数据可信流通解决方案由数据可信流通管控中心、具有安全可信执行环境的可信数据空间连接器、安全存 储资源池、以及安全的数据流通网络构成。
数据可信流通管控中心由认证中心、使用控制中心、存证审计中心、数据市场等构成,提供全局数据可信 流通管控能力。
注册认证中心:提供可信数据空间信任关系认证功能,确保数据只能在受信任的数据空间之间流通。
使用控制中心:提供流通数据集中使用控制能力,数据流通过程中数据使用策略与数据同行,使得数据 使用方能基于一致的策略对数据使用进行控制。支持基于属性的流通数据使用策略访问控制模型,既可基于用 户、时间、位置、事件、条件等原子策略,又可基于原子策略自定义策略,还可基于数据标签和可信数据空间 安全等级进行数据流通控制,从而满足各行业多样化流通数据使用管控诉求。
存证审计中心:提供数据流通日志、数据流通合约日志、流通数据使用日志记录。提供基于数据流通日 志、数据特征、数据血缘进行数据流通审计和追溯功能。 ·数据市场:提供数据上架发布,搜索和订阅能力。
可信数据空间连接器由具有高安可信执行环境的计算节点构成,为数据流通提供基于硬件的安全保护能 力,提供高安可信执行环境。
数据流通连控制器:提供可信数据空间之间数据流通能力,结合可信数据空间信任关系认证和数据流通 控制功能,保证数据只能在受信任的数据空间之间流通。
透明加解密:构筑在OS内核层,实现对流通数据的透明加解密能力。数据提供方应用对待流通数据执 行I/O写操作时,透明加解密组件会对I/O数据进行加密。加密后的数据通过数据流通连接器传输至数据使用方 后,数据使用方应用执行文件I/O读操作时,透明加解密组件会对I/O数据进行解密。透明加解密能力保证了数 据在文件系统上存储、在数据流通传输期间的机密性和完整性。
计算层数据流通控制引擎(Usage Control): 在可信数据空间安全虚机内核层构筑的流通数据使用控 制组件。提供有效期到期删除、限制可访问流通数据的主机层用户和可访问的时间段、限制可访问流通数据的 应用程序等数据使用控制能力。
可信应用(TA):运行在TEE侧的可信应用程序,实现敏感数据在安全环境中隔离处理。可信数据流 通方案中身份认证、密钥管理、vTPM等涉及敏感数据处理的功能可采用可信应用实现。
安全存储资源池是保护数据安全的基础底座,包括存储层数据流通控制引擎、硬件安全、系统(OS)安 全、容器安全、系统配置安全等。 ·存储层数据流通控制引擎(Usage Control): 在存储层构筑的流通数据使用控制组件。提供有效期到 期删除(彻底删除)、限制可访问流通数据的主机层用户和可访问的时间段等数据使用控制能力。
硬件安全启动能力:在硬件可信根的基础上,可构建系统安全的可信链,基于底层可信基础逐层校验, 保证存储系统启动安全。
系统完整性保护技术:安装部署阶段,通过数字签名技术实现存储软件包的完整性校验;启动阶段,支 持从CPU到存储应用的端到端启动校验;运行阶段,通过内核完整性保护技术,防止对内核关键内存、寄存 器、页表等的篡改,保护内核的完整性。
安全容器增强存储系统软件隔离:安全容器结合了虚拟机技术的强隔离性和容器技术的轻量高效的优 点,使用虚拟化层进行容器间的隔离,可独立部署存储应用。基于行业实践,提供存储系统安全配置核查和指 导修复。不安全配置增加了系统的暴露面,会增加系统被攻击的风险,因此存储系统需要保障默认安全配置, 并支持配置的安全性核查,针对不安全配置提示安全风险,并指导修复。
数据流通安全网络为流通数据及其使用控制策略提供流通通道,流通数据及其使用策略在数据流通网络中 传输支持机密性和完整性保护。 可信数据空间默认使用数据流通安全网络进行数据传输保护。数据在不同节点之间进行流通过程中,通过 全局文件系统及其传输网络提供加密的数据传输通道,对数据及其策略流通提供机密性和完整性保护。
在不可靠的网络环境中,可信数据空间可以基于自身密文直传安全机制提供数据传输安全保障。在此场景 中,可信数据空间可以将数据和其使用策略捆绑,形成加密的数据胶囊。加密数据可以在不解密的情况下进行 密文直传,在提供传输保密性的同时,又大幅提升了数据传输效率。
针对国家关键信息基础设施等高安需求场景,或风险较高的不可信网络环境,可以进一步提高基于量子密 钥分发技术建设高安全网络。量子密钥分发利用量子状态的特性为通讯双方分发密钥,并且可以检测到第三方 的窃听行为,可以提供理论安全的保密通讯机制,抵御量子计算机暴力破解传统加密算法的风险。
