查、或者定時(shí)檢查、或者定點(diǎn)和定時(shí)檢查、或者持續(xù)檢查等。

13、基于上述系統(tǒng)，實(shí)現(xiàn)授權(quán)數(shù)據(jù)全程受控安全使用的方法，包括以下步驟：

14、步驟1，構(gòu)建業(yè)務(wù)操作服務(wù)器/容器，提供數(shù)據(jù)封閉使用環(huán)境，數(shù)據(jù)使用者獲取授權(quán)，授權(quán)數(shù)據(jù)加載到該數(shù)據(jù)封閉使用環(huán)境中。

15、步驟2，用戶通過雙路輸入設(shè)備產(chǎn)生的輸入信息通過第一信道接入到業(yè)務(wù)操作服務(wù)器/容器對(duì)數(shù)據(jù)進(jìn)行使用操作；用戶進(jìn)行業(yè)務(wù)操作時(shí)，通過雙路輸入設(shè)備產(chǎn)生的輸入信息通過第二信道傳遞給輸入信息存儲(chǔ)服務(wù)器進(jìn)行存儲(chǔ)；存儲(chǔ)的信息包括輸入設(shè)備的唯一標(biāo)識(shí)符、輸入的內(nèi)容、輸入的時(shí)間等；通過第一信道和第二信道傳遞的原始輸入信息相同。

16、步驟3，安全檢測(cè)模塊提取業(yè)務(wù)操作模塊中用戶的使用操作行為、輸入信息存儲(chǔ)服務(wù)器中的輸入信息，并對(duì)提取的使用操作行為和輸入信息按設(shè)置的檢查策略檢查，發(fā)現(xiàn)異常時(shí)根據(jù)配置做出應(yīng)對(duì)操作。

17、對(duì)上述授權(quán)數(shù)據(jù)全程受控安全使用步驟的進(jìn)一步限定：

18、步驟3中，提取業(yè)務(wù)操作模塊中的使用操作行為，是通過監(jiān)控各類系統(tǒng)日志等手段實(shí)現(xiàn)，或通過解析收到的業(yè)務(wù)操作數(shù)據(jù)包。

19、步驟3中，對(duì)提取的使用操作行為和輸入信息均持續(xù)檢查步驟如下：

20、（1）檢查用戶賬號(hào)和輸入設(shè)備唯一標(biāo)識(shí)是否匹配。

21、（2）檢查用戶操作行為是否存在諸如非法復(fù)制、對(duì)外傳輸?shù)确欠ú僮鳌?/p>

22、（3）檢查用戶操作行為是否和輸入信息匹配，如鍵鼠擊鍵信息匹配。

23、（4）可結(jié)合ai技術(shù)，檢查用戶操作行為特征是否和本人匹配。

24、（5）對(duì)上述檢查結(jié)果進(jìn)行風(fēng)險(xiǎn)評(píng)估，評(píng)估結(jié)果包括：中斷用戶操作、銷毀數(shù)據(jù)。

25、上述步驟中，所述安全檢測(cè)模塊還用于對(duì)用戶操作行為、擊鍵信息和檢查過程記錄等信息存檔，以提供對(duì)審計(jì)和回溯的數(shù)據(jù)支持；輸入信息存儲(chǔ)服務(wù)器存儲(chǔ)的信息，結(jié)合業(yè)務(wù)操作日志，可對(duì)數(shù)據(jù)使用過程的非法操作進(jìn)行復(fù)盤，追溯使用者違規(guī)責(zé)任。

26、本發(fā)明的有益效果如下：

27、一、本發(fā)明適用領(lǐng)域廣泛，通用性高，且成本低。

28、二、本發(fā)明采用持續(xù)雙因素認(rèn)證的實(shí)現(xiàn)方案，可大幅提升系統(tǒng)的安全性，尤其是數(shù)據(jù)使用過程，可按需檢測(cè)違規(guī)行為。

29、三、本發(fā)明將數(shù)據(jù)的使用處于安全的封閉環(huán)境中，對(duì)使用者的身份、操作行為實(shí)時(shí)監(jiān)測(cè)，發(fā)現(xiàn)安全風(fēng)險(xiǎn)時(shí)能及時(shí)中斷用戶操作甚至銷毀數(shù)據(jù)。對(duì)數(shù)據(jù)的操作行為、鍵鼠擊鍵信息、安全檢查過程等信息會(huì)做一定時(shí)間的留存，能在審計(jì)和回溯時(shí)提供數(shù)據(jù)支持。