WO2020238242A1

WO2020238242A1 - 一种基于安全计算的个人数据服务方法和***

Info

Publication number: WO2020238242A1
Application number: PCT/CN2020/071239
Authority: WO
Inventors: 应鹏飞; 殷山
Original assignee: 创新先进技术有限公司
Priority date: 2019-05-31
Filing date: 2020-01-09
Publication date: 2020-12-03
Also published as: CN110210246B; CN110210246A

Abstract

本公开涉及用户信息的隐私保护。本公开提供了一种用户隐私保护方法，该方法包括从第三方服务接收用户数据请求；从用户接收对该用户数据请求的授权；从云存储中获取用户数据；通过与第三方服务相关联的第三方公钥来对所获取的用户数据进行加密；以及将经加密的用户数据传送到第三方服务以供其解密并获取该用户数据。

Description

一种基于安全计算的个人数据服务方法和***

技术领域

本公开涉及隐私数据保护和处理，尤其涉及用于基于安全计算的个人数据服务方法和***。

背景技术

互联网应用越来越多地渗透进人们的日常生活中，特别是移动互联网的发展形成了全民上网的大趋势，人们的日常习惯正在改变，开始习惯于通过网络方便地处理许多日常事务，诸如购物、缴费、支付等等。由此，在互联网时代，对用户隐私信息的保护显得极其重要。

当前，对诸如证件号码、证件照片、财务数据等敏感的用户数据加以保护的需求正在不断上升，无论此类数据位于何处均是如此。现今，商家或企业会对收集到的用户数据进行大数据分析以用于推荐广告，甚至将用户隐私数据转卖给第三方，从而导致用户遭受电话骚扰等不良后果。

另外，用户的隐私数据通常被存储在企业或商家的自有服务器处，由于绝大部分企业并非是专业的IT公司，因此对其服务器的安全防护级别通常比较薄弱，这为个体黑客对用户隐私数据的恶意侵入和盗取提供了便利。鉴于一系列众所周知且代价惨重的数据盗窃案为受害企业造成的重大法律责任及负面报道，针对此类袭击的防护措施和手段正在快速地变得成熟先进，但攻击者同样也在步步紧逼。

本公开的各实施例正是针对这些技术问题而做出的。而且，尽管讨论了相对具体的问题，但是应当理解，各实施例不应被限于解决本背景技术中所标识的具体问题。

发明内容

提供本公开内容来以简化形式介绍将在以下具体实施方式部分中进一步描述的一些概念。本公开内容并不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。

针对本领域中的用户信息或用户数据的隐私保护问题，本公开提供了一种用户隐私保护方案。该技术方案针对现有技术中的用户隐私数据大都被存储在商家或企业自有的服务器上的缺陷。

一般而言，在本公开的这一方案中，用户在本地的客户端上部署用于代理个人数据或个人信息的隐私保护应用(App)，并且该用户通过该隐私保护应用将其个人数据或个人信息存储在与该应用相关联的云存储或者用户自己指定的其它云存储中，而不是存储在与第三方商家或企业相关联的服务器上。用户对云存储中的个人信息或个人数据具有完全控制权，即用户可添加、查询、更改、删除任何个人信息或数据。用户可以对其存储在云存储中的个人数据进行加密并防止任何非授权使用或共享。

当第三方商家或企业请求用户数据时，用户通过其拥有的口令或密码来授权该第三方商家或企业对其存储在云存储中的个人信息或个人数据进行查询，并且用户授权客户端上所部署的隐私保护应用从云存储中获取相应用户数据。所获取的用户数据可以是经用户加密的，并且该隐私保护应用基于用户授权来解密所获取的用户数据并将经解密的用户数据存储在用户设备的内存中，而不缓存该用户数据，随后用第三方商家提供的公钥来加密存储在内存中的用户数据，然后将经加密的用户数据传送至第三方商家。第三方商家接收该经加密的用户数据并用其私钥对其进行解密以获得用户数据或信息。

由此，相比于现有技术，用户具有对其个人信息或个人数据的完全控制权，第三方商家无法肆无忌惮地搜集用户数据以用于其商业目的，从而能够避免很多隐私泄露问题。

本公开还公开了一种保护用户隐私的进阶方案。在该技术方案中，除了用户具有对其个人信息或个人数据的完全控制权这一优点外，还在向第三方商家传送经加密的用户数据之前通过该第三方商家提供的数据模型或规则对用户数据进行进一步处理以输出经处理的用户数据，以使得第三方商家在解密后也无法获悉用户数据的明细，只能基于所提供的模型或规则来使用该用户数据，从而进一步保护了用户隐私。

在本公开的一方面，提供了一种用于隐私数据保护的方法。该方法包括：

从第三方服务接收用户数据请求；

从用户接收对该用户数据请求的授权；

从云存储中获取用户数据；

通过与第三方服务相关联的第三方公钥来对所获取的用户数据进行加密；以及

将经加密的用户数据传送到第三方服务以供其解密并获取该用户数据。

在本公开的另一方面，提供了一种用于隐私数据保护的***，该***包括：

用于从第三方服务接收用户数据请求的装置；

用于从用户接收对该用户数据请求的授权的装置；

用于从云存储中获取用户数据的装置；

用于通过与第三方服务相关联的第三方公钥来对所获取的用户数据进行加密的装置；以及

用于将经加密的用户数据传送到第三方服务以供其解密并获取该用户数据的装置。

在本公开的另一方面，提供了另一种用于隐私数据保护的方法。该方法包括：

从第三方服务接收用户数据请求；

从用户接收对该用户数据请求的授权；

从云存储中获取用户数据；

通过第三方服务提供的数据模型或规则来处理所获取的用户数据；

通过与第三方服务相关联的第三方公钥来对经处理的用户数据进行加密；以及

将经处理且经加密的用户数据传送到第三方服务以供其解密并获取经处理的用户数据。

在本公开的另一方面，提供了另一种用于隐私数据保护的***，该***包括：

用于从第三方服务接收用户数据请求的装置；

用于从用户接收对该用户数据请求的授权的装置；

用于从云存储中获取用户数据的装置；

用于通过第三方服务提供的数据模型或规则来处理所获取的用户数据的装置；

用于通过与第三方服务相关联的第三方公钥来对经处理的用户数据进行加密的装置；以及

用于将经处理且经加密的用户数据传送到第三方服务以供其解密并获取经处理的用户数据的装置。

本公开的各方面一般包括如基本上在本文参照附图所描述并且通过附图所阐示的方法、装置、***、计算机程序产品。

在结合附图研读了下文对本公开的具体示例性实施例的描述之后，本公开的其他方面、特征和实施例对于本领域普通技术人员将是明显的。尽管本公开的特征在以下可能是针对某些实施例和附图来讨论的，但本公开的全部实施例可包括本文所讨论的有利特征中的一个或多个。换言之，尽管可能讨论了一个或多个实施例具有某些有利特征，但也可以根据本文讨论的本公开的各种实施例使用此类特征中的一个或多个特征。以类似方式，尽管示例性实施例在下文可能是作为设备、***或方法实施例进行讨论的，但是应当领会，此类示例性实施例可以在各种设备、***、和方法中实现。

附图说明

为了能详细理解本公开的以上陈述的特征所用的方式，可参照各方面来对以上简要概述的内容进行更具体的描述，其中一些方面在附图中阐示。然而应该注意，附图仅解说了本公开的某些典型方面，故不应被认为限定其范围，因为本描述可允许有其他等同有效的方面。

图1、2A、2B和3示出了其中可实施本公开的各实施例的各种操作环境。

图4示出了根据本公开的一个实施例的用户隐私数据保护的一个示例的框图。

图5示出了根据本公开的一个实施例的用于隐私数据保护的一个示例的数据流图。

图6示出了根据本公开的一个实施例的用于隐私数据保护的示例方法的流程图。

图7示出了根据本公开的另一个实施例的用户隐私数据保护的另一个示例的框图。

图8示出了根据本公开的一个实施例的安全多方计算的框图。

图9示出了根据本公开的另一个实施例的用于隐私数据保护的另一个示例的数据流图。

图10示出了根据本公开的另一个实施例的用于隐私数据保护的另一示例方法的流程图。

具体实施方式

以下将参考形成本公开一部分并示出各具体示例性实施例的附图更详尽地描述各个实施例。然而，各实施例可以以许多不同的形式来实现，并且不应将其解释为限制此处所阐述的各实施例；相反地，提供这些实施例以使得本公开变得透彻和完整，并且将这些实施例的范围完全传达给本领域普通技术人员。各实施例可按照方法、***或设备来实施。因此，这些实施例可采用硬件实现形式、全软件实现形式或者结合软件和硬件方面的实现形式。因此，以下具体实施方式并非是局限性的。

图1、2A、2B、3及相关联的描述提供了其中可实施本公开的各实施例的各种操作环境的讨论。然而，关于图1-3所示出和讨论的设备和***是用于示例和说明的目的，而非对可被用于实施本文所述的本公开的各实施例的大量计算设备配置的限制。

图1是示出可用来实施本公开的各实施例的台式计算设备100的示例物理组件的框图。以下描述的计算设备组件可适用于上述计算设备。在一基本配置中，台式计算设备100可以包括至少一个处理单元102和***存储器104。取决于计算设备的配置和类型，***存储器104可以包括，但不限于，易失性存储器(例如，随机存取存储器(RAM))、非易失性存储器(例如，只读存储器(ROM))、闪存或任何组合。***存储器104可以包括操作***105、一个或多个编程模块106，且可以包括web浏览器应用120。例如，操作***105可适用于控制台式计算设备100的操作。在一个实施例中，编程模块106可包括安装在台式计算设备100上的隐私保护应用26。此外，本公开的各实施方式可以结合图形库、其他操作***、或任何其他应用程序来实践，且不限于任何特定应用程序或***。该基本配置在图1中由虚线108内的那些组件示出。

台式计算设备100可具有附加特征或功能。例如，台式计算设备100还可包括附加数据存储设备(可移动和/或不可移动)，诸如例如，磁盘、光盘、或磁带。这些附加存储由可移动存储109和不可移动存储110示出。

如上所述，可以在***存储器104中存储包括操作***105在内的多个程序模块和数据文件。当在处理单元102上执行时，程序模块106可执行各个过程，包括与如下所述的方法有关的操作。下述过程是示例，且处理单元102可执行其他过程。根据本公开的各实施方式可以使用的其他程序模块可以包括电子邮件和联系人应用、字处理应用、电子数据表应用、数据库应用、幻灯片演示应用、绘图或计算机辅助应用程序等。

一般而言，根据本公开的各实施方式，程序模块可以包括可以执行特定任务或可以实现特定抽象数据类型的例程、程序、组件、数据结构和其他类型的结构。此外，本公开的各实施方式可用其他计算机***配置来实践，包括手持式设备、多处理器***、基于微处理器的***或可编程消费电子产品、小型机、大型计算机等。本公开的各实施方式也可以在其中任务由通过通信网络链接的远程处理设备执行的分布式计算环境中实现。在分布式计算环境中，程序模块可位于本地和远程存储器存储设备两者中。

此外，本公开的各实施方式可在包括分立电子元件的电路、包含逻辑门的封装或集成电子芯片、利用微处理器的电路、或在包含电子元件或微处理器的单个芯片上实现。例如，可以通过片上***(SOC)来实施本公开的各实施例，其中，可以将图1中示出的每个或许多组件集成到单个集成电路上。这样的SOC设备可包括一个或多个处理单元、图形单元、通信单元、***虚拟化单元以及各种应用功能，所有这些都被集成到(或“烧录到”)芯片基板上作为单个集成电路。当通过SOC操作时，在此所述的关于管理器26的功能可以通过与计算设备/***100的其他组件一起集成在单个集成电路(芯片)上的应用专用逻辑来操作。本公开的各实施方式还可以使用能够执行诸如，例如，AND(与)、OR(或)和NOT(非)等逻辑运算的其他技术来实践，包括但不限于，机械、光学、流体和量子技术。另外，本公开的各实施方式可以在通用计算机或任何其他电路或***中实现。

例如，本公开的各实施方式可被实现为计算机进程(方法)、计算***或诸如计算机程序产品或计算机可读介质等制品。计算机程序产品可以是计算机***可读并编码了用于执行计算机进程的指令的计算机程序的计算机存储介质。

如这里所使用的术语计算机可读介质可以包括计算机存储介质。计算机存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块、或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。***存储器104、可移动存储109和不可移动存储110都是计算机存储介质(即，存储器存储)的示例。计算机存储介质可以包括，但不限于，RAM、ROM、电可擦除只读存储器(EEPROM)、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光存储、磁带盒、磁带、磁盘存储或其他磁性存储设备、或可用于存储信息且可以由台式计算设备100访问的任何其他介质。任何这样的计算机存储介质都可以是设备100的一部分。台式计算设备100还可以具有输入设备112，如键盘、鼠标、笔、声音输入设备、触摸输入设备等。还可包括诸如显示器、扬声器、打印机等输出设备114。上述设备是示例且可以使用其他设备。

相机和/或某种其他传感设备可操作来记录一个或多个用户以及捕捉计算设备的用户作出的运动和/或姿势。传感设备还可操作来捕捉诸如通过话筒口述的单词和/或捕捉来自用户的诸如通过键盘和/或鼠标(未描绘)的其他输入。传感设备可包括能够检测用户的移动的任何运动检测设备。

如这里所使用的术语计算机可读介质还包括通信介质。通信介质由诸如载波或其他传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其他数据来体现，并包括任何信息传递介质。术语“已调制数据信号”可以描述以对该信号中的信息进行编码的方式设定或者改变其一个或多个特征的信号。作为示例而非限制，通信介质包括诸如有线网络或直接线连接等有线介质，以及诸如声学、射频(RF)、红外线和其他无线介质等无线介质。

图2A和2B示出可用来实施本公开的各实施例的合适的移动计算环境，例如移动电话、智能电话、输入板个人计算机、膝上型计算机等。参考图2A，示出了用于实现各实施例的示例移动计算设备200。在一基本配置中，移动计算设备200是具有输入元件和输出元件两者的手持式计算机。输入元件可包括允许用户将信息输入到移动计算设备200中的触摸屏显示器205和输入按钮210。移动计算设备200还可结合允许进一步的用户输入的可选的侧面输入元件215。可选的侧面输入元件215可以是旋转开关、按钮、或任何其他类型的手动输入元件。在替代实施例中，移动计算设备200可结合更多或更少的输入元件。例如，在某些实施例中，显示器205可以不是触摸屏。在又一替代实施例中，移动计算设备是便携式电话***，如具有显示器205和输入按钮210的蜂窝电话。移动计算设备200还可包括可选的小键盘235。可选的小键盘235可以是物理小键盘或者在触摸屏显示器上生成的“软”小键盘。

移动计算设备200结合输出元件，如可显示图形用户界面(GUI)的显示器205。其他输出元件包括扬声器225和LED 220。另外，移动计算设备200可包含振动模块(未示出)，该振动模块使得移动计算设备200振动以将事件通知给用户。在又一实施例中，移动计算设备200可结合耳机插孔(未示出)，用于提供另一手段来提供输出信号。

尽管此处组合移动计算设备200来描述，但在替代实施例中，本公开还可组合任何数量的计算机***来被使用，如在台式环境中、膝上型或笔记本计算机***、多处理器***、基于微处理器或可编程消费电子产品、网络PC、小型计算机、大型计算机等。本公开的实施例也可在分布式计算环境中实践，其中任务由分布式计算环境中通过通信网络链接的远程处理设备来执行；程序可位于本机和远程存储器存储设备中。总而言之，具有多个环境传感器、向用户提供通知的多个输出元件和多个通知事件类型的任何计算机***可结合本公开的实施例。

图2B是示出在一个实施例中使用的诸如图2A中所示的计算设备之类的移动计算设备的组件的框图。即，移动计算设备200可结合***202以实现某些实施例。例如，***202可被用于实现可运行与台式或笔记本计算机的应用类似的一个或多个应用的“智能电话”，这些应用例如演示文稿应用、浏览器、电子邮件、日程安排、即时消息收发、以及媒体播放器应用。在某些实施例中，***202被集成为计算设备，诸如集成的个人数字助理(PDA)和无线电话。

一个或多个应用266可被加载到存储器262中并在操作***264上或与操作***264相关联地运行。应用程序的示例包括电话拨号程序、电子邮件程序、PIM(个人信息管理)程序、文字处理程序、电子表格程序、因特网浏览器程序、消息通信程序等等。***202还包括存储器268内的非易失性存储262。非易失性存储268可被用于存储在***202断电时不会丢失的持久信息。应用266可使用信息并将信息存储在非易失性存储268中，如电子邮件应用使用的电子邮件或其他消息等。同步应用(未示出)也可驻留在***202上并被编程为与驻留在主机计算机上的对应同步应用进行交互，以保持存储在非易失性存储268中的信息与存储在主机计算机上的对应信息相同步。如应被理解的，其他应用可被加载到存储器262中且在设备200上运行，包括隐私保护应用26。

***202具有可被实现为一个或多个电池的电源270。电源270还可包括外部功率源，如补充电池或对电池重新充电的AC适配器或加电对接托架。

***202还可包括执行发射和接收无线电频率通信的功能的无线电272。无线电272通过通信运营商或服务供应商方便了***202与“外部世界”之间的无线连接。来往无线电272的传输是在操作***264的控制下进行的。换言之，无线电272接收的通信可通过操作***264传播到应用266，反之亦然。

无线电272允许***202例如通过网络与其他计算设备通信。无线电272是通信介质的一个示例。通信介质由诸如载波或其他传输机制等已调制数据信号中的计算机可读指令、数据结构、程序模块或其他数据来体现，并包括任何信息传递介质。术语“已调制数据信号”是指使得以在信号中编码信息的方式来设置或改变其一个或多个特性的信号。作为示例而非限制，通信介质包括诸如有线网络或直接线连接之类的有线介质，以及诸如声学、RF、红外及其他无线介质之类的无线介质。如此处所使用的术语计算机可读介质包括存储介质和通信介质两者。

***202的该实施例是以两种类型的通知输出设备来示出的：可被用于提供视觉通知的LED 220，以及可被用于扬声器225提供音频通知的音频接口274。这些设备可直接耦合到电源270，使得当被激活时，即使为了节省电池功率而可能关闭处理器260和其他组件，它们也在一段由通知机制指示的持续时间保持通电。LED 220可被编程为无限地保持通电，直到用户采取行动指示该设备的通电状态。音频接口274用于向用户提供听觉信号并从用户接收听觉信号。例如，除被耦合到扬声器225以外，音频接口274还可被耦合到话筒以接收听觉输入，诸如便于电话对话。根据各本公开的各实施例，话筒也可充当音频传感器来便于对通知的控制，如下文将描述的。***202可进一步包括允许板载相机230的操作来记录静止图像、视频流等的视频接口276。

移动计算设备实现***202可具有附加特征或功能。例如，该设备还可包括附加数据存储设备(可移动的/或不可移动的)，诸如磁盘、光盘或磁带。此类附加存储在图2B中由存储268示出。计算机存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块、或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。

设备200生成或捕捉的且经***202存储的数据/信息可如上所述本地存储在设备200上，或数据可被存储在可由设备通过无线电272或通过设备200和与设备200相关联的分开的计算设备之间的有线连接访问的任何数量的存储介质上，该分开的计算设备如例如因特网之类的分布式计算网络中的服务器计算机。如应理解的，此类数据/信息可经设备200、经无线电272或经分布式计算网络来被访问。类似地，这些数据/信息可根据已知的数据/信息传送和存储手段来容易地在计算设备之间传送以存储和使用，这些手段包括电子邮件和协作数据/信息共享***。

图3示出了其中可实现本公开的各实施例的联网环境。第三方服务312可包括但不限于目录服务322、web门户服务324、邮箱服务326、即时消息收发服务328以及社交网络服务330。服务器332可提供与如本文描述的方法有关的通信和服务。第三方服务312可通过服务器332和网络308来在web上与各计算设备通信。可利用服务器332的计算设备的示例包括台式计算设备302(该台式计算设备可包括任何通用个人计算机)、平板计算设备304和/或可包括智能电话的移动计算设备306。各计算设备，具体而言是各计算设备中的隐私保护应用可以在用户授权的情况下从云存储310获得用户信息并将其加密传送至第三方服务312。第三方服务312对接收到的加密用户信息进行解密并将其存储在存储316中。

图4示出了根据本公开的一个实施例的用户隐私数据保护的一个示例的框图。在该示例中，用户402在本地的客户端上部署用于代理个人数据或个人信息的隐私保护应用(App)406。本文描述的“客户端”可以指代用户的个人计算设备，包括台式计算设备(诸如台式计算机、膝上型计算机、智能电视机等)、平板计算设备(诸如iPad)以及移动计算设备(诸如智能手机)。本文描述的“隐私保护应用”可以指代用户从各种应用市场下载并安装在本地客户端上的应用，包括但不限于由蚂蚁金服公司开发的支付宝等。

该隐私保护应用406用于代理用户的个人数据，具体而言用于接收第三方服务的数据请求并将该请求转发给用户402；接收用户402对该请求的授权或批准并将授权信息或权限信息发送给第三方服务；基于用户授权从云存储下载所请求的用户数据并将其存储在内存中而不是缓存该数据。附加地或替换地，隐私保护应用406从云存储404获取的用户数据可以是经用户加密的，并且隐私保护应用406可以在用户授权下载的情况下从云存储获取经加密的用户数据并基于用户的下载授权来还原用户数据；使用第三方服务提供的公钥对内存中的用户数据进行加密；将加密的用户数据传送到第三方服务以供其解密和使用。

用户402使用隐私保护应用406将其个人数据或个人信息存储在与该隐私保护应用406相关联的云存储404或者用户自己指定的其他云存储中，而不是存储在与第三方服务相关联的服务器上。云存储404包括但不限于由蚂蚁金服开发的钉盘以及由阿里巴巴公司开发的阿里云存储。另外，用户402也可以将其个人数据存储在本地客户端上。

用户402对云存储404中所存储的个人信息或个人数据具有完全控制权，即用户402可添加、查询、更改、删除任何个人信息或数据。用户对其个人数据的控制权至少部分地通过口令或密码来实现并且隐私保护应用406、第三方服务408和云存储404都无法获取该密码信息。而且，用户402可以对其存储在云存储404中的用户数据进行加密以防止任何非授权使用或分享。

当第三方服务408，即第三方商家或企业提供的服务需要用户数据时，该第三方服务408向隐私保护应用406发送用户数据请求，该用户数据请求包括该第三方服务408需要什么用户数据的指示。隐私保护应用406在接收到来自第三方服务408的用户数据请求后将该请求转发通知给用户402或其本地客户端。用户402通过其拥有的口令或密码来对该请求进行授权或批准或以其他方式准许该请求，以准许第三方服务408对其存储在云存储404或本地客户端上的个人信息或个人数据进行查询。在用户授权后，客户端上所部署的隐私保护应用406将授权信息发送到第三方服务408，并且在用户授权的情况下从云存储404中获取相应用户数据并将其存储在用户的个人计算设备的(易失性)内存中，而不缓存该数据，并且使用第三方服务408提供的公钥对其加密，然后将经加密的用户数据传送至第三方服务408。第三方服务408接收该经加密的用户数据并且使用其私钥来对其进行解密以获得用户数据或信息。

在502，用户使用隐私保护应用406来将个人数据或个人信息存储在与该隐私保护应用406相关联的云存储404或者用户自己指定的其他云存储中，而不是存储在与第三方服务相关联的服务器上，以避免第三方服务对用户数据的滥用。

在504，当第三方服务408需要用户数据时，该第三方服务408向隐私保护应用406发送用户数据请求。该请求指示第三方服务408需要什么用户数据。

在506，隐私保护应用406在接收到来自第三方服务408的用户数据请求后将该请求转发给用户402或其本地客户端。该转发操作可采取应用通知的形式，但不限于该通知形式。

在508，用户402通过其拥有的口令或密码来经由隐私保护应用406对该用户数据请求进行授权或批准或者以其他形式准许该数据请求，以准许第三方服务408对其存储在云存储404或本地客户端上的个人信息或个人数据进行查询。用户拥有的密码可采取包括但不限于数字、或字母、或数字与字母的组合的形式，并且隐私保护应用406、第三方服务408和云存储404都无法获取该密码信息。

在510，在用户授权后，隐私保护应用406将授权信息发送到第三方服务408，以向其确认用户授权其数据请求。

在512，基于第三方服务408所发送的用户数据请求中所指示的该第三方服务需要什么用户数据，隐私保护应用406在用户授权的情况下从云存储404中获取相应用户数据并对其加密。附加地或替换地，隐私保护应用从云存储获取的用户数据可以是经用户加密的，并且隐私保护应用可以在用户授权下载的情况下从云存储获取经加密的用户数据并基于用户的下载授权来还原用户数据。

然后在514将经加密的用户数据传送至第三方服务408。该加密操作可通过与第三方服务408相关联的第三方公钥来完成。

然后，第三方服务408可接收到经加密的用户数据并对其解密以获取相应用户数据。

图6示出了根据本公开的一个实施例的用于隐私数据保护的示例方法600的流程图。

在框602，部署在用户本地客户端上的隐私保护应用从第三方服务接收用户数据请求，该用户数据请求指示该第三方服务需要什么用户数据。

在框604，隐私保护应用将该请求转发给用户或其本地客户端。该转发操作可采取应用通知的形式，但不限于该通知形式。

在框606，隐私保护应用接收用户通过密码对该用户数据请求的授权，用户拥有的密码可采取包括但不限于数字、或字母、或数字与字母的组合的形式，并且隐私保护应用、第三方服务和云存储都无法获取该密码信息。

在框608，隐私保护应用将授权信息发送到第三方服务，以向其确认用户授权其数据请求。

在框610，基于第三方服务所发送的用户数据请求中的该第三方服务需要什么用户数据的指示，隐私保护应用在用户授权的情况下从云存储中获取相应用户数据。附加地或替换地，隐私保护应用从云存储获取的用户数据可以是经用户加密的，并且隐私保护应用可以在用户授权下载的情况下从云存储获取经加密的用户数据并基于用户的下载授权来还原用户数据。

在框612，隐私保护应用通过与第三方服务相关联的第三方公钥来对所获取的用户数据进行加密。

在框614，隐私保护应用将经加密的用户数据传送到第三方服务以供其解密并获取该相应用户数据。

在该示例中，用户402在本地的客户端上部署用于代理个人数据或个人信息的隐私保护应用(App)406。该隐私保护应用406包括来自第三方服务408的数据模型410，该数据模型410用于对从云存储404获取的用户数据进行进一步处理，以使得经处理的数据对第三方服务408可用但不可见。或者，隐私保护应用406包括来自第三方服务408的规则(未示出)，并且通过该规则来处理用户数据以产生经处理的数据。

该隐私保护应用406用于代理用户的个人数据，具体而言用于接收第三方服务408的数据请求并将该请求转发给用户402；接收用户402对该请求的授权或批准并将授权信息或权限信息发送给第三方服务；在用户授权的情况下基于来自第三服务408的数据请求中所指示的数据需求来从云存储404下载相应的用户数据并将其存储在用户个人计算设备的内存中而不缓存该数据。附加地或替换地，隐私保护应用从云存储下载的用户数据可以是经用户加密的，并且隐私保护应用可以在用户授权下载的情况下从云存储获取经加密的用户数据并基于用户的下载授权来还原用户数据；根据来自第三方服务408的数据查询规则或数据模型410来处理从云存储404下载的经还原的用户数据；对经处理的用户数据进行加密并将加密的用户数据传送到第三方服务以供其解密和使用。

用户402将其个人数据或个人信息存储在与该隐私保护应用406相关联的云存储404或者用户指定的其他云存储中，而不是存储在与第三方服务相关联的服务器上。云存储404包括但不限于由蚂蚁金服开发的盯盘以及由阿里巴巴公司开发的阿里云存储。另外，用户402也可以将其个人数据存储在本地客户端上。

用户402对云存储404中所存储的个人信息或个人数据具有完全控制权，即用户402可添加、查询、更改、删除任何个人信息或数据。用户对其个人数据的控制权至少部分地通过口令或密码来实现并且隐私保护应用406、第三方服务408和云存储404都无法获取该密码信息。附加地或替换地，用户可以加密其存储在云存储404中的用户数据以防止任何非授权使用或分享。

当第三方服务408，即第三方商家或企业提供的服务需要用户数据时，该第三方服务408向隐私保护应用406发送用户数据请求，该用户数据请求指示第三方服务408需要什么用户数据。隐私保护应用406在接收到来自第三方服务408的用户数据请求后将该请求转发通知给用户402或其本地客户端。用户402通过其拥有的口令或密码来对该请求进行授权或批准或者以其他方式准许该请求，以准许第三方服务408对其存储在云存储404或本地客户端上的个人信息或个人数据进行查询。在用户授权后，客户端上所部署的隐私保护应用406将授权信息发送到第三方服务408，并且在用户授权的情况下从云存储404中获取相应的经加密的用户数据并将其存储在用户的个人计算设备的内存中，而不是缓存该数据。附加地或替换地，隐私保护应用406从云存储404获取的用户数据可以是经用户加密的，并且隐私保护应用406可以在用户授权下载的情况下从云存储404获取经加密的用户数据并基于用户的下载授权来还原用户数据。然后，隐私保护应用406根据从第三方服务408接收到的数据查询规则或者数据模型410来对从云存储404下载的用户数据进行进一步处理以产生经处理的用户数据并用第三方服务408提供的公钥来对其加密，随后将经加密的用户数据传送至第三方服务408。第三方服务408接收该经加密的用户数据并用其私钥对其进行解密以获得经处理的用户数据或信息。

在本公开的一个实施例中，第三方服务408提供的数据模型410使用逻辑回归来对用户数据进行二元分类。具体而言，数据模型将从云存储404获取的用户数据(诸如用户年龄、收入、职业等数据)作为其输入，并基于该数据计算出相应的结果(诸如是否信用足够高等)，然后将该结果，而不是用户数据本身，作为经处理的数据返回给第三方服务。或者当隐私保护应用从第三方服务408接收到数据查询规则(诸如用户的年龄是否在20到30岁之间等)时，基于该查询规则得出判定结果，即是或否，并将该结果作为经处理的数据返回给第三方服务。由此，隐私保护应用406使得第三方服务408将获得经处理的用户数据，即用户年龄是否在20-30岁之间的判定，而非用户实际年龄，从而实现了用户数据对第三方服务的可用但不可见，进一步保护了用户隐私，提升了用户数据的私密性。

在本公开的另一实施例中，数据模型410中所使用的逻辑回归模型还可结合梯度提升决策树(GBDT)和牛顿法，以进一步提升分类效率和性能。

图8示出了根据本公开的一个实施例的安全多方计算的框图。

在本公开的这一实施例中，隐私保护应用406包括安全沙箱802，第三方服务408将多方计算模型804部署到隐私保护应用406以用于在安全沙箱802中对从云存储404获取的用户数据进行安全多方计算(MPC)，以使得计算出的数据对第三方服务408可用但不可见。

具体而言，通过该多方计算模型，隐私保护应用406可将从云存储中获取的用户数据分布到多个地点。在本公开的一个实施例中，隐私保护应用可将所获取的用户数据分布到云端存储、本地存储、以及第三方存储。例如，云端存储可以是上文中提及的云存储404，本地存储可以是隐私保护应用406所在的用户设备，第三方存储可以是用于存储数据的任何存储地点或设施。如本领域技术人员可以理解的，以上用于存储用户数据的地点或设施仅仅是示例性的，而非限制性的。

在本公开的一个实施例中，隐私保护应用406可以对所获取的用户数据进行分类。作为示例而非限制，可将用户数据分成人口统计数据、资产数据和车辆数据。然后，隐私保护应用406可结合多方计算模型将这三类数据分别部署到上文提及的云端存储、本地存储、以及第三方存储。在本公开的一个实施例中，隐私保护应用406可将较为敏感的用户资产数据部署到安全性较高的存储，例如云端存储，但本公开的范围不限于此，而是隐私保护应用406根据相应的隐私政策来执行的具体的数据分布。由此，通过将用户数据分布在不同的存储地点或存储设施，降低了用户数据泄露的风险，尤其是敏感数据。

在本发明的另一实施例中，为了实现更高级别的安全性并取得更高水平的用户隐私保护，隐私保护应用406可以在对用户数据进行分类后对每一类用户数据进行拆分(例如，数值拆分)，然后将经拆分的同一类用户数据分别部署到不同的存储地点或存储设施。

作为示例而非限制，隐私保护应用406在将所获取的用户数据分成人口统计数据、资产数据和车辆数据后将最敏感的用户资产数据拆分成三部分，例如将用户的存款数据200万分成三部分，即100万、45万、和55万，并将这三个存款数据分别存储在云端存储、本地存储、以及第三方存储(这三个存储设施仅仅是示例而非限制)中。其他类型的用户数据也可进行类似拆分，因此每个存储地点或存储设施可存储不同种类的不完整用户数据，而不是同一类型的完整用户数据。由此，无法通过任何一个存储设施来知晓完整的用户数据，由此进一步提升了隐私保护应用406的用户隐私保护级别。

如本领域技术人员容易理解的，可根据不同的用户隐私政策来将任何用户数据分成任何数量的各个部分并将其部署到不同的存储地点或存储设施。而且，被部署到各个存储地点或存储设施的用户数据都是加密的并且在被使用时都处于安全沙箱环境中。

在完成数据的分布式部署后，隐私保护应用406通过多方计算模型并根据相应的规则来进行安全计算，该安全计算在沙箱环境中执行。在本公开的一个实施例中，作为示例而非限制，多方计算模型可以是逻辑回归(LR)模型。在该实施例中，第三方服务可以向隐私保护应用406提供数据查询或计算规则。

数据计算规则可以针对不同类型的用户数据进行打分，如存款在0-10万的打1分、10-50万打2分、50-100万打3分、100-200万打4分、200万以上打5分。同理，数据计算规则可以对房产价值进行打分，如100万以下打1分、100-300万打2分、300-500万打3分、500-800万打4分、800万以上打5分。数据计算规则还可以对用户的人口统计数据进行打分，例如年龄在10岁以下打1分、10-18岁打2分、18-25岁打3分、25-35岁打4分、35岁以上打5分。如本领域技术人员可以理解的，数据计算规则可根据第三方服务408的相应业务需求来设置不同的评分标准，且本公开的范围不限于任何特定评分标准或打分数值。

然后，隐私保护应用406根据第三方服务408提供的相应查询请求从相应的数据存储地点或设施获取相应的数据，使用逻辑回归模型并基于第三方服务408提供的数据查询或计算规则来计算出符合第三方服务408的需求的结果。

作为示例而非限制，如果第三方服务408需要知晓用户的授信资质如何，该第三方服务根据自己的业务规则向隐私保护应用提供相应的数据查询请求，该查询请求可指示需要对用户存款、房产价值、月收入和用户年龄进行打分并请求返回分值。

隐私保护应用根据接收到的数据查询请求来获取相应的加密用户数据，并在安全沙箱环境中通过多方计算模型(例如，逻辑回归模型)对所获取的用户数据进行安全计算。然后，隐私保护应用将计算出的结果加密传送至第三方应用，该第三方应用在接收到数据后对其解密并得到想要的结果，作为示例而非限制，该结果可以是基于所提供的数据查询或计算规则计算出的总分值。第三方应用基于该结果来确定用户的授信资格和相应额度。由此，通过隐私保护应用基于安全多方计算实现了敏感数据对第三方应用的可用但不可见。

在902，用户使用隐私保护应用406将个人数据或个人信息存储在与该隐私保护应用406相关联的云存储404或者用户指定的其他云存储中，而不是存储在与第三方服务相关联的服务器上，以避免第三方服务对用户数据的滥用。另外，用户可以加密其存储在云存储404中的用户数据以防止任何非授权使用或分享

在904，当第三方服务408需要用户数据时，该第三方服务408向隐私保护应用406发送用户数据请求。该用户数据请求指示第三方服务需要什么数据。

在906，隐私保护应用406在接收到来自第三方服务408的用户数据请求后将该请求转发给用户402或其本地客户端。该转发操作可采取应用通知的形式，但不限于该通知形式。

在908，用户402通过其拥有的口令或密码来经由隐私保护应用406对该用户数据请求进行授权或批准或以其他方式准许该请求，以准许第三方服务408对其存储在云存储404或本地客户端上的个人信息或个人数据进行查询。用户拥有的密码可采取包括但不限于数字、或字母、或数字与字母的组合的形式，并且隐私保护应用406、第三方服务408和云存储404都无法获取该密码信息。

在910，在用户授权后，隐私保护应用406将授权信息发送到第三方服务408，以向其确认用户授权其数据请求。

在912，基于第三方服务408所发送的用户数据请求中所指示的数据需求，隐私保护应用406在用户授权的情况下从云存储404中获取相应用户数据，并且基于从第三方服务接收到的数据模型或数据查询规则进一步处理所获取的用户数据以产生经处理的用户数据并用第三方服务408提供的公钥对其加密。

具体而言，第三方服务408可以将多方计算模型部署到隐私保护应用406并且使得基于该多方计算模型的计算在隐私保护应用内的安全沙箱中进行。该安全计算包括基于第三方服务408提供的查询规则以及隐私保护应用提供的用户数据，通过诸如逻辑回归之类的数据模型来提供计算结果并将其发送到第三方服务，这使得用户数据对该第三方服务可用但不可见。隐私保护应用提供的用户数据可被分类并基于类别来部署到不同的数据存储设施以降低用户数据泄露的风险。在本公开的另一实施例中，同一类用户数据可被拆分并将经拆分的同一类数据部署到不同的数据存储设施，由此使得没有一处存储设施能够知晓完整的用户数据以进一步提升用户数据的隐私保护水平或级别。

附加地或替换地，隐私保护应用从云存储获取的用户数据可以是经用户加密的，并且隐私保护应用可以在用户授权下载的情况下从云存储获取经加密的用户数据并基于用户的下载授权来还原用户数据。

然后在914，隐私保护应用406将经处理且经加密的用户数据传送至第三方服务408。然后，第三方服务408可接收到经加密的用户数据并用其私钥对其解密以获取经处理的用户数据并结合其先前提供的数据模型或数据查询规则来获得想要的信息。

图10示出了根据本公开的另一个实施例的用于隐私数据保护的另一示例方法1000的流程图。

在框1002，部署在用户本地客户端上的隐私保护应用从第三方服务接收用户数据请求，该用户数据请求指示该第三方服务需要什么数据。

在框1004，隐私保护应用将该请求转发给用户或其本地客户端。该转发操作可采取应用通知的形式，但不限于该通知形式。

在框1006，隐私保护应用接收用户通过密码对该用户数据请求的授权，用户拥有的密码可采取包括但不限于数字、或字母、或数字与字母的组合的形式，并且隐私保护应用、第三方服务和云存储都无法获取该密码信息。

在框1008，隐私保护应用将授权信息发送到第三方服务，以向其确认用户授权其数据请求。

在框1010，基于第三方服务所发送的用户数据请求中所指示的数据需求，隐私保护应用在用户授权的情况下从云存储中获取相应用户数据。附加地或替换地，隐私保护应用从云存储获取的用户数据可以是经用户加密的，并且隐私保护应用可以在用户授权下载的情况下从云存储获取经加密的用户数据并基于用户的下载授权来还原用户数据

在框1012，隐私保护应用基于第三方服务提供的用户数据查询规则或数据模型来对所获取的用户数据进行进一步处理以产生经处理的用户数据。

在1014，隐私保护应用通过与第三方服务相关联的第三方公钥来对经处理的用户数据进行加密。

在框1016，隐私保护应用将经处理且经加密的用户数据传送到第三方服务以供其解密并获取经处理的用户数据。

以上参考根据本公开的实施例的方法、***和计算机程序产品的框图和/或操作说明描述了本公开的实施例。框中所注明的各功能/动作可以按不同于任何流程图所示的次序出现。例如，取决于所涉及的功能/动作，连续示出的两个框实际上可以基本上同时执行，或者这些框有时可以按相反的次序来执行。

以上说明、示例和数据提供了对本公开的组成部分的制造和使用的全面描述。因为可以在不背离本公开的精神和范围的情况下做出本公开的许多实施例，所以本公开落在所附权利要求的范围内。

Claims

一种隐私保护应用处的用于保护用户隐私的方法，包括：

从第三方服务接收用户数据请求；

从用户接收对所述用户数据请求的授权；

从云存储中获取用户数据；

通过与所述第三方服务相关联的第三方公钥来对所获取的用户数据进行加密；以及

将经加密的用户数据传送到所述第三方服务以供其解密并获取所述用户数据。
如权利要求1所述的方法，其特征在于，所述用户数据请求指示所述第三方服务所需要的用户数据，并且所述用户数据在被获取后被存储在用户的个人计算设备的内存中，而不被缓存。
如权利要求1所述的方法，其特征在于，所述授权基于所述用户拥有的密码，并且所述密码无法被所述第三方服务、所述云存储、以及所述隐私保护应用获取。
如权利要求1所述的方法，其特征在于，所述用户数据被存储在所述云存储中并且经用户加密，并且所述用户能添加、查询、更改、删除所述云存储中的任何用户数据。
一种隐私保护应用处的用于保护用户隐私的方法，包括：

从第三方服务接收用户数据请求；

从用户接收对所述用户数据请求的授权；

从云存储中获取用户数据；

通过所述第三方服务提供的数据模型或规则来处理所获取的用户数据，其中所述数据模型包括多方计算模型，并且处理所获取的用户数据包括通过所述多方计算模型基于被部署到多个不同的存储设施的所述用户数据来提供计算结果；

通过与所述第三方服务相关联的第三方公钥来对经处理的用户数据进行加密；以及

将经处理且经加密的用户数据传送到所述第三方服务以供其解密并获取所述经处理的用户数据。
如权利要求5所述的方法，其特征在于，所述用户数据请求指示所述第三方服务所需要的用户数据，并且所述用户数据在被获取后被存储在用户的个人计算设备的内存中，而不被缓存。
如权利要求5所述的方法，其特征在于，所述授权基于所述用户拥有的密码，并且所述密码无法被所述第三方服务、所述云存储、以及所述隐私保护应用获取。
如权利要求5所述的方法，其特征在于，所述用户数据被存储在所述云存储中并且经用户加密，并且所述用户能添加、查询、更改、删除所述云存储中的任何用户数据。
如权利要求5所述的方法，其特征在于，所述数据模型使用逻辑回归来产生所述经处理的数据。
如权利要求5所述的方法，其特征在于，还包括对所述用户数据进行分类并将经分类的用户数据部署到所述多个不同的存储设施。
如权利要求5所述的方法，其特征在于，还包括：

对所述用户数据进行分类；以及

对所述经分类的用户数据进行拆分并将经拆分的同一类用户数据部署到所述多个不同的存储设施。
一种用于保护用户隐私的***，所述***包括：

用于从第三方服务接收用户数据请求的装置；

用于从用户接收对所述用户数据请求的授权的装置；

用于从云存储中获取用户数据的装置；

用于通过与所述第三方服务相关联的第三方公钥来对所获取的用户数据进行加密的装置；以及

用于将经加密的用户数据传送到所述第三方服务以供其解密并获取所述用户数据的装置。
一种用于保护用户隐私的***，所述***包括：

用于从第三方服务接收用户数据请求的装置；

用于从用户接收对所述用户数据请求的授权的装置；

用于从云存储中获取用户数据的装置；

用于通过所述第三方服务提供的数据模型或规则来处理所获取的用户数据的装置，其中所述数据模型包括多方计算模型，并且所述用于处理所获取的用户数据的装置包括用于通过所述多方计算模型基于被部署到多个不同的存储设施的所述用户数据来提供计算结果的装置；

用于通过与所述第三方服务相关联的第三方公钥来对经处理的用户数据进行加密的装置；以及

用于将经处理且经加密的用户数据传送到所述第三方服务以供其解密并获取所述经处理的用户数据的装置。
一种具有指令的计算机可读存储介质，所述指令在被执行时使机器执行如权利要求1所述的方法。
一种具有指令的计算机可读存储介质，所述指令在被执行时使机器执行如权利要求5所述的方法。