演講嘉賓 | 李鳳華

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

李鳳華，中國科學院信息工程研究所二級研究員、副總師、中國科學院特聘研究員、博士生導師。曾先后任計算機系主任、研究生處長、科技處長、副總工程師等。國務院學位委員會網(wǎng)絡空間安全學科評議組成員，中國科學院“百人計劃”學者，國家重點研發(fā)計劃“十三五”和“十四五”項目負責人、國家863計劃主題項目首席專家、NSFC-通用聯(lián)合基金重點項目負責人等；中國網(wǎng)絡空間安全協(xié)會理事，中國中文信息學會常務理事、大數(shù)據(jù)安全與隱私計算專業(yè)委員會主任，中國通信學會理事、期刊與出版工作委會副主任、學術工作委員會委員等；《網(wǎng)絡與信息安全學報》執(zhí)行主編，《WWW》、《CJE》、《電子學報》、《通信學報》編委等。主要從事網(wǎng)絡與系統(tǒng)安全、隱私計算、數(shù)據(jù)安全等方面研究，獲2018年網(wǎng)絡安全優(yōu)秀人才獎、2001年國務院政府特殊津貼，近年來獲國家技術發(fā)明二等獎1項、省部級科技進步（或技術發(fā)明）一等獎5項。

內容來源

第一屆開放原子開源基金會OpenHarmony技術峰會——安全及機密計算分論壇

視頻回顧

正 文 內 容

隨著現(xiàn)代計算機技術的飛速發(fā)展，信息安全的重要性日益凸顯。中國有14億人口，是互聯(lián)網(wǎng)應用和消費大國，數(shù)據(jù)量近年具有暴漲趨勢。國家出臺的多項政策和戰(zhàn)略中均強調了數(shù)據(jù)安全能力建設的重要性。目前，在操作系統(tǒng)領域存在哪些數(shù)據(jù)安全挑戰(zhàn)，又有哪些應對策略呢？中國科學院信息工程研究所二級研究員、副總師，中國科學院“百人計劃”學者李鳳華在第一屆OpenHarmony技術峰會上分享了精彩觀點。

01?

數(shù)據(jù)生產(chǎn)要素與數(shù)據(jù)流通

早期數(shù)據(jù)是少量、分散地流通與使用，但隨著數(shù)據(jù)廣泛集中，出現(xiàn)了大量的泄露、侵權等問題。因此，國家一方面促進數(shù)據(jù)流通，另一方面通過健全相關法律對數(shù)據(jù)進行保護。最早于2017年出臺的《網(wǎng)絡安全法》對網(wǎng)絡運營者保護網(wǎng)絡信息安全提出了明確要求；黨的十九屆四中全會提出將數(shù)據(jù)作為獨立的新型生產(chǎn)要素；《中共中央、國務院關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出了“數(shù)據(jù)二十條”。國家的一系列關于數(shù)據(jù)安全能力建設的舉措，既保護了頭部、大規(guī)模企業(yè)的合法運營，也在一定程度上抑制了小規(guī)模企業(yè)對數(shù)據(jù)的非正常使用。

從數(shù)據(jù)本身的角度來看，數(shù)據(jù)是指圍繞產(chǎn)品設計、生產(chǎn)、銷售、售后服務，以及服務業(yè)等經(jīng)營活動中產(chǎn)生的全流程數(shù)據(jù)。其中，具備“六性”（ 可用性、機密性、隱私性、可控性、交易性、仲裁性）的數(shù)據(jù)才能成為生產(chǎn)要素。數(shù)據(jù)可信指確定數(shù)據(jù)的所有權、使用權、管理權和交易權等，并確保存儲和傳輸?shù)臋C密性、防篡改、不可否認性，以及計算可控性、可信可控審計。

02?

數(shù)據(jù)安全的挑戰(zhàn)和對策

數(shù)據(jù)安全的全生命周期包含數(shù)據(jù)采集、數(shù)據(jù)傳輸/保護、數(shù)據(jù)存儲、數(shù)據(jù)利用和數(shù)據(jù)銷毀。全生命周期中，各階段都需要進行數(shù)據(jù)保護：（1）數(shù)據(jù)采集要保障本地源數(shù)據(jù)的安全；（2）數(shù)據(jù)傳輸/保護要保證數(shù)據(jù)的傳輸安全、機密性、完全性以及不可否認性；（3）數(shù)據(jù)存儲要保證數(shù)據(jù)的存儲安全和正確的訪問控制；（4）數(shù)據(jù)利用要保證數(shù)據(jù)的流轉管控與監(jiān)管、延伸控制；（5）數(shù)據(jù)銷毀要保證數(shù)據(jù)自動刪除、按需刪除和刪除確認。在全生命周期中，需要在每個環(huán)節(jié)做到數(shù)據(jù)保護，才能讓數(shù)據(jù)安全流通。

全生命周期數(shù)據(jù)安全

2.1??

CoAC訪問控制

CoAC（Cyberspace-oriented Access Control）訪問控制模型是泛在互聯(lián)環(huán)境下數(shù)據(jù)全生命周期可管可控的理論基礎，本質是網(wǎng)絡接入的訪問控制與信息系統(tǒng)的授權/鑒權進行關聯(lián)，實現(xiàn)泛在接入場景下細粒度控制。CoAC具備泛在接入場景下授權管理、同一主體在不同系統(tǒng)的權限映射、場景適應的權限可伸縮等能力，同時也能夠提供移動和遠程訪問場景下的數(shù)據(jù)流動細粒度邊界控制。在終端領域，終端是CoAC的發(fā)起方，還能夠支撐身份認證、口令和密鑰存儲等。

CoAC訪問控制模型

2.2??

數(shù)據(jù)控制

數(shù)據(jù)控制與訪問控制不同，強調在數(shù)據(jù)操作、傳播、留存、交易、銷毀等方面的控制，本質是數(shù)據(jù)和控制策略不可分離，支撐全生命周期應用。通過數(shù)據(jù)控制，可以解決泛在傳播的權限控制、移動業(yè)務的數(shù)據(jù)使用、多副本完備刪除以及全生命周期各操作環(huán)節(jié)的使用情況存證與合規(guī)審計等問題。在終端領域，數(shù)據(jù)控制能夠支撐發(fā)起者的數(shù)據(jù)確權。

2.3??

密碼按需服務

密碼強調按需服務，對于終端規(guī)模海量、服務高并發(fā)的環(huán)境，支持隨機交叉加解密的高性能密碼按需服務是數(shù)據(jù)安全的關鍵。密碼按需服務需要根據(jù)服務類型、計算能力以及性能需求等判斷密碼是否符合系統(tǒng)要求，并提供相應的監(jiān)測分析手段。基于密碼按需服務，通過對并發(fā)服務的密碼運算狀態(tài)高效管理，能夠有效解決多App并發(fā)服務對臨界資源高效使用的技術瓶頸；通過對海量并發(fā)服務的密碼運算狀態(tài)高效管理、性能線性可擴展，也能夠解決海量并發(fā)服務時后臺密碼運算的技術瓶頸。在終端領域，密碼按需服務能夠支撐密碼作業(yè)調度，同時能夠充分利用終端算力。

2.4??

機密計算

機密計算是在數(shù)據(jù)處理過程中將敏感數(shù)據(jù)隔離在受保護的區(qū)域（如可信執(zhí)行環(huán)境）中再使用數(shù)據(jù)的方法，其本質是安全依賴于可控環(huán)境，解決參與計算的數(shù)據(jù)安全。通過機密計算，能夠保證計算環(huán)境的可信性、可控性以及機密性。具體的做法有：通過執(zhí)行環(huán)境隔離，提供可信執(zhí)行空間，未授權參與方不能進入該空間；參與主體能監(jiān)控該環(huán)境的數(shù)據(jù)使用的合規(guī)性；參與的主體都不能窺探到在該環(huán)境內的數(shù)據(jù)、代碼和操作，但可獲取計算結果。在終端領域，可信執(zhí)行環(huán)境（TEE）能夠提供可信計算環(huán)境，供操作系統(tǒng)調用。

2.5??

多方安全計算

多方安全計算通常采用不經(jīng)意傳輸（Oblivious Transfer）、秘密分享（Secret Sharing）、混淆電路（Garbled Circuit）、同態(tài)加密（Homomorphic Encryption）等密碼算法實現(xiàn)，支撐聯(lián)合統(tǒng)計、聯(lián)合建模、隱私集合求交和隱匿查詢等功能的實現(xiàn)，本質是原始數(shù)據(jù)不出域、結果安全交換，支撐計算結果安全共享。通過多方安全計算，能夠保護消息接收方的意圖，并保障原始數(shù)據(jù)不出域。

多方安全計算平臺

2.6??

聯(lián)邦學習

聯(lián)邦學習是一種分布式的模型訓練模式，合作方利用自身數(shù)據(jù)完成部分的模型訓練，中心節(jié)點完成模型匯集。合作方之間交換訓練中間結果和模型參數(shù)，而不交換數(shù)據(jù)本身，自然而然地不存在數(shù)據(jù)出域而導致的原始數(shù)據(jù)泄露，但中間結果的交換沒有防泄漏的機制，仍然存在部分數(shù)據(jù)泄露的問題，其本質是原始數(shù)據(jù)不出域、算力分布利用。通過聯(lián)邦學習，算力不需要集中，可以充分利用分布式算力，減少最終模型需求方算力設備的資金投入；數(shù)據(jù)也不需要出域，迎合了原始數(shù)據(jù)不出供給方本地的愿望。

2.7??

數(shù)據(jù)安全態(tài)勢感知

數(shù)據(jù)安全態(tài)勢感知能夠對各個環(huán)節(jié)的數(shù)據(jù)狀態(tài)進行采集與融合分析，本質是無遺漏、及時的精準采集，支撐準確研判與有效處置。通過數(shù)據(jù)安全態(tài)勢感知，能夠對單位內部數(shù)據(jù)、行業(yè)數(shù)據(jù)、區(qū)域數(shù)據(jù)、全國數(shù)據(jù)等安全態(tài)勢進行精準判斷，支撐風險的有效處置，也能夠為終端的數(shù)據(jù)確權和數(shù)據(jù)操作合規(guī)性提供佐證。

03?

隱私保護的挑戰(zhàn)與對策

大數(shù)據(jù)時代背景下，終端APP頻繁超范圍采集個人信息；后臺信息服務系統(tǒng)中的隱私數(shù)據(jù)越權使用、大數(shù)據(jù)殺熟、個人畫像結果濫用、個人信息過度留存等問題與日俱增。目前針對單一系統(tǒng)提出隱私保護技術不能解決泛在受控共享，隱私信息跨系統(tǒng)共享難以確保多系統(tǒng)的隱私保護方案具有同等效果、一損俱損，需要從計算角度研究全生命周期的隱私計算框架、延伸控制。當前隱私保護方案多種多樣，且隨著時間的推移和隱私數(shù)據(jù)的類型不斷變化，需要考慮多算法融合，最終在“時間-隱私信息-隱私保護需求”三維空間中提出一種統(tǒng)一的描述方法，使隱私保護方案從零散的點形成連續(xù)演化的面。

隱私保護三維模型

3.1??

隱私計算

2015年李鳳華、李暉等學者在國際上率先提出并首次精準定義了隱私計算(Privacy Computing)的概念、定義和學術內涵，并提出了隱私計算理論與關鍵技術體系。

隱私計算定義

隱私計算是面向隱私信息全生命周期保護的計算理論和方法，是隱私信息的所有權、管理權和使用權分離時隱私度量、隱私泄露代價、隱私保護與隱私分析復雜性的可計算模型與公理化系統(tǒng)。隱私計算具體是指在處理視頻、音頻、圖像、圖形、文字、數(shù)值、泛在網(wǎng)絡行為信息流等信息時，對所涉及的隱私信息進行描述、度量、評價和融合等操作，形成一套符號化、公式化且具有量化評價標準的隱私計算理論、算法及應用技術，支持多系統(tǒng)融合的隱私信息保護。

隱私計算涵蓋了信息搜集者、發(fā)布者和使用者在信息產(chǎn)生、感知、發(fā)布、傳播、存儲、處理、使用、銷毀等全生命周期過程的所有計算操作，并包含支持海量用戶、高并發(fā)、高效能隱私保護的系統(tǒng)設計理論與架構。

審核編輯 黃宇