一种隐私数据在第三方平台的安全展示实现方法与流程

本发明属于个人隐私数据保护技术领域，具体涉及一种隐私数据在第三方平台的安全展示实现方法。

背景技术：

随着近年来互联网技术的不断发展，大数据逐渐显现出热门态势。大数据中的大部分数据来源于用户和传感器，包括用户的身份信息、行为信息、医疗信息等各个方面。用户如何从信息提供商安全地获取这些信息成为一个难题，因而产生了一些隐私数据发布平台，专门用来向用户发布这些隐私数据。

传统的数据发布平台只关心数据传输的效率、可靠性，隐私数据发布平台对传统数据发布平台重新设计数据发布流程，从而增加了对用户透明的安全传输模块，保证数据从持久化层到用户视图的整个流程的安全性。

常见的隐私数据发布平台包括一些云存储产品，如阿里云nas(networkattachedstorage，网络附属存储)、百度云数据仓库、亚马逊aws(amazonwebservices)数据存档服务等；还有一些erp(enterpriseresourceplanning，企业资源计划)系统，如存储患者数据的医疗信息系统(his)、教务信息系统、政务信息系统等。

这些云存储产品往往能够很好地解决大数据存储的问题，可以快速、稳定地将数据从云端发送至用户，中间用认证环节保证这些隐私数据的安全性。它们提供标准的文件访问协议，用户无需对现有应用做任何修改，即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等特性的分布式文件系统。但是它们也有一些自身的缺陷，其一是认证环节比较简单，只做用户的身份认证，这样用户就无法通过第三方平台获取隐私数据，因为通过第三方平台转发的数据很有可能会被窃取；其二是与企业自身云产品的高度耦合，许多功能都需要和企业其它云产品一起运行，降低了软件使用的可选择性。

另一方面，以his为代表的一些erp系统，其自身功能往往非常复杂，数据也会根据应用场景的不同产生巨大的差别。但是这些数据往往都高度涉及隐私，如his中会存储大量患者处方信息、化验单信息、诊断信息等，一但泄露后果非常严重。这些erp系统的重心都在业务逻辑，安全性的保证往往依托内网，只能与特定的软件交互，无法实现提供数据给任意第三方平台却不被窃取。

技术实现要素：

鉴于上述，本发明提供了一种隐私数据在第三方平台的安全展示实现方法，可以快速搭建数据源隐私数据到用户间的安全通道，对用户做单独认证，数据不流经第三方平台，可以很好地避免上述云存储产品无法与第三方平台交互的问题；同时因为和云服务提供商没有关联，所以不会产生产品间的强耦合，避免了erp系统只能向授权用户传输数据的问题。

一种隐私数据在第三方平台的安全展示实现方法，包括如下步骤：

(1)由第三方平台发起认证，向隐私数据发布平台注册平台信息；

(2)用户首次使用第三方平台时向隐私数据发布平台注册用户信息，隐私数据发布平台自动化识别用户并返回标识字段给第三方平台；

(3)用户向第三方平台发起隐私数据展示请求时，第三方平台根据请求创建相应的前端展示模板，根据平台信息以及用户请求信息生成请求包；

(4)第三方平台调用本地sdk(softwaredevelopmentkit，软件开发工具包)对请求包进行加密签名后，将其发送至隐私数据发布平台，所述sdk由隐私数据发布平台开发提供；

(5)隐私数据发布平台利用拦截器验证请求包的合法性，验证成功后通过源数据库获取具体隐私数据，并对数据去隐私化处理后返回给第三方平台的sdk；

(6)第三方平台sdk收到隐私数据后，根据数据对前端展示模板进行填充并展示。

进一步地，所述步骤(1)中隐私数据发布平台对第三方平台发起的认证进行审核，审核通过后即第三方平台注册成功，则隐私数据发布平台向第三方平台返回平台id以及平台私钥。

进一步地，所述步骤(2)中隐私数据发布平台自动化识别用户的过程为：由用户向隐私数据发布平台上传手持身份证人脸图像，经隐私数据发布平台对图像进行处理及特征提取，使用户人脸与身份证人脸进行匹配，匹配成功后隐私数据发布平台提取身份证号，并根据身份证号返回标识字段给第三方平台。

进一步地，所述标识字段包含用户id以及用户授权码。

进一步地，所述请求包包含用户id、平台id、用户授权码、设备信息以及用户请求的隐私字段。

进一步地，所述步骤(4)中第三方平台调用本地sdk时向其提供前端展示模板、请求包以及平台私钥，所述sdk则利用平台私钥通过sha256算法对请求包进行加密签名。

进一步地，所述步骤(5)中拦截器利用平台私钥对应的公钥解密请求包，并进行字段合法性验证，包括用户权限以及设备信息。

进一步地，所述步骤(5)中隐私数据发布平台采用k-anonymity算法对隐私数据去隐私化处理。

利用本发明隐私数据在第三方平台的安全展示实现方法可以让用户经过快速的自动化认证后，通过第三方平台简单、安全地看到自己的隐私数据，同时对设备异常登录做出预警。具体可总结为以下几点：

1.本发明可提前对第三方平台进行安全认证，保证平台的资质。

2.本发明使用sdk为用户提供了简单可靠的数据展示功能，保证数据流不经过第三方平台但能展示给用户。

3.用户首次登录时进行注册的过程，本发明提供了一种自动化识别、验证用户手持身份证图片的方法。

4.本发明还提供了对用户异常登录的检测，避免账户盗用。

5.本发明还提供了可选的用户数据去隐私化处理功能，能够通过对数据的泛化处理得到去隐私数据。

附图说明

图1为本发明隐私数据发布平台的工作流程示意图。

图2为本发明隐私数据传输调用过程的示意图。

具体实施方式

为了更为具体地描述本发明，下面结合附图及具体实施方式对本发明的技术方案进行详细说明。

本发明隐私数据发布平台的运行流程如图1所示，本发明方法的实现通过发布平台的形式将用户和隐私数据源联系起来，平台包括转发模块、用户信息模块、开发者信息模块、拦截器、第三方平台sdk和数据源适配器等。转发模块主要从数据源获取数据，按照数据的不同进行相应的格式转换，然后根据参数发送给对应的目标；用户信息模块存储用户的认证信息，用于前端发送请求时的身份确认，因为身份证号码是用户在隐私数据源的唯一标志，所以用户信息模块通常包括转发平台分配的用户id到用户身份证号码的对应关系；开发者信息模块存储第三方平台的认证信息，包括平台id、平台公钥等，拦截器可以通过平台id和平台公钥对请求进行解密，并验证请求合法性；拦截器一方面基于用户信息模块和开发者信息模块，对用户和第三方平台进行权限检测，另一方面可以对数据进行k-anonymity去隐私化处理，返回去隐私化的数据；隐私数据发布平台提供的sdk是第三方平台和隐私数据发布平台的对接模块，提供数据通道用户端接收器、第三方平台数据模板填充、用户数据展示等功能；数据源适配器是为了解决不同数据源格式异构性问题而开发的，用于对异构数据源提供的原始数据进行相应的格式转换，保证数据流接入转发平台时的格式统一性。接下来结合例子来描述隐私数据在第三方平台的安全展示实现方法具体实施过程。

图2展示了用户使用该隐私数据发布平台完成数据获取的具体交互过程，本实施方式中第三方sdk、隐私数据发布平台、数据源适配器的具体交互过程如下：

(1)用户调用注册方法，向隐私数据发布平台发起注册请求，并制定该注册任务的参数包括用户id、真实姓名、联系电话、密钥以及手持身份证照片，方法为register(id,name,phone,key,{photo})，只有注册成功的用户才能访问自己的隐私数据，否则无法做任何获取隐私数据的操作。

(2)对于注册成功的用户，数据发布平台会根据用户身份证号码和联系电话向数据源适配器获取用户的身份证号码，调用的方法是finduserid(id,phone)，这一步如果能在数据源适配器中找到对应的用户身份证号码和联系电话可以继续下一步，否则返回未查找到错误值，终止查询。

(3)接下来隐私数据发布平台会调用checkuser(id,name,phone,{photo})方法检查用户是否拥有本人合法的身份证件，该方法会通过机器学习方法一方面对比身份证头像与用户照片，另一方面提取身份证号码，对比成功并提取成功且与用户信息一致时继续下一步，否则对于检查结果非法的交由人工处理再次确认，合法情况继续下一步，非法调用将会被拒绝。

(4)注册成功后隐私数据发布平台会在用户信息模块中记录用户id到身份证号码的对应关系，同时生成用户id、用户授权码，并连同{success}成功标志一起返回给第三方平台。

(5)收到成功标志的第三方平台sdk调用sign(appid,appsecret,accesstoken,{sha256})方法，实质是使用appsecret作为签名字段对其它几个参数进行sha256加密，参数中appsecret是上一步中返回的用户授权码，accesstoken是平台注册时获取的平台授权码。

(6)接着用户通过第三方平台sdk调用requestdata({sign},{dataparam})方法请求需要的数据，{sign}字段是上一步中几个参数的加密结果，确保通信过程安全，{dataparam}代表用户请求的封装，具体内容取决于用户的不同需求。

(7)隐私数据发布平台收到请求后先调用intercept({sign},{dataparam})拦截器进行请求合法性验证，具体流程是先对{sign}加密字段进行解密，取得用户id、平台授权码、请求内容等数据，基于这些信息进行包括平台权限、用户权限、参数合法性等检查，出现不匹配时将返回错误信息。

(8)通过拦截器检查后隐私数据发布平台会将调用getdata({dataparam})方法通过安全通道向数据源适配器请求用户需要的结果，正常获取结果时进入下一步，否则中断并返回错误信息。

(9)数据源适配器返回结果{data}后，如果用户没有选择去隐私化处理，直接进入下一步不执行后面的流程，否则隐私数据发布平台将会触发拦截器调用deprivacy({data})方法，对隐私字段进行去隐私化处理，这个方法本质是一个k-anonymity算法的实现，能够将具体的某个隐私字段泛化为一段去隐私化的内容。

(10)拦截器处理完毕的数据{data}将被隐私数据发布平台调用send({data})方法返回至发送请求的第三方平台sdk，成功执行进入下一步，否则尝试发送一个错误结果。

(11)第三方平台sdk如果一直未收到发布平台返回的数据，或收到错误结果则展示具体的错误内容，否则将数据填充到第三方平台传入的模板中，然后调用show({data})方法展示隐私数据。

上述对实施例的描述是为便于本技术领域的普通技术人员能理解和应用本发明。熟悉本领域技术的人员显然可以容易地对上述实施例做出各种修改，并把在此说明的一般原理应用到其他实施例中而不必经过创造性的劳动。因此，本发明不限于上述实施例，本领域技术人员根据本发明的揭示，对于本发明做出的改进和修改都应该在本发明的保护范围之内。