基于差分隐私和可信执行环境的数据安全共享与自毁方法

本发明涉及多媒体数据安全共享及可信自销毁，尤其涉及基于差分隐私和可信执行环境的数据安全共享与自毁方法。

背景技术：

1、随着大数据技术的飞速发展，企业间数据交换的频繁程度呈指数级增长。这种增长不仅带来了商业价值的提升，也引发了人们对数据存储和利用安全性的深切担忧。为应对这一挑战，全球多国政府都相继出台了数据保护法律，旨在规范数据的收集、存储、处理和共享行为。然而，在实际操作中，数据提供者在共享数据时往往面临控制权缺失的困境。一旦数据被发布，数据提供者往往无法对其进行有效的监控和管理，更难以察觉潜在的违规行为。

2、同一个隐私数据，随着被使用的次数增加，其泄露的风险也相应增大。因此，数据提供者在共享数据时，不仅希望限制数据的用途和泄露可能性，还期望在使用完毕后能够及时销毁数据。这种需求在保障数据隐私的同时，也要求数据共享过程具有高度的可控性和可信度。

3、为了满足这一需求，数据所有者往往会制定繁琐的数据使用申请流程，以筛选和审核数据使用者的身份和信誉。这种流程虽然在一定程度上保障了数据的安全性，但也给数据拥有者带来了沉重的工作负担。然而，即使采用了这种繁琐的申请流程，数据提供者也难以完全掌控数据被使用后的实际情况。

4、为了解决这一问题，许多交易者期望出现一个安全可信的数据交易平台。在这个平台上，数据提供方可以将加密后的数据上传到市场，等待数据使用方进行挑选或购买。智能合约和可信执行环境等技术被应用于数据交易和数据分享过程中，以确保数据的安全性和可信度。然而，这些平台往往忽略了隐私数据的全生命周期状态的访问控制以及交易完成后数据使用者是否能够及时获得交易的计算结果的问题。

5、针对这些问题，如何设计一种针对隐私数据共享过程的全生命周期的安全可信访问控制机制，并保障交易完成后数据购买者可以及时获得交易数据的计算结果，成为了当前亟待解决的问题。

技术实现思路

1、有鉴于此，本发明提出基于差分隐私和可信执行环境的数据安全共享与自毁方法，以解决现有技术中存在的数据共享控制缺失的问题。

2、本发明具体的技术方案如下：

3、基于差分隐私和可信执行环境的数据安全共享与自毁方法，包括：

4、步骤1，在数据提供方发布与加密阶段，数据提供方根据隐私泄露风险承受能力，为每个待共享的多媒体数据设定隐私预算，并明确使用方式、隐私预算容忍度及费用；通过可信执行环境tee验证市场平台方后，建立加密信道上传加密数据及其隐私政策；

5、步骤2，在市场平台方隐私调度与管理阶段，市场平台方收集并管理数据提供方上传的多媒体数据及其隐私政策，基于数据购买方的请求和隐私政策，通过隐私预算管理调度模块处理并调度数据购买请求，确保隐私预算的合理使用；

6、步骤3，在数据购买方购买、使用与自销毁阶段，数据购买方支付费用购买市场平台方管理的隐私数据，在本地tee环境中使用数据；tee实时监控隐私预算使用情况，并在预算耗尽时自动执行数据自销毁操作，确保数据使用符合数据提供方设定的使用方式和次数。

7、具体地，在数据提供方发布可共享多媒体数据阶段，包括：数据提供方设定隐私政策，包括使用方式、隐私预算容忍度及费用，并通过tee的远程认证功能验证市场平台方；数据提供方与市场平台方建立加密信道，并上传数据上传请求，请求平台方分配数据id和密钥；市场平台方通过隐私预算管理调度模块分配数据id，并通过密钥管理模块生成数据加密密钥；数据提供方使用生成的隐私密钥加密隐私数据，并上传加密数据至公共存储节点，同时上传隐私政策和数据指纹至市场平台方的飞地程序中。

8、具体地，市场平台方的隐私调度阶段包括：市场平台方收集数据提供方发送的多媒体数据及其对应的隐私政策，隐私政策详细规定了数据的使用方式以及隐私预算；市场平台方接收来自数据购买方对于隐私数据的请求；在处理这些请求时，市场平台方会考虑一定时间周期内的多个请求，这些请求都意图访问已经存储的多个隐私数据；对于每个请求，市场平台方都会评估使用这些数据可能导致的隐私泄漏风险，这一评估基于每个请求对各个数据隐私预算的消耗情况。

9、具体地，隐私预算管理调度模块在响应数据购买方的请求时，会进行以下校验：验证请求中的数据使用方式是否符合数据提供方设定的隐私政策；核实请求中涉及的每个数据的剩余隐私预算是否足够支持该请求的数据使用。

10、具体地，市场平台方的隐私预算管理调度模块在批准数据使用请求之前，会先通过访问外部的可信分布式计数器模块，来核实数据的当前隐私预算状态。

11、具体地，只有当平台内部的隐私预算状态与外部计数器模块的记录一致时，才会真正批准数据使用请求，并更新数据的隐私预算记录。

12、具体地，当数据的隐私预算被完全消耗时，可信执行环境(tee)会自动触发数据的自销毁操作，确保数据的安全性和隐私性。

13、具体地，当第l个数据访问请求被隐私预算管理调度模块批准后，数据购买方通过可信执行环境tee执行数据使用算法时，隐私预算的安全性得到保障，包括以下步骤：数据购买方在tee环境中创建飞地程序，并加载经市场平台方批准的隐私数据查询算法；市场平台方通过tee的远程认证功能验证飞地程序的安全性和有效性，确保其与隐私预算请求中的程序一致；市场平台方确认数据购买方为首次请求数据密钥后，生成随机数种子，并更新响应空间状态，确保数据使用的一致性；若数据已被请求过，则市场平台方返回已有的随机数种子，保持数据查询结果的一致性；市场平台方通过可信信道向数据购买方的飞地程序发送数据密钥和随机数种子；飞地程序使用密钥解密数据，执行查询算法，并在完成后销毁自身，确保隐私预算不被恶意修改。

14、具体地，在隐私预算消耗完毕后，多媒体数据通过tee实现可信销毁，包括以下步骤：隐私预算管理调度模块将隐私预算耗尽的数据标记为不可请求状态，阻止进一步的数据使用请求；在更新隐私预算后，预算管理调度模块向运行认证模块注册新的隐私数据查询算法，并为此次请求分配空间，写入批准的隐私预算；运行认证模块完成注册后，向数据购买方发送请求成功信号，允许其进行数据查询；在确认数据隐私预算已完全使用后，市场平台方通过tee触发数据自销毁流程，确保数据不再被访问和使用。

15、具体地，方法使用确定性的密钥派生算法kdf对隐私数据的密钥进行管理；利用隐私数据的唯一标识符数据id通过密钥派生算法生成加密密钥；市场平台方在需要时根据数据id调用密钥派生算法再次生成密钥，而不是存储每个隐私数据的加密密钥，以减少存储空间的使用。

16、本发明的有益效果在于：

17、1.通过隐私预算机制和隐私调度算法，数据提供方能够精确控制数据的共享和使用，确保数据的安全性和隐私性。同时，tee技术的引入进一步增强了系统的可信性和安全性。

18、2.本发明不仅满足了数据提供方的隐私保护诉求，也满足了数据购买方的数据使用诉求。数据拥有者在共享隐私数据的同时，仍然对该数据的被使用方式和隐私保护程度拥有一定的控制权。同时，数据申请者也从繁琐的数据申请和信用自证任务中解放出来。

19、3.本发明提出了一种安全可控的数据共享框架，解决了现有工作中存在的可扩展性限制和计算不完整的问题。通过集中统一的预算管理，数据购买者可以有效地收集来自不同个体的海量数据。