金融业隐私计算互联互通技术与场景实践

微信扫码，打开到小程序

金融业隐私计算互联互通 技术与场景实践 北京金融科技产业联盟 2025 年 6 月 版权声明 本报告版权属于北京金融科技产业联盟，并受法律保护。转 载、编摘或利用其他方式使用本报告文字或观点的，应注明来源。 违反上述声明者，将被追究相关法律责任。 编制委员会 编委会成员： 何 军 聂丽琴 涂晓军 何 朔 高鹏飞 编写组成员： 周雍恺 赵庆杭 李定洲 戚文彬 侯 腾 谢袁源 王 琪 张高磊 袁 航 邹 奋 胡君一 陈钟正 丁亚丹 孔 宇 国 钰 夏知渊 王松松 刘 微 张 莉 李 娜 郑雅铷 杨 俊 池燕玲 董 琦 黄 璜 樊明璐 钱 菲 谢 谨 王光中 王心玥 傅 杰 葛明嵩 王思婷 刘 瑞 包 芬 唐昕韵 张育涵 刘 勇 申超波 王圣博 范 涛 万志辉 邓 凯 董佳佳 蒋金文 王一凡 阮方圆 吴 昊 洪 爵 王 聪 苏宁宁 吴博峰 陈 昀 孙中伟 杨孟青 蒋东来 刘 桥 苏文波 陈 勇 欧阳安泰 李 帅 周 璇 杨劲雄 章 磊 马居朝 杨 波 乔 弘 侯 建 黄雅琼 高英博 尤 萌 刘 莘 袁 博 杨靖世 白玉真 徐 潜 喻 博 沈华杰 张锦锋 高 峰 张 宁 童 玲 王 超 曾 成 姚 明 何 浩 赵欢欢 杨天雅 卫 骞 王健宗 黄章成 吴天博 刘立强 赖建章 邓志强 张 豹 沈 阳 单吴斌 王彦博 陈志豪 董效稳 薛祥杰 高海隆 张敬之 吴美学 焦 珊 冯苏鑫 辛沛露 田 江 王 鹏 李蓬勃 苏 晨 冯吉禹 窦永金 蔡 雷 于 欢 张英伟 金银玉 靳 晨 康和意 张自奇 张 磊 谭 琳 杨景瑞 黄振华 薛刚汝 林吉健 谭 晋 贾明阳 张晓蒙 编 审： 黄本涛 国 钰 魏中宣 主编单位： 北京金融科技产业联盟 中国银联股份有限公司* 成方金融信息技术服务有限公司 中国工商银行股份有限公司* 中国银行股份有限公司* 中国建设银行股份有限公司 中国农业银行股份有限公司 交通银行股份有限公司* 中国邮政储蓄银行股份有限公司 招商银行股份有限公司* 上海浦发银行股份有限公司* 中国民生银行股份有限公司 广发银行股份有限公司* 深圳前海微众银行股份有限公司* 蚂蚁科技集团股份有限公司* 北京火山引擎科技有限公司* 京东科技信息技术有限公司 北京三快在线科技有限公司 银联商务支付股份有限公司 银联数据服务有限公司* 北京银联金卡科技有限公司* 中金金融认证中心有限公司 中国信息通信研究院* 天翼电子商务有限公司* 联通数据智能有限公司* 蓝象智联（杭州）科技有限公司* 深圳市洞见智慧科技有限公司* 上海富数科技有限公司* 深圳壹账通智能科技有限公司* 上海荣数信息技术有限公司 杭州金智塔科技有限公司* 参编单位： 华夏银行股份有限公司 兴业银行股份有限公司 浙商银行股份有限公司 网联清算有限公司* 光大科技有限公司 建信金融科技有限责任公司 北京国家金融科技认证中心有限公司 中国移动通信集团有限公司 华为技术有限公司 北京百度网讯科技有限公司 度小满科技（北京）有限公司 腾讯云计算（北京）有限责任公司 复旦大学 北京金融信息化研究所有限责任公司 金电信息科技（北京）有限责任公司 北京数牍科技有限公司 华控清交信息科技（北京）有限公司 湖南谦川科技有限公司 同盾科技有限公司 海光信息技术股份有限公司 杭州云象网络技术有限公司 联易融数字科技集团有限公司 神州数码信息服务集团股份有限公司 飞腾信息技术有限公司* 上海兆芯集成电路股份有限公司* FATE 开源社区* 隐语开源社区* 注：带*表示互联互通技术社区参与单位 目 录 一、背景 .....................................................1 二、实践总览 ................................................. 3 三、技术实践 ................................................. 5 （一）技术开源 ............................................ 6 （二）平台联调适配 ........................................ 9 （三）检测能力建设 ....................................... 12 （四）互联互通技术社区 ................................... 18 四、场景实践 ................................................ 21 （一）整体情况 ........................................... 21 （二）具体场景介绍 ....................................... 22 （三）场景共性问题与建议方案 ............................. 34 五、规划与展望 .............................................. 38 （一）工作规划 ........................................... 38 （二）工作建议 ........................................... 39 （三）未来展望 ........................................... 41 1 一、背景 数字经济时代，数据蕴含着巨大的经济和社会价值，深刻影 响并重构着经济社会运行和社会治理，已经成为影响未来发展的 战略性资源。党的二十届三中全会通过的《中共中央关于进一步 全面深化改革 推进中国式现代化的决定》明确提出“建设和运 营国家数据基础设施，促进数据共享”。人民银行《金融科技发 展规划（2022—2025 年）》要求“探索建立跨主体数据安全共 享隐私计算平台，在保障原始数据不出域前提下规范开展数据共 享应用”。隐私计算因其“可算不可见”的特性已然成为数据要 素流通的关键技术，但不同隐私计算平台间由于技术实现的差异 难以直接联通和复用，同一家机构对外开展隐私计算合作时往往 需要“烟囱化”部署多套平台，这不仅导致资源成本、协调成本 和运营成本的高企，还放大了系统安全风险。原本通过隐私计算 技术连接的“数据孤岛”逐渐演变为“技术孤岛”，成为掣肘数 据要素进一步有序流通的痛点问题。 自 2022 年起，在北京金融科技产业联盟数据专委会的组织 下，由中国银联牵头，联合商业银行、检测机构、互联网公司、 科技企业、通信运营商、科研院所和开源社区等 50 余家单位组 建金融业隐私计算互联互通课题工作组。经过两年多的持续攻 关，工作组形成了《金融业隐私计算互联互通技术研究报告》《金 融业隐私计算互联互通平台技术规范》（T-BFIA 031—2024）团 体标准等一系列重要成果。 2 2024 年，金融业隐私计算互联互通进入全面落地阶段，工 作组依据互联互通团体标准进行了多个层面的落地实践。本报告 汇总体现了工作组开展互联互通落地实践的阶段性成果，希望可 以为产业各方提供参考，共建隐私计算互联互通生态流通网络。 3 二、实践总览 工作组将金融业隐私计算互联互通分为四个主要阶段：技术 研究、标准研制、试点落地和行业互通。 图 1 隐私计算互联互通发展阶段 在技术研究阶段（2022 年—2023 年），工作组各参与单位 通过充分讨论弥合分歧，逐步形成了以“管理面与数据面切分， 管理面分模块定义，数据面逐步解耦”为核心特征的金融行业隐 私计算互联互通统一框架，并于 2023 年 5 月发布《金融业隐私 计算互联互通技术研究报告》；在标准研制阶段（2023 年—2024 年初），工作组以互联互通统一框架与技术攻关为基础，编制形 成《金融业隐私计算互联互通平台技术规范》团体标准，并于 2024 年 3 月正式发布实施。 以技术研究报告和团体标准为基础，工作组采用“技术生态 +业务场景”双轮驱动的模式推动互联互通进入全面试点落地的 新阶段。在技术层面，按照“可行-可用-可信”的工作思路逐步 深化，一是以技术开源的形式，发布业界首个较为完备的隐私计 4 算互联互通 API 接口规范，并根据实践情况进行勘误和更新；二 是开展平台互联互通改造联调，形成了以团标为依托的互联互通 产业测试床，目前已有 20 余家主要产业方完成了多方跨平台、 跨算法互通联调，具备支持实际业务开展的技术基础；三是构建 互联互通检测能力体系，联盟已正式授权 BCTC、国金认证等开 展检测受理工作，信通院等其他行业方也在加快推进跨行业互联 互通检测能力对标对表；此外，通过组建技术社区，集思广益推 动互联互通整体技术生态的稳步演进。在业务层面，互联互通能 够降低合作方之间的对接成本、加速实现业务落地，目前整个产 业正以百花齐放的态势广泛开展互联互通场景试点，充分表明各 方对于互联互通合作模式的认可。工作组单位参与的第一批互联 互通场景类型分布如下： 图 2 工作组单位参与的互联互通场景类型分布情况 5 三、技术实践 为推动互联互通技术落地，工作组根据互联互通标准，按照 “可行-可用-可信”的工作思路，逐步深化开展了技术开源、平 台联调适配和检测能力建设工作，并通过组建互联互通技术社区 整合各方技术力量，统筹推动技术实践工作开展与技术生态建 设。其中，技术开源工作是互联互通从标准迈向实践的第一步， 主要目的是验证互联互通在实操层面的可行性；平台联调适配工 作推动业界隐私计算平台和产品完成互联互通改造升级，验证互 联互通相关接口规范和功能模块的实际可用性，为跨机构数据合 作奠定平台互通基础；检测能力建设工作保障了互联互通平台底 座与算法的安全性和规范性，并与其他行业检测能力对齐，实现 跨平台、跨行业的兼容和互信。 图 3 互联互通技术实践整体框架图 6 （一）技术开源 1.发布 API 接口规范 v1.0 根据行业级隐私计算互联互通框架理念，互联互通标准进一 步规范了隐私计算互联互通平台所需满足的最小必要模块，明确 了管理面、数据面各层功能，以及相关技术要求、安全要求和验 证方法。但标准落地前仍面临“最后一公里”问题，行业各方在 开展隐私计算平台互联互通改造适配时迫切需要具体实操层面 的参考。为此，工作组将标准进一步翻译为技术语言，制定了业 界首个较为完备的隐私计算互联互通 API 接口级规范，并在 FATE 以及隐语开源社区发布了相关技术文档 1。 图 4 互联互通 API 接口规范开源发布 与互联互通标准相匹配，互联互通 API 接口规范主要包括管 1 隐语仓库地址 https://github.com/secretflow/InterOp，https://gitee.com/secretflow/InterOp FATE 仓库地址 https://github.com/FederatedAI/InterOp 7 理层接口、控制层接口、算法组件层接口、传输层接口、开放算 法协议以及 TEE 统一远程证明协议共六个部分。 图 5 互联互通 API 接口规范主要内容  管理层接口：包含互联互通平台的基本元素、各级资源 的互通流程及支撑互通流程的东西向接口，分层级约定了节点互 通、数据互通、项目互通、流程互通、组件互通、模型互通等资 源互通接口。  控制层接口：包含流程调度和算法容器管理。流程调度 约定了互联互通平台基于南北向、东西向的作业调度控制以及任 务调度控制接口，算法容器管理明确了平台对于算法容器的管理 机制，包含组件注册与发现以及容器管理与加载。  算法组件层接口：包括应用算法和安全算子。其中，应 用算法模块以容器镜像的形式打包存储，每一个算法组件需要具 备针对该组件的算法自描述文件以供他方算法注册与使用加载。 8 此外，算法组件层与控制层（调度层）、传输层以及系统层（计 算、存储）等均有信息交互，需要遵循相应的规范和接口。安全 算子模块向应用算法模块提供调用接口。  传输层接口：包括传输接口和传输报文约定。互联互通 传输协议是一种无状态/分布式/通用的应用层协议。  开放算法协议：根据开放算法协议要求，制定的一套推 荐的接口协议。  TEE 统一远程证明协议：从屏蔽不同 TEE 方案远程证 明流程实现差异的角度，对远程证明流程中的相关要素做统一抽 象，实现不同 TEE 方案的互联互通。 互联互通 API 接口规范与业界主流标准、技术路线完成了 兼容对齐，并配套提供了集成对接指引，以便更好地指导不同技 术架构隐私计算平台按照接口文档进行技术改造，覆盖对接流 程、常见问题及解决方案的全方位解析，有效降低了互联互通技 术实践门槛，有利于促进互联互通技术应用普及。 2.更新 API 接口规范 v1.1 互联互通 API 接口规范 v1.0 版本开源以来，在深入联调实 践的过程中，各方反馈了相关勘误信息和新增需求。经技术社区 集体审议通过，于 2024 年 12 月正式发布互联互通 API 接口规范 v1.1 版本。新版本在保持兼容性的基础上进一步提升了接口规 范的合理性与适用性，相关修订内容如下： 9 表 1 互联互通 API 接口规范 v1.1 版本勘误表 类别 接口 原内容 修订内容 管理面 接口 3.1 合作申请接口 /v1/interconn/node/contra ct/apply 请求体 inst_id、node_id、name、institution 等信息发送的是对方节点信息。 请求体 inst_id、node_id、name、 institution 等信息发送本方节点信息 给对面，对方 node_id 由请求头字段 x-target-node-id 字段进行指定。 4.3 数据集授权申请 /v1/interconn/dataset/audit /apply 请求体 audit_id、auth_scope、contract_id、 dataset_id、time_limit 请求体新增 times_limit 字段，数据 类型 int32，表述数据集访问次数限 制 4.4 数据集授权意向更新 /v1/interconn/dataset/audit /confirm 请 求 体 resource_permit 结 构 体 中 resourse_node_id、resourse_inst_id 请 求 体 中 resourse_node_id 、 resourse_inst_id 修 改 为 resource_node_id、resource_inst_id 6.1 公开组件列表查询 /v1/interconn/component/l ist 请求体 category、contractId、developer、 page_num、page_size 请求体 contractId 修改为 contract_id 控制层 接口 3.10 作业审批确认 /v1/interconn/schedule/job /audit_confirm 请求体 status 中文名为作业状态 请求体 status 中文名修改为作业审 批状态，枚举状态：REJECTED、 APPROVED 通用报 文头规 范 通用报文头规范 x-auth-sign：利用签约时指定的算法构造 的签名值，用于安全校验 x-csrf-protection：避免跨站点请求伪造攻 击，POST 时必选 x-source-node-id：请求方节点 id x-target-node_id：目的方节点 id x-nonce：系统生成的防重放随机串，如 UUID x-trace-id：业务自定义标识，用于全链路 追踪 x-timestamp：调用方毫秒时间戳 x-mprac-token-set：多方资源访问控制的许 可凭证 x-auth-sign 新增说明：节点信息查 询、合作申请、更新合作意向接口 header 无需包含 x-auth-sign，节点签 约完成后才能生成签名值； x-csrf-protection 新 增 说 明 ： x-csrf-protection 是一个 token 示例 返回体 code:200 code:0 （二）平台联调适配 1.互联互通改造 行业级互联互通能够有效降低行业隐私计算平台建设成本 10 和社会总成本，是隐私计算产业高质量发展的重要支撑。自互联 互通团体标准发布以来，业界互联互通进程明显加速，各大商业 银行及相关产业方加快开展隐私计算平台互联互通技术能力建 设工作。当前有 20 余家单位已经完成或者正在推进互联互通联 调对接，覆盖了行业主要平台方： 招商银行、浦发银行、广发银行等机构通过对自主隐私计算 平台的升级，实现了对互联互通标准的功能支持；工商银行、交 通银行、中国银行、平安银行、杭州银行等机构通过与科技公司 合作或者依托 FATE2.0 互联互通开源框架，使其平台具备了互联 互通标准对接能力；蚂蚁、字节、美团、淘天等互联网公司及电 信翼支付、联通数智等运营商也同步推进自有隐私计算平台互联 互通升级。 图 6 业界平台互联互通改造进展 2.互联互通测试床 为方便产业各方进行快速联调适配，开展平台互联互通效果 验证及算法验证，银联基于银联云环境搭建了互联互通测试床， 可支持在内网环境下与银联平台及测试床内的其他平台进行快 11 速协商及联调适配，或通过网络白名单开展跨域联调。 图7 互联互通测试床部署架构 其中，基于内网环境进行对接，可以减小网络环境对联调的 影响。内网环境下，测试床为每个机构提供一个或多个 k8s 命名 空间用于平台部署并提供基础 k8s 权限；基础组件库提供了 nginx、minio、mesh、mysql 等存储、传输组件；公共算法库提 供了银联已按照互联互通标准改造完成的算法，部署在内网环境 的平台可直接调用测试，算法更新后可第一时间进行对接测试； 公共代码库，可将源码上传至公共代码库，并提供 CICD 能力。 目前，互联互通测试床已入驻浦发、微众、电信翼支付、蓝 象、洞见、富数等相关机构的隐私计算互联互通平台，已验证的 算法包括：rsa 求交、ecdh 求交、纵向 LR 算法和纵向 XGB 算法， 其中除 ecdh 外均进行过四方联调测试，验证了多方参与环境下 运行同一隐私计算算法的可行性。 12 （三）检测能力建设 1.检测体系规划 隐私计算互联互通是一项技术繁杂、系统性强的工作，开展 跨机构和跨行业合作时，涉及多方参与者的技术实现与认知差 异，且目前缺乏统一的安全准入要求。为确保各方互联互通改造 的正确性与安全性，测评环节至关重要。互联互通标准的一项核 心特色是平台底座与算法充分解耦，这种算法可插拔式的设计助 力厘清了隐私计算平台底座与算法的安全边界，