“數(shù)據(jù)使用安全”催生新型技術路線,密碼仍當?shù)?/h2>
數(shù)字認證

數(shù)據(jù)“使用”可以簡單理解為主體對輸入數(shù)據(jù)進行某種計算,得到輸出數(shù)據(jù)的過程。與存儲、傳輸?shù)刃袨椴煌?,“使用”行為中的輸入和輸出?shù)據(jù),通常是預期不等值的。

導語

《中華人民共和國數(shù)據(jù)安全法》已于9月1日正式開始施行,北京數(shù)字認證股份有限公司(以下簡稱“數(shù)字認證”)編撰了“數(shù)據(jù)安全與密碼”專題。作為該系列的第四篇文章,本期我們重點講述數(shù)據(jù)使用安全,并將盤點和分析“數(shù)據(jù)使用安全”主流技術路線,以及介紹數(shù)據(jù)使用安全的相關場景。

《中華人民共和國數(shù)據(jù)安全法》(以下簡稱“數(shù)據(jù)安全法”)所述的數(shù)據(jù)收集、存儲、傳輸、提供、公開等處理活動,其目標不外乎“使用”這些數(shù)據(jù),或“加工”這些數(shù)據(jù),創(chuàng)造新的價值,從而釋放數(shù)據(jù)紅利,為社會發(fā)展提供強大的推動力。從數(shù)據(jù)安全的角度來看,保護數(shù)據(jù)完整生命周期的安全,例如數(shù)據(jù)安全采集、安全傳輸、安全存儲,其根本目的是確保數(shù)據(jù)在“使用”時是真實可信的,對這些數(shù)據(jù)進行“使用”所獲得的價值是有效的。

被有效“使用”

是數(shù)據(jù)的最終價值體現(xiàn)

數(shù)據(jù)“使用”可以簡單理解為主體對輸入數(shù)據(jù)進行某種計算,得到輸出數(shù)據(jù)的過程。與存儲、傳輸?shù)刃袨椴煌?ldquo;使用”行為中的輸入和輸出數(shù)據(jù),通常是預期不等值的。

數(shù)據(jù)最終價值的體現(xiàn),是被“使用”并達到預期效果?!稊?shù)據(jù)安全法》中,第1條就明確定位“規(guī)范數(shù)據(jù)處理活動,保障數(shù)據(jù)安全,促進數(shù)據(jù)開發(fā)利用”是制定數(shù)據(jù)安全法的重要目標。也有院士指出,“數(shù)據(jù)不僅是一種工具,而且是一種戰(zhàn)略、世界觀和文化,將帶來一場社會變革,特別是公共管理與公共服務領域的變革”。

數(shù)據(jù)安全法第13條指出:“國家統(tǒng)籌發(fā)展和安全,堅持以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展”。因此,在數(shù)據(jù)得到安全采集、安全傳輸、安全存儲的基礎上,數(shù)據(jù)使用過程安全也越來越被重視。正是因為數(shù)據(jù)最終能夠“安全地被加工和使用”,數(shù)據(jù)安全采集、安全傳輸以及安全存儲才具備了價值。

盤點和分析“數(shù)據(jù)使用安全”

主流技術路線

如果說對于行為的主體身份真實性、行為不可否認性,數(shù)字簽名、時間戳等基于密碼的數(shù)據(jù)安全技術手段仍能有效滿足安全需求的話,那么對于計算過程中數(shù)據(jù)安全的需求則催生了一系列新技術路線的誕生,目前廣為討論的包括機密計算、隱私計算、同態(tài)加密等。

機密計算是機密計算聯(lián)盟(Confidential Computing Consortium)提出的概念,是一種基于密碼技術的數(shù)據(jù)安全解決方案,用于在處理計算機內存時隔離用戶數(shù)據(jù),以避免將數(shù)據(jù)暴露給其他應用程序、操作系統(tǒng)或其他云服務器租戶。支持機密計算實踐的最簡單方法是使用可信執(zhí)行環(huán)境(trusted execution environment,TEEs),也稱為Enclaves。這些是計算機CPU內存的硬件和/或軟件強制專用區(qū)域,只有某些應用程序可以在這些區(qū)域讀寫數(shù)據(jù)。

隱私計算是面向隱私信息全生命周期保護的計算理論和方法,是隱私信息的所有權、管理權和使用權分離時隱私度量、隱私泄漏代價、隱私保護與隱私分析復雜性的可計算模型與公理化系統(tǒng)。本質上是在保護數(shù)據(jù)隱私的前提下,解決數(shù)據(jù)流通、數(shù)據(jù)應用等數(shù)據(jù)服務問題。其核心理念包括“數(shù)據(jù)可用不可見,數(shù)據(jù)不動模型動”、“數(shù)據(jù)可用不可見,數(shù)據(jù)可控可計量”、“不共享數(shù)據(jù),而是共享數(shù)據(jù)價值”,其技術路線大致可分為基于協(xié)議的安全多方計算、基于現(xiàn)代密碼的聯(lián)邦學習、基于硬件的可信執(zhí)行環(huán)節(jié)。

同態(tài)加密是實現(xiàn)數(shù)據(jù)隱私計算的關鍵技術,主要指委托其它方進行數(shù)據(jù)處理之前,采用特定的加密算法對數(shù)據(jù)進行加密,由計算方在密文上直接計算,其處理結果等同于直接處理明文數(shù)據(jù),實現(xiàn)數(shù)據(jù)“可用”但“不可見”。典型的場景是數(shù)據(jù)持有者想對其持有的大量數(shù)據(jù)進行計算,但其擁有的計算資源不足,需要借助云服務器的算力完成該計算,因而采用同態(tài)加密算法。數(shù)據(jù)加密后傳輸?shù)皆品掌?,然后運行事先寫好的程序對密文進行計算,最終得到處理響應后,數(shù)據(jù)持有者對密文狀態(tài)的處理響應進行解密得到有效結果。在此過程中,云服務無法獲知明文數(shù)據(jù)的信息。

數(shù)據(jù)使用安全的場景示例

1.jpg

一個典型的場景是工業(yè)生產(chǎn)的細粒度實時監(jiān)管。在工業(yè)生產(chǎn)領域,對產(chǎn)品質量、可用性、安全性的監(jiān)管一直是生產(chǎn)過程的重要一環(huán),尤其是某些重要領域的產(chǎn)品,如果監(jiān)管不到位出現(xiàn)問題會造成嚴重的社會影響。早期對生產(chǎn)產(chǎn)品質量的監(jiān)管是階段性的,首先在生產(chǎn)活動之前建立質量體系,靠質量體系保證產(chǎn)品質量,然后通過產(chǎn)品抽查、接受投訴等方式進行市場監(jiān)督。而隨著信息技術的發(fā)展,現(xiàn)代的物聯(lián)網(wǎng)、傳感器技術以及大數(shù)據(jù)處理技術為更細粒度的監(jiān)管提供數(shù)據(jù)支撐,展開“非現(xiàn)場”的“實時監(jiān)管”,這已成為現(xiàn)代工業(yè)生產(chǎn)領域監(jiān)管的一個發(fā)展方向。

在這種根據(jù)實時數(shù)據(jù)進行監(jiān)管的模式中,由于生產(chǎn)環(huán)境中的各種數(shù)據(jù)屬于生產(chǎn)企業(yè)的核心機密,在監(jiān)管活動中,數(shù)據(jù)的安全性至關重要。必須設計適合此場景的數(shù)據(jù)安全機制,不但包括本地的數(shù)據(jù)采集過程、傳輸過程和存儲過程安全,還包括數(shù)據(jù)在到達監(jiān)管部門后保持安全狀態(tài),保證監(jiān)管部門從技術上無法獲知用戶的數(shù)據(jù),僅能根據(jù)規(guī)則對其進行合規(guī)性判斷,即“可用但不可見”。

從場景的描述可見,這正是隱私計算中“安全多方計算”技術可以一展身手的領域。安全多方計算問題首先由華裔計算機科學家、圖靈獎獲得者姚期智教授于1982年提出,也就是為人熟知的百萬富翁問題:兩個爭強好勝的富翁Alice和Bob在街頭相遇,如何在不暴露各自財富的前提下比較出誰更富有。

安全多方計算主要用于解決一組互不信任的參與方之間保護隱私的協(xié)同計算問題。通過將數(shù)據(jù)進行分割或類似的處理,拆分為若干份額,由獨立的多個參與者進行數(shù)據(jù)處理,通過保證輸入的獨立性保證各輸入值不泄露給參與計算的其他成員,從而使用戶隱私數(shù)據(jù)不會泄漏給任何處理者,通過密碼學設計算法和協(xié)議保證計算的正確性。安全多方計算使實體(應用程序、個人或設備)能夠在保持機密和私有狀態(tài)的情況下處理數(shù)據(jù),能夠很好的平衡系統(tǒng)可用性、效率和日益增加的隱私保護需求之間的矛盾。

例如在某個行業(yè)的生產(chǎn)企業(yè)和監(jiān)管部門,針對上述監(jiān)管場景,可設計如下圖的方案:

2.jpg

#01

在企業(yè)端部署安全監(jiān)管網(wǎng)關,用于將生產(chǎn)環(huán)境中通過物聯(lián)網(wǎng)傳感器采集到的數(shù)據(jù)、手動填寫的數(shù)據(jù)進行分割及其它處理,通過安全通道傳遞給多個不同的計算實體即安全監(jiān)管計算服務。

#02

安全監(jiān)管計算服務收到數(shù)據(jù),確認來源無誤、驗證完整性之后按照設定的計算公式進行計算,得到臨時計算結果。

#03

在最終監(jiān)管方部署安全監(jiān)管數(shù)據(jù)匯集系統(tǒng),系統(tǒng)得到多份臨時計算結果,按照設定的計算公式進行合并處理,得到實時數(shù)據(jù)與規(guī)則的匹配程度數(shù)據(jù)。以此為根據(jù),監(jiān)管方可根據(jù)策略采取措施,例如實時向企業(yè)發(fā)出報警等。

在此方案中,企業(yè)端的安全監(jiān)管網(wǎng)關的數(shù)據(jù)分割和處理使每個數(shù)據(jù)份額都無法透露其生產(chǎn)數(shù)據(jù)的隱私信息;這些數(shù)據(jù)份額由獨立的多個安全監(jiān)管計算服務計算,每個服務方均無法獲知企業(yè)生產(chǎn)數(shù)據(jù)的隱私,卻能夠各自完成海量數(shù)據(jù)與生產(chǎn)工藝標準的匹配度計算的一部分,得到臨時結果;最終所有的臨時結果能夠在監(jiān)管部門合并成為有參加價值的結果,用以輔助監(jiān)管方做出判斷并采取措施。

上述方案能夠為工業(yè)生產(chǎn)系統(tǒng)監(jiān)管環(huán)節(jié)提供強大的能力支撐,在實現(xiàn)保證企業(yè)隱私安全的前提下進行細粒度監(jiān)管,有力促進工業(yè)生產(chǎn)系統(tǒng)現(xiàn)代化。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論