隐私计算课程笔记 第1讲-数据可信流通 从运维信任到技术信任（2024.3.18）

1、数据可信流通

       数据可信流通首次在《数据二十条》中提出：“建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系”。

        关于可信的反思：信任是设计交易或交换关系的基础。

        信任的基石：①身份可确认；②利益可依赖；③能力有预期；④行为有后果。

2、 数据流通中的不可信风险

       可信链条的级联失效，以至于崩塌。 相关安全事件：

        ① 持有权保障风险

•  黑客门：2023 年 2 月，万国数据和新加坡的数据中心被黑客攻击，客户登录信息泄露。
• 内鬼门：美国科技公司 Ubiquiti 在 2021 年 1 月爆出数据泄漏事件，导致市值损失数亿美元。最后确认是该公司员工监守自盗。

        ②越权使用风险

• 滥用门：剑桥分析公司未按约定使用从 Facebook 获得的 8000 万用户数据，擅自将数据用于政治广告分析，导致脸书公司遭受 50 亿美元的罚款。

       

3、数据安全

        内循环：数据持有方在自己的运维安全域内对自己的数据使用和安全拥有全责。

        外循环：数据要素在离开持有方安全域后，持有方仍然拥有管控需求和责任。

        数据安全从内循环模式发展为外循环模式，外循环给传统数据安全带来全新挑战。数据离开持有方安全域后，信任基石遭到破坏：

        ①责任主体不清；

        ②利益诉求不一致；

        ③能力参差不齐；

        ④责任链路难追溯。

4、数据可信流通的技术信任

        数据可信流通，从运维信任走向技术信任，解决信任级联失效。

        

        基于密码学与可信计算技术的数据可信流通全流程保障（信任四要素）

        ①身份可确认：可信数字身份

        ②利益能对齐：使用权跨域管控

        ③能力有预期：通用安全分级测评

        ④行为有后果：全链路审计

        以上要素呼应《数据二十条》。

        《数据二十条》作为数据可信流通的政策指导，“建立数据来源可确认、使用范围可界定、流通过程可追溯、安全风险可防范的数据可信流通体系”。

        ①受控匿名化：可算不可识

        ②使用权跨域管控：使用可界定

        ③全链路审计（真实 完整 及时）：流通可追溯

        ④密态计算 密态胶囊：可用不可见

        ⑤可信数字身份（CA，远程验证）：来源可确认

  4.1 技术信任 ① 可信数字应用身份：证明你是你，从哲学走向技术

• CA 证书：验证机构实体

• • 基于公私钥体系
  • 权威机构注册

• 远程验证（Remote Attestation）：验证数字应用实体

• • 基于硬件芯片可信根（TPM/TCM）与可信计算体系

• • • 已经是等级保护标准的关键组成部分

• • 验证网络上某节点运行的是指定的软件和硬件

• • • 甚至不需要知道它在哪、是谁在运维

• 能够远程验证 数字应用的身份，并对执行环境做度量，是技术信任的根基

4.2 技术信任 ② 使用权跨域管控：利益对齐的核心技术要求

• 使用权跨域管控：是指数据持有者在数据（包括密态）离开其运维安全域后，依然能够对数据如何加工使用进行决策，防泄漏防滥用，对齐上下游利益诉求
• 重点

• • 对运维人员的限制
  • 对数据研发过程的管控
  • 对全链路可信审计的保障

• 技术体系

• • 包括跨域计算、跨域存储、可信审计等，不允许本地运维单方决策。可以通过 隐私计算、可信计算、机密计算 等不同技术路线实现，但技术要求标准是一致的

4.3 技术信任 ③ 能力预期与不可能三角：安全要求，功能复杂度，单位成本 👉 未来多种技术路线并存，安全分级平衡性能成本需求

        不可能三者同时达到最优，因此会对数据进行一定的分类分级：一般数据、重要数据、核心数据。当前通过技术突破，隐私计算成本从万倍以上降至百倍、十倍甚至两倍以内。

4.4 技术信任 ④ 全链路审计，闭环完整的数据可信流通体系

• 控制面：以可信计算和区块链为核心支撑技术构建数据流通管控层，包括跨域管控与全链路审计
• 数据面：以隐私计算为核心支撑技术构建米太数联网，包括密态枢纽与密态管道

能够达到泄露/滥用责任追溯

• 数据流通全链路审计：需要覆盖从原始数据

• 原始数据

• • 损失最大
  • 责任难界定
  • 注意 API 直连

• 密态数据

• • 损失最小

• 衍生数据

• • 有损失
  • 依赖于信息熵损耗
  • 责任能界定

• 数据流通全链路审计：需要覆盖从原始数据到衍生数据的端到端的全过程
• 密态流通可以破解 网络安全保险（数据要素险）中风险闭环的 两大难题（定责和定损）

   5 、技术展望：技术信任开启数据密态时代，保障广域数据可信流通

       

 数据密态

• 数据以密态形式流通，保障其存储、计算、运维、研发、应用交付直到销毁的全链路安全可控
• 数据流通领域正在告别数据明文时代，开启“数据密态时代”新征程，确保数据不泄露不滥用

        密码学是数据密态本源技术

        ①将访问控制边界从运维人员管控的网络物理边界，扩展成密钥管控的虚拟数字空间边界

        ②将对数据的加密保护从存储和传输的静态安全，扩展到计算和研发过程中的动态安全

        ③与可信芯片和机密计算技术协同保障，从而大幅度降低密态计算的成本，实现低成本密态计算

        数据可信流通的基础设施：密态天空计算

        

密态天空计算构建可信数据空间：

• 基于技术信任的跨域管控
• 基于密态标准的数据互通
• 基于天空计算的跨云互联
• 覆盖数据密态流通全链路

        数据可信流通需要 安全可信基础设施 的融合布局。