一、可信數據空間關鍵技術

數據空間技術體系主要以數據使用控制技術為核心，同時包含了從保障數據隱私安全、流通過程可控可信、跨平臺跨技術互聯互通等一系列關鍵技術和方法，共同實現數據流通過程可信、數據互聯互通和價值釋放。

1.1 使用控制技術

數據使用控制技術是一種可信管控技術，通過預先設置數據使用條件形成控制策略，依托控制策略實時監測數據使用過程，動態決定數據操作的許可或拒絕。這保證了數據使用條款和條件能被計算機執行和評估，以實現數據提供方的數據保護和使用方按約定使用數據的目標。具體包括數據沙箱、訪問控制和數據使用控制等技術。

1）數據沙箱：通過構建一個應用層隔離環境，允許數據使用方在安全和受控的區域內對數據進行分析處理。通過數據沙箱保證數據加工使用、數據應用環境安全。

2）訪問控制：指系統對用戶身份及其所屬的預先定義的策略組限制其使用數據資源能力的手段。

3）數據使用控制：基于預定義的控制策略并結合動態身份認證機制，保障數據使用者按照數據提供方設定的策略使用數據，維護數據提供方對數據使用的控制能力。通過數據使用控制技術保證數據僅可被授權用戶，按照約定的用途和用法使用。

1.2 隱私保護技術

為流通中數據的隱私信息保護提供安全保障，主要包括隱私計算、數據限制發布和數據失真技術。

1）隱私計算：指在提供隱私保護的前提下，實現數據價值挖掘的技術體系。在數據處理和分析過程中不暴露隱私信息，實現數據的“可用不可見”。當前階段，隱私計算技術主流路線包括機密計算、聯邦學習、安全多方計算。

2）限制發布：有選擇的發布原始數據、不發布或者發布精度較低的敏感數據，以實現隱私保護，當前的方式主要為“數據匿名化”。

3）數據失真：通過添加噪音等方法，使敏感數據失真但同時保持某些數據或數據屬性不變，仍然可以保持某些統計方面的性質。包括隨機化，阻塞與凝聚，以及差分隱私。

1.3 信任保障技術

以滿足實體交互過程數字信任為目標，以重構人對技術、平臺和機器的信任為方向，以數字信任相關技術融合創新為路徑，推動實現數據流通全流程全周期安全可信。主要包括數字身份、區塊鏈和智能合約。

1）數字身份：真實身份信息濃縮為數字代碼,形成可通過網絡、相關設備等查詢和識別的公共密鑰。

2）區塊鏈：按照時間順序將若干數據區塊相連的、不可篡改、不可偽造、全程留下痕跡、交易可以追溯的分布式共享賬本。

3）智能合約：基于計算機協議的合同形式，以信息化方式傳播、驗證和執行，支持無需第三方的可信交易，確保交易的可追蹤性和不可逆轉性。

1.4 互聯互通技術

通過各種技術手段、規范、協議和標準，使得不同的網絡、系統或設備能夠相互連接和交互，包括數據資源、應用服務、流程規范等方面的互聯協同。具體可通過制定統一的身份、數據標識，統一的流程、統一的訪問和通信等接口實現跨域的身份互認、資源可用可見、服務共享共用。

二、可信數據空間方案設計

2.1 總體設計

以“數據流通利用全流程可信可控”為目標，建設安全可控、互操作性強的可信數據空間數據流通利用基礎設施，技術體系主要包括可信連接器和可信數據空間服務平臺。可信連接器是連接數據流通主體與可信數據服務平臺的軟硬件結合的終端設備，數據供需方均可通過可信連接器接入可信數據空間，完成數據流轉、加工和利用；可信數據空間服務平臺提供空間管理、數據管理、使用控制、存證溯源等能力，為接入的可信連接器提供關鍵能力支撐。

圖 ? 可信數據空間總體設計

通過建設可信數據空間，使得數據安全接入、跨域可控、流通可信，具備數據可信管控、資源交互、價值共創三大核心能力，為數據加工、數據共享、數據授權運營等數據應用場景提供高效、安全流通支撐。

2.2技術體系設計

2.2.1可信連接器

數據服務層為數據互聯互通提供基礎能力，設置數據接入、數據傳輸、數據存儲、數據加工區。

數據接入區通過統一的數據接入標準、嚴格的身份認證機制和精細的資源控制手段，將數據源安全可靠地接入可信數據空間。

數據傳輸區通過虛擬專網和加密傳輸，保障數據在可信數據空間內安全地傳輸和訪問，確保數據傳輸過程的機密性；

數據存儲區提供密態的存儲環境，對外共享的高敏感數據會在可信數據連接器內加密存儲；

數據加工區通過可信執行環境、數據沙箱、訪問控制技術為數據加工利用提供安全的環境，同時提供隱私計算技術，為數據提供豐富的加工處理能力。

可信管控層為接入可信數據空間的各主體、數據資源、產品服務等，提供使用控制和存證溯源能力。

使用控制能力主要通過環境隔離、訪問控制和數據使用控制策略為數據的安全性、合規性和高效流通提供支持。首先基于可信執行環境、數據沙箱提供安全的隔離環境，確保不同數據加工環境、數據應用之間的環境隔離；其次對接入的數據資源、數據產品、數據服務等，進行接入核驗審查，并通過分權管控精確控制數據的訪問權限，防止未經授權的操作，確保數據使用符合相關規定；再次基于預定義的數據使用控制策略，保障數據使用方按照數據提供方設定的策略使用數據，數據僅可被授權用戶，按照約定的用途和用法進行使用，如對數據類型、使用對象、次數、時間、地理位置、是否轉發、銷毀等維度進行管控。

存證溯源能力通過對關鍵數據和數據開發利用過程進行存證和審計保障了數據流通過程的透明和可追溯，數據在“可溯可審計”的保障下安全合規的流通利用，避免數據的違規濫用，保障了各方權益。

在建設可信數據空間的同時，安全保障體系需要同步規劃、同步建設、同步運營。可信連接器內置了多層次、多維度的主動免疫安全防護能力，以此來保障數據的接入、傳輸、加工利用和交付，確保貫穿數據流通利用全流程各環節安全。

可信連接器的安全保障體系從“可信硬件芯片”到“機密軟件系統”逐步構建，首先基于可信根形成融合遠程證明、可信啟動、動態度量的可信啟動鏈，確保啟動過程不被劫持、不被篡改；在可信啟動時，可信執行環境對操作系統的內核和關鍵進程進行“動態度量”監測，可向遠程服務中心發送“運行環境安全證明”，確保軟件系統未被篡改，同時，軟件系統和數據都有落盤加密保護，即使人員接觸物理設備，也無法獲取其中的數據和文件。系統內部融合了多維度的安全能力，包括“主機安全”、“入侵檢測”和“安全審計”等；針對數據外發的需求，提供數據脫敏、水印和API安全，以此確保數據“采、存、管、用”的全流程安全合規。

2.2.2可信數據服務平臺

可信數據服務平臺設計了數據資源交互層和信任管控層。數據資源交互層為數據存儲、加工和利用提供安全環境，確保數據的隱私保護、完整性和安全性。資源交互層可以與可信連接器進行數據資源交互和數據互操作。信任管控層提供整個可信數據空間的空間管理、使用控制和存證溯源能力。

圖可信數據空間服務平臺設計

1）資源交互層提供四個核心能力，分別為：租戶隔離、密態存儲、數據沙箱和機密計算。

租戶管理：租戶隔離采用多層次的身份認證、資源隔離和配額管理策略，以確保不同租戶的數據和計算任務在共享的基礎設施上實現嚴格隔離。身份認證通過多因素認證、硬件安全模塊以及遠程證明技術，確保只有受信任的用戶和設備可以訪問機密計算環境。資源隔離依托可信執行環境和虛擬化技術，確保不同租戶的計算任務運行在獨立的安全空間內，防止潛在的側信道攻擊。同時，為了優化資源使用和保障公平性，系統提供基于計算資源消耗、存儲占用和任務執行時長的計費與配額管理機制，防止資源濫用并提高集群整體效率。

圖 ? 可信數據空間服務平臺租戶隔離設計

密態存儲：實現數據的安全存儲與訪問，確保平臺管理員和設備管理員無法窺探或篡改設備上的存儲數據。密態存儲主要包括虛擬機加密和落盤數據加密兩個層面：虛擬機加密通過對虛擬機鏡像進行全盤加密，確保即使運維人員拷貝鏡像文件，也無法解密獲取原始明文數據或文件內容，從而防止數據泄露；落盤數據加密采用磁盤分區加密技術，對存儲設備上的數據進行加密保護，確保即使硬盤文件被拷貝或提取，也無法解密獲取其中明文數據或文件內容，有效抵御惡意訪問和數據篡改風險。

圖可信數據空間服務平臺密態存儲設計

數據沙箱：作為受控的計算環境，提供了一種在高安全性隔離區內執行計算任務的機制，確保敏感數據不會在處理過程中被泄露或濫用。基于數據沙箱提供數據加工利用的開發環境與生產環境，脫敏后的樣例數據經授權可以導入開發環境，使用樣例數據對應用程序進行調試開發，如：調試、查看程序狀態、日志和運行時信息等。應用程序在開發環境調試開發完成后，導入生產環境，真實數據傳輸至生產環境，在TEE可信執行環境提供的密態空間內完成計算任務。與此同時，數據沙箱采用一次性計算環境機制，在任務執行前創建臨時可信執行環境實例，并在任務完成后銷毀該實例，以防止計算后的殘留數據泄露。

圖可信數據空間服務平臺數據沙箱設計

機密計算：基于可信執行環境提供安全的計算環境，確保僅在可信執行環境內部運行的代碼和數據能夠被實時解密，從而保護計算過程中的數據安全，防止未經授權的訪問和篡改，實現數據處理過程的不可見性。機密計算的主要流程包括以下三個步驟：數據遷移、應用遷移和機密計算執行。數據遷移指數據文件在本地加密后導入計算環境，并存儲于加密虛擬機中，確保數據在傳輸和存儲過程中保持安全；應用遷移指應用程序經過適配后部署至計算環境，使其能夠在受可信執行環境保護的環境中運行，確保計算過程的安全性；機密計算執行指的是可信執行環境為服務器提供CPU硬件級隔離和內存加密，將應用程序代碼和數據與任何具有特權的用戶隔離。機密計算模塊對加密數據進行解密，并在一次性任務容器中執行計算，計算完成后立即銷毀任務容器，確保數據不會在計算結束后被保留或泄露。

圖 ? 可信數據空間服務平臺機密計算設計

2）信任管控層主要包含三部分能力：空間管理、使用控制和存證溯源能力。

空間管理：對可信連接器、用戶和權限進行統一管理。通過統一接入認證和管理實現可信數據空間中的互聯互通，對所有接入可信數據空間的可信連接器，使其使用統一身份標準準入連接，可以實現不同可信連接器之間的認證互聯。在可信連接器接入認證過程中，可信連接器與可信數據空間服務平臺之間通過雙重認證機制來驗證設備身份，確保只有授權的設備能夠接入。此外，還能夠根據連接器的角色和認證狀態，空間管理模塊可以定義可信連接器可以訪問哪些資源或服務，如數據庫、文件系統、API等。

可信管控：可信管控能力對接入的所有可信連接器之間、可信連接器和平臺

間的數據互操作提供使用策略控制的統一管理，包括制定、下發和執行。使用控制策略包括數據沙箱管控、人員訪問控制和數據使用控制維度的策略。

存證溯源：平臺可以對數據流通過程的所有操作進行記錄，包括數據的采集、接入、處理、使用和銷毀等階段操作員的所有操作行為，僅審計員有權限查看/操作日志記錄系統，確保數據的可溯源性和完整性。

風險評估：風險評估采用多層次的安全監測與分析技術，以實時識別和應對潛在安全威脅，保障可信性。TEE環境完整性檢測機制利用遠程證明，確保計算節點未遭受篡改，避免惡意固件或不受信任的軟件運行。動態行為分析持續監控計算任務的執行模式，識別偏離預期行為的異常情況，如未經授權的數據訪問、計算任務異常終止或資源占用異常波動等。此外，系統還支持基于實時風險評估的安全策略動態調整，能夠根據當前的安全狀況調整訪問權限、限制可疑計算任務的執行，從而降低潛在安全威脅的影響。

首先可根據場景應用選擇集中部署或分布式部署，集中部署可信數據服務平臺集中管控各方可信連接器。分布式模式部署可采用可信連接器直接對接完成使用策略共享和數據互操作。

圖9可信數據空間集中部署

圖 ?可信數據空間分布式部署

其次可信連接器按使用場景可以分為“數據采集連接器”和“交付連接器”。采集連接器部署在數據提供方收集和接入數據，并確保數據的隱私性、安全性和完整性，其核心功能包括數據接入，數據脫敏、數據轉換，認證和授權，數據發布與傳輸加密等。數據交付連接器主要部署在數據使用方接收和使用數據，確保數據的安全、高效和合規交付，其核心功能包括訪問控制，動態授權、計量計費、結果展示和加密傳輸等。同時，可信連接器可結合客戶的環境能力選擇軟件或軟硬一體機模式。

三、可信數據空間案例

3.1 科研數據可信數據空間

面向重要高致病性病原菌及新冠、流感等病毒數據，在安全保護條件下進行分析和共享的需求，使用基于國產機密計算硬件的數據安全產品，對加密后的基因序列在密態的內存中進行序列分析。在此過程中，通過密碼學、隱私計算、區塊鏈等安全技術，保障包括計算分析服務提供方在內的各方，對數據可用不可見。其中進行互聯互通的相關數據受到符合國家密碼標準的數字簽名技術保護，同時使用區塊鏈技術完成了全流程行為審計，通過哈希、簽名等密碼學技術對關鍵流程進行存證，并提供科學數據鏈頒發的全網唯一的區塊鏈證書以確保數據權益。通過對有數據風險保護要求的科學數據實現“可用不可見”的應用實踐，為解決數據安全、數據確權等長期困擾數據流通利用的難題提供了解決方案，具有重要的示范意義。

圖 ? 科研數據可信數據空間解決方案設計

3.2 醫療行業可信數據空間

應國家疾控局要求，為實現建立“全國一網統管、平臺兩級建設，數據統一采集、業務分級應用”的一體化省統籌醫療行業可信數據空間，在醫院側部署采集可信連接器安全合規采集醫學數據，統一接入疾控局可信數據空間平臺，對接傳染病監測預警與應急指揮信息平臺，實現疫情監測、預警和應急響應能力，確保各級醫療衛生機構間的數據共享與協同防控。醫療行業可信數據空間不僅提升了疾控局傳染病監測預警與應急指揮信息平臺的數據安全和防御能力，還促進了各醫院間的數據共享與協同防控，為公共衛生事業的健康發展提供了有力保障。

圖 ?醫療行業數據空間解決方案設計

3.3 公共數據可信數據空間

“數據二十條”提出要推進實施公共數據確權授權機制，數據局對各級黨政機關、企事業單位依法履職或提供公共服務過程中產生的公共數據，要加強匯聚共享和開放開發，強化統籌授權使用和管理，推進互聯互通，打破“數據孤島”。通過構建“公共數據安全可信空間”，基于開發與生產環境隔離、密態存儲、安全計算、審計溯源、權限控制以及可信執行環境，為公共數據授權運營提供安全可信的數據加工利用環境，以此實現數據高效合規流通使用。以公共數據安全可信空間作為安全基座，建設公共數據授權運營平臺，主要涵蓋數據授權管理體系、數據加工處理體系、數據產品開發體系、數據利用合規審核體系等功能體系。在保證公共數據“原始數據不出域、數據可用不可見”的條件下，通過可靠供給、溯源授權、可信處理、可控服務等技術，完成對公共數據安全合規加工使用，形成數據產品后面向政府、社會、產業提供服務，最終實現公共數據價值挖掘和市場化應用。

圖 ?公共數據可信數據空間方案設計

四、可信數據空間挑戰和展望

可信數據空間基于數據可信流通技術，為數據流通各參與方提供高效便捷、安全可靠的數據流通保障，所以數據流通技術的安全性評估至關重要，通過對其進行安全性評估，可以增強行業信心，促進技術大規模部署。

目前已經有多種數據可信流通技術路線，而這些技術路線的評估規范標準存在差異，用戶無法對所有的產品進行橫向比較和選擇。因此，制定數據可信流通技術通用評估規范類標準，針對不同安全等級的數據選擇合適的數據可信流通技術，在安全、性能和成本之間實現平衡非常重要。

隨著《國家數據標準體系建設指南》的發布，以數據“供得出、流得動、用得好、保安全”為指引，構建了涵蓋數據基礎設施、數據資源、數據技術、數據流通、融合應用及安全保障等模塊的國家數據標準體系，相信，未來隨著系列標準的制修訂和落地實施，為數據可信流通提供規范化建設路徑，成為賦能數字經濟和數字技術發展的強勁動力。