本申请涉及隐私计算以及计算机,具体涉及一种应用于可信数据空间的数据授权管理方法及相关设备。
背景技术:
1、实际应用中,可信数据空间是一种安全的、可信任的数据存储、交换和计算基础设施,其目的旨在解决数据的隐私保护存储和计算以及安全共享交换的问题。其中,数据授权是可信数据空间的关键模块,数据授权决定了数据的计算、访问、共享等多种应用的权限控制。例如,数据拥有者可以通过数据授权模块实现对数据在可信数据空间中的使用次数、应用场景、用户范围等多个维度管理,从而,保证数据在存储、计算和应用过程中的安全性。
2、目前来看,数据授权存在数据泄露风险,因此,如何提升可信数据空间的数据授权安全性的问题亟待解决。
技术实现思路
1、本申请实施例提供了一种应用于可信数据空间的数据授权管理方法及相关设备,可以提升可信数据空间的数据授权安全性。
2、第一方面,本申请实施例提供一种应用于可信数据空间的数据授权管理方法,所述方法包括:
3、基于可信执行环境,采用密钥派生算法派生出根密钥;
4、使用随机数发生器生成数据加密密钥;
5、通过所述根密钥加密所述数据加密密钥得到第一密文结果,并将所述第一密文结果保存在所述可信执行环境内;
6、获取用户创建的第一口令码;
7、采用所述密钥派生算法确定所述第一口令码对应的第一用户密钥;
8、使用所述第一用户密钥加密所述第一用户密钥,得到第一密文值,并将所述第一密文值保存在所述可信执行环境内;
9、在所述用户向所述可信执行环境请求根密钥时,使用所述根密钥解密所述第一密文结果,得到所述数据加密密钥;
10、根据所述第一用户密钥加密所述数据加密密钥,得到第二密文结果。
11、第二方面,本申请实施例提供了一种应用于可信数据空间的数据授权管理装置,所述装置包括:派生单元、生成单元、加密单元、获取单元、确定单元、解密单元,其中,
12、所述派生单元,用于基于可信执行环境,采用密钥派生算法派生出根密钥;
13、所述生成单元,用于使用随机数发生器生成数据加密密钥;
14、所述加密单元,用于通过所述根密钥加密所述数据加密密钥得到第一密文结果,并将所述第一密文结果保存在所述可信执行环境内;
15、所述获取单元,用于获取用户创建的第一口令码;
16、所述确定单元,用于采用所述密钥派生算法确定所述第一口令码对应的第一用户密钥;
17、所述加密单元,还用于使用所述第一用户密钥加密所述第一用户密钥,得到第一密文值,并将所述第一密文值保存在所述可信执行环境内;
18、所述解密单元,用于在所述用户向所述可信执行环境请求根密钥时,使用所述根密钥解密所述第一密文结果,得到所述数据加密密钥;
19、所述加密单元,还用于根据所述第一用户密钥加密所述数据加密密钥,得到第二密文结果。
20、第三方面,本申请实施例提供一种电子设备,包括处理器、存储器、通信接口以及一个或多个程序,其中,上述一个或多个程序被存储在上述存储器中,并且被配置由上述处理器执行,上述程序包括用于执行本申请实施例第一方面中的步骤的指令。
21、第四方面,本申请实施例提供了一种计算机可读存储介质,其中,上述计算机可读存储介质存储用于电子数据交换的计算机程序,其中,上述计算机程序使得计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。
22、第五方面,本申请实施例提供了一种计算机程序产品,其中,上述计算机程序产品包括存储了计算机程序的非瞬时性计算机可读存储介质,上述计算机程序可操作来使计算机执行如本申请实施例第一方面中所描述的部分或全部步骤。该计算机程序产品可以为一个软件安装包。
23、实施本申请实施例,具备如下有益效果:
24、可以看出,本申请实施例中所描述的应用于可信数据空间的数据授权管理方法及相关设备,基于可信执行环境,采用密钥派生算法派生出根密钥,使用随机数发生器生成数据加密密钥,通过根密钥加密数据加密密钥得到第一密文结果,并将第一密文结果保存在可信执行环境内,获取用户创建的第一口令码,采用密钥派生算法确定第一口令码对应的第一用户密钥,使用第一用户密钥加密第一用户密钥,得到第一密文值,并将第一密文值保存在可信执行环境内,在用户向可信执行环境请求根密钥时,使用根密钥解密第一密文结果,得到数据加密密钥,根据第一用户密钥加密数据加密密钥,得到第二密文结果,如此,在tee内部创建用于加密数据的系统密钥(根密钥),在该系统密钥的基础上,进一步基于用户口令派生用户密钥,系统密钥和用户密钥安全存储在tee内部,用户无需管理,当用户登录可信数据空间时,可通过口令间接访问数据,消除了用户端管理密钥的成本,从而降低了用户/应用端的接入成本,进而,可以提升可信数据空间的数据授权安全性。
1.一种应用于可信数据空间的数据授权管理方法,其特征在于,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
5.根据权利要求4所述的方法,其特征在于,所述根据所述目标数据和所述目标授权规则确定待加密数据,包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求2-6任一项所述的方法,其特征在于,所述方法还包括:
8.一种应用于可信数据空间的数据授权管理装置,其特征在于,所述装置包括:派生单元、生成单元、加密单元、获取单元、确定单元、解密单元,其中,
9.一种电子设备,其特征在于,包括处理器、存储器、通信接口以及一个或多个程序,其中,所述一个或多个程序被存储在所述存储器中,并且被配置由所述处理器执行,所述程序包括用于执行如权利要求1-7任一项所述的方法中的步骤的指令。
10.一种计算机可读存储介质,其特征在于,存储用于电子数据交换的计算机程序,其中,所述计算机程序使得计算机执行如权利要求1-7任一项所述的方法。
