北京金融科技產業聯盟：2023金融業隱私計算互聯互通技術研究報告（144頁）.pdf

《北京金融科技產業聯盟：2023金融業隱私計算互聯互通技術研究報告（144頁）.pdf》由會員分享，可在線閱讀，更多相關《北京金融科技產業聯盟：2023金融業隱私計算互聯互通技術研究報告（144頁）.pdf（144頁珍藏版）》請在三個皮匠報告上搜索。

1、金融業隱私計算互聯互通技術 研究報告 北京金融科技產業聯盟 2023 年 5 月 金融業隱私計算互聯互通技術研究報告 VI 目 錄 前 言.1 一、隱私計算互聯互通當前發展情況.3（一）發展背景及意義.3（二）行業驅動力.5（三）難點與挑戰.6（四）金融行業探索實踐.7 二、金融業隱私計算互聯互通框架設計.13（一）框架設計考量因素.13（二）總體框架設計.16（三）框架組成解析.17（四）框架功能特色.20 三、互聯互通技術分解研究.22（一）管理面元素與接口研究.23（二）流程調度接口與算法容器加載研究.26（三）安全算子接口與服務化研究.31（四）傳輸接口與報文研究.34（五）異構算法協

2、議研究.37（六）TEE 互聯互通技術研究.44 四、互聯互通關鍵技術點攻關.49（一）管理面最小必要元素設計.50 金融業隱私計算互聯互通技術研究報告 VII （二）多方資源訪問控制協同策略.56（三）DAG&CONF 的通用化設計.63（四）流程調度互通設計.69（五）組件容器化加載方案.76（六）基于最小化約束的算法容器設計.83（七）隱私計算安全算子服務設計.87（八）傳輸層同步異步兼容設計.96（九）異構平臺開放算法協議設計.101（十）TEE 統一遠程證明流程設計.107 五、隱私計算互聯互通生態展望.115（一）生態建設目標.115（二）生態藍圖.116（三）生態主要建設路徑.1

3、26 六、總結與建議.135（一）總結.135（二）發展展望.136（三）政策建議.137 附錄：重要術語.140 參考文獻.141 金融業隱私計算互聯互通技術研究報告 1 前 言 2022 年 12 月 19 日，中共中央國務院正式發布關于構建數據基礎制度更好發揮數據要素作用的意見1，提出要促進數據合規高效流通使用，充分實現數據要素價值，并支持有條件的部門、行業加快突破數據可信流通、安全治理等關鍵技術。數據要素的發展催生了隱私計算的繁榮，隨著近幾年隱私計算行業的快速興起，聯邦學習、多方安全計算、可信執行環境等隱私計算技術逐步從試點走向了商用。然而，各家廠商的隱私計算平臺往往根據各自需要采用了

4、不同的技術架構和算法協議，使得各平臺實現具有極大的差異性，導致了各平臺間難以直接互聯互通。這種情況不僅造成各機構廠商系統的重復建設和運營成本的浪費，還間接形成了數據要素流通的技術壁壘，使隱私計算連接的“數據孤島”開始轉變成“技術孤島”。隱私計算跨平臺互聯互通能夠有效解決“技術孤島”問題，有助于促進數據要素跨平臺高效流通。為進一步加快隱私計算互聯互通技術發展，推動行業級隱私計算互聯互通方案及實施路線制定，在北京金融科技產業聯盟（簡稱“金科聯盟”）指導下，中國銀聯聯合商業銀行在內的主要金融機構、科技公司、互聯網公司、電信運營商、隱私計算開源社區和檢測認證機構共同啟動了隱私計算互聯互通（以下簡稱“互

5、聯互通”）的課題工作。此次課題的組織，旨在完成行業級互聯互通框架研制、關鍵技術研究及規范編制工作，本報告內容屬于課題階段性研究成果的匯總體現。金融業隱私計算互聯互通技術研究報告 2 本報告立足于行業視角，針對隱私計算技術發展的趨勢和需求，圍繞“互聯互通”開展一系列的探索和實踐，并深入淺出地進行闡釋。報告從當前行業發展現狀和互聯互通的價值意義著手，重點提出行業級隱私計算互聯互通探索實踐的思路，致力推動可行的跨平臺互聯互通框架組成研究，以及深入挖掘互聯互通關鍵技術點及配套落地實施方案，并在此基礎上進一步展望互聯互通產業發展新生態和商業模式，以期更好地激發數據要素流通和算法市場新活力，塑造我國數字經

6、濟時代新的競爭優勢?？傮w而言，報告關于“隱私計算互聯互通課題”的探討具有重要的現實意義。面對金融行業嚴監管要求和實際應用中復雜多樣的平臺技術實現方案，形成覆蓋管理面、數據面的行業級互聯互通統一框架，以更好實現跨數據、跨平臺、跨行業互聯互通；此外，報告還針對互聯互通生態發展需要，分別從技術、標準、業務等方面提出推進思路，以推動金融行業互聯互通生態構建和落地，助力形成隱私計算互聯互通生態流通網絡。金融業隱私計算互聯互通技術研究報告 3 一、隱私計算互聯互通當前發展情況（一）（一）發展背景及意義發展背景及意義 1.背景及現狀 數據作為數字經濟的核心生產要素之一，已在國家、行業等多層面獲得了廣泛重視。

7、中共第十九屆中央委員會第四次全體會議于 2019 年 11 月5 日發布的關于堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現代化若干重大問題的決定2中首次提出將數據列為一種新型生產要素。2022 年 12 月 19 日，中共中央國務院新發布的關于構建數據基礎制度更好發揮數據要素作用的意見，進一步提出促進數據合規高效流通使用，充分實現數據要素價值，并支持有條件的部門、行業加快突破數據可信流通、安全治理等關鍵技術。金融行業是典型的數據密集型行業，數據要素正成為金融行業高質量發展的重要驅動力。中國人民銀行于2021 年 12 月 29 日發布的金融科技發展規劃（2022-2025 年）3

8、中提出了推進數據有序共享，要求探索建立跨主體數據安全共享隱私計算平臺，提升數據要素資源配置效率。當前金融行業關于數據安全及隱私保護的需要加快推動了隱私計算技術在金融行業的創新應用。隨著近幾年隱私計算行業的快速發展，聯邦學習、多方安全計算、可信執行環境等隱私計算技術逐步從試點走向了商用。然而，各家廠商的隱私計算平臺在早期實現的過程中往往采用了不同的技術架構和算法協議，這使得各平臺實現具有極大的差異性，導致了各平臺間難以直接互聯互通。由于各機構異構平臺間無法直接進行交互協同，金融業隱私計算互聯互通技術研究報告 4 且各機構已接入的數據源基本僅能在特定項目、特定平臺下使用，導致金融機構現階段需要重復

9、部署多套異構隱私計算平臺來實現跨機構、跨平臺的數據合作。這不僅造成了系統重復建設和運營成本的浪費，還間接形成了數據要素流通的技術壁壘，使隱私計算連接的“數據孤島”開始轉變成為“技術孤島”。隱私計算互聯互通技術在一定程度上能夠促進“技術孤島”聯通，進而促進數據要素跨平臺高效流通。當前跨平臺互聯互通已逐步成為行業新共識，業界各方正在從技術和應用層面推動隱私計算互聯互通。2.互聯互通的意義和價值 互聯互通的發展能夠更好推動隱私計算產業發展，充分激發數據要素價值?？梢哉f，互聯互通是隱私計算行業發展的必然趨勢。只有真正實現不同行業機構、廠商平臺間的互認互用，才能破除平臺壁壘，加快數據要素生態市場建設。從

10、現實意義上看，互聯互通的意義和價值主要有：（1 1）加快形成統一標準體系的金融數據要素流通網絡。）加快形成統一標準體系的金融數據要素流通網絡?；ヂ摶ネ軌虼龠M形成統一的隱私計算技術標準體系，有助于建立跨主體數據安全共享模式，充分挖掘數據價值，為實現跨機構、跨地域、跨行業數據資源有序共享和綜合應用提供有效支撐。（2 2）促進互聯互通產業新生態和新商業模式構建。）促進互聯互通產業新生態和新商業模式構建?；ヂ摶ネㄓ兄趯崿F產業各方各領域數據資源最大化利用，促進互聯互通良性生態的形成和新商業模式構建，不斷拓展金融行業數據要素廣度和深度，并在金融業隱私計算互聯互通技術研究報告 5 服務實體經濟、助力金融

11、科技發展的同時逐步提升數據綜合應用與多向賦能實效。（3 3）助力端到端數據流通體系監管落地。）助力端到端數據流通體系監管落地。隱私計算互聯互通可為監管機制的透明化、公開化落地提供可行的實現方式，助力收攏數據應用安全合規漏斗，將金融行業的數據流通實質性地納入監管，進而推動數據要素市場的規范化發展。（二）（二）行業驅動力行業驅動力 隨著隱私計算開始步入生態發展快車道，互聯互通有助于進一步加快百億級隱私計算市場建設。相比短期內較難實現、目標略顯遠大的意義和價值而言，產業各方更關注于互聯互通能夠快速帶來的產業價值，這也是行業各方熱衷于推進隱私計算互聯互通的真正驅動力。（1 1）降低成本、減少風險。）降

12、低成本、減少風險。隱私計算是一門新興的技術，相關產品的成熟度大多未經過市場長期檢驗。因此，通過重復部署各類隱私計算平臺來實現跨機構多場景平臺支持的方式，不僅會帶來運營管理成本的問題，其潛在的安全風險相比多年沉淀的成熟信息科技產品也要更高。各機構迫切希望加快異構平臺互聯互通落地，降低外部引入多個隱私計算平臺帶來的成本開銷和安全風險，提升不同隱私計算平臺間的協作效率。（2 2）簡化行業數據流通要求，加速跨行業數據合作。）簡化行業數據流通要求，加速跨行業數據合作。隱私計算是能夠打破行業間數據壁壘的利器，互聯互通則是充分發揮這把利器作用的磨刀石?；ヂ摶ネǖ陌l展不僅有助于收斂行業數據要素流通要求、實金融

13、業隱私計算互聯互通技術研究報告 6 現行業數據價值釋放的規范化與統一化，還有助于加快跨行業數據合作的落地與實現，使各隱私計算技術廠商可以更專注于互聯互通接口細化和開放推廣，促進隱私計算技術大規模應用，并進一步推動整個行業發展及產業繁榮，加快數據跨機構、跨行業流通利用。（3 3）加快完善數據要素加速流通的政策環境。）加快完善數據要素加速流通的政策環境?；ヂ摶ネǖ穆涞?，能夠幫助各方進一步加快完善數據流通政策環境，建立統一的法律體系、制度體系、組織體系、標準體系和監管體系，促進數據要素的自由流動和合理配置，最終推動全國統一大數據市場的順利構建。（三）（三）難點與挑戰難點與挑戰 互聯互通的發展并不是一

14、蹴而就，而是機會與挑戰并存。要想真正實現各家機構、廠商隱私計算平臺互通及數據要素順暢流通流轉，需要正視和解決當前互聯互通存在的難點與挑戰：（1 1）技術理解和實現差異帶來的技術改造困難。技術理解和實現差異帶來的技術改造困難。由于隱私計算行業尚處于初期，產業各方在認知理解上存在較大差異，在通信網絡、密碼算法、應用協議、上層接口、數據格式等各個層面的技術實現也差異較大。因此，要想實現互聯互通，不僅需要有一套通用化框架以兼容適配各方的差異化平臺和接口，還需要考慮未來互聯互通后異構平臺協同更新時迭代困難的問題。（2 2）標準制度體系的缺位。）標準制度體系的缺位。當前業內標準規范體系尚未完備，不同隱私計

15、算技術、不同業務場景、不同標準組織的標準間仍然相互割裂。在此情況下，如何設計更加靈活的互聯互通標準和制度，使其既能兼容多個金融業隱私計算互聯互通技術研究報告 7 異構平臺，又能使得各異構平臺互聯互通具備可行性和可落地性，還能保持隱私計算在業務應用中的領先性和創造性，是當下落實互聯互通工作的重點和難點。（3 3）隱私計算的安全屬性需要在互聯互通設計中著重考慮。）隱私計算的安全屬性需要在互聯互通設計中著重考慮。由于互聯互通各參與方在安全設計理念、抗風險攻擊能力方面存在較大差異，不同隱私計算技術路線之間、相同技術路線不同實現方案之間也存在一定的安全水平差異，因此，安全合規風險是目前隱私計算所面臨的又

16、一重大挑戰。在尚未定義統一的隱私計算安全評定方式和分類分級尺度的當下，如何能夠有效鑒別不安全、不適用的互聯互通產品、算法和代碼，如何保證隱私計算技術能夠被安全、合規、高效地應用，以及如何有效平衡互聯互通后隱私計算技術的安全性、效率和精度，是構建互聯互通安全評價體系亟待考慮的問題。（四）（四）金融行業探索實踐金融行業探索實踐 為賦能金融行業數據要素高效流通，提升隱私計算互聯互通標準化程度，本小節從隱私計算技術發展需要及互聯互通難點挑戰出發，嘗試探索定義行業級互聯互通內涵和研究實現思路，以便更好推動隱私計算互聯互通應用發展和標準制定工作。1.行業級互聯互通的內涵 行業級隱私計算互聯互通（見圖1）是

17、一整套實現異構隱私計算平臺間數據安全流通的通用技術規范及配套生態支撐體系。在不暴露平臺內部設計細節且不受平臺自身更新、升級、擴容影響的前提下，行業級隱金融業隱私計算互聯互通技術研究報告 8 私計算互聯互通應立足金融行業發展需要，遵循統一的行業數據交互標準和接口規范，支持異構平臺數據、算法、算力安全的交互與協同，支撐使用不同技術平臺產品的不同金融機構共同協作完成同一隱私計算任務，并在平臺互通、便于推廣的基礎上助力推動良性產業生態建設。圖1 金融行業隱私計算互聯互通內涵示意圖 行業級互聯互通不僅要從技術層面進行頂層設計，更要從生態推廣角度進行全盤考慮。具體可以從五個維度進行內涵解讀：（1 1）全局

18、視野，中立客觀。）全局視野，中立客觀。推進隱私計算互聯互通，參與方不僅需要擁有全球化、全局性的視野定位，還應該秉持中立客觀、兼容開放的立場，不計較眼前得失，積極參與貢獻和集思廣益。（2 2）關照訴求，解決痛點。）關照訴求，解決痛點。所謂行業級互聯互通，不僅需要在技術上充分考慮產業痛點及各方訴求，各方共建一個既滿足安全要求又能適應各平臺產品多樣性的互聯互通統一框架，還要能夠同時兼顧各方商業利益和知識產權保護訴求，做到互利共贏。金融業隱私計算互聯互通技術研究報告 9 （3 3）架構合理）架構合理，凸顯安全。，凸顯安全。作為行業級互聯互通框架，其架構應該是兼容、合理和安全的。兼容為先、合理為本、安全

19、為基，既要能夠盡可能兼容各類代表性技術路線和主流開源技術平臺，相應東西向和南北向協議接口和流程設計更要高效而合理，同時還要以安全為最核心訴求和考量。（4 4）成果切實，）成果切實，便于便于推廣。推廣?；ヂ摶ネńy一框架應具備算法易開發、產品易集成、生產易運維、框架可測試、數據交互可審計等主要功能特點，可支持產業各方更好地開展集成對接和改造落地工作，使互聯互通成果得以快速推廣和實施。（5 5）生態）生態助力助力，相互促進。，相互促進。以統一框架生態為基礎，各方將得以從現有技術路線競爭態勢中脫離出來，集中自身優勢資源，全力促進先進技術的迭代更新和商業價值的快速增長，并為上層算法市場提供更多樣化的產品

20、和增值服務。2.行業級互聯互通實現思路 根據當前業界隱私計算技術發展及互聯互通工作開展情況，行業級互聯互通工作可結合“自下而上”和“自上而下”兩條線進行推進實施?？傮w而言，宜按照“自下而上”思路以多方協作聯合實踐的方式推動互聯互通框架和規范制定，以及按照“自上而下”思路從中立性組織和開源社區層面助推互聯互通規范實際落地和產業生態建設。具體推進方式上，可通過以下三條路線的形式分頭推進：依托中立組織開展多方合作：依托中立組織開展多方合作：互聯互通之所以難，不僅難在技術層面的問題，更是難在合作開放過程中各平臺之間的規則兼容、責任匹配和金融業隱私計算互聯互通技術研究報告 10 利益協同?；诖?，需要有

21、一個能夠秉持中立立場、具有一定行業影響力的中立組織機構來牽頭組織互聯互通工作推進。該機構既要能夠客觀看待各類隱私計算技術，還要能夠及時把握產業發展趨勢，跟進監管方要求，并在最小代價前提下實現技術發展、規則制定和各方利益的有效權衡?！皩嵺`“實踐+標準”雙輪驅動：標準”雙輪驅動：互聯互通最后一步需要產業各方精誠協作、合力共進。其中，各方宜采用“實踐+標準”雙輪驅動模式開展互聯互通框架建設，不僅要從產業發展的高度開展行業統一標準制定，更要從泛行業支撐的角度開展跨平臺多方實踐。標準和實踐兩者齊頭并進，相輔相成，缺一不可。開放透明，合作共贏：開放透明，合作共贏：互聯互通離不開規范的開放透明，只有將使用隱

22、私計算技術的門檻降低，才能真正實現數據要素的流通。隱私計算的開放協同能夠有效提升各大主流異構平臺之間的兼容性和協同性，一方面有利于整合各方力量，節省重復性技術資源投入，聚合各自生態資源和擴大各自項目影響；另一方面也有助于加快基礎設施建設，打通隱私計算產業生態，促進數據流通場景商業閉環構建，并最終助力實現跨行業數據協作共贏。3.金科聯盟互聯互通課題組織 北京金融科技產業聯盟數據專委會于 2022 年初開始布局金融行業異構隱私計算平臺互聯互通技術規范 金融業隱私計算互聯互通技術研究報告兩項重點課題（統稱為“課題”），提出加快隱私計算互聯互通統一框架建設，制定可落地互聯互通技術規范和實現方案，以及推

23、動產業各方開展基于主流隱私計算產品的互聯互通可行性驗證（見圖 2）。課題金融業隱私計算互聯互通技術研究報告 11 以團體標準和研究報告作為主要產出。圖2 金科聯盟互聯互通課題組織架構圖 課題自提出以來受到產業各方的普遍關注和廣泛認可，并于 2022 年4 月正式獲批立項，由中國銀聯牽頭，主要商業銀行在內的金融機構、科技公司、互聯網機構、電信運營商、檢測機構、開源社區等 50 余家單位共同參與。主要參與單位名單如表 1 所示：表1 金科聯盟互聯互通課題參與單位名單（按拼音首字母排序）北京金融科技產業聯盟秘書處 北京百度網訊科技有限公司 北京八分量信息科技有限公司 北京沖量在線科技有限公司 北京火

24、山引擎科技有限公司 北京數牘科技有限公司 北京銀聯金卡科技有限公司 北京原語科技有限公司 成方金融信息技術服務有限公司 度小滿科技（北京）有限公司 復旦大學 光大科技有限公司 海光信息技術股份有限公司 杭州趣鏈科技有限公司 華控清交信息科技（北京）有限公司 華為技術有限公司 華夏銀行股份有限公司 建信金融科技有限責任公司 交通銀行股份有限公司 金融信息化研究所 京東科技信息技術有限公司 藍象智聯（杭州）科技有限公司 聯易融數字科技集團有限公司 螞蟻科技集團股份有限公司 金融業隱私計算互聯互通技術研究報告 12 上海富數科技有限公司 上海光之樹科技有限公司 上海浦東發展銀行股份有限公司 上海榮數

25、信息技術有限公司 神譜科技（上海）有限公司 深圳前海微眾銀行股份有限公司 深圳市洞見智慧科技有限公司 深圳壹賬通智能科技有限公司 深圳致星科技有限公司 深圳微言科技有限責任公司 神州融安數字科技（北京）有限公司 騰訊云計算（北京）有限責任公司 同盾科技有限公司 興業銀行股份有限公司 銀聯商務股份有限公司 招商銀行股份有限公司 浙商銀行股份有限公司 中國電信股份有限公司 中國工商銀行股份有限公司 中國民生銀行股份有限公司 中國農業銀行股份有限公司 中國銀行股份有限公司 中國銀聯股份有限公司 中國郵政儲蓄銀行股份有限公司 中金金融認證中心有限公司 中國信息通信研究院 中國移動股份有限公司 課題以金

26、科聯盟平臺為依托，以“安全互通、兼容開放、生態共“安全互通、兼容開放、生態共榮”基本原則榮”基本原則為宗旨，積極拉通產業各方共識，在充分考量行業各方訴求的基礎上，共同制定金融行業互聯互通統一框架及實現方案；同時還將進一步借助和發揮各家單位技術特長，以“機構+廠商”牽頭合作模式開展互聯互通關鍵技術點研究攻關，群策群力，并在更大范圍內推動跨平臺互通場景探索和可行性驗證，確?；ヂ摶ネǚ桨负鸵幏兜目陕涞?、可評估和可檢測。在金科聯盟及數據專委會、50余家參與機構的共同努力下，當前課題已取得階段性進展，本報告即是當前課題的重要成果之一。金融業隱私計算互聯互通技術研究報告 13 二、金融業隱私計算互聯互通框

27、架設計 遵循第一章所闡述行業級互聯互通內涵及實現思路，課題組啟動了互聯互通框架設計工作。在針對業界各方需求及技術影響因素開展大量調研工作的基礎上，課題組梳理了互聯互通框架設計的考量因素，并研制形成一套中立、兼容、安全、可行的行業級互聯互通框架，為行業級互聯互通的實際落地奠定了堅實基礎。（一）（一）框架設計考量因素框架設計考量因素 1.行業需求因素 行業級互聯互通需兼顧產業參與各方訴求，包括商業化多樣性、應用可落地性以及數據安全可監管性。為保證各方訴求內容的完整性，課題組前期聯合金融機構、科技公司、檢測機構、監管機構等類別的參與單位進行了深入的溝通和調研，進一步梳理明確了各方對于互聯互通的主要訴

28、求。大致如下：（1）金融機構主要訴求：避免煙囪化部署：盡可能僅部署一套系統底座，減少管理成本，降低系統安全風險；數據流動安全可控：互通后隱私計算系統的執行過程以及數據流動需要具備一定的透明性和組合可替換性。（2）科技公司主要訴求：減少準入開銷：能夠減少針對準入產品的重復安全測試開銷；金融業隱私計算互聯互通技術研究報告 14 給予多樣性空間：互聯互通規范不要過多限制產品自由度，為特色功能與特性優化留有空間；保護商業利益：增強互聯互通商業利益保障，尤其是商業算法與開源算法的知識產權保護，同時希望在互聯互通發展呈現規模效應后能夠盡快形成良性的市場拓展態勢。（3）檢測機構主要訴求：需要有成型的互聯互通

29、技術檢測框架體系；隱私計算的檢測應更有針對性與專業性；在互聯互通框架的基礎之上能夠形成良性的互聯互通生態。（4）監管機構主要訴求：加快重點領域金融數字化轉型標準制定，助力金融基礎設施互聯互通；跨機構、跨地域、跨行業數據資源有序共享，提升數據要素資源配置效率；充分釋放數據要素潛能。2.技術實現因素 技術實現因素考量方面，考慮到隱私計算技術正在快速演變過程中，很難一步到位地實現全技術互聯互通，因此，擬采取從最小必要設計到深化實現的分階段方式來逐步推動隱私計算互聯互通工作。第一階段為本課題主要落實工作，主要思路是實現系統架構級的最小必要互聯互通系統架構級的最小必要互聯互通，即對隱私計算系統各層級進行

30、合理解析，再對各層的關鍵應用程序編程接口（API，如圖3中高亮色所展示部分）進行規范化與標準化（在盡可能不干金融業隱私計算互聯互通技術研究報告 15 涉隱私計算系統層級的情況下為接口外各層級模塊的靈活實現預留空間），做到規范化標準化與多樣性兼容性之間的有效平衡；下一階段將在本階段實現框架級互通的基礎上繼續推動包括算法、算力和應用在內更深層次的互聯互通工作。本課題也將同步圍繞異構算法互通開展一些初步探索，為后續互聯互通技術研究提供更好支撐。圖3 框架級互通接口標準化設計示意圖 總體而言，主要涉及如下幾項關鍵設計考量：最小必要原則。最小必要原則。從互通的角度，互通規范僅需定義節點、資源、任務、算法

31、等最小必要的元素，其他涉及產品化的元素（例如租戶、用戶體系等）不在互聯互通的探討范圍之內?；ネǖ姆烙约僭O?；ネǖ姆烙约僭O。由于互聯互通對端節點內部實現邏輯并非完全可控，故除了遵循所定義的接口外，還需要在流程處理上預留一定的安全冗余，以安全地適配各種可能的接口調用；在互通授權策略設計上，需要充分考慮策略定義的合理性，做到盡可能的通用和靈活，并通過機制保障資源能夠得到受控訪問。架構解耦。架構解耦。隱私計算的架構解耦有兩個層次，一是框架底座與隱私計算算法的解耦，二是在隱私計算算法中應用算法和安全算子解耦。金融業隱私計算互聯互通技術研究報告 16 安全可控。安全可控。安全算子作為隱私計算最核心的一

32、部分，其安全性至關重要，可通過與應用算法解耦的方式來實現安全可控：一是通過解耦使安全算子可替換，使得合作方在不信任某個安全算子的實現時，僅需替換為另一個符合安全算子 API 定義且己方信任的安全算子實現，而不對上層應用算法的正常運行造成影響；二是解耦后的安全算子 API 是標準化的，因此數據的流動可以更有效地被追蹤分析（例如可采用服務網格追蹤等方法進行追蹤）。在這兩點特性共同作用下，互聯互通機制的安全性將得以大幅提升。（二）（二）總體框架設計總體框架設計 基于上述考量點分析，本課題創新提出了基于“管理面與數據面切分，管理面分模塊定義，數據面逐步解耦”核心理念的隱私計算互聯互通總體框架方案（如圖

33、 4 所示）。圖4 隱私計算互聯互通框架圖 其中，最重要的一個設計思路就是管理面和數據面的切分：管理面和數據面的切分：金融業隱私計算互聯互通技術研究報告 17 1）管理面主要負責各隱私計算元素的互通（包括節點、算法組件、項目、任務等元素信息的互通同步），以及其中關于資源審批授權流程的交互；2）數據面是真正執行隱私計算算法的部分。根據前期需求調研情況，各機構普遍希望僅部署一個隱私計算框架底座，對于各類功能算法則可以通過加載各異的算法組件來實現。初期算法組件可以以一個整體打包的算法容器的形式存在，隨著互通程度逐漸地深化，將逐漸解耦成本章第（一）節中所提到的安全算子與應用算法相分離的形態。其中，安全

34、算子包括同態加密、秘密分享、不經意傳輸、混淆電路等，應用算法包括隱私求交（PSI）、邏輯回歸（LR）、極端梯度提升樹（XGB）、匿蹤查詢等；安全算子和應用算法間的安全API主要涉及對安全算子的功能性操作，如加乘比較、向量運算以及衍生運算等；傳輸層API則包括發送、接收以及異步的傳輸等。上述所提及兩層API的規范化，是本課題所涉互聯互通框架著力希望突破的點，這對于提升隱私計算互通算法運行過程的可控性具有重要意義。3）在管理面與數據面之間，僅有作業任務和策略權限的配置定義會涉及兩個面的耦合，其他管理面元素及流程調度相關的規范化定義原則上都可以分開進行，如此將得以實現最大程度的解耦化。（三）（三）框

35、架組成解析框架組成解析 互聯互通框架定義僅是基礎，要想切實推動框架落地，還要從更細粒度去分析各框架模塊的組成細節，以確認各模塊所涉相關技術實現金融業隱私計算互聯互通技術研究報告 18 點?；诖?，可對上述總體框架作進一步的解析，并拆分成如圖5所示的層次。圖5 互聯互通總體框架解析圖 1）管理面相對較為簡單，由于管理面僅涉及管理層間交互，因此管理面的關注點在于管理層間協作信息同步及相關資源的授權。2）數據面相對較為復雜，包括流程調度、算法容器加載及對外傳輸信息的傳輸層三大部分。其中，算法容器還可再細分為應用算法層和安全算子層兩層。對于跨平臺互聯互通而言，最理想的方式是能夠統一定義其間所有異構隱私

36、計算平臺間的API，即將圖5中水平圓筒狀的API都進行標準化定義。就當前業界的整體發展水平而言，管理層、調度層和傳輸層這三層異構隱私計算平臺間（東西向）的API標準化是相對可行的，至于隱私計算算法層面在東西向的API則難以通過一致性抽象的方式來形成標準化定義。為金融業隱私計算互聯互通技術研究報告 19 此，本課題將轉換一種思路，通過采用隱私計算平臺層次間通信調用（南北向）接口定義替代東西向的接口定義的方式來解決算法層面各模塊對齊的問題；如此，僅需要在應用算法層和安全算子層間以及在算法層和傳輸層間各定義一層接口（圖4中高亮色圓柱形接口），即可實現一個初步版本的互聯互通（與東西向接口相比，這兩層南

37、北向接口所需實現的功能是相對清晰也更易于定義）。在圖 5 基礎上，還需要進一步結合互聯互通框架底座（如圖 6 數據面藍綠顏色模塊標注）才能形成完整的互聯互通框架。該底座宜包括流程調度模塊、計算引擎、存儲引擎、日志存儲模塊、機密計算模塊、算法容器加載模塊等偏系統與功能級的模塊。一般而言，隱私計算互聯互通的實現會更多地關注到算法容器和部分偏系統級模塊的接口定義，如計算、存儲、日志、度量等一些接口。此外，可信執行環境（TEE）作為當前隱私計算三大路線之一，也將會涉及異構 TEE 系統之間的互聯互通問題，故底座系統模塊還可能配置有基于 TEE 技術的機密計算模塊。金融業隱私計算互聯互通技術研究報告 2

38、0 圖6 互聯互通研究點分解 綜上，上述互聯互通框架可以分解成“管理面元素與接口研究”“流程調度接口與算法容器加載研究”“安全算子接口與服務化研究”“傳輸接口與報文研究”“異構算法協議研究”“TEE 互聯互通技術研究”等六個研究點。為切實推動互聯互通框架落地，本課題已組織各參與單位按照子課題的形式有序開展上述研究板塊的研究驗證工作，并在第三章中予以詳細闡述。（四）（四）框框架功能特色架功能特色 由上述的分析，本課題所提出的互聯互通框架具備如下的特點：全面覆蓋隱私計算的主流技術路線，兼容多方安全計算（MPC）、聯邦學習以及可信執行環境（TEE）各主要技術路線。管理面與數據面低耦合切分，整體互通架

39、構更為清晰。金融業隱私計算互聯互通技術研究報告 21 算法與框架底座解耦，借助靈活的算法可插拔式設計，實現可行性高。應用算法與安全算子解耦，著重體現隱私計算的安全屬性，有助于從機制層面增強互通隱私算法的安全可控。各層的解耦以及標準化，有利于形成隱私計算的良性生態。金融業隱私計算互聯互通技術研究報告 22 三、互聯互通技術分解研究 依照第二章設計，互聯互通將分解成“管理面元素與接口研究”“流程調度接口與算法容器加載研究”“安全算子接口與服務化研究”“傳輸接口與報文研究”“異構算法協議研究”“TEE 互聯互通技術研究”等六個部分。在課題組織工作中，這六部分以子課題的形式進行推進，各子課題牽頭單位及

40、參與單位如表 2 所示：表2 互聯互通牽頭單位及參與單位簡稱名單（按子課題貢獻度排序）子課題名稱 牽頭單位 參與單位 管理面元素與接口研究 招商銀行、浦發銀行 富數科技、藍象智聯 工商銀行、中國銀行、光大科技、興業銀行、浙商銀行、交通銀行、度小滿、螞蟻集團、洞見智慧、融安數科、光之樹、神譜科技、中國移動、同盾科技、數牘科技、中國銀聯 流程調度接口與算法容器加載研究 浦發銀行、富數科技 洞見智慧、百度網訊 微眾銀行 中國銀行、華控清交、藍象智聯、度小滿、螞蟻集團、融安數科、八分量、同盾科技、中國銀聯 安全算子接口與服務化研究 藍象智聯、洞見智慧 工商銀行、中國銀行、浦發銀行、招商銀行、BCTC、

41、華控清交、神譜科技、聯易融、度小滿、螞蟻集團、富數科技、融安數科、華為、同盾科技、中國銀聯 傳輸接口與報文研究 光大科技、藍象智聯 成方金信、中國銀行、浦發銀行、微眾銀行、華控清交、度小滿、螞蟻集團、洞見智慧、富數科技、同盾科技、數牘科技、壹賬通、百度網訊、中國銀聯 異構算法協議研究 螞蟻集團 工商銀行、農業銀行、浦發銀行、招商銀行、浙商銀行、華控清交、神譜科技、洞見智慧、壹賬通、聯易融、富數科技、同盾科技、華為、中國電信、中國銀聯 金融業隱私計算互聯互通技術研究報告 23 TEE 互聯互通技術研究 工商銀行、螞蟻集團 成方金信、農業銀行、浦發銀行、招商銀行、沖量在線、百度網訊、富數科技、壹賬

42、通、光之樹、致星科技、同盾科技、中國電信、中國移動、海光、中國銀聯 本章將介紹各子課題的主要研究內容與思路，第四章將著重闡述其中所涉及關鍵技術點的研究成果。（一）（一）管理面元素與接口研究管理面元素與接口研究 1.概述 在互聯互通當前面臨的難點中，如何在不同平臺的應用層達成管理功能互通，安全可控地實現資源同步，是后續異構平臺協同隱私計算任務的前提和基礎。一個完整的隱私計算平臺，除了核心算法外，還包括節點發現、資源授權、項目管理、流程編排等控制管理功能，不同平臺的管理層架構也因各自的設計思路和業務側重不同而存在差異，因此，跨異構平臺執行隱私計算任務，就必須先打通基礎環節的管理功能。管理面元素與接

43、口研究，是在充分考慮各技術平臺差異的前提下，對隱私計算平臺的基本元素、各級資源的授權流程及支撐授權流程的 API 接口進行標準化定義，從而對互聯互通的隱私計算平臺內外部各元素進行協調管控，實現管理層級的互聯互通。2.研究目標 管理面元素與接口研究旨在形成一套行業認可的、規范統一的管理面元素與接口定義規范，為隱私計算產品的管理功能設計及管理層級互通提供參考模式，實現節點管理、數據管理、項目管理、流程管理、作業管理、金融業隱私計算互聯互通技術研究報告 24 組件管理等操作，繼而實現安全可控的跨平臺互通協作，使不同異構平臺能夠協作完成相同的隱私計算任務。3.研究內容 管理面元素與接口包括以下幾個方面

44、的研究內容：(1)規范管理面基本元素。規范管理面基本元素。從異構平臺互聯互通出發，對最小必要的實體元素進行抽象和定義。(2)設計管理面互通流程。設計管理面互通流程。分層級依次對節點互通、數據互通、項目互通、流程互通、組件互通等節點間資源授權步驟進行定義，確保相應權限得到有效管控，安全性得到有效保證。(3)制定流程有向無環圖（制定流程有向無環圖（DAGDAG）及作業配置（）及作業配置（CONFCONF）通用結構。）通用結構?？紤]不同平臺間協同計算的兼容問題、標準化流程DAG及作業CONF結構，支撐數據平面對計算資源進行統一調度。(4)制定管理面互聯互通服務接口標準。制定管理面互聯互通服務接口標準

45、?；诠芾砻婊ネ鞒?，分模塊定義互通服務接口，充分考慮安全性、必要性、普適性、開放性、易用性，完成管理面互聯互通服務接口設計和定稿。4.設計原則 考慮到隱私計算技術產品之間存在較大的差異的現狀，互聯互通不能要求所有平臺同質化、統一化，需要在保證各平臺的獨立性、完整性和安全性的基礎上對實現互聯互通的最基礎環節求同存異。因而，管理面互聯互通的架構設計應滿足以下特性：最小必要：在滿足功能要求的前提下，抽象出各隱私計算平臺通用的管理面元素最小必要單元，簡化跨平臺交換信息，平臺內部的擴展元素金融業隱私計算互聯互通技術研究報告 25 獨立管理，在保證平臺獨立、功能完整、策略安全的前提下，實現最基礎環節的求

46、同存異。一致性：管理面互聯互通基于通用、規范的接口和互聯協議，進行跨平臺的互聯和同步操作，應能保障各層級資源信息在建立互聯的平臺間的最終一致性。安全可控：不同平臺間的協同、交互應通過統一的安全策略、認證與授權機制等保障各層級資源安全互聯。由于不同技術平臺對資源的授權管控粒度存在差異，建立多方之間的資源授權時，應提供靈活的安全策略，避免多方安全策略上的耦合。靈活兼容：管理面互聯互通應充分考慮當前隱私計算平臺的技術架構與業務架構差異，兼容各類隱私計算平臺，支持各平臺靈活加入或退出，并可隨技術發展適配更多新的隱私計算平臺架構，具備可擴展性。5.研究思路 金融行業隱私計算互聯互通總體框架中，將管理面與

47、數據面拆分解耦，讓管理面聚焦于節點、數據、項目、流程、作業配置、組件等各層級資源的靜態協同，而數據面關注作業運行時的動態協同。管理面元素與接口研究的實現路徑從“提煉最小必要元素-分層次定義互聯協議”的思路出發進行研究討論：統一的概念模型是實現管理面互聯互通的基礎，本子課題圍繞“自底向上、分層解耦、最小必要”抽象出一套隱私計算對象基本模型規范，包括節點、數據集、項目、流程、作業、任務、組件、模型八大基本元素實體；將元素實體看成不同層次的資源，以統一的平臺間通信要求為基礎，進一步約定各層次資源在發現、申請、金融業隱私計算互聯互通技術研究報告 26 授權、同步等環節的規范流程和要求；適配調度層通用設

48、計，對流程中的組件編排和作業的參數配置這兩個具體計算執行時依賴的靜態描述信息進行統一規范（見圖 7）。另外，管理面互聯互通必須建立在安全底座上，互聯協議中各開放接口的調用需要滿足接口鑒權的安全要求。圖7 管理面元素與接口研究架構圖（二）（二）流程調度接口與算法容器加載研究流程調度接口與算法容器加載研究 1.概述 本子課題主要包含兩大內容，分別是隱私計算過程中流程調度接口的設計以及隱私計算算法容器加載的研究，是整個隱私計算互聯互通技術研究的核心部分。在流程調度方面，由于隱私計算是一個涉及雙方數據協同的運算過程，金融業隱私計算互聯互通技術研究報告 27 在互聯互通的過程中會涉及雙方網絡傳輸以及異步

49、運算等關鍵步驟，網絡延遲或者計算資源調度異常都會導致隱私計算任務等待或者失敗，因此在異構情況下，需要標準化的調度方案，使用標準化的作業與任務協同接口，來統一協調異構雙方隱私計算任務的執行。在算法容器加載方面，算法是隱私計算的核心，而算法的加載就是使用標準化的接口或方式來管理異構算法，其實現方式決定了算法的可擴展性和易擴展性，并且其設計方式也會影響到算法的執行效率。因此，我們需要制定統一的算法鏡像構建標準與接口并定義一套規范的鏡像加載機制與流程，從而保證整個算法容器加載過程的安全、高效及高可用。2.研究目標 本子課題研究旨在形成一套行業認可、規范統一的作業調度與算法容器加載流程以及對應的鏡像構建

50、標準與接口定義規范，為隱私計算產品作業運行過程中調度方對作業與任務的控制與任務組件的加載過程提供參考模式，實現作業調度控制、任務調度控制、組件注冊發現、容器管理與加載等操作，從而實現安全可控的跨平臺互通作業運行，使不同異構平臺能夠協作完成相同的隱私計算任務。3.研究內容 本子課題包括下面幾個方面的研究內容：(1)研究標準化作業及任務的核心調度流程，確定調度面的基本要研究標準化作業及任務的核心調度流程，確定調度面的基本要素及相互關系，定義節點內及節點間調度面的核心流程。素及相互關系，定義節點內及節點間調度面的核心流程?；驹貐⒖紴椋簲祿?、模型、作業、任務等；核心流程參考為：數據集加載、模型加

51、載、作業運行、作業重跑、任務運行、任務重跑等。金融業隱私計算互聯互通技術研究報告 28 (2)標準化設計作業及任務的調度和管理接口。標準化設計作業及任務的調度和管理接口。描述作業及任務調度加載通信資源、計算資源和存儲資源的標準形式。(3)研究算法容器鏡像加載機制與安全性驗證機制。研究算法容器鏡像加載機制與安全性驗證機制。對標準算法鏡像進行約定（其中包括：鏡像名稱、版本、必要目錄結構、必選的參數定義、標簽信息等）。(4)規范算法容器加載流程。規范算法容器加載流程。根據該流程設計標準化的算法容器接口。(5)構建算法容器加載機制與流程調度的實驗案例。構建算法容器加載機制與流程調度的實驗案例。以此驗證

52、課題可行性。(6)系統接口研究與定義（可選）。系統接口研究與定義（可選）。定義算法容器與隱私計算底座之間所涉及的系統層面接口，包括分布式計算接口、硬件加速接口、存儲接口、日志與度量接口等。4.設計原則 現如今隱私計算行業內由于隱私計算技術的百花齊放，各家產品的作業調度系統及算法組件的加載方式都存在著較大的差異。若要求各家產品使用統一的調度系統以實現互聯互通，那么對各家而言改造技術難度大、工作量重，并且這樣的方式失去了技術多樣性，也不利于行業發展。因此，流程調度的互聯互通需要在保證各平臺的獨立性、完整性和安全性的前提下，對實現互聯互通的最基礎部分進行標準化定義與設計。綜上，流程調度與容器加載互聯

53、互通的架構設計應滿足以下特性。最小必要：在滿足基本作業調度功能的前提下，抽象出各隱私計算平臺作業調度流程中通用的最小必要實體，簡化整個流程調度與容器加載金融業隱私計算互聯互通技術研究報告 29 過程，僅對平臺間的接口進行定義與設計，而不深究各平臺內作業調度細節，在保證平臺獨立、功能完整的前提下，實現最基礎環節的求同存異。標準化：作業調度層面的互聯互通應基于標準化的作業流程調度過程、算法鏡像構建規范、組件注冊與發現機制，保證作業、任務、容器等運行信息在平臺間的一致性。安全可驗證：不同平臺構建的算法鏡像應滿足標準化的算法鏡像構建規范，滿足鏡像防篡改、漏洞掃描及鏡像簽名等安全驗證機制，保證算法鏡像的

54、安全可驗證性。靈活兼容：作業調度層面的互聯互通應充分考慮當前隱私計算平臺的技術架構差異性，兼容各類隱私計算平臺，并可隨技術發展適配更多新的隱私計算平臺架構，具備可擴展性。5.研究思路 流程調度與算法容器加載可拆分為調度核心流程設計與算法容器加載機制研究兩個部分，前者聚焦于隱私計算作業調度中的實體、過程及狀態變化的設計，后者則聚焦于作業中各組件的注冊發現與加載機制的研究（見圖 8）。金融業隱私計算互聯互通技術研究報告 30 圖8 流程調度與算法容器加載架構圖 流程調度與算法容器加載的實現路徑從隱私計算過程中作業的調度到作業中組件的加載這一思路出發進行研究討論：統一的概念模型是實現調度面互聯互通的

55、基礎，本子課題在“管理面元素與接口研究”子課題的基礎上進一步定義了流程、作業、任務、組件、資源 5 大基本調度面實體及實體屬性；根據統一的作業與任務狀態的定義與狀態間的轉換關系，本子課題設計了作業與任務的核心調度流程，并明確了作業與任務的生命周期；為了標準化算法容器組件的鏡像，課題制定了組件鏡像構建規范并設計了標準的組件加載管理機制與容器加載流程；課題還對組件的實例狀態、注冊發現流程、實現邏輯流程及管理服務流程進行了規范定義，以實現更完整、更統一、更兼容的算法容器加載過程。金融業隱私計算互聯互通技術研究報告 31 （三）（三）安全算子接口與服務化研究安全算子接口與服務化研究 1.概述 在互聯互

56、通的框架中，安全算子接口與服務化研究主要負責安全算子服務層的框架、功能、接口設計和實際應用場景的一些建設指南。鑒于互聯互通需要異構算法組件支持，使得不同架構的隱私計算平臺之間需要部署、使用多個異構算法組件才能實現互通。這些異構算法組件雖然實現原理不同，但是對于最小必要計算算子（例如：加解密運算、多方安全算子計算等）存在重復實現和不利于統籌管理等問題。本互聯互通設計將安全算子抽離出來形成安全算子服務層，由隱私計算平臺統一管理安全算子任務。該方案解耦了隱私計算算法與安全算子，并使用容器化的方式封裝，有利于安全算子在異構平臺間進行共享、管理、部署和使用。2.研究目標(1)設計通用的安全算子層框架與功

57、能接口。初期主要是對子課題的安全算子層進行框架設計、功能定義以及相關接口設計。設計階段中，應對實際應用場景服務的穩定性、安全性和計算的性能進行充分考慮，使得安全算子層能夠滿足實際場景下各種部署需求。(2)提出可落地方案的建設指南。在子課題的方案設計中針對不同類型的應用場景，總結出一些常用的部署方案，為后續的互聯互通實際落地提供建設性思路。(3)通過大量的測試案例驗證子課題的可行性。在初期設計階段完成后，后期針對子課題中的功能設計出對應的測試案例，測試目標主要包金融業隱私計算互聯互通技術研究報告 32 含功能、性能、安全三方面。功能方面主要是驗證定義的功能和接口能否滿足互聯互通的基本要求；性能方

58、面主要是驗證框架設計的方式對隱私計算任務計算效率的影響；安全方面主要是驗證安全算子容器化部署的安全性。3.研究內容 本子課題研究包括下面三個方面的內容：(1)研究安全算子服務化的架構。研究安全算子服務化的架構。結合整體互聯互通框架的需要，對算子服務化進行定義，并明確算子與算法的邊界；(2)制定安全算子服務接口標準。制定安全算子服務接口標準。充分考慮在安全性、普適性、開放性、易用性等方面的訴求，確立接口設計原則；(3)制定安全算子服務化能力建設指南。制定安全算子服務化能力建設指南。對技術難點深入分析，力求務實、有效地輸出有價值的建設建議和觀點。4.設計原則 職責明確：明確算子服務的功能范圍，適應

59、總體互聯互通架構，吸收行業經驗，謹慎論證和定義算子服務化的邊界。標準一致：定義統一的算子服務化接口，在保障各平臺功能層面的獨立性、先進性的基礎上，統一算子與其他模塊的交互操作，作為業內統一算子服務標準的基礎。安全可控：凸顯出算子的安全性，根據當下業內實際使用需要，控制算子的內容和范圍，滿足算子的安全原子性，為安全算子提供可控、可評估的安全保障。務實有效：提供切實有效的建設指南，在確保算子安全性前提下兼金融業隱私計算互聯互通技術研究報告 33 顧實際場景建設在算力資源、大數據處理、系統穩定性、高可用等多方面的差異化要求，提供具備伸縮性的算子服務系統技術建設指南。5.研究思路 本子課題是從互聯互通

60、中算法算子難以協商的問題以及 AI 技術與MPC 技術融合成本高的問題入手，提出了安全算子服務化的解決思路，并以金融行業異構隱私計算平臺項目為抓手，以“實踐+標準”的雙輪驅動方式推進，深入持續地開展研究工作（見圖 9），整體研究思路如下：(1)分析互聯互通和行業技術痛點，明確算子服務化的意義和價值；(2)提出安全算子服務化架構設想和安全算子服務接口，多方論證其兼顧性和合理性；(3)結合實踐驗證并提出安全算子服務化能力建設指南，以最佳實踐論證其可行性；(4)加速算子在業內的標準化進程，推動互聯互通的業態落地；(5)以標準化為基礎建立安全驗證方法，為安全評估降本增效。圖9 安全算子接口與服務化架構

61、圖 金融業隱私計算互聯互通技術研究報告 34 （四）（四）傳輸接口與報文研究傳輸接口與報文研究 1.概述 傳輸接口與報文研究，是在充分考慮各技術平臺差異的前提下，對平臺傳輸層的傳輸接口、傳輸協議、報文格式等進行標準化定義，從而為隱私計算平臺間的互聯互通提供底層的通信基礎。2.研究目標 本子課題擬提出能夠在異構的隱私計算平臺之間，建立一套能夠指導各隱私計算平臺算法和算子相互協作的傳輸規范，為隱私計算平臺間的傳輸層互通提供參考模式，并進一步規范傳輸接口、傳輸協議、報文結構等內容，繼而實現安全可控的跨平臺互通協作。3.研究內容 傳輸接口與報文子課題的研究內容包括：(1)設計組網結構。設計組網結構。研

62、究傳輸層的組網方式，包括傳輸主體的身份、組網的認證方式、網絡的拓撲結構；(2)分析安全問題。分析安全問題。研究包括傳輸安全與業務安全在內的相關問題，對傳輸數據提出安全需求，并規范跨平臺合作方識別、權限控制等業務內容；(3)規范標準傳輸規范標準傳輸 APIAPI。研究算法與算子調用傳輸的標準 API，以此規范算法和算子在通信編程上的方式，確保算法和算子在傳輸層面滿足可移植性；(4)統一標準傳輸協議。統一標準傳輸協議。研究當前隱私計算平臺主流的網絡傳輸模金融業隱私計算互聯互通技術研究報告 35 塊，以此建立節點間標準的網絡傳輸協議、通用報文編碼格式；(5)規范協議間轉換。規范協議間轉換。研究不同傳

63、輸協議間的轉換和實現；(6)夯實端到端傳輸。夯實端到端傳輸。研究端到端的通信鏈路網絡，確定全鏈路傳輸所需要的傳輸基礎設施形態和部署模式。4.設計原則 跨平臺互聯互通場景中的傳輸框架應滿足最小必要性、通用性和安全性要求：最小必要性：在滿足功能要求的前提下，抽象出各隱私計算平臺通用的傳輸層元素最小必要單元，在保證傳輸安全的前提下，實現底層通信環節的求同存異。通用性：通用性原則要求，在互聯互通場景下，傳輸框架應兼容市場中主流的傳輸協議與報文格式，并對算法與算子調用的傳輸 API 的最小化接口做出標準化規定。安全性：安全性原則又具體包括傳輸安全、業務安全。其中，傳輸安全是指通過采取必要措施，確保數據在

64、傳輸階段，處于有效保護和合法利用的狀態，滿足數據機密性、完整性、不可抵賴性等安全需求。具體針對網絡傳輸場景，則需要通過相關管理與技術手段，保障數據通過網絡傳輸過程中，可以有效地抵抗第三方通過網絡嗅探、數據包攔截、數據包篡改、數據包重放、身份偽造等手段破壞傳輸數據的安全需求；業務安全是指保護業務系統免受安全威脅的措施或手段，確保業務所提供的服務的安全，防范業務流程中出現風險，避免業務遭受割裂威脅或遭受經濟損失，保障整體業務邏輯的順暢。具體針對隱私計算互聯互通場景，業務安全主金融業隱私計算互聯互通技術研究報告 36 要包括跨平臺合作方識別、權限控制、安全漏洞防范等方面。5.研究思路 基于本子課題的

65、框架圖，如圖 10，并結合推進方式，我們將該子課題拆分為六個部分，分別為“標準傳輸 API”“標準傳輸協議”“協議間轉換”“組網結構”“安全問題分析”和“端到端傳輸”。其中“標準傳輸API”對應圖中算法算子模塊調用的傳輸層 API 的接口設計；“標準傳輸協議”和“協議間轉換”對應圖中隱私計算框架底座間的傳輸協議與報文格式的互通規范；圖 10 中以直連的組網結構為例，整個鏈路的傳輸是基于傳輸安全和業務安全得到保障的前提下進行。圖10 傳輸接口與報文研究的研究路線圖 為了規范算法算子調用傳輸層的接口標準，本子課題提供兩種接口調用模式，即同步調用和異步調用；在研究過程中，也啟發式地將緩沖機制納入標準

66、化范圍。為規范隱私計算平臺間的通信標準，本子課題提出了同/異步兼容的設計模式，并基于規范化的報文頭結構定義了標準報文傳輸格式。另一方面，本子課題還提供了一套協議間轉換的標準和要求，包括同步間協議轉換和異步間協議轉換。金融業隱私計算互聯互通技術研究報告 37 考慮到不同隱私計算平臺之間的連接方式，本子課題給出直連模式和路由轉接模式兩種基礎拓撲結構。對于傳輸層涉及的安全問題，本子課題將其拆分為傳輸安全和業務安全以分別討論研究。最后，本子課題也會提供端到端傳輸的常見模式，以供相關人員參考。（五）（五）異構算法協議研究異構算法協議研究 1.概述 異構平臺開放算法協議的互聯互通是指通過定義算法執行流程中

67、交互接口協議，再由平臺獨立開發算法來實現異構平臺間算法互通的模式。在一個多方安全計算或者聯邦學習的訓練任務中，由于同一種算法存在完全不同的算法流程思路，或者算法思路相同卻由于不同廠商通信框架及具體實現流程不同使得各方算法實現上存在較大差異，從而導致無法實現基于平臺自有算法的互聯互通。以基于同一算法不同算法流程的LR為例，雖然基于同態及秘密分享技術的LR（HESS-LR）與基于聯邦學習的LR（Hetero-LR）都是邏輯回歸算法，但在算法流程和細粒度的交互細節上是完全不同的。因此，即使是針對同一個算法開展互聯互通也是存在很大的挑戰。因此，基于開放算法的互聯互通研究是有價值的，它將能夠幫助我們更快

68、、更好地達到以下目標：(1)增加算法安全透明度，提升安全可信度。開放算法協議互通，本質的作用就是不再把算法流程、底層密態計算過程當作黑盒，而是把交互流程打開公開出來，以便不同廠商能夠根據這個要求進行實現和交互。金融業隱私計算互聯互通技術研究報告 38 對于隱私計算算法來說，核心的安全風險是在中間數據交互中的信息泄露，若這個交互的信息是被明確定義的，則算法的安全性將得到較好的保證。(2)降低算法容器的安全審核成本，提升了隱私計算業務合作效率?；谒惴ㄈ萜鲗崿F的互通模式，通常要求互通雙方底層是同構技術平臺，但在通過這種模式鏈接新數據源時，如果新數據源的底層技術引擎是來自不同的技術廠商，那么其中一方

69、需要引入另一方的技術引擎底座才能完成互通?？紤]到新技術引擎底座需要接觸數據源做開放算法通信交互，合作方往往出于數據保護的需要重新執行安全審核評估等流程，進而導致安全審核成本的增加及雙方合作效率的降低。(3)基于開放算法協議的互通協議允許異構平臺有自有的技術實現；若新數據源的技術平臺已經遵循開放算法協議，則無需再額外引入新的外部算法容器就可以完成互通，進而避免集成來自不同廠商的算法容器帶來的風險，縮短安全審核周期。例如，機構 Alice 部署了廠商 P 的隱私計算產品，機構 Bob 部署了廠商 Q 的隱私計算產品，如果機構 P 和 Q 都遵循了開放的算法互通協議，那么對 Alice 來說，不需要

70、重新審核廠商 Q 出品的技術產品，不需要再次進行復雜的安全審核等過程就可以直接鏈接上機構 Bob 的數據源，最終理想狀況有機會達到數十上百家不同技術產品互聯的效果，潛在可以鏈接的數據源數量和效率也將大幅提高，也有助于減少機構內部眾多不同廠商的算法包管理。(4)促進行業算法迭代與進步?；诋悩嬈脚_開放算法協議的互通，通過透明的算法交互設計，可以在明確出域信息安全性透明的前提下，對不同算法參與方的效果/性能進行直接驗證和評價。若合作過程中出現某金融業隱私計算互聯互通技術研究報告 39 一參與方性能成為瓶頸的情況，則業務方有更多理由、算法提供方也有更強動力去做算法優化，進而提升整體算法效果性能。2.

71、研究目標 本項研究旨在通過對異構平臺開放算法協議研究，嘗試探索一些可實踐可推行的基于開放算法協議的互通方案，以為后續更深層次的跨平臺互聯互通實踐落地帶來更多可能性。鑒于行業現狀和隱私計算算法的復雜性，本子課題并不試圖完成全部算法能力的通用互聯互通的定義，而更多通過一些具體案例給出異構互聯互通的參考路徑和思路。對于課題的研究目標計劃為：(1)所制定的標準協議是針對業界廣泛隱私計算公司認可的安全算法流程。例如 PSI 算法變種特別多，ECDH-PSI、KKRT16、SPOT19、Circuit-PSI、Labeled-PSI，算法分支種類特別多，而且每個算法的細節流程都不太一樣，但大多數廠商有能力

72、提供 ECDH-PSI 的實現。那么 PSI 將會選擇以 ECDH-PSI 作為標準來兼顧更多的廠商，而不是比較新的，或者剛發布出來的算法。再例如秘密分享較為廣泛使用的協議有 spdz-semi2k、ABY3 等，那也會考慮選擇一個更為常用的協議來擬訂。(2)算法范圍初定為常見的算法。由于開放算法協議的互通制定工作量會比較大，技術挑戰也比較大，一期目前暫定會聚焦在 PSI，特征工程算法 WOE,以及通用秘密分享協議可以支持的金融風控算法等。大多數情況下，不同計算方使用不同 MPC 算法協議是無法互通的。譬如做一個矩陣乘法，P 平臺用 SPDZ 協議做，Q 平臺用混淆電路協議做，此時兩者是無法互

73、通的，因為理論上不直接滿足互通可行性。雖然目前有金融業隱私計算互聯互通技術研究報告 40 混合協議（例如 ABY、ABY3 等），但是能互通的前提也是雙方同步在同一形態（例如雙方同時轉到 Arithmetic/Boolean/Yao 等）。異構算法的互通在理論層面還待更多的研究，本子課題也會嘗試做異構算法協議的數據轉換研究。3.研究內容 異構平臺的開放算法協議研究課題的研究內容包括以下幾個方面：(1)確定頭部要支持的算法以及不同流派算法的開發協議互通架構思路。異構平臺開放算法協議的關鍵技術難點之一在于隱私計算的算法種類繁多，工作量大，技術路線也繁多。例如聯邦學習和純多方安全計算的異構平臺開放協

74、議實現思路差別明顯。本子課題的關鍵之一在于要對隱私計算算法的眾多技術路線進行歸類并且提供設計原則。(2)確定頭部算法的握手流程，確定握手過程中開放互通必要的算法參數和安全超參標準。以 PSI 為例，譬如確定為 ECDH-PSI 流式算法，超參情況確認是否雙方都能得到交集結果，還是某一方得到結果。PSI 由于是專用 MPC 協議，適用性主要是 PSI 本身，而為了提升課題的通用性，目前計劃是通用協議和安全算子接口子課題一起。若 MPC 協議原語能通，并且上層安全算子接口也標準化，則未來所有的通用 MPC 下的應用算法（例如 SS-LR、SS-Pearson s R）能互通。而 ECDH-PSI，

75、或者 FedAVG 等已經廣泛使用的專有算法流程則單獨制定算法接口協議，具體開展上可以先以最小化支持為標準。協議內容將具備可擴展性，并且和語言弱耦合（例如不會將諸如 pickle 這類和 python 強相關的技術棧作為協議標準）。具體內容會比較細致，例如 PSI handshake 需要指明 PSI 算法，金融業隱私計算互聯互通技術研究報告 41 曲線類型（如約定各方都是 curve25519 等）需要明確批的大小，然后各自根據對方的信息進行響應。(3)原則上協議不對編程模式進行限定，但是本子課題會給出推薦的參考架構實現。在編程模式上，原則推薦支持異步化的 Actor 模式（大多數遠程過程調

76、用編程框架支持類 Actor 模式），計算和通信解耦，適合異構互通。本子課題不做強制限定，僅做協議內容的標準限定。(4)本子課題是研究性質課題，最后計劃產出選定算法的詳細開放算法關鍵步驟交互內容協議，比如握手流程，以及關鍵算法交互流程。這個協議會落在開源倉庫（repo）上，并且會在開源上給出異構語言的參考實現，在一到兩個算法上達到開放算法協議的互通。4.設計原則 考慮到隱私計算算法及實現的多樣性，需要保障各廠商的實現成本盡可能不要過高，在算法協議一致的基礎上還能留有一定的自主實現空間。因此，課題的設計的原則有：算法本地實現開放：在滿足開放算法協議一致的前提下，對于本地計算部分的實現原則上不約束

77、，對于不必要的流程不過度設計接口協議，從而希望給各參與平臺更大的自由度。支持算法和安全機制擴展：不同隱私計算路線下的算法都會支持一些公共的算法類參數，這類參數應當予以區分以便未來有新的隱私計算算法出現時，新技術能夠遵循和復用已有的算法類參數，方便上游的接入。同時，安全類參數比如橢圓曲線類型，同態類型等都需要可擴展，以便未來安全領域有新發展時，本子課題能夠快速擴展和適應。金融業隱私計算互聯互通技術研究報告 42 交互出域信息透明：開放算法協議原則上能更好地實現算法的安全性保障，是因為出域的信息是透明的，這也要求算法協議的設計與實現的安全性須得到保障。5.研究思路 異構平臺開放算法協議是在其他研究

78、課題的基礎上，進一步將算法的跨域傳輸內容進行公開透明化。面對異構平臺開放算法協議隱私計算的技術路線和算法種類繁多、工作量大的現狀，本子課題的關鍵之一在于要對隱私計算算法的眾多技術路線進行歸類并且提供設計原則。如圖 11 所示。圖11 異構平臺開放算法協議研究路線圖1 1名詞引用：Hetero LR4:https:/arxiv.org/abs/1711.10677 金融業隱私計算互聯互通技術研究報告 43 其中同構算法的實現需要雙方遵循一致性的隱私計算算法流程，核心在于對出域信息的協議指定。異構算法則沒有此限定要求。由于隱私計算流派眾多，即使是同構算法也會存在不同的技術路線。以聯邦學習為例，關鍵

79、子流程可采用半同態或者多方安全計算的方式來保護一些專有算法流程，也可以采用通用密態算法技術路線實現。對于專有算法流程技術路線，專有流程不一定總是聯邦學習的技術路線，也可能是 PSI、PIR 等專有 MPC 協議。對于通用密態協議技術路線，鑒于該協議由很明顯的密態協議層及密態協議之上的邏輯層兩部分組成，故需要對其進行分層處理，以滿足本子課題對未來新協議的擴展性。例如將輸入步驟通過分片全部代理到計算集群再由底層的通用密態協議具體負責算法流程的執行。為了較好分治不同技術路線的異構平臺互通，暫分為上述兩種方式進行處理，但目前來看這個分類不是絕對嚴格的，待未來有更復雜的處理時，可以進一步迭代更新該分類領

80、域。與此同時，由于隱私計算算法的發展非常迅速，不僅有新的算法協議在陸續發布，還有一些軟硬件結合的算法開始出現。因此，從長期技術發展與科研角度來看，開放算法協議的設計還有不少難點：算法定制工作量大。開放算法協議需要對算法內核進行打開設計，目前行業中對于隱私計算算法的實現有很多變種，若要滿足行業全部需 HESS LR5:https:/arxiv.org/abs/2008.08753 PCG-PSI6:https:/eprint.iacr.org/2022/334 Bark-OPRF PSI7:https:/eprint.iacr.org/2016/799.pdf SecureBoost8:http

81、s:/arxiv.org/abs/1901.08755 金融業隱私計算互聯互通技術研究報告 44 要，則可能要全部重新定義算法流程。這對于算法的研究開發而言難度很大，對于把創新算法作為重要知識產權的公司來說也是很大的挑戰。需定制完備的傳輸接口。為保障算法的正常運行，首先需要基于開放算法協議的算法，明確定義全流程通信傳輸接口與通信要求，防止出現接口缺失時無法實現算法正常運行使用的問題。算法設計需要具備良好擴展性。為了讓定義好的算法具備長期應用價值和可擴展性，算法設計時往往需要做到足夠兼容和拓展，以ECDH-PSI算法為例，不僅橢圓曲線有多種選擇，還要區分是國密或者非國密的，未來甚至還可能出現新的

82、更好性能的曲線。因此，一個好的算法設計應當具備較好的兼容性，從而實現更好的可插拔。因此，為更好適應隱私計算行業發展，本子課題將專注于定義算法協議通用流程與接口，對于異構算法協議將僅約束到網絡通信接口層面，而不去約束平臺內部實現協議。本子課題將在PSI、聯邦為主的專有算法流程，以及通用密態算法流程中分別選取典型代表在課題內進行細致的協議定制研究和討論。同時，課題也將嘗試對異構算法的互通思路進行探索和討論，以及嘗試選取實際的算法樣例對異構互通結構進行考察。后續，待研究足夠成熟時，再考慮進一步研究和細化具體協議定制流程。（六）（六）TEETEE 互聯互通技術研究互聯互通技術研究 1.概述 目前，業界

83、基于多方安全計算、聯邦學習的互聯互通技術研究工作正金融業隱私計算互聯互通技術研究報告 45 在逐步開展，但基于可信執行環境的互聯互通技術還處于起步探索階段。TEE 技術以基于硬件生成的可信任根為基礎，實現了對隱私數據完整性和安全性的全面保護，因其優異的性能和強大的可拓展性在政務、金融、運營商等眾多場景中得到了廣泛應用。隨著國內外 TEE 方案越來越多，眾多機構和企業都已經開始面臨不同架構 TEE 方案混合使用的情況，互聯互通的需求也隨著產業和應用的成熟逐漸增加。TEE 互聯互通技術研究致力于不同 TEE 方案之間互聯互通的實現方式，降低 TEE 技術在跨機構協作中的落地、可信應用開發和移植的成

84、本，提升 TEE 易用性，以方便更多用戶使用 TEE 技術。同時，TEE 互聯互通也是隱私計算互聯互通技術中不可或缺一部分，TEE 互聯互通能夠促進隱私計算互聯互通的發展，幫助 TEE 技術路線和其他技術路線融合。2.研究目標 TEE 互聯互通技術研究主要致力于探索如何屏蔽不同TEE技術架構和具體實現方案的底層細節差異，以實現基于異構 TEE 平臺的可信應用和系統之間的互聯互通。同時，TEE 互聯互通課題還希望通過研究不同 TEE 實現方案中共存的基本安全特性來總結提煉面向互聯互通 TEE 系統的基本安全要求和建議。3.研究內容 TEE 互聯互通課題以實現異構 TEE 應用系統互聯互通為目標，

85、圍繞如何抽象統一的遠程證明流程，基于遠程證明流程建立安全信道，規范安全信道上數據流通格式，以及規范 TEE 系統互聯互通基本安全要求四個方面展開。TEE 互聯互通課題主要包括以下四個方面的研究內容：金融業隱私計算互聯互通技術研究報告 46 （1 1）統一遠程認證流程規范）統一遠程認證流程規范。這部分主要研究如何對不同TEE方案的遠程證明相關接口、報告數據結構、校驗規則做規范化抽象。（2 2）統一的安全信道建立流程。）統一的安全信道建立流程。這部分主要研究如何把遠程證明流程和密鑰協商流程、TLS流程等相結合，建立安全信道，為實現不同TEE架構之間數據安全流通提供基礎。（3 3）統一的）統一的TE

86、ETEE應用系統數據流通格式。應用系統數據流通格式。這部分主要研究如何規范統一的TEE應用數據格式，實現數據層面不依賴TEE實現的、安全的、高效的互聯互通。（4 4）TEETEE系統互聯互通基本要求。系統互聯互通基本要求。這部分研究可信應用乃至計算系統在互聯互通前需滿足的基本安全要求。4.設計原則 考慮到 TEE 系統既具有 TEE 的獨特性，又具有通用系統的特點，建議TEE 互聯互通系統設計遵守以下基本安全原則：安全算法要求：TEE 應用中應該使用業界共識的安全的密碼學算法，并給出相關參考。遠程證明增強安全：互聯互通的雙方 TEE 平臺必須通過遠程證明校驗之后，才能信任運行在 TEE 中的可

87、信應用程序計算邏輯；必須結合遠程證明機制鑒別可信應用程序身份之后，才能授權操作或者安全通信。系統完整性安全：互聯互通的 TEE 平臺需利用可信啟動或安全啟動流程保證系統的完整性，利用已證明的可信內核和可信軟件組合需要的業務能力。安全運維輔助：互聯互通的 TEE 平臺需利用安全配置，安全審計、金融業隱私計算互聯互通技術研究報告 47 安全運維保證系統全流程和生命周期安全。5.研究思路 基于上述研究內容，提出如圖 12 所示異構 TEE 互聯互通架構模型：圖12 異構TEE互聯互通架構模型圖 框架層說明：異構體系結構：表明不同 TEE 實現方案的硬件體系結構基礎，從CPU 維度進行劃分?？尚艌绦协h

88、境：主要參考業內主流 TEE 方案體系，并基于不同路線TEE 技術方案選取具有代表性的 TEE 實現方案。目前在課題內驗證過的方金融業隱私計算互聯互通技術研究報告 48 案包括 Intel SGX、Huawei Kunpeng TrustZone、Ant Group HyperEnclave和 Hygon CSV 等。統一遠程證明：用于屏蔽不同 TEE 方案的遠程證明細節，為互聯互通提供基礎?；ヂ摶ネㄐ诺溃夯诮y一遠程證明，用于 TEE 系統之間互聯互通安全信道的建立。應用互聯互通：基于安全信道的應用層面互聯互通相關細節要求。其中應用管理流程以及服務規范參考第三章（一）管理面元素與接口研究、第

89、三章（四）傳輸接口與報文研究等章節內容。金融業隱私計算互聯互通技術研究報告 49 四、互聯互通關鍵技術點攻關 第三章提及的 6 項技術子課題在研究推進的過程中，對其中所涉及的關鍵問題進行了深入的探討與攻關，提煉形成了“管理面最小必要元素設計”“多方資源訪問控制協同策略”“DAG&CONF 的通用化設計”“流程調度互通設計”“組件容器化加載方案”“基于最小化約束的算法容器設計”“隱私計算安全算子服務設計”“傳輸層同步異步兼容設計”“異構平臺開放算法協議設計”“TEE 統一遠程證明流程設計”等 10 大關鍵技術點。表 3 列舉了互聯互通各項技術與關鍵技術點的對應關系。本章將對這些技術點的研究成果進

90、行匯總呈現。表 3 互聯互通各項技術及其對應關鍵技術點 互聯互通技術 互聯互通關鍵技術點 管理面元素與接口研究 管理面最小必要元素設計 多方資源訪問控制協同策略 DAG&CONF 的通用化設計 流程調度接口與算法容器加載研究 流程調度互通設計 組件容器化加載方案 基于最小約束的算法容器設計 安全算子接口與服務化研究 隱私計算安全算子服務設計 傳輸接口與報文研究 傳輸層同步異步兼容設計 異構算法協議研究 異構平臺開放算法協議設計 TEE 互聯互通技術研究 TEE 統一遠程證明流程設計 金融業隱私計算互聯互通技術研究報告 50 （一）（一）管理面最小必要元素設計管理面最小必要元素設計 隱私計算互聯

91、互通首先需要提煉出最小必要的實體元素，參與互聯互通的各參與方需要對齊這些實體元素的定義和數據結構?！肮芾砻媾c接口研究”子課題對各實體進行了定義，并對實體應具備的通用屬性形成共識，對與節點互通無關的個性化屬性不作限制。具體包括以下實體：節點（Node）：隱私計算生態中的抽象功能單元，用來指代由機構或組織部署的隱私計算平臺。數據集（Dataset）：可供參與隱私計算的數據資源。項目（Project）：面向特定目標的，提供一項獨特產品、服務或成果的隱私計算方案，該實體為可選項。組件（Component）：獨立執行隱私計算任務的模塊單元，其經過封裝、符合開放接口規范、可以完成某個特定計算或算法，可獨立

92、部署。流程（Flow）：采用 DAG 結構定義的、可編排的隱私計算作業運行模板。作業（Job）：一個隱私計算流程通過配置運行參數后的運行實例。任務（Task）：組件運行實例的載體，每個運行實例通過任務來管理。模型（Model）：指通過隱私計算技術訓練完成，可用于進一步推理的模型，或是已有的現成模型。結合上述實體定義，實體間的關系圖如圖 13 所示。首先，參與互聯互通合作的異構平臺作為節點加入互聯互通網絡，一個節點可以創建多個金融業隱私計算互聯互通技術研究報告 51 項目，每個項目中可能包含多個參與該互聯互通項目的多個節點，通過項目實體來統一管理項目中相關的節點、數據集和模型等資源，項目中多個合

93、作的節點可以創建多個流程，流程運行多次生成多個作業，不同作業可以按照“CONF 通用化設計”配置不同的運行時參數，一個作業可能由多個任務組成，任務承接作業中對應的運行時參數配置，每個任務通過調度底層組件對應的算法資源進而執行任務，生成模型、報告等隱私計算結果。其中，每個組件都是獨立的算法模塊，例如 PSI、LR 等，組件可以按照“DAG 通用化設計”提前配置調度順序、輸入輸出關系等，從而編排形成一個具有完整計算邏輯的流程，作業和任務按照 DAG 配置和 CONF 配置調度和運行相應資源，生成對應結果。金融業隱私計算互聯互通技術研究報告 52 圖 13 管理面最小必要元素關系圖 圍繞上述最小必要

94、元素，設計隱私計算互聯互通必需的管理操作包括：節點互通管理、數據集互通管理，項目互通管理、組件互通管理、流程互通管理、模型互通管理。(1)節點互通管理 節點互通管理流程約定不同隱私計算平臺間如何互相發現節點、建立合作、同步節點變更。節點互通管理相關操作可包括：節點簽約、節點金融業隱私計算互聯互通技術研究報告 53 解約、合作意向確認、合作意向查詢、節點信息查詢等。關鍵操作時序圖如圖 14 所示。圖14 節點互通關鍵操作時序圖(2)數據集互通管理 數據集互通管理流程約定不同隱私計算平臺間的如何互相發現數據資源、互相授權數據資源、解除授權。數據集互通管理相關操作包括：公開數據集列表查詢、公開數據集

95、明細查詢、數據集授權申請、數據集授權確認、數據集授權狀態查詢等。關鍵操作時序圖如圖 15 所示。金融業隱私計算互聯互通技術研究報告 54 圖15 數據集互通關鍵操作時序圖(3)項目互通管理 項目互通約定不同隱私計算平臺間的如何創建合作項目、同步項目信息。項目互通管理相關操作可包括：合作項目列表查詢、項目創建、項目信息查詢、項目狀態更新等。(4)組件互通管理 組件互通管理相關操作可包括：公開組件列表查詢、公開組件信息查詢、組件注冊、組件列表查詢、組件信息查詢、組件心跳?；?、組件健康檢查、組件參數驗證。關鍵操作時序圖如圖 16 所示。金融業隱私計算互聯互通技術研究報告 55 圖16 組件互通關鍵操

96、作時序圖(5)流程互通管理 流程互通管理相關操作可包括：流程審批、審批確認、審批狀態查詢、流程創建、流程更新、流程列表查詢、流程信息查詢、流程刪除。關鍵操作時序圖如圖 17 所示。圖17 流程互通關鍵操作時序圖 金融業隱私計算互聯互通技術研究報告 56 (6)模型互通管理 模型互通管理相關操作可包括：模型列表查詢、模型信息查詢等。（二）（二）多方資源訪問控制協同策略多方資源訪問控制協同策略 在互聯互通的情況下，各家廠商之間的平臺是異構化的：一方面，需要保障各廠商、各參與節點的安全策略彼此獨立；另一方面，又能建立一套有效的機制，各方之間能相互協同。此外，還要充分考慮各節點使用不同的安全策略、不同

97、資源訪問控制粒度上的靈活性，以及實施落地上的可操作性。在業內現有技術實現上，還未有能解決異構隱私計算平臺在資源訪問控制上的通用方法。對于各廠商現有實現方法中采用的資源訪問控制機制，主要依托特定廠商的隱私計算系統產品，通過在各節點間建立對等資源訪問控制的機制來實現。1.技術特點 創新性：形成異構隱私計算平臺之間多方資源訪問控制的有效方法；靈活性：面向隱私計算的各種資源訪問控制的策略可以靈活訂制；通用性：適用于異構隱私計算平臺互聯互通，適用于點對點、中心化的多種網絡結構，適用于雙方或多方間的安全控制策略；可維護性：可滿足安全需求的變化，提供安全策略的維護、升級、兼容能力；可實施性：對現有隱私計算平

98、臺具有較低的功能侵入性，對已部署節點在規范化資源訪問控制機制過程中，可通過靈活的安全策略，確保分金融業隱私計算互聯互通技術研究報告 57 階段實施過程中的兼容性問題。2.創新點 在隱私計算互聯互通的場景下，構建一個平臺節點間的資源訪問控制方法，主要技術創新點包括：在系統認證和資源分類的基礎上，通過對資源類型分級的方法，按資源等級分級授權；在鑒權中，各方都采用最高資源等級的憑證，實現安全策略的自動對齊，實現各節點安全策略的內聚，以此解耦多方節點間安全策略強關聯的問題；確保了計算執行階段能，能夠對資源訪問控制進行檢查；其松耦合的安全策略，實現異構隱私計算互聯互通中安全策略的多樣性，具備通用性、可維

99、護性、可擴展性。3.處理步驟(1)構建前提條件 1、本方案建立的前提是在隱私計算節點之間，已經完成節點間的網絡聯通和身份認證。2、基于隱私計算行業內的共識，對隱私計算系統所涉及的資源進行統一分類，包括節點、項目、數據集、流程、作業、任務、模型、組件八類資源。(2)構建授權關系 1、各節點內對資源進行描述，并對各類資源進行分級，各節點可獨立分級，無需多方統一。資源由三個字段進行描述，如下：金融業隱私計算互聯互通技術研究報告 58 ResourceType:資源類型，業內統一資源類型；ResourceID:資源 ID，各節點可獨立編碼；ResourceLevel:資源級別，各節點可獨立分級。各節點

100、可獨立定義資源分級，示例如表 4 所示：表 4 資源分級示例 級別 資源類型 1 節點 2 數據集、模型 3 項目 4 流程 5 作業 6 任務 2、在各資源持有方，建立獨立的安全策略，其資源訪問控制的授權、鑒權策略及處理，集中在資源所屬節點上，資源使用方不需要關注具體安全策略，根據安全訪問控制所需要的信息要素，形成標準化的憑證，在節點之間，傳遞標準的憑證即可。圖 18 描述了構建安全策略與通過安全策略授權的設計方法。安全策略是在資源與授權實體（資源使用節點）之間，建立實體對資源的訪問控制規則，具體的安全策略，資源持有節點可以自行定制，比如可以制定全局安全策略，分組安全策略，以及單個實體單獨制

101、定的安全策略，在建立資源與授權實體的關系后，在關系上加入限制條件，即可構建出具備資源訪問控制的安全策略。金融業隱私計算互聯互通技術研究報告 59 圖 18 安全策略設計示例圖 授權操作，由授權處理器完成，授權處理器是根據安全策略，產生一組憑證，分為授權憑證以及許可憑證，授權憑證保留在資源持有方，在鑒權時使用，許可憑證在授權過程中，由資源持有方發送給資源使用方，資源使用方在鑒權時，根據許可憑證，獲取資源訪問權限。對于各方之間傳遞的憑證，建立憑證的定義規范，以確保能夠在多方之間進行協同，憑證內容應包括以下信息：Token:用于核驗的令牌，頒發給資源使用方的唯一授權標識，與授權主體、資源綁定；Res

102、ourceLevel:資源等級；ResourceType:資源類型；ResourceId:資源 ID;ResourseNodeId:資源提供方的節點 ID，用于標識物理節點；金融業隱私計算互聯互通技術研究報告 60 ResourseInstId:資源提供方的機構 ID，用于標識實體身份；RequestNodeId:資源使用方的節點 ID，用于標識物理節點；RequestInstId:資源使用方的機構 ID，用于標識實體身份；TimeLimit:限制條件項，訪問時間限制，可選；TimesLimit:限制條件項，訪問次數限制，可選。3、在隱私計算平臺之間，由合作流程、授權、審批產生的授權關系，來建

103、立多方資源訪問控制憑證，資源所屬節點記錄并持有資源的授權憑證，資源使用節點記錄并持有授權許可憑證（見圖 19）。圖 19 多方之間建立資源授權關系流程圖(3)訪問鑒權 金融業隱私計算互聯互通技術研究報告 61 圖 20 多方之間資源訪問鑒權流程圖 1、多方資源在使用時，資源使用方根據上下文信息中所需要使用的外部資源信息，檢索出本地持有的最高資源等級的許可憑證最高資源等級的許可憑證，與資源使用請求一起發送給資源持有方（見圖 20）；2、資源持有方獲取資源使用請求后，根據請求中包含的資源信息，從本地檢索出最高資源等級的授權憑證最高資源等級的授權憑證，并與請求中的許可憑證進行核驗，通過資源級別的比對

104、，確保不存在縱向越權，通過資源檢索，確保不水平越權。3、資源持有方完成憑證的核驗，最后根據核驗結果進行訪問請求的許可判斷，如果核驗通過，則記錄會話與令牌的綁定關系。4、計算執行階段令牌有效性校驗，資源持有方在對任務的資源訪問完成授權后，在本地記錄任務所對應的會話 ID 和授權令牌。(4)與互聯互通架構結合 在異構隱私計算互聯互通技術研究中，業內對互聯互通架構提出了一個滿足行業互聯互通標準的分層架構方案，從上往下，分別是管理金融業隱私計算互聯互通技術研究報告 62 面，控制面和數據面。1、管理面對各實體的定義、實體應具備的通用屬性形成共識，并定義了各類資源實體的信息的交互和授權接口，以標準化的方

105、式，來滿足當前隱私計算資源信息層面互聯互通的標注流程。2、控制面標準化定義多方在作業、任務層面的協調機制和標準化接口，實現作業、任務在不同隱私計算平臺之間的協調。3、數據面是將要執行的算法算子組件以容器化的方式進行執行，以數據存儲、通信傳輸、安全算子方面的標準接口和模塊化設計，來實現計算層面的互聯互通。多方資源訪問控制機制，需要層管理面、控制面、數據面的三層一起實施，協調實現，圖 21 顯示了各模塊和層面的功能職責，以及整體的協調機制。圖 21 互聯互通分層架構下的資源訪問控制圖 金融業隱私計算互聯互通技術研究報告 63 如圖 21 所示，在管理面，需要由管理面建立資源的授權和許可關系，各方按

106、照管理面流程，以 token 的形式，對資源的授權和許可記錄進行登記?？刂泼婵刂谱鳂I和任務的啟動與執行，依托控制面接口的實現，對資源的方案完成鑒權，并根據控制面協調的任務編號，建立關聯會話編號（sessionId），在互聯互通架構中，各任務的執行以獨立的容器化進行，通過 sessionId 來確保多個任務同時執行時，多方之間建立正確的關聯。在數據面，以容器化的方式執行計算任務，使用 sessionId 保持不同參與方之間的建立會話。使用 token，再次進行令牌的有效性檢查，確保任務在執行階段資源訪問控制的有效性。（三）（三）DAG&CONFDAG&CONF 的通用化設計的通用化設計 1.DA

107、G&CONF 的通用化設計思路與原則 由于各家隱私計算產品的異構性，隱私作業的任務參數及任務流程的配置方法及形式也大相徑庭，這導致各家產品無法正確解析對方發送來的作業配置信息，從而無法保證互聯互通過程中隱私計算作業的正確運行。因此有必要形成一套業內統一且標準的作業配置以及作業流程的描述形式，來規避各家因作業配置的差異性而導致的互聯互通失敗。同時，由于各家產品中隱私計算算法的異構性，算法所需的輸入或輸出元素以及算法需要配置的參數具有顯著的區別。因此在對作業配置以及作業流程的描述形式進行通用化設計時應當盡量兼容各家產品，并滿足之后新算法參數的可拓展性。金融業隱私計算互聯互通技術研究報告 64 根據

108、上述原則，我們對互聯互通作業的流程 DAG 與配置 CONF 做出如下的通用化設計。2.DAG&CONF 的通用化設計參考實現(1)流程 DAG 定義 流程 DAG 是用來描述流程中組件依賴關系的語言，一旦流程確定則內容不變，DAG 的配置文件采用 JSON 格式，整個配置文件為一個 JSON 對象。DAG 模板結構如圖 22 所示。金融業隱私計算互聯互通技術研究報告 65 圖22 DAG模板結構圖 模板說明：模板說明：a.組件列表（components）component_name由建模人員自行定義，需在單個DAG中保證唯一，用于DAG中依賴關系的引用。component_code與comp

109、onent_version分別表示金融業隱私計算互聯互通技術研究報告 66 組件ID標識與組件版本，module_name表示組件使用的功能模塊，version表示當前DAG配置文件的版本。b.輸入（input）輸入數據由type:$type,key:$component_name.$key 表示，其中$type為輸入數據類型，例如training_data,model,report等數據類型，$key為DAG內的唯一數據引用標識，$component_name.$key表示對上游組件輸出數據的依賴。c.輸出（output）輸出數據由type:$type,key:$key表示，其中$type為

110、輸出數據類型，數據類型參考輸入配置項，$key為DAG內的唯一數據引用標識用于下游數據輸入的引用。(2)作業 CONF 定義 作業CONF用于設置各個參與方的信息，作業系統參數、運行時任務系統參數以及配置信息，CONF的配置文件采用JSON格式，整個配置文件為一個JSON對象。CONF模板結構如圖23所示。金融業隱私計算互聯互通技術研究報告 67 圖23 CONF模板結構圖 模板說明：模板說明：金融業隱私計算互聯互通技術研究報告 68 a.作業調度方（initiator）描述作業調度方的role和node_id。b.所有參與方信息（role）在role字段中，每一個元素代表一種角色以及承擔這個

111、角色的node_id。每個角色的 node_id以列表形式存在，因為一個任務可能涉及多個node擔任同一種角色。c.作業系統參數（job_params）配置作業運行時的主要系統參數，作業系統參數參考如下表所示，當系統參數應用于所有參與方時，使用common范圍標識符；僅應用于某參與方時，使用role范圍標識符，(role:)role_index（如role.guest0）用于定位被指定的參與方，直接指定的參數優先級高于common參數。作業系統參數建議包括：作業類型，如訓練作業train和預測作業predict 作業申請的總CPU核數上限 作業申請的總內存數上限 作業運行時任務狀態收集模式，如

112、主動上報模式callback與輪詢模式poll 模型id，當作業類型為predict時必選 模型version，當作業類型為predict時必選 d.任務系統參數以及配置信息（task_params）金融業隱私計算互聯互通技術研究報告 69 配置任務運行時的系統參數以及配置信息，任務系統參數參考如下表所示，不同組件的配置信息由組件自行定義。范圍標識符應用規則與作業相同。任務系統參數建議包括：任務申請的總CPU核數上限 任務申請的總內存數上限 任務超時時間，單位秒 任務失敗自動重試最大次數（四）（四）流程調度互通設計流程調度互通設計 在一個完整的隱私計算作業執行過程中，流程調度的目的在于將隱私計

113、算作業配置（DAG 格式）下發到各個參與方，在多個參與方之間協調資源、同步狀態，按照流程編排順序協同完成作業的執行。流程調度處在作業編排和作業執行之間，起到一個承上啟下的作用，因此在隱私計算行業內，不同平臺在流程調度上的設計也會因上下游組件的一些設計差異而各不相同。為了實現互聯互通的總體設計目標，本子課題在流程調度互通設計關鍵技術上，采用“概念抽象、共性打通”的思想，抽象出流程調度在設計模式上的共性，并將共性部分統一規范定義，僅約定作業調度執行最小必需的流程步驟，實現彼此打通。流程調度互通設計的方案由流程調度概念定義、流程調度時序設計和流程調度系統建設建議三個部分組成。流程調度概念定義，明確了

114、流程調度環節的名詞定義，并闡明了概念的作用范圍和含義。流程調度時序設計，對調度操作進行規范化定義，設計了簡明的作業參與方角色，金融業隱私計算互聯互通技術研究報告 70 約定了作業執行的全生命周期管理規范。流程調度系統擴展，在滿足流程調度互通需求之外，提供了隱私計算作業執行的擴展性建議。1.流程調度概念定義 隱私計算流程調度過程中的概念（或稱為實體）包含靜態和動態兩類，靜態的實體包括：組件、流程和資源，可以類比為面向對象編程中的“類（Class）”，動態的實體包括：作業、任務，可以類比為面向對象編程中的“對象（Object）”，是一個運行時的概念。2.流程調度時序設計 流程調度系統接收上層的作業

115、請求，協調各個參與方節點運行作業，通過將一個作業拆分成若干個任務，按照任務的組合順序來執行每一個任務。在任務被調度開始執行前，由每個任務的配置驅動，啟動對應的算法組件容器，實現隱私計算平臺對異構算法組件的調用。在流程調度環節，隱私計算參與方分為兩類角色（見表 5）：表5 流程調度隱私計算參與方角色 角色名 角色定義 調度方 負責協調所有參與方任務的角色，調度方可以為獨立的第三方節點，也可以為其中一個參與方節點，在任務創建時選擇對應節點來確定。參與方 通常代表一個隱私計算節點，在某個隱私計算任務中提供計算能力的角色。隱私計算作業執行必需的流程調度操作包括：創建作業、啟動作業、查詢作業狀態、停止作

116、業、任務回調、任務異常停止。金融業隱私計算互聯互通技術研究報告 71 (1)創建作業創建作業 由發起方創建作業配置，下發到調度方的流程調度層，流程調度層在接收到該作業后，將其分發給各個參與方的流程調度層。然后由調度方協調每個參與方節點，進行作業的下一步啟動運行（見圖 24）。圖24 創建作業關鍵操作時序圖(2)(2)啟動作業啟動作業 各個參與方接收到創建作業后，由調度方來協調各個參與方并發起啟動作業請求，每個參與方的調度層接收到該請求后，將作業拆分成若干個任務，然后將每個任務下發到對應的算法組件服務（見圖 25）。金融業隱私計算互聯互通技術研究報告 72 圖25 啟動作業關鍵操作時序圖(3)(

117、3)查詢作業狀態查詢作業狀態 由某個參與方發起作業狀態查詢請求，發送到調度方的流程調度層，調度方在接收到該請求后，向各個參與方發起查詢作業狀態的請求，然后匯總所有節點的作業狀態后，返回給請求的發起方（見圖 26）。圖26 查詢作業關鍵操作時序圖 金融業隱私計算互聯互通技術研究報告 73 (4)(4)停止作業停止作業 由某個參與方發起作業停止請求，發送到調度方的流程調度層，流程調度層在接收到該請求后，向各個參與方發起停止作業請求，每個參與方接收到停止作業請求后，向正在運行的任務所對應的算法組件發起停止任務請求，然后將作業停止結果返回給請求發起方（見圖 27）。圖27 停止作業關鍵操作時序圖(5)

118、(5)任務回調（任務回調（pollpoll）主動查詢（輪詢）方式的任務執行結果獲?。焊鱾€參與方在運行過程中將任務的狀態、運行的中間結果等等，通過回調的方式反饋給己方的流程調度層，然后由調度方向各個參與方主動查詢任務的回調結果（見圖28）。金融業隱私計算互聯互通技術研究報告 74 圖28 任務回調(poll)關鍵操作時序圖(6)(6)任務回調（任務回調（callbackcallback）被動等待回調方式的任務執行結果獲?。焊鱾€參與方在運行過程中將任務的狀態、運行的中間結果等，通過回調的方式，反饋給己方的流程調度層，然后主動推送任務的回調結果給調度方（見圖 29）。圖29 任務回調(callbac

119、k)關鍵操作時序圖 金融業隱私計算互聯互通技術研究報告 75 (7)(7)任務異常停止任務異常停止 當任務運行過程中，由于各種原因導致當前運行的任務失敗時，運行任務的算法組件將失敗的任務狀態同步給流程調度層，然后流程調度層再將該失敗狀態同步給調度方，然后由調度方再發起停止作業請求（見圖30）。圖30 任務異常停止關鍵操作時序圖 3.流程調度系統擴展 流程調度除了保障隱私計算作業的多參與方協同順利執行，在很大程度上也決定了作業執行的并行度、系統總體容量。因此平臺在滿足基本作業調度功能之外，建議可通過作業隊列、動態調度等機制實現隱私計算作業的高效執行。流程調度可以支持多種調度策略，如：FIFO、C

120、apacity、Fair、優先級保障等，滿足在生產應用時對調度策略的靈活要求。同時，流程調度作為作業執行的指揮官，需要保證系統的高可用性，通過分布式的子系統負金融業隱私計算互聯互通技術研究報告 76 載共同維護統一的調度服務能力，保證整體系統的穩定運行。（五）（五）組件容器化加載方案組件容器化加載方案 本子課題研究了組件容器化加載的詳細方案，提供標準化的組件容器加載流程和關鍵技術，提供統一的鏡像定義規范和組件名稱定義規范，最后給出組件實現和組件管理服務的詳細容器加載工作流程。1.組件容器加載整體設計 首先組件容器化加載的整體關系結構示意圖如圖 31 所示。圖31 組件容器化加載關系結構圖 與隱

121、私計算平臺相關的模塊包括：(1)component register and discovery service：組件注冊與發現。用于管理組實例的服務，提供組件的注冊和查找服務。組件實例啟動后進行注冊，實現算法服務發現和路由(2)schedule service：調度服務。對算法作業、任務進行調度 金融業隱私計算互聯互通技術研究報告 77 (3)container manager：容器管理器。對底層容器編排能力的封裝，接收調度服務的請求 注：上述各模塊是邏輯上的抽象，不對應具體的服務，物理形態不作限制。組件通過加載機制，將組件的鏡像加載成為組件實例，并將響應的接口注冊到注冊和發現服務上，供任務

122、進行調用。任務和組件實例之間，可以是多個任務對應一個組件實例，也可以是一對一形式。組件和任務的關系示意圖如圖 32 所示。圖32 組件和任務關系示意圖 其中組件鏡像（Component Image）指用于表示組件的打包后的容器鏡像文件。組件實例（Component Instance）指在加載和啟動后用于提供組件功能的進程或者服務。組件實例可以是常駐或者單次形態進行運行，但組件的工作流程和步驟都保持一致。金融業隱私計算互聯互通技術研究報告 78 常駐形態：組件經過加載后，形成組件實例將持續存在系統中，供一個或者多個任務來進行使用。組件啟動，可以在組件第一次使用時進行加載，或者在系統啟動時完成拉起

123、。組件停止，可以在系統停止時，或者根據空閑情況進行停止。單次形態：組件隨著任務的執行開始而啟動，隨著任務的執行完成而進行停止。下面進一步描述標準組件加載管理機制，由組件管理服務和組件支撐服務兩部分組成。標準組件全生命周期通過組件容器管理器進行管理。容器加載結構如圖 33 所示。圖 33 容器加載結構圖 其中：組件管理服務 Component Management Service：用于管理組件及其實例的服務。負責管理組件所運行的容器的管理，與容器平臺（例如，Docker，Swarm 和 Kubernetes）進行對接，完成容器的編排管理。金融業隱私計算互聯互通技術研究報告 79 組件支撐服務 C

124、omponent Support Service：用于向組件提供基礎操作能力的服務。用于對組件容器內所使用的功能，提供標準的服務接口。其會將基礎服務通過 unixfile 文件形式將基礎接口功能映射到容器內部并接收并響應組件所提供的請求。2.鏡像定義規范和組件名稱定義規范(1)鏡像定義規范如下：a.鏡像命名：基本格式為/:developer：組件的開發者，公司/組織名，如 fudata、baidu，建議由聯盟進行各家名稱的標準化 image-name：需體現組件的功能、分類等重點信息，如 hetero-lr（縱向邏輯回歸）、dh-psi（基于 DH 密鑰協商的 PSI）、fate-collec

125、tion（FATE 算法包）tag：版本號，遵循 major.minor.patch-state 規范（狀態是可選的），如 1.0.0、1.0.1-beta。鏡像一旦發布則不可更改 b.鏡像標簽：通過 LABEL k1=v1 k2=v2 的方式添加鍵值對，為鏡像提供更多的信息，具體含義需在對外文檔上說明 c.目錄結構：通過 Dockerfile WORKDIR 指定工作目錄，在鏡像標簽上指定日志目錄（見表 6-1）表 6-1 鏡像標簽信息 LABEL key 描述 log_dir 日志文件目錄，如/home/admin/app/logs d.網絡通信：金融業隱私計算互聯互通技術研究報告 80

126、TCP/IP socket：最常見方式，通過監聽端口來暴露內部服務。需指定端口使容器對外可訪問。在鏡像標簽里提供如表 6-2 所示信息：表6-2 鏡像標簽信息 LABEL key 描述 port 端口號，如 80 可能出現端口沖突問題，需要利用基礎設施（如 K8S）的能力來解決。Unix file（可選）：利用 Unix Domain Socket 技術，通過監聽本地 socket文件來暴露內部服務；訪問外部服務也是通過 socket文件。該方式可屏蔽網絡架構的細節，但需要組件支撐服務實現流量轉發。在鏡像標簽里提供如表 6-3 所示信息：表6-3 鏡像標簽信息 LABEL key 描述 uds

127、_dir socket 文件所在目錄，如/var/uds。文件命名可參考“組件名稱定義規范”中的子接口類型，例如 register.sock e.鏡像安全性保護手段可參考如下：防篡改：比對鏡像的 sha256 摘要值與開發者提供的是否一致 漏洞掃描：各家可根據自身基礎設施的情況，利用開源或自研工具進行 CVE 漏洞掃描 鏡像簽名：可利用 Notary 服務實現發布方加簽與使用方驗簽(2)組件名稱定義規范（Component Name）如下：金融業隱私計算互聯互通技術研究報告 81 a.組件名稱 Component Name 用于唯一表示組件的名稱字符串，按照.方式進行命名。例如：interco

128、m.v1.algorithm.hetero_lr 前綴：互通標準前綴 版本：接口版本 類型：子接口類型 名稱：接口的名稱 b.組件實例狀態 組件實例狀態描述如表 7 所示：表 7 組件實例狀態描述 狀態標識狀態標識 狀態名稱狀態名稱 狀態描述狀態描述 UNLOADED 未加載 當組件鏡像未加載到系統時，所處在的狀態 LOADED 已加載 當組件鏡像完成下載和驗證，加載到系統的狀態 STOPPED 已停止 當組件鏡像停止運行，可以準備進行重新啟動或者卸載時所處在的狀態 STARTED 已運行 當組件完成了初始化工作，可以對外提供服務時。FAILED 已故障 當組件鏡像運行之后，出現故障后時所處在

129、的狀態 組件實例狀態轉換關系如圖 34 所示。金融業隱私計算互聯互通技術研究報告 82 圖 34 組件實例狀態轉換關系圖 3.容器加載流程 各家基于自身的基礎設施，通過 container manager 實現容器加載能力。以 K8S 為例，container manager 構建好 Deployment 配置后調用 API server 的 REST 接口（或 kubectl 命令）創建 pod（即 component instance）。整體交互時序圖如圖 35 所示。金融業隱私計算互聯互通技術研究報告 83 圖 35 容器加載流程圖（六）（六）基于最小化約束的算法容器設計基于最小化約束的

130、算法容器設計 通常，在算法容器中運行的算法或者算子非常依賴系統所提供基礎功能支撐接口來實現其內部的運作邏輯。因此，是否存在一套靈活、能滿足容器內部邏輯、又能滿足兼容性要求的容器支撐接口設計，決定了算法容器設計成敗。事實上，容器支撐接口不是唯一確定或者一成不變的。首先，從接口需求層面來講，聯邦學習等上層應用算法和底層安全算子的實現本身就不金融業隱私計算互聯互通技術研究報告 84 是一成不變并且會隨著時間發展而變化，因此，容器需要的接口類型和功能是可能會發生變化；其次，從系統支持層面來講，各廠商所提供底層支撐系統大多都是異構的，其所能提供的系統功能、接口也各不相同；最后，從互通協議層面來講，隨著算

131、法應用、底層支撐系統及隱私計算技術的不斷迭代更新，系統間互通協議也需要不斷迭代更新。綜上，算法容器及其配套容器支撐接口的設計需要滿足以上技術更新和發展的需求，且應滿足以下幾點能力要求：(1)算法容器需要滿足對歷史算法容器鏡像向下兼容的能力。由于算法鏡像的開發可以獨立于隱私計算系統的開發，因此，隨著隱私計算技術及應用的發展，同一個算法可能會因為不同版本的實現而不能很好兼容，所依賴的底層接口也可能由于新增方法改造實現而不兼容。要想較好地兼容使用歷史算法容器鏡像，需要新設計的算法容器和接口具備向上支持、向下兼容的能力，這是算法容器設計的一個難點。為了滿足以上設計需求，本子課題充分借鑒和吸取了從早期微

132、軟 COM 的體系設計方式、到近期行業內廣泛流行的微服務設計理念，融入了類似注冊中心的機制，嘗試通過統一的鍵值對（Key-Value）形式對不同的接口服務進行統一分類和管理，再通過環境變量的方式給予到鏡像內部，從而可以根據版本不同提供不同的接口，最大程度地提高了鏡像系統的向下的兼容性。(2)算法容器需要盡可能地減少對鏡像內部的限制要求，以便更好支持現有算法實現進行平滑遷移。由于算法實現往往基于不同廠商進行設計且不同平臺算法實現方式大多存在差異，因此，如何在不對現有算法實現做較大修改的前提下，使算法容器鏡像盡可能地兼容現有實現方式，這金融業隱私計算互聯互通技術研究報告 85 是算法容器設計的另一

133、個難點?；诖?，課題組啟動了算法容器鏡像定義工作，通過對目前十多家廠商的實現方式進行充分調研和統計，以及采用整理需求、歸結使用方式等手段和逐項排除的方法，確定算法容器鏡像約束僅限制在鏡像標簽和環境變量上；此外，再通過鏡像已有標準輸出和錯誤碼方式來獲取運行狀態，以及使用固定地址、去除接口等手段來減少約定項目，從而達到對鏡像的低約束的目的。(3)算法容器工作流程應該盡可能簡單，但同時又要盡可能覆蓋絕大多數的應用場景。聯邦學習算法原理本身具有多樣性，在實現過程中也沒有絕對的實現方式，這導致了不同實現算法的工作形態有著較大的出入。從容器生命周期角度來看，算法工作形態可以分成瞬時形態（即用即銷毀）和常駐

134、形態。通過對行業內實現場景的調研和統計，課題組發現雖然兩種形態都有應用，但瞬時形態占大多數場景；同時出于適配場景和性能考慮，這兩種形態雖在現實應用中都有存在，但瞬時形態相對更為簡單，常駐形態則由于需要從更多接口和交互流程上進行定義，流程較為復雜。因此，綜合應用廣泛性和形態復雜性來看，在容器生命周期的選擇上，宜以瞬時形態為當前首要設計方式，瞬時形態不僅有助于能夠大幅降低的算法容器工作流程的復雜性，同時還能兼顧大多數的應用場景。根據上述要求，課題組提出了一種簡單的可以同時滿足絕大多數應用需求的最小化約束算法容器方案：容器內可包含一個或者多個算法組件；容器以瞬時形態（即用即銷毀）進行運行；容器計算方

135、式采用離線方式（兩個算法間的計算數據流采用落地文金融業隱私計算互聯互通技術研究報告 86 件的形式進行傳遞）；系統與容器的交互以內存數據為主，落地文件為輔的方式進行。圖36 最小化約束算法容器設計圖 如圖36所示，方案初步定義了算法容器標準與容器周邊支撐系統的整體交互流程。其中，算法容器采用瞬時模式進行，且每次運行都會全新創建一個容器：啟動前，系統通過標準容器的自描述信息獲取到算法容器內所包含算法組件以及調用方式；啟動時，通過環境變量或者文件的形式，將系統的支撐接口和配置信息傳遞給算法容器，用于算法容器的初始化和計算過程；運行時，系統會通過內存的方式，將此次計算過程中所用到的運行信息（輸入輸出

136、信息）傳遞給算法容器；運行結束時，通過獲取主進程的退出碼作為組件返回值作為成功標志和標準輸出作為運行日志。其中環境交互包括以下內容：(1)自描述信息，描述了算法容器中所包含的內容以及使用方式，主要包含：版本、算法名稱、參數及輸入輸出等信息；金融業隱私計算互聯互通技術研究報告 87 (2)系統支撐與配置信息，描述了周邊的支撐系統所能提供的接口及環境配置參數；(3)運行期信息，描述了當前運行過程所依賴的動態信息。主要包含：使用的算法名稱、參數及綁定的輸入輸出數據。綜上，最小化約束算法容器方案主要包括以下三個優勢：(1)兼容性強。通過本方案，可以較好滿足新老鏡像對于不同版本接口的需求；(2)靈活性高

137、。相比現有實現方案需要在鏡像定義時固定輸入接口的方式，本方案彌補了其不能適應多變接口需求的問題；(3)對鏡像約定限制小。相比現有實現鏡像定義，本方案支持使用最小化的約束來規范鏡像的內容，可最大程度地釋放了容器內算法實現的空間。（七）（七）隱私計算安全算子服務設計隱私計算安全算子服務設計 目前業內對算法和算子的邊界尚未形成明確的定義，算法和算子之間的關系，仍處于一種比較混沌的狀態。在隱私計算互聯互通的驅動下，業界開始要求隱私計算系統能夠以一種松耦合的方式構建，并希望通過標準化、模塊化來實現不同功能模塊的能力遷移，使各功能模塊得以獨立發展，更好地突出其自身技術優勢。隱私計算安全算子服務設計擬采用算

138、子服務化的方法將算法和算子進行解耦，更加突出隱私計算安全這一核心要求，以及滿足互聯互通中技術融合的需要。安全算子（簡稱算子），是指基于多方安全計算（MPC）金融業隱私計算互聯互通技術研究報告 88 協議、同態加密等構建的最小必要計算算子操作。解耦后的安全算法可不與特定實現方式的算子綁定，靈活利用多種安全算子來構造安全算法。安全算子強調的是基于密碼學構造的、采用安全計算協議實現的基礎計算工具，例如基于多方的矩陣乘法、歐式距離、大小比較計算等；安全算法強調的是在基礎計算之上，面向實際場景問題提出的具體算法，例如聯邦邏輯回歸、隱匿查詢等。安全算子服務化的方案，由安全算子服務接口和安全算子服務系統建設

139、兩個部分組成。安全算子服務化接口，通過定義算子服務各方面功能，約定了算法與算子的協同方式，圈定了算子的功能范圍，從而形成了異步化、大數據處理機制等能力；安全算子服務系統建設指南，將在滿足算子服務功能性要求的前提下，進一步在安全性驗證、算力擴展等方面提供相應技術建議和要求。1.安全算子服務接口設計(1)算法與算子的交互 在接口設計上，首先需要明確算法與算子的協作方式，并對算法和算子的協作方式進行抽象和定義。以0表示隱私計算中的發起方，表示參與方，(,)代表一個場景層面的隱私計算任務，由(0，)協調完成，比如(,)可描述一個聯邦的縱向邏輯回歸或隱匿統計。其中0(,)代表著發起方0的算法；(,)代表

140、著參與方的算法；,表示是外部參與者需要保護的隱私數據，是一個邏輯上可使用但不可見的數據；,表示本方持有的可用可見數據。金融業隱私計算互聯互通技術研究報告 89 圖37 算法算子協作示意圖 一個隱私計算任務(,)實際上是由多方參與完成，需要多方進行協同計算（見圖37）。用函數0(,)表示發起方0的算法；(,)表示參與方的算法；(,)表示發起方0所使用的算子；(,)表示參與方所使用的算子。算子負責基于密碼學的多方安全計算協議構建安全的計算操作。0每次啟動一個算法，將生成一個唯一的，并通過算法間調用，將分發給。的目的是能夠使算子、算法之間實現計算的協同和對接，通過對接算子、算法的上下文，實現相互識別

141、和通信。在不同參與方的算子服務接口定義上，所使用的算子服務接口是一樣的，區別在于參數上，即(,)與(,)，算子根據參數的識別構造計金融業隱私計算互聯互通技術研究報告 90 算協同的過程。算法不關注底層算子協同計算的方式，在算子內部也能便于內聚計算邏輯，提供標準化服務。(2)算子服務安全性方案 隨著MPC技術的快速發展，各隱私計算的科技公司為突出技術優勢，提供了功能豐富的算子。在結合實際應用場景調研和分析后發現，業界高頻使用的算子不多，主要以矩陣乘法、向量矩陣乘法、大小比較、歐式距離、隱匿求交等基礎算子為主，其中雖然也涉及一些動態編譯或解釋執行的算子，但是這些算子的完備性和安全可驗證性還有待進一

142、步研究。為確保算子使用的完備性和安全可驗證性，擬采用滿足當前主要隱私計算場景所需的部分高頻算子作為研究對象，將矩陣乘法、向量矩陣乘法、大小比較、歐式距離、隱匿求交算子等作為服務化驗證算子，并以枚舉的方式定義算子功能，以及對這些算子進行規范化定義（表8給出了首批定義的高頻算子，后續可繼續根據算子性能及場景使用的需要逐步擴大算子列表）。通過此次算子規范化定義算子，不僅有助于更規范地使用算子服務，而且有助于算子服務的安全性開展更具針對性的定義、驗證和評估。表 8 高頻使用算子列表 表達式 0 輸入 輸入 輸出格式 描述 vds(x,y)x 向量 y 向量 明文標量 向量與向量對應點乘 后求和，返回標

143、量。金融業隱私計算互聯互通技術研究報告 91 mvm(x,Y)x 向量 Y 矩陣 明文矩陣 向量乘以矩陣，返回矩陣。用于邏輯回歸中計算梯度。greater(x,y)x 向量 y 向量 明文向量 比較 x 是否大于 y less(x,y)x 向量 y 向量 明文向量 比較 x 是否小于 y equal(x,y)x 向量 y 向量 明文向量 比較 x 是否等于 y distance(x,y)x 向量 y 向量 明文標量 計算兩個向量的歐式距離 matmul(X,Y)X 矩陣 Y 矩陣 明文矩陣 計算矩陣 X*Y,其中 shape(X)!=shape(Y)psi(x,y)x 向量 y 向量 明文標量

144、 雙方隱匿求交 算子服務可提供兩種服務形態，分別為無狀態的算子服務和有狀態的算子服務，二者在處理和安全性驗證保障方式上存在一些區別。當使用無狀態算子服務時，對各方而言，算法不接觸密文，密文操作也都封裝在了算子內部，輸入輸出都是明文。這種構造使得從輸出結果無法反算出他方的隱私數據，使用無狀態的算子，能在算子服務級別保證安全。當使用有狀態算子服務時，算法能夠接觸密文和密鑰，并能對密文數據進行一些額外的處理和擴展，比如加入噪聲等。有狀態算子服務通常會將算子拆分為三個階段：第一階段是準備階段，第二階段是計算階金融業隱私計算互聯互通技術研究報告 92 段，第三階段是結果復原階段。以下將以秘密分享和同態加

145、密對有狀態服務的三階段進行說明：同態加密 當使用同態加密作為計算協議時，第一階段完成密鑰生成、加密和密文的分發，輸出密文和密鑰；第二階段在加密態完成計算，并根據算子表達式定義的功能，完成密文的計算，輸出結果仍然是密文；第三階段采用第一階段生產的密鑰，對第二階段的數據進行解密，恢復出明文結果。秘密分享 當使用秘密分享作為計算協議時，與同態的步驟類似，第一階段完成數據的秘密分享；第二階段，根據算子表達式定義的功能，在分享態完成計算；第三階段，完成結果的合并。有狀態算子服務相比于無狀態的算子服務更加靈活，在實際處理計算中，可以將多個階段聯合執行。例如第一階段和第二階段組合，或者第二階段與第三階段組合

146、，或者第二階段用到了多個一階段的處理結果，這種可以組合的關系，造成了算子協議被算法協議的侵入，使得算子無法單純從服務層面來保障其安全性，而必須與算法協議一起來聯合保障。(3)算子服務擴展性方案 在對安全算子的范圍約束的同時，本研究仍保留有一定的可擴展性和開放性。例如，接口設計方面，目前是通過枚舉約束了表達式的定義范圍，金融業隱私計算互聯互通技術研究報告 93 后續可繼續通過添加枚舉來擴大算子的功能范圍；此外，也可通過調整表達式的約束形式，逐步擴大算子功能的范圍。(4)算子服務大數據傳輸方案 算子服務需要支持大數據的處理。服務化以后，為更好支持大數據處理，將對數據的傳輸與算子服務接口進行松耦合設

147、計。除了提供直接通過接口傳輸數據的方式之外，還可借助存儲引擎的方式進行大數據的傳輸，其中可由算法來指定數據的輸入和輸出方式。算子服務需要處理的數據，均以數據塊的方式進行傳輸；不同的編程語言，在數據類型上存在區別，算子服務化需要解決跨編程語言的數據傳輸問題。本研究將通過對數據塊形狀、數據字節序、數據類型進行規范化定義的方式，來實現跨語言的數據傳輸。(5)算子服務的異步化 算子執行的過程一般耗時比較長，因此在服務化后，可利用算法與算子的解耦化及計算資源的分離狀態，為算法提供一種不需要阻塞等待的方法。例如，可在接口設計上提供異步化機制，使算法能夠通過接口參數指定異步或者同步方式來獲取算子計算結果。(

148、6)算子服務間通信方案 算子需要依托通信傳輸模塊來完成跨節點的算子服務間通信。算子服務在啟動的過程中，需要將算子服務的本地容器地址向傳輸模塊進行注冊；在通信過程中，建立信道時也要及時將本地容器地址與信道關聯，并在建立起跨節點的算法服務間會話后，復用節點間的信道與端口。金融業隱私計算互聯互通技術研究報告 94 2.安全算子服務系統建設指南(1)服務算子容器安全性 在互聯互通框架設計中，安全算子服務層定義了需采用 Docker 容器的方式對安全算子進行封裝和發布。容器化的方式一方面更利于異構安全算子的遷移、部署、擴展；另一方面由于容器化封裝的方式，使得在實際應用中算子容器的安全性尤為重要。因此在安

149、全算子服務層的定義中，對隱私計算平臺互聯互通做出以下幾點安全性要求：a.在安全算子服務遷移時，隱私計算平臺需能夠核對鏡像的簽名和開發者發布的相關信息一致性，防止算子容器被篡改；b.隱私計算平臺需能支持自開發或借助掃描工具對安全算子服務進行漏洞掃描，以保證服務的安全。(2)服務算子算力擴展 安全算子服務主要負責隱私計算算法中最小計算算子的計算任務，使得算子服務的計算速度對整個隱私計算任務的效率影響很大。在實際應用場景中，單個物理節點的計算性能上限無法滿足大數據的計算需求，所以在安全算子服務的框架設計中也考慮了算子算力擴展的需求。具體的框架設計如圖 38 所示。金融業隱私計算互聯互通技術研究報告

150、95 圖 38 安全算子服務分布式計算框架圖 該框架設計主要參考于應用較多的分布式計算框架，如圖中所示，Worker 負責計算任務的執行并且支持多個 Worker 節點的擴展，Master 主要負責協調和管理多個 Worker 間的任務運行。(3)服務穩定高可用 在互聯互通框架設計中，由于安全算子服務層承接了若干個算法組件層的大量算子計算任務，使得安全算子服務的穩定性對隱私計算任務能否正常運行起到了關鍵的作用。針對實際應用場景，我們設計了一套服務高可用的部署方案供參考，具體參考如圖 39 所示。金融業隱私計算互聯互通技術研究報告 96 圖 39 安全算子服務高可用 在實際使用場景中可以部署多個

151、安全算子服務，并由統一的服務注冊中心來管理算子服務。當接收到計算任務時，注冊中心負責分配計算任務給某一個安全算子服務；即使某一個算子服務宕機時，注冊中心也會將計算任務分配給可用的算子服務，不會影響到整個算法任務的運行。對于安全算子計算過程中的狀態、中間結果等，可采用統一的公共會話存儲的方式來解決。（八）（八）傳輸層同步異步兼容設計傳輸層同步異步兼容設計 在傳輸層的互聯互通實踐中，傳輸協議與報文結構是核心內容，這之中又可具體細分為同步傳輸和異步傳輸兩種模式，我們意在設計一種同步異步兼容的傳輸層規范。為了實現這一目標，我們需要對“組網結構”“安全要求”“標準傳輸協議”幾部分內容進行標準化定義。金融

152、業隱私計算互聯互通技術研究報告 97 1.組網結構 不同隱私計算平臺之間的連接，主要可分為直連模式和路由轉接模式兩種基礎拓撲結構，基于兩種基礎拓撲結構的組合、擴展實現不同的互聯互通組網。(1)直連模式 隱私計算平臺直接建立連接，進行通信和交互。其拓撲結構如圖 40所示。圖 40 直連模式拓撲圖 采用直連模式互聯互通，平臺間按照相同的技術方案，各自實現相同的接口或軟件組件，建立點對點的相互連接。(2)路由轉接模式 隱私計算平臺間不直接建立連接，而是通過獨立的第三方路由進行交互計算、格式轉換。其拓撲結構如圖 41 所示。圖 41 路由轉接模式拓撲圖 采用路由轉接模式互聯互通，可建立獨立的軟硬件隱私

153、路由，各平臺通過與隱私路由相連，實現在同一個隱私路由上的平臺間組網。當新的隱私計算平臺或節點要加入網絡時，需要先與將發生互聯互通的平臺建立身份互認關系，再與互認的平臺進行多方聯合計算。另外，可通過金融業隱私計算互聯互通技術研究報告 98 隱私路由間的鏈接，實現平臺間跨路由的互聯互通。從安全性上看，由于第三方路由參與了不同密文計算協議的數據格式轉換，其安全性與相應的計算轉換協議和安全假設有關。在這種模式下，傳輸層僅保證傳輸信道的安全性，第三方路由的安全性由相應的計算協議來確定。2.安全要求 跨平臺間的互聯互通需要建立在安全的基礎上來進行，對于安全的要求可具體劃分為傳輸安全和業務安全。(1)傳輸安

154、全 a.數據機密性的技術保障 數據機密性主要通過加密技術進行實現，在數據通過網絡信道傳輸前使用相應的密鑰及加密算法對原始數據進行加密，接收方在接收到網絡信道中傳輸的密文后再使用相應的密鑰及解密算法進行解密。b.數據完整性的技術保障 數據完整性主要通過哈希（Hash）或消息驗證碼（MAC）技術進行實現，在數據通過網絡信道傳輸前，使用哈?；蛳Ⅱ炞C碼技術對數據計算相應散列值或校驗碼，將數據與對應的散列值或消息驗證碼一起通過網絡發送給接收方，接受方在接收到網絡信道中傳輸的消息后，提取消息中的數據后采用與發送方相同的方式計算散列值或消息校驗碼，并與消息中提取的散列值或消息校驗碼進行比對。c.不可抵賴性

155、的技術保障 不可抵賴性包括發送方不可抵賴性及接收方不可抵賴性，具體涉及身份不可抵賴及消息不可抵賴兩方面。發送方不可抵賴性主要通過身份認證金融業隱私計算互聯互通技術研究報告 99 及數字簽名等技術進行實現，接收方不可抵賴性主要基于可信第三方來實現。(2)業務安全 a.跨平臺合作方識別 跨平臺合作方識別可通過預制 token 等方式實現。隱私計算平臺間所有通信請求均需攜帶相應 token 信息，并對請求內容進行簽名校驗，確保請求發送自真實的合作方。b.權限控制 針對隱私計算平臺互聯互通場景，權限控制主要包括數據權限控制及任務權限控制兩大類。數據權限控制主要包括數據查看權限控制、數據使用權限控制。數

156、據查看權限控制指對隱私計算平臺數據市場中可對合作方展示的數據源進行控制；數據使用權限控制指對互聯互通的隱私計算具體任務可使用的數據源進行控制。任務權限控制主要對隱私計算互聯互通合作方可具體發起的任務類型進行控制，比如可以對已授權的數據進行安全求交、聯邦建模、匿蹤查詢等計算任務。3.標準傳輸協議 跨隱私計算平臺間的互聯互通，需要依賴于一套標準的傳輸協議和報文結構?；谝幏痘膱笪念^結構，可以定義標準的同/異步傳輸協議。(1)標準報文頭 報文頭是開始并唯一標識報文的服務段。在該結構體中，我們需要對金融業隱私計算互聯互通技術研究報告 100 協議版本號、廠商編碼、認證令牌、發送和接受方的節點 ID

157、等內容進行規范化定義，具體內容見表 9。表 9 報文頭字段編碼 頭字段編碼頭字段編碼 頭字段名稱頭字段名稱 頭字段說明頭字段說明 version 版本 協議版本號 tech-provider-code 廠商編碼 互聯互通統一廠商編碼 trace-id traceId 用于追蹤 token 令牌 認證令牌 source-node-id 發送方節點 ID 發送端的節點 ID target-node-id 接收端節點 ID 接收端的節點 ID source-inst-id 發送端機構 ID 發送端業務實體 ID target-inst-id 接收端機構 ID 接收端業務實體 ID task-sess

158、ion-id 會話 ID 用于需要建立有狀態會話的通信時使用，一般情況下，算法和算子的通信，都需要建立會話，通過任務會話 ID 來建立計算執行容器的路由，除此之外，對 token 鑒權的時候，需要聯合 task-session-id，對 token 的有效性進行驗證(2)標準報文傳輸格式 標準的傳輸報文和具體的傳輸協議無關，包含了報文頭和報文體，傳輸錯誤碼和錯誤信息，報文編碼需加入x-前綴。除此之外，還需要預留可擴展的元信息（見圖42），例如，可以通過元信息，擴展異步通信所需要的message-topic和message-code。金融業隱私計算互聯互通技術研究報告 101 圖 42 同步傳輸

159、協議結構圖（九）（九）異構平臺開放算法協議設計異構平臺開放算法協議設計 1.握手原則 開放協議應當分為握手流程和算法流程兩個步驟，握手流程應當具備如圖 43 所示的能力：(1)通用算法類的參數算法對齊。例如隱私集合安全求交（PSI）有 多種實現路徑，但是不同的實現路徑都應允許指定結果獲取方是誰等和 PSI 實現方法無關的對齊。金融業隱私計算互聯互通技術研究報告 102 (2)安全原語相關的參數對齊。例如橢圓曲線迪菲-赫爾曼密鑰交換（ECDH）來做 PSI，需要對齊 ECC 曲線類型以及哈希函數。(3)為減少所使用的 RTT，上述握手在一次握手包里完成交互。圖 43 握手流程設計圖 2.同構算法

160、的分類和設計(1)專有流程算法設計 專有流程的算法在協議設計時應當充分考慮不同需求的兼容性。一般來說，每個算法特點差異很大，而專有算法流程的設計應當滿足足夠強的拓展性和包容性。以 ECDH-PSI 為例，其中橢圓曲線和哈希函數的參數上應當優先考慮以國密為標準，支持 SM2 和 SM3 組合的 PSI 算法。ECDH-PSI的算法流程如圖 44 所示。金融業隱私計算互聯互通技術研究報告 103 圖 44 ECDH-PSI 算法交互流程圖(2)基于秘密分享的通用多方安全計算算法互通框架 由于秘密分享是一種通用的隱私計算能力，所以，開展基于秘密分享的通用多方安全計算算法互通框架設計，有助于實現更徹底

161、的算法解耦。結合秘密分享，整體設計框架參考如圖 45 所示。金融業隱私計算互聯互通技術研究報告 104 圖 45 整體設計框架圖 算法邏輯層。算法邏輯層。算法邏輯層用于描述數學上算法應當如何被拆解為更細粒度的數學運算組合，且不應當與安全實現機理細節相耦合，例如不會特別指定采用 混淆電路（GC）/同態加密（HE）/ABY3 或者其他具體協議機制。安全算子接口層。安全算子接口層。安全算子接口層應當具備擴展性，且有能力支持日漸復雜的算法表達式，尤其是對復合表達式的支持（復合表達式的支持可以減少算法邏輯層和安全算子層的頻繁調用）。同時，更大粒度的表達式也給予了底層協議更多融合、折疊的優化空間。安全原語

162、協議互通層。安全原語協議互通層。經過上述兩層的解耦合抽象，安全原語協議互通層可以更好復用專有算法協議設計流程來實現互通。期間，握手和協議交互將按照上述框架原則設計完成。金融業隱私計算互聯互通技術研究報告 105 3.基于隱私路由的異構算法互聯互通 基于隱私路由的異構算法互聯互通研究，借鑒成熟互聯網協議中關于自治系統（AS）的設計理念，首先將每一個隱私計算平臺視為一個 AS，其次通過路由進行連接，進而實現跨平臺數據面互通。參考如圖 46 所示。圖 46 異構算法互聯互通示意圖 在該實現方案下，每個隱私平臺無需關注其他平臺的內部實現細節（如平臺架構和技術類型），而僅需關注流通的中間結果即可。技術實

163、現上，各平臺可以通過特定的接口組件（路由客戶端 Router Client，RC）來接入隱私路由，并重點關注于實現自身中間結果與某一種特定數據格式間的轉化即可，無需再與所有其他平臺進行互通關系改造。該模式下，所指定的特定數據格式是關鍵。由于這種特定的數據格式僅在隱私路由器上出現，且僅針對橋接各種不同格式的中間結果，所以該方案對隱私計算平臺的改造影響和侵入性很小，平臺本身也不需要面向不同的平臺進行多次改造和適配。這種統一的數據格式應該盡量簡單。一般而言，互聯互通傳遞的中間結果代表著數據的使用價值，具有“可用不可見”的屬性，因此，一種直金融業隱私計算互聯互通技術研究報告 106 接簡單的想法是，采

164、用密碼學算法技術來保護該中間結果的安全性，并將所有密碼運算技術產生的中間結果統一轉化為秘密分享的兩個隨機數分片。下面以“基于 SS3 秘密分享（三分片的秘密分享）的隱私計算平臺和基于 HE 的隱私計算平臺間互聯互通”為例來具體闡述該技術方案的實現過程，如圖 47 所示。方案主要涉及兩個功能節點：一是部署在隱私計算平臺側的接入客戶端 RC（Router Client）；二是具備數據轉換功能的“隱私路由”服務器 RS（Router Server）。圖 47 SS3 計算的中間結果轉化為 HE 的密文示意圖 其中，隱私路由承載了統一的數據格式：中間結果的兩個分片。具體工作流程為：(1)左側平臺通過

165、SS3 秘密分享技術進行隱私計算，獲得某個中間結果，該結果以 x1、x2、x3 三個分片的形式分布在不同的管理域上；(2)左側三個接入節點分別對 x1、x2、x3 進行分片，每個拆分成兩份后分別發送給隱私路由的兩個轉換節點；(3)兩個轉換節點分別對各自獲得的分片（三份）進行合成，進而金融業隱私計算互聯互通技術研究報告 107 得到中間結果的新分片：x1、x2；(4)右側平臺將公鑰分發給隱私路由；(5)隱私路由的兩個轉換節點分別通過公鑰對 x1、x2 進行加密，并在其中一個節點上對密文進行合成得到x1+x2，即x1+x2，也就是中間結果的密文形式x；(6)隱私路由將x發送給右側平臺的接入節點。左

166、側平臺得到x后可進行本平臺內的隱私計算。(7)需要注意的是，隱私路由兩側的設計實現是獨立的：我們即使把左邊的 SS3 替換為 SS4（基于四分片的秘密分享）或者其他 SS 協議，抑或是其他隱私計算的密碼技術，都不影響右邊平臺從隱私路由取數的協議接口（即步驟(4)-(6)）；反之，左邊平臺發送中間結果的協議接口（上面步驟 2）也不受右邊平臺取數方式的影響。（十）（十）TEETEE 統一遠程證明流程設計統一遠程證明流程設計 TEE 互聯互通關鍵技術點在于統一遠程證明流程的設計，設計一套統一的 API 和報告格式封裝，通過 TEE 平臺和應用屬性的統一抽象解決異構TEE 遠程證明的兼容性和互聯互通問

167、題。統一遠程證明流程設計主要涵蓋以下關鍵內容的設計：UAR：統一的遠程證明報告格式（Unified Remote Attestation Report）是對各種 TEE 方案中不同 RA Report 格式的統一抽象封裝。UAP：統一的遠程證明規則（Unified Remote Attestation Policy）主要包含用戶如何對 TEE 平臺和應用做校驗的規則集合，這些規則項都是金融業隱私計算互聯互通技術研究報告 108 所有 TEE 平臺和應用屬性的統一抽象。UAI：統一的遠程證明報告接口（Unified Remote Attestation Interfaces）主要提供和 UAR

168、相關的兩個接口：報告生成接口和報告校驗接口。UAS：中 心 化 的 遠 程 證 明 代 理 驗 證 服 務（Unified Remote Attestation Service）：收斂所有遠程驗證差異化邏輯，使得其他 TEE端借助證明服務完成與對端的遠程驗證，而在驗證過程中 TEE 端無需額外兼容異構 TEE 的認證邏輯。1.統一遠程證明報告格式（UAR）設計 統一遠程證明報告格式（UAR）如下：統一的遠程證明報告格式是為了屏蔽不同 TEE 方案中報告格式的差異，方便統一遠程證明接口兼容不同的 TEE 平臺?？紤]到不同 TEE 系統中不同編程語言的兼容性，使用 JSON格式作為統一遠程證明報告

169、格式，方便各種應用之間數據交互。具體實現也可以考慮利用 protobuf 定義數據格式，可以方便和 JSON 格式之間互轉。對于具體的 JSON 數據項鍵名，采用統一命名規則，數據值格式前綴_鍵名稱。數據值格式前綴含義如表 10 所示。表10 報文頭字段編碼 前綴 對應數據值格式 str Normal string hex HEX string,using capital letter A-F b64 Base64 encoded 金融業隱私計算互聯互通技術研究報告 109 pem PEM string for key or certificate json JSON string int i

170、nt int64 int64 uint uint uint64 uint64 bool false or true as string format bin binary data 統一遠程證明報告格式（UAR）如圖 48 所示。圖 48 統一遠程證明報告格式 此外，為了能夠正確解釋市場上不同架構體系 TEE 平臺的報告，子報告中詳細列舉了常用 Intel SGX1、Intel SGX2、螞蟻 HyperEnclave、華為鯤鵬以及海光 CSV TEE 平臺遠程證明報告具體數據結構。金融業隱私計算互聯互通技術研究報告 110 2.統一遠程證明校驗（UAP）規則抽象 校驗規則和統一抽象的可信應用

171、程序可以被遠程證明校驗，實現相關屬性集合對應，校驗方可以根據平臺選擇對應的校驗屬性。屬性集合是所有TEE平臺定義的可信應用程序屬性的合集，相應屬性集合如圖49所示。圖 49 統一遠程證明校驗屬性集合 根據Unified Remote Attestation Attributes我們可以指定對應的校驗規則(UAP),對應格式如圖50所示。金融業隱私計算互聯互通技術研究報告 111 圖 50 統一遠程證明校驗格式 3.統一的遠程證明報告接口（UAI）抽象 為了兼容更多其他編程語言，統一遠程證明報告接口（UAI）涉及的API封裝（見圖51和圖52）都使用C-ABI語法定義。報告生成接口 圖 51 報

172、告生成接口 金融業隱私計算互聯互通技術研究報告 112 報告校驗接口 圖 52 報告校驗接口 4.中心化的遠程證明代理驗證服務設計（UAS）統一證明服務本身也需要基于TEE實現，以此保證其自身驗證邏輯的正確性。而各個TEE端在交互通信前，需要向對端發起遠程驗證請求，以獲取統一證明報告發送給統一證明服務。遠程驗證由統一證明服務代理完成，驗證結果由統一證明服務進行背書確認，并且也封裝為UAR格式，方便TEE端做其他額外校驗。通過引入基于中心化的證明服務，可以將N（N個節點）*N（N套遠程驗證機制）的工程復雜度壓縮到N（N個節點）*1（1套遠程驗證機制）。(1)統一驗證服務的TEE節點注冊流程 統一

173、證明服務的TEE節點注冊流程是為了實現TEE節點向UAS注冊，獲取訪問憑證。兩種參考流程如下：參考流程一：TEE節點生成表征自己身份的一組公私鑰對：ak.pub/ak.priv TEE節點將自己必要的元信息與ak.pub發送給UAS 金融業隱私計算互聯互通技術研究報告 113 UAS返回自己的根證書以及簽發的ak.crt給TEE節點（為了保證ak.crt安全，UAS作為第二級CA，由第三方CA對UAS頒發中間證書）參考流程二：TEE節點提前獲取用于驗證UAS簽名的公鑰，內置于可信代碼中。（UAS簽名公私鑰對可以通過安全KMS保管）TEE節點開發者或者挑戰者都可以通過UAS管理界面注冊元信息，獲

174、取訪問憑證AccessKey（類似Intel IAS做法）后續TEE節點或者挑戰者都可以通過AccessKey+UAR請求UAS提供的代理驗證服務(2)統一證明服務的TEE節點遠程認證流程 引入中心化的統一證明服務的TEE節點遠程認證流程：a)護照模式報告轉換為UAS格式報告（見圖53）：圖 53 護照模式報告轉換為 UAS 格式報告 金融業隱私計算互聯互通技術研究報告 114 b)背調模式報告轉換為UAS格式報告（見圖54）：圖 54 背調模式報告轉換為 UAS 格式報告(3)統一證明服務的報告格式 統一驗證服務的返回報告格式也是Unified Attestation Report格式。其中

175、str_platform=Uas,json_report為圖55所示格式的JSON序列化字符串。圖55 統一證明服務的報告格式 金融業隱私計算互聯互通技術研究報告 115 五、隱私計算互聯互通生態展望 隱私計算互聯互通生態研究建立在本子課題所提出的隱私計算互聯互通的技術框架之上，探索研究當隱私計算互聯互通標準形成后，所可能產生的生態模式，從而更好地保障整個互聯互通體系的運轉。（一）（一）生態建設目標生態建設目標 通過研究互聯互通生態，助力面向金融行業發展需要的隱私計算互聯互通框架的落地與推廣，促進隱私計算互聯互通形成良性生態，推動隱私計算在標準化體系下的進一步發展，為數據要素市場發展貢獻行業力

176、量。1.形成數據流通網絡 構建基于統一標準和接口的隱私計算互聯互通生態，有利于打破數據流通技術壁壘，創新跨主體數據安全共享模式，形成數據流通網絡，為實現跨機構、跨地域、跨行業數據資源有序共享和綜合應用提供有效支撐，使更多資源投入聚焦于金融行業務創新，充分挖掘數據價值，賦能實體經濟發展，發揮數據和技術雙輪驅動作用。2.構建互通新業態 通過隱私計算互聯互通生態研究與建設，在保護知識產權的同時促進技術共建，推動金融與其他領域系統互聯和信息互通，不斷拓展金融行業數據要素廣度和深度，實現數據綜合應用與多向賦能，助力服務實體經濟、創新驅動發展等工作更好落地。通過隱私計算貫通各領域數據資源，形成一個完整、安

177、全的數據共享體系，構建一個兼容開放、互利共贏的互聯互通新業態，從而將數據要素的市場化紅利惠及各個行業。同時，作為一種金融業隱私計算互聯互通技術研究報告 116 創新的協作方式，隱私計算互聯互通有助于打通各領域數據融合壁壘，形成各行業匯聚合力，提升數據流轉效率，為數字文明時代技術創新降本增效。3.延伸生態逐步實現生態循環 通過隱私計算互聯互通生態延展加快推動生態參與方之間的技術兼容性和項目的協同性，一方面通過協同整合各方力量，節省技術資源投入，聚合各自生態資源，擴大各自項目影響；另一方面，加快基礎設施的建設，打造互聯互通相關市場，提供增值服務，助力數據要素安全有效流通，從而實現數據流通業務場景的

178、商業閉環。（二）（二）生態藍圖生態藍圖 隱私計算互聯互通生態將在各參與方商定的治理機制和規范的引領下共同演進。通過各參與方間的有效互補與合作，逐步完善治理機制與準則，加快實現價值共創。1.生態參與方的角色定位 互聯互通生態的基本參與方主要包括數據提供方、技術輸出方、業務需求方、監管審計方和其他相關方（見圖 56），各參與方在某些業務場下又可能同時身兼不同的角色。金融業隱私計算互聯互通技術研究報告 117 圖 56 隱私計算互聯互通生態參與角色圖(1)數據提供方 數據提供方是指提供隱私計算所需私有數據的參與方。典型的數據提供方有政務大數據局、數據交易所、通信運營商、征信公司、互聯網企業、金融機構

179、、醫療機構等。在產業生態中，數據提供方根據自身擁有數據的情況，在確保數據安全的前提下對外共享數據要素，并獲得預期收益。在推動互聯互通時，數據提供方可重點從數據管理層面主導互聯互通探索，明確包括數據目錄、數據描述、數據樣例、數據授權等管理流程和標準接口規范。(2)技術輸出方 技術輸出方是提供隱私計算算法模塊，建設互聯互通業務流程，主要貢獻技術研發及應用能力的參與方。技術輸出方可以是專業的隱私計算技術服務商，也可以是具備一定技術稟賦的數據應用領域的其他主體，如數據交易所、大型互聯網企業、大型商業銀行等。隱私計算互聯互通目標下，金融業隱私計算互聯互通技術研究報告 118 技術輸出方承擔著相較獨立隱私

180、計算廠商更為復雜的角色定位?；ヂ摶ネ[含的交互標準化、算法模塊化、部署復雜化、數據產品化等新特征，需要在技術輸出方的綜合技術服務中予以落實。(3)業務需求方 產業生態中的業務需求方是指通過發起隱私計算任務獲取多方數據計算結果的參與方，典型的業務需求方有金融機構、醫藥廠商等。業務需求方從本領域的業務需求出發，具備大量的用數場景，且對于業務應用流程有較為明確的功能要求。在推動互聯互通時，業務需求方需明確對隱匿查詢、隱私求交、聯合統計、聯合建模等服務流程標準定義，主導項目管理、任務定義、任務執行、任務監控等要求，探索異構平臺同類應用服務的流程標準化。同時業務需求方從具體需求場景出發，以利用數據創造業

181、務價值為目標，具有較強驅動力，更能推動互聯互通各方合作。(4)監管審計方 監管審計方是指產業生態中負責對跨機構隱私計算應用中的業務合規、數據安全、風險事件等進行監督、管理、仲裁、審計等職責的有權機構，確?？鐧C構隱私計算互聯互通生態發展合法有序。監管審計方可由相關行業主管部門或監管部門擔任。監管審計方的職責分為兩方面：一是對隱私計算所涉金融業務合規性進行監督管理，基于個人信息保護法9、征信業務管理辦法10等法律法規，處罰不合規隱私計算業務；二是對隱私計算互聯互通中出現的信息竊取、數據泄露、網絡攻擊等風險事件進行調查、審計和仲裁，確保隱私計算互聯互通行業生態行穩致遠。金融業隱私計算互聯互通技術研究

182、報告 119 (5)其他相關方 1）認證方 認證方是指產業生態中負責對隱私計算產品進行技術評估與認證，確保隱私計算產品滿足生態對互聯互通能力要求的機構。認證方應由檢測機構、認證機構等第三方中立組織擔任。2）電子認證機構 產業生態中的電子認證機構是指作為權威的證書簽發，且具有合法性、權威性和公正性的第三方信任機構，包括但不限于數字證書的審批和安全管理職責。3）可信存證方 產業生態中的可信存證方是指將生態建設業務合作的過程中對于各參與角色（不局限于技術輸出方、數據提供方等）的隱私相關場景合作，對于平臺底座、節點資源、存儲資源、通信網關、算法協議、接口和任務等維度，通過特定的技術進行電子存證的機構。

183、該機構可以是技術輸出方、數據提供方、監管審計方中的一方或者多方。4）數據服務方 產業生態中的數據服務方包括不限于作業調度方、數據商和第三方服務機構等能夠促進和滿足數據要素合規高效、安全有序流通和交易需要的機構。作業調度方是根據互聯互通隱私計算流程，通過調度各參與方完成隱私計算作業并同步計算過程中各方任務狀態的參與方；作業調度方不提供隱私計算流程中需要的算法、算力、數據資源。數據商為數據交易雙方或多方提供數據產品開發、發布、承銷等服務，提高數據交易質量和效率。金融業隱私計算互聯互通技術研究報告 120 第三方服務機構是開展數據集成、數據經紀、合規認證等第三方專業服務機構，可提升全流程服務能力。數

184、據服務方也可能承擔技術輸出方等角色。2.生態發展藍圖 互聯互通整個生態的構建和發展應建立在比較健全的標準和治理體系之上（見圖 57），通過在產品、檢測和應用階段不同生態參與方之間的配合，完善和帶動互聯互通的生態治理體系，促進互聯互通持續健康發展。圖 57 互聯互通生態發展藍圖 如圖 57 所示，結合主流的隱私計算技術路線，本子課題從管理面和數據面提出了整體互聯互通技術框架實現方案以及具體的落地實現技術路線，推動包括通用型場景、隱私計算技術場景、不同行業等不同顆粒度數據服務朝著互聯互通方向發展。同時，各生態參與方之間，持續在互聯互通的框架和標準下優化彼此的職責和范圍，促進整體互聯互通生態良性的市

185、場發展，反哺標準體系的金融業隱私計算互聯互通技術研究報告 121 完善、技術框架的迭代更新和相關檢測認證的逐層優化，形成一個生態共贏的整體良性發展勢態，從而帶動周邊其他衍生生態的配合，逐漸形成具備隱私計算+區塊鏈、知識圖譜隱私互聯、隱私物聯網環境等多技術互聯互通的循環生態局面。(1)健全的標準支撐 標準化是促進互聯互通生態的重要保障，相關部門已發布了一系列隱私計算技術的國家和行業標準，在標準化建設方面取得了長足的進步，但在互聯互通層面仍然相對缺乏頂層的規劃?；ヂ摶ネㄉ鷳B標準體系將有機連接各個環節，并為彼此間的協同工作提供技術參考，是實現互聯互通、資源開放、數據共享、生態協調的基礎（見圖 58）

186、。圖 58 互聯互通生態標準體系組成(2)統一的技術框架 通過調研主流的隱私計算技術路線，研究互聯互通整體框架實現案例及具體的落地實現技術路線，并驗證一些隱私計算產品互聯互通，進一步提煉統一技術框架，歸納各子課題間的關系。針對聯邦學習、多方安全計算這類純軟件技術路線的異構平臺互聯互金融業隱私計算互聯互通技術研究報告 122 通，可自頂向下基于管理面元素與接口、流程調度接口與算法容器、異構算法協議、安全算子、傳輸接口與報文實現。首先，管理面元素與接口研究對于整個隱私計算互聯互通技術研究起到基礎性和框架性作用，能明確隱私計算系統中管理面的基本元素，統一管控互聯互通的隱私計算平臺內外部各元素，維持平

187、臺正常運作；其次，流程調度接口與算法容器加載研究是整個隱私計算互聯互通技術研究的核心部分，用于加載和驅動底層算法容器，同時統一調度通信、計算、存儲等資源；通過異構算法協議研究和安全算子接口與服務化研究，將底層算法解耦成應用算法和通用算子，以容器化實現可獨立運行算法和算子服務，使大多數廠商有能力提供典型算法、算子標準接口和流程；最后通過傳輸接口與報文研究，在異構的隱私計算平臺之間建立一套算法和算子相互協作全鏈路的通信相關規范和參考實現模式。針對 TEE 這類軟硬結合技術路線的異構平臺互聯互通，通過 TEE 互聯互通技術研究，形成統一的遠程證明流程和接口，抽象出統一的遠程報告格式和 Enclave

188、 屬性，實現異構 TEE 平臺互認。(3)配套的檢測認證 隱私計算互聯互通生態配套檢測及認證項目將依據生態標準體系中的流程調度接口與算法容器技術規范等系列檢測標準，對有意加入互聯互通生態的產品進行系列檢測和認證并出具相應檢測及認證報告。適用范圍包括平臺底座產品和算法產品，通過檢測和認證的產品便可被認定為從技術上達到了進行互聯互通的要求，具備與生態中其他產品進行互聯互通的能力。金融業隱私計算互聯互通技術研究報告 123 對于初次加入生態的產品，依據產品形態性質檢測內容可有所不同，但總的來說檢測和認證需求較為普遍。而對于已經加入生態的產品，檢測的內容應僅覆蓋該產品在上次檢測后發生變更的內容，對于未

189、變更的內容不需要重復進行檢測和認證，對于已變更內容需確認其技術上依然滿足互聯互通要求。(4)良性的市場機制 隱私計算領域市場的形成，同樣也需要行業標準與消費機制。算法的動態上架與下架、數據的定價交易等，需要先獲得由有資質的檢測認證機構執行的安全認證，從而保障隱私計算的安全性與機動性。對于市場的內容，需要予以版權保護，保障市場生態與秩序，促進良性競爭；對于市場的生態模式，需研討符合市場利益的收費機制，確保市場活力與商業模式的長期發展。(5)完善的生態治理 隱私計算技術能夠互聯互通需要基于各個參與方對于生態治理的共識。在接口規范、資源發現協議、身份認證模式等各類基礎性的互聯互通形態能夠共同建設、共

190、同協商、共同修改的基礎上，形成一套統一且具備共識的治理章程與規則，才能夠保證互聯互通生態的持續發展。以聯盟團標為基礎，確定接口規范（管理面、數據面）、資源發現協議和身份認證的基礎版本作為互聯互通生態治理共享基線，并就此基線取得生態建設參與方的基本共識，成為生態治理的提案基礎。完善的生態治理至少包括算法的安全性、算法的完整性和知識產權保護。金融業隱私計算互聯互通技術研究報告 124 開源治理是隱私計算跨平臺互聯互通如果要做到具有規?；纳a能力的實現方案之一：a.算法的安全性：隱私計算對于算法的安全性尤為重視，因此進行隱私計算跨平臺合作的多個參與方，都需要信任加載算法包的安全性；算法安全性驗證是

191、一個復雜且專業的事情，其實現代碼需要專業的審查，通過多方審議或檢測的算法的安全性更容易受到廣泛的認可；b.算法的完整性：為了實現隱私計算更廣泛意義的互聯互通，其能夠實現和聯通的算法一定是足夠完整的，閉源產品較難開放全部的算子，開源隱私計算平臺框架成為獲取更為完整的算法能力的重要方式。c.知識產權保護：在開源實現互聯互通的同時，注重全面加強知識產權保護工作，促進互聯互通體系良性發展，激發生態參與方創新活力，營造優良的交易和治理秩序，為隱私計算相關方知識產權的研發、申請、利用和保護提供保障，推動構建新發展格局。(6)其他衍生生態 a.隱私計算+區塊鏈=可信的隱私計算解決方案 區塊鏈在聯邦學習上的應

192、用可以夯實數據擁有者數據的隱私性和系統的安全穩定性。區塊鏈可以確保計算過程和數據可信，而隱私計算實現數據可用不可見，兩者相輔相成，實現更廣泛的數據協同。隱私計算與區塊鏈技術相融合，為實現數據價值共享提供了一套更加完整與嚴密的解決方案。b.知識圖譜隱私互聯 金融業隱私計算互聯互通技術研究報告 125 知識圖譜旨在采用圖的結構來建模和記錄世界萬物之間的關聯關系，并沉淀關于萬物的知識。知識圖譜的相關技術已經在搜索引擎、智能問答、語言及視覺理解、大數據決策分析、智能設備物聯等眾多領域得到廣泛應用，被公認為是實現認知智能和智能互聯的重要基石?；谥R圖譜實現隱私互聯的聯邦知識圖譜將通過社區和群體的聯邦式

193、協作進行構建，具備知識互聯、去中心化和知識的可信等三種能力。c.隱私物聯網環境 物聯網的發展，將網絡連接和計算能力延伸到了計算機以外的物體、傳感器和日常物品，使得這些設備可以在較少人類干預的情況下生成、交換和消耗數據。如今，物聯網呈現出規?；摼W設備數量持續增多）、親密性（可穿戴設備和植入人體的設備等）、普遍性（無處不在、始終聯網）、智能化等發展趨勢，這可能沖擊個人隱私保護，使得個人可以被更容易地識別、追蹤、畫像和影響。加強物聯網相關的個人隱私保護，國際互聯網協會提出了四個方面的建議：第一，加強用戶對 IoT 設備和服務的有意義控制，從而實現物聯網數據管理；第二，提升用戶數據收集使用的透明度

194、；第三，隱私立法和政策跟上技術發展步伐；第四，加強多利益相關方的參與。d.基于隱私路由的數據流通網絡 作為數據流通網絡基礎設施中的樞紐節點隱私路由，其作用將舉足輕重。從安全性上看，隱私路由需要具有密碼學上的安全保證；其次，面對大數據量流通，隱私路由應具有數據快速轉換和分發的功能；最后，隱金融業隱私計算互聯互通技術研究報告 126 私路由需要兼容不同技術類型（特別是密碼技術）的中間結果轉換，提升自身的使用效能。同時注意到，隱私路由的運營方需要具備中立、可信等屬性。隱私路由的開發、實現、運行維護將成為未來數據流通相關產業不可或缺的一部分。（三）（三）生態主要建設路徑生態主要建設路徑 互聯互通生態的

195、建設不是單純的技術問題，互聯互通生態主要由市場化主體參與，涉及各方面利益，需要通過路徑的規劃，才能把生態建設的理念轉化為實踐，能夠更好地處理建設中涉及的生態參與方的復雜關系。隱私計算技術和應用發展已取得一些階段性的成果，互聯互通生態建設可在已有互聯互通形態試點推廣的基礎上，在聯盟互聯互通技術框架內進一步進行技術驗證，完善互聯互通相關標準和政策，進行算法市場、數據市場等相關市場建設，開展更多業務層面落地應用等方面實現生態的良性發展。1.已有形態試點推廣 互聯互通生態建設實現的形態包括黑盒互通、白盒互通、灰盒互通、基于隱私路由和中間件的互通等。這些形態需要擴大試點推廣，形成作為探索數據流通新模式的

196、突破口。(1)節點內縱向互聯互通統一管控平臺 互聯互通是打破“技術孤島”實現數據流通的必經之路，業務需求方可以通過互聯互通統一管控平臺（見圖 59）將多個廠商的產品接入互聯互通統一管控平臺，進行統一操作管理。金融業隱私計算互聯互通技術研究報告 127 圖 59 統一管控平臺互聯互通示意圖 互聯互通統一管控平臺具有的特點包括統一管控平臺凌駕于各家平臺，形成事實接口標準；滿足多個平臺降低運營成本需求；確定性強，短期落地可行性高；易于理解，客戶可接受性高；共榮生態，構建一個兼容開放、互利共贏的互聯互通生態。(2)基于隱私路由的跨平臺互通技術 基于隱私路由的互聯互通實現方案保留各隱私計算平臺的內部自治

197、性（如采用了哪一種隱私計算技術和底層密碼運算技術），各平臺互聯時僅需要接入隱私路由并實現自身的中間結果與某一種特定數據格式的轉化即可，無需與所有其他平臺兩兩構造互通關系?！半[私路由”的實現方案充分保證平臺自治性，隱私計算平臺無需修改已有的計算協議，也無需額外增加支持其他密碼算法、協議，或者增加相應的安全假設；同時提供了靈活的擴展性，可兼容各類技術體制下的隱私計算平臺動態接入或退出互通網絡。金融業隱私計算互聯互通技術研究報告 128 (3)基于灰盒的異構平臺互通技術 異構隱私計算平臺之間的灰盒互通技術驗證，是從異構平臺的隱私計算算法層面實現互通。區別于黑盒互通、白盒互通的思路，灰盒互通是區分異構

198、隱私計算算法及算法協議的設計實現原理和過程，以及算法源碼級內容。其中灰盒互通技術驗證聚焦于異構平臺間隱私計算算法原理和實現過程的統一開發流程說明，實現源碼不在其他平臺間公開。對比白盒互通實現方法，異構平臺間算法在非開源的前提下實現互聯互通；對比黑盒互通實現方法，異構平臺間僅公開了隱私計算算法原理和實現過程，從算法實現流程上加深互聯互通參與方的合作深度，便于開展具體算法協議間的技術驗證。(4)基于中間件異構平臺互通技術 異構隱私計算平臺間的基于中間件異構互聯互通技術驗證方式，參考了互聯網數據傳輸互通實現方法。隱私計算異構平臺間的互聯互通可以劃分成底層通信、中間層傳輸及頂層應用等層次，通過逐層定義

199、系列標準共識內容，實現規范互聯互通。具體地，異構平臺間采用輕量化的中間件方式，分別基于消息隊列進行組件化改造、利用中間件實現任務事件轉發、貫穿隱私計算各個交互階段。中間件主要實現的功能包括：算法數據報文重構、任務事件轉發、任務狀態同步?；谥虚g件的異構平臺互通方式，可將對各平臺原生框架的改動量降到最小，便于擴展為多種隱私計算平臺對接，具有較好的通用性。(5)基于區塊鏈智能合約的異構平臺互通技術 區塊鏈是分布式數據存儲、點對點傳輸、共識機制、加密算法等計算金融業隱私計算互聯互通技術研究報告 129 機技術的新型應用模式，具有防篡改、追蹤溯源、公開透明的特性。而智能合約則是基于鏈上可信的不可篡改的

200、數據執行模式，可自動化執行預先定義好的規則和邏輯?；趨^塊鏈技術的智能合約機制，鏈上交互標準統一、基礎設施完善、合約復雜度較低，能夠較快完成跨平臺互通。結合區塊鏈的特性，可以有效實現隱私計算任務的鏈上審計和溯源。2.技術驗證 技術驗證是在已有互聯互通技術框架的基礎上進一步驗證技術的實用性和可靠性，為大規模應用奠定基礎。技術驗證的重點在于對已有互聯互通形態互聯互通接口的驗證，定義標準化的互聯互通接口，成為構建行業互聯互通方案的關鍵技術基礎。因此，開展互聯互通技術驗證，可以圍繞互聯互通框架相關功能模塊及接口，從以下四個方面實施：(1)確定可量化互聯互通技術指標：確定可量化互聯互通技術指標：是確定技

201、術驗證目標的基礎?；ヂ摶ネǖ哪芰?，是可以被明確定義和拆解的，在各個能力點上量化互聯互通能力，為技術驗證提供了明確的方向。(2)具象化檢測對象：具象化檢測對象：標準化的接口帶來了互聯互通系統各個模塊細粒度的劃分，明確了模塊化職責，提升了技術驗證的有效性和針對性，更加聚焦驗證的關注點。例如通信模塊關注協議信道打通與穩定性，算法與算子模塊關注計算性能與安全性，管理模塊關注功能的完備性，調度模塊關注其標準滿足情況及其兼容性等。(3)采用多元化技術驗證方法：采用多元化技術驗證方法：對不同的模塊，針對性和關注點不一樣，采用的驗證方法也會多樣性，除了原有的人工功能檢測外，更多使金融業隱私計算互聯互通技術研究

202、報告 130 用面向接口的自動化檢測：對于面向容器化的框架基座，引入鏡像掃描的標準性檢測的方法；對于通信模塊，可引入魯棒性檢測，協議兼容性檢測等驗證方法。(4)研發復用化技術驗證研發復用化技術驗證工具：工具：面向標準化通用化的接口，可以開發出能夠復用和持續完善的驗證工具，對不同的產品，不同模塊，分別建立驗證用例集與評價指標體系。隱私計算互聯互通技術驗證在實踐中根據業務需求和業務形態有不同的實現形式。以跨平臺互通技術在聯盟聯通、數交所聯通模式為例，可采用實驗室網絡模擬方式在聯盟（或其代表機構）、數交所部署隱私計算路由以使其成為各隱私計算平臺技術驗證環境的重要組成部分，互通網絡結構如圖 60 所示

203、。圖60 互通網絡結構示意圖 在該互通網絡結構中，各隱私計算平臺為被驗證對象，隱私路由為陪測環境的一部分。在兩個隱私計算平臺上分別部署不少于一個數據源，并結合自動化檢測方法和工具，充分驗證平臺間的互聯互通效果。3.標準和政策建設 針對不同需求，一方面由行業聯盟牽頭制定完整的標準體系，編制相金融業隱私計算互聯互通技術研究報告 131 關標準體系表，并組織編寫相關標準。另一方面由互聯互通生態參與方根據不同角色定位，在國際標準、國家標準、行業標準、團體標準或地方標準各層面完善適合自身特點的標準體系。其中，已完成的團體或地方標準等一方面可以爭取向上申報，嘗試在應用實踐的基礎上升為行標等擴大標準影響力，

204、另一方面根據技術發展情況和市場需求對標準體系表進行維護和更新。政策方面，可通過組織編寫研究報告和技術白皮書等方式向上級領導單位反映互聯互通對于政策方面的需求和發展建議。4.相關市場建設 在隱私計算互聯互通命題下，推進相關的算法、數據等市場建設，除了可能收獲上述共性價值外，還對隱私計算的商業化實踐、數據要素的多維度流通、技術創新的場景化應用、知識產權的有效保護具有推動作用。因此，在隱私計算互聯互通命題下，需要重點討論數據市場、算法市場的前置建設。(1)數據市場建設 公開市場數據交易是數據要素市場化配置、參與社會生產、貢獻要素價值的最主要方式。在既往實踐中，個人隱私保護、數據利益保護、數據安全要求

205、等幾項基本前提逐步確立，也引申出數據可用不可見、用途可控可計量的隱私計算技術目標。(2)算法市場建設 目前，算法市場主要有三種模式，一是頭部企業所搭建的開放平臺和AI 市場，提供開發工具、通用模型、數據集等全量支持；二是垂直領域的金融業隱私計算互聯互通技術研究報告 132 AI 公司，利用自身的業內資源和口碑而建立的行業算法市場；三是創業公司搭建的獨立算法市場。隱私計算算法市場建設，除了在交易規則、信息匹配、分潤機制等方面的一般考慮外，還需著重關注標準適配、場景分類、知識產權有效保護等特殊需求，打造相較場外市場的效率性、完整度優勢。a.標準適配與場景分類 結合現有隱私計算技術框架，算法市場需要

206、依托（或推動制定）協議標準、接口標準、實現標準、審計監督標準、安全性度量標準，對場內算法進行索引和評價，從而保障算法模塊在不同隱私計算框架的流通。b.算法知識產權保護 算法知識產權保護方法的延續性、適應性、專業性是實現有效保護的主要挑戰。算法市場主體信用體系可以使用聯盟鏈方式構造，確保技術廠商、業務廠商、機構用戶、鑒定機構等主體在平等、安全、自治的前提下共建可信市場。將知識產權鑒定機構引入算法交易市場，提供標準化、可追溯、全鏈路的認證服務能力，幫助事后更好識別算法特征和權利主體。在算法交易記錄加密鏈上存證基礎上，探索算法開發權限的 token 化授予和流轉，提升算法知識產權保護的延續性。隱私計

207、算互聯互通生態市場化發展，除數據市場和算法市場外，還可能出現模型市場、算力市場等進一步細分的市場。各類市場的有機聯動將共同推動互聯互通生態的進一步快速發展。5.業務層面落地 金融業隱私計算互聯互通技術研究報告 133 (1)互聯互通的不同業務形態和相應落地方式 當前業內主要有三種互聯互通的業務形態，對應的落地方式也不同，各機構需要根據實際場景靈活選擇。一是監管類、數交所或數據流轉平臺一是監管類、數交所或數據流轉平臺模式模式，該模式由監管機構、數交所或行業中立機構主導的一對多參與機構，場景一般由牽頭單位制定互聯互通的各項要求，參與機構必須按照要求加入合作中來，適用于有一家主體單位主導的有強監管需

208、求的場景，或者是根據部分行業特性與需要出現的由行業中立機構主導的數據流轉平臺場景；二是大行自有生態模式二是大行自有生態模式，該模式一般會由一家金融機構牽頭，再將與其合作的外部機構按照各方達成共識的互聯互通方式引入網絡生態，該模式的優點在于生態中的各節點在與牽頭金融機構合作的同時，均可以自由合作，網狀結構便于場景快速擴展；三是點對點的業務需求模式三是點對點的業務需求模式，該模式適合少數幾家機構達成互聯互通方案共識后的快速落地試點，但不適合大范圍擴展應用。圖 61 展示了通過組建由多機構組成的聯盟的方式，提供防范多頭借貸的新措施。圖 61 金融領域多頭借貸多機構聯盟示意圖(2)互聯互通場景驅動 金

209、融業隱私計算互聯互通技術研究報告 134 作為數據流通產業的基礎建設，隱私計算互聯互通在業務場景應用中能更好地平衡安全和效率，典型的業務應用場景包括營銷場景、風險場景以及監管場景等。a.營銷場景驅動 營銷場景以精準定位目標客戶，提升營銷收益為目標。金融機構自有用戶數據和特征有限，聯合跨機構、跨行業的數據，可以拓寬數據樣本量、豐富數據維度，從而實現高效觸達存量客戶、精準納新拓客的效果。營銷場景下的數據提供方主要是金融機構、互聯網平臺、運營商、征信機構、政府部門等，這些數據提供方數據一般都與自身的隱私計算節點綁定輸出，因此跨機構、跨行業的聯合營銷場景具有較強的互聯互通驅動力。b.風險場景驅動 風險

210、控制具有信用評級、貸款風控、授信額度、黑名單查詢等廣泛的場景需求，可以控制金融機構風險、降低不必要的損失、提高經濟效益?；陔[私計算互聯互通的聯合風控，可以整合隔離在不同領域和行業的數據，在各方原始特征不出域、計算環境不改變的前提下，建立高精準度的風控模型，提升風控質量。對于金融機構和公安部門，風控場景具有較強的內生驅動力，互聯互通聯合風控場景需求也多產生于金融機構。c.監管場景驅動 隨著網絡生態的發展，網上欺詐和跨境犯罪的形勢越來越嚴重，中國人民銀行、國家金融監管管理總局等監管部門出臺了多項治理措施，所屬金融機構積極行動，在反洗錢、反欺詐識別和檢測可疑交易等場景下，驅動隱私計算互聯互通的推廣

211、落地。金融業隱私計算互聯互通技術研究報告 135 六、總結與建議（一）（一）總結總結 金融行業隱私計算互聯互通，既是金融機構實施“以用戶為中心”服務轉型過程中對標監管方關于合規化數據要素流通要求的行動方向，也是金融行業積極落實中國人民銀行印發的金融科技發展規劃（2022-2025年）中關于“探索建立跨主體數據安全共享隱私計算平臺”要求所必須開展的工作。隱私計算 1.0 時代已破解了以機構為主體的數據孤島問題，然而 1.0 時代所依托的異構隱私計算平臺在發展的同時也催生了高昂的數據要素合規流通成本，不利于行業生態持續、良性的發展；基于此，金融行業隱私計算互聯互通工作開始被提上議程，并被金融機構、

212、互聯網平臺企業、金融科技公司、金融檢測認證機構、隱私計算開源社區等多個產業方所密切關注。本課題以金科聯盟平臺為依托，經過51家金融機構、互聯網平臺企業、金融科技公司、金融檢測認證機構、隱私計算開源社區等參與單位協同攻關，針對隱私計算特點解耦了隱私計算系統架構，實現了“管理面與數據面解耦”及“隱私計算系統底座與算法解耦”，并將該架構進一步拆解為“管理面元素與接口研究”“流程調度接口與算法容器加載研究”“安全算子接口與服務化研究”“傳輸接口與報文研究”“異構算法協議研究”“TEE互聯互通技術研究”6個部分。隨后，在陸續攻關了各部分所涉及的“管理面最小必要元素設計”“多方資源訪問控制協同策略”“DA

213、G&CONF的通用化設計”“流程調度互通設計”“組件容金融業隱私計算互聯互通技術研究報告 136 器化加載方案”“基于最小化約束的算法容器設計”“隱私計算安全算子服務設計”“傳輸層同步異步兼容設計”“異構平臺開放算法協議設計”“TEE統一遠程證明流程設計”等技術難點問題后，本課題還從互聯互通生態建設目標、生態藍圖、生態主要建設路徑展望了行業生態的發展前景，為后續的互聯互通接口定義與對接驗證奠定了堅實的基礎。（二）（二）發展展望發展展望 隱私計算互聯互通的目標立足于行業級互聯互通，旨在實現“行業化、平臺型、生態化”的愿景。在強監管的主基調下，金融業隱私計算互聯互通技術有望在未來一段時間內成為合規

214、的重要基礎能力，并在金融科技的創新側和監管側發揮重要作用。課題組認為當前這項工作尚處于小范圍試點階段，距離大規模推廣乃至成熟的商業模式尚需作出不懈的探索?？傮w而言，下一步規劃應考慮如何在滿足合規要求下，充分調動隱私計算互聯互通生態各方的積極性，營造良性互聯互通行業生態。一是需要配套的政策環境引導。一是需要配套的政策環境引導。政策面上應積極推動基于隱私計算互聯互通技術層次化解耦的標準與認證工作，并以行業應用為抓手明確隱私計算互聯互通的能力成熟度，使更多機構有動力加入隱私計算互聯互通生態構建工作中，引導行業逐步從自治試點向規范、有序隱私計算互聯互通過渡。二是需要積極探索隱私計算互聯互通關鍵技術的實

215、施方案，保持必二是需要積極探索隱私計算互聯互通關鍵技術的實施方案，保持必要兼容性，避免因出現新的門檻而增加各方改造成本。要兼容性，避免因出現新的門檻而增加各方改造成本。在充分尊重主流異金融業隱私計算互聯互通技術研究報告 137 構隱私計算平臺技術路線差異基礎上，從南北向和東西向兩個維度綜合評估隱私計算互聯互通框架解耦后每層接口的不同實現方案，并優先解決緊迫性應用需求。三是需要加強業務需求方與技術提供方的聯動，重點解決場景和平三是需要加強業務需求方與技術提供方的聯動，重點解決場景和平臺互聯互通技術驗證。臺互聯互通技術驗證。安全與效率的平衡一直以來是隱私計算技術發展的難點，不能脫離具體場景需要而獨

216、立存在。不同業務場景的數據流通頻次、密度、體量等往往有所差異，作為場景應用基礎設施的平臺在技術路線兼容方面也有所差別，因此，需選擇代表性場景對隱私計算平臺進行系統性測試，以便更好貼近金融行業數據要素流通需求。（三）（三）政策建議政策建議 金融行業隱私計算互聯互通的發展具有強烈的合規屬性，因而政策導向在守正創新方面具有舉足輕重的作用。當前，隱私計算互聯互通處于發展的關鍵階段，良性生態建設刻不容緩，“如何推動隱私計算技術與數據要素市場建設協同發展，構建政府、企業、社會多方協同治理模式”成為生態參與方的普遍關注點。然而，由于隱私計算相關技術應用仍在不斷實踐演進中，關于各類業務場景如何落實創新數據治理

217、，還需要更多實施細則和配套政策進行指導，以便更好明確改造落地的實施導向和推進標準布局、產業激勵等方面工作，加快助力數據要素在合規前提下尋找安全與效率的平衡點，深化數據融合，賦能實體經濟。1.加強政策引導(1)建議監管部門推進互聯互通相關規范落地，鼓勵金融行業積極建議監管部門推進互聯互通相關規范落地，鼓勵金融行業積極金融業隱私計算互聯互通技術研究報告 138 采用隱私計算互聯互通框架開展多方數據合作相關業務。采用隱私計算互聯互通框架開展多方數據合作相關業務。在合規前提下提升多方隱私計算合作效率，并在實踐中逐步夯實互聯互通框架對金融行業場景應用的支撐力度。(2)建議建立行業級數據安全產品認證檢測體

218、系，形成產品質量保建議建立行業級數據安全產品認證檢測體系，形成產品質量保障機制。障機制。循序推進隱私計算產品、服務和流程建立認證認可體系，根據行業實踐積累經驗，逐步推動相關行業標準立項，規范相應產品研發和檢測認證流程。既要為隱私計算技術服務商提供透明、科學、客觀、可驗證的技術測評，不斷提高產品和服務質量，也要在產品選型和業務運營上為金融機構提供評估驗證和指引，有效降低碎片化評估成本，促進產業的健康快速發展。(3)建議建立統一的認證認可法律體系、建議建立統一的認證認可法律體系、制度體系、組織體系、標制度體系、組織體系、標準體系和監管體系，構建起“統一管理，共同實施”的行業認證認可體系。準體系和監

219、管體系，構建起“統一管理，共同實施”的行業認證認可體系。建議認證認可流程由獨立第三方機構具體實施，政府部門負責制訂政策、建立制度并實施監管，社會各方采信評價結果。統一規范市場準入要求和市場評價規則。2.推動聯盟建設(1)建議組織推動建設適應金融行業發展需要的隱私計算互聯互建議組織推動建設適應金融行業發展需要的隱私計算互聯互通聯盟。通聯盟。長期推動互聯互通規范的演進與生態建設發展，從數據流通全生命周期運維高度規劃隱私計算互聯互通體系，逐步建立隱私計算互聯互通運營機制及評審報備制度。(2)建議使優質參與方有更多的合作機會，促進良性循環建議使優質參與方有更多的合作機會，促進良性循環。建立資源貢獻度評

220、估和激勵機制，允許將算力折算為資源加入互聯互通生態，激金融業隱私計算互聯互通技術研究報告 139 勵參與方積極地參與到生態中，優化聯合建模與推理，繼而為互聯互通生態的各參與方提供優質模型和系統服務，促進良性循環。3.完善知識產權保護建議強化場景算法和安全算法的知識產權保護力度建議強化場景算法和安全算法的知識產權保護力度，促進商業隱私計算與開源隱私計算社區協同發展及各自優勢發揮，嚴格保護商業隱私計算算法知識產權和隱私計算技術服務商權益，完善技術產業生態，引導業界基于互聯互通基礎框架形成技術演進與數據業務相互促進的商業模式。4.規范市場建設實施路線(1)建議推動隱私計算相關市場建設，明確運營主體建

221、議推動隱私計算相關市場建設，明確運營主體。構建涵蓋數據提供方、技術輸出方、業務需求方、監管審計方在內的生態化產業體系。(2)建議監管部門在管理層次上，先推薦、再鼓勵，最后形成統一建議監管部門在管理層次上，先推薦、再鼓勵，最后形成統一標準。標準。統籌應用方、數據方、平臺供應商等相關方，遵循逐步漸進的方式，先從小范圍試點開始，逐步推進；同時，充分用好監管沙箱機制，完善出箱后再落地的銜接制度，最后形成全市場統一的格局。金融業隱私計算互聯互通技術研究報告 140 附錄：重要術語 術語 定義 節點 隱私計算生態中的抽象功能單元，用來指代由機構或組織部署的隱私計算平臺。數據集 可供參與隱私計算的數據資源。

222、項目 面向特定目標的，提供一項獨特產品、服務或成果的隱私計算方案，該實體為可選項。組件 獨立執行隱私計算任務的模塊單元，其經過封裝、符合開放接口規范、可以完成某個特定計算或算法，可獨立部署。流程 采用DAG結構定義的、可編排的隱私計算作業運行模板。作業 一個隱私計算流程通過配置運行參數后的運行實例。任務 組件運行實例的載體，每個運行實例通過任務來管理。模型 指通過隱私計算技術訓練完成，可用于進一步推理的模型，或是已有的現成模型。金融業隱私計算互聯互通技術研究報告 141 參考文獻參考文獻 1 中共中央國務院.關于構建數據基礎制度更好發揮數據要素作用的意見 EB/OL2022-12-19.htt

223、p:/ 中共中央國務院.關于堅持和完善中國特色社會主義制度推進國家治理體系和治理能力現 代 化 若 干 重 大 問 題 的 決 定 EB/OL2019-11-05.http:/ 中 國 人 民 銀 行.金 融 科 技 發 展 規 劃（2022-2025 年）EB/OL2021-12-29.http:/ Stepehn Hardy,Wilko Henecka,Hamish Ivey-Law,et al.Private federated learning on vertically partitioned data via entity resolution and additively hom

224、omorphic encryption.EB/OLhttps:/arxiv.org/abs/1711.10677.5 Chaochao Chen,Jun Zhou,Li Wang,et al.When homomorphic encryption marries Secret Sharing:secure large-scale sparse logistic regression and applications in risk control.EB/OL https:/arxiv.org/abs/2008.08753.6 Dung Bui,Geoffroy Couteau.Improved

225、 private set intersection for sets with small entries.EB/OL https:/eprint.iacr.org/2022/334.7 Vladimir Kolesnikov,Ranjit Kumaresan,Mie Rosulek,et al.Efficient batched oblivious PRF with applications to private set intersection.EB/OL https:/eprint.iacr.org/2016/799.pdf.8 Kewei Cheng,Tao Fan,Yilun Jin,et al.Secureboost:a lossless federated learning framework.EB/OL https:/arxiv.org/abs/1901.08755.9 全 國 人 民 代 表 大 會.中 華 人 民 共 和 國 個 人 信 息 保 護 法 EB.OL 2021-08-20.http:/ 10 中 華 人 民 共 和 國 中 央 人 民 政 府.征 信 業 務 管 理 辦 法 EB/OL2021-09-27.http:/