一种获取集团内部风险数据总和的加密传输方法与流程

1.本发明主要涉及网络安全加密的技术领域，具体为一种获取集团内部风险数据总和的加密传输方法。


背景技术：

2.在评估集团整体风险状况时，需要汇总每个客户在各个金融子公司的风险数据，从而判断该客户的整体风险。但因为诸如《网络安全保护法》、《个人信息安全法》、《证券公司内部控制指引》等法律法规和行业规范的要求，使得集团总部无法直接从各个子公司获取未经授权的客户风险数据，甚至无法得知各个子公司都有哪些客户，因而也无法计算风险数据总和，进行整体风险评估。只有当某个客户的风险数据总额超过风险阈值时，子公司才能将客户信息提供给集团总部。
3.因此，需要一种能在保证客户隐私的风险数据不离开子公司本地数据中心的前提下，使得集团总部能获得客户风险数据总和的办法。


技术实现要素：

4.本发明主要提供了一种获取集团内部风险数据总和的加密传输方法，能在保证子用户客户风险数据不离开本地数据中心的前提下，使得主用户能获得客户在各个子用户的风险数据总和。
5.本发明解决上述技术问题采用的技术方案为：一种获取集团内部风险数据总和的加密传输方法,该方法包括如下步骤：步骤一：开始任务主用户发起求风险数据汇总的任务，并确定本次任务编号和需要参加任务的所有子用户；主用户有每一个子用户的公钥，每一个子用户也有主用户的公钥，所述公钥用于用户之间的约定交换；步骤二：获得客户身份交集主用户首先确定有哪些客户在不同的子用户重复存在；生成本次任务用于杂凑计算的加密盐，生成加密盐步骤，其他子用户接收加密盐，主用户收到每一个子用户的确认，继续任务；主用户发送风险数据阈值给各个子用户用于风险数据预处理，同时要求各个子用户提交客户身份杂凑值列表；各个子用户对自己的客户风险数据进行预处理，并生成高风险客户身份杂凑值列表和待查客户身份杂凑值列表；各个子用户将自己的高风险客户身份杂凑值列表和待查客户身份杂凑值列表发送给主用户，主用户据此分别生成集团第一高风险客户身份杂凑值列表和集团待查客户身份杂凑值列表；步骤三：聚合计算获得风险数据总和主用户将所有的子用户随机排序，并按这个次序确定计算路由，然后将计算路由用各个子用户的公钥加密后分享给对应的子用户；
主用户生成随机数映射表作为计算初始值，主用户将风险数据初始映射表用计算路由中的第一子用户的公钥加密得到密文，然后用自己的私钥对密文进行签名，将密文和签名发送给路由中的第一子用户，路由中的第一子用户收到主用户发送的密文和签名，路由中的第二子用户收到第一子用户发送的密文和签名，路由中其他子用户同样进行收发密文和签名，主用户收到密文，验签、解密并恢复最终风险数据映射表，主用户计算得到风险数据总和映射表；步骤四：高风险客户身份汇总主用户将风险阈值与风险数据总和映射表中的每一个风险数据总和进行比较，主用户合并第一高风险客户身份杂凑值列表和第二高风险客户身份杂凑值列表，获得第三高风险客户身份杂凑值列表；主用户请求高风险客户真实身份信息数据，汇总得到完整的高风险客户真实身份数据，任务完成。
6.进一步地，在步骤二中生成加密盐的具体步骤：主用户随机选择一个子用户定义为加密盐子用户，来生成本次任务中隐私数据求交计算所需要的加密盐，主用户将加密盐子用户的公钥发送给参加任务的其他子用户，用于收到加密盐子用户的加密盐密文和签名时进行验签，确保接收的加密盐来自加密盐子用户，主用户将加密盐参数发送给加密盐子用户，加密盐子用户按照收到的加密盐参数生成加密盐，加密盐子用户按照共享列表中每个子用户信息共享生成的加密盐，加密盐子用户通知主用户，已经完成加密盐的共享。
7.进一步地，主用户将加密盐参数发送给加密盐子用户，包括如下信息：加密盐的编码格式、加密盐的长度、共享列表；其中，所述共享列表为参加任务的其他子用户的信息列表，所述共享列表的每条子用户信息包括：子用户的公钥，子用户的接收地址。
8.更近一步地，加密盐用子用户信息中的公钥将加密盐加密得到密文；用加密盐子用户的私钥将密文进行签名；按照子用户信息中的接收地址发送加密盐数据。
9.进一步地，在步骤三中，子用户用自己的私钥解密得到路由信息，每个子用户收到的路由信息主要包括3个信息：路由中上一个节点的公钥，用于本节点收到计算数值密文和签名后，能用该公钥验证签名，保证密文来自正确的节点；路由中下一个节点的公钥，即本节点计算结束后，能用该公钥进行加密，只有下一个节点能用它的私钥解密，路由中下一个节点的接收地址。
10.进一步地，在步骤三中，集团总部为集团待查客户身份杂凑值列表中的每一个身份杂凑值生成一个巨大随机数，形成一个身份杂凑值和巨大随机数的映射表，作为聚合计算的风险数据初始映射表，所述巨大随机数是指生成的随机数的位数在需要计算的隐私数据可能的最大值的位数上增加至少3位，这样随机数能确保覆盖隐私数据，进行充分混淆。
11.进一步地，在步骤三中，第一子用户的校验过程为先用收到的路由信息中的上一个节点的公钥验证签名，确保密文来正确的节点，并且没有被篡改；用自己的私钥解密密文，恢复风险数据映射表；遍历风险数据映射表，根据客户身份杂凑值在本子用户的待查客户身份杂凑值列表中寻找，是否该客户存在于本子用户，遍历结束后，将更新后的风险数据
映射表用路由信息中的下一个节点的公钥加密得到密文；用自己的私钥对密文进行签名，得到签名；将生成的密文和签名发送给路由信息中的下一个节点的接收地址。
12.更进一步地，具体判定标准为如果该客户在本子用户不存在，则不对风险数据映射表做任何操作；如果该客户在本子用户存在，则将客户的风险数据和映射表中该客户身份杂凑值对应的风险数据相加，用得到的结果更新映射表中该客户身份杂凑值对应的风险数据。
13.优选地，在步骤三中，第一子用户的校验过程为第一子用户收到来自上一个节点的密文和签名后，以路由信息中的公钥验签、用自己私钥解密后恢复风险数据映射表；第一子用户将本子用户的客户风险数据和收到的风险数据映射表中的客户风险数据相加求和后更新，将更新后的风险数据映射表加密签名后发给路由中的第二子用户；其后每个子用户都执行第一子用户的接收数据、验签解密、计算发送操作，直到最后一个子用户完成计算，将最终风险数据映射表加密签名发送给主用户。
14.与现有技术相比，本发明的有益效果为：1.通过对集团各个子公司中客户的风险数据的隐私数据求交计算和隐私数据聚合计算来获得客户的风险数据总和，在合规的前提下解决了集团公司无法直接获取子公司客户风险数据导致无法开展集团对内风险控制的痛点。
15.2.不需要可靠第三方的参与，可以完全依赖集团内部完成可靠的隐私计算以获得各个子公司风险数据的总和。
16.3.除风险数据汇总计算外，可以非常容易地扩展实现集团子公司之间其他隐私数据的聚合计算。
17.4.使用的隐私数据求交计算方法和隐私数据聚合计算方法都是可替换的，可按需要替换成其他的隐私数据求交计算方法和隐私数据聚合计算方法，不影响最后的结果。
18.以下将结合附图与具体的实施例对本发明进行详细的解释说明。
附图说明
19.图1为本发明的计算路由示意图。
具体实施方式
20.为了便于理解本发明，下面将参照相关附图对本发明进行更加全面的描述，附图中给出了本发明的若干实施例，但是本发明可以通过不同的形式来实现，并不限于文本所描述的实施例，相反的，提供这些实施例是为了使对本发明公开的内容更加透彻全面。
21.实施例一集团总部先通过传递风险数据阈值，由各个子公司对客户的风险数据进行预处理，获得集团第一高风险客户身份杂凑值列表（该列表中的客户在单个子公司的风险数据已经超过风险阈值）。然后通过隐私数据求交psi（private set intersection）,获得集团待查客户身份杂凑值列表（各个子公司的待查客户的身份杂凑值的交集）。接着对于待查客户身份杂凑值列表内的客户，通过隐私数据聚合计算，获得客户在各个子公司的风险数据总和，再和风险阈值进行比较，获得集团第二高风险客户身份杂凑值列表（该列表中的客户在各个子公司的风险数据总和超过风险阈值）。最后合并集团第一高风险客户身份杂凑值
列表和集团第二高风险客户身份杂凑值列表获得集团第三高风险客户身份杂凑值列表。可选的，集团总部可根据需要分配集团第三高风险客户身份杂凑值列表中的客户身份杂凑值给相应的子公司并请求该客户身份信息，最后获得所有高风险客户的信息数据。
22.步骤1：开始任务集团总部发起求风险数据汇总的任务，并确定本次任务编号和需要参加任务的所有子公司。这时需要确保集团总部有每一个子公司的公钥，每一个子公司也有集团总部的公钥。公钥可以事先约定好，也可以每次任务开始时进行交换。这样做的目的是利用非对称加密算法，来对后面需要传递的计算数值进行加密和验签，以保证数据传递过程中数据的安全。
23.步骤2：求客户身份交集集团总部首先要确定有哪些客户在不同的子公司重复存在，只有这样的客户才需要计算他们的风险数据总和。对于只存在于单个子公司的客户，只要由子公司根据集团总部确定的风险阈值来检查客户的风险数据即可，无需再进行汇总。
24.但是由于合规要求，各个子公司的未授权客户数据不能离开子公司，所以集团总部不能直接从各个子公司获取客户身份列表来获知那些客户需要进行风险数据汇总计算。
25.因此要对客户风险数据进行汇总，我们首先必须要对各个子公司的客户身份进行隐私数据求交集，让客户身份信息在不离开子公司的情况下帮助集团总部确定需要进行风险数据汇总的客户。
26.本技术实施例通过使用杂凑算法进行隐私数据求交集来获得需要进行汇总风险数据的客户身份杂凑值列表的办法解决这个问题，具体如下：生成本次任务的加密盐（salt）用于杂凑计算。
27.为更好地解释申请本实施例的内容，解释几个本技术实施例中遇到的概念。
28.为何要使用杂凑（hashing，又称散列）计算和加密盐？一、为何要客户身份进行杂凑计算？将客户身份进行杂凑计算，通过匹配各个子公司提交的客户身份杂凑值(hash value)中相同的杂凑值，就可以找出同时存在于多个子公司的客户，从而能知道那些客户是需要进行风险数据汇总。
29.同时由于杂凑算法所计算出来的杂凑值具有不可逆(无法逆向演算回原本的数值)的性质，集团总部得到生成的身份杂凑是无法反推到真实的客户身份，从而保证了子公司客户身份信息的安全。
30.二、杂凑计算为何要用加密盐？如果杂凑计算不用加密盐，则攻击者只要知道任务使用的杂凑算法（或者用不同的杂凑算法试探），就可以用不同的客户身份来生成杂凑，通过和子公司发送的客户身份杂凑值进行对比，一旦发现一致的杂凑值，就可以推测出存在于子公司的真实客户身份。
31.但如果用了加密盐，只要攻击者不知道加密盐的具体数值，就不可能生成和子公司发送的客户身份杂凑一致的杂凑值，从而无法进行判断推测，保证了客户身份信息的安全。
32.三、为何每次杂凑计算要用不同的加密盐？如果每次杂凑计算用同样的加密盐，则每次同一客户身份对应的杂凑值都一致，
如果攻击者比较多次杂凑计算的结果，就仍然可能从中找出相同的杂凑值，从而导致有价值客户信息的泄密。
33.四、加密盐不能由集团总部来生成。
34.原因是子公司的客户信息对集团总部也是保密的。但集团总部能收到每次任务中所有子公司生成的客户身份杂凑值，也可能通过任务合规地掌握部分客户的真实身份信息，如果集团总部同时也知道加密盐的数值，则集团总部同样可以通过比较多次任务获得的客户杂凑值来推测出有价值客户信息而导致泄密；而子公司是无法获得其他子公司提交的客户杂凑值，因此由子公司来生成加密盐更符合合规要求。
35.具体地，生成加密盐步骤如下：一、集团总部随机选择一个子公司（后面称为加密盐子公司）来生成本次任务中隐私数据求交计算所需要的加密盐。
36.二、集团总部将加密盐子公司的公钥发送给参加任务的其他子公司，用于收到加密盐子公司的加密盐密文和签名时进行验签，确保接收的加密盐来自加密盐子公司。
37.三、集团总部将加密盐参数发送给加密盐子公司，包括如下信息：1)加密盐的编码格式；2)加密盐的长度；3)共享列表，就是参加任务的其他子公司的信息列表，列表中的每条子公司信息包括：a. 子公司的公钥，因为加密盐在节点间的传递也需要用接收方的公钥加密，确保加密盐内容不泄露；b. 子公司的接收地址。
38.表1加密盐参数示例
39.加密盐子公司按照收到的加密盐参数生成加密盐；加密盐子公司按照共享列表中每个子公司信息共享生成的加密盐，包括如下信息：a.用子公司信息中的公钥将加密盐加密得到密文；b.用加密盐子公司的私钥将密文进行签名；c.按照子公司信息中的接收地址发送加密盐数据。
40.表2加密盐数据示例
41.加密盐子公司通知集团总部，已经完成加密盐的共享。
42.其他子公司接收加密盐时，1)收到加密盐密文和签名；2)用集团总部发送的加密盐子公司公钥验证签名，确保加密盐密文来自加密盐子公司，并且没有被篡改；3)用自己的私钥解密密文得到加密盐；通知集团总部，已经收到本次任务的加密盐。
43.集团总部收到每一个子公司的确认，继续任务。
44.集团总部发送风险数据阈值给各个子公司用于风险数据预处理，同时要求各个子公司提交客户身份杂凑值（hash）列表。
45.各个子公司对自己的客户风险数据进行预处理，并生成高风险客户身份杂凑值列表和待查客户身份杂凑值列表。
46.a.如果客户的风险数据大于等于风险阈值，则将该客户的身份信息进行杂凑计算获得杂凑值加入到本子公司的高风险客户身份杂凑值列表。
47.b.如果客户的风险数据大于0但小于风险阈值，则将该客户的身份信息进行杂凑计算获得杂凑值加入到本子公司的待查客户身份杂凑值列表。
48.c.如果客户的风险数据等于0，则不对该客户进行任何处理。因为风险数据为0，即使该风险数据不加入汇总计算也不会影响最后的结果，因此可以不参加求交、求和计算。
49.各个子公司将自己的高风险客户身份杂凑值列表和待查客户身份杂凑值列表发送给集团总部，集团总部据此分别生成集团第一高风险客户身份杂凑值列表和集团待查客户身份杂凑值列表。
50.集团总部将各个子公司的高风险客户身份杂凑值列表去重合并，得到集团第一高风险客户身份杂凑值列表；集团总部将各个子公司的待查客户身份杂凑值列表去重合并得到完整的待查客户身份杂凑值列表，然后从中去除已经存在于集团第一高风险客户身份杂凑值列表的杂凑值，得到集团待查客户身份杂凑值列表。
51.值得注意的是，因为已经存在于高风险客户身份杂凑值列表的客户已经是高风险客户了，他的风险数据总和必定超过风险阈值，没有必要再进行求和计算。
52.有了待查客户身份杂凑值列表，集团总部在不了解客户真实身份的情况下，掌握了哪些客户是需要进行风险数据求和的。后面就可以根据待查客户身份杂凑值列表进行隐私数据求和计算，来获得列表中各个客户在子公司中的风险数据总和。
53.步骤3：风险数据聚合计算确定计算路由：集团总部将所有的子公司随机排序，并按这个次序确定计算路由。计算路由是环状结构，从集团总部开始，将计算数值传递给每一个子公司一次，最后将计算结果发送给集团总部作为结束。在计算路由中，无论是集团总部还是子公司都称为路由的节点。计算路由示意图如图1所示;集团总部将计算路由用各个子公司的公钥加密后分享给对应的子公司。子公司先用集团总部的公钥验签然后用自己的私钥解密得到路由信息，如表3所示。各个子公司收到的路由信息主要包括3个信息：
（一）路由中上一个节点的公钥。本方在收到计算数值密文和签名后，能用该公钥验证签名，保证密文来自正确的节点；（二）路由中下一个节点的公钥。本方计算结束后，能用该公钥进行加密，只有下一个节点能用它的私钥解密。这样即使有别的节点或者其他恶意第三方获得了密文也无法获得计算数值，防止他们利用子公司收到的计算数值和发送的计算数值的差值来推导该子公司的风险数据，从而确保了风险数据的安全；（三）路由中下一个节点的接收地址。该地址用于告知子公司计算结果应该传递到哪里。
54.表3路由信息示例
55.集团总部生成随机数映射表作为计算初始值集团总部为集团待查客户身份杂凑值列表中的每一个身份杂凑值生成一个巨大随机数，形成一个身份杂凑值和巨大随机数的映射表，作为聚合计算的风险数据初始映射表；所述巨大随机数，是指生成的随机数的位数在需要计算的隐私数据可能的最大值的位数上增加至少3位，这样随机数能确保覆盖隐私数据，进行充分混淆。
56.更加具体地说，比如假设本次计算任务中的隐私数据最大值不超过10,000,000（8位），则相应的巨大随机数就是11位数，最大可以达到10,000,000,000。这样，即使经过多次计算，也不会因为计算结果位数随着计算变化等因素导致隐私数据大致范围等信息的泄露。如表4所示。
57.表4风险数据初始映射表示例
58.集团总部将风险数据初始映射表用计算路由中的第一子公司的公钥加密得到密文，然后用自己的私钥对密文进行签名，将密文和签名发送给路由中的第一子公司。
59.路由中的第一子公司收到集团总部发送的密文和签名过程为：（一）先用收到的路由信息中的上一个节点的公钥验证签名，确保密文来正确的节点，并且没有被篡改；（二）用自己的私钥解密密文，恢复风险数据映射表；（三）遍历风险数据映射表，根据客户身份杂凑值在本子公司的待查客户身份杂凑值列表中寻找，是否该客户存在于本子公司：a.如果该客户在本子公司不存在，则不对风险数据映射表做任何操作；b.如果该客户在本子公司存在，则将客户在本子公司的风险数据和映射表中该客户身份杂凑值对应的风险数据相加，用得到的结果更新映射表中该客户身份杂凑值对应的风险数据；（四）遍历结束后，将更新后的风险数据映射表用路由信息中的下一个节点的公钥加密得到密文；（五）用自己的私钥对密文进行签名，得到签名；（六）将生成的密文和签名发送给路由信息中的下一个节点的接收地址。
60.路由中的第二子公司收到第一子公司发送的密文和签名过程和上述第一子公司的操作过程完全一致，为：（一）第二子公司同样用路由信息中的公钥验签、用自己私钥解密后恢复风险数据映射表；（二）这时的风险数据映射表虽然包括了第一子公司客户的风险数据，但因为初始的巨大随机数的存在，第二子公司无法获知第一子公司客户精确的风险数据，确保了风险
数据的安全；（三）同样的，第二子公司将本子公司客户的风险数据和收到的风险数据映射表中的客户风险数据相加求和并更新，将更新后的风险数据映射表加密签名后发给路由中的第三子公司；（四）其后每个子公司都执行上面步骤中同样的接收数据、验签解密、计算发送等操作，直到最后一个子公司完成计算，将最终风险数据映射表加密签名发送给集团总部。
61.集团总部收到最终风险数据映射表的密文和签名后的操作过程为：（一）验签解密恢复最终风险数据映射表；（二）集团总部将最终风险数据映射表中的每个客户的风险数据减去风险数据初始映射表中该客户的初始随机数，最终获得了各个待查客户的风险数据总和，形成了风险数据总和映射表；（三）集团总部只能得到的各个子公司中各个待查客户的风险数据总和，而无法推测获知待查客户在各个子公司的单独的风险数据，因此实现了客户的隐私风险数据的“可用不可见”。
62.表5风险数据计算示例示例
63.步骤4：高风险客户身份汇总（一）集团总部将风险阈值与风险数据总和映射表中的每一个风险数据总和进行比较，如果大于等于风险阈值则将对应的客户身份杂凑值加入集团的第二高风险客户身份杂凑值列表，最终获得集团第二高风险客户身份杂凑值列表；（二）集团总部合并第一高风险客户身份杂凑值列表和第二高风险客户身份杂凑值列表，获得第三高风险客户身份杂凑值列表。第三高风险客户身份杂凑值列表就是完整的高风险客户身份杂凑值列表。
64.可选的，此时集团总部可以请求高风险客户真实身份信息数据。
65.因为当某个客户的风险数据超过风险阈值了，这时子公司将他的客户信息提供给
集团总部是不违反监管要求的。
66.集团总部（可随机，也可按顺序）分配第三高风险客户身份杂凑值列表中的客户身份杂凑值给相应的子公司并请求客户的真实身份信息数据，最后汇总形成完整的高风险客户真实身份数据。至此，任务完成。
67.上述结合附图对本发明进行了示例性描述，显然本发明具体实现并不受上述方式的限制，只要采用了本发明的方法构思和技术方案进行的这种非实质改进，或未经改进将本发明的构思和技术方案直接应用于其他场合的，均在本发明的保护范围之内。