7月19日,由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院和杭州市蕭山區(qū)人民政府主辦的區(qū)塊鏈技術(shù)和應(yīng)用峰會(huì)暨第三屆中國(guó)區(qū)塊鏈開(kāi)發(fā)大賽成果發(fā)布會(huì)在杭州蕭山
7月19日,由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院和杭州市蕭山區(qū)人民政府主辦的“區(qū)塊鏈技術(shù)和應(yīng)用峰會(huì)暨第三屆中國(guó)區(qū)塊鏈開(kāi)發(fā)大賽成果發(fā)布會(huì)”在杭州蕭山舉辦。本次大會(huì)以“標(biāo)準(zhǔn)引領(lǐng)應(yīng)用創(chuàng)新”為主題,以發(fā)布開(kāi)發(fā)大賽成果為契機(jī),共同探索區(qū)塊鏈技術(shù)標(biāo)準(zhǔn)以及應(yīng)用的發(fā)展。
會(huì)上,上海萬(wàn)向區(qū)塊鏈股份公司高級(jí)總監(jiān)郝玉琨作為代表,發(fā)布并解讀了《區(qū)塊鏈 隱私計(jì)算服務(wù)指南》(下稱(chēng)“指南”)標(biāo)準(zhǔn)。
《指南》由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院指導(dǎo),萬(wàn)向區(qū)塊鏈牽頭起草,矩陣元技術(shù)(深圳)有限公司、中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、深圳前海微眾銀行股份有限公司、眾安信息技術(shù)服務(wù)有限公司、廈門(mén)安妮股份有限公司、易見(jiàn)供應(yīng)鏈管理股份有限公司、上海金丘信息科技股份有限公司、上海復(fù)星高科技(集團(tuán))有限公司、北京京東振世信息技術(shù)有限公司、福建省海峽區(qū)塊鏈研究院、深圳華大基因科技有限公司、中國(guó)平安(集團(tuán))保險(xiǎn)公司等公司共同編寫(xiě)完成。
以下為標(biāo)準(zhǔn)發(fā)布及解讀全文,整理自現(xiàn)場(chǎng)速記稿:
萬(wàn)向區(qū)塊鏈郝玉琨
尊敬各位領(lǐng)導(dǎo)以及區(qū)塊鏈行業(yè)的同仁,大家上午好!非常榮幸能夠在這里為大家介紹和發(fā)布《區(qū)塊鏈 隱私計(jì)算服務(wù)指南》團(tuán)體標(biāo)準(zhǔn)。
最近,F(xiàn)acebook發(fā)的Libra,牽動(dòng)著整個(gè)行業(yè)的關(guān)注點(diǎn),美國(guó)政府在近段時(shí)間里組織了兩場(chǎng)聽(tīng)證會(huì),全球政府、央行、監(jiān)管部門(mén)等都在關(guān)注著事態(tài)的進(jìn)展以及美國(guó)政府的態(tài)度。在這兩場(chǎng)聽(tīng)證會(huì)里,有一個(gè)非常重要的爭(zhēng)議點(diǎn)——隱私保護(hù)。Facebook能夠覆蓋20億用戶(hù),怎么保證他不會(huì)拿數(shù)據(jù)來(lái)作惡?怎么保證數(shù)據(jù)的隱私?
在電子技術(shù)標(biāo)準(zhǔn)化研究院的指導(dǎo)下,中國(guó)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)發(fā)展論壇成員的共同努力下,由萬(wàn)向區(qū)塊鏈牽頭編寫(xiě)了《區(qū)塊鏈 隱私計(jì)算服務(wù)指南》。關(guān)于這個(gè)標(biāo)準(zhǔn),我們?cè)谇捌谝呀?jīng)做了非常充分的準(zhǔn)備,去年我們已經(jīng)發(fā)過(guò)一個(gè)隱私保護(hù)的團(tuán)體標(biāo)準(zhǔn),今年從4月份開(kāi)始,我們邀請(qǐng)行業(yè)同仁來(lái)共同參與討論,前段時(shí)間在深圳做了集中編寫(xiě)和充分論證。正好在這個(gè)時(shí)間節(jié)點(diǎn)發(fā)布,我想應(yīng)該也是工信部、電子標(biāo)準(zhǔn)院以及論壇對(duì)于區(qū)塊鏈行業(yè)發(fā)展的充分理解,在這樣一個(gè)大背景下適時(shí)推出了這樣一個(gè)團(tuán)體標(biāo)準(zhǔn)。
《區(qū)塊鏈 隱私計(jì)算服務(wù)指南》實(shí)際上是一個(gè)操作指南,它沒(méi)有對(duì)行業(yè)里經(jīng)常講的那些熱詞和細(xì)節(jié)做過(guò)多的解釋?zhuān)驗(yàn)樵跇?biāo)準(zhǔn)領(lǐng)域看來(lái),這些細(xì)節(jié)是留給技術(shù)專(zhuān)家以及行業(yè)從業(yè)人員研究的。標(biāo)準(zhǔn)化論壇推出它,是為了給行業(yè)從業(yè)者就利用區(qū)塊鏈技術(shù)提高數(shù)據(jù)交換效率和可信性,同時(shí)在保護(hù)數(shù)據(jù)隱私前提下實(shí)現(xiàn)多方協(xié)作的數(shù)據(jù)計(jì)算等方面提供指引的,告訴大家什么是基于區(qū)塊鏈的隱私計(jì)算,應(yīng)該怎么用,用完之后怎么管。
首先,區(qū)塊鏈隱私計(jì)算服務(wù)包括:原則和相關(guān)方、技術(shù)架構(gòu)、服務(wù)管理等方面的內(nèi)容。本標(biāo)準(zhǔn)適用于指導(dǎo)區(qū)塊鏈隱私計(jì)算服務(wù)的展開(kāi),同時(shí)評(píng)估相關(guān)方的區(qū)塊鏈隱私計(jì)算服務(wù)能力;其次是評(píng)估區(qū)塊鏈隱私計(jì)算服務(wù)對(duì)組織的適用性;第四是審計(jì)區(qū)塊鏈隱私計(jì)算服務(wù)的安全性和合規(guī)性。從區(qū)塊鏈誕生以來(lái),合規(guī)都是和它相伴相生的,特別是隱私計(jì)算涉及到用戶(hù)數(shù)據(jù)的相關(guān)合規(guī)性應(yīng)該怎么做,這里面也有一些說(shuō)明。
在今年上半年的國(guó)際標(biāo)準(zhǔn)討論中,中國(guó)區(qū)塊鏈技術(shù)和產(chǎn)業(yè)發(fā)展論壇牽頭會(huì)同了行業(yè)里的眾多專(zhuān)家,把“區(qū)塊鏈?zhǔn)鞘裁?rdquo;做了漢語(yǔ)定義,我們也對(duì)區(qū)塊鏈隱私相關(guān)概念做了定義。包括對(duì)隱私計(jì)算、安全計(jì)算、零知識(shí)證明、可信執(zhí)行環(huán)境、門(mén)限簽名、數(shù)據(jù)提供方、數(shù)據(jù)執(zhí)行方、數(shù)據(jù)使用方等這些基礎(chǔ)概念做了一個(gè)框定。
隱私計(jì)算服務(wù)指南的原則
接下來(lái),講一下隱私計(jì)算服務(wù)指南的原則。首先,我們遵循的是國(guó)際標(biāo)準(zhǔn)GB/T 35273-2017 中第四章“個(gè)人信息安全基本原則”。也就是區(qū)塊鏈隱私計(jì)算要依托國(guó)際標(biāo)準(zhǔn)對(duì)于個(gè)人隱私、個(gè)人數(shù)據(jù)的要求。在這上面,我們又提出了以下五點(diǎn)原則:一是安全隔離原則,也就是說(shuō)隱私數(shù)據(jù)需要限定在特定的范圍之內(nèi);二是最小授權(quán)原則,授權(quán)對(duì)象最小、數(shù)據(jù)內(nèi)容最小、授權(quán)權(quán)限最小和時(shí)間最小;三是明示同意原則,應(yīng)當(dāng)獲得隱私主體明確授權(quán);四是透明原則,隱私計(jì)劃應(yīng)該保證透明度,保證雙方公開(kāi);最后是監(jiān)管合規(guī),隱私計(jì)算所有的業(yè)務(wù)應(yīng)該是在國(guó)家和政府的法律指導(dǎo)下合規(guī)開(kāi)展。
相關(guān)方
關(guān)于相關(guān)方,如下圖所示:
主體業(yè)務(wù)端有前端的終端用戶(hù)、業(yè)務(wù)提供方、技術(shù)提供方和第三方。從去年開(kāi)始,網(wǎng)信、公信、公安各個(gè)部委都對(duì)區(qū)塊鏈隱私、合規(guī)這塊做了很多工作。對(duì)隱私計(jì)算來(lái)說(shuō),就有“第三方”的概念,第三方包括監(jiān)管、審計(jì)、治理。也就是說(shuō),整體隱私計(jì)算服務(wù)從架構(gòu)和設(shè)計(jì)上來(lái)說(shuō),是把監(jiān)管和治理、審計(jì)設(shè)計(jì)在里面,業(yè)務(wù)開(kāi)展需要在一個(gè)合規(guī),有監(jiān)管的前提下有序開(kāi)展。
技術(shù)架構(gòu)
關(guān)于技術(shù)架構(gòu),區(qū)塊鏈和隱私計(jì)算本來(lái)是兩個(gè)已有的領(lǐng)域,用區(qū)塊鏈技術(shù)可以提高隱私數(shù)據(jù)的交換效率和可信,來(lái)幫助我們更好地開(kāi)展隱私計(jì)算。底層還是基于區(qū)塊鏈基礎(chǔ)設(shè)施,上層有數(shù)據(jù)共享、數(shù)據(jù)計(jì)算、密鑰管理三個(gè)縱向模塊,右側(cè)是在核心模塊之外以API形式對(duì)外提供隱私計(jì)算服務(wù)。
管理要求
接下來(lái)是管理要求。納入相關(guān)方,獲得了數(shù)據(jù),并建立了相關(guān)的服務(wù)之后,應(yīng)該怎樣對(duì)這些技術(shù)、產(chǎn)品進(jìn)行管理。隱私計(jì)算需要有這樣幾個(gè)管理要求:一是需要設(shè)立相關(guān)的合規(guī)管理崗位,通過(guò)相關(guān)方對(duì)合規(guī)、對(duì)組織進(jìn)行相關(guān)政策制定;另外一個(gè)是風(fēng)險(xiǎn)防范與控制,因?yàn)槲覀円ㄟ^(guò)設(shè)立專(zhuān)門(mén)的機(jī)制、人員來(lái)保證隱私數(shù)據(jù)不被泄露、不被破解,以及出了問(wèn)題后密鑰的泄露和丟失處置。
隱私計(jì)算過(guò)程
我們也規(guī)定了隱私計(jì)算的過(guò)程,這個(gè)過(guò)程如上圖所示,包含七個(gè)步驟,從預(yù)處理到共享、分解、任務(wù)分發(fā)一直到最后的提交驗(yàn)證。這個(gè)流程圖是一個(gè)抽象的結(jié)果,因?yàn)樵凇吨改稀肪帉?xiě)過(guò)程中,大家都是業(yè)界內(nèi)的公司,每家公司都對(duì)于自己在區(qū)塊鏈隱私計(jì)算相關(guān)的工作領(lǐng)域做了展示和介紹,每家公司有不同的做法,最后論壇基于大家實(shí)踐中的共性,提煉出這樣一個(gè)可以參考、可以匹配的流程。
評(píng)估與審計(jì)
最后是評(píng)估與審計(jì)。這里面包含了以下六個(gè)評(píng)估項(xiàng)目:計(jì)算準(zhǔn)確性的評(píng)估、可擴(kuò)展性評(píng)估、計(jì)算能力評(píng)估、安全涉及評(píng)估、適用范圍評(píng)估和服務(wù)合規(guī)性評(píng)估?!吨改稀防锾峁┝诉@六個(gè)原則給大家作為參考,就像打分表一樣,基于六個(gè)大項(xiàng),里面有若干個(gè)小項(xiàng),對(duì)照著打一個(gè)分,最后可以看到我們的隱私計(jì)算服務(wù)能力到底是什么樣的效果性能。
隱私計(jì)算服務(wù)實(shí)現(xiàn)方法
前面講到的隱私計(jì)算服務(wù),主要是綱領(lǐng)性和方法論,以及宏觀共性的一些條款,接下來(lái)我將舉例說(shuō)明現(xiàn)有的隱私計(jì)算服務(wù)實(shí)現(xiàn)方法。主要有九個(gè):
1、基于基礎(chǔ)公鑰密碼學(xué)的數(shù)據(jù)安全共享參考實(shí)現(xiàn);
2、基于PRE數(shù)據(jù)安全共享參考實(shí)現(xiàn);
3、基于區(qū)塊鏈的分布式隱私計(jì)算示意;
4、基于安全多方計(jì)算的隱私計(jì)算參考實(shí)現(xiàn)方案;
5、全同態(tài)加密用于數(shù)據(jù)隱私保護(hù)計(jì)算的參考實(shí)現(xiàn);
6、全同態(tài)加密用于算法隱私保護(hù)計(jì)算的參考實(shí)現(xiàn)方案;
7、零知識(shí)證明用于數(shù)據(jù)隱私保護(hù)計(jì)算的實(shí)現(xiàn)方案;
8、基于門(mén)限簽名的密鑰管理服務(wù)的基本示意;
9、基于2/3門(mén)限簽名方案的秘鑰管理示意。
下面是所有參與《服務(wù)》標(biāo)準(zhǔn)起草的單位,感謝各個(gè)單位的努力和工作。也歡迎大家積極參與,共同推進(jìn)區(qū)塊鏈隱私計(jì)算服務(wù)的進(jìn)程。
謝謝大家。
關(guān)鍵詞: 區(qū)塊鏈隱私計(jì)算指南 API