一种基于TEE技术的区块链可信隐私计算能力提升系统

摘要

本发明公开了一种基于TEE技术的区块链可信隐私计算能力提升系统，通过设置数据过滤单元，对采集的数据进行过滤除杂，将数据中掺杂的非法数据、重复数据以及空数据进行识别并删除，同时针对数据的数据来源进行信任值与授信等级的关联，提高了采集数据的数据价值和数据的纯净度；通过设置数据处理单元，开辟独立的运行空间对提取的数据进行整合归化，所有参与计算的数据均在独立的运行空间内进行计算，提高了数据的安全性和数据隐私防护的严密性；通过设置数据管理单元，对审核数据集、未激活数据集以及信任值管理，并对数据存储单元中数据进行定时的空间释放，使整个系统空间更有效率的完成储存和计算。

说明书

技术领域

本发明涉及一种能力提升系统，具体为一种基于TEE技术的区块链可信隐私计算能力提升系统。

背景技术

TEE又称为可信执行环境，是同主机系统相隔离的安全区域。TEE技术通过对现有的CPU添加硬件扩展能力，基于软硬件结合的方式获得一个同主机环境相隔离的执行环境，并确保隔离环境中所加载的代码和数据的机密性和完整性，主机环境将作为REE环境（通用计算环境）同TEE并发运行，并能利用安全通信机制获得TEE的服务。而硬件隔离机制保证TEE中的组件不受REE中所运行软件的影响，这是为保护应用程序而提供的一系列功能，包括安全存储，安全内存和执行过程的私密性。

随着技术的发展，区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链凭借其存储数据的安全性、防篡改性等特点，广泛应用在对数据存储有较高要求的领域；

但是，区块链在存储数据的过程中，需要通过大量的计算，由区块链中所有节点达成共识后，才能进行数据的存储。因此，区块链存在效率较低、性能较低的问题。为此，我们提供一种基于TEE技术的区块链可信隐私计算能力提升系统。

发明内容

本发明的目的就在于提供一种基于TEE技术的区块链可信隐私计算能力提升系统，通过设置数据过滤单元，对采集的数据进行过滤除杂，将数据中掺杂的非法数据、重复数据以及空数据进行识别并删除，同时针对数据的数据来源进行信任值与授信等级的关联，对数据提供者分享的数据质量进行把控，提高了采集数据的数据价值和数据的纯净度；通过设置数据处理单元，并在数据处理单元中设置TEE运行框架，开辟独立的运行空间对提取的数据进行整合归化，所有参与计算的数据均在独立的运行空间内进行计算，提高了数据的安全性和数据隐私防护的严密性；通过设置数据管理单元，对审核数据集、未激活数据集以及信任值管理，并对数据存储单元中数据进行定时的空间释放，使整个系统空间更有效率的完成储存和计算，及时对冗余数据进行清理。

本发明所解决的技术问题为：

（1）如何通过设置数据过滤单元，对采集的数据进行过滤除杂，将数据中掺杂的非法数据、重复数据以及空数据进行识别并删除，同时针对数据的数据来源进行信任值与授信等级的关联，解决现有技术中因数据提供者分享的数据质量不高导致系统计算能力低下或系统存储安全隐患的问题；

（2）如何通过设置数据处理单元，并在数据处理单元中设置TEE运行框架，开辟独立的运行空间对提取的数据进行整合归化，所有参与计算的数据均在独立的运行空间内进行计算，解决现有技术中数据从数据库提取出来后易被窃取导致数据流失的情况；

（3）如何通过设置数据管理单元，对审核数据集、未激活数据集以及信任值管理，并对数据存储单元中数据进行定时的空间释放，使整个系统空间更有效率的完成储存和计算，解决现有技术中系统在使用一段时候出现存储和计算能力下降的问题。

本发明的目的可以通过以下技术方案实现：一种基于TEE技术的区块链可信隐私计算能力提升系统，包括数据采集单元、数据过滤单元、数据处理单元、数据管理单元、数据存储单元、数据共享单元和注册登录单元；

所述数据采集单元用于对公务数据、商业数据、私人数据和公众数据进行采集，并将其传输至数据过滤单元，其中，公务数据包括公务数据本体、授信等级和数据来源，商业数据包括商业数据本体、授信等级和数据来源，私人数据包括私人数据本体、授信等级和数据来源，所述授信等级分为五个等级，从低到高分别标记为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级和Ⅴ级；

所述数据过滤单元对采集到的数据进行过滤除杂操作，将过滤后的公务数据、商业数据、私人数据、公众数据、审核数据集和未激活数据集以及数据来源日志传输至数据存储单元进行存储，将生成的授信等级不匹配信号返回至数据提供者；

所述数据处理单元对数据进行黑箱计算，得到数据使用日志并将其传输至数据存储单元进行更新存储，将得到的秘钥数据和结果加密数据传输至数据共享单元；

所述数据管理单元对信任值和数据存储单元中的数据进行管理释放，对审核数据集、未激活数据集以及信任值管理，同时对数据存储单元中的数据进行空间释放管理；

所述数据共享单元开通与需求用户的网络终端间开通双向独立网络通道，分别将秘钥数据和结果加密数据通过两个不同通道传输至需求用户的网络终端。

本发明的进一步技术改进在于：所述数据过滤单元进行过滤除杂的具体步骤如下：

步骤S21：获取到公务数据、商业数据、私人数据和公众数据，提取各类数据中的数据来源并进行记录，生成数据来源日志，并对所有数据来源设置信任值，将信任值的初始值设置为100，信任值与数据提供者允许标记的授信等级之间对应关联；

步骤S22：数据过滤单元中预设有数据大小限定阈值，对所有数据的大小进行计算，当数据大小小于数据限定阈值时，判定当前数据为空数据，数据价值低，并对其进行标记剔除，并将对应数据来源的信任值降低2，当数据大小大于等于数据限定阈值时，判定当前数据为有效数据，对数据中的关键字符进行提取，将其与数据存储单元中的非法关键字符集进行比对，当关键字符与非法关键字符集比对成功时，判定该数据包含非法内容，将对应数据提取出来，生成审核数据集，当关键字符与非法关键字符集比对失败时，判定该数据为正常数据，不进行任何处理；

步骤S23：对公务数据、商业数据、私人数据中的授信等级进行读取查询，当数据中没有对授信等级进行标记时，判定对应数据为公开数据，则将对应数据提取出来并入到公众数据中，当数据中对授信等级进行过标记，则将该授信等级与数据来源日志中的信任值进行匹配，当授信等级与信任值匹配成功时，不进行任何处理，当授信等级与信任值匹配失败时，自动将授信等级向低等级调节，并生成授信等级不匹配信号，将授信等级与信任值不匹配的数据标记为未激活数据，并将多个未激活数据整合成未激活数据集；

步骤S24：提取公务数据、商业数据、私人数据和公众数据中的关键字符，并访问数据存储单元进行检索查询，当检索到对应关键字符的数据时，将数据过滤单元中该关键字符对应的数据与数据存储单元中该关键字符对应的数据进行比对查重，并生成数据重复率，数据过滤单元中预设有预设重复阈值，将数据重复率与预设重复阈值进行比较，当数据重复率大于等于预设重复阈值时，判定数据重复，并将数据存储单元中的数据进行替换更新，当数据重复率小于预设重复阈值时，判定数据不重复，不进行任何处理。

本发明的进一步技术改进在于：所述信任值与授信等级的具体关联关系如下：

当95＜信任值≤100时，数据提供者允许标记的授信等级对应为Ⅴ级及以下；

当85＜信任值≤95时，数据提供者允许标记的授信等级对应为Ⅳ级及以下；

当75＜信任值≤85时，数据提供者允许标记的授信等级对应为Ⅲ级及以下；

当60≤信任值≤75时，数据提供者允许标记的授信等级对应为Ⅱ级及以下；

当信任值＜60时，数据提供者允许标记的授信等级对应为Ⅰ级。

本发明的进一步技术改进在于：所述数据存储单元划分若干存储区域，公务数据、商业数据、私人数据和公众数据分别存储在不同的存储区域内，在存储公务数据、商业数据和私人数据的存储区域内均设置五个存储栈，根据授信等级的划分将数据存储在对应的存储栈中，所述审核数据集和未激活数据集也分别存储在不同的存储区域内，所述数据存储单元内设置有自动加密模块，公务数据、商业数据、私人数据、公众数据、审核数据集和未激活数据集在进入数据存储单元通过自动加密模块进行加密，数据来源日志和数据使用日志不经过加密直接进行存储。

本发明的进一步技术改进在于：所述数据处理单元对数据进行黑箱计算的具体步骤如下：

S51：从数据存储单元中提取数据并进行解密操作，并对每个提取的数据进行记录，生成对应的使用次数数据和使用时间数据并将其整合成数据使用日志；

S52：数据处理单元中设置有TEE运行框架，TEE运行框架开辟出一个完全独立的运行空间对提取的数据进行整合归化，生成整合归化结果；

S53：将整合归化结果进行加密操作，生成秘钥数据和结果加密数据。

本发明的进一步技术改进在于：所述注册登录单元用于数据审核人员通过手机终端进行个人信息注册，注册成功后，注册登录单元将数据审核人员的个人信息传输至数据存储单元中进行存储，所述个人信息包括姓名、年龄、入职时间、网络地址以及本人实名认证的手机号码。

本发明的进一步技术改进在于：所述数据管理单元进行管理释放的具体步骤如下：

步骤S61：从数据存储单元中提取审核数据集并对其进行解密，将解密之后的审核数据集中的各个数据进行片段划分，并将各个数据片段分别随机推送至若干个数据审核人员的网络终端，每个数据审核人员对对应的数据片段进行审核，并反馈对应的审核结果；

步骤S62：当审核结果显示合格的数量占参与审核的数据审核人员数量的百分之八十时，判定审核合格，并将该数据发送至数据存储单元中的对应存储栈中进行存储，判定审核不合格时，直接将该数据删除；

步骤S63：对未激活数据集中的数据的接收时间与当前时间进行差值计算，当计算的时间差值大于预设时间阈值时，则自动将对应数据的授信等级降低一档并分别转存到对应类别的存储栈中，当计算的时间差值小于等于预设时间阈值时，不进行任何处理；

步骤S64：对数据存储单元中的数据使用日志和数据来源日志进行提取，当数据被使用时，在数据来源日志中将对应数据来源的信任值加一，若信任值为100时，则不进行任何处理；

步骤S65：对数据存储单元中连续六个月内没有产生使用记录的数据进行标记，对被标记后的数据自动生成计时器，当一个月内对应数据还未被使用，则自动删除该数据，当一个月内对应数据被使用，则取消标记并删除对应计时器。

与现有技术相比，本发明的有益效果是：

1、本发明在使用时，数据采集单元对公务数据、商业数据、私人数据和公众数据进行采集，并将其传输至数据过滤单元，数据过滤单元对采集到的数据进行过滤除杂操作，将过滤后的公务数据、商业数据、私人数据、公众数据、审核数据集和未激活数据集以及数据来源日志传输至数据存储单元进行存储，通过设置数据过滤单元，对采集的数据进行过滤除杂，将数据中掺杂的非法数据、重复数据以及空数据进行识别并删除，同时针对数据的数据来源进行信任值与授信等级的关联，对数据提供者分享的数据质量进行把控，提高了采集数据的数据价值和数据的纯净度。

2、数据处理单元对数据进行黑箱计算，得到数据使用日志并将其传输至数据存储单元进行更新存储，将得到的秘钥数据和结果加密数据传输至数据共享单元，通过设置数据处理单元，并在数据处理单元中设置TEE运行框架，开辟独立的运行空间对提取的数据进行整合归化，所有参与计算的数据均在独立的运行空间内进行计算，提高了数据的安全性和数据隐私防护的严密性。

3、数据管理单元对信任值和数据存储单元中的数据进行管理释放，对审核数据集、未激活数据集以及信任值管理，同时对数据存储单元中的数据进行空间释放管理，数据共享单元开通与需求用户的网络终端间开通双向独立网络通道，分别将秘钥数据和结果加密数据通过两个不同通道传输至需求用户的网络终端，通过设置数据管理单元，对审核数据集、未激活数据集以及信任值管理，并对数据存储单元中数据进行定时的空间释放，使整个系统空间更有效率的完成储存和计算，及时对冗余数据进行清理。

附图说明

为了便于本领域技术人员理解，下面结合附图对本发明作进一步的说明。

图1为本发明的系统框图。

具体实施方式

下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

请参阅图1所示，一种基于TEE技术的区块链可信隐私计算能力提升系统，包括数据采集单元、数据过滤单元、数据处理单元、数据管理单元、数据存储单元、数据共享单元和注册登录单元；

所述数据采集单元用于对公务数据、商业数据、私人数据和公众数据进行采集，并将其传输至数据过滤单元，其中，公务数据包括公务数据本体、授信等级和数据来源，商业数据包括商业数据本体、授信等级和数据来源，私人数据包括私人数据本体、授信等级和数据来源，所述授信等级分为五个等级，从低到高分别标记为Ⅰ级、Ⅱ级、Ⅲ级、Ⅳ级和Ⅴ级；

所述数据过滤单元对采集到的数据进行过滤除杂操作，将过滤后的公务数据、商业数据、私人数据、公众数据、审核数据集和未激活数据集以及数据来源日志传输至数据存储单元进行存储，将生成的授信等级不匹配信号返回至数据提供者；

所述数据处理单元对数据进行黑箱计算，得到数据使用日志并将其传输至数据存储单元进行更新存储，将得到的秘钥数据和结果加密数据传输至数据共享单元；

所述数据管理单元对信任值和数据存储单元中的数据进行管理释放，对审核数据集、未激活数据集以及信任值管理，同时对数据存储单元中的数据进行空间释放管理；

所述数据共享单元开通与需求用户的网络终端间开通双向独立网络通道，分别将秘钥数据和结果加密数据通过两个不同通道传输至需求用户的网络终端。

所述数据过滤单元进行过滤除杂的具体步骤如下：

步骤S21：获取到公务数据、商业数据、私人数据和公众数据，提取各类数据中的数据来源并进行记录，生成数据来源日志，并对所有数据来源设置信任值，将信任值的初始值设置为100，信任值与数据提供者允许标记的授信等级之间对应关联；

步骤S22：数据过滤单元中预设有数据大小限定阈值，对所有数据的大小进行计算，当数据大小小于数据限定阈值时，判定当前数据为空数据，数据价值低，并对其进行标记剔除，并将对应数据来源的信任值降低2，当数据大小大于等于数据限定阈值时，判定当前数据为有效数据，对数据中的关键字符进行提取，将其与数据存储单元中的非法关键字符集进行比对，当关键字符与非法关键字符集比对成功时，判定该数据包含非法内容，将对应数据提取出来，生成审核数据集，当关键字符与非法关键字符集比对失败时，判定该数据为正常数据，不进行任何处理；

步骤S23：对公务数据、商业数据、私人数据中的授信等级进行读取查询，当数据中没有对授信等级进行标记时，判定对应数据为公开数据，则将对应数据提取出来并入到公众数据中，当数据中对授信等级进行过标记，则将该授信等级与数据来源日志中的信任值进行匹配，当授信等级与信任值匹配成功时，不进行任何处理，当授信等级与信任值匹配失败时，自动将授信等级向低等级调节，并生成授信等级不匹配信号，将授信等级与信任值不匹配的数据标记为未激活数据，并将多个未激活数据整合成未激活数据集；

步骤S24：提取公务数据、商业数据、私人数据和公众数据中的关键字符，并访问数据存储单元进行检索查询，当检索到对应关键字符的数据时，将数据过滤单元中该关键字符对应的数据与数据存储单元中该关键字符对应的数据进行比对查重，并生成数据重复率，数据过滤单元中预设有预设重复阈值，将数据重复率与预设重复阈值进行比较，当数据重复率大于等于预设重复阈值时，判定数据重复，并将数据存储单元中的数据进行替换更新，当数据重复率小于预设重复阈值时，判定数据不重复，不进行任何处理。

所述信任值与授信等级的具体关联关系如下：

当95＜信任值≤100时，数据提供者允许标记的授信等级对应为Ⅴ级及以下；

当85＜信任值≤95时，数据提供者允许标记的授信等级对应为Ⅳ级及以下；

当75＜信任值≤85时，数据提供者允许标记的授信等级对应为Ⅲ级及以下；

当60≤信任值≤75时，数据提供者允许标记的授信等级对应为Ⅱ级及以下；

当信任值＜60时，数据提供者允许标记的授信等级对应为Ⅰ级。

所述数据存储单元划分若干存储区域，公务数据、商业数据、私人数据和公众数据分别存储在不同的存储区域内，在存储公务数据、商业数据和私人数据的存储区域内均设置五个存储栈，根据授信等级的划分将数据存储在对应的存储栈中，所述审核数据集和未激活数据集也分别存储在不同的存储区域内，所述数据存储单元内设置有自动加密模块，公务数据、商业数据、私人数据、公众数据、审核数据集和未激活数据集在进入数据存储单元通过自动加密模块进行加密，数据来源日志和数据使用日志不经过加密直接进行存储。

所述数据处理单元对数据进行黑箱计算的具体步骤如下：

S51：从数据存储单元中提取数据并进行解密操作，并对每个提取的数据进行记录，生成对应的使用次数数据和使用时间数据并将其整合成数据使用日志；

S52：数据处理单元中设置有TEE运行框架，TEE运行框架开辟出一个完全独立的运行空间对提取的数据进行整合归化，生成整合归化结果；

S53：将整合归化结果进行加密操作，生成秘钥数据和结果加密数据。

本发明的进一步技术改进在于：所述注册登录单元用于数据审核人员通过手机终端进行个人信息注册，注册成功后，注册登录单元将数据审核人员的个人信息传输至数据存储单元中进行存储，所述个人信息包括姓名、年龄、入职时间、网络地址以及本人实名认证的手机号码。

所述数据管理单元进行管理释放的具体步骤如下：

步骤S61：从数据存储单元中提取审核数据集并对其进行解密，将解密之后的审核数据集中的各个数据进行片段划分，并将各个数据片段分别随机推送至若干个数据审核人员的网络终端，每个数据审核人员对对应的数据片段进行审核，并反馈对应的审核结果；

步骤S62：当审核结果显示合格的数量占参与审核的数据审核人员数量的百分之八十时，判定审核合格，并将该数据发送至数据存储单元中的对应存储栈中进行存储，判定审核不合格时，直接将该数据删除；

步骤S63：对未激活数据集中的数据的接收时间与当前时间进行差值计算，当计算的时间差值大于预设时间阈值时，则自动将对应数据的授信等级降低一档并分别转存到对应类别的存储栈中，当计算的时间差值小于等于预设时间阈值时，不进行任何处理；

步骤S64：对数据存储单元中的数据使用日志和数据来源日志进行提取，当数据被使用时，在数据来源日志中将对应数据来源的信任值加一，若信任值为100时，则不进行任何处理；

步骤S65：对数据存储单元中连续六个月内没有产生使用记录的数据进行标记，对被标记后的数据自动生成计时器，当一个月内对应数据还未被使用，则自动删除该数据，当一个月内对应数据被使用，则取消标记并删除对应计时器。

工作原理：本发明在使用时，首先，数据采集单元对公务数据、商业数据、私人数据和公众数据进行采集，并将其传输至数据过滤单元，数据过滤单元对采集到的数据进行过滤除杂操作，将过滤后的公务数据、商业数据、私人数据、公众数据、审核数据集和未激活数据集以及数据来源日志传输至数据存储单元进行存储，将生成的授信等级不匹配信号返回至数据提供者，数据处理单元对数据进行黑箱计算，得到数据使用日志并将其传输至数据存储单元进行更新存储，将得到的秘钥数据和结果加密数据传输至数据共享单元，数据管理单元对信任值和数据存储单元中的数据进行管理释放，对审核数据集、未激活数据集以及信任值管理，同时对数据存储单元中的数据进行空间释放管理，数据共享单元开通与需求用户的网络终端间开通双向独立网络通道，分别将秘钥数据和结果加密数据通过两个不同通道传输至需求用户的网络终端。

在本发明的描述中，需要理解的是，术语“上”、“下”、“左”、“右”等指示方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以及特定的方位构造和操作，因此，不能理解为对本发明的限制。此外，“第一”、“第二”仅由于描述目的，且不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。因此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者多个该特征。本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”“相连”“连接”等应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接连接，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。