数据跨域是数据安全问题的重要源头
要简要分析为什么数据跨域会成为当代数据/隐私安全问题的重要源头,首先就要给出一个形式化的系统安全分析框架。这一讲中提到,确保数据安全可信主要是保障验证以下四个基础要素。
- 身份可确认
- 利益可依赖
- 能力可预期
- 行为有后果
对比传统的运维安全保护机制,数据跨域场景下安全薄弱点体现在以下几个方面:
| 要素 | 运维安全场景(数据内循环) | 数据跨域(数据外循环) |
|---|---|---|
| 主体身份 | 法人和员工自然人容易受到运维安全控制 | 域外责任主体不清 |
| 利益依赖 | 收集、分析、研发和运维各方利益相对一致 | 跨域多方利益诉求不一致 |
| 能力预期 | 内部数据流通可审计、数据保护能力可对齐 | 域外数据保护能力参差不齐 |
| 行为后果 | 安全问题追责成本低 | 责任链路难追溯 |
总体上来说,在数据跨域中,上述数据安全的四大威胁是因为
- 明文数据的所有权和使用权无法分离
- 明文数据的流通无法跨域控制
隐私/可信计算实践的主要思路
可信数字验证身份
现有技术:
- CA证书验证(优势:权威机构注册,可以将云上实体关联到物理实体;不足:无法验证数字实体)
- 远程验证 (基于硬件的可信根与可信计算体系验证数字实体)
利益对齐
总体技术要求:跨域后数据持有者依然可以审计数据的使用;或者保障数据所有权和使用权的完全分离。
技术关键词:
- 隐私计算
- 可信计算
- 机密计算
能力预期
关键是降低技术落地成本。这一讲的这一部分,包含了一些关于如何降低密态数据系统使用成本的技术层次化思考。
但是出于我个人的习惯,是不登陆b站使用的。因此我的视频只有360P,所以就没有高清图可以上载到文章里。感兴趣的同学可以自行点链接第1讲:数据可信流通,从运维信任到技术信任去b站看PPT上的图。
全链路审计
这一部分包含了对数据跨域管控的建模。数据跨域管控的建模核心是两个抽象概念外循环节点和密态枢纽/密态管道。我总结以下PPT的内容,简单来说就是两个数据安全域对外暴露出自己的外循环节点形成如下的拓扑关系:
$$外循环节点(A) \stackrel{密态管道}{\longleftrightarrow} 密态枢纽 \stackrel{密态管道}{\longleftrightarrow} 外循环节点(B),$$
或者
$$外循环节点(A) \stackrel{密态管道}{\longleftrightarrow} 外循环节点(B)。$$
两者的区别在于第三方可以在数据要素的流通枢纽层面加入数据流转服务,比如运营交易和使用确权。
远期展望:密态天空计算
上一小节中提供了一个很好的抽象,将数据安全的工作从运维安全中部分剥离出来,变得与跨域网络基础设施的具体情况无关,因此业界提出了一个新的概念:“密态天空计算”。“密态天空计算”是指基于技术信任的数据跨云互联,其目标是允许基于数据密态的应用能跨多个云厂商运行。简单来说,在密态天空计算技术的支持下,可以构建起一个在多云环境下安全可信的互联互通的数据密态流转网络,网络上各个节点方能够通过密态计算因子便捷、安全地进行数据流通融合。
