(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111430889.3 (22)申请日 2021.11.29 (71)申请人 上海欣兆阳信息科技有限公司 地址 200030 上海市徐汇区乐 山路33号3幢 609室 (72)发明人 许千帆　元张毅　 (74)专利代理 机构 上海申浩 律师事务所 31280 代理人 赵青　孟咪 (51)Int.Cl. G06F 21/60(2013.01) G06F 21/62(2013.01) H04L 9/40(2022.01) (54)发明名称 数据的打标签方法、 系统、 电子设备和可读 存储介质 (57)摘要 本发明提供了一种数据的打标签方法、 数据 的打标签系统、 电子设备和计算机可读存储介 质。 数据的打标签系统包括管理单元、 标签需求 端的分布式安全传输模块、 标签供给端的分布式 安全传输模块和标签供给端的分布式安全计算 模块， 所述管理单元包括身份管理模块、 标签匹 配索引模块和通道密钥管理模块。 本申请的数据 的打标签系统及其打标签的方法主要通过两层 密钥加密技术和分布式技术共同保证标签需求 端和标签供给端之间的数据交互的安全性和 高 效性， 在交换标签的同时， 保障个人隐私信息安 全。 权利要求书3页 说明书8页 附图2页 CN 114357472 A 2022.04.15 CN 114357472 A 1.一种数据的打标签方法， 其特 征在于， 包括： 步骤S1： 标签需求端的分布式安全传输模块使用管理单元查找标签匹配索引以获知能 够提供标签的一个或多个标签供 给端； 步骤S2： 所述标签需求端的分布式安全传输模块向所述一个或多个标签供给端发起标 签匹配计算申请； 步骤S3： 所述管理单元生成通道加密密钥， 并将所述通道加密密钥发送给所述标签需 求端的分布式安全传输模块和所述标签供给端的分布式安全传输模块； 并且， 所述标签供 给端的分布式安全传输模块生成非对称密钥对， 并将非对称密 对中的非对称密公钥回传至 所述标签需求端的分布式安全传输模块； 步骤S4： 所述标签需求端的分布式安全传输模块接收通道加密密钥和公钥， 并生成数 据加密密钥， 并应用所述数据加密密钥对敏感数据进行对称加密， 加密结果为第一 Encrypted(sensitive ‑data,data ‑key)； 再应用非对称密公钥pub ‑key对数据加密秘钥 data‑key进行Encryp ted(data ‑key,pub‑key)加密， 加密结果为第一Encryp ted(data ‑key, pub‑key)； 最后对加密数据及加密秘钥进行通道加密， 即第一Encrypted((第一Encrypted (sensitive ‑data,data ‑key),第一Encryp ted(data ‑key,pub‑key)),第一cn ‑key)， 通道加 密后的数据由标签需求端的分布式安全传输模块发送给标签供给端的分布式安全传输模 块； 步骤S5： 所述标签供给端的分布式安全传输模块接收第一Encrypted((第一Encrypted (sensitive ‑data,data ‑key)， 第一Encrypted(data ‑key,第一pub ‑key)),cn ‑key)并解密 以得到解密后的数据， 然后将解密后的数据传输至所述标签供给端的分布式安全计算模 块； 步骤S6： 所述标签供给端的分布式安全计算模块对解密后的数据及所述标签供给端的 本地数据进行标签匹配计算， 并对能够匹配的解密后的数据提供标签以得到打标签完成的 数据； 步骤S7： 所述标签供给端的分布式安全传输模块接收所述打标签完成的数据， 并对打 标签完成的数据进行数据内容加密， 即第 二Encrypte d(sensitive ‑data,data ‑key)； 再应 用pub‑key对data ‑key进行第二Encryp ted(data ‑key,pub‑key)加密； 最后对加密数据及加 密秘钥进行通道加密， 即第二Encryp ted((第二Encrypted(sen sitive‑data,data ‑key),第 二Encryp ted(data ‑key,pub‑key)),第二cn ‑key)， 通道加密后的数据由标签供给端的分布 式安全传输模块发送给 标签需求端的分布式安全传输模块。 2.如权利要求1所述的数据的打标签方法， 其特征在于， 在步骤S1之前， 进一步包括步 骤： 标签需求端和标签供给端分别在各自的本地安装配置 分布式安全计算模块及分布式安 全计算模块。 3.如权利要求1或2所述的数据的打标签方法， 其特征在于， 在步骤S1之前， 进一步包括 步骤： 标签需求端和标签供给端分别在管理单元进行注册， 获取各自的专属t oken以供表明 和验证身份， 验证完身份的标签供给端将自身的标签库摘要信息传递至管理单元以供标签 需求端查找。 4.如权利要求3所述的数据的打标签方法， 其特征在于， 步骤S2包括： 所述标签需求端 的分布式安全传输模块向所述一个或多个标签供给端发起标签匹配计算申请， 并附带权　利　要　求　书 1/3 页 2 CN 114357472 A 2token， 标签供给端将标签需求端的t oken传输至所述管理单元对标签需求端进行标签需求 端的身份验证， 只有在验证通过后， 所述管理单 元才会生成通道加密 密钥。 5.如权利要求1所述的数据的打标签方法， 其特征在于， 步骤S4中的敏感数据包括身份 和设备。 6.一种数据的打标签系统， 其特征在于， 包括管理单元、 标签需求端的分布式安全传输 模块、 标签供给端的分布式安全传输模块和标签供给端的分布式安全计算模块， 所述管理 单元包括标签匹配索引模块和通道密钥管理模块， 所述标签匹配索引模块用于供标签需求端查找并获知能够提供标签的一个或多个标 签供给端； 还用于供标签供给端将自身的标签库摘要信息传递至管理单元以供标签需求端 查找； 所述通道密钥管理模块用于生成通道加密密钥， 并将所述通道加密密钥发送给所述标 签需求端的分布式安全传输模块和所述标签供 给端的分布式安全传输模块； 所述标签需求端的分布式安全传输模块用于使用管理单元的所述标签匹配索引模块 查找标签匹配索引以获知能够提供标签的一个或多个标签供给端； 还用于向所述一个或多 个标签供给端发起标签匹配计算申请； 还用于接 收通道加密密钥和公钥， 并生成数据加密 密钥， 并应用所述数据加密密钥对敏感数据进行对称加密， 加密结果为第一Encrypted (sensitive‑data,data ‑key)； 再应用非对称密公钥pub ‑key对数据加密秘钥data ‑key进行 Encrypted(data ‑key,pub‑key)加密， 加密结果为第一Encrypted(data ‑key,pub‑key)； 最 后对加密数据及加密秘钥进行通道加密， 即第 一Encrypted((第 一Encrypte d(sensitive ‑ data,data ‑key),第一Encrypted(data ‑key,pub‑key)),第一cn ‑key)， 通道加密后的数据 由标签需求端的分布式安全传输模块 发送给标签供给端的分布式安全传输模块； 还用于接 收标签供给端的分布 式安全传输模块发送的通道加密后的数据， 即第二Encrypted((第二 Encrypted(sensitive ‑data,data‑key),第二Encrypted(dat a‑key,pub‑key)),第二cn ‑ key)； 所述标签供给端的分布式安全传输模块用于接收管理单元发送的通道加密密钥； 还用 于接收所述标签需求端的分布式安全传输模块发送的标签匹配计算申请； 还用于生成非对 称密钥对， 并将非对称密 对中的非对称密公钥回传至所述标签需求端的分布式安全传输模 块； 还用于接收第一Encrypted((第一Encrypted(sensitive ‑data,data ‑key)， 第一 Encrypted(data ‑key,第一pub ‑key)),cn ‑key)并解密以得到解密后的数据， 然后将解密后 的数据传输至所述标签供给端的分布式安全计算模块； 还用于接收所述打标签完成的数 据， 并对打标签完成的数据进行数据内容加密， 即第二Encrypted(sensitive ‑data,data ‑ key)； 再应用pub ‑key对data ‑key进行第二Encrypted(data ‑key,pub‑key)加密； 最后对加 密数据及加密秘钥进行通道加密， 即第二Encrypted((第二Encrypted(sensitive ‑data, data‑key),第二Encrypted(data ‑key,pub‑key)),第二cn ‑key)， 通道加密后的数据由标签 供给端的分布式安全传输模块发送给 标签需求端的分布式安全传输模块； 所述标签供给端的分布式安全计算模块用于对解密后的数据及所述标签供给端的本 地数据进 行标签匹配计算， 并对能够匹配的解密后的数据提供标签以得到 打标签完成的数 据。 7.如权利要求6所述的数据的打标签系统， 其特征在于， 所述管理单元进一步包括身份权　利　要　求　书 2/3 页 3 CN 114357472 A 3