金融业隐私计算互联互通技术研究报告.pdf

资源描述

1、金融业隐私计算互联互通技术研究报告金融业隐私计算互联互通技术研究报告 VI 目录前言.1 一、隐私计算互联互通当前发展情况.3（一）发展背景及意义.3（二）行业驱动力.5（三）难点与挑战.6（四）金融行业探索实践.7 二、金融业隐私计算互联互通框架设计.13（一）框架设计考量因素.13（二）总体框架设计.16（三）框架组成解析.17（四）框架功能特色.20 三、互联互通技术分解研究.22（一）管理面元素与接口研究.23（二）流程调度接口与算法容器加载研究.26（三）安全算子接口与服务化研究.31（四）传输接口与报文研究.34（五）异构算法协议研究.37（六）TEE 互联互通技术研究.

2、44 四、互联互通关键技术点攻关.49（一）管理面最小必要元素设计.50 金融业隐私计算互联互通技术研究报告 VII （二）多方资源访问控制协同策略.56（三）DAG&CONF 的通用化设计.63（四）流程调度互通设计.69（五）组件容器化加载方案.76（六）基于最小化约束的算法容器设计.83（七）隐私计算安全算子服务设计.87（八）传输层同步异步兼容设计.96（九）异构平台开放算法协议设计.101（十）TEE 统一远程证明流程设计.107 五、隐私计算互联互通生态展望.115（一）生态建设目标.115（二）生态蓝图.116（三）生态主要建设路径.126 六、总结与建议.135（一）总结.13

3、5（二）发展展望.136（三）政策建议.137 附录：重要术语.140 参考文献.141 金融业隐私计算互联互通技术研究报告 1 前言 2022 年 12 月 19 日，中共中央国务院正式发布关于构建数据基础制度更好发挥数据要素作用的意见1，提出要促进数据合规高效流通使用，充分实现数据要素价值，并支持有条件的部门、行业加快突破数据可信流通、安全治理等关键技术。数据要素的发展催生了隐私计算的繁荣，随着近几年隐私计算行业的快速兴起，联邦学习、多方安全计算、可信执行环境等隐私计算技术逐步从试点走向了商用。然而，各家厂商的隐私计算平台往往根据各自需要采用了不同的技术架构和算法协议，使得各平台实现具有

4、极大的差异性，导致了各平台间难以直接互联互通。这种情况不仅造成各机构厂商系统的重复建设和运营成本的浪费，还间接形成了数据要素流通的技术壁垒，使隐私计算连接的“数据孤岛”开始转变成“技术孤岛”。隐私计算跨平台互联互通能够有效解决“技术孤岛”问题，有助于促进数据要素跨平台高效流通。为进一步加快隐私计算互联互通技术发展，推动行业级隐私计算互联互通方案及实施路线制定，在北京金融科技产业联盟（简称“金科联盟”）指导下，中国银联联合商业银行在内的主要金融机构、科技公司、互联网公司、电信运营商、隐私计算开源社区和检测认证机构共同启动了隐私计算互联互通（以下简称“互联互通”）的课题工作。此次课题的组织，旨在完

5、成行业级互联互通框架研制、关键技术研究及规范编制工作，本报告内容属于课题阶段性研究成果的汇总体现。金融业隐私计算互联互通技术研究报告 2 本报告立足于行业视角，针对隐私计算技术发展的趋势和需求，围绕“互联互通”开展一系列的探索和实践，并深入浅出地进行阐释。报告从当前行业发展现状和互联互通的价值意义着手，重点提出行业级隐私计算互联互通探索实践的思路，致力推动可行的跨平台互联互通框架组成研究，以及深入挖掘互联互通关键技术点及配套落地实施方案，并在此基础上进一步展望互联互通产业发展新生态和商业模式，以期更好地激发数据要素流通和算法市场新活力，塑造我国数字经济时代新的竞争优势。总体而言，报告关于“隐私

6、计算互联互通课题”的探讨具有重要的现实意义。面对金融行业严监管要求和实际应用中复杂多样的平台技术实现方案，形成覆盖管理面、数据面的行业级互联互通统一框架，以更好实现跨数据、跨平台、跨行业互联互通；此外，报告还针对互联互通生态发展需要，分别从技术、标准、业务等方面提出推进思路，以推动金融行业互联互通生态构建和落地，助力形成隐私计算互联互通生态流通网络。金融业隐私计算互联互通技术研究报告 3 一、隐私计算互联互通当前发展情况（一）（一）发展背景及意义发展背景及意义 1.背景及现状数据作为数字经济的核心生产要素之一，已在国家、行业等多层面获得了广泛重视。中共第十九届中央委员会第四次全体会议于 20

7、19 年 11 月5 日发布的关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定2中首次提出将数据列为一种新型生产要素。2022 年 12 月 19 日，中共中央国务院新发布的关于构建数据基础制度更好发挥数据要素作用的意见，进一步提出促进数据合规高效流通使用，充分实现数据要素价值，并支持有条件的部门、行业加快突破数据可信流通、安全治理等关键技术。金融行业是典型的数据密集型行业，数据要素正成为金融行业高质量发展的重要驱动力。中国人民银行于2021 年 12 月 29 日发布的金融科技发展规划（2022-2025 年）3中提出了推进数据有序共享，要求探索建立跨主体

8、数据安全共享隐私计算平台，提升数据要素资源配置效率。当前金融行业关于数据安全及隐私保护的需要加快推动了隐私计算技术在金融行业的创新应用。随着近几年隐私计算行业的快速发展，联邦学习、多方安全计算、可信执行环境等隐私计算技术逐步从试点走向了商用。然而，各家厂商的隐私计算平台在早期实现的过程中往往采用了不同的技术架构和算法协议，这使得各平台实现具有极大的差异性，导致了各平台间难以直接互联互通。由于各机构异构平台间无法直接进行交互协同，金融业隐私计算互联互通技术研究报告 4 且各机构已接入的数据源基本仅能在特定项目、特定平台下使用，导致金融机构现阶段需要重复部署多套异构隐私计算平台来实现跨机构、跨平台

9、的数据合作。这不仅造成了系统重复建设和运营成本的浪费，还间接形成了数据要素流通的技术壁垒，使隐私计算连接的“数据孤岛”开始转变成为“技术孤岛”。隐私计算互联互通技术在一定程度上能够促进“技术孤岛”联通，进而促进数据要素跨平台高效流通。当前跨平台互联互通已逐步成为行业新共识，业界各方正在从技术和应用层面推动隐私计算互联互通。2.互联互通的意义和价值互联互通的发展能够更好推动隐私计算产业发展，充分激发数据要素价值。可以说，互联互通是隐私计算行业发展的必然趋势。只有真正实现不同行业机构、厂商平台间的互认互用，才能破除平台壁垒，加快数据要素生态市场建设。从现实意义上看，互联互通的意义和价值主要有：（

10、1 1）加快形成统一标准体系的金融数据要素流通网络。）加快形成统一标准体系的金融数据要素流通网络。互联互通能够促进形成统一的隐私计算技术标准体系，有助于建立跨主体数据安全共享模式，充分挖掘数据价值，为实现跨机构、跨地域、跨行业数据资源有序共享和综合应用提供有效支撑。（2 2）促进互联互通产业新生态和新商业模式构建。）促进互联互通产业新生态和新商业模式构建。互联互通有助于实现产业各方各领域数据资源最大化利用，促进互联互通良性生态的形成和新商业模式构建，不断拓展金融行业数据要素广度和深度，并在金融业隐私计算互联互通技术研究报告 5 服务实体经济、助力金融科技发展的同时逐步提升数据综合应用与多向赋能

11、实效。（3 3）助力端到端数据流通体系监管落地。）助力端到端数据流通体系监管落地。隐私计算互联互通可为监管机制的透明化、公开化落地提供可行的实现方式，助力收拢数据应用安全合规漏斗，将金融行业的数据流通实质性地纳入监管，进而推动数据要素市场的规范化发展。（二）（二）行业驱动力行业驱动力随着隐私计算开始步入生态发展快车道，互联互通有助于进一步加快百亿级隐私计算市场建设。相比短期内较难实现、目标略显远大的意义和价值而言，产业各方更关注于互联互通能够快速带来的产业价值，这也是行业各方热衷于推进隐私计算互联互通的真正驱动力。（1 1）降低成本、减少风险。）降低成本、减少风险。隐私计算是一门新兴的技术，

12、相关产品的成熟度大多未经过市场长期检验。因此，通过重复部署各类隐私计算平台来实现跨机构多场景平台支持的方式，不仅会带来运营管理成本的问题，其潜在的安全风险相比多年沉淀的成熟信息科技产品也要更高。各机构迫切希望加快异构平台互联互通落地，降低外部引入多个隐私计算平台带来的成本开销和安全风险，提升不同隐私计算平台间的协作效率。（2 2）简化行业数据流通要求，加速跨行业数据合作。）简化行业数据流通要求，加速跨行业数据合作。隐私计算是能够打破行业间数据壁垒的利器，互联互通则是充分发挥这把利器作用的磨刀石。互联互通的发展不仅有助于收敛行业数据要素流通要求、实金融业隐私计算互联互通技术研究报告 6 现行业数

13、据价值释放的规范化与统一化，还有助于加快跨行业数据合作的落地与实现，使各隐私计算技术厂商可以更专注于互联互通接口细化和开放推广，促进隐私计算技术大规模应用，并进一步推动整个行业发展及产业繁荣，加快数据跨机构、跨行业流通利用。（3 3）加快完善数据要素加速流通的政策环境。）加快完善数据要素加速流通的政策环境。互联互通的落地，能够帮助各方进一步加快完善数据流通政策环境，建立统一的法律体系、制度体系、组织体系、标准体系和监管体系，促进数据要素的自由流动和合理配置，最终推动全国统一大数据市场的顺利构建。（三）（三）难点与挑战难点与挑战互联互通的发展并不是一蹴而就，而是机会与挑战并存。要想真正实现各家

14、机构、厂商隐私计算平台互通及数据要素顺畅流通流转，需要正视和解决当前互联互通存在的难点与挑战：（1 1）技术理解和实现差异带来的技术改造困难。技术理解和实现差异带来的技术改造困难。由于隐私计算行业尚处于初期，产业各方在认知理解上存在较大差异，在通信网络、密码算法、应用协议、上层接口、数据格式等各个层面的技术实现也差异较大。因此，要想实现互联互通，不仅需要有一套通用化框架以兼容适配各方的差异化平台和接口，还需要考虑未来互联互通后异构平台协同更新时迭代困难的问题。（2 2）标准制度体系的缺位。）标准制度体系的缺位。当前业内标准规范体系尚未完备，不同隐私计算技术、不同业务场景、不同标准组织的标准间仍

15、然相互割裂。在此情况下，如何设计更加灵活的互联互通标准和制度，使其既能兼容多个金融业隐私计算互联互通技术研究报告 7 异构平台，又能使得各异构平台互联互通具备可行性和可落地性，还能保持隐私计算在业务应用中的领先性和创造性，是当下落实互联互通工作的重点和难点。（3 3）隐私计算的安全属性需要在互联互通设计中着重考虑。）隐私计算的安全属性需要在互联互通设计中着重考虑。由于互联互通各参与方在安全设计理念、抗风险攻击能力方面存在较大差异，不同隐私计算技术路线之间、相同技术路线不同实现方案之间也存在一定的安全水平差异，因此，安全合规风险是目前隐私计算所面临的又一重大挑战。在尚未定义统一的隐私计算安全评定

16、方式和分类分级尺度的当下，如何能够有效鉴别不安全、不适用的互联互通产品、算法和代码，如何保证隐私计算技术能够被安全、合规、高效地应用，以及如何有效平衡互联互通后隐私计算技术的安全性、效率和精度，是构建互联互通安全评价体系亟待考虑的问题。（四）（四）金融行业探索实践金融行业探索实践为赋能金融行业数据要素高效流通，提升隐私计算互联互通标准化程度，本小节从隐私计算技术发展需要及互联互通难点挑战出发，尝试探索定义行业级互联互通内涵和研究实现思路，以便更好推动隐私计算互联互通应用发展和标准制定工作。1.行业级互联互通的内涵行业级隐私计算互联互通（见图1）是一整套实现异构隐私计算平台间数据安全流通的通

17、用技术规范及配套生态支撑体系。在不暴露平台内部设计细节且不受平台自身更新、升级、扩容影响的前提下，行业级隐金融业隐私计算互联互通技术研究报告 8 私计算互联互通应立足金融行业发展需要，遵循统一的行业数据交互标准和接口规范，支持异构平台数据、算法、算力安全的交互与协同，支撑使用不同技术平台产品的不同金融机构共同协作完成同一隐私计算任务，并在平台互通、便于推广的基础上助力推动良性产业生态建设。图1 金融行业隐私计算互联互通内涵示意图行业级互联互通不仅要从技术层面进行顶层设计，更要从生态推广角度进行全盘考虑。具体可以从五个维度进行内涵解读：（1 1）全局视野，中立客观。）全局视野，中立客观。推进隐

18、私计算互联互通，参与方不仅需要拥有全球化、全局性的视野定位，还应该秉持中立客观、兼容开放的立场，不计较眼前得失，积极参与贡献和集思广益。（2 2）关照诉求，解决痛点。）关照诉求，解决痛点。所谓行业级互联互通，不仅需要在技术上充分考虑产业痛点及各方诉求，各方共建一个既满足安全要求又能适应各平台产品多样性的互联互通统一框架，还要能够同时兼顾各方商业利益和知识产权保护诉求，做到互利共赢。金融业隐私计算互联互通技术研究报告 9 （3 3）架构合理）架构合理，凸显安全。，凸显安全。作为行业级互联互通框架，其架构应该是兼容、合理和安全的。兼容为先、合理为本、安全为基，既要能够尽可能兼容各类代表性技术路线和

19、主流开源技术平台，相应东西向和南北向协议接口和流程设计更要高效而合理，同时还要以安全为最核心诉求和考量。（4 4）成果切实，）成果切实，便于便于推广。推广。互联互通统一框架应具备算法易开发、产品易集成、生产易运维、框架可测试、数据交互可审计等主要功能特点，可支持产业各方更好地开展集成对接和改造落地工作，使互联互通成果得以快速推广和实施。（5 5）生态）生态助力助力，相互促进。，相互促进。以统一框架生态为基础，各方将得以从现有技术路线竞争态势中脱离出来，集中自身优势资源，全力促进先进技术的迭代更新和商业价值的快速增长，并为上层算法市场提供更多样化的产品和增值服务。2.行业级互联互通实现思路根据

20、当前业界隐私计算技术发展及互联互通工作开展情况，行业级互联互通工作可结合“自下而上”和“自上而下”两条线进行推进实施。总体而言，宜按照“自下而上”思路以多方协作联合实践的方式推动互联互通框架和规范制定，以及按照“自上而下”思路从中立性组织和开源社区层面助推互联互通规范实际落地和产业生态建设。具体推进方式上，可通过以下三条路线的形式分头推进：依托中立组织开展多方合作：依托中立组织开展多方合作：互联互通之所以难，不仅难在技术层面的问题，更是难在合作开放过程中各平台之间的规则兼容、责任匹配和金融业隐私计算互联互通技术研究报告 10 利益协同。基于此，需要有一个能够秉持中立立场、具有一定行业影响力的中

21、立组织机构来牵头组织互联互通工作推进。该机构既要能够客观看待各类隐私计算技术，还要能够及时把握产业发展趋势，跟进监管方要求，并在最小代价前提下实现技术发展、规则制定和各方利益的有效权衡。“实践“实践+标准”双轮驱动：标准”双轮驱动：互联互通最后一步需要产业各方精诚协作、合力共进。其中，各方宜采用“实践+标准”双轮驱动模式开展互联互通框架建设，不仅要从产业发展的高度开展行业统一标准制定，更要从泛行业支撑的角度开展跨平台多方实践。标准和实践两者齐头并进，相辅相成，缺一不可。开放透明，合作共赢：开放透明，合作共赢：互联互通离不开规范的开放透明，只有将使用隐私计算技术的门槛降低，才能真正实现数据要素的

22、流通。隐私计算的开放协同能够有效提升各大主流异构平台之间的兼容性和协同性，一方面有利于整合各方力量，节省重复性技术资源投入，聚合各自生态资源和扩大各自项目影响；另一方面也有助于加快基础设施建设，打通隐私计算产业生态，促进数据流通场景商业闭环构建，并最终助力实现跨行业数据协作共赢。3.金科联盟互联互通课题组织北京金融科技产业联盟数据专委会于 2022 年初开始布局金融行业异构隐私计算平台互联互通技术规范金融业隐私计算互联互通技术研究报告两项重点课题（统称为“课题”），提出加快隐私计算互联互通统一框架建设，制定可落地互联互通技术规范和实现方案，以及推动产业各方开展基于主流隐私计算产品的互联互通

23、可行性验证（见图 2）。课题金融业隐私计算互联互通技术研究报告 11 以团体标准和研究报告作为主要产出。图2 金科联盟互联互通课题组织架构图课题自提出以来受到产业各方的普遍关注和广泛认可，并于 2022 年4 月正式获批立项，由中国银联牵头，主要商业银行在内的金融机构、科技公司、互联网机构、电信运营商、检测机构、开源社区等 50 余家单位共同参与。主要参与单位名单如表 1 所示：表1 金科联盟互联互通课题参与单位名单（按拼音首字母排序）北京金融科技产业联盟秘书处北京百度网讯科技有限公司北京八分量信息科技有限公司北京冲量在线科技有限公司北京火山引擎科技有限公司北京数牍科技有限公司北

24、京银联金卡科技有限公司北京原语科技有限公司成方金融信息技术服务有限公司度小满科技（北京）有限公司复旦大学光大科技有限公司海光信息技术股份有限公司杭州趣链科技有限公司华控清交信息科技（北京）有限公司华为技术有限公司华夏银行股份有限公司建信金融科技有限责任公司交通银行股份有限公司金融信息化研究所京东科技信息技术有限公司蓝象智联（杭州）科技有限公司联易融数字科技集团有限公司蚂蚁科技集团股份有限公司金融业隐私计算互联互通技术研究报告 12 上海富数科技有限公司上海光之树科技有限公司上海浦东发展银行股份有限公司上海荣数信息技术有限公司神谱科技（上海）有限公司

25、深圳前海微众银行股份有限公司深圳市洞见智慧科技有限公司深圳壹账通智能科技有限公司深圳致星科技有限公司深圳微言科技有限责任公司神州融安数字科技（北京）有限公司腾讯云计算（北京）有限责任公司同盾科技有限公司兴业银行股份有限公司银联商务股份有限公司招商银行股份有限公司浙商银行股份有限公司中国电信股份有限公司中国工商银行股份有限公司中国民生银行股份有限公司中国农业银行股份有限公司中国银行股份有限公司中国银联股份有限公司中国邮政储蓄银行股份有限公司中金金融认证中心有限公司中国信息通信研究院中国移动股份有限公司课题以金科联盟平台为依托，以“安全互通、兼容开放、生

26、态共“安全互通、兼容开放、生态共荣”基本原则荣”基本原则为宗旨，积极拉通产业各方共识，在充分考量行业各方诉求的基础上，共同制定金融行业互联互通统一框架及实现方案；同时还将进一步借助和发挥各家单位技术特长，以“机构+厂商”牵头合作模式开展互联互通关键技术点研究攻关，群策群力，并在更大范围内推动跨平台互通场景探索和可行性验证，确保互联互通方案和规范的可落地、可评估和可检测。在金科联盟及数据专委会、50余家参与机构的共同努力下，当前课题已取得阶段性进展，本报告即是当前课题的重要成果之一。金融业隐私计算互联互通技术研究报告 13 二、金融业隐私计算互联互通框架设计遵循第一章所阐述行业级互联互通内涵及

27、实现思路，课题组启动了互联互通框架设计工作。在针对业界各方需求及技术影响因素开展大量调研工作的基础上，课题组梳理了互联互通框架设计的考量因素，并研制形成一套中立、兼容、安全、可行的行业级互联互通框架，为行业级互联互通的实际落地奠定了坚实基础。（一）（一）框架设计考量因素框架设计考量因素 1.行业需求因素行业级互联互通需兼顾产业参与各方诉求，包括商业化多样性、应用可落地性以及数据安全可监管性。为保证各方诉求内容的完整性，课题组前期联合金融机构、科技公司、检测机构、监管机构等类别的参与单位进行了深入的沟通和调研，进一步梳理明确了各方对于互联互通的主要诉求。大致如下：（1）金融机构主要诉求：避免烟

28、囱化部署：尽可能仅部署一套系统底座，减少管理成本，降低系统安全风险；数据流动安全可控：互通后隐私计算系统的执行过程以及数据流动需要具备一定的透明性和组合可替换性。（2）科技公司主要诉求：减少准入开销：能够减少针对准入产品的重复安全测试开销；金融业隐私计算互联互通技术研究报告 14 给予多样性空间：互联互通规范不要过多限制产品自由度，为特色功能与特性优化留有空间；保护商业利益：增强互联互通商业利益保障，尤其是商业算法与开源算法的知识产权保护，同时希望在互联互通发展呈现规模效应后能够尽快形成良性的市场拓展态势。（3）检测机构主要诉求：需要有成型的互联互通技术检测框架体系；隐私计算的检测应更有针对性

29、与专业性；在互联互通框架的基础之上能够形成良性的互联互通生态。（4）监管机构主要诉求：加快重点领域金融数字化转型标准制定，助力金融基础设施互联互通；跨机构、跨地域、跨行业数据资源有序共享，提升数据要素资源配置效率；充分释放数据要素潜能。2.技术实现因素技术实现因素考量方面，考虑到隐私计算技术正在快速演变过程中，很难一步到位地实现全技术互联互通，因此，拟采取从最小必要设计到深化实现的分阶段方式来逐步推动隐私计算互联互通工作。第一阶段为本课题主要落实工作，主要思路是实现系统架构级的最小必要互联互通系统架构级的最小必要互联互通，即对隐私计算系统各层级进行合理解析，再对各层的关键应用程序编程接口（A

30、PI，如图3中高亮色所展示部分）进行规范化与标准化（在尽可能不干金融业隐私计算互联互通技术研究报告 15 涉隐私计算系统层级的情况下为接口外各层级模块的灵活实现预留空间），做到规范化标准化与多样性兼容性之间的有效平衡；下一阶段将在本阶段实现框架级互通的基础上继续推动包括算法、算力和应用在内更深层次的互联互通工作。本课题也将同步围绕异构算法互通开展一些初步探索，为后续互联互通技术研究提供更好支撑。图3 框架级互通接口标准化设计示意图总体而言，主要涉及如下几项关键设计考量：最小必要原则。最小必要原则。从互通的角度，互通规范仅需定义节点、资源、任务、算法等最小必要的元素，其他涉及产品化的元素（例如

31、租户、用户体系等）不在互联互通的探讨范围之内。互通的防御性假设。互通的防御性假设。由于互联互通对端节点内部实现逻辑并非完全可控，故除了遵循所定义的接口外，还需要在流程处理上预留一定的安全冗余，以安全地适配各种可能的接口调用；在互通授权策略设计上，需要充分考虑策略定义的合理性，做到尽可能的通用和灵活，并通过机制保障资源能够得到受控访问。架构解耦。架构解耦。隐私计算的架构解耦有两个层次，一是框架底座与隐私计算算法的解耦，二是在隐私计算算法中应用算法和安全算子解耦。金融业隐私计算互联互通技术研究报告 16 安全可控。安全可控。安全算子作为隐私计算最核心的一部分，其安全性至关重要，可通过与应用算法解耦

32、的方式来实现安全可控：一是通过解耦使安全算子可替换，使得合作方在不信任某个安全算子的实现时，仅需替换为另一个符合安全算子 API 定义且己方信任的安全算子实现，而不对上层应用算法的正常运行造成影响；二是解耦后的安全算子 API 是标准化的，因此数据的流动可以更有效地被追踪分析（例如可采用服务网格追踪等方法进行追踪）。在这两点特性共同作用下，互联互通机制的安全性将得以大幅提升。（二）（二）总体框架设计总体框架设计基于上述考量点分析，本课题创新提出了基于“管理面与数据面切分，管理面分模块定义，数据面逐步解耦”核心理念的隐私计算互联互通总体框架方案（如图 4 所示）。图4 隐私计算互联互通框架图

33、其中，最重要的一个设计思路就是管理面和数据面的切分：管理面和数据面的切分：金融业隐私计算互联互通技术研究报告 17 1）管理面主要负责各隐私计算元素的互通（包括节点、算法组件、项目、任务等元素信息的互通同步），以及其中关于资源审批授权流程的交互；2）数据面是真正执行隐私计算算法的部分。根据前期需求调研情况，各机构普遍希望仅部署一个隐私计算框架底座，对于各类功能算法则可以通过加载各异的算法组件来实现。初期算法组件可以以一个整体打包的算法容器的形式存在，随着互通程度逐渐地深化，将逐渐解耦成本章第（一）节中所提到的安全算子与应用算法相分离的形态。其中，安全算子包括同态加密、秘密分享、不经意传输、混淆

34、电路等，应用算法包括隐私求交（PSI）、逻辑回归（LR）、极端梯度提升树（XGB）、匿踪查询等；安全算子和应用算法间的安全API主要涉及对安全算子的功能性操作，如加乘比较、向量运算以及衍生运算等；传输层API则包括发送、接收以及异步的传输等。上述所提及两层API的规范化，是本课题所涉互联互通框架着力希望突破的点，这对于提升隐私计算互通算法运行过程的可控性具有重要意义。3）在管理面与数据面之间，仅有作业任务和策略权限的配置定义会涉及两个面的耦合，其他管理面元素及流程调度相关的规范化定义原则上都可以分开进行，如此将得以实现最大程度的解耦化。（三）（三）框架组成解析框架组成解析互联互通框架定义仅是

35、基础，要想切实推动框架落地，还要从更细粒度去分析各框架模块的组成细节，以确认各模块所涉相关技术实现金融业隐私计算互联互通技术研究报告 18 点。基于此，可对上述总体框架作进一步的解析，并拆分成如图5所示的层次。图5 互联互通总体框架解析图 1）管理面相对较为简单，由于管理面仅涉及管理层间交互，因此管理面的关注点在于管理层间协作信息同步及相关资源的授权。2）数据面相对较为复杂，包括流程调度、算法容器加载及对外传输信息的传输层三大部分。其中，算法容器还可再细分为应用算法层和安全算子层两层。对于跨平台互联互通而言，最理想的方式是能够统一定义其间所有异构隐私计算平台间的API，即将图5中水平圆筒状的A

36、PI都进行标准化定义。就当前业界的整体发展水平而言，管理层、调度层和传输层这三层异构隐私计算平台间（东西向）的API标准化是相对可行的，至于隐私计算算法层面在东西向的API则难以通过一致性抽象的方式来形成标准化定义。为金融业隐私计算互联互通技术研究报告 19 此，本课题将转换一种思路，通过采用隐私计算平台层次间通信调用（南北向）接口定义替代东西向的接口定义的方式来解决算法层面各模块对齐的问题；如此，仅需要在应用算法层和安全算子层间以及在算法层和传输层间各定义一层接口（图4中高亮色圆柱形接口），即可实现一个初步版本的互联互通（与东西向接口相比，这两层南北向接口所需实现的功能是相对清晰也更易于定义

37、）。在图 5 基础上，还需要进一步结合互联互通框架底座（如图 6 数据面蓝绿颜色模块标注）才能形成完整的互联互通框架。该底座宜包括流程调度模块、计算引擎、存储引擎、日志存储模块、机密计算模块、算法容器加载模块等偏系统与功能级的模块。一般而言，隐私计算互联互通的实现会更多地关注到算法容器和部分偏系统级模块的接口定义，如计算、存储、日志、度量等一些接口。此外，可信执行环境（TEE）作为当前隐私计算三大路线之一，也将会涉及异构 TEE 系统之间的互联互通问题，故底座系统模块还可能配置有基于 TEE 技术的机密计算模块。金融业隐私计算互联互通技术研究报告 20 图6 互联互通研究点分解综上，上述互联

38、互通框架可以分解成“管理面元素与接口研究”“流程调度接口与算法容器加载研究”“安全算子接口与服务化研究”“传输接口与报文研究”“异构算法协议研究”“TEE 互联互通技术研究”等六个研究点。为切实推动互联互通框架落地，本课题已组织各参与单位按照子课题的形式有序开展上述研究板块的研究验证工作，并在第三章中予以详细阐述。（四）（四）框框架功能特色架功能特色由上述的分析，本课题所提出的互联互通框架具备如下的特点：全面覆盖隐私计算的主流技术路线，兼容多方安全计算（MPC）、联邦学习以及可信执行环境（TEE）各主要技术路线。管理面与数据面低耦合切分，整体互通架构更为清晰。金融业隐私计算互联互通技术研究报

39、告 21 算法与框架底座解耦，借助灵活的算法可插拔式设计，实现可行性高。应用算法与安全算子解耦，着重体现隐私计算的安全属性，有助于从机制层面增强互通隐私算法的安全可控。各层的解耦以及标准化，有利于形成隐私计算的良性生态。金融业隐私计算互联互通技术研究报告 22 三、互联互通技术分解研究依照第二章设计，互联互通将分解成“管理面元素与接口研究”“流程调度接口与算法容器加载研究”“安全算子接口与服务化研究”“传输接口与报文研究”“异构算法协议研究”“TEE 互联互通技术研究”等六个部分。在课题组织工作中，这六部分以子课题的形式进行推进，各子课题牵头单位及参与单位如表 2 所示：表2 互联互通牵头单

40、位及参与单位简称名单（按子课题贡献度排序）子课题名称牵头单位参与单位管理面元素与接口研究招商银行、浦发银行富数科技、蓝象智联工商银行、中国银行、光大科技、兴业银行、浙商银行、交通银行、度小满、蚂蚁集团、洞见智慧、融安数科、光之树、神谱科技、中国移动、同盾科技、数牍科技、中国银联流程调度接口与算法容器加载研究浦发银行、富数科技洞见智慧、百度网讯微众银行中国银行、华控清交、蓝象智联、度小满、蚂蚁集团、融安数科、八分量、同盾科技、中国银联安全算子接口与服务化研究蓝象智联、洞见智慧工商银行、中国银行、浦发银行、招商银行、BCTC、华控清交、神谱科技、联易融、度小满、蚂蚁集团

41、、富数科技、融安数科、华为、同盾科技、中国银联传输接口与报文研究光大科技、蓝象智联成方金信、中国银行、浦发银行、微众银行、华控清交、度小满、蚂蚁集团、洞见智慧、富数科技、同盾科技、数牍科技、壹账通、百度网讯、中国银联异构算法协议研究蚂蚁集团工商银行、农业银行、浦发银行、招商银行、浙商银行、华控清交、神谱科技、洞见智慧、壹账通、联易融、富数科技、同盾科技、华为、中国电信、中国银联金融业隐私计算互联互通技术研究报告 23 TEE 互联互通技术研究工商银行、蚂蚁集团成方金信、农业银行、浦发银行、招商银行、冲量在线、百度网讯、富数科技、壹账通、光之树、致星科技、同盾科技、中国电信、中

42、国移动、海光、中国银联本章将介绍各子课题的主要研究内容与思路，第四章将着重阐述其中所涉及关键技术点的研究成果。（一）（一）管理面元素与接口研究管理面元素与接口研究 1.概述在互联互通当前面临的难点中，如何在不同平台的应用层达成管理功能互通，安全可控地实现资源同步，是后续异构平台协同隐私计算任务的前提和基础。一个完整的隐私计算平台，除了核心算法外，还包括节点发现、资源授权、项目管理、流程编排等控制管理功能，不同平台的管理层架构也因各自的设计思路和业务侧重不同而存在差异，因此，跨异构平台执行隐私计算任务，就必须先打通基础环节的管理功能。管理面元素与接口研究，是在充分考虑各技术平台差异的前提下，

43、对隐私计算平台的基本元素、各级资源的授权流程及支撑授权流程的 API 接口进行标准化定义，从而对互联互通的隐私计算平台内外部各元素进行协调管控，实现管理层级的互联互通。2.研究目标管理面元素与接口研究旨在形成一套行业认可的、规范统一的管理面元素与接口定义规范，为隐私计算产品的管理功能设计及管理层级互通提供参考模式，实现节点管理、数据管理、项目管理、流程管理、作业管理、金融业隐私计算互联互通技术研究报告 24 组件管理等操作，继而实现安全可控的跨平台互通协作，使不同异构平台能够协作完成相同的隐私计算任务。3.研究内容管理面元素与接口包括以下几个方面的研究内容：(1)规范管理面基本元素。规范管

44、理面基本元素。从异构平台互联互通出发，对最小必要的实体元素进行抽象和定义。(2)设计管理面互通流程。设计管理面互通流程。分层级依次对节点互通、数据互通、项目互通、流程互通、组件互通等节点间资源授权步骤进行定义，确保相应权限得到有效管控，安全性得到有效保证。(3)制定流程有向无环图（制定流程有向无环图（DAGDAG）及作业配置（）及作业配置（CONFCONF）通用结构。）通用结构。考虑不同平台间协同计算的兼容问题、标准化流程DAG及作业CONF结构，支撑数据平面对计算资源进行统一调度。(4)制定管理面互联互通服务接口标准。制定管理面互联互通服务接口标准。基于管理面互通流程，分模块定义互通服务接口

45、，充分考虑安全性、必要性、普适性、开放性、易用性，完成管理面互联互通服务接口设计和定稿。4.设计原则考虑到隐私计算技术产品之间存在较大的差异的现状，互联互通不能要求所有平台同质化、统一化，需要在保证各平台的独立性、完整性和安全性的基础上对实现互联互通的最基础环节求同存异。因而，管理面互联互通的架构设计应满足以下特性：最小必要：在满足功能要求的前提下，抽象出各隐私计算平台通用的管理面元素最小必要单元，简化跨平台交换信息，平台内部的扩展元素金融业隐私计算互联互通技术研究报告 25 独立管理，在保证平台独立、功能完整、策略安全的前提下，实现最基础环节的求同存异。一致性：管理面互联互通基于通用、规范

46、的接口和互联协议，进行跨平台的互联和同步操作，应能保障各层级资源信息在建立互联的平台间的最终一致性。安全可控：不同平台间的协同、交互应通过统一的安全策略、认证与授权机制等保障各层级资源安全互联。由于不同技术平台对资源的授权管控粒度存在差异，建立多方之间的资源授权时，应提供灵活的安全策略，避免多方安全策略上的耦合。灵活兼容：管理面互联互通应充分考虑当前隐私计算平台的技术架构与业务架构差异，兼容各类隐私计算平台，支持各平台灵活加入或退出，并可随技术发展适配更多新的隐私计算平台架构，具备可扩展性。5.研究思路金融行业隐私计算互联互通总体框架中，将管理面与数据面拆分解耦，让管理面聚焦于节点、数据、项

47、目、流程、作业配置、组件等各层级资源的静态协同，而数据面关注作业运行时的动态协同。管理面元素与接口研究的实现路径从“提炼最小必要元素-分层次定义互联协议”的思路出发进行研究讨论：统一的概念模型是实现管理面互联互通的基础，本子课题围绕“自底向上、分层解耦、最小必要”抽象出一套隐私计算对象基本模型规范，包括节点、数据集、项目、流程、作业、任务、组件、模型八大基本元素实体；将元素实体看成不同层次的资源，以统一的平台间通信要求为基础，进一步约定各层次资源在发现、申请、金融业隐私计算互联互通技术研究报告 26 授权、同步等环节的规范流程和要求；适配调度层通用设计，对流程中的组件编排和作业的参数配置这两个

48、具体计算执行时依赖的静态描述信息进行统一规范（见图 7）。另外，管理面互联互通必须建立在安全底座上，互联协议中各开放接口的调用需要满足接口鉴权的安全要求。图7 管理面元素与接口研究架构图（二）（二）流程调度接口与算法容器加载研究流程调度接口与算法容器加载研究 1.概述本子课题主要包含两大内容，分别是隐私计算过程中流程调度接口的设计以及隐私计算算法容器加载的研究，是整个隐私计算互联互通技术研究的核心部分。在流程调度方面，由于隐私计算是一个涉及双方数据协同的运算过程，金融业隐私计算互联互通技术研究报告 27 在互联互通的过程中会涉及双方网络传输以及异步运算等关键步骤，网络延迟或者计算资源调度异常

49、都会导致隐私计算任务等待或者失败，因此在异构情况下，需要标准化的调度方案，使用标准化的作业与任务协同接口，来统一协调异构双方隐私计算任务的执行。在算法容器加载方面，算法是隐私计算的核心，而算法的加载就是使用标准化的接口或方式来管理异构算法，其实现方式决定了算法的可扩展性和易扩展性，并且其设计方式也会影响到算法的执行效率。因此，我们需要制定统一的算法镜像构建标准与接口并定义一套规范的镜像加载机制与流程，从而保证整个算法容器加载过程的安全、高效及高可用。2.研究目标本子课题研究旨在形成一套行业认可、规范统一的作业调度与算法容器加载流程以及对应的镜像构建标准与接口定义规范，为隐私计算产品作业运行过

50、程中调度方对作业与任务的控制与任务组件的加载过程提供参考模式，实现作业调度控制、任务调度控制、组件注册发现、容器管理与加载等操作，从而实现安全可控的跨平台互通作业运行，使不同异构平台能够协作完成相同的隐私计算任务。3.研究内容本子课题包括下面几个方面的研究内容：(1)研究标准化作业及任务的核心调度流程，确定调度面的基本要研究标准化作业及任务的核心调度流程，确定调度面的基本要素及相互关系，定义节点内及节点间调度面的核心流程。素及相互关系，定义节点内及节点间调度面的核心流程。基本元素参考为：数据集、模型、作业、任务等；核心流程参考为：数据集加载、模型加载、作业运行、作业重跑、任务运行、任务重跑等

展开阅读全文