(19)中华人民共和国国家知识产权局(12)发明专利申请(10)申请公布号CN110968743A(43)申请公布日2020.04.07(21)申请号201911285993.0(22)申请日2019.12.13(71)申请人支付宝（杭州）信息技术有限公司地址310000浙江省杭州市西湖区西溪路556号8层B段801-11(72)发明人张宁王磊余超凡周爱辉(74)专利代理机构北京亿腾知识产权代理事务所(普通合伙)11309代理人陈霁周良玉(51)Int.Cl.G06F16/901(2019.01)G06F21/60(2013.01)G06F21/62(2013.01)权利要求书4页说明书15页附图3页(54)发明名称针对隐私数据的数据存储、数据读取方法及装置(57)摘要本说明书实施例提供一种针对隐私数据的数据存储、数据读取方法及装置。在隐私数据存储阶段，可信执行环境TEE单元使用确定的密钥信息加密隐私数据并存储至数据存储平台；在解密密钥注册阶段，TEE单元使用数据管理方的公钥加密隐私数据的解密密钥并存储至数据管理方，由数据管理方管理解密密钥；在解密密钥获取阶段，数据查看方从数据管理方中获取采用数据管理方的公钥加密的解密密钥，并采用对应的私钥解密得到解密密钥；在隐私数据获取阶段，数据查看方从数据存储平台获取加密数据，并使用得到的解密密钥对加密数据进行解密而得到隐私数据。CN110968743ACN110968743A权利要求书1/4页1.一种针对隐私数据的数据存储方法，通过第一可信计算单元执行，所述方法包括：获取待存储的第一隐私数据；确定针对所述第一隐私数据的第一密钥信息；其中，所述第一密钥信息包括第一加密密钥和对应的第一解密密钥；使用所述第一加密密钥加密所述第一隐私数据，得到第一加密数据；将所述第一加密数据存储至数据存储平台；使用数据管理方的公钥加密所述第一解密密钥，得到第二加密数据；将所述第二加密数据存储至所述数据管理方，以使得数据查看方通过与所述数据管理方的交互获取所述第一解密密钥。2.根据权利要求1所述的方法，所述获取待存储的第一隐私数据的步骤，包括：将调用第一子计算任务对第一客户端发送的第一请求进行数据处理过程中生成的隐私数据，确定为待存储的第一隐私数据。3.根据权利要求2所述的方法，所述确定针对所述第一隐私数据的第一密钥信息的步骤，包括：生成与所述第一请求对应的第一密钥信息，作为针对所述第一隐私数据的第一密钥信息；或者，确定与所述第一客户端对应的第一密钥信息，作为针对所述第一隐私数据的第一密钥信息；或者，确定所述第一子计算任务的第一处理类型，确定与所述第一处理类型对应的第一密钥信息，作为针对所述第一隐私数据的第一密钥信息。4.根据权利要求1所述的方法，在使用所述数据管理方的公钥加密所述第一解密密钥之前，还包括：与所述数据管理方进行远程RA认证，建立RA通道；通过所述RA通道，获取所述数据管理方的公钥。5.根据权利要求1所述的方法，所述第一加密密钥和所述第一解密密钥相同或者不同。6.一种针对隐私数据的数据读取方法，通过数据查看方执行，所述方法包括：向数据管理方发送针对第一隐私数据的查看请求；获取所述数据管理方返回的第三加密数据；其中，所述第三加密数据基于使用所述数据查看方的公钥对第一解密密钥进行加密而得到，所述第一解密密钥用于对第一加密数据进行解密，所述第一加密数据基于对所述第一隐私数据加密而得到；使用与所述数据查看方的公钥对应的私钥，对所述第三加密数据进行解密，得到所述第一解密密钥；从数据存储平台获取所述第一加密数据；使用所述第一解密密钥对所述第一加密数据进行解密，得到所述第一隐私数据。7.根据权利要求6所述的方法，所述第三加密数据由所述数据管理方在确定所述数据查看方具有对所述第一隐私数据的查看权限时发送。8.根据权利要求6所述的方法，在获取所述数据管理方返回的第三加密数据之前，还包括：与所述数据管理方进行远程RA认证，建立RA通道；2CN110968743A权利要求书2/4页通过所述RA通道，将所述数据查看方的公钥发送至所述数据管理方，以使所述数据管理方使用所述数据查看方的公钥对所述第一解密密钥进行加密而得到所述第三加密数据。9.一种针对隐私数据的数据处理方法，通过数据管理方执行，所述方法包括：获取第一可信计算单元发送的第二加密数据；其中，所述第二加密数据基于使用所述数据管理方的公钥对第一解密密钥进行加密而得到，所述第一解密密钥用于对第一加密数据进行解密，所述第一加密数据基于使用第一加密密钥对第一隐私数据进行加密而得到；使用与所述数据管理方的公钥对应的私钥，对所述第二加密数据进行解密，得到所述第一解密密钥；获取数据查看方发送的针对所述第一隐私数据的查看请求；使用所述数据查看方的公钥对所述第一解密密钥进行加密，得到第