演講嘉賓 | 李鳳華

回顧整理 | 廖 濤

排版校對 | 李萍萍

嘉賓簡介

李鳳華，中國科學院信息工程研究所二級研究員、副總師、中國科學院特聘研究員、博士生導師。曾先后任計算機系主任、研究生處長、科技處長、副總工程師等。國務院學位委員會網絡空間安全學科評議組成員，中國科學院“百人計劃”學者，國家重點研發計劃“十三五”和“十四五”項目負責人、國家863計劃主題項目首席專家、NSFC-通用聯合基金重點項目負責人等；中國網絡空間安全協會理事，中國中文信息學會常務理事、大數據安全與隱私計算專業委員會主任，中國通信學會理事、期刊與出版工作委會副主任、學術工作委員會委員等；《網絡與信息安全學報》執行主編，《WWW》、《CJE》、《電子學報》、《通信學報》編委等。主要從事網絡與系統安全、隱私計算、數據安全等方面研究，獲2018年網絡安全優秀人才獎、2001年國務院政府特殊津貼，近年來獲國家技術發明二等獎1項、省部級科技進步（或技術發明）一等獎5項。

內容來源

第一屆開放原子開源基金會OpenHarmony技術峰會——安全及機密計算分論壇

視頻回顧

正 文 內 容

隨著現代計算機技術的飛速發展，信息安全的重要性日益凸顯。中國有14億人口，是互聯網應用和消費大國，數據量近年具有暴漲趨勢。國家出臺的多項政策和戰略中均強調了數據安全能力建設的重要性。目前，在操作系統領域存在哪些數據安全挑戰，又有哪些應對策略呢？中國科學院信息工程研究所二級研究員、副總師，中國科學院“百人計劃”學者李鳳華在第一屆OpenHarmony技術峰會上分享了精彩觀點。

01?

數據生產要素與數據流通

早期數據是少量、分散地流通與使用，但隨著數據廣泛集中，出現了大量的泄露、侵權等問題。因此，國家一方面促進數據流通，另一方面通過健全相關法律對數據進行保護。最早于2017年出臺的《網絡安全法》對網絡運營者保護網絡信息安全提出了明確要求；黨的十九屆四中全會提出將數據作為獨立的新型生產要素；《中共中央、國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出了“數據二十條”。國家的一系列關于數據安全能力建設的舉措，既保護了頭部、大規模企業的合法運營，也在一定程度上抑制了小規模企業對數據的非正常使用。

從數據本身的角度來看，數據是指圍繞產品設計、生產、銷售、售后服務，以及服務業等經營活動中產生的全流程數據。其中，具備“六性”（ 可用性、機密性、隱私性、可控性、交易性、仲裁性）的數據才能成為生產要素。數據可信指確定數據的所有權、使用權、管理權和交易權等，并確保存儲和傳輸的機密性、防篡改、不可否認性，以及計算可控性、可信可控審計。

02?

數據安全的挑戰和對策

數據安全的全生命周期包含數據采集、數據傳輸/保護、數據存儲、數據利用和數據銷毀。全生命周期中，各階段都需要進行數據保護：（1）數據采集要保障本地源數據的安全；（2）數據傳輸/保護要保證數據的傳輸安全、機密性、完全性以及不可否認性；（3）數據存儲要保證數據的存儲安全和正確的訪問控制；（4）數據利用要保證數據的流轉管控與監管、延伸控制；（5）數據銷毀要保證數據自動刪除、按需刪除和刪除確認。在全生命周期中，需要在每個環節做到數據保護，才能讓數據安全流通。

全生命周期數據安全

2.1??

CoAC訪問控制

CoAC（Cyberspace-oriented Access Control）訪問控制模型是泛在互聯環境下數據全生命周期可管可控的理論基礎，本質是網絡接入的訪問控制與信息系統的授權/鑒權進行關聯，實現泛在接入場景下細粒度控制。CoAC具備泛在接入場景下授權管理、同一主體在不同系統的權限映射、場景適應的權限可伸縮等能力，同時也能夠提供移動和遠程訪問場景下的數據流動細粒度邊界控制。在終端領域，終端是CoAC的發起方，還能夠支撐身份認證、口令和密鑰存儲等。

CoAC訪問控制模型

2.2??

數據控制

數據控制與訪問控制不同，強調在數據操作、傳播、留存、交易、銷毀等方面的控制，本質是數據和控制策略不可分離，支撐全生命周期應用。通過數據控制，可以解決泛在傳播的權限控制、移動業務的數據使用、多副本完備刪除以及全生命周期各操作環節的使用情況存證與合規審計等問題。在終端領域，數據控制能夠支撐發起者的數據確權。

2.3??

密碼按需服務

密碼強調按需服務，對于終端規模海量、服務高并發的環境，支持隨機交叉加解密的高性能密碼按需服務是數據安全的關鍵。密碼按需服務需要根據服務類型、計算能力以及性能需求等判斷密碼是否符合系統要求，并提供相應的監測分析手段?；诿艽a按需服務，通過對并發服務的密碼運算狀態高效管理，能夠有效解決多App并發服務對臨界資源高效使用的技術瓶頸；通過對海量并發服務的密碼運算狀態高效管理、性能線性可擴展，也能夠解決海量并發服務時后臺密碼運算的技術瓶頸。在終端領域，密碼按需服務能夠支撐密碼作業調度，同時能夠充分利用終端算力。

2.4??

機密計算

機密計算是在數據處理過程中將敏感數據隔離在受保護的區域（如可信執行環境）中再使用數據的方法，其本質是安全依賴于可控環境，解決參與計算的數據安全。通過機密計算，能夠保證計算環境的可信性、可控性以及機密性。具體的做法有：通過執行環境隔離，提供可信執行空間，未授權參與方不能進入該空間；參與主體能監控該環境的數據使用的合規性；參與的主體都不能窺探到在該環境內的數據、代碼和操作，但可獲取計算結果。在終端領域，可信執行環境（TEE）能夠提供可信計算環境，供操作系統調用。

2.5??

多方安全計算

多方安全計算通常采用不經意傳輸（Oblivious Transfer）、秘密分享（Secret Sharing）、混淆電路（Garbled Circuit）、同態加密（Homomorphic Encryption）等密碼算法實現，支撐聯合統計、聯合建模、隱私集合求交和隱匿查詢等功能的實現，本質是原始數據不出域、結果安全交換，支撐計算結果安全共享。通過多方安全計算，能夠保護消息接收方的意圖，并保障原始數據不出域。

多方安全計算平臺

2.6??

聯邦學習

聯邦學習是一種分布式的模型訓練模式，合作方利用自身數據完成部分的模型訓練，中心節點完成模型匯集。合作方之間交換訓練中間結果和模型參數，而不交換數據本身，自然而然地不存在數據出域而導致的原始數據泄露，但中間結果的交換沒有防泄漏的機制，仍然存在部分數據泄露的問題，其本質是原始數據不出域、算力分布利用。通過聯邦學習，算力不需要集中，可以充分利用分布式算力，減少最終模型需求方算力設備的資金投入；數據也不需要出域，迎合了原始數據不出供給方本地的愿望。

2.7??

數據安全態勢感知

數據安全態勢感知能夠對各個環節的數據狀態進行采集與融合分析，本質是無遺漏、及時的精準采集，支撐準確研判與有效處置。通過數據安全態勢感知，能夠對單位內部數據、行業數據、區域數據、全國數據等安全態勢進行精準判斷，支撐風險的有效處置，也能夠為終端的數據確權和數據操作合規性提供佐證。

03?

隱私保護的挑戰與對策

大數據時代背景下，終端APP頻繁超范圍采集個人信息；后臺信息服務系統中的隱私數據越權使用、大數據殺熟、個人畫像結果濫用、個人信息過度留存等問題與日俱增。目前針對單一系統提出隱私保護技術不能解決泛在受控共享，隱私信息跨系統共享難以確保多系統的隱私保護方案具有同等效果、一損俱損，需要從計算角度研究全生命周期的隱私計算框架、延伸控制。當前隱私保護方案多種多樣，且隨著時間的推移和隱私數據的類型不斷變化，需要考慮多算法融合，最終在“時間-隱私信息-隱私保護需求”三維空間中提出一種統一的描述方法，使隱私保護方案從零散的點形成連續演化的面。

隱私保護三維模型

3.1??

隱私計算

2015年李鳳華、李暉等學者在國際上率先提出并首次精準定義了隱私計算(Privacy Computing)的概念、定義和學術內涵，并提出了隱私計算理論與關鍵技術體系。

隱私計算定義

隱私計算是面向隱私信息全生命周期保護的計算理論和方法，是隱私信息的所有權、管理權和使用權分離時隱私度量、隱私泄露代價、隱私保護與隱私分析復雜性的可計算模型與公理化系統。隱私計算具體是指在處理視頻、音頻、圖像、圖形、文字、數值、泛在網絡行為信息流等信息時，對所涉及的隱私信息進行描述、度量、評價和融合等操作，形成一套符號化、公式化且具有量化評價標準的隱私計算理論、算法及應用技術，支持多系統融合的隱私信息保護。

隱私計算涵蓋了信息搜集者、發布者和使用者在信息產生、感知、發布、傳播、存儲、處理、使用、銷毀等全生命周期過程的所有計算操作，并包含支持海量用戶、高并發、高效能隱私保護的系統設計理論與架構。

審核編輯 黃宇