隐私计算实训营第2期第1讲——数据可信流通：从运维信任到技术信任-CSDN博客

本文链接：https://blog.csdn.net/qq_48821884/article/details/139455467

1、数据可信流通体系

2、关于可信的反思：当我们在谈可信的时候，我们在谈什么

（1）信任概念由于其抽象性和结构复杂性，在社会学、心理学、营销学、经济学、管理学等不同的领域定义是不同的，但是达成共识的观点是：信任是涉及交易或交换关系的基础。

（2）信任的基石：①身份可确认（知道你的真实身份才能信任）②利益可依赖（将利益依赖于对方，对方更容易伤害到我）③能力有预期（了解对方的能力范围）④行为有后果（如果对方实现我的预期，那我会更加信任对方，形成正反馈；如果对方伤害我，信任会破裂，并且会受到严厉惩罚）

3、数据流通中的不可信风险：可信链条的级联失效，以至于崩塌

（1）为什么现在都谈可信，是因为不可信风险愈演愈烈

（2）在法规层面上，数据要素流转，它的持有权、加工使用权、经营权可以明晰地定义。例如，合同可以明确定义数据的持有权由哪个企业拥有。但是在技术层面上，由于数据很容易分割、拷贝、改变，这使得它的权益保障比较艰难。以往也出现过许多严重的数据安全事件。黑客门：2023 年 2 月媒体消息，万国数据和新加坡的数据中心被黑客攻击，客户登录信息泄露内鬼门：美国科技公司Ubiquiti在2021年1月曝出数据泄露事件，导致市值损失数亿美元。最后确认是该公司员工监守自盗。滥用门：剑桥分析公司未按约定使用从Facebook获得的8000万用户数据，擅自将数据用于政治广告分析，导致脸书公司遭受50亿美元的罚款

（3）数据流通过程中安全事件是持续高发的，原因是由以前的内循环模式改为外循环模式。内循环：数据持有方在自己的运维安全域内对自己的数据使用和安全拥有全责外循环：数据要素在离开持有方安全域后，持有方依然拥有管控需求和责任

4、数据内循环：传统数据安全的信任基础

在内循环中，主体身份是比较明确的；运维方、研发方、应用方的利益也是相对一致的；整体的数据安全保障有体系化的方法，能力可以稳步提升；；当出现了安全问题，他的追责也很明确。数据内循环可以在企业内部对数据起到相对安全的保障。

5、外循环的全新挑战：为什么内循环的数据安全方法难以适用？

在外循环中，当数据流通离开持有方的安全域之后，信任基石遭到破坏： ①责任主体不清：在数据流通过程中，相关主题承担什么责任搞不清楚 ②利益诉求不一致：除了持有方，每一个数据流通方，都有一个拷贝数据的冲动，从而进一步利用数据的价值 ③能力层次不齐：现实中有完善的数据保障能力的企业机构不多，只靠法规、合同等对数据安全进行保障是不够的 ④责任链路难追溯：当出现安全问题，责任追溯难度高。所以很多企业机构不敢、不愿拿出数据来进行流通

6、数据可信流通：从运维信任走向技术信任，解决信任级联失效

（1）数据可信流通的关键是要从运维信任走向技术信任，解决信任级联失效。数据可信流通需要全新的技术要求标准与技术方法体系

（2）这个全新的技术方法体系中涉及到四个部分： ①身份可确认：数据应用身份必须是可以明确的 ②利益能对齐：在数据流通的环节上，各主体方的利益必须是可以对齐的 ③能力有预期：企业机构的可信技术能力是可以被有效度量的 ④行为有后果：当出现安全问题时，责任要明晰，责任链路必须可以低成本追溯的

这四点要求正好可以呼应数据二十条对数据可信流通的要求，即“建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系”。

7、技术信任① 可信数字应用身份：证明你是你，从哲学走向技术

可以确认的数字身份要求在技术上实现为可信数字应用身份。运维层面上来说身份指的是某个主体中的某个运维人员，可信身份在这里指的是对某个主体或运维人员的信任；在技术层面上来说，需要知道跑的系统是什么系统，可以远程对这个系统进行身份验证。

（1）CA证书

从90年代开始，CA证书体系就开始广泛部署和应用，是今天电子商务和电子金融的重要基石。但是CA证书只验证了主体和个人，没法验证具体的数字应用实体。（2）可信计算技术

通过可信硬件芯片可以验证网络中某个节点运行相关的软件和硬件，甚至不需要知道这个节点是在哪、是谁在运维。

8、技术信任② 使用权跨域管控：利益对齐的核心技术要求

（1）在传统上，使用数据的隐含前提是要获取数据的原始明文，才能用数据进行计算。所以数据的持有权和使用权无法分割，也就是说想要使用数据，就必须获得数据的持有权。再加上数据有容易拷贝，容易篡改，容易分割的技术属性，就导致数据容易泄露和滥用。

（2）利益对其的核心技术是使用权的跨域管控。首先，使用权的跨域管控是一个通用的技术要求，数据离开了持有者的运维安全域之后，数据持有者依然能够对数据的任何加工使用进行决策，防泄露防滥用，对齐上下游利益诉求。

（3）使用权跨域管控的重点是： ①对运维人员的限制：防止运维人员监守自盗，滥用职权，导致数据泄露 ②对数据研发过程的管控：防止研发过程中的数据泄露和数据滥用 ③对全链路可信审计的保障：传统上，审计是每个主体内部的任务；但是对于数据流转而言，审计是一个跨域管控的要求，所以传统的主体内部的审计系统无法满足现有的要求。在数据流转过程中，主体内部的审计系统可能会由于主体自身利益诉求，对数据进行非法篡改，而导致整个审计链条的失效。所以跨域管控体系对此要有额外的保障，防止全链路的审计由于某个主体自身的利益诉求而遭到破坏。

（3）技术体系：包括跨域计算、跨域存储、可信审计等，不允许本地运维单方决策。可以通过隐私计算、可信计算、机密计算等不同技术路线实现，但技术要求标准必须是一致的。

9、技术信任③ 能力预期与不可能三角：安全要求，功能复杂度，单位成本

（1）不可能三角：安全要求，功能复杂度，单位成本三大要素不可能同时取优。例如，安全要求越高，功能复杂度越高，那么单位成本一定越高。所以在不同的应用场景下要分类分级。

（2）数据安全法中将数据分为三类，一般数据、重要数据、核心数据。核心数据的安全保护要能经受住专业的攻防检验。

（3）安全分级的技术挑战在于，跨技术路线（多方安全计算：纯密码学；联邦学习：密码学、机器学习；可信执行环境：硬件安全、系统安全）做安全分级和度量比较困难。

（4）由于不同的场景有不同的需求，安全分级要平衡性能和成本的需求，所以未来是不同技术路线并存。目前，通过技术突破，隐私计算成本从万倍以上降至百倍、十倍甚至两倍以内，能够很好地支持不同应用、不同场景、不同规模。

10、技术信任④全链路审计，闭环完整的数据可信流通体系

（1）数据流通全链路审计：需要覆盖从原始数据到衍生数据的端到端的全过程。数据在跨主体的流动过程中，涉及到的不同的技术、不同的要求、不同的管理十分复杂。在控制层面上，以可信计算和区块链为核心技术来构建整个的数据流通管控层，数据管控层包括跨域管控和全链路审计；在数据层面上，以隐私计算为核心技术来构建密态数联网，密态数联网包括密态枢纽与密态管道。数据在进入流通之前，要在受控环境里进行匿名化。

（2）闭环完整的要求是为了能够进行泄露/滥用责任追溯。传统上，数据持有者和数据加工使用者之间要把明文数据进行流转，所以当出现安全问题时，无法准确溯源。当责任追溯难度很大时，那么数据持有者拿出数据给别人使用的要承担的风险就很高，那么就没人愿意拿出数据来流转。如果实现密态数据流转，即流转的各个环节数据是密态的，那么数据泄露的损失就有所降低，也能减少追溯成本。

11、技术信任开启数据密态时代，保障广域数据可信流通

（1）数据密态：数据以密态形式流通，保障其存储、计算、运维、研发、应用交付直到销毁的全链路安全可控。数据流通领域正在告别数据明文时代，开启“数据密态时代”新征程，确保数据不泄露不滥用。

（2）数据密态实现的基础是密码学。密码学将访问控制边界从运维人员管控的网络物理边界，扩展成密钥管控的虚拟数字空间边界。密码学将对数据的加密保护从存储和传输的静态安全，扩展到计算和研发过程中的动态安全。由于纯密码学成本较高，所以大多情况下与可信芯片和机密计算技术协同保障，从而大幅度降低密态计算的成本，实现低成本密态计算。