1、第一章背背景景介介绍绍可信工业数据空间的概念 /2 /2 /3 /5 /工业数据流通场景工业数据流通面临的问题可信工业数据空间的作用可信工业数据空间 系统架构6 关关键键技技术术 10/数据资产控制相关技术 23/数据资产管理相关技术 33/可信环境 39/可信传输 45/供需对接相关技术56/身份认证相关技术77/日志存证和清算审计相关技术81/数据增值类服务C Ch ha ap pt te er r 1 1目 录第二章C Ch ha ap pt te er r 2 2第一章第一章C h a p t e r 1背景介绍背景介绍(二)工业数据流通场景工业数据流通的场景,有众多的场景因子。从目前
2、众多工业企业的实践来看,通常包括如下场景因子:数据的类型、数据的采集方式、数据的交换模式、数据的使用主体、数据处理的软件能力类型以及数据流通基础设施环境等。以上因子的组合,在企业内、企业间、生态系统内等场景形成数据价值闭环。复杂组织内部通常分工侧重点明显,不同部门之间对应不同的业务流程和业务作业领域,如研发部门负责产品研究及设计、采购部门负责各个部门的部件采购、营销对口CRM等,不同业务部门所管理业务产生的核心数据构成了企业核心竞争力,业务域之间的有效协同通常也会涉及高密高价值数据,依赖数据可信交换流通。通常是基于结构化数据集,通过系统集成/人工上传方式,使用通用的数据加工软件进行简单的分析计
3、算提取有价值信息。从企业内扩展到企业间,同样存在高密高价值的数据交换,通常是通过数据的价值再造(探索新的商业模式、业务创新、产品改进等),由消费方主导,提供方协同,双方是协作关系,如采购与供应商之间的报价信息交换、企业间的技术合作材料交换、审计领域的审计原始材料管控等。跨组织高密数据传输,通常包含了一些专业数据处理软件或者AI提取技术以获取有价值信息。(一)可信工业数据空间的概念可信工业数据空间是在现有信息网络上搭建数据集聚、共享、流通和应用的分布式关键数据基础设施,通过体系化的技术安排确保数据流通协议的确认、履行和维护,解决数据要素提供方、使用方、服务方等主体间的安全与信任问题,进而实现数据
4、驱动的数字化转型。2大型企业或者产业领头者越来越多的将平台模式及其周围的生态系统构建作为战略重心。在此场景下,生态链链主与成员之间,既有生态圈内业务协作场景下数据流通,又有对各生态成员之间的数据泄漏担忧。因此,也亟需一套可控数据交换系统来支持生态的安全和持续发展。生态内的场景差异更多的体现在数据的交换模式和基础设施环境。随着互联网、IOT等产业的兴起,大量企业拥有某产业独特的海量数据但自身缺乏强大的算力,也不具备数据价值挖掘和增值的解决方案设计能力。同时,也有一些深耕该产业的产品和服务提供商,虽拥有强大算力和解决方案,但缺乏真实的现网数据进行算法和解决方案验证。双方无法形成有效握手也是因为数据
5、拥有者缺乏有效的数据安全流通方案,数据处理者通常也缺乏具有公信力的可信流通平台。产业数据流通中场景因子更多是通过传感器采集大量的物联网数据,使用强大的软件平台和专业设备等进行计算和提取。3 (三)可信工业数据空间的作用(1)数据流通共享模型在传统网络/信息访问控制模型基础上,增加新的控制要素,需要建立新的数据流通共享模型。该模型需要刻画数据流通要素、数据流通控制机制、数据流动控制策略,是可信工业数据流通和信息安全服务的根基。(2)工业数据流通技术架构在传统工业互联网单向中心化汇聚的基础上,增加分布式交换模式,需要提出新的工业数据受控流通技术架构。该架构需要支持设备动态扩展、多汇聚中心数据受控交
6、换,是工业互联网扁平化数据安全交换的灵魂。(3)信息互通协议与标准在已有单厂商的封闭控制协议基础之上,需要制定新的不同设备类型间不同厂商间的工业设备信息互通协议与标准。该互通协议与标准包括统一数据交换设备接口、数据交换格式、统一工业通信规程,解决数据兼容存在问题,是实现工业数据流通的核心。(1)数据可控性保障能力弱在法律法规等非技术方式的基础上,需要提出有效的数据流动交换控制机制,以此精准控制交换出管理域后数据按照数据拥有者意图流通和使用。该机制包括大规模数据自动标记、数据跨域流动监测、违规流动处置等技术。支撑法律法规等管理手段的落地,解决控制粒度粗、安全隐患大、安全风险高等问题。(2)数据可
7、信性验证能力弱在现有基于单认证中心的端对端数据认证的基础上,需要提出有效的数据交叉认证方法,以此验证数据交换出管理域后数据的真实性。该方法包括数据源与传播路径交叉认证、高效可聚合签名与验签、信任动态度量与信任链构建等关键技术,是多源异构数据在流通过程中全生命周期可信的有效途径。(1)隐私信息全生命周期保护当前工业数据多模海量、泛在交换频繁、体系保护能力差,难以实现全流程可管可控。为了实现工业数据中隐私信息的全生命周期保护,需要从体系化保护角度出发,构建隐私保护技术体系。4(2)隐私信息跨系统迭代延伸控制当前工业数据频繁跨终端、跨系统、跨生态圈交换流通已成为常态,隐私泄露事件层出不穷。为了解决交
8、换流转过程中的隐私泄露问题,需要构建面向工业数据流通的隐私信息跨系统迭代延伸控制机制。(3)面向信息流动的隐私保护系统稳定性当前工业数据的产业应用多样、隐私需求各异,对隐私保护系统的稳定性要求高。为了提高工业数据隐私保护系统的普适性和代码稳定性,需要提出隐私保护的算法设计准则和通用算法框架,支撑隐私信息保护系统的代码稳定性和算法可扩展性。(四)可信工业数据空间的作用针对以上问题,可信工业数据空间实现了数据的开放共享和可信流动,数据所有者可对共享数据的使用对象、范围、方式进行控制,全程记录数据使用方对数据的使用、处理过程,实现数据的有效管理。可解决流通不畅、信息泄露、过度利用等风险,极大促进了数
9、据要素资源的网络化共享、集约化整合、协作化开发、高效化利用。空间为数据提供方提供数据使用对象、范围、方式的控制能力,高效融合工业跨域异构数据,统一工业数据质量管理标准,消除流通顾虑,释放数据供给。空间为数据使用方提供工业数据流通处理的日志存证,提供内外部合规记录,明确数据主权边界,实现工业数据资源有效管理。空间为数据供需双方提供数据要素流通中间服务,便利供需对接,加强隐私保护,促进应用场景创新和数据价值化配置。5(五)可信工业数据空间系统架构业务视角可信工业数据流通系统共有三种不同利益相关方,分别为数据提供方、数据使用方和中间服务方,每个利益相关方在可信工业数据流通系统的两种不同模式中开展不同
10、的活动,如图1、图2所示。图1 分布式模式下业务视角分布式模式下,数据提供方通过向中间服务方的数据合规服务方发送身份信息完成用户身份登录与授权,而后提供数据目录,处理数据使用方发送的数据请求,提供数据共享的合约或接受数据使用方发起的合约商讨请求并达成共识建立智能合约,数据提供方将共享数据传输至数据使用方。整个过程中每个活动发生时数据提供方进行内部日志记录,并周期性进行清算审计材料准备,将审计信息提供给中间服务方的共享服务方进行审计。6分布式模式下,数据使用方通过向中间服务方的数据合规服务方发送身份信息完成用户身份登录与授权,而后从数据提供方进行数据目录检索,向数据提供方发送共享数据使用请求。数
11、据使用方可接收数据提供方预设好的共享数据使用合约或发起与数据提供方商讨共享数据使用合约的请求。数据使用方与数据提供方建立智能合约后,数据使用方接收数据提供方发送的共享数据并存储、使用、用后销毁,共享数据在数据使用方接收、存储、使用、销毁的过程中接受数据控制。整个过程中每个活动发生时数据提供方进行内部日志记录,并周期性进行清算审计材料准备,将审计信息提供给中间服务方的共享服务方进行审计。分布式模式下,中间服务方仅提供基础的数据合规类服务以及数据交易中的审计服务。图2 中间服务模式下业务视角中间服务模式下,数据提供方通过向中间服务方的数据合规服务方发送身份信息完成用户身份登录与授权,而后向中间服务
12、方提供元数据并加入由中间服务方的数据共享服务方提供的数据目录服务。数据提供方从中间服务方获得数据共享请求,处理数据请求,通过中间服务方的数据共享服务提供数据共享合约或接受数据使用方发起的合约商讨请求并达成共识建立智能合约。数据提供方将共享7数据传输至数据使用方。整个过程中每个活动发生时,数据提供方进行内部日志记录,并周期性进行清算审计材料准备,将审计信息提供给中间服务方的共享服务方进行审计。中间服务模式下,数据使用方通过向中间服务方的数据合规服务方发送身份信息完成用户身份登录与授权,而后从中间服务方的数据共享服务方进行数据目录检索,向中间服务方中的数据共享服务发送共享数据使用请求。数据使用方可
13、通过中间服务方的数据共享服务方接受数据提供方预设好的共享数据使用合约或通过中间服务方的数据共享服务方发起与数据提供方商讨共享数据使用合约的请求。数据使用方与数据提供方建立智能合约后,数据使用方接收数据提供方发送的共享数据并存储、使用、销毁,共享数据在数据使用方接收、存储、使用、销毁的过程中接受数据控制,数据使用方也可通过中间服务方的IT基础设施服务方对数据进行存储,通过中间服务方的数据价值服务方对数据进行使用。整个过程中每个活动发生时数据提供方进行内部日志记录,并周期性进行清算审计材料准备,将审计信息提供给中间服务方的共享服务方进行审计。中间服务模式下,中间服务方提供数据合规类服务、数据使用。
14、功能视角业务视角规定了可信工业数据流通中的各利益相关方、各利益相关方的业务活动和各利益相关方之间的关系。功能视角规定了可信工业数据流通中各利益相关方所使用的系统功能,包括:数据资产控制、数据资产管理、可信环境、可信传输、供需对接、身份认证、日志存证、清算审计与数据增值类服务。技术视角技术视角规定了可信工业数据流通中实现各功能所需的关键技术。本报告将从功能视角展开,详细阐述每类功能所需的技术。8第二章C h a p t e r 2关键技术关键技术(1)定义数据控制是指在数据的传输、存储、使用和销毁环节,通过机器可读的电子合约,实现对数据资产使用的时间、地点、主体、行为和客体等因素的控制。数据控制
15、是传统访问控制技术、使用控制技术在作用范围、作用周期和控制的细粒度等因素上丰富与革新。(2)作用机理数据控制技术的实现,可以拆解为以下三个步骤。合约建立:数据提供方与数据使用方签订应能够被机器读取并执行的电子合约。一份电子合约由控制要求和控制策略构成。控制要求描述了数据提供方对数据使用方提出的数据使用方式的限制,控制要求主要分为以下五类。时间要求:如要求数据使用方10天后销毁数据等。地点要求:如限定数据使用方访问数据时的IP等。主体要求:如限定允许使用数据的用户,限定允许访问数据的应用程序等。行为要求:如数据使用方不允许编辑、转发数据等。客体要求:如要求数据在存储时保持加密状态。控制策略是由控
16、制要求所生成的,计算机可执行的代码。当数据提供方和数据使用方协定完成控制要求时,将自动生成计算机可执行的代码,控制策略从技术上保证了电子合约中控制要求可以被准确无误地执行。相较于接近自然语言的控制要求,控制策略更侧重于机器可读可执行,每一条控制策略都由对应控制要求一对一映射而来。(一)数据资产控制相关技术10控制要求通常为形式化的自然语言。一条明确的控制要求通常由一个判定条件和该判定条件触发后应执行的操作构成。例如,数据提供方要求数据不能在数据使用方处永久留存,只能留存14天。那么形式化后的控制要求为:该数据存放时间大于14天时,结束已开启的相关进程,销毁全部数据副本。在用户可读的形式化控制要
17、求(低代码形式可视化编辑)确定后,会自动生成机器可读的对应控制策略(代码)。部分控制要求如表1-1所示。控制要求通常为形式化的自然语言。一条明确的控制要求通常由一个判定条件和该判定条件触发后应执行的操作构成。例如,数据提供方要求数据不能在数据使用方处永久留存,只能留存14天。那么形式化后的控制要求为:该数据存放时间大于14天时,结束已开启的相关进程,销毁全部数据副本。在用户可读的形式化控制要求(低代码形式可视化编辑)确定后,会自动生成机器可读的对应控制策略(代码)。部分控制要求如表1-1所示。动态监控:依据电子合约规定的控制要求,动态的监测和控制数据使用方对数据的使用过程。当数据使用过程与控制
18、要求不符时,将按照合约的规定,执行对应的控制策略,对数据或进程进行相应的处理。(3)所解决的问题数据控制技术主要解决了数据传输、存储、使用和销毁环节中的部分的安全可信问题。着重于实现数据和参与方的可控、可审计。可控:解决了以往由于数据低成本可复制性,无形体性,难以控制数据资产不受控复制传播的问题。数据控制技术通过技术手段促使数据使用方履行电子合约中规定的内容,限制数据使用方二次转发数据资产给授权外第三方的无意或有意行为,确保数据提供方对外发送的数据资产及其全部副本在完成使用后被彻底销毁。可审计:解决了以往对数据流通的过程难以监控的问题。电子合约中的控制策略在监测与执行时,会将用户的操作行为、数
19、据的状态等信息作为副产物记录下来,从而形成可供审计的日志。11分类控制要求判定条件触发后执行的操作时间该数据存放时间tT时(t是当前存放时间,T是合约规定的存放时间)结束已开启的相关进程,销毁全部数据副本该数据使用时间tT时(t是当前使用时间,T是合约规定的使用时间)该数据使用次数nN时(n是当前使用次数,N是合约规定的使用次数)该数据在规定的时间段外被访问时拒绝该操作地点该数据被白名单外的IP/地区访问时该数据被白名单外的设备/mac地址访问时该数据在白名单外的空间内被访问时该数据在安全等级较低的运行环境/网络环境下被访问时主体该数据被白名单外的用户账户/法人实体访问时该数据被白名单外的应用
20、程序/进程访问时该数据被白名单外API或服务调用时行为该数据被复制时该数据被删除时该数据被转发/下载时该数据被另存为新副本时该数据的内容被编辑/加工/修改时该数据被读取/写入/调用的频率fF时(f是当前频率,F是合约规定的频率)该数据的内容被截屏时该数据的内容被拍照时识别并留存日志客体该数据的新副本产生时(新副本包括由复制产生文件、另存为的新文件、输入算法/模型产生的新数据)新副本文件继承相同的控制要求和策略该数据未被应用程序/进程/API调用时保持加密状态该数据被应用程序/进程/API调用时进行机密计算该数据被数据提供方申请撤回时结束已开启的相关进程,销毁全部数据副本表1-1 控制要求示例1
21、2(4)适配性本小节将从适用的数据类型、软硬件要求、云端兼容性、中心化/去中心化模式等方面分析该技术在可信工业数据空间中的适配性。适用的数据类型以结构化/半结构化/非结构化为分类标准:数据控制技术 a)支持结构化数据,如db等结构化数据库中的数据;b)支持半结构化数据,如json、xml、html等;c)支持非结构化数据,如doc/docx/txt等文档格式、pdf、ppt/pptx、xls/xlsx/csv等表格格式、dwg等图纸格式、jpg/bmp等图片格式、mp3/wav等声音格式以及avi/mp4等视频格式。以文件类/流数据分类:数据控制技术支持对文件类和流数据的控制。软硬件要求数据控
22、制技术是相对轻量级的技术,其基本功能不需要硬件基础设施的支持,数据控制技术可以以应用程序/插件/控件的方式安装在数据提供方和数据使用方的设备系统。部分进阶数据控制策略需搭配可信存储环境以及可信执行环境,如对处于计算中的数据进行控制。云端兼容性数据控制技术适用于云端部署的系统。相较于运行环境各异的用户终端,统一的云端环境更易管理与配置。云端在本质上是物理机或物理机的集合,作用于系统层的数据控制技术依然可以生效。中心化/部分去中心化/去中心化模式数据控制技术适用于 a)数据汇集的中心化模式,如数据湖、数据中台、大数据中心;b)数据分布在用户但服务集中的部分去中心化模式,如数据交易所,数据中介商;c
23、)去中心化模式,即没有中间服务方的点对点模式。在各类模式之中,数据控制技术将会作用于数据资产所在位置,即中心化模式的数据中心/存储服务器一侧、部分去中心化和去中心化的用户一侧。13(5)同类技术对比本小节将把可用于数据控制的主流相关技术进行对比,包括基于角色的访问控制模型(Role-BasedAccessControl,RBAC)、基于属性的访问控制模型(Attribute-BasedAccessControl,ABAC)、基于使用控制的访问控制模型(UsageControl)、基于行 为 的 访 问 控 制 模 型、面 向 网 络 空 间 的 访 问 控 制 模 型(C y b e r s
24、p a c e-OrientedAccessControl,CoAC)。表1-2 可用于数据控制技术的对比14(1)定义隐私计算是面向隐私信息全生命周期保护的计算理论和方法,是隐私信息的所有权、管理权和使用权分离时隐私度量、隐私泄露代价、隐私保护与隐私分析复杂性的可计算模型与公理化系统。具体是指在处理视频、音频、图像、图形、文字、数值、泛在网络行为信息流等信息时,对所涉及的隐私信息进行描述、度量、评价和融合等操作,形成一套符号化、公式化且具有量化评价标准的隐私计算理论、算法及应用技术,支持多系统融合的隐私信息保护。隐私计算涵盖了信息搜集者、发布者和使用者在信息产生、感知、发布、传播、存储、处理
25、、使用、销毁等全生命周期过程的所有计算操作,并包含支持海量用户、高并发、高效能隐私保护的系统设计理论与架构。隐私计算是泛在互联环境下隐私信息保护的重要理论基础。(2)作用机理隐私计算是面向泛在共享(如图1-1所示)全生命周期保护(如图1-2所示)的理论与方法。隐私计算从“计算”的角度确立隐私信息产生、感知、发布、传播、存储、处理、使用、销毁等全生命周期的隐私计算架构(如图1-3所示)、延伸控制(包括按需脱敏、使用、删除等控制)、形式化描述方法、量化评估标准,以及脱敏算法的数学基础;基于延伸控制思想,抽象全生命周期各个环节对多模态隐私数据的操作,包括:隐私智能感知、分量保护要求量化、跨系统保护要
26、求的量化映射、场景适配的隐私动态度量、按需迭代脱敏、多副本完备删除,以及根据保护效果自动迭代修正脱敏等;基于隐私计算语言支撑跨平台隐私保护的一致性;基于延伸控制和自存证实现泛在随遇的侵权判定,实时发现违规行为并取证溯源;基于隐私计算的算法设计准则和通用算法框架,支撑隐私信息保护系统的代码稳定性和算法可扩展性,并支撑高效能和高并发。15图1-1 隐私信息泛在共享的场景图1-2 隐私信息全生命周期保护示意图16隐私计算架构面向任意格式的明文信息M,具体包括以下5个步骤。隐私信息抽取:根据明文信息M的格式、语义等,抽取隐私信息并得到隐私信息向量I。场景抽象:根据I中各隐私信息分量的类型、语义等,对应
27、用场景进行定义与抽象。隐私控制:选取各隐私信息分量所支持的隐私操作,并生成隐私控制策略。隐私操作:根据隐私信息的控制策略集合选择合适的隐私操作集合,构建隐私脱敏方案。隐私保护效果评估:根据相关评价准则,使用基于熵或基于失真的隐私度量来评估所选择的隐私保护方案的隐私保护效果。基于隐私计算的隐私信息保护系统应包括语义提取、场景抽象、隐私信息变换、隐私信息融合、隐私操作选取、隐私保护方案设计/选取、隐私保护效果评估等环节。图1-3 基于隐私计算的隐私信息保护系统架构17(3)在可信工业数据空间中所解决的问题可信工业数据空间隐私信息的体系化保护:在隐私计算理论指导下,对工业数据空间中的隐私信息、约束条
28、件、流转管控、审计监管、追踪溯源、确权鉴权等进行统一描述,支撑可信工业数据空间中隐私信息全生命周期过程的体系化保护。隐私信息的迭代延伸控制:根据工业数据应用场景中的控制意图和接收者保护能力等因素生成隐私标签,并与隐私信息进行绑定,在流转过程中,后续节点持续根据下级节点的保护能力调整隐私标签,实现跨系统传播过程中场景适应的差异化访问权限控制和按需迭代脱敏,支撑工业数据泛在共享场景下隐私信息受控共享。隐私侵权行为溯源取证方法:对工业数据空间中的隐私信息、溯源记录信息和侵权行为判定结果,以及隐私信息全生命周期各环节的操作行为进行自存证,结合保护约束条件、传播控制,判定泛在共享环境下隐私操作行为的合规
29、性,支撑工业数据全生命周期的隐私信息有序合规利用工业数据隐私保护系统的稳定性:根据隐私保护效果与可用性的应用需求,对工业数据空间中不同场景下差异化算法进行归一化描述,抽象算法通用框架;根据用户的主观需求和客观环境,结合工业数据空间中涉及的用户终端状态,动态选择算法和确定算法参数,从而支撑隐私信息保护系统的代码稳定性和算法可扩展性,并支撑高效能和高并发。(4)在可信工业数据空间中的适配性隐私计算作为普适性理论与关键技术体系,适应各种软硬件要求、云/端部署、去中心化、数据类型等,对软硬件、网络架构、数据类型等无特殊要求。18保护技术对比项隐私计算传统方法(k-匿名、差分等)计算(使用)计算开销低中
30、通信开销低低需要专用硬件交换隐私防护脱敏迭代脱敏有界系统(不出域)无界系统(出域)全生命周期延伸控制(5)与同类技术的关系按照泛在共享环境下隐私全生命周期保护的需要,隐私计算与其他隐私保护技术进行综合比较如表1-3所示。表1-3 隐私计算与其他隐私保护方案的对比差异保护量化与映射评估取证用户数海量海量计算粒度对象级单等级19(6)成熟度分析2015年,中国科学院信息工程研究所李凤华、西安电子科技大学李晖等学者在国际上率先提出并首次精准定义了隐私计算(PrivacyComputing)的概念、定义和研究范畴。2021年出版了首部隐私计算学术专著隐私计算理论与技术。相关学者组织了七届隐私计算国际学
31、术研讨会(2015-2021);中国中文信息学会在2018年成立了“大数据安全与隐私计算”专委会,举办了五届“大数据安全与隐私计算”学术会议(2018-2022),并举办了首届“2022隐私计算与数据安全挑战赛”,持续推动隐私计算在国际和国内的学术研究与交流。本小节侧重于描述利用TEE等技术进行可信计算的过程。(1)定义机密计算面向云计算应用,在数据处理过程中将敏感数据隔离在受保护的CPU区域中,该区域称为飞地(enclave),当前更为通常的是将受保护的区域称为可信执行环境TEE(TrustedExecutiveEnvironment)。在TEE中处理的数据以及处理方法只有授权的代码才能访问
32、,包括云服务提供商在内的任何其他程序、设备或者人都无法知道。(2)作用机理随着企业越来越多的使用公共云和混合云服务,云中的数据安全成为最受关注的问题。机密计算的主要目标是向云计算的使用者提供更大的数据安全保证,确保数据所有者在云中的数据受到保护和保密。与存储加密和传输加密不同的是,机密计算通过保护正在处理或运行时的数据,消除了许多系统层面的数据安全漏洞。目前TEE的主要实现技术包括IntelSGX和ARM的TrustZone技术。20IntelSGXIntel公司发布了基于其公司处理器架构的可信执行环境IntelSGX(如图2-11),是一组增强应用程序代码和数据安全性的指令,为它们提供更强的
33、保护以防泄漏或修改。SGX将应用程序分为了可信区域和非可信区域,其中可信区域被称为enclave。调用可信区域中的程序时,需要定义ecall借口,声明传递的数据的结构和大小。英特尔提供了包括本地证明、远程证明。数据密封等多个基础组件,并提供了丰富的软件开发包供开发者使用。SGX允许用户态及内核态代码定义将特定内存区域,设置为私有区域,此区域也被称为飞地(Enclave)。其内容受到保护,不能被本身以外的任何进程存取,包括高权限级别运行的进程(例如操作系统内核进程)。图1-4 IntelSGX系统架构IntelSGX实现过程中应用程序分为安全部分和非安全部分:应用程序启动enclave,它被放置
34、在受保护的内存中。当enclave函数被调用时,只有enclave内的代码可以看到它的数据,外部访问总是被拒绝;当它返回时,enclave数据保留在受保护的内存中。21ARMTrustZoneARM公司提出的TrustZone技术实现硬件隔离机制,主要针对嵌入式移动终端处理器。TrustZone在概念上将SoC的硬件和软件资源划分为安全(SecureWorld)和非安全(NormalWorld)两个世界。所有需要保密的操作在安全世界执行(如指纹识别、密码处理、数据加解密、安全认证等),其余操作在非安全世界执行(如用户操作系统、各种应用程序等),安全世界和非安全世界通过一个名为MonitorMo
35、de的模式进行转换,如图2-5:图2-5 Trustzone架构处理器架构上,TrustZone将每个物理核虚拟为两个核,一个非安全核(Non-secureCore,NSCore),运行非安全世界的代码;另一个安全核(SecureCore),运行安全世界的代码。两个虚拟核以基于时间片的方式运行,根据需要实时占用物理核,并通过MonitorMode在安全世界和非安全世界之间切换,类似同一CPU下的多应用程序环境,不同的是多应用程序环境下操作系统实现的是进程间切换,而Trustzone下的MonitorMode实现同一CPU上两个操作系统间的切换。22(二)数据资产管理相关技术(1)定义元数据是对
36、信息资源进行描述、解释、定位或使信息资源更易于被检索、利用及管理的结构化信息。元数据也被称作数据的数据(dataaboutdata)或信息的信息(informationaboutinformation)。元数据管理是对数据的组织、数据域以及其关系信息的管理,贯穿整个数据价值流,覆盖从数据产生、汇聚、加工到消费的全生命周期。通过元数据管理,可以提升共享、重新获取数据和理解企业信息资产的水平。(2)作用机理元数据管理实现了业务数据中实体和数据字段元素的定义、语义、业务规则和算法以及数据特征,便于完成业务数据的收集、组织和管理。元数据管理技术包括对元数据的采集、元数据的存储以及元数据的管理,如图2-
37、1所示。图2-1 元数据管理技术23元数据采集在采集数据的时候,面对的大问题就是多种类数据源解析适配,以及数据调度任务的抽象,必须开发对应的工具来实现各种场景的元数据解析,对元数据采集的能力有两方面要求:数据解析:适配解析各种数据源特点,文件格式,SQL脚本,抽象任务等,完成标准元数据的转换沉淀;类型识别:十分复杂的一个节点,类型在描述数据的时候至关重要,结构化存储可以直接读取,文件类结构通常需要类型转换标识,任务流程会直接统一管理,依次保证数据在不同环境中的合理存储;元数据的常见来源如下表:表2-1 元数据来源元数据存储包括存储元数据以及元模型。元数据包含数据库信息、数据表信息、表的字段信息
38、等元信息,元模型是描述元数据的元数据。这些信息梳理存储在关系型数据库中。24元数据管理对收集到的元数据进行管理包含如下3个方面:元模型管理:即基于元数据平台构建符合CWM规范的元数据仓库,实现元模型统一、集中化管理,提供元模型的查询、增加、修改、删除、元数据关系管理、权限设置等功能,支持概念模型、逻辑模型、物理模型的采集和管理,让用户直观地了解已有元模型的分类、统计、使用情况、变更追溯,以及每个元模型的生命周期管理。同时,支持应用开发的模型管理。元数据审核:主要是审核采集到元数据仓库但还未正式发布到数据资源目录中的元数据。审核过程中支持对数据进行有效性验证并修复一些问题,例如缺乏语义描述、缺少
39、字段、类型错误、编码缺失或不可识别的字符编码等。元数据维护:对信息对象的基本信息、属性、被依赖关系、依赖关系、组合关系等元数据的新增、修改、删除、查询、发布等操作,支持根据元数据字典创建数据目录,打印目录结构,根据目录发现、查找元数据,查看元数据的内容。元数据维护是最基本的元数据管理功能之一,技术人员和业务人员都会使用这个功能查看元数据的基本信息。元数据通常分为业务、技术和操作三类:业务元数据:描述业务领域的相关概念、关系和规则的数据,包括业务术语、信息分类、业务指标、业务规则、资产目录、Owner、数据密集等。技术元数据:实施人员开发系统时使用的数据,包括模型的表与字段、ETL规则、集成关系
40、等信息。管理元数据:描述运营管理领域的相关概念,包括人员角色、岗位职责和管理流程、调度评率、访问日志等。25(3)所解决的问题元数据管理作用于数据管理的全生命周期,能够有效促进数据资产的管理、交换、共享和开发利用,其在工业数据空间中可解决如下问题:促进工业数据共享,元数据管理通过搭建标准统一的工业领域元数据体系,从业务、技术、操作3个方面,进行分类和定义,赋予数据意义,可帮助使业务人员快速获取可信数据。提高工业数据的整合和溯源能力,元数据管理通过对所有的关键数据进行系统整合和处理,用户可以对数据处理流程追本溯源,了解业务处理规则,数据流通情况等。激活工业数据活性:通过元数据管理,可以实现暗数据
41、的透明化,增强数据活性,帮助解决工业数据资产盘点的问题。支持工业数据增值变现:元数据管理通过分析表模型可敏捷响应海量增长的数据分析需求,支持工业数据增值和数据变现。建立工业数据质量稽核体系,元数据管理通过建立筛选、核实、管理、报警、监控的机制,支撑业务管理规则有效落地,保障数据内容的合格、合规。非关系型数据库:支持来自MongoDB、Redis、Neo4j、HBase等非关系型数据库中的元数据(4)适配性关系型数据库:能适用来自Oracle、DB2、SQLServer、MySQL等关系型数据库的库表结构、视图、存储过程等元数据。数据仓库:对于主流的数据仓库,可以基于其内在的查询脚本,定制开发相
42、应的适配器对其元数据进行管理。其他元类型元数据:ER/Studio等建模工具、Kettle等ETL工具、PowerBI等前端工具、Excel格式文件的元数据。26(5)同类技术对比本小节将把元数据管理技术与主流相关技术进行对比,包括主数据管理(MDMMasterDataManagement)和产品数据管(ProductDataManagement),主要从时效性、成本、对数据的控制、管理范围、管理方法等几个方面进行对比,如表2-2所示。管理方法使用MDM应用程序法和MDM平台法建符合CWM规范的元数据仓库进行管理协调组织整个产品生命周期内的过程事件主数据管理(MDM)元数据管理产品数据管理(P
43、DM)概述自动、准确、及时地分发和分析企业中数据,并对数据进行验证对描述数据的数据进行管理,即对数据及信息资源的描述性信息进行管理管理所有与产品相关信息和所有与产品相关过程的技术时效性低高中成本需要管理主要的数据,实施成本低需要管理数据的描述性信息,成本高需要管理所有与产品相关的信息,成本高对数据的控制低高高管理范围业务对象的、具有持续性、非交易类的数据描述数据的相关信息而存在的数据产品生命周期内生产的所有数据表2-2 元数据管理技术与主流相关技术对比 (6)技术成熟度分析元数据管理技术目前有着较高的技术成熟度,能够支持多种数据格式,包括结构化数据类型,半结构化数据类型,能够适应不同场景下元数
44、据的采集。例如ApacheFlink是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能,ApacheFlink提供了数据仓库的元数据管理工具,使用了一种能获取元数据资产的算法,通过该算法能够得到SQL中的表、字段之间的依赖关系。实现了字段级血缘依赖,全面、细粒度的元数据资产将会极大地减少后期数仓的维护成本,可以最大限度地减少数据本身造成的问题。在元数据的管理策略中,目前有集中式元数据管理策略、分布式元数据管理策略和无元数据管理策略,这三种不同的元数据管理策略能满足不同场景的需求,能在多种实际应用场景中发挥用途。27 数据安全态势感知,一般分为三个层次
45、的处理,要素感知、态势理解、态势预测。要素感知是感知数据存储和服务环境中涉及数据安全的相关要素,包括数据属性、使用状态等信息。态势理解是对一定范围内数据的使用状态进行综合判定。态势预测是在态势理解的基础上对数据安全未来演变趋势进行评估(1)定义数据安全态势感知是对数据全生命周期各个环节的操作状态、合规状态、异常状态进行采集、融合分析,在此基础上对数据安全风险进行评估,并预测未来数据安全走势以及可能产生的影响范围和程度。数据安全态势感知如图2-2所示,机理包括轻量级全网覆盖的数据使用状态采集、分层分级动态汇集、数据安全区域态势分析、数据安全全网态势分析、态势全景折叠可视化展示等部分(2)作用机理
46、。图2-2 数据安全态势感知体系28 由于存在海量、多源、流转关系复杂的数据使用场景,并且数据本身又具有多样性、敏感程度不一、关联关系复杂等特征,数据安全态势感知的实现存在投入大、设计复杂的挑战,促进其推广和发展需要解决以下两点问题没有人精确定义数据安全态势感知,在本报告中给出了一种定义。数据安全态势感知是新兴的安全技术,与发展多年的网络安全态势感知相比,数据安全态势感知存在几个特点:(1)在数据安全信息采集、汇聚、分析评判方面未形成标准建议,各个安全产品厂家根据自己的理解进行数据的采集、组织管理和算法研发,在不同数据场合形成不同的采集格式和数据清洗方法,整合不同厂家数据接口和服务的数据安全态
47、势感知实现不易,且工作量大。(2)数据安全态势感知涉及的数据环节多,需要感知采集的数据量更大,数据分析的算力整合和分解调度面临巨大挑战。(3)数据安全态势感知需要理解数据的语义,与数据的业务流程、信息系统形成紧耦合,需要较多的投入完成所需的安全分析。(4)数据安全态势感需要在边界节点对数据的跨域进出、授权流通细微状态进行掌控,面临不同厂家多类设备上的数据存储和处理进行使用状态采集的需求,需要与多个厂家的多款设备、多种流程、多个数据保护方案对接,涉及厂家不愿配合、采集程序按需开发、采集接口难以规范化等问题。:明确数据安全的战略地位:需要明确数据安全对于可信数据数据流通的重要意义,从战略高度明确数
48、据安全态势感知的重要价值,对数据使用和安全管理进行清晰规划与指导,在管理层面达成一致共识,推进数据语义、数据采集、数据授权等数据安全多个方面的标准化,为数据安全态势感知工作提供资源保障。规范掌控全局数据使用状态:数据使用的复杂性和多样性给数据安全态势感知提出了较大挑战,掌握掌控全局数据使用状态是数据安全态势感知的重要前提,需要提出可信数据数据流通中各类数据的存储、使用、流通等环节的状态监管要求,并规范状态采集接口。29(3)成熟度分析(1)概念标识解析体系通过赋予每一个实体物品(产品、零部件、机器设备等)和虚拟资产(模型、算法、工艺等)唯一的“身份证”,实现全网资源的灵活区分和信息管理,是实现
49、企业数据流通、信息交互的关键枢纽。(2)作用机理标识解析体系的核心包括:标识编码,标识解析系统,标识数据服务等三个部分。标识编码,是能够唯一识别机器、产品等物理资源和模型、算法、工艺等虚拟资源的身份符号,类似于“身份证”。标识解析系统,能够根据标识编码查询目标对象网络位置或相关信息的系统,对机器和物品进行唯一性的定位和信息查询。标识数据服务,能够借助标识编码资源和标识解析系统开展标识数据管理和跨企业、跨行业、跨地区、跨国家的数据流通及基于数据的其他增值服务。(3)在可信工业数据空间中所解决的问题通过标识实现数据资产管理及安全可信高效的数据共享流通,促进数据产业链共享、流通模式。具体可实现数据资
50、产主动感知、自动化理解与灵活获取三个方面:基于主动标识等技术,可以实现第三方数据资产服务的分布式发布,形成数据资产服务目录,从而支撑用户对工业数据空间中的数据与服务进行自动化快速感知。基于标识赋予每一个物理实体和虚拟数据唯一身份信息,并对实体进行结构化、标准化表征,从而支撑用户对第三方数据资产服务的自动化准确理解。基于解析技术,结合标识编码方案,实现第三方数据资产服务的高效寻址与灵活获取。30(4)在可信工业数据空间中的适配性本小节将从适用的软硬件要求、云端兼容性、中心化/去中心化模式等方面分析该技术在可信工业数据空间中的适配性。软硬件要求标识解析系统可以在通用设备上运行。此外,标识解析技术不
浙ICP备2021020529号-1 | 浙B2-20240490 
