涉及数据资产的数据安全计算空间边界调整方法及装置与流程

本发明实施例涉及安全计算，尤其涉及一种涉及数据资产的数据安全计算空间边界调整方法及装置。

背景技术：

1、数据资产是由数据拥有者拥有或者控制的，以物理或电子的方式记录的数据资源。数据资产可以提供给数据需求者使用，例如将原始数据经过安全计算后提供给数据需求者。现有技术中，涉及数据资产的数据安全计算通常是将云服务节点聚合成为一个计算任务对应的计算空间。在该计算空间中，各个计算节点获取各个数据源节点(各数据源节点不作为能够进行计算的节点)上传的数据，并进行计算。相应的计算方案可以包括多方安全计算、联邦学习或者是设置tee环境来进行计算。

2、但是，采用上述方式进行计算，数据传出了数据源所在的本地，不符合数据不出域的安全计算原则，可能存在数据安全隐患。

技术实现思路

1、基于现有技术的上述情况，本发明实施例的目的在于提供一种涉及数据资产的数据安全计算空间边界调整方法及装置，根据计算任务的需要，构建动态可调整的安全计算空间，提高了数据计算的安全性。

2、为达到上述目的，根据本发明的一个方面，提供了一种数据安全计算空间边界调整方法，应用于服务器端，所述方法包括：

3、获取计算任务，并根据所述计算任务确定用于进行计算的安全计算空间和数据源；所述数据源包括第一数据源，所述安全计算空间包括待调整至第一数据源边界内的第一计算节点；

4、输出网络调整信息至第一计算节点，以使得第一计算节点调整至第一数据源的边界内；

5、输出连接认证信息至第一数据源和第一计算节点，以建立第一数据源和第一计算节点之间的域内连接和第一计算节点与安全计算空间中其他计算节点之间的跨域连接，以通过域内连接传输原始数据，并通过跨域连接传输中间数据。

6、进一步的，所述网络调整信息包括需要调整的网络信息，以使得第一计算节点按照该网络调整信息，通过目标方式将第一计算节点的网络和第一数据源的网络调整至同一网络，使得该第一计算节点调整至第一数据源的边界内，所述目标方式包括软件定义网络的方式、调整网闸的方式和调整网络切换器的方式中的至少一个。

7、进一步的，所述安全计算空间还包括第二计算节点，所述第二计算节点用于与安全计算空间中的其他计算节点连接；

8、所述第一计算节点与第二计算节点之间的跨域连接为第二连接，所述第二连接用于传输中间数据。

9、进一步的，所述安全计算空间还包括第三计算节点，所述第三计算节点与第二数据源处于同一设备；

10、所述第一计算节点与第三计算节点之间的跨域连接为第三连接，所述第三连接用于交换中间数据。

11、进一步的，所述第二连接还包括第二计算节点与第二计算节点的连接；所述第三连接还包括第三计算节点与第三计算节点的连接、第二计算节点与第三计算节点的连接。

12、进一步的，所述安全计算空间还包括在其他数据源边界内的第一计算节点，处于不同数据源边界内的第一计算节点之间的跨域连接为第四连接，所述第四连接用于交换中间数据。

13、进一步的，所述方法还包括：

14、根据计算节点间的连接方式，发送与连接方式对应加密等级的密钥至各计算节点；所述跨域连接对应的加密等级高于域内连接对应的加密等级，也可以是相同的加密等级。

15、进一步的，所述连接认证信息包括认证证书，以使得各计算节点之间依据认证证书进行相互认证。

16、进一步的，所述方法还包括：

17、接收计算节点发送的试连接反馈结果，并根据所述试连接反馈结果确定是否更换第一计算节点。

18、根据本发明的第二个方面，还提供了一种数据安全计算空间边界调整方法，应用于计算节点，所述方法包括：

19、接收服务器端发送的网络调整信息，根据该网络调整信息进行网络调整，以将该计算节点与第一数据源调整至同一网络，使得该计算节点调整至第一数据源的边界内；所述计算节点位于安全计算空间内，所述安全计算空间和第一数据源根据计算任务确定；

20、接收服务器端发送的连接认证信息，建立与第一数据源之间的域内连接和与安全计算空间中其他计算节点之间的跨域连接，以通过域内连接传输原始数据，并通过跨域连接传输中间数据。

21、根据本发明的第三个方面，还提供了一种数据安全计算空间边界调整方法，应用于数据源节点，所述方法包括：

22、接收服务器端发送的网络调整信息，根据该网络调整信息将第一计算节点调整至该数据源的边界内；所述第一计算节点和数据源均位于安全计算空间内，所述安全计算空间和该数据源根据计算任务确定；

23、接收服务器端发送的连接认证信息，建立与第一计算节点之间的域内连接，以通过域内连接传输原始数据。

24、根据本发明的第四个方面，还提供了一种数据安全计算空间边界调整装置，应用于服务器端，所述装置包括：

25、调整信息确定模块，用于获取计算任务，并根据所述计算任务确定用于进行计算的安全计算空间和数据源；所述数据源包括第一数据源，所述安全计算空间包括待调整至第一数据源边界内的第一计算节点；

26、调整信息输出模块，用于输出网络调整信息至第一计算节点，以使得第一计算节点调整至第一数据源的边界内；

27、连接认证信息输出模块，用于输出连接认证信息至第一数据源和第一计算节点，以建立第一数据源和第一计算节点之间的域内连接和第一计算节点与安全计算空间中其他计算节点之间的跨域连接，以通过域内连接传输原始数据，并通过跨域连接传输中间数据。

28、综上所述，本发明实施例提供了一种数据安全计算空间边界调整方法及装置，所述方法包括：服务器端获取计算任务，并根据所述计算任务确定用于进行计算的安全计算空间和数据源；输出网络调整信息至第一计算节点，以使得第一计算节点调整至第一数据源的边界内；输出连接认证信息至第一数据源和第一计算节点，以建立第一数据源和第一计算节点之间的域内连接和第一计算节点与安全计算空间中其他计算节点之间的跨域连接，以通过域内连接传输原始数据，并通过跨域连接传输中间数据。本发明实施例的技术方案，根据计算任务的需要，将各计算节点构建为动态可调整的安全计算空间，可以将部分计算节点划分到数据源对应的网络边界中，进而在数据源所在的网络边界中进行计算，之后传出相应的中间数据进行计算。采用上述技术方案，满足了原始数据不出域的原则，避免了可能存在数据安全隐患，提高了数据计算的安全性。

技术特征：

1.一种数据安全计算空间边界调整方法，其特征在于，应用于服务器端，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述网络调整信息包括需要调整的网络信息，以使得第一计算节点按照该网络调整信息，通过目标方式将第一计算节点的网络和第一数据源的网络调整至同一网络，使得该第一计算节点调整至第一数据源的边界内，所述目标方式包括软件定义网络的方式、调整网闸的方式和调整网络切换器的方式中的至少一个。

3.根据权利要求2所述的方法，其特征在于，所述安全计算空间还包括第二计算节点，所述第二计算节点用于与安全计算空间中的其他计算节点连接；

4.根据权利要求3所述的方法，其特征在于，所述安全计算空间还包括第三计算节点，所述第三计算节点与第二数据源处于同一设备；

5.根据权利要求3或4所述的方法，其特征在于，所述第二连接还包括第二计算节点与第二计算节点的连接；所述第三连接还包括第三计算节点与第三计算节点的连接、第二计算节点与第三计算节点的连接。

6.根据权利要求5所述的方法，其特征在于，所述安全计算空间还包括在其他数据源边界内的第一计算节点，处于不同数据源边界内的第一计算节点之间的跨域连接为第四连接，所述第四连接用于交换中间数据。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

8.根据权利要求1所述的方法，其特征在于，所述连接认证信息包括认证证书，以使得各计算节点之间依据认证证书进行相互认证。

9.根据权利要求1所述的方法，其特征在于，所述方法还包括：

10.一种数据安全计算空间边界调整方法，其特征在于，应用于计算节点，所述方法包括：

11.一种数据安全计算空间边界调整方法，其特征在于，应用于数据源节点，所述方法包括：

12.一种数据安全计算空间边界调整装置，其特征在于，应用于服务器端，所述装置包括：

技术总结
本发明实施例涉及一种涉及数据资产的数据安全计算空间边界调整方法及装置，所述方法包括：服务器端根据获取的计算任务确定用于进行计算的安全计算空间和数据源；输出网络调整信息，以使得第一计算节点调整至第一数据源的边界内；输出连接认证信息，以建立第一数据源和第一计算节点之间的域内连接和第一计算节点与安全计算空间中其他计算节点之间的跨域连接。本发明实施例的技术方案，根据计算任务的需要，将各计算节点构建为动态可调整的安全计算空间，可以将部分计算节点划分到数据源对应的网络边界中，进而在数据源所在的网络边界中进行计算。采用上述技术方案，满足了原始数据不出域的原则，避免了可能存在数据安全隐患，提高了数据计算的安全性。

技术研发人员：郑灏,王爽,孙琪,王帅,李帜
受保护的技术使用者：杭州锘崴信息科技有限公司
技术研发日：
技术公布日：2024/1/15