一种视频会议数据安全共享方法

本发明涉及信息安全传输技术领域，特别是涉及一种视频会议数据安全共享方法。

随着时代的发展，大众的沟通方式被迫从面对面迅速转变为数字化，使得视频会议的应用越来越广泛。而5G通信应用的广泛部署，加速了视频会议行业应用生态链向着更加智能、高效、快捷的方向不断迭代升级，这成为牢牢抓住用户的核心与关键。视频会议作为一种能让各方透过网络与终端通信设备实时传输视频和音频数据的沟通方式，在持续提升用户沟通效率、缩减企业差旅费用成本、提高管理成效等方面具有得天独厚的优势。

视频会议网络中传输海量信息，通过充分挖掘这种多元化、全方位数据的价值，可以按需提供、快速响应各方相应的服务需求，赋能实体经济、加速时代的进步。这种聚集大众智慧的海量数据流通与共享对视频会议行业生态链发展的必要性毋庸置疑，然而，由于（1）视频会议行业应用生态链中的各方（网络运营商、云服务提供商、垂直行业应用提供商以及行业客户等）常根据自身需要共享视频会议终端（简称终端）数据，而数据的跨域流通将增加终端隐私数据暴露的风险。（2）使用5G通信的视频会议数据具有快速传播与行为迅速蔓延等特点，这增加了携带隐私信息的终端共享数据遭他人觊觎、窃取、分析以谋利的风险。以上各方在共享终端隐私数据中存在的安全隐患，将使用户产生不安全感和不愿参与感，从而导致：（1）视频会议场景中，因企业各部门数据无法共通，导致数据像孤岛一样缺乏关联性，无法发挥海量数据应有的价值。（2）视频会议行业应用生态链上，多企业因终端数据的安全问题拒绝共享其隐私信息和敏感数据，从而无法提升视频会议应用的数据质量和终端体验，背离大数据服务宗旨与5G时代发展需求。从以上的问题中可以看出，在5G网络“万物互联”应用环境下，解决视频会议中数据的安全共享问题，对视频会议行业应用生态链的发展至关重要。

本发明的目的是提供一种视频会议数据安全共享方法，提高了共享数据的安全性。

为实现上述目的，本发明提供了如下方案：

一种视频会议数据安全共享方法，包括：

根据历史终端数据集和向共享方发出共享数据申请的应用方的数量确定共享方的最大准标识符组规模；所述共享方为视频会议的数据共享方；

根据最大准标识符组规模、终端隐私泄露概率和所述共享方的终端数据集的隐私泄露阈值确定k值的最小取值；

根据所述终端数据集中各准标识符组的规模确定数据质量评估的辨识度度量阈值，根据所述辨识度度量阈值确定k值的最大取值；

在所述最小取值和所述最大取值的范围之内确定k值；

利用确定的k值，对所述终端数据集执行k-匿名操作，获得k-匿名化的数据集；

从所述k-匿名化的数据集的每个匿名组中随机选择一条元组，组成重组数据集合；

分别对重组数据集合中各数据子集使用随机选择的密钥进行加密，获得加密后的重组数据集合，并将加密后的重组数据集合存储于内容服务器；数据子集与随机选择的密钥一一对应；

通过所述共享方利用(m,n)-门限共享将随机选择的密钥拆成n个子密钥，其中，m为预设值；

通过所述共享方向密钥服务器申请访问DHT网络的访问密钥，并采用访问密钥访问DHT网络，生成各子密钥的在DHT网络中的映射位置；

当应用方向所述共享方申请待共享数据时，应用方向所述密钥服务器申请与所述待共享数据对应的访问密钥，根据申请到的访问密钥访问DHT网络中各子密钥的映射位置，根据各子密钥的映射位置确定待共享数据对应各数据子集的密钥，并根据各数据子集的密钥获得相应的共享数据。

可选地，所述在所述最小取值和所述最大取值的范围之内确定k值，具体包括：

判断所述最大取值是否大于或等于所述最小取值；

若是，则在所述最小取值和所述最大取值的范围之内确定k值；

若否，则减小所述应用方的数量，根据减小后的所述应用方的数量确定共享方的最大准标识符组规模，返回步骤“根据最大准标识符组规模、终端隐私泄露概率和所述共享方的终端数据集的隐私泄露阈值确定k值的最小取值”。

可选地，所述根据历史终端数据集和向共享方发出共享数据申请的应用方的数量确定共享方的最大准标识符组规模；所述共享方为视频会议的数据共享方，具体包括：

根据公式确定共享方的最大准标识符组规模，其中Sj表示最大准标识符组规模，np表示应用方的数量，λ表示权重，Sj-1表示共享方的历史最大准标识符组规模。

可选地，所述根据最大准标识符组规模、终端隐私泄露概率和所述共享方的终端数据集的隐私泄露阈值确定k值的最小取值，具体包括：

将终端敏感值在准标识符组中的出现频率作为终端隐私泄露概率，其中，终端隐私泄露概率表示为，Gi’表示所述终端数据集中第i’个准标识符组的规模，Gi’≤Sj，Sj表示最大准标识符组规模，N表示准标识符组的数量，ri’表示终端的敏感属性在准标识符组中出现的次数；

根据公式确定隐私泄露阈值，其中，Pj表示隐私泄露阈值，np表示应用方的数量，λ’表示权重，Pj-1表示历史隐私泄露阈值；

根据终端隐私泄露概率和隐私泄露阈值确定k值的最小取值为kmin=，l表示在全部准标识符组中的敏感属性的重复次数最大值。

可选地，所述根据所述终端数据集中各准标识符组的规模确定数据质量评估的辨识度度量阈值，根据所述辨识度度量阈值确定k值的最大取值，具体包括：

根据数据质量评估辨识度度量标准确定数据质量评估的辨识度度量阈值，所述数据质量评估辨识度度量标准表示为，其中，Gi’表示所述终端数据集中第i’个准标识符组的规模，Gi’≤Si’，Sj表示最大准标识符组规模，N表示准标识符组的数量；

根据所述辨识度度量阈值确定k值的最大取值为kmax=。

可选地，所述通过所述共享方利用(m,n)-门限共享将随机选择的密钥拆成n个子密钥，其中，m为预设值，具体包括：

通过共享方从有限域中任意选取n个不同的非零元素，构成第一非零元素集合{x1,x2,...,xn}；

通过共享方从有限域中任意选取m-1个不同的非零元素，构成第二非零元素集合{y1,y2,...,ym-1};

根据第二非零元素集合构成m-1阶多项式，其中，p表示大素数，yr表示{y1,y2,...,ym-1}中第r个元素，xr表示x的r次方，Kq表示第q个数据子集对应的随机选择的密钥；

将{x1,x2,...,xn}中各元素代入多项式f(x)获得{k1,k2,...,kn}，则n个子密钥集合为{(x1,k1),(x2,k2),...,(xn,kn)}。

可选地，所述通过所述共享方向密钥服务器申请访问DHT网络的访问密钥，并采用访问密钥访问DHT网络，生成各子密钥的在DHT网络中的映射位置，具体包括：

通过所述共享方向密钥服务器申请访问DHT网络的访问密钥，并采用访问密钥访问DHT网络，采用加密安全伪随机数生成器生成各子密钥的在DHT网络中的映射位置；所述加密安全伪随机数生成器表示为locj’=(axj’+b)+modc，其中，xj’表示所述第一非零元素集合中第j’个元素，a、b和c均为质数，locj’表示第j’个子密钥的映射位置。

可选地，所述根据各子密钥的存储位置确定待共享数据对应各数据子集的密钥，具体包括：

至少根据m个子密钥的存储位置确定待共享数据对应数据子集的密钥，根据m个子密钥的存储位置确定待共享数据对应数据子集的密钥为：

；

其中，xi表示所述第一非零元素集合中元素，xv表示所述第一非零元素集合中元素，p表示大素数。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明共享方通过k-匿名模型的最优k值遴选的结果控制数据集的安全分块，以解决k-匿名模型无法抵挡同质攻击和背景知识攻击的问题，共享方通过将分块数据的加密密钥映射进入DHT网络，实现数据生命周期内安全共享、生命周期外确定性删除，从而解决数据迁移问题与数据残留问题所造成的安全威胁，提高了共享数据的安全性。

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一种视频会议数据安全共享方法流程示意图；

图2为本发明一种视频会议数据安全共享方法原理示意图。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的目的是提供一种视频会议数据安全共享方法，提高了共享数据的安全性。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本发明一种视频会议数据安全共享方法流程示意图，如图1所示，一种视频会议数据安全共享方法，包括：

步骤101：根据历史终端数据集和向共享方发出共享数据申请的应用方的数量确定共享方的最大准标识符组规模；共享方为视频会议的数据共享方。

步骤102：根据最大准标识符组规模、终端隐私泄露概率和共享方的终端数据集的隐私泄露阈值确定k值的最小取值。

步骤103：根据终端数据集中各准标识符组的规模确定数据质量评估的辨识度度量阈值，根据辨识度度量阈值确定k值的最大取值。

步骤104：在最小取值和最大取值的范围之内确定k值。

确定的k值大于或等于最小取值，且小于或等于最大取值。

步骤105：利用确定的k值，对终端数据集执行k-匿名操作，获得k-匿名化的数据集。

步骤106：从k-匿名化的数据集的每个匿名组中随机选择一条元组，组成重组数据集合。

步骤107：分别对重组数据集合中各数据子集使用随机选择的密钥进行加密，获得加密后的重组数据集合，并将加密后的重组数据集合存储于内容服务器；数据子集与随机选择的密钥一一对应。

步骤108：通过共享方利用(m,n)-门限共享将随机选择的密钥拆成n个子密钥，其中，m为预设值。

步骤109：通过共享方向密钥服务器申请访问DHT网络的访问密钥，并采用访问密钥访问DHT网络，生成各子密钥的在DHT网络中的映射位置。

步骤110：当应用方向共享方申请待共享数据时，应用方向密钥服务器申请与待共享数据对应的访问密钥，根据申请到的访问密钥访问DHT网络中各子密钥的映射位置，根据各子密钥的映射位置确定待共享数据对应各数据子集的密钥，并根据各数据子集的密钥获得相应的共享数据。

其中，步骤104具体包括：判断最大取值是否大于或等于最小取值。

若是，则在最小取值和最大取值的范围之内确定k值。

若否，则减小应用方的数量，根据减小后的应用方的数量确定共享方的最大准标识符组规模，返回步骤“根据最大准标识符组规模、终端隐私泄露概率和共享方的终端数据集的隐私泄露阈值确定k值的最小取值”。

其中，步骤101具体包括：

根据公式确定共享方的最大准标识符组规模，其中Sj表示最大准标识符组规模，np表示应用方的数量，λ表示权重，Sj-1表示共享方的历史最大准标识符组规模。

其中，步骤102具体包括：

将终端敏感值在准标识符组中的出现频率作为终端隐私泄露概率，其中，终端隐私泄露概率表示为，Gi’表示终端数据集中第i’个准标识符组的规模，Gi’≤Sj，Sj表示最大准标识符组规模，N表示准标识符组的数量，ri’表示终端的敏感属性在准标识符组中出现的次数。

终端的敏感属性包括终端的地理位置信息，视频会议连接时长等终端非授权无法查看的信息，也即终端的隐私信息。

根据公式确定隐私泄露阈值，其中，Pj表示隐私泄露阈值，np表示应用方的数量，λ’表示权重，Pj-1表示历史隐私泄露阈值；

根据终端隐私泄露概率和隐私泄露阈值确定k值的最小取值为kmin=，l表示在全部准标识符组中的敏感属性的重复次数最大值。

其中，步骤103具体包括：

根据数据质量评估辨识度度量标准确定数据质量评估的辨识度度量阈值，数据质量评估辨识度度量标准表示为，其中，Gi’表示终端数据集中第i’个准标识符组的规模，Gi’≤Sj，Sj表示最大准标识符组规模，N表示准标识符组的数量。

根据辨识度度量阈值确定k值的最大取值为kmax=。

其中，步骤108具体包括：

通过共享方从有限域中任意选取n个不同的非零元素，构成第一非零元素集合{x1,x2,...,xn}。

通过共享方从有限域中任意选取m-1个不同的非零元素，构成第二非零元素集合{y1,y2,...,ym-1}。

根据第二非零元素集合构成m-1阶多项式，其中，p表示大素数，yr表示{y1,y2,...,ym-1}中第r个元素，xr表示x的r次方，Kq表示第q个数据子集对应的随机选择的密钥。

将{x1,x2,...,xn}中各元素代入多项式f(x)获得{k1,k2,...,kn}，则n个子密钥集合为{(x1,k1),(x2,k2),...,(xn,kn)}。

其中，步骤109具体包括：

通过共享方向密钥服务器申请访问DHT网络的访问密钥，并采用访问密钥访问DHT网络，采用加密安全伪随机数生成器生成各子密钥的在DHT网络中的映射位置；加密安全伪随机数生成器表示为locj’=(axj’+b)+modc，其中，xj’表示所述第一非零元素集合中第j’个元素，a、b和c均为质数，locj’表示第j’个子密钥的映射位置。

其中，步骤110中根据各子密钥的存储位置确定待共享数据对应各数据子集的密钥，具体包括：

至少根据m个子密钥的存储位置确定待共享数据对应数据子集的密钥，根据m个子密钥的存储位置确定待共享数据对应数据子集的密钥为：

；

其中，xi表示所述第一非零元素集合中元素，xv表示所述第一非零元素集合中元素，p表示大素数。

下面详细说明本发明一种视频会议数据安全共享方法，本发明一种视频会议数据安全共享方法分别数据安全分块和数据生命周期可控两部分。

数据安全分块中，共享方通过分析隐私泄露阈值和数据质量阈值对经k-匿名处理后的数据集其隐私性和可用性的影响确定最优k值，通过最优k值对终端数据集进行安全分块存储与发布，解决k-匿名模型无法抵挡同质攻击和背景知识攻击的问题。

数据安全分块包括以下步骤：

Step1：共享方设定最大准标识符组大小。终端数据集（视频会议中所有终端的数据集）中，每个终端的数据对应终端数据集中一条元组，即终端数据集中每条元组属于不同终端。共享方统计向其（共享方）申请共享数据请求的其他方(应用方)数量np，并根据历史终端数据集中最大准标识符组的大小定义本次准标识符组的最大规模，其中，λ为共享方定义的权重。

Step2：共享方计算满足隐私性要求的k取值范围。共享方通过计算数据集（包含所有终端数据的数据集，即终端数据集）的隐私泄露阈值与终端的隐私泄露概率得到满足隐私保护要求的最优k值。

Step2-1：共享方计算终端隐私泄露概率。定义终端敏感值在准标识符组中的出现频率，Pl即为终端的隐私泄露概率。其中，Gi’表示数据集（终端数据集）中第i’个准标识符组的规模，Gi’≤Si’，ri’为终端的敏感属性在准标识符组中出现的次数，N为准标识符组的数量。设全部准标识符组中的敏感属性值的重复次数最大为l时，由ri’≤l和o≥mi’’≥k可推出终端的隐私泄露概率Pl≤l/k，其中o为该终端的连接候选集中元组的个数，mi’’表示终端i’’所在的准标识符组中元素的个数。

Step2-2：共享方计算隐私泄露阈值。共享方统计向其申请共享数据请求的其他方数量np，并根据其数据集的历史被感兴趣概率（也为数据集被攻击者感兴趣的概率）计算当前数据集为被其他方感兴趣的概率，其中，λ’为共享方定义的权重。Pj即为终端数据的隐私泄露阈值。

Step2-3：若攻击者希望通过攻击数据集得到其中某个终端的隐私信息，那么，对于隐私泄露概率Pj，令Pl≤Pj，即l/k≤Pj，则可得到满足隐私保护要求的k取值范围，为：k≥l/Pj。

Step3：共享方计算满足数据质量要求的k取值范围。数据质量评估使用辨识度度量标准，其中，Gi’表示数据集表中第i’个准标识符组的规模，Gi’≤Sj，N为准标识符组的数量。CDM越小，表示经k-匿名处理后的数据集中各元组的数据质量越好。由于任意准标识符组Gi’满足k≤|Gi’|≤2k-1，则k≤CDM≤2k-1成立。那么，当共享方给定元组辨识度阈值时，令2k-1≤，则有k≤1/2(+1)，此时数据集满足共享方对数据质量的要求。

Step4：k值最优遴选。k值最优遴选要求数据集经k-匿名处理后能同时满足隐私保护程度与数据质量要求，选择方法如下：

Step4-1：计算满足隐私保护要求的最小k值。根据隐私泄露阈值Pj，共享方计算kmin=。

Step4-2：计算满足数据质量要求的最大k值。根据元组辨识度阈值，计算kmax=。

Step4-3：确定k的取值范围。若kmax≥kmin成立，则kmin和kmax之间的元素为k值集合。反之，说明Step1共享方定义的准标识符组不合理，共享方通过控制请求共享数据方的数量调整准标识符组规模（减少应用方的数量），并重新执行Step1~4。

Step4-4：确定k值。若k值集合中只有一个元素，该元素则为k-匿名模型中的最优k值。若k值集合中存在多个元素，则共享方需要先根据不同的k值对数据集表进行匿名化处理，再根据Step2与Step3比较各个匿名表的隐私保护程度和数据质量程度与其共享偏好的匹配程度，选择可接受的最接近k值，即从kmin和kmax之间人为选择一个值，共享方若更看重数据集的隐私保护程度，则人为选择一个更接近于kmax的值，若更看重数据质量，则人为选择一个更接近于kmin的值。由于此时k值集合中的元素已经很少，该过程算法的复杂度仅为常数增加，即不会影响方案的运行效率，该算法可行。

Step5：数据安全分块。共享方选定好k值之后，对数据集执行k-匿名操作。之后，共享方从已经k-匿名化的数据集的每个匿名组中随机选择某条元组，组成新的组集合{D1,D2,...,DI/k}，其中I为数据集的总元组数。

数据生命周期可控包括以下步骤：

数据生命周期可控从共享数据方侧入手构建生命周期可控的数据安全共享机制，包括数据生命周期内安全共享、生命周期外确定性删除的过程，以解决因数据迁移问题与数据残留问题造成的安全威胁。本模块利用DHT（分布式哈希表）网络的自动清洁特性，即存储在其中的数据将随着网络的发展/更新而发生不可逆转的消失，以控制终端数据生命周期外的确定性删除。

Step1：数据集加密。共享方使用加密方式封装经数据安全分块模块处理后生成的数据集集合{D1,D2,...,DI/k}。以数据子集D1为例，共享方使用随机选择的密钥K1加密数据子集D1以获取加密数据，其中，表示一种加密方式。

Step2：加密数据存储。共享方将加密数据存入可信的第三方内容服务器中。

Step3：随机密钥拆分。共享方利用(m,n)-门限秘密共享将选择随机密钥K1拆分成n块，其中，秘密共享中的门限m为终端根据DHT服务器的更新频率f设置（由共享方对DHT服务器的租期决定），以控制共享数据生命周期的长度。

Step3-1：共享方从有限域中任意选取n个不同的非零元素{x1,x2,...,xn}。同时在有限域中任选m-1个非零元素{y1,y2,...,ym-1}构成m-1阶多项式f(x)=，其中，p是一个大素数且K1

Step3-2：共享方将n个不同的非零元素{x1,x2,...,xn}带入多项式f(x)，据此将随机密钥K1拆分成n份子密钥ki=f(ki)，(i=1,2,...,n)，生成子密钥集合{(x1,k1),(x2,k2),...,(xn,kn)}。

Step4：共享方申请访问DHT网络密钥。共享方向可信的第三方密钥服务器申请数据编号为的随机选择访问密钥访问DHT网络。

Step5：密钥映射。共享方使用访问密钥访问DHT网络，并使用加密安全伪随机数生成器locj’=(axj’+b)+modc生成各子密钥的存储位置，并将子密钥集合{(x1,k1),(x2,k2),...,(xn,kn)}中的n个密钥逐一映射至DHT网络中的相应位置，其中locj’为所映射的位置，a、b和c为质数。

Step6：数据生命周期内安全共享。其他方若希望查看共享数据块D1，则要在数据的生命周期内向三方密钥服务器申请访问密钥，通过访问DHT网络中存储数据块D1的密钥其位置，并获得至少m片的子密钥，计算，恢复完整密钥，解密得到相应数据集。

Step7：数据生命周期外确定性删除。若申请共享数据请求的其他方在数据生命周期外申请共享数据的访问权，则因DHT网络的自清洁的特性，在一定的时间后，DHT中存储的子密钥将根据服务器更新频率f被新加入的子密钥逐渐覆盖。当数据集D1的随机密钥K的子密钥数量小于m份时，则申请共享数据请求的其他方无法恢复该数据块的密钥，该数据块即被视为确定性删除，以此解决共享过程中的数据迁移问题与数据残留问题所造成的安全威胁。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。