基于微服務(wù)與隱私計(jì)算技術(shù)的數(shù)據(jù)安全共享服務(wù)平臺(tái)

安 鵬 張卓暉 喻 波

(北京明朝萬達(dá)科技股份有限公司 北京 100142)

(anpeng@wondersoft.cn)

數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)要素已成為關(guān)鍵生產(chǎn)要素，其重要性日益凸顯.在數(shù)字化轉(zhuǎn)型的過程中，數(shù)據(jù)的流通和共享成為了必需，與此同時(shí)敏感數(shù)據(jù)泄露的風(fēng)險(xiǎn)也隨之加大.隨著《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等法律法規(guī)的研究制定，我國(guó)數(shù)據(jù)保護(hù)法律法規(guī)體系將更為清晰、嚴(yán)謹(jǐn).對(duì)數(shù)據(jù)的有效監(jiān)管實(shí)現(xiàn)了有法可依，填補(bǔ)了數(shù)據(jù)安全保護(hù)立法的空白，完善了網(wǎng)絡(luò)空間安全治理的法律體系.在強(qiáng)監(jiān)管趨勢(shì)下，粗放型數(shù)據(jù)交易模式上升為觸犯法律紅線的行為，目前業(yè)務(wù)仍處于此類灰色地帶的企業(yè)將遭受重創(chuàng)，須積極探索符合合規(guī)要求的業(yè)務(wù)路線.為保障數(shù)據(jù)安全，數(shù)據(jù)的合規(guī)合法使用成為數(shù)據(jù)流通和共享的前提[1].在數(shù)據(jù)安全領(lǐng)域，隱私計(jì)算因具有保護(hù)數(shù)據(jù)安全、打破數(shù)據(jù)孤島等優(yōu)勢(shì)，其優(yōu)秀落地場(chǎng)景與案例越來越多，隨著數(shù)據(jù)安全體系的不斷完善，隱私計(jì)算[2-3]將實(shí)現(xiàn)數(shù)據(jù)價(jià)值最大化，成為數(shù)據(jù)流通和共享必需的基礎(chǔ)設(shè)施.

本文從數(shù)據(jù)安全共享服務(wù)平臺(tái)的設(shè)計(jì)出發(fā)，對(duì)平臺(tái)架構(gòu)和系統(tǒng)組成進(jìn)行詳細(xì)描述，采用微服務(wù)架構(gòu)實(shí)現(xiàn)數(shù)據(jù)資源服務(wù)總線，通過任務(wù)驅(qū)動(dòng)的協(xié)同機(jī)制實(shí)現(xiàn)基于隱私計(jì)算的安全計(jì)算系統(tǒng).最終在平臺(tái)內(nèi)部構(gòu)建數(shù)據(jù)安全監(jiān)測(cè)和數(shù)據(jù)集中管控系統(tǒng)，保證系統(tǒng)運(yùn)行的穩(wěn)定和安全.

1 數(shù)據(jù)安全共享服務(wù)平臺(tái)架構(gòu)設(shè)計(jì)

數(shù)據(jù)安全共享服務(wù)平臺(tái)由1套平臺(tái)(數(shù)據(jù)安全共享服務(wù)平臺(tái))、2個(gè)系統(tǒng)(數(shù)據(jù)安全管控系統(tǒng)、數(shù)據(jù)安全計(jì)算系統(tǒng))、3種終端(數(shù)據(jù)安全共享SDK、數(shù)據(jù)安全共享網(wǎng)關(guān)、數(shù)據(jù)安全共享節(jié)點(diǎn))組成，如圖1所示:

圖1 數(shù)據(jù)安全共享服務(wù)平臺(tái)

平臺(tái)通過支持多種數(shù)據(jù)安全接入傳輸?shù)慕K端網(wǎng)關(guān)與數(shù)據(jù)安全接入服務(wù)實(shí)現(xiàn)外部數(shù)據(jù)大批量、高并發(fā)的安全接入與傳輸；并通過基于微服務(wù)架構(gòu)的數(shù)據(jù)資源服務(wù)總線進(jìn)行安全共享，滿足符合訪問授權(quán)規(guī)范要求的數(shù)據(jù)共享與訪問操作.內(nèi)部數(shù)據(jù)的共享也通過本平臺(tái)完成，相關(guān)數(shù)據(jù)的訪問操作必須符合訪問授權(quán)規(guī)范要求.其他數(shù)據(jù)的共享也可以選擇通過本平臺(tái)實(shí)現(xiàn)發(fā)布使用與訪問控制[4].

針對(duì)部分所需數(shù)據(jù)不能被直接獲取，甚至部分?jǐn)?shù)據(jù)不能被訪問的情況，平臺(tái)提供了基于隱私保護(hù)的數(shù)據(jù)安全共享節(jié)點(diǎn)，采用在可信受控存儲(chǔ)環(huán)境下的多方協(xié)同分析與多方安全計(jì)算[5-6]實(shí)現(xiàn)對(duì)受限數(shù)據(jù)的“可用不可見”.

平臺(tái)融入了數(shù)據(jù)安全管控系統(tǒng)[7]，實(shí)現(xiàn)了智能匹配相應(yīng)的安全管控策略，對(duì)所有數(shù)據(jù)操作進(jìn)行全程安全管控和全生命周期的審計(jì)溯源，采用基于人工智能的用戶異常行為分析，實(shí)現(xiàn)異常行為、安全風(fēng)險(xiǎn)的自動(dòng)感知與處置.

1.1 數(shù)據(jù)資源服務(wù)總線

相對(duì)于傳統(tǒng)的數(shù)據(jù)資源服務(wù)總線，基于微服務(wù)架構(gòu)的數(shù)據(jù)資源服務(wù)總線具有可彈性擴(kuò)展、分布式、自維護(hù)、輕量級(jí)、松耦合等特點(diǎn)，也叫微服務(wù)API網(wǎng)關(guān).采用面向服務(wù)的體系結(jié)構(gòu)實(shí)現(xiàn)數(shù)據(jù)資源應(yīng)用間的數(shù)據(jù)共享和使用，主要解決數(shù)據(jù)資源的封裝問題[8].如圖2所示，包括：

數(shù)據(jù)使用方.需要通過總線獲取數(shù)據(jù)服務(wù)的請(qǐng)求程序.

數(shù)據(jù)提供方.在總線上提供數(shù)據(jù)服務(wù)的服務(wù)程序.

數(shù)據(jù)服務(wù)注冊(cè).數(shù)據(jù)提供方將自己的數(shù)據(jù)服務(wù)和服務(wù)規(guī)約發(fā)布到服務(wù)注冊(cè)中心，以便數(shù)據(jù)使用方可以發(fā)現(xiàn)和訪問該服務(wù).

數(shù)據(jù)服務(wù)管理.總線為了發(fā)現(xiàn)數(shù)據(jù)服務(wù)請(qǐng)求和提供過程中存在的問題，記錄數(shù)據(jù)服務(wù)請(qǐng)求、提供的內(nèi)容，了解數(shù)據(jù)服務(wù)的狀況、性能，從而對(duì)數(shù)據(jù)服務(wù)進(jìn)行控制.

數(shù)據(jù)服務(wù)內(nèi)容.包括數(shù)據(jù)服務(wù)請(qǐng)求內(nèi)容和數(shù)據(jù)服務(wù)提供內(nèi)容.

圖2 數(shù)據(jù)服務(wù)總線

數(shù)據(jù)服務(wù)總線主要功能包括對(duì)接服務(wù)、級(jí)聯(lián)服務(wù)、網(wǎng)關(guān)服務(wù)及跨網(wǎng)授權(quán)、權(quán)限控制、服務(wù)注冊(cè)、訪問審計(jì)、日志同步等，以滿足不同業(yè)務(wù)場(chǎng)景下的技術(shù)要求.

1) 服務(wù)注冊(cè).

服務(wù)提供者依據(jù)服務(wù)資源注冊(cè)信息格式要求，將自己的數(shù)據(jù)資源服務(wù)和服務(wù)規(guī)約發(fā)布到服務(wù)注冊(cè)中心，由服務(wù)總線統(tǒng)一管理服務(wù)目錄，以便提供調(diào)用.

2) 服務(wù)請(qǐng)求.

服務(wù)請(qǐng)求者依據(jù)服務(wù)文檔的請(qǐng)求調(diào)用報(bào)文格式，構(gòu)造服務(wù)請(qǐng)求報(bào)文并發(fā)送至總線.服務(wù)調(diào)度主要通過代理訪問模式實(shí)現(xiàn)，即將服務(wù)請(qǐng)求發(fā)往服務(wù)接口所掛接的數(shù)據(jù)服務(wù)總線，由服務(wù)總線通過路由代理訪問服務(wù)接口，并返回結(jié)果；服務(wù)請(qǐng)求也支持直接訪問模式，即由認(rèn)證及授權(quán)服務(wù)根據(jù)服務(wù)請(qǐng)求方的權(quán)限信息，向服務(wù)請(qǐng)求方授予訪問令牌，服務(wù)請(qǐng)求方拿到令牌后再向服務(wù)接口方發(fā)送請(qǐng)求.服務(wù)提供方需檢查訪問令牌，通過后直接向服務(wù)請(qǐng)求方提供服務(wù)[9-10].

3) 異步服務(wù)請(qǐng)求.

服務(wù)總線支持服務(wù)請(qǐng)求者的異步服務(wù)請(qǐng)求.服務(wù)總線緩存服務(wù)請(qǐng)求的返回結(jié)果，當(dāng)服務(wù)請(qǐng)求者獲取異步請(qǐng)求返回結(jié)果時(shí)，再將返回結(jié)果發(fā)送給服務(wù)請(qǐng)求者.

4) 服務(wù)路由.

服務(wù)路由是服務(wù)總線基于服務(wù)請(qǐng)求進(jìn)行路由匹配的核心功能.服務(wù)總線接收到服務(wù)發(fā)起方通過權(quán)限校驗(yàn)后提交的服務(wù)請(qǐng)求后，開始進(jìn)行路由匹配，匹配成功后就開始處理該請(qǐng)求，并將服務(wù)響應(yīng)結(jié)果傳輸給服務(wù)提供方.

相對(duì)于傳統(tǒng)的服務(wù)總線，服務(wù)總線需要滿足海量的應(yīng)用訪問請(qǐng)求，支持分布式的擴(kuò)展.服務(wù)總線的路由支持1個(gè)API和多個(gè)后端節(jié)點(diǎn)模式(即集群模式)；后端支持IP地址注冊(cè)及服務(wù)名稱注冊(cè)；使用服務(wù)名稱注冊(cè)時(shí)，移動(dòng)服務(wù)總線必須提供一種可靠的服務(wù)注冊(cè)發(fā)現(xiàn)機(jī)制，確保后端節(jié)點(diǎn)地址的動(dòng)態(tài)變化.

5) 服務(wù)編排.

服務(wù)編排指將多個(gè)服務(wù)進(jìn)行編排形成新的服務(wù).對(duì)于服務(wù)調(diào)用方，只關(guān)心想要的結(jié)果，并不關(guān)心調(diào)用的復(fù)雜過程.支持直觀方式定義的新組合服務(wù)流程(工作流或代碼級(jí)編排)，通過少量的可視化定制化開發(fā)，即可實(shí)現(xiàn)服務(wù)的編排功能.

6) 訪問控制.

對(duì)接入服務(wù)總線的服務(wù)請(qǐng)求方和服務(wù)接口進(jìn)行身份合法性驗(yàn)證.對(duì)服務(wù)請(qǐng)求方發(fā)出的請(qǐng)求進(jìn)行權(quán)限檢查，對(duì)于越權(quán)訪問予以拒絕.訪問控制可以對(duì)應(yīng)用層進(jìn)行權(quán)限審查，也可以對(duì)訪問發(fā)起方進(jìn)行權(quán)限檢查.服務(wù)總線即支持客戶端身份和用戶身份的訪問控制，也支持同時(shí)對(duì)2種身份的訪問控制.

7) 流量控制.

流量控制可以用于管控API的被訪問頻率、應(yīng)用的請(qǐng)求頻率、用戶的請(qǐng)求頻率等.流量控制的時(shí)間單位可以是分鐘、小時(shí)、天.同時(shí)支持流量控制例外，允許設(shè)置特殊的應(yīng)用或者用戶.

8) 服務(wù)管理.

① 服務(wù)監(jiān)控：實(shí)現(xiàn)對(duì)服務(wù)接口等相關(guān)資源的運(yùn)行狀態(tài)監(jiān)控、性能監(jiān)控、負(fù)載監(jiān)控以及異常自動(dòng)告警；從服務(wù)接口的在線率、訪問量、訪問成功率、響應(yīng)速度等方面對(duì)服務(wù)質(zhì)量進(jìn)行評(píng)價(jià)和排名；基于監(jiān)控日志，從地區(qū)、應(yīng)用、時(shí)間、頻度等多個(gè)維度，對(duì)服務(wù)資源運(yùn)行情況進(jìn)行統(tǒng)計(jì)分析，并采用業(yè)務(wù)視角展現(xiàn)服務(wù)資源的實(shí)戰(zhàn)成果.

② 調(diào)用鏈跟蹤：服務(wù)總線支持識(shí)別請(qǐng)求方發(fā)送的跟蹤信息，從而形成1條調(diào)用鏈并保存到日志中，后續(xù)可以通過直觀的方式看到一個(gè)請(qǐng)求從客戶端發(fā)起，經(jīng)過網(wǎng)關(guān)路由，再到后端節(jié)點(diǎn)，甚至數(shù)據(jù)庫(kù)的調(diào)用鏈，也支持查看每個(gè)環(huán)節(jié)的消耗時(shí)間、錯(cuò)誤狀態(tài)和采集到的關(guān)聯(lián)日志.

③ 異常處理：服務(wù)總線接收到服務(wù)請(qǐng)求之后在服務(wù)結(jié)束期間發(fā)生一切異常都有完整處理.一方面要讓服務(wù)請(qǐng)求方知道服務(wù)調(diào)用失敗，即異常反饋；另一方面網(wǎng)關(guān)需要了解異常情況，即記錄異常日志.

9) 安全防護(hù).

支持多種認(rèn)證方式，支持HMAC(SHA-1，SHA-256)算法簽名.支持HTTPS協(xié)議，支持SSL加密.防攻擊、防注入、請(qǐng)求防重放、請(qǐng)求防篡改[11].

10) 安全審計(jì).

主要通過日志采集、分析和處理實(shí)現(xiàn)對(duì)服務(wù)行為進(jìn)行安全審計(jì).行為日志主要包括服務(wù)資源注冊(cè)、授權(quán)和訪問3種類型.采集的數(shù)據(jù)項(xiàng)目應(yīng)符合相關(guān)要求；同時(shí)通過采集匯總服務(wù)總線節(jié)點(diǎn)和信息資源服務(wù)狀態(tài)和日志信息，以此為基礎(chǔ)提供日志查詢、統(tǒng)計(jì)分析功能，為服務(wù)總線的運(yùn)行維護(hù)提供數(shù)據(jù)支持.

11) 訪問協(xié)議.

服務(wù)總線對(duì)外支持HTTP和HTTPS協(xié)議，支持HTTPS證書管理；服務(wù)總線調(diào)用后端接口支持HTTP和HTTPS協(xié)議，同時(shí)支持把后端節(jié)點(diǎn)的HTTP協(xié)議轉(zhuǎn)換為對(duì)外暴露HTTPS協(xié)議.

12) 訪問鑒權(quán).

服務(wù)總線對(duì)外提供統(tǒng)一安全控制策略.應(yīng)用訪問總線時(shí)必須經(jīng)過鑒權(quán)，鑒權(quán)通過后允許訪問，否則予以攔截.訪問鑒權(quán)的模式有以下4種：

① 應(yīng)用鑒權(quán).訪問服務(wù)接口的使用方必須是已注冊(cè)服務(wù)的用戶.由使用方進(jìn)行申請(qǐng)，總線完成注冊(cè)，同時(shí)為服務(wù)使用者分配可使用服務(wù)的權(quán)限.

② IP地址鑒權(quán).基于IP地址對(duì)服務(wù)使用者進(jìn)行身份認(rèn)證.對(duì)于不在服務(wù)使用者所申請(qǐng)的IP地址范圍內(nèi)產(chǎn)生的服務(wù)調(diào)用，總線給予攔截和告警.對(duì)于通過多重路由或映射導(dǎo)致不能獲得實(shí)際IP地址時(shí)，應(yīng)采用訪問令牌方式進(jìn)行替代.

③ 用戶身份認(rèn)證.通過OAuth2，JWT等標(biāo)準(zhǔn)實(shí)現(xiàn)對(duì)所注冊(cè)的接口和用戶進(jìn)行身份認(rèn)證和權(quán)限控制.

④ 請(qǐng)求校驗(yàn).支持參數(shù)類型、參數(shù)值(范圍、枚舉、正則、JSON Schema)校驗(yàn)，無效校驗(yàn)直接會(huì)被API網(wǎng)關(guān)拒絕，減少無效請(qǐng)求對(duì)后端造成的資源浪費(fèi).

1.2 數(shù)據(jù)安全接入服務(wù)

1.2.1 數(shù)據(jù)安全接入網(wǎng)關(guān)

數(shù)據(jù)安全接入服務(wù)基于代理技術(shù)開發(fā)，使用TLS連接提供安全服務(wù)，通過重寫鏈接和端口處理遠(yuǎn)程用戶對(duì)內(nèi)網(wǎng)的訪問請(qǐng)求，采用國(guó)密加密算法進(jìn)行鏈路數(shù)據(jù)加密[12].主動(dòng)采集系統(tǒng)自身運(yùn)行狀態(tài)信息、客戶端訪問流量信息，確保過程可信、結(jié)果準(zhǔn)確、證據(jù)可查，有效實(shí)現(xiàn)“主動(dòng)/被動(dòng)安全防御”的結(jié)合，保護(hù)內(nèi)部網(wǎng)絡(luò)不被攻擊、資源不被竊取.具有維護(hù)簡(jiǎn)單、移動(dòng)性強(qiáng)、訪問控制能力強(qiáng)等特點(diǎn).包括以下4種能力：

1) 數(shù)據(jù)加密傳輸.

采用TLS協(xié)議保證通信雙方的信息安全，依賴可靠的TCP傳輸層傳輸和接收數(shù)據(jù)；支持國(guó)產(chǎn)加密算法，進(jìn)行鏈路數(shù)據(jù)加密；采取特有應(yīng)答糾錯(cuò)機(jī)制，包括確定應(yīng)答與重發(fā)、記錄重組等機(jī)制，保證數(shù)據(jù)包有序、完整到達(dá)安全接入網(wǎng)關(guān)TLS會(huì)話模塊.

2) 日志監(jiān)控審計(jì).

提供配置遠(yuǎn)程客戶端和服務(wù)發(fā)布的可視化管理平臺(tái)；實(shí)時(shí)監(jiān)控內(nèi)網(wǎng)資源訪問情況，自動(dòng)記錄相關(guān)日志；隨時(shí)查看每個(gè)在線客戶端的情況，可以隨時(shí)中斷可疑會(huì)話.

3) 資源服務(wù)發(fā)布.

支持內(nèi)網(wǎng)資源在安全接入平臺(tái)以服務(wù)的形式發(fā)布，已發(fā)布的服務(wù)可被客戶端通過安全接入網(wǎng)關(guān)訪問；支持對(duì)發(fā)布的服務(wù)生成唯一簽名；支持服務(wù)端發(fā)布多個(gè)內(nèi)網(wǎng)資源服務(wù)，每個(gè)服務(wù)可進(jìn)行獨(dú)立的認(rèn)證、配置與管理；所有內(nèi)網(wǎng)資源服務(wù)的IP、端口對(duì)客戶端不暴露[13].

4) 遠(yuǎn)程接入管控.

支持在安全接入平臺(tái)管理遠(yuǎn)程接入的客戶端，需在安全接入平臺(tái)配置并認(rèn)證，方可遠(yuǎn)程訪問內(nèi)部資源服務(wù)；支持配置認(rèn)證多個(gè)客戶端，每個(gè)客戶端可進(jìn)行獨(dú)立的認(rèn)證、配置與管理；支持同一客戶端同時(shí)訪問多個(gè)內(nèi)網(wǎng)資源服務(wù)；客戶端使用服務(wù)端已發(fā)布服務(wù)的簽名和證書與服務(wù)端具體服務(wù)進(jìn)行TLS握手認(rèn)證.

集成彈性伸縮、身份認(rèn)證、通道管理、流量監(jiān)控、服務(wù)管控等，支持跨區(qū)容災(zāi)和就近路由，規(guī)避單可用區(qū)可能存在的不可抗力風(fēng)險(xiǎn)，提高服務(wù)的高可用性和容災(zāi)能力[14].線性擴(kuò)展(包括本身的擴(kuò)展性及業(yè)務(wù)的擴(kuò)展性)具有最靈活的安全接入方式，支持Web代理、文件共享、端口轉(zhuǎn)發(fā)、網(wǎng)絡(luò)擴(kuò)展、支持IPv6網(wǎng)絡(luò).動(dòng)態(tài)檢測(cè)接入條件最優(yōu)網(wǎng)關(guān)，智能優(yōu)選接入鏈路，確保良好業(yè)務(wù)和數(shù)據(jù)應(yīng)用體驗(yàn).

1.2.2 API服務(wù)接口規(guī)范

所有服務(wù)的接口均基于HTTP/HTTPS協(xié)議，符合Swagger 2.0接口描述規(guī)范.服務(wù)提供方和服務(wù)使用方必須同時(shí)使用同一種類型的技術(shù)進(jìn)行開發(fā)和調(diào)用，調(diào)用的服務(wù)通過HTTP URL中特定屬性進(jìn)行標(biāo)識(shí).

服務(wù)的接口數(shù)據(jù)包含業(yè)務(wù)所有的業(yè)務(wù)數(shù)據(jù)，數(shù)據(jù)采用JSON格式表示，并且符合相應(yīng)的JSON Schema.服務(wù)提供方和服務(wù)使用方必須同時(shí)使用同一種格式進(jìn)行數(shù)據(jù)交互.

1個(gè)服務(wù)應(yīng)該只實(shí)現(xiàn)1個(gè)業(yè)務(wù)功能.服務(wù)應(yīng)是無狀態(tài)的，2次請(qǐng)求之間無須狀態(tài)和會(huì)話的保持，并可以采用輪詢的方式在負(fù)載均衡器上進(jìn)行注冊(cè).

服務(wù)請(qǐng)求和返回的報(bào)文應(yīng)符合JSON Schema格式.服務(wù)請(qǐng)求方和提供方應(yīng)采用通用的JSON解析器來構(gòu)造和解析數(shù)據(jù)，JSON不同含義的段落應(yīng)定義明確含義的字段名稱，相同內(nèi)容的數(shù)據(jù)應(yīng)采用數(shù)組進(jìn)行描述，雙方可根據(jù)JSON名稱和路徑進(jìn)行精確定位，不應(yīng)根據(jù)字段的順序獲取字段值，字段值不受字段順序調(diào)整的影響.報(bào)文統(tǒng)一采用UTF-8進(jìn)行編碼.

為提高數(shù)據(jù)查詢類服務(wù)的通用性和性能，查詢類服務(wù)在入?yún)⒅卸x返回字段列表，服務(wù)提供方根據(jù)入?yún)⒅兄付ǖ淖侄畏祷匦畔?

服務(wù)提供方應(yīng)對(duì)請(qǐng)求報(bào)文格式和關(guān)鍵信息進(jìn)行合規(guī)性和業(yè)務(wù)校驗(yàn)，防止非法訪問和入侵.

服務(wù)調(diào)用方和服務(wù)提供方通常采用同步調(diào)用的方式進(jìn)行請(qǐng)求，如需要使用異步調(diào)用可采用消息隊(duì)列或服務(wù)調(diào)用方定義異步通知接口實(shí)現(xiàn).

服務(wù)接口采用微服務(wù)架構(gòu)進(jìn)行開發(fā)和部署[15].微服務(wù)是指開發(fā)一個(gè)單個(gè)小型的具備業(yè)務(wù)功能的服務(wù)，每個(gè)服務(wù)都有自己的處理和輕量通信機(jī)制，可以部署在單個(gè)或多個(gè)服務(wù)器上.微服務(wù)架構(gòu)指一種松耦合的、有一定上下文的面向服務(wù)架構(gòu).相對(duì)于單體架構(gòu)和SOA，微服務(wù)架構(gòu)的主要特點(diǎn)是組件化、松耦合、自治和去中心化.

1.3 數(shù)據(jù)安全計(jì)算系統(tǒng)

數(shù)據(jù)安全計(jì)算是平臺(tái)基于隱私計(jì)算技術(shù)對(duì)外輸出的數(shù)據(jù)計(jì)算服務(wù)能力，如圖3所示.

圖3 數(shù)據(jù)安全計(jì)算系統(tǒng)

跨信任域多參與方的數(shù)據(jù)安全計(jì)算以及聯(lián)邦學(xué)習(xí)[16-17]任務(wù)，主要包括任務(wù)創(chuàng)建、任務(wù)分配、數(shù)據(jù)輸入、任務(wù)計(jì)算、結(jié)果解析5個(gè)步驟：

1) 任務(wù)創(chuàng)建.

任務(wù)發(fā)起方配置、核實(shí)數(shù)據(jù)安全計(jì)算任務(wù)所需資源，發(fā)起計(jì)算任務(wù).數(shù)據(jù)提供方對(duì)所有的數(shù)據(jù)使用進(jìn)行授權(quán)，任務(wù)發(fā)起方和數(shù)據(jù)提供方為同一實(shí)體的情況除外.數(shù)據(jù)提供方可委托調(diào)度方對(duì)數(shù)據(jù)進(jìn)行使用授權(quán)，也可在任務(wù)創(chuàng)建前對(duì)數(shù)據(jù)進(jìn)行預(yù)授權(quán).數(shù)據(jù)使用授權(quán)和后續(xù)任務(wù)分配階段可合并執(zhí)行.

2) 任務(wù)分配.

調(diào)度方驗(yàn)證任務(wù)請(qǐng)求信息的合法性，包括身份驗(yàn)證和數(shù)據(jù)授權(quán)的合法性.驗(yàn)證通過后生成任務(wù)配置信息，發(fā)送給數(shù)據(jù)提供方、計(jì)算方和結(jié)果使用方.數(shù)據(jù)提供方、計(jì)算方和結(jié)果使用方收到任務(wù)配置信息后進(jìn)行驗(yàn)證.各參與方保存收發(fā)的任務(wù)配置信息.

3) 數(shù)據(jù)輸入.

數(shù)據(jù)提供方從數(shù)據(jù)源讀取數(shù)據(jù)并生成輸入因子，通過安全通道發(fā)送給指定計(jì)算方.數(shù)據(jù)提供方保存任務(wù)配置信息，并對(duì)發(fā)送的輸入因子進(jìn)行存證.

4) 任務(wù)計(jì)算.

計(jì)算節(jié)點(diǎn)接收各數(shù)據(jù)提供方的輸入因子，按照數(shù)據(jù)安全計(jì)算協(xié)議進(jìn)行協(xié)同計(jì)算，生成輸出因子.將輸出因子發(fā)送至結(jié)果使用方.

5) 結(jié)果解析.

結(jié)果使用方對(duì)輸出因子進(jìn)行解析得出計(jì)算結(jié)果.并對(duì)結(jié)果進(jìn)行存證.

1.4 數(shù)據(jù)安全管控系統(tǒng)

數(shù)據(jù)安全管控系統(tǒng)是一個(gè)針對(duì)數(shù)據(jù)安全監(jiān)測(cè)和數(shù)據(jù)集中管控的系統(tǒng)，能夠收集各接入系統(tǒng)上報(bào)的安全事件和業(yè)務(wù)運(yùn)行信息，對(duì)信息進(jìn)行存儲(chǔ)、分析、展示和響應(yīng)控制，達(dá)到安全運(yùn)行集中監(jiān)測(cè)和管理的目的，如圖4所示.同時(shí)可以幫助管理人員進(jìn)行線上業(yè)務(wù)實(shí)時(shí)監(jiān)控、業(yè)務(wù)異常原因定位、應(yīng)用的數(shù)據(jù)統(tǒng)計(jì)分析、安全數(shù)據(jù)的分析和審計(jì).還可以對(duì)出現(xiàn)的安全事件進(jìn)行及時(shí)的響應(yīng)控制，實(shí)現(xiàn)對(duì)終端的接入管控，主動(dòng)斷開存在安全威脅終端的連接[18]，對(duì)內(nèi)部的數(shù)據(jù)和應(yīng)用服務(wù)進(jìn)行保護(hù).

1) 數(shù)據(jù)采集.

數(shù)據(jù)采集是系統(tǒng)安全監(jiān)控的基礎(chǔ)，主要負(fù)責(zé)采集基礎(chǔ)信息和運(yùn)行數(shù)據(jù)，采集的過程主要采用探針技術(shù)，在不同模塊中安裝探針，實(shí)現(xiàn)獲取數(shù)據(jù)的目標(biāo).數(shù)據(jù)采集探針除用來探測(cè)終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)基礎(chǔ)信息外，還負(fù)責(zé)探測(cè)安全事件和業(yè)務(wù)運(yùn)行數(shù)據(jù)，并將探測(cè)結(jié)果定時(shí)上報(bào)至監(jiān)控中心.

2) 數(shù)據(jù)分析.

平臺(tái)對(duì)采集的信息進(jìn)行分析及分類處理.采集的信息一般分為2大類：統(tǒng)計(jì)信息和安全事件.統(tǒng)計(jì)信息包括設(shè)備信息和流量信息等.相應(yīng)地，安全事件則是違背監(jiān)測(cè)策略項(xiàng)的內(nèi)容.通過對(duì)采集到的監(jiān)測(cè)信息進(jìn)行分類、分析，在平臺(tái)內(nèi)進(jìn)行可視化展示.

圖4 數(shù)據(jù)安全管控系統(tǒng)

3) 數(shù)據(jù)展示.

主要對(duì)采集到的信息通過引入安全框架進(jìn)行分析，對(duì)得到的結(jié)果通過大屏進(jìn)行可視化展示.主要由整體安全信息分析展示、用戶信息分析展示、網(wǎng)絡(luò)信息分析展示、終端信息分析展示、應(yīng)用信息分析展示、數(shù)據(jù)信息分析展示、安全事件分析展示構(gòu)成.

4) 響應(yīng)控制.

對(duì)發(fā)生的安全事件提供具體管控能力.主要包括告警提示、終端控制、應(yīng)用控制以及數(shù)據(jù)控制.可以在管控平臺(tái)的策略模塊根據(jù)安全事件的嚴(yán)重程度，針對(duì)用戶、網(wǎng)絡(luò)、終端、應(yīng)用、數(shù)據(jù)配置不同的管控策略.

5) 平臺(tái)管理.

平臺(tái)管理負(fù)責(zé)對(duì)安全保護(hù)環(huán)境中的計(jì)算節(jié)點(diǎn)、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)實(shí)施集中管理和維護(hù)，包括用戶身份管理、終端信息管理、接入設(shè)備管理、權(quán)限管理、應(yīng)急處理等，為平臺(tái)的安全提供基礎(chǔ)性保障.平臺(tái)管理符合國(guó)家相關(guān)安全規(guī)定和標(biāo)準(zhǔn)，監(jiān)測(cè)內(nèi)容標(biāo)準(zhǔn)化、采集數(shù)據(jù)格式標(biāo)準(zhǔn)化、設(shè)備接口標(biāo)準(zhǔn)化、違規(guī)信息處理標(biāo)準(zhǔn)化.

2 總 結(jié)

數(shù)據(jù)安全共享服務(wù)平臺(tái)綜合應(yīng)用微服務(wù)、隱私計(jì)算等技術(shù)，滿足了跨行業(yè)、跨區(qū)域的多源數(shù)據(jù)安全對(duì)接、傳輸與共享需求.采用API網(wǎng)關(guān)進(jìn)行安全共享，滿足符合訪問授權(quán)規(guī)范要求的數(shù)據(jù)共享與訪問操作，在保證數(shù)據(jù)安全前提下提供數(shù)據(jù)共享服務(wù)能力.針對(duì)內(nèi)外部數(shù)據(jù)不能被直接獲取，甚至部分?jǐn)?shù)據(jù)不能被訪問的情況，平臺(tái)基于隱私計(jì)算技術(shù)提供了數(shù)據(jù)安全計(jì)算系統(tǒng)與數(shù)據(jù)安全共享節(jié)點(diǎn)，采用任務(wù)驅(qū)動(dòng)的系統(tǒng)模式，通過可信受控存儲(chǔ)環(huán)境下的數(shù)據(jù)分析與多方安全計(jì)算實(shí)現(xiàn)對(duì)受限數(shù)據(jù)的“可用不可見”.