金融业隐私计算互联互通技术研究报告

金融业隐私计算互联互通技研究报告编委会名单主 任：潘红顾 问：柴峰编委会成员涂晓军 何 军 聂琴 杨燕明 傅 杰 周 骏冯云青丁文定范力欣田 江张 野彭 晋王 磊王 超姚 明何 浩卞 阳周吉文编写组成员高鹏飞周雍恺李洲张远健王婷葛明嵩焦惠芸王梦鸽龚乐诚刘 瑞魏博言张锦元许 冠范 涛万志辉邓 凯王 鹏樊昕晔李松涛尤 萌黄雅琼张晓蒙肖俊贤余超凡昌文婷袁鹏程胡晓龙王 玥曾 成靳 新赵永坤杨天雅卫骞陈治宇于欢何王琪丁亚丹陈钟正袁航邹奋张高磊张乐高扬陶建萍郑培钿毛娟鲁欣张大健王华忠虞洋赵可任江哲王湾湾张严明李京贤孙赫国钰孙舒徐安滢司忠平张少敏黄璜张翼飞刘玉良钱菲谢谨张育涵刘威薛祥杰黄飞臧铖陈嘉俊张敬之曹旭涛董效稳陈志豪王心玥胡师阳邱晓慧杨波王雪李武璐白玉真袁博闫树宋雨筱陈浩栋刘尧金银玉裴超韦晓亚陈鑫蒋嘉琦李亚鹏王云河靳 晨陈 璐陈 琨庞 婷魏 刚韩 鹏李秉帅李克鹏陈 明王礼斌王健宗黄章成吴天博黄翠婷陈 涛卞 杰崔 琢章 庆朱 瑶张鸣皓肖 坤杨朋霖吴 杰叶家炜应志伟冯 浩王帅强鲍思佳李如先陈 曦张 剑张佳辰金良水于 博顾逸晖蒋美献赵 荣苗天麒王 寰吴叶国马 利盛钟滨刘 伟宁立君唐志徽阮安邦魏 明王铀之刘立强赖建章邓志强杨劲雄周 璇李 帅徐 静李延凯吴博峰杨 博编 审：黄涛 张远健 刘龙主编单位：北京金科技联盟秘中国银股份公司成方金信息服务有公招商银股份公司上海浦发展股份有公中国工银行有限公司深圳前微众股份有公光大科有限司中金金认证有限公蚂蚁科集团有限公蓝象智（杭科技有公深圳市见智技有限司上海富科技公司北京百网讯有限公司参编单位：中国农银行有限公中国银股份公司交通银股份公司中国民银行有限公兴业银股份公司浙商银股份公华夏银股份公中国邮储蓄股份有公司北京银金卡有限公（银检测中建信金科技责任公司中国信通信院北京冲在线有限公北京数科技公司度小满技（）有限司华控清信息（北京有限华为技有限司腾讯云算（）有限任公深圳壹通智技有限司同盾科有限司中国电股份公司中国移股份公复旦大学海光信技术有限公金融信化研所联易融字科团有限上海光树科限公司神谱科（上有限公深圳致科技公司深圳微科技责任公司神州融数字（北京有限北京八量信技有限司上海荣信息有限公银联商股份公司杭州趣科技公北京原科技公北京火引擎有限公京东科信息有限公目录前言 1一、隐计算互通当发展况 3（一）展背意义 3（二）业驱力 5（三）点与战 6（四）融行索实践 7二、金业隐算互联通框计 13（一）架设量因素 13（二）体框计 16（三）架组析 17（四）架功色 20三、互互通分解研究 22（一）理面与接口究 23（二）程调口与算容器研究 26（三）全算口与服化研究 31（四）输接报文研究 34（五）构算议研究 37（六）TE联通技术究 44四、互互通技术点关 49（一）理面必要元设计 50（二）方资问控制同策略 56（三）DG&CF的通用设计 63（四）程调通设计 69（五）件容加载方案 76（六）于最约束的法容计 83（七）私计全算子务设计 87（八）输层异步兼设计 96（九）构平放算法议设计 101（十）TE一程证明程设计 107五、隐计算互通生展望 115（一）态建标 115（二）态蓝图 116（三）态主设路径 126六、总与建议 135（一） 135（二）展展望 136（三）策建议 137附录：要术语 140参考文献 141前言22年2月9，中共央国正式发《关建数据础制度更发挥要素作的意[1]提要促数合规高流通使用充实现要素价并有条件部门业加快破数可信流通、安全治理等关键技术。数据要素的发展催生了隐私计算的繁荣随着近年隐算行业快速联邦习方全计算可信执行环境隐私技术逐从试向了商然家厂商隐私计算平台往根自需要用了的技术构和协议得各台实现具极大异性致了台间难直接互通种情不仅造成机构系统的复建运营成的浪间接形了数据要素流的技垒使私计接“据孤开始转“术孤岛”。隐私计跨平联互通够有“技孤岛问有助促进数据要素跨平台高效流通。为进一步加快隐私计算互联互通技术发展推动行级隐算互联通方实施路制定在京金融技产业联（简联盟指导下国银联合商行在内主要金融机构科技互联公司信运营隐算开源区和测认证机共同了隐私算互（以简联互通的题工作次课组织在完业级互互通研制键技研究及规编制，本报内容课题阶性研果的汇体现。本报告足于视角对隐算技术展的和需求围绕“互联通一系列探索践并入浅进行阐报从当前行发展和互联通的意义着重提行业级私计算互联互探索的思路致力动行的跨台互通框架成研以及深挖掘互通关技术配套落实施案并在此础上进一步展互联产业发新生商业模以更地激发据要素流通和法市活力，造我字经济代新争优势。总体而言报告“隐私计互联课题的讨具要的实意义面对融业严监要求际应用复杂的平台术实方案成覆理面据面业级互互通框架更好现跨数据跨平跨行业联互此外告还互联互生态展需要别从标准业务面提出进思以推动融行互联互通态构落地，力形私计算联互态流通络。一、隐私计算互联互通当前发展情况（一）发展背景及意义背景及现状数据作数字的核心产要一已国家行等多层获得了广重视中第十九中央会第四全体于29年1月5日发《于持和完中国社会主制度国家治体系和治理能现代干重大题的[2]中首次提将据列为种新型生产要。22年12月9日中中央国院新的《关构建数据基础度更挥数据素作意见进一提促进数合规高效流通用实现数要素并支有条部门业加突破数据信流安全治等关术金行业型的数密集行业数要素为金融业高发展的要驱中国民银于221年2月29发布《融科发展规0-25年[3]中提出了推数据共享求探建跨主体据安享隐私算平提升数要素配置效。当前金融行业关于数据安全及隐私保护的需要加快推动了隐私计算技术在融行创新应随几年隐计算的快速展邦学习方安算可执行等隐私算技步从试走向商用然各厂的隐私算平早期实的过往往采了不同的技术构和协议使得台实现有极差异性导致各平台间以直联互通由于机异构平间无接进行互协且各机已接数据源本仅特定项特台下使导融机构阶段重复部多套隐私计平台现跨机跨的数据作仅造成系统建设和营成浪费间接了数据素流技术壁使计算连“孤岛始转成为“技孤岛。隐私计互联技术在定程能够促“技岛联进而促进据要平台高流通当跨平台联互逐步成行业共识，界各在从技和应面推动私计联互通。互联互通的意义和价值互联互的发够更好动隐算产业展，激发数素价可以互联互是隐算行业展的趋势。有真实现不行业、厂商台间认互用才能平台壁，加数据要生态建设。现实上看，联互意义和值主有：加快形成统一标准体系的金融数据要素流通网络。互联互通能够促形成的隐私算技准体系有助立跨主数据全共享式，挖掘数价值实现跨构、域、跨业数资源有共享合应用供有撑。促进互联互通产业新生态和新商业模式构建。互互通有助于实现业各领域数资源化利用促进互通良生态形成和商业构建，断拓融行业据要度和深，并服务实经济力金融技发同时逐提升综合应与多赋能实。助力端到端数据流通体系监管落地。隐计算互通可管机制透明公开化地提行的实方式力收拢据应用安全合漏斗金融行的数通实质地纳管，进推动数据要素场的化发展。（二）行业驱动力随着隐计算步入生发展道，互互通于进一快百亿隐私市场建。相期内较实现标略显大的义和价而言业各方关注联互通够快来的产价值这也是业各衷于推隐私互联互的真动力。降低成本、减少风险。隐私是一门兴的，相关的成熟大多过市场期检因此，过重署各类私计算平台来现跨多场景台支方式，仅会运营管成本的问题，潜在全风险比多淀的成信息产品也更高。各机构切希快异构台互通落地降低引入多隐私计算平台来的开销和全风提升不隐私平台间协作效率。简化行业数据流通要求，加速跨行业数据合作。私计算是能够打行业据壁垒利器联互通是充挥这把器作的磨刀。互通的发不仅于收敛业数素流通求、现行业据价放的规化与化，还助于跨行业据合的落地实现各隐私算技商可以专注联互通口细和开放广，隐私计技术模应用并进推动整行业展及产繁荣快数据机构行业流利用。加快完善数据要素加速流通的政策环境。互联的落地够帮助方进加快完数据政策环，建一的法体系、制度体、组系、标体系管体系促进要素的由流动和合理置，推动全统一据市场顺利。（三）难点与挑战互联互的发不是一而就是机会挑战。要想实现各机构商隐私算平通及数要素流通流，需正视和决当联互通在的与挑战：技术理解和实现差异带来的技术改造困难。由隐私算行业尚处初期业各方认知上存在大差在通信络、码算法应用、上层口、格式等个层技术实也差较大。此，实现互互通仅需要一套化框架兼容配各方差异台和接，还考虑未互联后异构台协更新时代困问题。标准制度体系的缺位。当业标准规范体系完备，不隐私计技术同业务景标准组的标仍然相割裂在此情况如计更加活的互通标和制使其既兼容个异构平又得各异平台互通具可行可落地还保持隐私算在应用中领先创造性是当落互联互工作重点和点。隐私计算的安全属性需要在互联互通设计中着重考虑。由于互联互各参在安全计理抗风险击能面存在大差异，不隐私技术路之间同技术线不现方案间也在一定安全差异，此，合规风是目私计算面临又一重挑战尚未定统一私计算全评式和分分级度的当，如够有效别不、不适的互通产品算法代码，何保私计算术能安全、规、地应用以及何有效衡互通后隐计算的安全、效精度，构建联互通全评系亟待虑的。（四）金融行业探索实践为赋能融行据要素效流升隐私算互通标准程度本节从计算技发展及互联通难战出发尝试定义行级互通内涵研究思路便更推隐私计互联通应用展和制定工。行业级互联互通的内涵行业级私计联互通见1）一整套现异私计算间数据全流通用技规范套生态撑体在不暴平台内部设计节且平台自更新级、扩影响提下，业级隐私计算联互立足金行业需要，循统行业数交互准和接规范持异构台数算法、力安交互与同，撑使用同技台产品不同机构共协作同一隐计算务，并平台、便于广的上助力动良业生态设。图1金行业计算互互通示意图行业级联互仅要从术层行顶层计，从生态角度进全盘。具体以从维度进内涵读：全局视野，中立客观。推进计算互互通与方不要拥有球化局性的野定还应该持中观、兼开放的立场，计较得失，极参献和集广益。关照诉求，解决痛点。所谓级互联通，需要在上充分虑产点及各诉求方共建个既安全要又能适应各平产品性的互互通框架，要能时兼顾方商业利益和识产护诉求做到共赢。架构合理，凸显安全。作为级互联通框其架构是兼容合理全的。容为合理为、安基，既能够尽可能兼各类性技术线和开源技平台应东西和南北向协议口和设计更高效理，同还要全为最心诉求和考量。成果切实，便于推广。互联统一框应具法易开产品易成、易运维框架试、数交互计等主功能特点可持产方更好开展对接和造落作，使联互通成得快速和实施。生态助力，相互促进。以统架生态基础方将得现有技路线态势中离出集中自优势，全力进先进技术的代更商业价的快长，并上层市场提更多样化的产和增务。行业级互联互通实现思路根据当业界计算技发展联互通作开况，行级互联互工作合“自而上“自上下”线进行进实施。总而言按照“下而思路以方协合实践方式动互联通框规范制，以照“自而下路从中性组和开源区层推互联通规际落地产业建设。体推方式上可通下三条线的分头推：依托中立组织开展多方合作互联通之所难不在技术面的问更在合作放过各平台间的兼容任匹和利益协基此需要有个能持中立场一定行影响力的中立织机牵头组互联工作推该构要能够观看待各类隐私计算技术，还要能够及时把握产业发展趋势，跟进监管方要求并在最代价下实现术发规则制和各益的有权衡。“实践+标准”双轮驱动：互互通后一步需要产业方精诚作、合力共进。其中，各方宜采用“实践+标准”双轮驱动模式开展互互通框建设仅要从业发高度开行业标准制更从泛行业撑的开展跨台多践标和实者齐头进辅相成，一不。开放透明合作共赢互联通离开规范开放只将用隐私算技门槛降才正实现据要流通私计的开放协能够提升各主流平台之的兼和协同一面有利于合各量节重复术资源入各自生资源扩大各自目影另一方也有加快基设施打通私计产业生态促进流通场商业构建最终实现跨业数协作共赢。金科联盟互联互通课题组织北京金科技联盟数专委会于222年初始布《金融业异构隐计算互联互技术《金业隐计互联互技术究报告两项课（称题提出隐私计互联通统一框建设定可落互联技术规和实案以推动业各方开基于隐私计产品联互通行性（见图2题以团体准和报告作主要。图2金联盟互通课组织课题自出以到产业方的关注和泛认并于02年4月正获批项由中国联牵主要商银行的金融构科技公司互联构、电运营检测机、开区等50余家位共同参。主与单位单如表1所示：表1金联盟互通课参与名单（拼音母排序）北京金融科技产业联盟秘书处北京百度网讯科技有限公司北京八分量信息科技有限公司北京冲量在线科技有限公司北京火山引擎科技有限公司北京数牍科技有限公司北京银联金卡科技有限公司北京原语科技有限公司成方金融信息技术服务有限公司度小满科技（北京）有限公司复旦大学光大科技有限公司海光信息技术股份有限公司杭州趣链科技有限公司华控清交信息科（北京有限公司华为技术有限公司华夏银行股份有限公司建信金融科技有限责任公司交通银行股份有限公司金融信息化研究所京东科技信息技术有限公司蓝象智联（杭州）科技有限公司联易融数字科技集团有限公司蚂蚁科技集团股份有限公司上海富数科技有限公司上海光之树科技有限公司上海浦东发展银行股份有限公司上海荣数信息技术有限公司神谱科技（上海）有限公司深圳前海微众银行股份有限公司深圳市洞见智慧科技有限公司深圳壹账通智能科技有限公司深圳致星科技有限公司深圳微言科技有限责任公司神州融安数字科（北京有限公司腾讯云计算（北京）有限责任公司同盾科技有限公司兴业银行股份有限公司银联商务股份有限公司招商银行股份有限公司浙商银行股份有限公司中国电信股份有限公司中国工商银行股份有限公司中国民生银行股份有限公司中国农业银行股份有限公司中国银行股份有限公司中国银联股份有限公司中国邮政储蓄银行股份有限公司中金金融认证中心有限公司中国信息通信研究院中国移动股份有限公司课题以科联台为依，“安全互通、兼容开放、生态共荣”基本原则为旨，积拉通各方共，在考量行各方诉求的基上，制定金行业互通统框架现方案同时还将进一借助挥各家位技长，以机+厂”牵头作模开展互互通技术点究攻群策群，并大范围推动跨平台互场景和可行验证保互联通方规范的落地、可评估可检在金科盟及专委会0余与机构共同努力下，前课取得阶性进本报告是当题的重成果之一。二、金融业隐私计算互联互通框架设计遵循第章所行业级联互涵及实思路课组启动互联互通架设作在对业各需求及术影素开展量调工作的础上题组梳了互通框架计的因素研制成一套中兼安全行的级互联通框为行业互联通的实际地奠坚实基。（一）框架设计考量因素行业需求因素行业级联互兼顾产参与诉括商多样应用可落地以及安全可管性保证各诉求的完整课组前联金融科技司测构监机构别的参单位进行了深的沟调研一步理确了各对于互通的要诉大致如：金融构主诉求：避免烟化部可能仅署一统底座减少理本降低系安全；数据流动安全可控：互通后隐私计算系统的执行过程以及流动需具备的透明和组替换性。科技司主诉求：减少准开销够减少对准品的重安全开销；给予多样性空间：互联互通规范不要过多限制产品自由度特色功与特化留有间；保护商业利益：增强互联互通商业利益保障，尤其是商业与开源法的产权保同希在互联通发现规模应后够尽快成良市场拓态势。检测构主诉求：需要有型的互通技检测体系；隐私计的检更有针性与性；在互联通框基础之能够良性的联互态。监管构主诉求：加快重点领域金融数字化转型标准制定，助力金融基础设联互通；跨机构、跨地域、跨行业数据资源有序共享，提升数据要源配置率；充分释数据潜能。技术实现因素技术实因素方面，虑到计算技正在演变过中很难一到位现全技互联因此拟采从小必要计到深化实现分阶式来逐推动计算互互通作第一阶为本课题主要实工要思路实系统架构级的最小必要互联互通对隐私计算系统各层级进行合理解析，再对各层的关键应用程序编程接口（P如3亮色所示部进行规化与（在可能干涉隐私计算系统层级的情况下为接口外各层级模块的灵活实现预留空间到规化准化与样性性之间有效下一段将在本阶段现框互通的础上推动包算法算和应用内更层次的联互作本题也同围绕异算法开展一初步索，为续互通技术究提好支撑。图3框级互口标准设计总体而，主及如下项关计考量：最小必要原则互通的度互规范仅定义资源务算等最要的元其及产品的元例如租用体系等）在互通的探范围。互通的防御性假设由于互互通节点内实现并非完可控除了所定义接口还需要流程上预留定的全冗余安全配各种能的调用互通策略设上要充分考策略的合理做可能的用和并通机制障资源能得到访问。架构解耦隐私算的架解耦个层次一是底座与计算算的解二是在私计法中应算法全算子耦。安全可控安全子作为私计核心的部分安全性重要通过用算法耦的来实现全可一是通解耦安全算子替换得合作在不某个安算子现时需替为另一个合安子AI义且信任的全算现而对上应用算法正常造成影二耦后的全算子AI是标化的因此数据流动更有效被追（例可采服网格追等方法进行追这点特性同作互联通机安全性得以大幅提升。（二）总体框架设计基于上考量析本题创提了基管理与据面切管理面模块数据逐步耦核心理的隐算互联通总体框架方（如图4所示）。图4隐计算互通框图其中，重要个设计路就管理面和数据面的切分：理面要负各隐私算元互通（括节算法组项目、务等信息的通同，以及中关源审批权流程的交互；据面真正行隐私算算部分。据前求调研情况，各构普望仅部一个计算框底座于各类能算则可以过加异的算组件现。初期算组件以一个体打算法容的形在，随通程度渐地，将逐解耦章第（）节提到的全算与应用法相的形态其中全算子括同密、秘分享不经意输、电路等应用包括隐求交S）、逻回归（R）极端提升树G）、踪查询；安子和应算法间的安AI要涉对安全子的性操作如加较、向运算以及衍生算等输层I则括发、接收及异传输等上述所提及两P的规化，是课题互联互框架希望突的点，这对于升隐算互通法运程的可性具要意义。管理与数面之间仅有任务和略权配置定涉及两面的，其他理面及流程度相规范化义原则上都可分开，如此得以最大程的解。（三）框架组成解析互联互框架仅是基，要实推动架落还要从粒度去析各模块的成细以确认模块相关技实现点。基此，上述总框架一步的析，分成如图5示层次。图5互互通框架解图理面对较简单，于管仅涉及理层互，因理面的注点管理层协作同步及关资授权。据面对较复杂，括流度、算容器及对外信息的输层部分。中，容器还再细应用算层和安全算子两层。对于跨台互通而言最理的式是能统一其间所异构隐私算平的P即图中平圆筒的I都行标准定。就当前界的发展水而言理层度层输层这层异隐私计算平台间（东西向）的AI标准化是相对可行的，至于隐私计算算法层面在东西向的AP则难以通过一致性抽象的方式来形成标准化定义。为此本题将一种思通用隐私算平次间通调南北向口定替东西向接口的方式解决层面各块对齐的问题如此仅要在应算法安全算层间在算法和传层间各定义一层接口（图4中高亮色圆柱形接口），即可实现一个初步本的互互东西向口相这两层北向所需实的功是相对清也更定义）。在图5础上需要进步结联互通架底如图6据面蓝绿颜模块才能成完互联互框架底座宜括流调度模块算引存储引擎存储模块机密算模块法容器加载模等偏与功能的模一般而隐算互联通的现会更多关注法容器部分统级模的接义如算存日志、度量等一些接口。此外，可信执行环境（TE）作为当前隐私计算三大路之一将会涉异构E系统之的互通问题故底系统模块可能有基于E技机密计模块。图6互互通点分解综上述互通框架以分“管理元素口研究“流程调度口与容器加研究安全算接口务化研“输接口与文研究“异构算协议究“EE互联技术研究等六个研究为推动互互通落地课题织各参单位照子课题形式开展上研究的研究证工在第三中予以详细阐。（四）框架功能特色由上述分析课题所出的互通框具备的特点：全面覆盖隐私计算的主流技术路线，兼容多方安全计算（MC）联邦学以及执行环（E）主要技路线。管理面数据耦合切，整通架构为清。算法与架底耦借灵活法可插式设实现可高。应用算与安子解耦着重隐私计的安性有从机制面增通隐私法的可控。各层的耦以准化，利于隐私计的良态。三、互联互通技术分解研究依照第章设互联互将分“管理元素口研究“流程调度口与容器加研究安全算接口务化研“输接口与文研究“异构算协议究“EE互联技术研究等六个部分在课织工作这分以子题的进行推各课题牵头位及单位如表2所：2互互通单位及与单称名单按子贡献度序）子课名称牵头位参与位管理面元与接研究招商行浦银富数技蓝智工商国行大科兴银银通银行小蚁团见智安科光树谱科技、国动同科、数科、国联流程调度口与算法器加研究浦发行富科洞见慧百网微众行中国行华清智联度满蚂集融安科、八分、盾技中银联安全算子接口与服务研究蓝象联洞智慧工商国发银招银BCT控交、神谱易度满蚂集富科安科、华为同科、国联传输接口报文究光大技蓝智联成方信中银银行微银控度满、蚂蚁团洞智科技同科牍壹通、百度讯中银联异构算法议研究蚂蚁团工商业行发银招银银控清交谱技洞智壹账易数技盾科技、为中电、国银联TEE互联通技研究工商行蚂集团成方业行发银招银在度网讯数技壹通之树致科盾技国电信、国动海、国银联本章将绍各题的主研究与思路第四着重阐中所涉关键点的研成果。（一）管理面元素与接口研究概述在互联通当临的难中何不同平的应达成管能互通安全地实现源同是后续构平同隐私算任前提和础完整的私计台除核心外还括节发现资授权目管理流程等控制理功不同平的管架构也各自计思路业务不同而在差因此异构执行隐计算，就必先打础环节管理。管理面素与研究在充虑各技平台的前提对隐私计平台本元素各级源授权流及支权流程的AI接口进行准化义从而对联互隐私计平台部各元进行调管控实现层级的联互。研究目标管理面素与研究旨形成行业认的范一的管面元素与口定范为私计产的管理能设管理层互通供参考式现点管理数据理项目管流管作业理组件管等操继而实安全的跨平互通使不异构能够协完成的隐私算任。研究内容管理面素与包括以几个的研究容：规范管理面基本元素。从构平联互通发，小必的实体素进象和定。设计管理面互通流程。分级依节点互、数通、目互通流程、组件通等间资源权步行定义确保相应权限到有控，安性得效保证。制定流程有向无环（DAG及作业配（CONF通用构考虑不同平台间协同计算的兼容问题、标准化流程DAG及业CNF结构，撑数据面对资源进统一。制定管理面互联互通服务接口标准。基于管面互程，模块定互通接口，分考全性、要性适性、放性、易用性完成面互联通服口设计定稿。设计原则考虑到私计术产品间存大的差的现联互通能要求所平台化统化要保证各台的性完性和全性的础上现互联通的础环节同存因而理面联互通的构设满足以特性：最小必在功能要的前抽象各隐算平台的管理元素必要单化跨台交换息平台部的扩元独立管理在保平台独立功能整策略全的提下实最环节的同存。一致性管理联互通于通规范的口和协议跨平台互联步操作能保层级资信息立互联平台的最终致性。安全可不台间的同应通过一的策略与授权制等各层级源安联由于同技台对资的授权管控粒存在异建立多之间源授权提供活的安策避免多安全上的耦。灵活兼管面联互通充分当前隐计算的技术构与业架构异兼容各隐私平台支持平台活加入退并可随术发配更多的隐算平台构，可扩展。研究思路金融行隐私互联互总体中将理面数面拆分耦让管理聚焦点数据项目程作业置件等各级资源的静态同，据面关作业时的动协同。管理面元素与接口研究的实现路径从“提炼最小必要元素-分层次定义互联议路出发行研论统的概型是实管理互联互通基础子课题“自向上分解耦最小必要抽象出一套隐计算基本模规范包节点据集流程业、任务、组件、模型八大基本元素实体；将元素实体看成不同层次的资源以统一的平台间通信要求为基础，进一步约定各层次资源在发现、申请授权步等的规范程和适配度层设计流程的组件编排和作业的参数配置这两个具体计算执行时依赖的静态描述信息进行统规（图7另外面互联通必立在安底座，互联协中各接口的用需足接口权的要求。图7管面元接口研架构图（二）流程调度接口与算法容器加载研究概述本子课主要两大内分是私计算程中调度接的设计以隐私算法容加载究是个隐计互联互技术究的核部分。在流程度方于隐私算是涉及双数据的运算程，在互联通的中会涉双方传输以异步等关键骤络延迟或计算调度异都会隐私计任务或者失因在异构情下要准化的度方用标准的作任务协接来统一调异方隐私算任执行。在算法器加面算是隐算的核而的加载是使用标准的接方式来理异法其现方决了算法可扩展性和易展性且其设方式影响到法的效率此们需要制定统一的算法镜像构建标准与接口并定义一套规范的镜像加载机制与流，从证整个法容载过程安全效及高用。研究目标本子课研究形成一行业可规范统的作度与算容器加载程以应的镜构建与接口义规隐私计产品作业运行过程中调度方对作业与任务的控制与任务组件的加载过程提供参考模式实现调度控任度控制组件发现器管与加载等作实现安可控平台互作业使不异构台能够协完成的隐私算任。研究内容本子课包括几个方的研容：研究标准化作业及任务的核心调度流程确定调度面的基本要素及相互关系定义节点内及节点间调度面的核心流程基本素参为数据模任等核心参考数集加模加载、作业运、作跑、任运行务重跑。标准化设计作业及任务的调度和管理接口。描述作任务度加载信资计算资和存源的标形式。研究算法容器镜像加载机制与安全性验证机制。标算法像进行（其包括镜名称版本必目录构必选参数义、标信息。规范算法容器加载流程。根据该设计标准化的算容器口。构建算法容器加载机制与流程调度的实验案例。此证课可行性。系统接口研究与定义（可选）。算法容器与隐私算底之间所及的层面接包布式计接口、件加速口、储接口日志量接口。设计原则现如今私计业内由隐私技术的花齐家产品作业调度统及组件的载方存在着大的异若要求家产品使用统一的调度系统以实现互联互通，那么对各家而言改造技术难度大工作量重并且的方式去了多样性不利业发展此，流程调的互通需要保证台的独性整和安全的前提下对现互通的最础部行标准定义计综流调度与加载互通的构设满足以特性。最小必在基本作调度的前提抽各隐私平台作调度中通用最小实体化整流调度与器加过程对平的接口行定设计不深平台内业调细节，在保证平台独立、功能完整的前提下，实现最基础环节的求同存异标准化作业度面的互互通于标准的作程调度程算法像构规范组注册发现机制保证业任务容运行信在平的一致。安全可证同台构建算法应满足准化法镜像建规范足防篡改漏洞及镜像名等验证机保算法镜像安全证性。灵活兼作调层面的联互充分考当前计算平的技术构差兼容类隐算平台并可术发展配更新的隐私算平构，具可扩。研究思路流程调度与算法容器加载可拆分为调度核心流程设计与算法容器加载机制究两分前聚焦私计算业调的实体过程状态变化设计后则聚焦作业组件的册发加载机的研究（见图）。图8流调度法容器载架图流程调度与算法容器加载的实现路径从隐私计算过程中作业的调度到作业组件载这一路出行研究论一概念模是实现调度联互基础子课管理面素与研究课题的基础上一步了流程作业务组资源5大基本度面体及实体性统一的业与状态的义与间的转关系本子课题计了与任务核心流程明确作与任务生命周期为标准法容器件的课题定了镜像构规范设计了标的组载管理制与加载流课还组件的例状注册发流程现逻辑程及服务流进行范定义以实更完整、统一兼容的法容载过程。（三）安全算子接口与服务化研究概述在互联通的中安算子口服务化究主责安全子服务层框架能接设计际应用景的建设指鉴互联互通要异法组件持得同架构隐私平台之需要部署使多个算法组才能互通些异法组件然实原理不同但是最小必计算（例如加解算多安全子计算等存在实现和利于管理等题联互通计将全算子抽出来安全算服务隐私计平台管理安算子任务。该方案解耦了隐私计算算法与安全算子，并使用容器化的方式封装有利于全算异构平间进享、管、部使用。研究目标设计通用的安全算子层框架与功能接口。初期主要是对子题的安全算子层进行框架设计、功能定义以及相关接口设计。设计阶段中应对实应用服务的定性全性和算的进行充考虑使得安全子层满足实场景种部署求。提出可落地方案的建设指南。在子课题的方案设计中针对类型的用场总结出些常部署方为的互联通实落地提供设性。通过大量的测试案例验证子课题的可行性。在初期设计阶成后期针课题中功能出对应测试测试标主包含功能性能安三方面功能主要是证定功能和口能满足互互通本要求性能面要是验框架的方式隐私算任务算效影响全方主是验证全算器化部的安性。研究内容本子课研究下面三方面容：研究安全算子服务化的架构。结合体互联互通框架需要对算子务化定义，明确与算法边界；制定安全算子服务接口标准。充分虑在安全性、普性、放性、用性面的诉，确口设计则；制定安全算子服务化能力建设指南。对技术难点深析，求务实有效出有价的建议和观。设计原则职责明明子服务功能适应体互通架构收行业验，论证和义算务化的界。标准一定一的算服务口在障各功能层独立性先进基础上统一与其他块的操作为业一算子务标基础。安全可凸算子的全性据当下内实用需要制算子内容围满算子全原子为算子提可控评估的全保。务实有提实有效建设在确算子性前提兼顾实际景建算力资大处理统稳性高可用多方的差异要求供具备缩性子服务统技设指南。研究思路本子课题是从互联互通中算法算子难以协商的问题以及AI技术与MC技融合本的问题手提了安全子服的解决路并以金融行业异构隐私计算平台项目为抓手，以“实践+标准”的双轮驱方式推，深续地开研究（见图），体究思路下：分析互互通业技术点确子服务的意价值；提出安全算子服务化架构设想和安全算子服务接口，多方其兼顾和合；结合实践验证并提出安全算子服务化能力建设指南，以最践论证可行；加速算在业标准化程，互联互的业地；以标准为基立安全证方为安全估降效。图9安算子与服务架构图（四）传输接口与报文研究概述传输接与报究是充分各技术台差前提下对平台传输的传口传协议报格式等行标定义而为私计算台间联互通供底通信基。研究目标本子课拟提够在异的隐算平台间立套能够导各隐私算平法和算相互的传输范隐计算平间的输层互提供模式进一范传输口协议文结等内容，而实全可控跨平通协作。研究内容传输接与报课题的究内括：设计组网结构传输层组网式包括传主体份组网的证方网络的扑结；分析安全问题研包括传安全务安全内的问题对传输据提全需求并规平台合方识权限控等业内容；规范标准传输API研究算与算用传输标准I以此规范算和算通信编上的式确保算和算传输层满足可移植性；统一标准传输协议。研究当前隐私算平台主流的网传输模块，以建立间标准网络协议、用报码格式；规范协议间转换。研究不传输间的转和实；夯实端到端传输。研究端到端的通链路网络，确定链路输所需的传础设施态和模式。设计原则跨平台联互景中的输框满足最必要用性和性要求：最小必性足功能求的下抽出各计算平用的传层元小必要元在保传输安的前下实现底通环节的同存。通用性通用则要求在互通场景传架应兼场中主流的传输议与报文格式，对算法与算子调的传输PI小化接做出化规定。安全性安全则又具包括安全务安其中安全是通过必要措保数在传输段处于效保护合法利用的态满数据机性完性不可赖性安全需求具针对网络输场需要通相关与技术段保障据通过络传输过程可效地抵第三过网络探包拦截数据篡改数包重份伪造手段传输数的安求业安全是指保护务系受安全胁的或手段保业提供的务的安全，防范业务中出现风险，业务遭受割裂或遭受经济损保障整业务的顺具针对私计算联互景务安主要包括平台方识别权限、安全洞防方面。研究思路基于本课题架图如图10结合推方式们将该课题拆分为个部分别标准输P标准输议协议转换“组结“安问题析“到端输其“准传输AI对应中算算子模调用输层PI接口计；“准传输协议“协间换对图中计算框底座传输协与报文格式的通规图10以直的网结构例，链路的输是基于传输全和安全得保障提下进。图0传输口与文研究研究图为了规算法调用传层的标准子课提两种接用模式即同用和异调用研究过中发式地缓冲纳入标化范为规范私计台间的信标本子课提出/异步兼容的设计模式，并基于规范化的报文头结构定义了标准报文传格式一方子课题提供套协议转换准和要包括同步间议转异步间议转。考虑到同隐算平台间的方式子课给直连模和路由转模式基础拓结构于传输涉及全问题本子题将其拆为传全和业安全别讨论究后本子课也会供端到传输见模式以供人员参。（五）异构算法协议研究概述异构平台开放算法协议的互联互通是指通过定义算法执行流程中交互接口协议，再由平台独立开发算法来实现异构平台间算法互通的模式在一个方安算或者邦学训练任中于一种算存在完全同的流程思或算思路相却由同厂商信框架及具体现流同使得方算现上存较大异从而导无法实现基于平台自有算法的互联互通。以基于同一算法不同算法流程的LR为例，虽然基于同态及秘密分享技术的LR（E-R）与基于联邦学习的（He-R）都是逻辑回归算法，但在算法流程和细粒度的交互细节上是完全同的此即是针一个算开展互通也存在大的挑战因此基开放算的互通研究有价它将够帮我们更、更达到以目标：增加算法安全透明度，提升安全可信度。开放算法协议互，本质的用就再把算流程层密态算过作黑盒而是交互流程打开公开出来，以便不同厂商能够根据这个要求进行实现和交互对于隐计算来说心的全险是在间数互中的息泄若这个交互的信息是被明确定义的，则算法的安全性将得到较好的保证。降低算容器全审核本升隐私计业务效率基于算法容器实现的互通模式，通常要求互通双方底层是同构技术平台但在通这种链接新据源果新数源的技术引是来自不同的术厂么其中方需入另一的技擎底座能完成互通虑到术引擎座需触数据做开法通信互作方往往于数护的需重新安全审评估程进导致全审核成的增双方合效率低。基于开放算法协议的互通协议允许异构平台有自有的技术实现若新数源的平台已遵循算法协则需额外引新的外部算法器就完成互进避集成来不同的算法器带来的风险缩短审核周例构Ace署了商P的隐计算产品机构b部署了商Q的私计算品机构P和Q都遵循了放的互通协，那对Ace来，不要重新核厂商Q出品技术品不需要次进杂的安审核程就可直接链接上机构b的据源，终理况有机达到上百家同技术产品互的效潜在可链接据源数和效将大幅高有助于减机构众多不厂商法包管。促进行算法与进步基于构台开放法协互通通过透的算互设计可以确出域息安透明的提下对不同算法参与方的效果/性能进行直接验证和评价。若合作过程中出现某一参与性能瓶颈的况务方有多理算法提方也强动做算化，进提升算法效性能。研究目标本项研旨在对异构台开法协议究试索一些实践可推的基放算法议的方案为后更层次的平台联互通践落来更多能性。鉴于行现状私计算法的性本课题不图完成部算法能的通联互通定义而多通过些具例给出构互互通的考路思路。于课研究目计划：所制定的标准协议是针对业界广泛隐私计算公司认可的安算法流程如SI算法变特别多DPIKT6T9Cct-PIal-I算法分种类多而每个的细节程都不太一样，大多厂商有力提供EDPI的现么PI将选择以C-I为标准兼顾的厂商而不较新的或者发布出来的算法。再例如秘密分享较为广泛使用的协议有p-mk、A3等，也会虑选择个更用的协来拟。算法范围初定为常见的算法。由于开放算法协议的互通制作量会较大术挑战比较一期目暂定焦在S特工程算法E,及用秘密享协以支持金融算法等。大多数况下同计算使用不同PC法协是无互通的譬如做一矩阵，P平用DZ协议做Q平台混淆电协议，此时两是无通的为理不直接足互行性然目有混合协（例如YA3），是能互的前是双方步在同一形态例如同时转到Ateic/olen/Yo等。异算法的互在理面还待多的究本子课也会做异构法协议的数据换研。研究内容异构平的开法协议究课研究内包括几个方：确定头部要支持的算法以及不同流派算法的开发协议互通思路构平开算法协的关术难点一在私计算算法类繁多工作大技术路也繁例如联学习多方安计算异构平开放实现思差别显本子课的关一在于对隐计算算的众术路线行归且提供计原。确定头部算法的握手流程，确定握手过程中开放互通必要算法参数安全标准以I为，譬如定为E-I式算法，超参情确认双方都得到结果是某得到结I由于是专用C议，适性主是PI本身而为提升课的通用性目计划用协议安全接口子题一若MC议原能通，并上层算子接也标，则未所有用C下的用算（例如SLSPrns能互通而C-I或者FAG等已经泛使专有算流程独制定法接议具开展可以先以小化为标准协议将具备扩展并且和言弱合（例如会将如pke这类和ptn相关技栈作为议标准）。体内比较细，例如PIaske需指明SI算，曲线类（如各方都是cv519需明确的大小然后各自根据方的进行响。原则上协议不对编程模式进行限定，但是本子课题会给出荐的参考构实现在编程式上则推荐持异的Aor（大多数远过程编程框支持类tr模式，计和通信耦，适合异构通。课题不强制，仅做议内标准限。本子课题是研究性质课题，最后计划产出选定算法的详细算法关步骤内容协比手流程以及算法交流程这个协议落在仓ro且会在源上异构语的参考实现，一到算法上到开法协议互通。设计原则考虑到隐私计算算法及实现的多样性，需要保障各厂商的实现成本尽可能不要过高，在算法协议一致的基础上还能留有一定的自主实现空间因此，题的的原则：算法本地实现开放：在满足开放算法协议一致的前提下，对于本地计算分的原则上约束对不必要流程度设计口协从而希给各平台更的自。支持算和安制扩展不同私算路线的算会支持些公共算法数这参数当以区分便未新的隐计算算法出现时，新技术能够遵循和复用已有的算法类参数，方便上游的接入同时全类比如椭曲线同态型等要可扩以未来安全域有展时，子课够快速展和。交互出信息明开放算协议上能更地实法的安性保障是因域的信是透这也求算议的设与实的安全性得到。研究思路异构平开放协议是其他课题的础上进步将算的跨域传内容公开透化对构平台放算议隐私算的技术路线算法繁多作量现状子课关键之在于对隐私计算法多技术线进类并且供设则如图11所。图1异构台开算法协研究图11名词引用：HeeoL[4:hts/axvor/b/71167其中同算法现需要方遵致性的私计法流程核在于对域信协议指。异法则没此限求。由于隐计算众多，使是算法也存在的技术线以联邦习为键子流可采同态或多方计算的式来保护一些有算程也以采用密态法技线实现对于有算法流技术专有程不总是联学习术路线也可是PIIR专有PC议于通密态协技术鉴于协议由很明显密态层及密协议的逻辑两部成故要对进行层理足本子题对新协议扩展例如将入步通过分片全部代理到计算集群再由底层的通用密态协议具体负责算法流程的执行为了分治不技术的异构台互暂分为述两方式进行理前来看个分是绝对格的未来有复杂处理时，以进迭代更该分域。与此同由私计算法的非常迅不新的算协在陆续布一些软件结算法开出现此从期技展与科角度，开放法协设计还不少：⚫算法定工作。开放法协要对算内核行打开设目前行业中对于隐私计算算法的实现有很多变种，若要满足行业全部需HESL[5:hts/axvog/b/08073PC-S[6:hts/ern.ac.r/0234BakORFS[7:hts/eritic.r/0679pfSeueos[8:hts/axv.r/b/91075要则能要重新定算法这对算法究开发言难大，对把创法作为要知权的公来说很大的战。需定制备的接口保障的正常行需要基放算法议的明确义全通信传接口信要求防止接口缺时无现算法常运用的问。算法设需要良好扩性了定义好算法长期应价值和扩展算法设时往要做到够兼拓展以C-算法为不圆曲线多种还要分是或者非密的未来甚至可能新的更性能线因一好算法设应当备较好兼容从而实更好插拔。因此更好隐私计行业本子题将于定义法议通用程与对于构算议将仅束到通信接层面不去约平台实现协。本子课题将在PSI联邦为主的专有算法流程，以及通用密态算法流程中分选取代表在题内细致的议定究和讨。同课题也尝试构算法互通进行探和讨及尝试取实际的算法例对互通结进行后续待研足成熟时再考虑进一步究和具体协定制。（六）TEE互联互通技术研究概述目前界基方安全算学习的联互术研究作正在逐步开展，但基于可信执行环境的互联互通技术还处于起步探索阶段TE技以基硬生成的信任基础实了对私数据整性和安全性全面因其异的和强大可拓在政务金融运营商等多场得到了泛应随着国内外EE案越来多多机构和业都开始面不同架构EE案混使用情况联互通的需求随着和应用成熟增加。TE互联互通技术研究致力于不同TE方案之间互联互通的实现方式，降低TE技在跨机协作落地、信应发和移的成提升EE易用以方便多用用TE术同EE互联通也是隐私算互通技术不可一部分TE联通能够进隐私计算互互通展，帮助TE路线和他技线融合。研究目标TE联互技术究主要力于如何屏不同TE技术架和具体实方案层细节异实基于异构TE的可信用和系统之间互联同TE联通课题希望研究不同TE实现方案中共存的基本安全特性来总结提炼面向互联互通TE系统的基安全要和建。研究内容TE互互通题实现异构TE系统互互通标围绕如何抽象一的证明流基程证明程建全信道规范全信道上据流式以规范E统互联通基全要求个方面展开TE互互课题主包括四个方的研容：统一远程认证流程规范。这主要研如何同E方案的远程明相口、报数据、校验则做化抽象。统一的安全信道建立流程。这分主要研究何远程证明程和密协商L流程相结建立全信实现不E架构之间据安通提供础。统一的TEE应用系统数据流通格式。这分主究如何统一TE用数格式，现数面不依E实现、安全、高效的互互通。TEE系统互联互通基本要求。部分研可信乃至计统在互互通满足的本安求。设计原则考虑到E系具有EE的独又具通用的特点建议TE互互通统计遵守下基全原则：⚫安全算要求TE应用中该使界共识安全码学算并给出关参。⚫远程证增强全互联互的双方TE平台须通远证明验之后才能运行在E中信应用序计辑必结合程证明机鉴别应用程身份，才能权操者安全信。⚫系统完性安联互通的TE需利用信启安全启流程保系统整性用已明可信内和可件组合要的业务能力。⚫安全运辅助联互通的TE平需利用全配安全审、安全运保证全流程生命安全。研究思路基于上研究，提出如图2所异构EE互联架构模：图2异TE互通架模型图框架层明：异构体结构明不同E实案的硬体系基础，从CU维进行分。可信执环境要参考内主流TE方案系基不同路线TE技方案取有代表性的EE现方案前在题内验过的方案包括tlGXHwiuegTsoetopHenae和HonCV统一远证明于屏蔽不同EE案的远证明，为互互通提基础。互联互信道于统一程证用于EE系统互联互安全信的建。应用互互通于安全道的层面互互通细节求。其中应管理以及服规范第三一理元素与研究、三章）传输口与研究等节内。四、互联互通关键技术点攻关第三章及的6技术子题在推进的程中对中所涉关键问进行入的探与攻提炼形“面最小要元设计“方资问控制同策“AG&OF用化设“程调度互设计组件容化加案“于最约束的法容设计“私计全算子务设“传输同步兼容设“构平台开算法设计”EE远程证流程”等10大关技术点表3列互联互各项与关键术点应关系本章对这些技点的成果进汇总。表3互联通各技术及对应技术点互联通术互联通键术点管理元与口究管理最必元设计多方源问制同略DAG&CNF的用设计流程度口算容加载究流程度通计组件器加方案基于小束算容设计安全子口服化究隐私算全子务计传输口报研究传输同异兼设计异构法议究异构台放法议计TEE联通术究TEE一程明程计（一）管理面最小必要元素设计隐私计互联首先需提炼小必要实体素参与互互通的各与方对齐这实体的定义数据“管面与口研究课题各体进行定义并实体应备的属性形共对与节互通的个性属性限制。体包下实体：节Ne隐计算生中的功能单用代由机或组织署的计算平。数据集ast：可供与隐算的数资源。项目（Poct）面向特定目标的，提供一项独特产品、服务成果的私计案，该体为项。组件（Cmnnt：独立执行隐私计算任务的模块单元，其经封装、符合开放接口规范、可以完成某个特定计算或算法，可独立部署流Fw用DG构定可编的隐算作业模板。作o个私计算程通置运行数后行实例。任Tk组运行实的载每个运实例任务来理。模型（Mdl）：指通过隐私计算技术训练完成，可用于进一理的模，或有的现模型。结合上实体，实体的关如图13所示首，参与互通合的异台作为点加联互通络个点可以建多项目个项可能包多个该互联通项多个节通项目实体统一项目中关的数据和模资源目中个合作的点可建多个程运行多生成作业同作可以按CNF通化设计置不的运行参数个作业能由个任务组任接作业对应行时参配置个任务过调底层组件对应的算法资源进而执行任务，生成模型、报告等隐私计算结果其中，每个组件都是独立的算法模块，例如PSILR，组件可以按照“AG用化计提前配调度输输出系从编排成一个具完整逻辑的程，和任务照DG置和CF配调度和运相应，生成应结。图13理面小要元素系图围绕上最小元素计隐计互联互必需理操作括节点互管理据集互管理目互通理互通管流互通管理模型管理。节点互管理节点互通管理流程约定不同隐私计算平台间如何互相发现节点建立合作同步变更点互理相关作可节点约点解约作意认合意向节点息查关键作时如图4所。图4节点通关操作时图数据集通管理数据集互通管理流程约定不同隐私计算平台间的如何互相发现据资源相授据资源解除数据互通相关操包括公开数据列表公开据集查询据集申请据集权确认、据集状态查等。操作时图如图15所示。图5数据互通键操作序图项目互管理项目互约定隐私计平台如何创合作目同步项息项互通相关操可包合作项列表项目建信息查、项态更新。组件互管理组件互管理操作可括组件列查询开组件息查询组件册件列表询组信息查询组件跳保活件健检查、件参证。关操作图如图6示。图6组件通关操作时图流程互管理流程互管理操作可括流批审批认状态查、流程创建流程新流程表查流程信查询流程删除关键作时序如图7示。图7流程通关操作时图模型互管理模型互管理操作可括：列表查、模息查询。（二）多方资源访问控制协同策略在互联通的下各厂商的平台异构一方需要保障厂商参与节的安略彼此立方面能建一套有效机制方之间相互此外还要分虑各节使用同的安策略同资源问控度上的活性及实施地上可操作性。在业内有技现上未有解异构隐计算在资源问控制上通用法对于各商现现方法采用源访问制机主要依特定的隐私算系品通在各点建立对资源访问控制机制现。技特点创新性形成构私计算台之方资源问控有效方；灵活性：面向隐私计算的各种资源访问控制的策略可以灵活订制；通用性适用构隐私算平联互通适用对点化的多网络，适用双方方间的全控略；可维护性：可满足安全需求的变化，提供安全策略的维护、升级兼容能；可实施对隐私计平台较低的能侵对已节点在范化访问控机制中可过灵安全策确阶段实过程兼容性题。新点在隐私算互通的场下建个平台点间源访问方法，要技新点包：在系统证和分类的础上过对资类型的方法资源等分级；在鉴权各采用最资源的凭证实现策略的对齐现各安全策的内以此解多方间安全略强的问题；确保了算执段能，够对访问控进行；其松耦的安略实异构私算互联通中策略的样性，备通、可维性、展性。理步骤构建前条件1方案立的提是在私计点之间已经节点间络联通身份。2于隐计算业内的识私计算统所的资源统一分包点项数流程作业务模组八类资。构建授关系1各节内对进行描对类资源行分各节点立分级无需统一。源由字段进描述下：Rocy:源类型业内资源类；RocD:资源D，节点独立码；Rocel:源级别各节独立分。各节点独立资源分，示表4所：表4资源级示例级别资源类型1节点2数据集、模型3项目4流程5作业6任务2在各源持建独立安全略资源问控的授权鉴权策及处集中在源所点上源使不需要注具安全策略根据访问控所需信息要形准化的证节点之间传递的凭证可。图18述了建全策略通过策略授的设法。安策略是在源与实（源使点之建实对资源访问制规则具体全策略资源节点可自行比如以制全局安全略安全策以个实体独制安全策在立资源与权实关系后在关加入限条件可构建具备访问控的安略。图18全策设示例图授权操由处理器成处理器根据策略生一组凭证分为凭证以许可授权证保资源持方权时使许证在授过程由资源有方给资源用方源使用在鉴，根据可凭获取资访问。对于各之间的凭建立证定义规以保够在多之间进协同证内容包括信息：Te:用于验令牌，发给使用方唯一标识，授权主、资定；Rocel:源等级；Rocy:源类型；Rocd:资源D;RosoI:资源提方的节点D，于标物理点；RosnI:资源提方的机构D，于标实体份；Rutdd:源使用的节点I，用于识物点；Rutsd:源使用的机构I，用于识实份；Tem:限制件项，问时制，可；Teit:条件项访问限制，选。3在私计平之间由作流程授权审产生权关系，来建立方资问控制证源属节点录并资源的权凭资源使节点并持有权许证（见图1）。图19方之建资源授关系图访问鉴权图20方之资访问鉴流程图1、方资在使时，资使用据上下信息需要使外部资信息索出本持有最高资源等级的许可凭证，资源使用请求起发资源持方（见图0）；2、源持方获资源使请求根据请中包资源信从本地索最高资源等级的授权凭证并与请中许可凭进行核验，通资源的比对确保在纵向权，资源检，确保不水平权。3、源持方完凭证的验，根据核结果访问请许可判，如验通过则记话与令的绑系。4、算执阶段牌有效校验源持有在对的资源完成授后，地记录务所的会话D授权牌。与互联通架合在异构私计联互通术研，业内互联架构提一个满行业互通标的分构方案从上，分别管理面，控面和面。1、理面各实的定义实体备的通属性共识，义了各资源的信息交互权接口以标的方式来满足当前隐计算信息层互联的标注程。2、制面准化义多方作业务层面协调和标准口，实作业务在不隐私平台之的协。3、据面将要行的算算子以容器的方行执行数据存、通输、安算子的标准口和化设计来实现计算层的互通。多方资访问机制，要层面、控面、面的三一起实施协调，图1显了各块和层的功责，以整体协调机。图21互联通分架构下资源控制图如图1所，在理面，要由面建立源的和许可关系，各按照面流程，以on的形式对资授权和可记录进行登。控制面制作任务的动与依托制面的实现对资源的方案完成鉴权，并根据控制面协调的任务编号，建立关联会话编号（eiI互联互架构任务的行以的容器进行，通过eiId确保多任务执行时多方建立正的关。在数据，以化的方执行任务，使用eiId持不同参与之间立会话使用k，再次行令有效性查，确保任在执段资源问控有效性。（三）DAG&CONF的通用化设计DG&CNF的用化设思路则由于各隐私产品的构性隐作业的务参任务流的配置方及形大相径这致家产品法正析对方送来的作业配置信息，从而无法保证互联互通过程中隐私计算作业的正确运行因此有必要形成一套业内统一且标准的作业配置以及作业流程的描述形式，来避各作业配的差而导致互联失败。同时于各品中隐计算的异构算需的输或出元素及算要配置参数显著的别此对作业置以作业流的描式进行用化时应当量兼家产品并满之后新算参数拓展性。根据上原则们对互互通的流程AG与置CF出如下的通化设。DG&CNF的用化设参考现流程AG定义流程AG是用述流程组件关系的言旦程确定内容不AG的配文件采用JON整配置件为个JON象。DG模结构图2所示。2DG板结图：组件列（mnns）cpe_me建模人员自行定义，需在单个DAG中保证唯一，用于A中依关系引用cpe_de与mntesn分表示组D识与版本mu_me表示组使用能模块ein表示当A配置件的版。输入[te"te"k"$ooe_m.k}}]te,$e，"cpe_m}{y"。输出opt）输出数据由{ye"te}, e:{y}]表示，其中$ye作业CONF定义作业N用于各个参方的作业统参行时任系统参数及配息N的配件采JN格整个配文件一个SN象C模板结如2示。3CF模结图：作业调方itar）描述作调度的oeo_d。所有参方信（oe）在oe字段中，每一个元素代表一种角色以及承担这个角色的ned。个角的di以列形式存，因个任务能涉及多d担任种角色。作业系参数o_rs）配置作运行主要系参数业系统数参下表所当系统参应用有参与时用oo范围识符仅应用某参与方时用l围标识o:ren（oeut]于定位指定与方接指参数优级高omn数业系统参数议包：作业类，如作业an预测业rit作业申的CU数上限作业申的总数上限作业运行时务态收集模式如动上报模clk与询模pl模型d当作型为ec时必选模型ro，当业类型rit必选任务系参数配置信（sprs）配置任运行系统参以及信息务系参参考如所示同组配置信由组行定义范围符应用则与相同。务系数建议括：任务申的CU数上限任务申的总数上限任务超时间位秒任务失自动最大次数（四）流程调度互通设计在一个整的计算作执行中，流调度的在于隐私计算业配（AG式）发到个参与，在参与方间协调资源同步，按照程编序协同成作执行。程调处在作编排业执行间，一个承启下用，因在隐计算行内，平台在程调的设计会因游组件一些计差异各不。为了现互通的总设计，本子题在程调度通设键技术，采概念抽、共通”的想，象出流调度计模式的共并将共部分规范定，仅定作业度执小必需流程，实现此打。流程调互通的方案流程概念定、流度时序和流程度系设建议个部成。流调度定义，确了程调度节的定义，阐明念的作范围义。流调度序设计对调作进行范化，设计简明业参与角色约定了业执全生命期管范。流调度扩展，满足程调度通需外，提了隐算作业行的性建议。流程调概念义隐私计流程过程中概念称为实）包态和动类，静的实括：组、流资源，以类面向对编程中的“类ls），动态实体：作业任务以类比面向对象编程的“（bc）”一个运时的。流程调时序计流程调度系统接收上层的作业请求，协调各个参与方节点运行作业通过将个作分成若个任照任务组合来执行一个任务在务被开始执前个任务配置启动应的法组件容，实私计算台对算法组的调。角色名角色定义调度方负责协调所有参与方任务的角色，调度方可以为独立的第三方节点，也可以为其中一角色名角色定义调度方负责协调所有参与方任务的角色，调度方可以为独立的第三方节点，也可以为其中一个参与方节点，在任务创建时选择对应节点来确定。参与方通常代表一个隐私计算节点，在某个隐私计算任务中提供计算能力的角色。隐私计算作业执行必需的流程调度操作包括：创建作业、启动作业查询作状态止作业任务、任务常停。创建作业由发起创建配置发到方的流调度流程调层接收到作业将其分给各与方的程调然后调度协调每个与方，进行业的步启动行（见图4）。图4创建业关操作时图启动作业各个参方接创建作后调方来协各个方并发动作业求参与方调度收到该求后作业拆成若任务，后将任务下到对算法组服务图2）。图5启动业关操作时图查询作业状态由某个参与方发起作业状态查询请求，发送到调度方的流程调度层调度方接收请求后向各与方发查询状态的求后汇总所节点业状态，返请求的起方图2）。图6查询业关操作时图停止作业由某个与方作业停请求送到调方的程调度层流调度层接收请求后向各与方发停止请求个参方接收到止作求后正在行任务所应的组件发停止务请求然后业停止果返请求发方（见图7）。图7停止业关操作时图任务回调（poll）主动查（轮式的任执行获取个参在运行程中将任的状运行的间结等通回调式反馈己方流程调度层，然后由调度方向各个参与方主动查询任务的回调结果（见图2）。图8任务调ol关键作时图任务回调（callak）被动等回调的任务行结取各参与在行过程任务的态的中间果等过回调方式馈给己的流度层，后主送任务回调给调度（见图2）。图9任务调alc)键操序图任务异常停止当任务行过由于种原致当前行的失败时运行任务的法组失败的务状步给流调度后流程度层再将该失败状态同步给调度方，然后由调度方再发起停止作业请求（见图3）。图0任务常停关键操时序图流程调系统展流程调除了隐私计作业参与方同顺行在大度上也定了执行的行度统总体量平台在足基业调度能之建议可过作列动调度制实现私计业的高执行。流程调可以多种调策略FOacyFr优先级保障满生产应时对策略的活要同时程调作为作业行的官需保证的高可性分布式子系负载共同护统调度服能力证整体统的运行。（五）组件容器化加载方案本子课研究件容器加载细方案提供准的组件加载流和关术提统一像定义范和名称定规范最后给出件实组件管服务细容器载工程。组件容加载设计首先组容器载的整关系示意图如图1所。1与隐私算平关的模包括：cpetgtrnddceyeie组件与发现。用管理例的服，提件的注和查务。组实例启动后进注册现算法务发路由selesve：调度务。法作业任务调度ctnrner：容器理器底层容编排的封装，接调度的请求注：上各模逻辑上抽象对应具的服物理形作限制。组件通加载，将组的镜载成为件实并将响接口注到注发现服上，务进行用。和组件例之间，可是多务对应个组例，也以是一形式组件和任务的系示如图2所。2其中组镜Cpetme用于表组件包后的器镜像文组（mntItce指加载启动后于提供组件功能的进程或者服务。组件实例可以是常驻或者单次形态进行运行但组件工作和步骤保持。常驻形：组过加载，形件实例持续系统中供一个者多务来进使用件启动可以件第一使用进行加，或系统启时完起。组停止以在系停止时，或根据情况进停止。单次形：组着任务执行而启动随着的执行成而进停止。下面进一步描述标准组件加载管理机制，由组件管理服务和组支撑服务两部分组成。标准组件全生命周期通过组件容器管理器进行管理容器加结构如图3所示。图33器加结图其中：组件管服务mntageteie用于组件其实例服务责管理件所的容器管理容器平（例如crSrm和Kees）行对接完成的编排理。组件支服务montSpteve：于向提供础操作力的。用于组件内所使的功提供标的服务接口。会将服务通过uxle文件形将基口功能射到容器内部接收应组件提供求。镜像定规范件名称义规范镜像定规范：镜像命：基式为<vor/mea>tg>depr件开发者司组名如utabiu议由联进行名称的准化igne现组件功能类等重信息如he-（纵向辑回dp基于DH钥协商的Pftcltn（AE算包）tg版本遵循momopc[te]（态是选的）如.、.1ea像一旦布则更改镜像标过BL11=2方式添键值为镜像提供多的，具体义需外文档说明目录结：通过crleODR指定工目录镜像标签上定日录（见表61）表61镜标签息LABELkey描述log_dr日志件录如homadminapplogs网络通：⚫T/Poe：常见方，通听端口暴露服务。指定端使容外可访。在标签里供如表62所示息：表-2像标息LABELkey描述port端口，如80可能出端口问题，要利础设施（如8）能力来解决。⚫Uxfe（选利用ixmnSkt技，通过监本地oet文件暴露内服访外部服也是过oet文。该方式屏蔽架构的节要组件撑服现流量发镜像标签提供如表-3示信：表-3像标息LABELkey描述uds_drsockt件在录如/varud。文件名参“件称定规”子接类，如egier.sok镜像安性保段可参如下：防篡改比对的s26摘与开发提供否一致漏洞扫各根据自基础的情况利用或自研进行VE洞扫描镜像签：可利用ory务实发方加签使用签组件名定义（oontN）如下：组件名称Cpetme于唯示组件名称串，按前><本.类><称式进行名。例如ieov.gimer_r前缀：通标缀版本：口版本类型：接口型名称：口的称组件实状态组件实状态如表7示：表7组件例状描述状态标识状态名称状态描述UNLOAED未加载当组镜未载系时，处的态LOADED已加载当组镜完下和证，载系的态STOPPD已停止当组镜停运以准进重启或卸载所在状态STARTD已运行当组完了始工，可对提服。FAILED已故障当组镜运之现故后所在状态组件实状态关系如图34所示。图34件实状转换关图容器加流程各家基自身础设施通过naeraar现容器载能力。以8S，oaeraer构建好Dlet置后调用AIeer的RT接（或bcl命建o（即cpetitc）。整体交时序图35所示。图35器加流图（六）基于最小化约束的算法容器设计通常，算法中运行算法算子非依赖所提供功能支接口现其内的运辑。因，是在一套活、满足容内部、又能足兼要求的器支口设计决定算法容设计。事实上容器接口不唯一或者一不变首先接口需求层来讲联学习等层应法和底安全的实现身就是一成变并随着时发展化因容需的接口型和功能是可会发化其从统持层面讲商所提底层支撑系统多都构的其所提供系统功口也不相同最从互通议层讲随算法用底层支系统私计算术的不断迭代新，间互通议也不断迭更新。综上，法容其配套器支口的设需要以上技新和发的需且应满以下能力要：算法容器需要满足对历史算法容器镜像向下兼容的能力。于算法镜的开以独立隐私系统的发此随着隐计算技术及应的发一个算可能为不同本的而不能好兼所依赖底层也可能于新法改造现而容要较好兼容使用历史算法容器镜像，需要新设计的算法容器和接口具备向上支持、向下兼的能是算法器设一个难为满以上设需，本子课充分和吸取从早软CM体系方式近期业内广泛行的务设计念了类似册中机制试通统一的键值对Kyaue）形式对不的接口服务进行统一分类和管理，再通过境变方式给到镜部从可以据本不同供不同的接口最大地提高镜像的向下兼容。算法容器需要尽可能地减少对镜像内部的限制要求，以便支持现算法进行平迁移由算法实往往不同厂进行计且不平台实现方大多差异此何不对现算法实现做较修改提下算法镜像尽能地现有实方式这是算法器设另一个点此课组启算法容镜像工作过对十多家商的方式进充分和统计以及整理需归用方式手段项排除方法定算法器镜束仅限在镜签和环变量此外通过已有标输出误码方来获行状态以及固定地去口等手来减定项目从而对镜像低约目的。算法容器工作流程应该尽可能简单，但同时又要尽可能覆绝大多数应用联邦习算理本身有多在实过程也没有绝的实式这致了同现算法工作有着较的出从容器命周度来看算法作态可以成瞬（即即销）和常驻态对行业实现的调研统计题组发虽然种形态都应用但时形态大多景同出于配景和性考，这两种态虽实应用都有但瞬形态更为简常形态则由于需要从更多接口和交互流程上进行定义，流程较为复杂。因此，综合应广泛形态复性来在容器命周选择上宜以时形态为前首计方式瞬时态仅有助能够降低的法容器工作流的复，同时能兼多数的用场。根据上要求题组提了一单的可同时绝大多用需求最小束算法器方：容器内包含或者多算法；容器以时形即用即毁）