峰會(huì)回顧第21期 | 泛在共享環(huán)境下數(shù)據(jù)安全與隱私計(jì)算的發(fā)展趨勢(shì)及應(yīng)用

演講嘉賓 | 李鳳華

回顧整理 | 廖 濤

排版校對(duì) | 李萍萍

嘉賓簡(jiǎn)介

李鳳華，中國(guó)科學(xué)院信息工程研究所二級(jí)研究員、副總師、中國(guó)科學(xué)院特聘研究員、博士生導(dǎo)師。曾先后任計(jì)算機(jī)系主任、研究生處長(zhǎng)、科技處長(zhǎng)、副總工程師等。國(guó)務(wù)院學(xué)位委員會(huì)網(wǎng)絡(luò)空間安全學(xué)科評(píng)議組成員，中國(guó)科學(xué)院“百人計(jì)劃”學(xué)者，國(guó)家重點(diǎn)研發(fā)計(jì)劃“十三五”和“十四五”項(xiàng)目負(fù)責(zé)人、國(guó)家863計(jì)劃主題項(xiàng)目首席專(zhuān)家、NSFC-通用聯(lián)合基金重點(diǎn)項(xiàng)目負(fù)責(zé)人等；中國(guó)網(wǎng)絡(luò)空間安全協(xié)會(huì)理事，中國(guó)中文信息學(xué)會(huì)常務(wù)理事、大數(shù)據(jù)安全與隱私計(jì)算專(zhuān)業(yè)委員會(huì)主任，中國(guó)通信學(xué)會(huì)理事、期刊與出版工作委會(huì)副主任、學(xué)術(shù)工作委員會(huì)委員等；《網(wǎng)絡(luò)與信息安全學(xué)報(bào)》執(zhí)行主編，《WWW》、《CJE》、《電子學(xué)報(bào)》、《通信學(xué)報(bào)》編委等。主要從事網(wǎng)絡(luò)與系統(tǒng)安全、隱私計(jì)算、數(shù)據(jù)安全等方面研究，獲2018年網(wǎng)絡(luò)安全優(yōu)秀人才獎(jiǎng)、2001年國(guó)務(wù)院政府特殊津貼，近年來(lái)獲國(guó)家技術(shù)發(fā)明二等獎(jiǎng)1項(xiàng)、省部級(jí)科技進(jìn)步（或技術(shù)發(fā)明）一等獎(jiǎng)5項(xiàng)。

內(nèi)容來(lái)源

第一屆開(kāi)放原子開(kāi)源基金會(huì)OpenHarmony技術(shù)峰會(huì)——安全及機(jī)密計(jì)算分論壇

視頻回顧

正 文 內(nèi) 容

隨著現(xiàn)代計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息安全的重要性日益凸顯。中國(guó)有14億人口，是互聯(lián)網(wǎng)應(yīng)用和消費(fèi)大國(guó)，數(shù)據(jù)量近年具有暴漲趨勢(shì)。國(guó)家出臺(tái)的多項(xiàng)政策和戰(zhàn)略中均強(qiáng)調(diào)了數(shù)據(jù)安全能力建設(shè)的重要性。目前，在操作系統(tǒng)領(lǐng)域存在哪些數(shù)據(jù)安全挑戰(zhàn)，又有哪些應(yīng)對(duì)策略呢？中國(guó)科學(xué)院信息工程研究所二級(jí)研究員、副總師，中國(guó)科學(xué)院“百人計(jì)劃”學(xué)者李鳳華在第一屆OpenHarmony技術(shù)峰會(huì)上分享了精彩觀點(diǎn)。

01?

數(shù)據(jù)生產(chǎn)要素與數(shù)據(jù)流通

早期數(shù)據(jù)是少量、分散地流通與使用，但隨著數(shù)據(jù)廣泛集中，出現(xiàn)了大量的泄露、侵權(quán)等問(wèn)題。因此，國(guó)家一方面促進(jìn)數(shù)據(jù)流通，另一方面通過(guò)健全相關(guān)法律對(duì)數(shù)據(jù)進(jìn)行保護(hù)。最早于2017年出臺(tái)的《網(wǎng)絡(luò)安全法》對(duì)網(wǎng)絡(luò)運(yùn)營(yíng)者保護(hù)網(wǎng)絡(luò)信息安全提出了明確要求；黨的十九屆四中全會(huì)提出將數(shù)據(jù)作為獨(dú)立的新型生產(chǎn)要素；《中共中央、國(guó)務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》提出了“數(shù)據(jù)二十條”。國(guó)家的一系列關(guān)于數(shù)據(jù)安全能力建設(shè)的舉措，既保護(hù)了頭部、大規(guī)模企業(yè)的合法運(yùn)營(yíng)，也在一定程度上抑制了小規(guī)模企業(yè)對(duì)數(shù)據(jù)的非正常使用。

從數(shù)據(jù)本身的角度來(lái)看，數(shù)據(jù)是指圍繞產(chǎn)品設(shè)計(jì)、生產(chǎn)、銷(xiāo)售、售后服務(wù)，以及服務(wù)業(yè)等經(jīng)營(yíng)活動(dòng)中產(chǎn)生的全流程數(shù)據(jù)。其中，具備“六性”（ 可用性、機(jī)密性、隱私性、可控性、交易性、仲裁性）的數(shù)據(jù)才能成為生產(chǎn)要素。數(shù)據(jù)可信指確定數(shù)據(jù)的所有權(quán)、使用權(quán)、管理權(quán)和交易權(quán)等，并確保存儲(chǔ)和傳輸?shù)臋C(jī)密性、防篡改、不可否認(rèn)性，以及計(jì)算可控性、可信可控審計(jì)。

02?

數(shù)據(jù)安全的挑戰(zhàn)和對(duì)策

數(shù)據(jù)安全的全生命周期包含數(shù)據(jù)采集、數(shù)據(jù)傳輸/保護(hù)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)利用和數(shù)據(jù)銷(xiāo)毀。全生命周期中，各階段都需要進(jìn)行數(shù)據(jù)保護(hù)：（1）數(shù)據(jù)采集要保障本地源數(shù)據(jù)的安全；（2）數(shù)據(jù)傳輸/保護(hù)要保證數(shù)據(jù)的傳輸安全、機(jī)密性、完全性以及不可否認(rèn)性；（3）數(shù)據(jù)存儲(chǔ)要保證數(shù)據(jù)的存儲(chǔ)安全和正確的訪問(wèn)控制；（4）數(shù)據(jù)利用要保證數(shù)據(jù)的流轉(zhuǎn)管控與監(jiān)管、延伸控制；（5）數(shù)據(jù)銷(xiāo)毀要保證數(shù)據(jù)自動(dòng)刪除、按需刪除和刪除確認(rèn)。在全生命周期中，需要在每個(gè)環(huán)節(jié)做到數(shù)據(jù)保護(hù)，才能讓數(shù)據(jù)安全流通。

全生命周期數(shù)據(jù)安全

2.1??

CoAC訪問(wèn)控制

CoAC（Cyberspace-oriented Access Control）訪問(wèn)控制模型是泛在互聯(lián)環(huán)境下數(shù)據(jù)全生命周期可管可控的理論基礎(chǔ)，本質(zhì)是網(wǎng)絡(luò)接入的訪問(wèn)控制與信息系統(tǒng)的授權(quán)/鑒權(quán)進(jìn)行關(guān)聯(lián)，實(shí)現(xiàn)泛在接入場(chǎng)景下細(xì)粒度控制。CoAC具備泛在接入場(chǎng)景下授權(quán)管理、同一主體在不同系統(tǒng)的權(quán)限映射、場(chǎng)景適應(yīng)的權(quán)限可伸縮等能力，同時(shí)也能夠提供移動(dòng)和遠(yuǎn)程訪問(wèn)場(chǎng)景下的數(shù)據(jù)流動(dòng)細(xì)粒度邊界控制。在終端領(lǐng)域，終端是CoAC的發(fā)起方，還能夠支撐身份認(rèn)證、口令和密鑰存儲(chǔ)等。

CoAC訪問(wèn)控制模型

2.2??

數(shù)據(jù)控制

數(shù)據(jù)控制與訪問(wèn)控制不同，強(qiáng)調(diào)在數(shù)據(jù)操作、傳播、留存、交易、銷(xiāo)毀等方面的控制，本質(zhì)是數(shù)據(jù)和控制策略不可分離，支撐全生命周期應(yīng)用。通過(guò)數(shù)據(jù)控制，可以解決泛在傳播的權(quán)限控制、移動(dòng)業(yè)務(wù)的數(shù)據(jù)使用、多副本完備刪除以及全生命周期各操作環(huán)節(jié)的使用情況存證與合規(guī)審計(jì)等問(wèn)題。在終端領(lǐng)域，數(shù)據(jù)控制能夠支撐發(fā)起者的數(shù)據(jù)確權(quán)。

2.3??

密碼按需服務(wù)

密碼強(qiáng)調(diào)按需服務(wù)，對(duì)于終端規(guī)模海量、服務(wù)高并發(fā)的環(huán)境，支持隨機(jī)交叉加解密的高性能密碼按需服務(wù)是數(shù)據(jù)安全的關(guān)鍵。密碼按需服務(wù)需要根據(jù)服務(wù)類(lèi)型、計(jì)算能力以及性能需求等判斷密碼是否符合系統(tǒng)要求，并提供相應(yīng)的監(jiān)測(cè)分析手段?；诿艽a按需服務(wù)，通過(guò)對(duì)并發(fā)服務(wù)的密碼運(yùn)算狀態(tài)高效管理，能夠有效解決多App并發(fā)服務(wù)對(duì)臨界資源高效使用的技術(shù)瓶頸；通過(guò)對(duì)海量并發(fā)服務(wù)的密碼運(yùn)算狀態(tài)高效管理、性能線性可擴(kuò)展，也能夠解決海量并發(fā)服務(wù)時(shí)后臺(tái)密碼運(yùn)算的技術(shù)瓶頸。在終端領(lǐng)域，密碼按需服務(wù)能夠支撐密碼作業(yè)調(diào)度，同時(shí)能夠充分利用終端算力。

2.4??

機(jī)密計(jì)算

機(jī)密計(jì)算是在數(shù)據(jù)處理過(guò)程中將敏感數(shù)據(jù)隔離在受保護(hù)的區(qū)域（如可信執(zhí)行環(huán)境）中再使用數(shù)據(jù)的方法，其本質(zhì)是安全依賴(lài)于可控環(huán)境，解決參與計(jì)算的數(shù)據(jù)安全。通過(guò)機(jī)密計(jì)算，能夠保證計(jì)算環(huán)境的可信性、可控性以及機(jī)密性。具體的做法有：通過(guò)執(zhí)行環(huán)境隔離，提供可信執(zhí)行空間，未授權(quán)參與方不能進(jìn)入該空間；參與主體能監(jiān)控該環(huán)境的數(shù)據(jù)使用的合規(guī)性；參與的主體都不能窺探到在該環(huán)境內(nèi)的數(shù)據(jù)、代碼和操作，但可獲取計(jì)算結(jié)果。在終端領(lǐng)域，可信執(zhí)行環(huán)境（TEE）能夠提供可信計(jì)算環(huán)境，供操作系統(tǒng)調(diào)用。

2.5??

多方安全計(jì)算

多方安全計(jì)算通常采用不經(jīng)意傳輸（Oblivious Transfer）、秘密分享（Secret Sharing）、混淆電路（Garbled Circuit）、同態(tài)加密（Homomorphic Encryption）等密碼算法實(shí)現(xiàn)，支撐聯(lián)合統(tǒng)計(jì)、聯(lián)合建模、隱私集合求交和隱匿查詢(xún)等功能的實(shí)現(xiàn)，本質(zhì)是原始數(shù)據(jù)不出域、結(jié)果安全交換，支撐計(jì)算結(jié)果安全共享。通過(guò)多方安全計(jì)算，能夠保護(hù)消息接收方的意圖，并保障原始數(shù)據(jù)不出域。

多方安全計(jì)算平臺(tái)

2.6??

聯(lián)邦學(xué)習(xí)

聯(lián)邦學(xué)習(xí)是一種分布式的模型訓(xùn)練模式，合作方利用自身數(shù)據(jù)完成部分的模型訓(xùn)練，中心節(jié)點(diǎn)完成模型匯集。合作方之間交換訓(xùn)練中間結(jié)果和模型參數(shù)，而不交換數(shù)據(jù)本身，自然而然地不存在數(shù)據(jù)出域而導(dǎo)致的原始數(shù)據(jù)泄露，但中間結(jié)果的交換沒(méi)有防泄漏的機(jī)制，仍然存在部分?jǐn)?shù)據(jù)泄露的問(wèn)題，其本質(zhì)是原始數(shù)據(jù)不出域、算力分布利用。通過(guò)聯(lián)邦學(xué)習(xí)，算力不需要集中，可以充分利用分布式算力，減少最終模型需求方算力設(shè)備的資金投入；數(shù)據(jù)也不需要出域，迎合了原始數(shù)據(jù)不出供給方本地的愿望。

2.7??

數(shù)據(jù)安全態(tài)勢(shì)感知

數(shù)據(jù)安全態(tài)勢(shì)感知能夠?qū)Ω鱾€(gè)環(huán)節(jié)的數(shù)據(jù)狀態(tài)進(jìn)行采集與融合分析，本質(zhì)是無(wú)遺漏、及時(shí)的精準(zhǔn)采集，支撐準(zhǔn)確研判與有效處置。通過(guò)數(shù)據(jù)安全態(tài)勢(shì)感知，能夠?qū)挝粌?nèi)部數(shù)據(jù)、行業(yè)數(shù)據(jù)、區(qū)域數(shù)據(jù)、全國(guó)數(shù)據(jù)等安全態(tài)勢(shì)進(jìn)行精準(zhǔn)判斷，支撐風(fēng)險(xiǎn)的有效處置，也能夠?yàn)榻K端的數(shù)據(jù)確權(quán)和數(shù)據(jù)操作合規(guī)性提供佐證。

03?

隱私保護(hù)的挑戰(zhàn)與對(duì)策

大數(shù)據(jù)時(shí)代背景下，終端APP頻繁超范圍采集個(gè)人信息；后臺(tái)信息服務(wù)系統(tǒng)中的隱私數(shù)據(jù)越權(quán)使用、大數(shù)據(jù)殺熟、個(gè)人畫(huà)像結(jié)果濫用、個(gè)人信息過(guò)度留存等問(wèn)題與日俱增。目前針對(duì)單一系統(tǒng)提出隱私保護(hù)技術(shù)不能解決泛在受控共享，隱私信息跨系統(tǒng)共享難以確保多系統(tǒng)的隱私保護(hù)方案具有同等效果、一損俱損，需要從計(jì)算角度研究全生命周期的隱私計(jì)算框架、延伸控制。當(dāng)前隱私保護(hù)方案多種多樣，且隨著時(shí)間的推移和隱私數(shù)據(jù)的類(lèi)型不斷變化，需要考慮多算法融合，最終在“時(shí)間-隱私信息-隱私保護(hù)需求”三維空間中提出一種統(tǒng)一的描述方法，使隱私保護(hù)方案從零散的點(diǎn)形成連續(xù)演化的面。

隱私保護(hù)三維模型

3.1??

隱私計(jì)算

2015年李鳳華、李暉等學(xué)者在國(guó)際上率先提出并首次精準(zhǔn)定義了隱私計(jì)算(Privacy Computing)的概念、定義和學(xué)術(shù)內(nèi)涵，并提出了隱私計(jì)算理論與關(guān)鍵技術(shù)體系。

隱私計(jì)算定義

隱私計(jì)算是面向隱私信息全生命周期保護(hù)的計(jì)算理論和方法，是隱私信息的所有權(quán)、管理權(quán)和使用權(quán)分離時(shí)隱私度量、隱私泄露代價(jià)、隱私保護(hù)與隱私分析復(fù)雜性的可計(jì)算模型與公理化系統(tǒng)。隱私計(jì)算具體是指在處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡(luò)行為信息流等信息時(shí)，對(duì)所涉及的隱私信息進(jìn)行描述、度量、評(píng)價(jià)和融合等操作，形成一套符號(hào)化、公式化且具有量化評(píng)價(jià)標(biāo)準(zhǔn)的隱私計(jì)算理論、算法及應(yīng)用技術(shù)，支持多系統(tǒng)融合的隱私信息保護(hù)。

隱私計(jì)算涵蓋了信息搜集者、發(fā)布者和使用者在信息產(chǎn)生、感知、發(fā)布、傳播、存儲(chǔ)、處理、使用、銷(xiāo)毀等全生命周期過(guò)程的所有計(jì)算操作，并包含支持海量用戶、高并發(fā)、高效能隱私保護(hù)的系統(tǒng)設(shè)計(jì)理論與架構(gòu)。

審核編輯 黃宇