一种数据安全共享方法及其数据安全共享系统与流程

本发明属于电力系统的数据安全管理领域，尤其涉及一种基于隐私计算技术的数据安全共享方法及其数据安全共享系统。

背景技术：

1、隐私计算技术（privacy-preserving computation）是指在保证数据提供方不泄露原始数据的前提下，对数据进行分析计算的一系列信息技术，隐私计算的主要特点包括“数据可用不可见，数据不动模型动”“数据可用不可见，数据可控可计量”“不共享数据，而是共享数据价值”等。

2、目前电力系统的隐私计算技术广泛应用于合规经营中规避政策风险，合规使用数据开展业务；建立数据孤岛，实现原始数据不出库即可完成数据融合目标；以及解决信任问题，可支持在数据本身不对第三方泄露的情况下完成操作。数据中心在数据采集和数据运营过程中需要通过不断地聚合、分析调度运行数据，并借助这些数据来更好地维护电网系统的正常运行。

3、然而在对数据的聚合和处理的过程中仍然存在着数据泄露的风险，尤其是需要第三方参与服务的情况下，更加要加强敏感数据的管理，防止隐私数据泄露。

4、因此，在实际实施和推广数据中心过程中，如何保证隐私数据的安全成为迫切需要解决的一个问题，隐私计算技术作为当下研究热点，在数据安全方面已经取得不少研究成果和隐私保护方案。

5、由于之前数据中心是基于安全分区的架构，存在一定的数据烟囱（data silo），各个系统的数据没有有效地整合与融通。虽然现有技术中存在大量对隐私计算的数据共享进行加密的相关研究，但是均只能对用电数据进行少数固定的统计分析，还会给网关带来计算负担。

6、因此，就需要一种能够在各个环节均能将数据精细化管控和共享、数据泄露风险低、能够根据共享对象采用不同共享模式进行数据共享的数据安全共享方法及其数据安全共享系统。

技术实现思路

1、本发明是为了解决现有的数据中心在存储、计算、分析和查询过程中存在数据泄露风险、数据共享模式单一、不能精细化管控的缺陷，提供了一种能够在各个环节均能将数据精细化管控和共享、数据泄露风险低、能够根据共享对象采用不同共享模式进行数据共享的数据安全共享方法及其数据安全共享系统。

2、本发明所述的一种数据安全共享方法，包括如下步骤：

3、步骤1：数据生产方将原始数据存储于数据库中，数据使用方向数据安全共享系统发起查询请求；

4、步骤2：数据安全共享模块根据所述数据使用方和数据生产方的相对身份关系选择数据共享方式；

5、步骤3：隐私计算模块根据所选择的数据共享方式对应的加密方法对所述原始数据进行加密计算，获得目标数据；将所述目标数据反馈给数据使用方。

6、进一步地：在步骤2中，所述共享方式包括内部横向共享方式、内部纵向共享方式和对外开放方式；

7、当所述数据使用方和数据生产方属于同级部门时，所述隐私计算模块采用内部横向共享方式对所述原始数据进行加密；

8、当所述数据使用方和数据生产方属于上下级部门时，所述隐私计算模块采用内部纵向共享方式对所述原始数据进行加密；

9、当所述数据使用方属于外部系统用户时，所述隐私计算模块采用对外开放方式对所述原始数据进行加密。

10、进一步地：所述内部横向共享方式的加密计算过程具体包括如下步骤：

11、步骤301：所述数据生产方将原始明文数据进行一次加密形成一次密文数据后存储在数据库中；

12、步骤302：所述隐私计算模块根据所述数据使用方发起的查询请求在数据库中查询并返回对应的一次密文数据；

13、步骤303：所述数据安全共享模块对所述一次密文数据进行密文计算，获得目标数据；

14、步骤304：将所述目标数据反馈给数据使用方。

15、进一步地：所述内部纵向共享方式的加密计算过程具体包括如下步骤：

16、步骤311：所述数据生产方将原始明文数据进行一次加密形成一次密文数据后存储在数据库中；

17、步骤312：所述隐私计算模块对所述数据使用方发起的查询请求进行查询请求加密，从而获得查询密文；

18、步骤313：所述数据安全共享模块根据所述查询密文在数据库中查询并返回对应的一次密文数据；

19、步骤314：所述数据安全共享模块将所述一次密文数据发送至数据使用方；

20、步骤315：数据使用方对所述一次密文数据进行解密，获得目标数据。

21、进一步地：在步骤311中，所述查询请求加密采用基于cryptdb的数据库加密技术对所述查询请求进行加密，并将密钥与数据消费方进行绑定，当所述数据消费方的密钥通过验证后，收到查询密文。

22、进一步地：所述对外开放方式的加密计算过程具体包括如下步骤：

23、步骤321：所述数据生产方将原始明文数据进行一次加密形成一次密文数据后存储在数据库中；

24、步骤322：所述隐私计算模块生成一组公钥和私钥；

25、步骤323：所述隐私计算模块将公钥发送至所述数据安全共享模块，所述数据安全共享模块对所述查询请求进行公钥加密，从而获得公钥密文；

26、步骤324：所述数据安全共享模块根据所述公钥密文在数据库中查询并返回对应的一次密文数据；

27、步骤325：所述隐私计算模块将私钥和公钥密文发送至数据使用方，所述数据使用方根据私钥对公钥密文进行解密；

28、步骤326：所述数据安全共享模块对数据使用方的解密结果进行验证，若验证成功，则将查询到的一次开放密文数据发送至数据使用方，若验证失败，则返回空值。

29、进一步地：在步骤322中，所述隐私计算模块是通过同态加密计算生成公钥和私钥。

30、进一步地：在步骤301、步骤311和/或步骤321中，所述一次加密包括差分隐私加密和同态加密，在进行一次加密前，先将所述原始明文数据划分成聚合类数据和其他类数据，并对所述聚合类数据进行差分隐私加密，对所述其他类数据进行同态加密，从而形成一次密文数据。

31、本发明所述的一种数据安全共享系统，包括数据库、隐私计算模块和数据安全共享模块；

32、所述数据库用于存储数据生产方的原始数据；

33、所述隐私计算模块用于根据预设规则进行数据加密计算；

34、所述数据安全共享模块用于获取数据使用方与数据生产方的相对关系，并选择对应的数据共享方式。

35、进一步地：所述数据共享方式包括内部横向共享方式、内部纵向共享方式和对外开放方式，所述数据使用方与数据生产方的相对关系包括同级、上下级或外部用户。

36、本发明的有益效果是：

37、本发明所述的一种数据安全共享方法，基于当前电力数据中心的建设，和数据以明文进行安全共享的现状，并结合近几年隐私计算技术在电网领域的发展和应用，提出了基于隐私计算技术的电力数据中心领域“数据安全共享”方案，主要是为了解决数据集中到数据中心之后，在存储，计算，分析，查询过程中的泄露风险，并在一定程度上提高计算的性能。为了对数据进行更加精细化的管控和共享，本发明将数据共享分为三种方案，并根据共享模式和共享对象，采取了不同的技术，在实现数据安全共享的同时，保证了系统的整理性能和实用性。本发明所述的一种数据安全共享系统，是一种新的数据中心的搭建，将各个环节和系统的数据有效地整合在一起，提高数据的驱动力。