一种数据共享方法、终端及系统与流程

1.本技术涉及信息安全领域，特别涉及一种数据共享方法、终端及系统。


背景技术：

2.数字经济时代，数据作为关键的生产要素，往往需要通过跨领域、跨行业、跨地域的机构间数据流通释放要素价值。但在其不断创造价值的同时，数据流通过程中产生的安全保护、合规应用等问题成为政、产、学、研、用等各界关注的焦点。
3.经过多年信息化建设，目前各单位内部都有着大量的信息系统，各类业务数据、资产数据、人员数据都存放在各类系统之中，由于这些系统在研发时其系统架构、开发语言、数据库设计都各不相同，并缺乏统一的顶层设计，最后建立的系统相互之间无法有效共享数据，大量数据存在冗余和不一致，影响了数据的利用。
4.为了发挥数据价值，当前很多信息系统采用第三方工具或自研软件进行数据识别、转换、分析与集成，然后通过远程方式连接到数据拥有方的数据库，远程进行数据抽取和挖掘。
5.数据要发挥要素价值的前提是能够让数据流动起来，在保障数据安全的情况下，数据的共享、开发、利用、增值等加工处理能创造多次利用价值。现有信息系统集成方式大都采用密码机等外挂式安全机制，除增加数据风险点，降低效率外，还存在以下不足：第一是数据需求方可以获得数据拥有方的数据库的全部操作权限，或者直接提取相关数据，并自行存储，使得数据拥有方无法把控数据安全性，也无法发挥数据资产的价值；第二是数据拥有方对自己的数据丧失管理权，不知道谁抽取了自己的数据，抽取了什么数据，多少数据，更不知道数据需求方是否进行二次开发利用，甚至私下出售原生或衍生的数据信息，使得现有的外挂式安全体系存在隐患，且增加了不受数据拥有方管控的风险点，并且数据的相对的集中，存在滥用风险，一旦发生数据泄露等安全事故，就是全系统泄露，风险影响程度大幅攀升。
6.为此，需要建设一个符合数据安全和个人信息保护合规体系的更为安全可靠的数据共享方法成了迫切需求。


技术实现要素：

7.有鉴于此，本技术的目的在于提供一种数据共享方法、终端及系统，确保数据共享过程数据的安全可靠。其具体方案如下：
8.本发明还公开了一种数据共享方法，应用于数据拥有方，包括：
9.通过可信对接总线子系统接收所述数据需求方通过可信接口发送的经数据交易中心转发的数据请求；
10.调用与所述数据请求对应的计算模型对与所述数据请求对应的目标数据进行计算，得到计算结果；
11.根据预设的安全机制，对所述计算结果进行对应的处理，得到安全计算结果；
12.利用所述可信对接总线子系统发送所述安全计算结果至所述数据需求方的可信接口；
13.其中，所述数据需求方的可信接口、所述数据拥有方的可信对接总线子系统与所述数据交易中心相互可信。
14.可选的，所述通过可信对接总线子系统接收所述数据需求方通过可信接口发送的经数据交易中心转发的数据请求之前，还包括：
15.通过所述可信对接总线子系统接收经所述数据交易中心转发且验证过的所述数据需求方的访问请求；
16.根据所述访问请求，利用可信对接总线子系统通过所述数据交易中心建立与所述数据需求方的通信连接。
17.可选的，所述通过所述可信对接总线子系统接收经所述数据交易中心转发且验证过的所述数据需求方的访问请求的过程，包括：
18.通过所述可信对接总线子系统接收经所述数据交易中心转发所述数据需求方通过可信接口发送的包括通信地址和经所述数据交易中心验证过的时效票据的所述访问请求；
19.所述根据所述访问请求，利用可信对接总线子系统通过所述数据交易中心建立与所述数据需求方的通信连接的过程，包括：
20.通过所述可信对接总线子系统发送所述时效票据至所述数据交易中心；
21.通过所述可信对接总线子系统接收所述数据交易中心反馈的与所述时效票据对应的所述数据需求方的用户信息；
22.验证所述用户信息通过后，根据所述通信地址通过所述数据交易中心建立与所述数据需求方的通信连接。
23.可选的，所述根据预设的安全机制，对所述计算结果进行对应的处理，得到安全计算结果的过程，包括：
24.根据预设的所述安全机制，判断所述计算结果的敏感性；
25.如果所述计算结果无敏感内容，则输出包括所述计算结果的全量数据的所述安全计算结果；
26.如果所述计算结果存在部分敏感内容，则进行脱敏脱密处理后，输出所述安全计算结果；
27.如果所述计算结果敏感性高，则输出包括不共享原因的所述安全计算结果。
28.本发明还公开了一种数据共享方法，应用于数据需求方，包括：
29.通过可信接口发送经数据交易中心验证的访问请求至所述数据交易中心，以使所述数据交易中心转发所述访问请求至如权利要求1至4任一项所述的数据拥有方；
30.利用通过所述数据交易中心建立的与所述数据拥有方的通信连接，通过所述可信接口发送数据请求至所述数据拥有方；
31.通过所述可信接口接收所述数据拥有方发送的安全计算结果；
32.其中，所述数据需求方的可信接口、所述数据拥有方的可信对接总线子系统与所述数据交易中心相互可信。
33.可选的，所述通过可信接口发送经数据交易中心验证的访问请求至所述数据交易
中心的过程，包括：
34.通过所述可信接口发送登录请求至所述数据交易中心；
35.通过所述可信接口接收所述数据交易中心经对所述数据需求方的通信地址验证后反馈的时效票据；
36.通过所述可信接口发送包括所述通讯通信地址和所述时效票据的访问请求至所述数据拥有方。
37.本发明还公开了一种数据拥有方数据共享终端，包括：
38.数据请求接收模块，用于通过可信对接总线子系统接收所述数据需求方通过可信接口发送的经数据交易中心转发的数据请求；
39.模型计算模块，用于调用与所述数据请求对应的计算模型对与所述数据请求对应的目标数据进行计算，得到计算结果；
40.数据安全处理模块，用于根据预设的安全机制，对所述计算结果进行对应的处理，得到安全计算结果；
41.计算结果发送模块，用于利用所述可信对接总线子系统发送所述安全计算结果至所述数据需求方的可信接口；
42.其中，所述数据需求方的可信接口、所述数据拥有方的可信对接总线子系统与所述数据交易中心相互可信。
43.本发明还公开了一种数据需求方数据共享终端，包括：
44.访问请求发送模块，用于通过可信接口发送经数据交易中心验证的访问请求至所述数据交易中心，以使所述数据交易中心转发所述访问请求至如前述的数据拥有方；
45.数据请求发送模块，用于利用通过所述数据交易中心建立的与所述数据拥有方的通信连接，通过所述可信接口发送数据请求至所述数据拥有方；
46.计算结果接收模块，用于通过所述可信接口接收所述数据拥有方发送的安全计算结果；
47.其中，所述数据需求方的可信接口、所述数据拥有方的可信对接总线子系统与所述数据交易中心相互可信。
48.本发明还公开了一种数据共享系统，包括：执行如前述的数据共享方法的数据拥有方数据共享终端、执行如前述的数据共享方法的数据需求方数据共享终端和数据交易中心；
49.所述数据需求方数据共享终端通过可信接口与所述数据交易中心连接，所述数据拥有方数据共享终端通过可信对接总线子系统与所述数据交易中心连接；
50.所述数据交易中心，用于对数据请求方进行身份验证，为所述数据需求方数据共享终端和所述数据拥有方数据共享终端建立通信连接。
51.可选的，所述数据交易中心，还用于检测所述数据需求方数据共享终端与所述数据拥有方数据共享终端之间的流量情况和/或数据交易信息管理和/或用户状态数据管理。
52.本技术中，数据共享方法，应用于数据拥有方，包括：通过可信对接总线子系统接收数据需求方通过可信接口发送的经数据交易中心转发的数据请求；调用与数据请求对应的计算模型对与数据请求对应的目标数据进行计算，得到计算结果；根据预设的安全机制，对计算结果进行对应的处理，得到安全计算结果；利用可信对接总线子系统发送安全计算
结果至数据需求方的可信接口；其中，数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信。
53.本技术数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信，通过运行在可信环境下，提高数据的安全性，同时，数据拥有方存储有计算模型，数据拥有方的数据不需要发送至数据需求方进行计算，只需在本地就可以计算，得到计算结果，再通过安全机制处理后，得到安全计算结果，并反馈至数据需求方，实现了数据不脱离数据拥有方，同时，通过在数据需求方或数据拥有方内置单独的可信接口或可信对接总线子系统，不用大幅改变原有的旧系统，只需让可信接口或可信对接总线子系统兼容和对接旧的信息系统便可，提高了兼容性。
附图说明
54.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。
55.图1为本技术实施例公开的应用于数据拥有方的一种数据共享方法流程示意图；
56.图2为本技术实施例公开的一种可信对接总线子系统架构原理示意图；
57.图3为本技术实施例公开的应用于数据拥有方的另一种数据共享方法流程示意图；
58.图4为本技术实施例公开的一种数据共享计算过程示意图；
59.图5为本技术实施例公开的一种可信对接总线子系统哈佛结构原理示意图；
60.图6为本技术实施例公开的一种可信软件基服务的验签流程示意图；
61.图7为本技术实施例公开的应用于数据需求方的一种数据共享方法流程示意图；
62.图8为本技术实施例公开的一种数据拥有方共享终端结构示意图；
63.图9为本技术实施例公开的一种数据需求方共享终端结构示意图；
64.图10为本技术实施例公开的一种数据共享系统结构示意图；
65.图11为本技术实施例公开的一种数据共享系统架构示意图。
具体实施方式
66.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
67.本技术实施例公开了一种数据共享方法，参见图1所示，应用于数据拥有方，该方法包括：
68.具体的，为了实现提高通信的安全，需要令数据拥有方、数据需求方以及数据交易中心均运行在相互可信环境下从而提高安全等级，为此，在数据需求方内置可信接口，在数据拥有方内置可信对接总线子系统，使得数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信，从而确保三者的数据交换过程中都是通过内置的可
信环境进行交互的，提高了数据交互过程的安全性。
69.具体的，由于数据拥有方和数据需求方均是单独内置额外的对外接口或子系统，因此，还具备了更好的兼容性，能够对接数据拥有方和数据需求原有的数据系统，可信接口或可信对接总线子系统可以具备对外来数据的安全校验功能，从而可以确保进入可信环境的外部来源数据都是安全可靠的，确保安全性。
70.s11：通过可信对接总线子系统接收数据需求方通过可信接口发送的经数据交易中心转发的数据请求。
71.具体的，数据需求方需要向数据拥有方获取所需的数据时，需要发送数据请求至数据拥有方，以便数据拥有方得知数据需求方的数据需求，在数据拥有方发送数据请求时，为了对数据请求发送方进行验证确保是安全且真实的数据需求方索求数据，利用数据交易中心作为中间的转发者确保数据来源的可靠性，同时，也为后续数据交易中心能够掌握数据请求方与数据拥有方之间的交互数据流量等传输过程信息有一定的掌握，便于后续的交易管理。
72.s12：调用与数据请求对应的计算模型对与数据请求对应的目标数据进行计算，得到计算结果。
73.具体的，为了避免数据脱离数据拥有方，实现具备内生内置安全机制的系统设计架构和管理模式，降低系统漏洞、网络后门等威胁，提升整体系统的安全防护能力，不会出现攻破一个系统，导致整个系统的信息泄漏，甚至整个系统崩溃等现象，使数据拥有方接收到数据请求后，不再发送数据需求方所需的数据至数据需求方，而是可以预先存储通过安全验证的数据需求方所需的计算模型，使得可以在数据拥有方本地利用计算模型对目标数据进行计算，在数据拥有方本地得到计算结果，实现了数据拥有方数据不脱离原有主体，确保了数据安全，也能够满足数据需求方对数据的索求，避免了数据需求方获得数据拥有方的数据，反而使数据需求方基本掌握了所有数据，可见避免了这种数据过于集中的模式，有效减少了整个系统的脆弱性和易被攻击性，以及数据需求方可能出现的因权利过大，造成的数据滥用。
74.其中，计算模型可以由数据需求方提供给数据拥有方存储，数据需求方在制作出计算模型后，经过可信验证后，可以通过数据交易中心发送给数据拥有方，使得数据拥有方存储有数据需求方所需的计算模型，可以理解的是，数据拥有方可以存储多个计算模型，每次根据不同的数据请求调用对应的计算模型。
75.s13：根据预设的安全机制，对计算结果进行对应的处理，得到安全计算结果。
76.具体的，得到计算结果后，需要将计算结果反馈至数据需求方，但计算结果中的部分数据可能是数据拥有方不能反馈给数据需求方的，需要进行对应的脱敏处理，得到安全计算结果，才能够发送至数据需求方，因此，根据预设的安全机制，对计算结果进行对应的处理，例如，通过人工审核或者设定预设的安全规则，自动检索计算结果中是否包括预设的安全规则中禁止发送的数据，如果存在可以将禁止发送的数据去除，最终得到允许发送的安全计算结果。
77.s14：利用可信对接总线子系统发送安全计算结果至数据需求方的可信接口。
78.具体的，在完成上述安全评估后，便可以再利用可信对接总线子系统发送安全计算结果至数据需求方的可信接口，以使数据需求方得到安全计算结果。
79.可见，本技术实施例数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信，通过运行在可信环境下，提高数据的安全性，同时，数据拥有方存储有计算模型，数据拥有方的数据不需要发送至数据需求方进行计算，只需在本地就可以计算，得到计算结果，再通过安全机制处理后，得到安全计算结果，并反馈至数据需求方，实现了数据不脱离数据拥有方，同时，通过在数据需求方或数据拥有方内置单独的可信接口或可信对接总线子系统，不用大幅改变原有的旧系统，只需让可信接口或可信对接总线子系统兼容和对接旧的信息系统便可，提高了兼容性。
80.具体的，因可信接口和可信对接总线子系统兼容性好，所以数据拥有方以及数据需求方的信息系统业务数据库可以按层级等方式分布式存储在不同的物理空间，形成多元异构性特点，多元异构的兼容型信息系统可通过可信部件实现局部的可信验证，新建的原生信息系统体系可实现全局的可信验证，从而监测并发现不可信实体，及时恢复或阻断运行，确保整个系统安全，可以在不同层面部署不同种类的异构软件、硬件，方便兼容原来已建的信息系统，方便利旧，节约成本，。
81.可以理解的是，数据需求方和数据拥有方可以通过数据交易中心进行一对多或多对多等通信方式，同时可以有大量的数据需求方和数据拥有方相互通过数据交易中心通信，同时，数据拥有方和数据需求方可以随时进行身份互换，数据拥有方和数据需求方因均内置相同的可信对接总线子系统，因此，可以根据实际应用场景进行身份互换，而完全不受硬件或软件的影响及限制，其中，在身份为数据需求方时利用可信对接总线子系统中的可信接口便能够完成主要功能，在身份为数据拥有方时则需要利用可信对接总线子系统进行计算模型的调用和计算以及各种安全验证等操作，因此，在前述实施例中对于数据需求方仅强调了可信对接总线子系统中的可信接口。
82.具体的，参见图2所示，本技术实施例中可信对接总线子系统可以基于tpcm(trusted platform control module，可信平台控制模块)构建，tpcm读取bios(basic input output system，基本输入输出系统)代码、对bios进行度量，度量结果存储在tpcm中，然后tpcm将控制权交给cpu，tpcm变为一个控制设备，为计算过程提供密码服务或者可信服务。
83.具体的，通过对加密算法进行动态可重构，并结合密钥及认证口令的动态变化，在数据拥有方、数据需求方和数据交易中心即节点设备之间建立内生安全的专署数据传输信道。
84.具体的，内置可信环境是通过硬件可信根(例如，飞腾cpu可信核)，建立tee(trusted execution environment，可信执行环境)和ree(rich execution environment，移动设备通用运行环境)，并将处理器核、内存空间、外设空间等资源划分至tee和ree中。
85.具体的，本技术实施例以中国电子主导的pks体系为例，内置可信信任链的建立流程如下：
86.1)飞腾处理器验证并加载pbf固件，信任从飞腾处理器传递至pbf固件；
87.2)pbf固件初始化处理器核、内存及片内输入输出控制器；
88.3)pbf固件验证并加载tpcm固件至tee，信任从pbf固件传递至tpcm固件；
89.4)tpcm固件初始化tee，建立tpcm运行实体；
90.5)tpcm度量并加载uefi固件至ree；
91.6)tpcm通知pbf使能ree，信任从tpcm固件传递至uefi固件；
92.7)uefi固件初始化其他外部设备，度量并加载执行板卡固件；(uefi统一可扩展固件接口，英文全称：unified extensible firmware interface)
93.8)uefi固件度量并加载执行操作系统加载器，信任从uefi传递至操作系统加载器；
94.9)操作系统加载器度量并加载执行操作系统内核，信任从操作系统加载器传递至操作系统内核。
95.具体的，可信部件中的可信平台主板是集成了tpcm的计算机主板,可将tpcm作为信任根建立信任链，并提供tpcm与其他硬件的连接。其中，可信平台控制模块(tpcm)是一个逻辑独立或者物理独立的实体，一般采用独立的模块或物理封装，并通过ip核或固件方式与可信密码模块(tcm)/可信平台模块(tpm)集成、虚拟化实现实体等形式存在，具备主动度量和控制功能。tpcm固件独占连接rom的spi控制器，且rom芯片的写保护引脚由spi控制器控制，并且pbf固件、tpcm固件和uefi固件共同存储在rom中，连接rom的spi控制器属于tee；tee可安全访问rom的接口、安全的度量命令接口，并可存储度量的杂凑值和度量的日志。系统硬件可以兼容安全内存和通用内存。
96.本技术实施例公开了一种具体的数据共享方法，应用于数据拥有方，相对于上一实施例，本实施例对技术方案作了进一步的说明和优化。参见图3和图4所示，具体的：
97.s21：通过可信对接总线子系统接收经数据交易中心转发且验证过的数据需求方的访问请求。
98.具体的，在数据需求方发送数据请求至数据拥有方之前，数据需求方需要通过数据交易中心建立与数据拥有方的通信连接，因此，数据拥有方会通过可信对接总线子系统接收经数据交易中心转发且验证过的数据需求方的访问请求。
99.具体的，访问请求中可以包括通信地址和经数据交易中心验证过的时效票据。
100.s22：根据访问请求，利用可信对接总线子系统通过数据交易中心建立与数据需求方的通信连接。
101.具体的，根据经数据交易中心验证过后的访问请求便可以通过数据交易中心建立与数据需求方的通信连接，进一步的，通信连接的具体建立过程可以包括s221至s223；其中，
102.s221：通过可信对接总线子系统发送时效票据至数据交易中心；
103.s222：通过可信对接总线子系统接收数据交易中心反馈的与时效票据对应的数据需求方的用户信息；
104.s223：验证用户信息通过后，根据通信地址通过数据交易中心建立与数据需求方的通信连接。
105.具体的，在接收到数据拥有方的访问请求中的时效票据后，需要通过可信对接总线子系统发送时效票据至数据交易中心进行时效验证，确保时效票据未失效。
106.具体的，数据交易中心接收到时效数据后，如果验证无误，就会反馈与时效票据对应的数据需求方的用户信息至数据拥有方，从而完成对时效票据的验证过程。
107.具体的，接收用户信息后，数据拥有方利用可信对接总线子系统继续对用户信息进行验证，验证通过后允许数据需求方访问数据拥有方，并根据访问请求中记载的通信地
址通过数据交易中心建立与数据需求方的通信连接。
108.s23：通过可信对接总线子系统接收数据需求方通过可信接口发送的经数据交易中心转发的数据请求；
109.s24：调用与数据请求对应的计算模型对与数据请求对应的目标数据进行计算，得到计算结果；
110.s25：根据预设的安全机制，判断计算结果的敏感性。
111.具体的，根据预设的安全机制，例如，预先对数据设置黑白名单、设置安全等级等操作，判断计算结果中所包括的数据的敏感性。
112.s26：如果计算结果无敏感内容，则输出包括计算结果的全量数据的安全计算结果；
113.s27：如果计算结果存在部分敏感内容，则进行脱敏脱密处理后，输出安全计算结果；
114.s28：如果计算结果敏感性高，则输出包括不共享原因的安全计算结果。
115.具体的，如果计算结果中无敏感内容，则输出包括计算结果的全量数据的安全计算结果，如果只是计算结果中存在部分敏感内容，那么可以对计算结果进行脱敏脱密处理，得到不包括敏感内容的安全计算结果，如果计算结果敏感性高，则无法输出计算结果至数据需求方，可以将无法共享的原因作为安全计算结果输出至数据需求方，以便数据需求方得知为何无法进行数据共享。
116.可以理解的是，敏感数据的划分为数据拥有方预先根据实际情况进行划分的，那些数据敏感，那些数据不敏感可以由数据拥有方预先进行设定。
117.s29：利用可信对接总线子系统发送安全计算结果至数据需求方的可信接口；
118.其中，数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信。
119.具体的，数据需求方计算模型托管于数据拥有方管理的可信对接总线子系统，且具备如下功能1、虚拟专用网络(vpn)的功能是在公用网络上建立专用网络，进行加密通讯，2、跨系统调用自行编制或认可的api(application programming interface)接口函数,通过接口可配置及信息加密处理等方式增强api安全支撑能力，甚至封装成sdk，3、使用对称加密存储token令牌，例如将请求url、时间戳、token三者合并，通过算法进行加密处理，用到的时候再解密，具体方式包括访问令牌(access token)、密保令牌(security token)、话令牌(session token)等。
120.具体的，可信对接总线子系统以增加计算机硬件、软件等方式实现信任根tpm(trusted platform module，可信平台模块)构建系统信任链，从而实现三方权责的“可信计算+传统计算”的安全架构体系，可信机(即拥有可信对接总线子系统的终端)在数据拥有方管理下运行，并直接抽取业务数据完成计算任务，同时数据拥有方对其输出的计算结果或信息进行监控和验证，实现网络信息系统的主动免疫防护。
121.具体的，可信对接总线子系统其存储资源分可信程序存储和数据存储，其中，可信程序存储区、可信核、可信内存、可信固件等组成一条信任链，每次数据需求方有计算模型需要写入数据拥有方的可信对接总线子系统时需要授权，也就是要输入数据拥有方的系统管理密码方可进行变更，包括新增、删减、修订可信程序存储区的计算模型，同时封装的api
接口具有可配置的特点，可附上版本号和时间。
122.进一步的，计算模型的使用过程包括1、计算模型所需要的数据要走数据共享审批流程，并对计算模型程序进行代码审查，确保跟数据拥有方数据结构和格式相匹配，最后共同完成代码审查说明书撰写；2、提交代码审查说明书给主管机构或部门审批，通过后，拿到授权文件，准备计算模型程序写入；3、通过管理密钥登录可信对接总线子系统，将计算模型写入可信程序存储区，配置接口；4、数据需求方等登录自己的系统，发起验证链接(vpn等)，调用api或sdk进行计算；5、反馈计算数据或结果到可信对接总线子系统，评估数据敏感性，不敏感直接输出给数据需求方系统，敏感的数据则根据原先协议进行脱敏或进行全量数据输出授权审批，通过审批输出全量数据，未通过则输出未通过审批的结果信息给数据交易中心和数据需求方。
123.具体的，在对客体(数据资源等)、执行环境等进行可信验证的前提，可信对接总线子系统还应对主体进行可信验证，防止内鬼或假冒攻击。也就是，可信对接总线子系统应对应用层主体按照零信任理念落实安全监管策略和访问控制机制，该子系统中零信任监控模块通过密码服务和应用、身份管理、设备管理、资源管理、态势感知等支撑组件，获取多来源信息，支撑零信任监控模块运行的多种服务，包括主体自然属性、主体身份权威属性、主体身份鉴别属性、主体访问行为属性、主体环境属性、主体安全态势、主体威胁情报等来决定创建、更新、调整安全策略决定，并将安全策略决定实时传递到安全策略执行模块。例如，基于访问日志或主体访问时间、频次等规律构建安全策略，然后安全策略执行模块在安全策略决定模块的管理下，建立、维持或阻断主体到资源的数据访问信道，或继续授予、撤销对被访问资源的访问权限。
124.具体的，可信对接总线子系统具备“底层可信+应用层主体零信任”双体系架构特点。在非利旧的情况下，与之对接的系统均可按照该架构对整个系统进行设计集成或改造等工作。
125.具体的，参见图5所示，可信对接总线子系统可以采用基于可信部件的哈佛结构进行系统架构设计，将系统按数据总线和程序总线分开设计，由于程序指令和数据分开存储，且数据存储器与程序存储器采用不同的总线，从而提升带宽，提高数据处理性能和效率。
126.具体的，参见图6所示，可信软件基服务的验签流程如下：
127.1.首先进行软件包下载，下载完成后将软件信息发送给可信软件基服务，并对软件包进行合法性检查；
128.2.可信软件基服务获取与软件包相对应的签名值和公钥证书信息；
129.3.验证证书合法性。如验证失败，则通知终止安装；如验证成功后，则通过签名值和验签公钥信息对软件包进行系统验签。
130.4.如系统验签失败，则通知终止安装；如系统验签成功后，验签通过后进行软件安装；
131.5.软件安装过程中，可信软件基服务通过软件信息对安装的软件进行白名单采集；
132.6.软件安装结束后，将采集的白名单信息上报可信管理服务，并判断是否更新到安全策略中；
133.7.正常使用该应用软件。
134.相应的，本技术实施例还公开了一种数据共享方法，参见图7所示，应用于数据需求方，包括：
135.s31：通过可信接口发送经数据交易中心验证的访问请求至数据交易中心，以使数据交易中心转发访问请求至如前述的数据拥有方。
136.具体的，数据需求方需要首先通过数据交易中心发送访问请求至数据拥有方，建立通信连接，访问请求中可以包括数据需求方的通信地址和相关的验证信息，例如，时效票据，以便通过通信地址建立通信连接，通过时效票据验证身份是否合法。
137.进一步的，通过可信接口发送经数据交易中心验证的访问请求至数据交易中心的过程可以具体包括s311至s313；其中，
138.s311：通过可信接口发送登录请求至数据交易中心；
139.s312：通过可信接口接收数据交易中心经对数据需求方的通信地址验证后反馈的时效票据；
140.s313：通过可信接口发送包括通讯通信地址和时效票据的访问请求至数据拥有方。
141.具体的，发送登录请求至数据交易中心后，数据交易中心对登陆请求进行验证，验证通过后，发送相应的时效票据至数据需求方，同时数据交易中心建立数据需求方与数据拥有方的通信连接，通过可信接口发送包括通讯通信地址和时效票据的访问请求至数据拥有方，以便完成登录操作访问数据拥有方操作系统。
142.s32：利用通过数据交易中心建立的与数据拥有方的通信连接，通过可信接口发送数据请求至数据拥有方；
143.s33：通过可信接口接收数据拥有方发送的安全计算结果；
144.其中，数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信。
145.可见，本技术实施例数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信，通过运行在可信环境下，提高数据的安全性，同时，数据拥有方存储有计算模型，数据拥有方的数据不需要发送至数据需求方进行计算，只需在本地就可以计算，得到计算结果，再通过安全机制处理后，得到安全计算结果，并反馈至数据需求方，实现了数据不脱离数据拥有方，同时，通过在数据需求方或数据拥有方内置单独的可信接口或可信对接总线子系统，不用大幅改变原有的旧系统，只需让可信接口或可信对接总线子系统兼容和对接旧的信息系统便可，提高了兼容性。
146.相应的，本技术实施例还公开了一种数据拥有方数据共享终端，参见图8所示，该终端包括：
147.数据请求接收模块11，用于通过可信对接总线子系统接收数据需求方通过可信接口发送的经数据交易中心转发的数据请求；
148.模型计算模块12，用于调用与数据请求对应的计算模型对与数据请求对应的目标数据进行计算，得到计算结果；
149.数据安全处理模块13，用于根据预设的安全机制，对计算结果进行对应的处理，得到安全计算结果；
150.计算结果发送模块14，用于利用可信对接总线子系统发送安全计算结果至数据需
求方的可信接口；
151.其中，数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信。
152.可见，本技术实施例数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信，通过运行在可信环境下，提高数据的安全性，同时，数据拥有方存储有计算模型，数据拥有方的数据不需要发送至数据需求方进行计算，只需在本地就可以计算，得到计算结果，再通过安全机制处理后，得到安全计算结果，并反馈至数据需求方，实现了数据不脱离数据拥有方，同时，通过在数据需求方或数据拥有方内置单独的可信接口或可信对接总线子系统，不用大幅改变原有的旧系统，只需让可信接口或可信对接总线子系统兼容和对接旧的信息系统便可，提高了兼容性。
153.具体的，还包括：
154.访问请求接收模块，用于通过可信对接总线子系统接收经数据交易中心转发且验证过的数据需求方的访问请求；
155.通信连接建立模块，用于根据访问请求，利用可信对接总线子系统通过数据交易中心建立与数据需求方的通信连接。
156.具体的，访问请求接收模块，具体用于通过可信对接总线子系统接收经数据交易中心转发数据需求方通过可信接口发送的包括通信地址和经数据交易中心验证过的时效票据的访问请求；
157.具体的，通信连接建立模块，包括：时效票据发送单元、用户信息接收单元和通信连接建立单元；其中，
158.时效票据发送单元，用于通过可信对接总线子系统发送时效票据至数据交易中心；
159.用户信息接收单元，用于通过可信对接总线子系统接收数据交易中心反馈的与时效票据对应的数据需求方的用户信息；
160.通信连接建立单元，用于验证用户信息通过后，根据通信地址通过数据交易中心建立与数据需求方的通信连接。
161.具体的，数据安全处理模块13，包括：敏感性判断单元、无敏感输出单元、部分敏感输出单元和高敏感输出单元；其中，
162.敏感性判断单元，用于根据预设的安全机制，判断计算结果的敏感性；
163.无敏感输出单元，用于如果敏感性判断单元判定计算结果无敏感内容，则输出包括计算结果的全量数据的安全计算结果；
164.部分敏感输出单元，用于如果敏感性判断单元判定计算结果存在部分敏感内容，则进行脱敏脱密处理后，输出安全计算结果；
165.高敏感输出单元，用于如果敏感性判断单元判定计算结果敏感性高，则输出包括不共享原因的安全计算结果。
166.相应的，本技术实施例还公开了一种数据需求方数据共享终端，参见图9所示，该终端包括：
167.访问请求发送模块21，用于通过可信接口发送经数据交易中心验证的访问请求至数据交易中心，以使数据交易中心转发访问请求至如前述的数据拥有方；
168.数据请求发送模块22，用于利用通过数据交易中心建立的与数据拥有方的通信连接，通过可信接口发送数据请求至数据拥有方；
169.计算结果接收模块23，用于通过可信接口接收数据拥有方发送的安全计算结果；
170.其中，数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信。
171.可见，本技术实施例数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心相互可信，通过运行在可信环境下，提高数据的安全性，同时，数据拥有方存储有计算模型，数据拥有方的数据不需要发送至数据需求方进行计算，只需在本地就可以计算，得到计算结果，再通过安全机制处理后，得到安全计算结果，并反馈至数据需求方，实现了数据不脱离数据拥有方，同时，通过在数据需求方或数据拥有方内置单独的可信接口或可信对接总线子系统，不用大幅改变原有的旧系统，只需让可信接口或可信对接总线子系统兼容和对接旧的信息系统便可，提高了兼容性。
172.具体的，访问请求发送模块21，包括：登陆请求发送单元、时效票据接收单元和访问请求发送单元；其中，
173.登陆请求发送单元，用于通过可信接口发送登录请求至数据交易中心；
174.时效票据接收单元，用于通过可信接口接收数据交易中心经对数据需求方的通信地址验证后反馈的时效票据；
175.访问请求发送单元，用于通过可信接口发送包括通讯通信地址和时效票据的访问请求至数据拥有方。
176.相应的，本技术实施例还公开了一种数据共享系统，参见图10和图11所示，包括：执行如前述的数据共享方法的数据拥有方数据共享终端31、执行如前述的数据共享方法的数据需求方数据共享终端33和数据交易中心32；
177.数据需求方数据共享终端33通过可信接口与数据交易中心32连接，数据拥有方数据共享终端31通过可信对接总线子系统与数据交易中心32连接；
178.数据交易中心32，用于对数据请求方进行身份验证，为数据需求方数据共享终端33和数据拥有方数据共享终端31建立通信连接。
179.可见，本技术实施例数据需求方的可信接口、数据拥有方的可信对接总线子系统与数据交易中心32相互可信，通过运行在可信环境下，提高数据的安全性，同时，数据拥有方存储有计算模型，数据拥有方的数据不需要发送至数据需求方进行计算，只需在本地就可以计算，得到计算结果，再通过安全机制处理后，得到安全计算结果，并反馈至数据需求方，实现了数据不脱离数据拥有方，同时，通过在数据需求方或数据拥有方内置单独的可信接口或可信对接总线子系统，不用大幅改变原有的旧系统，只需让可信接口或可信对接总线子系统兼容和对接旧的信息系统便可，提高了兼容性。
180.具体的，数据交易中心32，还用于检测数据需求方数据共享终端33与数据拥有方数据共享终端31之间的流量情况和/或数据交易信息管理和/或用户状态数据管理。
181.具体的，数据交易中心具备数据资产定价系统设计，接口流程检测等功能，避免数据拥有方绝对计价权力，调取不成功却收费，重复收费等问题。
182.具体的，数据交易中心可以统一账号密码、接口服务、单位信息管理，并将纳入共享的各类数据进行分类，建立专题库等，建立单位权限级别及优先级配置表，协调相关方，
落实并发分配、数据定价交易机制，方便跟各单位对接，还可以自行建设通用计算资源，并以虚拟机形式对外使用。
183.具体的，数据交易中心可以起到统一单位基础信息、统一接口服务、统一业务协调代理和统一数据资产计价交易等功能，解决业务协调难、单位(系统)状态监测难、数据资产计价难等问题。比如，不同软件系统分属不同单位，如果涉及软件系统多，则需要逐一找到各单位协调配合，难度可想而知，统一后，由数据交易中心组织协调，包括召开协商会议等，效率将大幅提升。
184.此外，数据交易中心还可以建立数据共享白名单、黑名单机制，说明不共享的理由(法规意见或单位条列)或特许共享机制；可建立数据资产计价交易机制，方便信息系统结算数据资产，比如，类似互联网交易支付中介，例如，各单位进入数据共享系统即交保证金，在特许共享机制下，授权书(行政许可)通用性会大幅提高，例如，司法机关出具调查令给数据交易中心(省大数据局等)，即可实现一对多，大幅提高效率。
185.具体的，参见图11所示，数据交易中心可以包括构件单位基础信息库、数据专题库、单位安全态势预警、和单位状态数据管理等功能，数据拥有方的可信对接总线子系统可以从数据拥有方原有的业务子系统数据库中获取数据需求方所需的数据代入至计算模型计算。
186.最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
187.专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术的范围。
188.以上对本技术所提供的技术内容进行了详细介绍，本文中应用了具体个例对本技术的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本技术的方法及其核心思想；同时，对于本领域的一般技术人员，依据本技术的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本技术的限制。