安 鹏 张卓晖 喻 波
(北京明朝万达科技股份有限公司 北京 100142)
(anpeng@wondersoft.cn)
数字经济时代,数据要素已成为关键生产要素,其重要性日益凸显.在数字化转型的过程中,数据的流通和共享成为了必需,与此同时敏感数据泄露的风险也随之加大.随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规的研究制定,我国数据保护法律法规体系将更为清晰、严谨.对数据的有效监管实现了有法可依,填补了数据安全保护立法的空白,完善了网络空间安全治理的法律体系.在强监管趋势下,粗放型数据交易模式上升为触犯法律红线的行为,目前业务仍处于此类灰色地带的企业将遭受重创,须积极探索符合合规要求的业务路线.为保障数据安全,数据的合规合法使用成为数据流通和共享的前提[1].在数据安全领域,隐私计算因具有保护数据安全、打破数据孤岛等优势,其优秀落地场景与案例越来越多,随着数据安全体系的不断完善,隐私计算[2-3]将实现数据价值最大化,成为数据流通和共享必需的基础设施.
本文从数据安全共享服务平台的设计出发,对平台架构和系统组成进行详细描述,采用微服务架构实现数据资源服务总线,通过任务驱动的协同机制实现基于隐私计算的安全计算系统.最终在平台内部构建数据安全监测和数据集中管控系统,保证系统运行的稳定和安全.
数据安全共享服务平台由1套平台(数据安全共享服务平台)、2个系统(数据安全管控系统、数据安全计算系统)、3种终端(数据安全共享SDK、数据安全共享网关、数据安全共享节点)组成,如图1所示:
图1 数据安全共享服务平台
平台通过支持多种数据安全接入传输的终端网关与数据安全接入服务实现外部数据大批量、高并发的安全接入与传输;
并通过基于微服务架构的数据资源服务总线进行安全共享,满足符合访问授权规范要求的数据共享与访问操作.内部数据的共享也通过本平台完成,相关数据的访问操作必须符合访问授权规范要求.其他数据的共享也可以选择通过本平台实现发布使用与访问控制[4].
针对部分所需数据不能被直接获取,甚至部分数据不能被访问的情况,平台提供了基于隐私保护的数据安全共享节点,采用在可信受控存储环境下的多方协同分析与多方安全计算[5-6]实现对受限数据的“可用不可见”.
平台融入了数据安全管控系统[7],实现了智能匹配相应的安全管控策略,对所有数据操作进行全程安全管控和全生命周期的审计溯源,采用基于人工智能的用户异常行为分析,实现异常行为、安全风险的自动感知与处置.
1.1 数据资源服务总线
相对于传统的数据资源服务总线,基于微服务架构的数据资源服务总线具有可弹性扩展、分布式、自维护、轻量级、松耦合等特点,也叫微服务API网关.采用面向服务的体系结构实现数据资源应用间的数据共享和使用,主要解决数据资源的封装问题[8].如图2所示,包括:
数据使用方.需要通过总线获取数据服务的请求程序.
数据提供方.在总线上提供数据服务的服务程序.
数据服务注册.数据提供方将自己的数据服务和服务规约发布到服务注册中心,以便数据使用方可以发现和访问该服务.
数据服务管理.总线为了发现数据服务请求和提供过程中存在的问题,记录数据服务请求、提供的内容,了解数据服务的状况、性能,从而对数据服务进行控制.
数据服务内容.包括数据服务请求内容和数据服务提供内容.
图2 数据服务总线
数据服务总线主要功能包括对接服务、级联服务、网关服务及跨网授权、权限控制、服务注册、访问审计、日志同步等,以满足不同业务场景下的技术要求.
1) 服务注册.
服务提供者依据服务资源注册信息格式要求,将自己的数据资源服务和服务规约发布到服务注册中心,由服务总线统一管理服务目录,以便提供调用.
2) 服务请求.
服务请求者依据服务文档的请求调用报文格式,构造服务请求报文并发送至总线.服务调度主要通过代理访问模式实现,即将服务请求发往服务接口所挂接的数据服务总线,由服务总线通过路由代理访问服务接口,并返回结果;
服务请求也支持直接访问模式,即由认证及授权服务根据服务请求方的权限信息,向服务请求方授予访问令牌,服务请求方拿到令牌后再向服务接口方发送请求.服务提供方需检查访问令牌,通过后直接向服务请求方提供服务[9-10].
3) 异步服务请求.
服务总线支持服务请求者的异步服务请求.服务总线缓存服务请求的返回结果,当服务请求者获取异步请求返回结果时,再将返回结果发送给服务请求者.
4) 服务路由.
服务路由是服务总线基于服务请求进行路由匹配的核心功能.服务总线接收到服务发起方通过权限校验后提交的服务请求后,开始进行路由匹配,匹配成功后就开始处理该请求,并将服务响应结果传输给服务提供方.
相对于传统的服务总线,服务总线需要满足海量的应用访问请求,支持分布式的扩展.服务总线的路由支持1个API和多个后端节点模式(即集群模式);
后端支持IP地址注册及服务名称注册;
使用服务名称注册时,移动服务总线必须提供一种可靠的服务注册发现机制,确保后端节点地址的动态变化.
5) 服务编排.
服务编排指将多个服务进行编排形成新的服务.对于服务调用方,只关心想要的结果,并不关心调用的复杂过程.支持直观方式定义的新组合服务流程(工作流或代码级编排),通过少量的可视化定制化开发,即可实现服务的编排功能.
6) 访问控制.
对接入服务总线的服务请求方和服务接口进行身份合法性验证.对服务请求方发出的请求进行权限检查,对于越权访问予以拒绝.访问控制可以对应用层进行权限审查,也可以对访问发起方进行权限检查.服务总线即支持客户端身份和用户身份的访问控制,也支持同时对2种身份的访问控制.
7) 流量控制.
流量控制可以用于管控API的被访问频率、应用的请求频率、用户的请求频率等.流量控制的时间单位可以是分钟、小时、天.同时支持流量控制例外,允许设置特殊的应用或者用户.
8) 服务管理.
① 服务监控:实现对服务接口等相关资源的运行状态监控、性能监控、负载监控以及异常自动告警;
从服务接口的在线率、访问量、访问成功率、响应速度等方面对服务质量进行评价和排名;
基于监控日志,从地区、应用、时间、频度等多个维度,对服务资源运行情况进行统计分析,并采用业务视角展现服务资源的实战成果.
② 调用链跟踪:服务总线支持识别请求方发送的跟踪信息,从而形成1条调用链并保存到日志中,后续可以通过直观的方式看到一个请求从客户端发起,经过网关路由,再到后端节点,甚至数据库的调用链,也支持查看每个环节的消耗时间、错误状态和采集到的关联日志.
③ 异常处理:服务总线接收到服务请求之后在服务结束期间发生一切异常都有完整处理.一方面要让服务请求方知道服务调用失败,即异常反馈;
另一方面网关需要了解异常情况,即记录异常日志.
9) 安全防护.
支持多种认证方式,支持HMAC(SHA-1,SHA-256)算法签名.支持HTTPS协议,支持SSL加密.防攻击、防注入、请求防重放、请求防篡改[11].
10) 安全审计.
主要通过日志采集、分析和处理实现对服务行为进行安全审计.行为日志主要包括服务资源注册、授权和访问3种类型.采集的数据项目应符合相关要求;
同时通过采集汇总服务总线节点和信息资源服务状态和日志信息,以此为基础提供日志查询、统计分析功能,为服务总线的运行维护提供数据支持.
11) 访问协议.
服务总线对外支持HTTP和HTTPS协议,支持HTTPS证书管理;
服务总线调用后端接口支持HTTP和HTTPS协议,同时支持把后端节点的HTTP协议转换为对外暴露HTTPS协议.
12) 访问鉴权.
服务总线对外提供统一安全控制策略.应用访问总线时必须经过鉴权,鉴权通过后允许访问,否则予以拦截.访问鉴权的模式有以下4种:
① 应用鉴权.访问服务接口的使用方必须是已注册服务的用户.由使用方进行申请,总线完成注册,同时为服务使用者分配可使用服务的权限.
② IP地址鉴权.基于IP地址对服务使用者进行身份认证.对于不在服务使用者所申请的IP地址范围内产生的服务调用,总线给予拦截和告警.对于通过多重路由或映射导致不能获得实际IP地址时,应采用访问令牌方式进行替代.
③ 用户身份认证.通过OAuth2,JWT等标准实现对所注册的接口和用户进行身份认证和权限控制.
④ 请求校验.支持参数类型、参数值(范围、枚举、正则、JSON Schema)校验,无效校验直接会被API网关拒绝,减少无效请求对后端造成的资源浪费.
1.2 数据安全接入服务
1.2.1 数据安全接入网关
数据安全接入服务基于代理技术开发,使用TLS连接提供安全服务,通过重写链接和端口处理远程用户对内网的访问请求,采用国密加密算法进行链路数据加密[12].主动采集系统自身运行状态信息、客户端访问流量信息,确保过程可信、结果准确、证据可查,有效实现“主动/被动安全防御”的结合,保护内部网络不被攻击、资源不被窃取.具有维护简单、移动性强、访问控制能力强等特点.包括以下4种能力:
1) 数据加密传输.
采用TLS协议保证通信双方的信息安全,依赖可靠的TCP传输层传输和接收数据;
支持国产加密算法,进行链路数据加密;
采取特有应答纠错机制,包括确定应答与重发、记录重组等机制,保证数据包有序、完整到达安全接入网关TLS会话模块.
2) 日志监控审计.
提供配置远程客户端和服务发布的可视化管理平台;
实时监控内网资源访问情况,自动记录相关日志;
随时查看每个在线客户端的情况,可以随时中断可疑会话.
3) 资源服务发布.
支持内网资源在安全接入平台以服务的形式发布,已发布的服务可被客户端通过安全接入网关访问;
支持对发布的服务生成唯一签名;
支持服务端发布多个内网资源服务,每个服务可进行独立的认证、配置与管理;
所有内网资源服务的IP、端口对客户端不暴露[13].
4) 远程接入管控.
支持在安全接入平台管理远程接入的客户端,需在安全接入平台配置并认证,方可远程访问内部资源服务;
支持配置认证多个客户端,每个客户端可进行独立的认证、配置与管理;
支持同一客户端同时访问多个内网资源服务;
客户端使用服务端已发布服务的签名和证书与服务端具体服务进行TLS握手认证.
集成弹性伸缩、身份认证、通道管理、流量监控、服务管控等,支持跨区容灾和就近路由,规避单可用区可能存在的不可抗力风险,提高服务的高可用性和容灾能力[14].线性扩展(包括本身的扩展性及业务的扩展性)具有最灵活的安全接入方式,支持Web代理、文件共享、端口转发、网络扩展、支持IPv6网络.动态检测接入条件最优网关,智能优选接入链路,确保良好业务和数据应用体验.
1.2.2 API服务接口规范
所有服务的接口均基于HTTP/HTTPS协议,符合Swagger 2.0接口描述规范.服务提供方和服务使用方必须同时使用同一种类型的技术进行开发和调用,调用的服务通过HTTP URL中特定属性进行标识.
服务的接口数据包含业务所有的业务数据,数据采用JSON格式表示,并且符合相应的JSON Schema.服务提供方和服务使用方必须同时使用同一种格式进行数据交互.
1个服务应该只实现1个业务功能.服务应是无状态的,2次请求之间无须状态和会话的保持,并可以采用轮询的方式在负载均衡器上进行注册.
服务请求和返回的报文应符合JSON Schema格式.服务请求方和提供方应采用通用的JSON解析器来构造和解析数据,JSON不同含义的段落应定义明确含义的字段名称,相同内容的数据应采用数组进行描述,双方可根据JSON名称和路径进行精确定位,不应根据字段的顺序获取字段值,字段值不受字段顺序调整的影响.报文统一采用UTF-8进行编码.
为提高数据查询类服务的通用性和性能,查询类服务在入参中定义返回字段列表,服务提供方根据入参中指定的字段返回信息.
服务提供方应对请求报文格式和关键信息进行合规性和业务校验,防止非法访问和入侵.
服务调用方和服务提供方通常采用同步调用的方式进行请求,如需要使用异步调用可采用消息队列或服务调用方定义异步通知接口实现.
服务接口采用微服务架构进行开发和部署[15].微服务是指开发一个单个小型的具备业务功能的服务,每个服务都有自己的处理和轻量通信机制,可以部署在单个或多个服务器上.微服务架构指一种松耦合的、有一定上下文的面向服务架构.相对于单体架构和SOA,微服务架构的主要特点是组件化、松耦合、自治和去中心化.
1.3 数据安全计算系统
数据安全计算是平台基于隐私计算技术对外输出的数据计算服务能力,如图3所示.
图3 数据安全计算系统
跨信任域多参与方的数据安全计算以及联邦学习[16-17]任务,主要包括任务创建、任务分配、数据输入、任务计算、结果解析5个步骤:
1) 任务创建.
任务发起方配置、核实数据安全计算任务所需资源,发起计算任务.数据提供方对所有的数据使用进行授权,任务发起方和数据提供方为同一实体的情况除外.数据提供方可委托调度方对数据进行使用授权,也可在任务创建前对数据进行预授权.数据使用授权和后续任务分配阶段可合并执行.
2) 任务分配.
调度方验证任务请求信息的合法性,包括身份验证和数据授权的合法性.验证通过后生成任务配置信息,发送给数据提供方、计算方和结果使用方.数据提供方、计算方和结果使用方收到任务配置信息后进行验证.各参与方保存收发的任务配置信息.
3) 数据输入.
数据提供方从数据源读取数据并生成输入因子,通过安全通道发送给指定计算方.数据提供方保存任务配置信息,并对发送的输入因子进行存证.
4) 任务计算.
计算节点接收各数据提供方的输入因子,按照数据安全计算协议进行协同计算,生成输出因子.将输出因子发送至结果使用方.
5) 结果解析.
结果使用方对输出因子进行解析得出计算结果.并对结果进行存证.
1.4 数据安全管控系统
数据安全管控系统是一个针对数据安全监测和数据集中管控的系统,能够收集各接入系统上报的安全事件和业务运行信息,对信息进行存储、分析、展示和响应控制,达到安全运行集中监测和管理的目的,如图4所示.同时可以帮助管理人员进行线上业务实时监控、业务异常原因定位、应用的数据统计分析、安全数据的分析和审计.还可以对出现的安全事件进行及时的响应控制,实现对终端的接入管控,主动断开存在安全威胁终端的连接[18],对内部的数据和应用服务进行保护.
1) 数据采集.
数据采集是系统安全监控的基础,主要负责采集基础信息和运行数据,采集的过程主要采用探针技术,在不同模块中安装探针,实现获取数据的目标.数据采集探针除用来探测终端、网络、应用、数据基础信息外,还负责探测安全事件和业务运行数据,并将探测结果定时上报至监控中心.
2) 数据分析.
平台对采集的信息进行分析及分类处理.采集的信息一般分为2大类:统计信息和安全事件.统计信息包括设备信息和流量信息等.相应地,安全事件则是违背监测策略项的内容.通过对采集到的监测信息进行分类、分析,在平台内进行可视化展示.
图4 数据安全管控系统
3) 数据展示.
主要对采集到的信息通过引入安全框架进行分析,对得到的结果通过大屏进行可视化展示.主要由整体安全信息分析展示、用户信息分析展示、网络信息分析展示、终端信息分析展示、应用信息分析展示、数据信息分析展示、安全事件分析展示构成.
4) 响应控制.
对发生的安全事件提供具体管控能力.主要包括告警提示、终端控制、应用控制以及数据控制.可以在管控平台的策略模块根据安全事件的严重程度,针对用户、网络、终端、应用、数据配置不同的管控策略.
5) 平台管理.
平台管理负责对安全保护环境中的计算节点、安全区域边界、安全通信网络实施集中管理和维护,包括用户身份管理、终端信息管理、接入设备管理、权限管理、应急处理等,为平台的安全提供基础性保障.平台管理符合国家相关安全规定和标准,监测内容标准化、采集数据格式标准化、设备接口标准化、违规信息处理标准化.
数据安全共享服务平台综合应用微服务、隐私计算等技术,满足了跨行业、跨区域的多源数据安全对接、传输与共享需求.采用API网关进行安全共享,满足符合访问授权规范要求的数据共享与访问操作,在保证数据安全前提下提供数据共享服务能力.针对内外部数据不能被直接获取,甚至部分数据不能被访问的情况,平台基于隐私计算技术提供了数据安全计算系统与数据安全共享节点,采用任务驱动的系统模式,通过可信受控存储环境下的数据分析与多方安全计算实现对受限数据的“可用不可见”.
猜你喜欢 数据服务调用总线 大数据时代高校图书馆数据服务的困境及优化路径经济研究导刊(2022年25期)2022-11-05地理空间大数据服务自然资源调查监测的方向分析房地产导刊(2022年10期)2022-10-18基于数据中台的数据服务建设规范研究现代计算机(2021年16期)2021-08-06关于CAN总线的地铁屏蔽门控制思路论述科学家(2021年24期)2021-04-25基于Android Broadcast的短信安全监听系统的设计和实现智能计算机与应用(2016年6期)2017-05-08利用RFC技术实现SAP系统接口通信中国信息化·学术版(2013年1期)2013-05-28Q&A热线微型计算机(2009年12期)2009-12-21PCI9030及其PCI总线接口电路设计现代电子技术(2009年14期)2009-09-05C++语言中函数参数传递方式剖析智能计算机与应用(2007年4期)2007-08-25