演講嘉賓 | 李鳳華

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

李鳳華，中國科學(xué)院信息工程研究所二級研究員、副總師、中國科學(xué)院特聘研究員、博士生導(dǎo)師。曾先后任計算機系主任、研究生處長、科技處長、副總工程師等。國務(wù)院學(xué)位委員會網(wǎng)絡(luò)空間安全學(xué)科評議組成員，中國科學(xué)院“百人計劃”學(xué)者，國家重點研發(fā)計劃“十三五”和“十四五”項目負責(zé)人、國家863計劃主題項目首席專家、NSFC-通用聯(lián)合基金重點項目負責(zé)人等；中國網(wǎng)絡(luò)空間安全協(xié)會理事，中國中文信息學(xué)會常務(wù)理事、大數(shù)據(jù)安全與隱私計算專業(yè)委員會主任，中國通信學(xué)會理事、期刊與出版工作委會副主任、學(xué)術(shù)工作委員會委員等；《網(wǎng)絡(luò)與信息安全學(xué)報》執(zhí)行主編，《WWW》、《CJE》、《電子學(xué)報》、《通信學(xué)報》編委等。主要從事網(wǎng)絡(luò)與系統(tǒng)安全、隱私計算、數(shù)據(jù)安全等方面研究，獲2018年網(wǎng)絡(luò)安全優(yōu)秀人才獎、2001年國務(wù)院政府特殊津貼，近年來獲國家技術(shù)發(fā)明二等獎1項、省部級科技進步（或技術(shù)發(fā)明）一等獎5項。

內(nèi)容來源

第一屆開放原子開源基金會OpenHarmony技術(shù)峰會——安全及機密計算分論壇

視頻回顧

正 文 內(nèi) 容

隨著現(xiàn)代計算機技術(shù)的飛速發(fā)展，信息安全的重要性日益凸顯。中國有14億人口，是互聯(lián)網(wǎng)應(yīng)用和消費大國，數(shù)據(jù)量近年具有暴漲趨勢。國家出臺的多項政策和戰(zhàn)略中均強調(diào)了數(shù)據(jù)安全能力建設(shè)的重要性。目前，在操作系統(tǒng)領(lǐng)域存在哪些數(shù)據(jù)安全挑戰(zhàn)，又有哪些應(yīng)對策略呢？中國科學(xué)院信息工程研究所二級研究員、副總師，中國科學(xué)院“百人計劃”學(xué)者李鳳華在第一屆OpenHarmony技術(shù)峰會上分享了精彩觀點。

01?

數(shù)據(jù)生產(chǎn)要素與數(shù)據(jù)流通

早期數(shù)據(jù)是少量、分散地流通與使用，但隨著數(shù)據(jù)廣泛集中，出現(xiàn)了大量的泄露、侵權(quán)等問題。因此，國家一方面促進數(shù)據(jù)流通，另一方面通過健全相關(guān)法律對數(shù)據(jù)進行保護。最早于2017年出臺的《網(wǎng)絡(luò)安全法》對網(wǎng)絡(luò)運營者保護網(wǎng)絡(luò)信息安全提出了明確要求；黨的十九屆四中全會提出將數(shù)據(jù)作為獨立的新型生產(chǎn)要素；《中共中央、國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出了“數(shù)據(jù)二十條”。國家的一系列關(guān)于數(shù)據(jù)安全能力建設(shè)的舉措，既保護了頭部、大規(guī)模企業(yè)的合法運營，也在一定程度上抑制了小規(guī)模企業(yè)對數(shù)據(jù)的非正常使用。

從數(shù)據(jù)本身的角度來看，數(shù)據(jù)是指圍繞產(chǎn)品設(shè)計、生產(chǎn)、銷售、售后服務(wù)，以及服務(wù)業(yè)等經(jīng)營活動中產(chǎn)生的全流程數(shù)據(jù)。其中，具備“六性”（ 可用性、機密性、隱私性、可控性、交易性、仲裁性）的數(shù)據(jù)才能成為生產(chǎn)要素。數(shù)據(jù)可信指確定數(shù)據(jù)的所有權(quán)、使用權(quán)、管理權(quán)和交易權(quán)等，并確保存儲和傳輸?shù)臋C密性、防篡改、不可否認(rèn)性，以及計算可控性、可信可控審計。

02?

數(shù)據(jù)安全的挑戰(zhàn)和對策

數(shù)據(jù)安全的全生命周期包含數(shù)據(jù)采集、數(shù)據(jù)傳輸/保護、數(shù)據(jù)存儲、數(shù)據(jù)利用和數(shù)據(jù)銷毀。全生命周期中，各階段都需要進行數(shù)據(jù)保護：（1）數(shù)據(jù)采集要保障本地源數(shù)據(jù)的安全；（2）數(shù)據(jù)傳輸/保護要保證數(shù)據(jù)的傳輸安全、機密性、完全性以及不可否認(rèn)性；（3）數(shù)據(jù)存儲要保證數(shù)據(jù)的存儲安全和正確的訪問控制；（4）數(shù)據(jù)利用要保證數(shù)據(jù)的流轉(zhuǎn)管控與監(jiān)管、延伸控制；（5）數(shù)據(jù)銷毀要保證數(shù)據(jù)自動刪除、按需刪除和刪除確認(rèn)。在全生命周期中，需要在每個環(huán)節(jié)做到數(shù)據(jù)保護，才能讓數(shù)據(jù)安全流通。

全生命周期數(shù)據(jù)安全

2.1??

CoAC訪問控制

CoAC（Cyberspace-oriented Access Control）訪問控制模型是泛在互聯(lián)環(huán)境下數(shù)據(jù)全生命周期可管可控的理論基礎(chǔ)，本質(zhì)是網(wǎng)絡(luò)接入的訪問控制與信息系統(tǒng)的授權(quán)/鑒權(quán)進行關(guān)聯(lián)，實現(xiàn)泛在接入場景下細粒度控制。CoAC具備泛在接入場景下授權(quán)管理、同一主體在不同系統(tǒng)的權(quán)限映射、場景適應(yīng)的權(quán)限可伸縮等能力，同時也能夠提供移動和遠程訪問場景下的數(shù)據(jù)流動細粒度邊界控制。在終端領(lǐng)域，終端是CoAC的發(fā)起方，還能夠支撐身份認(rèn)證、口令和密鑰存儲等。

CoAC訪問控制模型

2.2??

數(shù)據(jù)控制

數(shù)據(jù)控制與訪問控制不同，強調(diào)在數(shù)據(jù)操作、傳播、留存、交易、銷毀等方面的控制，本質(zhì)是數(shù)據(jù)和控制策略不可分離，支撐全生命周期應(yīng)用。通過數(shù)據(jù)控制，可以解決泛在傳播的權(quán)限控制、移動業(yè)務(wù)的數(shù)據(jù)使用、多副本完備刪除以及全生命周期各操作環(huán)節(jié)的使用情況存證與合規(guī)審計等問題。在終端領(lǐng)域，數(shù)據(jù)控制能夠支撐發(fā)起者的數(shù)據(jù)確權(quán)。

2.3??

密碼按需服務(wù)

密碼強調(diào)按需服務(wù)，對于終端規(guī)模海量、服務(wù)高并發(fā)的環(huán)境，支持隨機交叉加解密的高性能密碼按需服務(wù)是數(shù)據(jù)安全的關(guān)鍵。密碼按需服務(wù)需要根據(jù)服務(wù)類型、計算能力以及性能需求等判斷密碼是否符合系統(tǒng)要求，并提供相應(yīng)的監(jiān)測分析手段。基于密碼按需服務(wù)，通過對并發(fā)服務(wù)的密碼運算狀態(tài)高效管理，能夠有效解決多App并發(fā)服務(wù)對臨界資源高效使用的技術(shù)瓶頸；通過對海量并發(fā)服務(wù)的密碼運算狀態(tài)高效管理、性能線性可擴展，也能夠解決海量并發(fā)服務(wù)時后臺密碼運算的技術(shù)瓶頸。在終端領(lǐng)域，密碼按需服務(wù)能夠支撐密碼作業(yè)調(diào)度，同時能夠充分利用終端算力。

2.4??

機密計算

機密計算是在數(shù)據(jù)處理過程中將敏感數(shù)據(jù)隔離在受保護的區(qū)域（如可信執(zhí)行環(huán)境）中再使用數(shù)據(jù)的方法，其本質(zhì)是安全依賴于可控環(huán)境，解決參與計算的數(shù)據(jù)安全。通過機密計算，能夠保證計算環(huán)境的可信性、可控性以及機密性。具體的做法有：通過執(zhí)行環(huán)境隔離，提供可信執(zhí)行空間，未授權(quán)參與方不能進入該空間；參與主體能監(jiān)控該環(huán)境的數(shù)據(jù)使用的合規(guī)性；參與的主體都不能窺探到在該環(huán)境內(nèi)的數(shù)據(jù)、代碼和操作，但可獲取計算結(jié)果。在終端領(lǐng)域，可信執(zhí)行環(huán)境（TEE）能夠提供可信計算環(huán)境，供操作系統(tǒng)調(diào)用。

2.5??

多方安全計算

多方安全計算通常采用不經(jīng)意傳輸（Oblivious Transfer）、秘密分享（Secret Sharing）、混淆電路（Garbled Circuit）、同態(tài)加密（Homomorphic Encryption）等密碼算法實現(xiàn)，支撐聯(lián)合統(tǒng)計、聯(lián)合建模、隱私集合求交和隱匿查詢等功能的實現(xiàn)，本質(zhì)是原始數(shù)據(jù)不出域、結(jié)果安全交換，支撐計算結(jié)果安全共享。通過多方安全計算，能夠保護消息接收方的意圖，并保障原始數(shù)據(jù)不出域。

多方安全計算平臺

2.6??

聯(lián)邦學(xué)習(xí)

聯(lián)邦學(xué)習(xí)是一種分布式的模型訓(xùn)練模式，合作方利用自身數(shù)據(jù)完成部分的模型訓(xùn)練，中心節(jié)點完成模型匯集。合作方之間交換訓(xùn)練中間結(jié)果和模型參數(shù)，而不交換數(shù)據(jù)本身，自然而然地不存在數(shù)據(jù)出域而導(dǎo)致的原始數(shù)據(jù)泄露，但中間結(jié)果的交換沒有防泄漏的機制，仍然存在部分?jǐn)?shù)據(jù)泄露的問題，其本質(zhì)是原始數(shù)據(jù)不出域、算力分布利用。通過聯(lián)邦學(xué)習(xí)，算力不需要集中，可以充分利用分布式算力，減少最終模型需求方算力設(shè)備的資金投入；數(shù)據(jù)也不需要出域，迎合了原始數(shù)據(jù)不出供給方本地的愿望。

2.7??

數(shù)據(jù)安全態(tài)勢感知

數(shù)據(jù)安全態(tài)勢感知能夠?qū)Ω鱾€環(huán)節(jié)的數(shù)據(jù)狀態(tài)進行采集與融合分析，本質(zhì)是無遺漏、及時的精準(zhǔn)采集，支撐準(zhǔn)確研判與有效處置。通過數(shù)據(jù)安全態(tài)勢感知，能夠?qū)挝粌?nèi)部數(shù)據(jù)、行業(yè)數(shù)據(jù)、區(qū)域數(shù)據(jù)、全國數(shù)據(jù)等安全態(tài)勢進行精準(zhǔn)判斷，支撐風(fēng)險的有效處置，也能夠為終端的數(shù)據(jù)確權(quán)和數(shù)據(jù)操作合規(guī)性提供佐證。

03?

隱私保護的挑戰(zhàn)與對策

大數(shù)據(jù)時代背景下，終端APP頻繁超范圍采集個人信息；后臺信息服務(wù)系統(tǒng)中的隱私數(shù)據(jù)越權(quán)使用、大數(shù)據(jù)殺熟、個人畫像結(jié)果濫用、個人信息過度留存等問題與日俱增。目前針對單一系統(tǒng)提出隱私保護技術(shù)不能解決泛在受控共享，隱私信息跨系統(tǒng)共享難以確保多系統(tǒng)的隱私保護方案具有同等效果、一損俱損，需要從計算角度研究全生命周期的隱私計算框架、延伸控制。當(dāng)前隱私保護方案多種多樣，且隨著時間的推移和隱私數(shù)據(jù)的類型不斷變化，需要考慮多算法融合，最終在“時間-隱私信息-隱私保護需求”三維空間中提出一種統(tǒng)一的描述方法，使隱私保護方案從零散的點形成連續(xù)演化的面。

隱私保護三維模型

3.1??

隱私計算

2015年李鳳華、李暉等學(xué)者在國際上率先提出并首次精準(zhǔn)定義了隱私計算(Privacy Computing)的概念、定義和學(xué)術(shù)內(nèi)涵，并提出了隱私計算理論與關(guān)鍵技術(shù)體系。

隱私計算定義

隱私計算是面向隱私信息全生命周期保護的計算理論和方法，是隱私信息的所有權(quán)、管理權(quán)和使用權(quán)分離時隱私度量、隱私泄露代價、隱私保護與隱私分析復(fù)雜性的可計算模型與公理化系統(tǒng)。隱私計算具體是指在處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡(luò)行為信息流等信息時，對所涉及的隱私信息進行描述、度量、評價和融合等操作，形成一套符號化、公式化且具有量化評價標(biāo)準(zhǔn)的隱私計算理論、算法及應(yīng)用技術(shù)，支持多系統(tǒng)融合的隱私信息保護。

隱私計算涵蓋了信息搜集者、發(fā)布者和使用者在信息產(chǎn)生、感知、發(fā)布、傳播、存儲、處理、使用、銷毀等全生命周期過程的所有計算操作，并包含支持海量用戶、高并發(fā)、高效能隱私保護的系統(tǒng)設(shè)計理論與架構(gòu)。

審核編輯 黃宇