《多方安全計算金融應用評估規(guī)范》

1、ICS 35.240.40A11團 體 標 準T/PCAC 0009-2021多方安全計算金融應用評估規(guī)范Testing specification on secure multi-party computation financial application2021-06-29 發(fā)布 2021-06-29 實施中 國 支 付 清 算 協(xié) 會 發(fā) 布T/PCAC 0009 2021目? 錄目 ? 錄 . I前 ? 言 . II1 范圍 . HYPERLINK l _bookmark2 12 規(guī)范性引用文件 . HYPERLINK l _bookmark3 13 術語和定義 . HYPERLIN

2、K l _bookmark4 14 縮略語 . HYPERLINK l _bookmark1 25 技術評估 . HYPERLINK l _bookmark1 26 安全評估 . HYPERLINK l _bookmark5 137 性能評估 . HYPERLINK l _bookmark6 25參考性附錄 . HYPERLINK l _bookmark7 28前? 言本規(guī)范由中國支付清算協(xié)會提出。本規(guī)范由中國支付清算協(xié)會安全與技術標準專業(yè)委員會歸口。本規(guī)范主要起草單位：中國支付清算協(xié)會、中國工商銀行股份有限公司、中國農(nóng)業(yè)銀行、中國銀行股份 有限公司、交通銀行股份有限公司、中國銀聯(lián)股份有限公司

3、、中國金融電子化公司、華控清交信息科技（北 京）有限公司、北京國家金融科技認證中心、國家金融科技測評中心（銀行卡檢測中心）、中金金融認證中 心有限公司、國家應用軟件產(chǎn)品質(zhì)量監(jiān)督檢驗中心、信息產(chǎn)業(yè)信息安全測評中心、上海富數(shù)科技有限公司、 公安部第三研究所、支付寶（中國）網(wǎng)絡技術有限公司、財付通支付科技有限公司、深圳市騰訊計算機系統(tǒng) 有限公司、騰訊云計算（北京）有限責任公司、星環(huán)信息科技（上海）股份有限公司、北京百度網(wǎng)訊科技有 限公司、北京數(shù)牘科技有限公司、微眾銀行、鼎鉉商用密碼測評技術（深圳）有限公司、中互金認證有限公 司、北京瑞萊智慧科技有限公司、京東數(shù)字科技控股股份有限公司、同盾科技有限公司

4、。本規(guī)范主要起草人：陳波、于沛、相海飛、侯曉晨、高飛、薛宇、侯玉華、王潮、彭順求、陳杭、汪星 辰、鄭德署、康鑫、謝謹、王光中、周雍愷、孫權、郭大圣、馮曉文、楊祖艷、王云河、何昊青、李滸、竇 永金、王釗、渠韶光、于鴿、楊波、許中奇、鄭崢、邱曉慧、尤萌、崔虎男、張鵬、翟耀超、劉健、董晶晶、 卞陽、黃翠婷、胥怡心、張艷、宋錚、吳永強、蔣增增、羅松、章書、果倫、李逸、陳浩、謝國斌、蔡超超、 單進勇、張?zhí)煸?、嚴強、鄒超、譚銳能、李增局、聶春祺、徐世真、顧松庠、彭南博、李曉林、彭宇翔等。本規(guī)范為首次發(fā)布。IIT/PCAC 0009 2021多方安全計算金融應用評估規(guī)范1 范圍本標準規(guī)定了多方安全計算金融應

5、用的評估要求。本標準適用于多方安全計算的金融應用機構、技術服務和解決方案提供商。2 規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。JR/T 0196-2020 多方安全計算金融應用技術規(guī)范GB/T 37988-2019 信息安全技術 數(shù)據(jù)安全能力成熟度模型3 術語和定義3.1 多方安全計算 Secure Multi-Party Computation （MPC ）基于多方數(shù)據(jù)協(xié)同完成計算目標的密碼技術， 實現(xiàn)除計算結果及其可推導出的信息之外不泄漏各方隱私數(shù)據(jù)。 多方安全

6、計算常采用的技術有混淆電路 (Garbled Circuit)、不經(jīng)意傳輸 (Oblivious Transfer)、秘密分享 (Secret Sharing) 、同態(tài)加密（ Homomorphic Encryption ）等。3.2 密鑰交換 key exchange在通信實體之間安全地交換密鑰的方案， 可以使通信雙方在非安全通信線路上為信息傳送安全地交換密鑰。3.3 密碼協(xié)議 cryptographic protocol兩個或兩個以上參與者使用密碼算法，按照約定的規(guī)則，為達到某種特定目的而采取的一系列步 驟。3.4 密鑰管理 key management根據(jù)安全策略，對密鑰的產(chǎn)生、分發(fā)、存

7、儲、更新、歸檔、撤銷、備份、恢復和銷毀等密鑰全生 命周期的管理。3.5 數(shù)字簽名 digital signature簽名者使用自己的私鑰對待簽名數(shù)據(jù)的雜湊值做密碼運算得到的結果， 該結果只能用簽名者的公鑰進行驗證，用于確認待簽名數(shù)據(jù)的完整性、簽名者身份的真實性和簽名行為的抗抵賴性。3.6 MPC 精度 MPC accuracy用于衡量多方安全計算結果精確度。與相同數(shù)據(jù)明文計算結果相比，連續(xù)相同有效位數(shù)越多精度 越高。對于計算結果存在多個數(shù)值的情況，可根據(jù)實際應用度量每個數(shù)值的精度或?qū)⒍鄠€數(shù)值擬合成 一個數(shù)值后再計算精度。來源： JR/T 0196-2020.123.7 安全參數(shù) securit

8、y parameter用以衡量多方安全計算協(xié)議安全強度或破解難度的一組參數(shù)。 MP全參數(shù)主要包括不誠實門限、統(tǒng)計安全參數(shù)、計算安全參數(shù)。來源： JR/T 0196-2020.3.8 管理域 management domain管理域是一些資源的集合，域內(nèi)的行為服從于一個系統(tǒng)管理的政策。3.9 計算節(jié)點 computation node計算方執(zhí)行多方安全計算協(xié)議或算法邏輯的軟件、計算機、虛擬計算機或集群。一個計算方對應一個計算節(jié)點和管理域，對外提供一個交互接口，如 IP 地址、端口等。來源： JR/T 0196-2020.4 縮略語下列縮略語適用于本文件。API：應用程序接口（ Applicati

9、on Programming Interface ）TLS：傳輸層安全協(xié)議（ Transport Layer Security ）MPC：多方安全計算（ Secure Multi-Party Computation ）TPS: 每秒處理任務數(shù) (Transactions Per Second)5 技術評估評估項的適用性分為三類：1) M ：指該評估項是必須評估項目；2) O：指該評估項是可選評估項目；3) C：指該評估項是條件可選評估項目，即根據(jù)產(chǎn)品所聲明的能力或具體業(yè)務場景而需要滿足的要求項。5.1 參與方與工作時序5.1.1 參與方評估目的：產(chǎn)品技術框架是否涵蓋任務發(fā)起方、調(diào)度方、算法提供

10、方、數(shù)據(jù)提供方、計算方、結 果使用方等參與方類型。適用性：M評估方法：1) 查看產(chǎn)品技術文檔中與參與方、參與方關系相關的描述；2) 登陸系統(tǒng)，根據(jù)系統(tǒng)組成、角色組成判斷參與方構成和關系。 通過標準：1) 技術文檔中對參與方有相關描述，并能涵蓋全部T/PCAC 0009 20216個參與方，其中數(shù)據(jù)提供方和計算方數(shù)量大于等于 2；2) 技術文檔中具體描述了系統(tǒng)組成、角色等與參與方的對應關系；3) 產(chǎn)品實現(xiàn)與系統(tǒng)描述一致。5.1.2 工作時序評估目的：產(chǎn)品中 MP務的主要計算流程是否能夠涵蓋任務創(chuàng)建、任務分配、數(shù)據(jù)接入、任務 執(zhí)行、結果解析等步驟。適用性：M評估方法：1) 查看產(chǎn)品技術文檔中對 M

11、PC 任務計算流程的描述；2) 登陸系統(tǒng)，完成一個 MPC 任務計算流程。通過標準：1) 技術文檔中對 MPC 任務計算流程進行了描述，能夠涵蓋任務創(chuàng)建、任務分配、數(shù)據(jù)接入、任 務執(zhí)行、結果解析等步驟；2) 系統(tǒng)中 MPC 任務能夠順利執(zhí)行，工作步驟與文檔描述一致。5.2 數(shù)據(jù)輸入5.2.1 數(shù)據(jù)輸入轉化評估目的：數(shù)據(jù)提供方是否將隱私數(shù)據(jù)轉化為輸入因子并提供給指定的計算節(jié)點。適用性：M評估方法：1) 執(zhí)行 MPC 計算任務，記錄數(shù)據(jù)提供方的輸出數(shù)據(jù)和接收方；2) 檢查數(shù)據(jù)輸入轉化過程是否使用了隨機數(shù)。 通過標準：1) 輸入因子生成過程采用了隨機數(shù)，且隨機數(shù)生成算法未存在公開漏洞；2) 數(shù)據(jù)提供

12、方按照 MPC 任務配置信息將輸入因子發(fā)送給了指定計算節(jié)點 （該計算節(jié)點被該數(shù)據(jù) 提供方持有的情況可除外）。5.2.2 數(shù)據(jù)源接入評估項：數(shù)據(jù)源類型評估目的：數(shù)據(jù)提供方是否支持數(shù)據(jù)源接入，包括但不限于數(shù)據(jù)庫和文件，數(shù)據(jù)庫類型如關系型 數(shù)據(jù)庫、列式數(shù)據(jù)庫、數(shù)據(jù)倉庫等，文件類型如 txt 、 csv、 xml、 key-value 。適用性： M評估方法：1) 查看相關技術文檔中關于可支持數(shù)據(jù)源類型的描述；2) 在數(shù)據(jù)提供方上執(zhí)行相關類型數(shù)據(jù)源的導入操作。通過標準：1) 技術文檔中對可支持數(shù)據(jù)源類型進行了明確的描述；2) 數(shù)據(jù)提供方能夠?qū)爰夹g文檔中描述的數(shù)據(jù)源類型。評估項：類型擴展評估目的：數(shù)據(jù)

13、提供方是否擴展支持新的數(shù)據(jù)類型。適用性： O34評估方法：1) 查看相關技術文檔中關于對數(shù)據(jù)源類型擴展的支持方式，如配置文件、配置指令、 SDK 接口等；2) 查看與數(shù)據(jù)源類型擴展相關的配置文件、指令或接口；3) 執(zhí)行可擴展類型的數(shù)據(jù)源的導入操作。通過標準：1) 技術文檔中對可支持數(shù)據(jù)類型進行了明確的描述；2) 數(shù)據(jù)提供方能夠?qū)肱渲梦募忻枋龅臄?shù)據(jù)源類型。5.2.3 數(shù)據(jù)集管理評估項：添加與刪除評估目的：數(shù)據(jù)提供方是否支持數(shù)據(jù)集添加、刪除。適用性：M評估方法：1） 查看相關技術文檔對數(shù)據(jù)提供方在數(shù)據(jù)集管理方面功能的要求；2） 在數(shù)據(jù)提供方上執(zhí)行數(shù)據(jù)集添加、刪除操作。 通過標準：1) 相關技術

14、文檔描述了數(shù)據(jù)提供方在數(shù)據(jù)集管理方面的功能；2) 數(shù)據(jù)提供方提供了本地數(shù)據(jù)集的添加、刪除功能。評估項：指定使用方評估目的：數(shù)據(jù)提供方是否支持指定數(shù)據(jù)集的使用方；適用性：M評估方法：1) 查看數(shù)據(jù)方指定數(shù)據(jù)集使用方的方式，如一次性指定數(shù)據(jù)使用方，或者對數(shù)據(jù)使用方的每次申請進行單獨審批，并按相應的方式進行操作。通過標準：2) 數(shù)據(jù)提供方能夠?qū)?shù)據(jù)集的使用指定使用方。評估項：指定用途用量評估目的：數(shù)據(jù)提供方是否支持指定數(shù)據(jù)集用途和用量；適用性： O評估方法：1) 查看數(shù)據(jù)方指定數(shù)據(jù)集用途和用量的方式，如一次性指定，或者對數(shù)據(jù)使用方的每次申請進行單獨審批，并按相應的方式進行操作。通過標準：1） 數(shù)據(jù)提

15、供方能夠指定數(shù)據(jù)集的用途和用量。評估項：任務接入狀態(tài)查詢評估目的：數(shù)據(jù)提供方是否支持查詢數(shù)據(jù)集任務接入狀態(tài)；適用性： M評估方法：1) 任務發(fā)起方發(fā)起一個任務，符合數(shù)據(jù)提供方的數(shù)據(jù)使用授權條件，或者由數(shù)據(jù)提供方進行單 獨授權；2) 在數(shù)據(jù)提供方上查看數(shù)據(jù)集當前的任務接入狀態(tài)，如是否已綁定計算任務。T/PCAC 0009 2021通過標準：1） 能夠在數(shù)據(jù)提供方查看已授權數(shù)據(jù)集的任務接入狀態(tài)。評估項：執(zhí)行狀態(tài)查看評估目的：數(shù)據(jù)提供方是否支持監(jiān)控數(shù)據(jù)集參與計算的狀態(tài)，如正在參與計算、使用完畢等。適用性： M評估方法：1) 執(zhí)行已授權數(shù)據(jù)使用的 MP務；2) 查看正在執(zhí)行任務、或已經(jīng)執(zhí)行完畢的數(shù)據(jù)集

16、。 通過標準：1）成功執(zhí)行已授權數(shù)據(jù)使用的 MP務；2）數(shù)據(jù)提供方可查看到數(shù)據(jù)集的任務執(zhí)行狀態(tài)。5.2.4 元數(shù)據(jù)管理測試項：元數(shù)據(jù)查詢評估目的：1) 數(shù)據(jù)提供方是否使用元數(shù)據(jù)描述數(shù)據(jù)集；2) 數(shù)據(jù)提供方是否支持元數(shù)據(jù)查詢功能，包括名稱、標記、描述、大小、樣例、類型等信息。適用性：M評估方法：1) 在數(shù)據(jù)提供方上查看數(shù)據(jù)集的描述信息；2) 在數(shù)據(jù)提供方上按照元數(shù)據(jù)查詢數(shù)據(jù)集。 通過標準：1) 數(shù)據(jù)提供方在展示數(shù)據(jù)集時給出了各類元數(shù)據(jù)信息；2) 數(shù)據(jù)提供方能夠按照元數(shù)據(jù)查詢本地數(shù)據(jù)集。測試項：元數(shù)據(jù)同步評估目的：數(shù)據(jù)提供方是否支持向數(shù)據(jù)需求方提供數(shù)據(jù)集的元數(shù)據(jù)信息。適用性： O評估方法：1) 在

17、數(shù)據(jù)提供方上提交數(shù)據(jù)集的元數(shù)據(jù)信息給調(diào)度方（供其他數(shù)據(jù)需求方查詢）或直接給數(shù)據(jù) 需求方。通過標準：1） 數(shù)據(jù)提供方能夠?qū)⒃獢?shù)據(jù)信息提供給數(shù)據(jù)需求方。5.2.5 數(shù)據(jù)預處理評估目的：評估數(shù)據(jù)提供方是否具備數(shù)據(jù)存儲格式轉換等數(shù)據(jù)預處理功能。適用性： O評估方法：1) 查看相關技術文檔中關于數(shù)據(jù)預處理、數(shù)據(jù)格式轉換等方面的描述；2) 在數(shù)據(jù)提供方導入數(shù)據(jù)源，查看數(shù)據(jù)格式轉換等數(shù)據(jù)預處理效果。 通過標準：1） 數(shù)據(jù)通過預處理后可滿足后續(xù)計算任務要求。565.2.6 取消授權評估目的：數(shù)據(jù)提供方能否在任務執(zhí)行完成前取消數(shù)據(jù)的使用授權。適用性：C評估方法：1) 在數(shù)據(jù)提供方上對已經(jīng)接入任務、尚未執(zhí)行的數(shù)據(jù)

18、集取消任務接入。 通過標準：1) 數(shù)據(jù)提供方能夠?qū)σ呀尤肴蝿盏臄?shù)據(jù)集取消數(shù)據(jù)使用授權。5.2.7 存證評估目的：數(shù)據(jù)提供方是否對發(fā)送數(shù)據(jù)進行存證。適用性：M評估方法：1) 執(zhí)行 MPC 任務，查看數(shù)據(jù)提供方的存證記錄； 通過標準：1) 數(shù)據(jù)提供方在 MPC 任務執(zhí)行時對發(fā)送數(shù)據(jù)給計算節(jié)點的記錄進行了存證 據(jù)提供方持有的情況可除外）；2) 存證記錄中至少有時間戳、數(shù)據(jù)接收方、所用密碼算法等信息。5.3 算法輸入5.3.1 算法邏輯類型評估項：查詢算法評估目的：評估是否支持常見的查詢算法，如 Select 、 Sort、 Join 等。適用性：C評估方法：1) 查驗相關技術文檔，獲取支持的查詢算法

19、列表；2) 執(zhí)行 MPC 聯(lián)合查詢?nèi)蝿?，查看查詢結果。 通過標準：1) 支持常見的查詢算法，如 Select、 Sort、 Join等；2) 查詢結果與明文查詢功能保持一致。評估項：統(tǒng)計分析評估目的：評估是否支持常見的統(tǒng)計分析算法，如均值、方差、中位數(shù)等。適用性：C評估方法：1） 查驗相關技術文檔，獲取支持的統(tǒng)計分析算法列表；2） 執(zhí)行 MPC 統(tǒng)計分析操作，查看統(tǒng)計分析結果。 通過標準：1） 統(tǒng)計分析結果與明文計算結果相比，差異滿足應用對 MP度的要求。評估項：機器學習評估目的：評估是否支持常見的機器學習算法，如線性回歸、邏輯回歸、神經(jīng)網(wǎng)絡、 PCA、 決策樹、 XGBoost等，以及是否支

20、持梯度下降等常見的機器學習模型優(yōu)化算法。適用性：C評估方法：1) 查看技術文檔獲取支持的機器學習算法列表與模型優(yōu)化算法列表；（該計算節(jié)點被該數(shù)K-Means、T/PCAC 0009 20212) 執(zhí)行機器學習相關的 MPC 任務；3) 評估預測結果（準確率 /AUC 等指標）與明文預測結果的一致性。 通過標準：1) MPC 機器學習任務的訓練結果與明文訓練結果相比， 準確率和 AUC 等模型評估指標的差異滿 足應用對 MPC 精度的要求。評估項：特征工程評估目的：評估是否支持常見的特征工程算法，如采樣、特征選擇、分箱、 WO算、 one-hot 編碼等。適用性： O評估方法：1） 查驗相關技術

21、文檔，獲取支持的特征工程算法列表；2） 執(zhí)行 MPC 特征工程操作，查看特征被處理后的結果正確性。 通過標準：1） 特征被處理后結果與明文特征處理結果相比，結果一致。5.3.2 算法輸入方式評估項：高級語言輸入評估目的：評估是否支持以一種或多種常用的算法邏輯語言輸入，如 C/C+、 Python、 Java等。適用性：C評估方法：1) 查驗相關技術文檔，獲取支持的算法邏輯語言類型；2) 使用聲明的算法邏輯語言編寫代碼，執(zhí)行 MPC 任務。 通過標準：1) 按照語言類型能夠編寫代碼并生成 MPC 任務，任務輸出正確結果。評估項：算法參數(shù)輸入評估目的：評估是否支持將算法中的重要參數(shù)作為數(shù)據(jù)進行輸入

22、，如查詢條件、機器學習中的模 型參數(shù)等。適用性：C評估方法：1) 查驗相關技術文檔，檢查算法參數(shù)的輸入形式，是否支持輸入算法的重要參數(shù)，以何種形式 輸入；2) 實際驗證。 運行一個任務實例， 對已知模型進行數(shù)據(jù)預測， 將模型的參數(shù)作為隱私數(shù)據(jù)輸入。通過標準：1) 模型參數(shù)作為隱私數(shù)據(jù)輸入后能夠正確執(zhí)行 MPC 任務并輸出正確結果。評估項：輸入交互評估目的：評估是否支持常見輸入交互方式，如 Web網(wǎng)頁、命令行、 OpenAPI等。適用性： O評估方法：1) 查驗相關技術文檔，確認支持的交互方式；2) 實際驗證交互方式是否可用。 通過標準：1) 輸入交互指令后， Web端、命令行、 OpenAPI

23、 等能夠返回正確的結果，且符合交互形式對于 內(nèi)容、格式的要求。78評估項：在線編程評估目的：評估是否支持算法在線編寫、修改、調(diào)試、提交等。適用性：C評估方法：1) 查看相關技術文檔，查驗是否支持算法在線編程功能（編寫、修改、調(diào)試、提交等）；2) 實際驗證算法在線編程功能是否能正常執(zhí)行。 通過標準：1) 能夠正確完成技術文檔中聲明的在線編程功能。5.3.3 算法邏輯管理評估項： MPC引擎算法交互評估目的：評估是否將算法邏輯進行處理后交給 MPC引擎進行運算。適用性：C評估方法：1) 對于具有在線編程功能的 MPC 應用，通過編寫代碼邏輯確定并啟動 MPC 計算任務。 通過標準：1) 應能輸出算

24、法邏輯并啟動 MPC 引擎進行計算。評估項：算法邏輯交互評估目的：評估是否對輸入的算法邏輯進行列表顯示、運行狀態(tài)查看、刪除等。適用性： O評估方法：1) 查看計算任務及相應的算法邏輯；2) 查看任務運行狀態(tài)，通過刪除任務刪除算法邏輯。 通過標準：1) 能夠?qū)τ嬎闳蝿栈蛩惴ㄟ壿嬤M行列表顯示；2) 能夠查看算法邏輯所對應任務的執(zhí)行狀態(tài)，能夠刪除任務。5.4 協(xié)同計算評估項：運算類型評估目的：計算引擎是否支持加、乘、比較等常見運算。適用性：C評估方法：1) 查看技術文檔關于支持的應用類型和基本運算類型；2) 執(zhí)行 MPC 計算任務，涵蓋聲明的基本運算類型；3) 執(zhí)行完畢后，查看相應的輸出數(shù)據(jù)；4)

25、與明文計算結果比對，檢驗輸出數(shù)據(jù)是否正確。通過標準：1) 能夠成功執(zhí)行聲明的基本運算類型；2) 輸出數(shù)據(jù)正確。評估項：數(shù)值計算評估目的：計算引擎是否支持常見數(shù)值計算。T/PCAC 0009 2021適用性：M評估方法：1) 執(zhí)行常見的數(shù)值計算類（如 abs、 sqrt、 exp、 count、 max、 min等） MPC 任務；2) 在系統(tǒng)處理完后，查看相應的輸出數(shù)據(jù)；3) 檢驗輸出數(shù)據(jù)是否正確。 通過標準：1) 能夠正常執(zhí)行常見多方數(shù)值計算任務；2) 輸出數(shù)據(jù)正確。評估項：計算一致性評估目的：評估運算結果與相同數(shù)據(jù)明文計算結果是否一致。適用性：M評估方法：1) 執(zhí)行 MPC 任務；2) 在

26、系統(tǒng)處理完后，查看相應的輸出數(shù)據(jù)；3) 對應明文按照同樣計算邏輯進行計算。 通過標準：1) 能夠正常產(chǎn)生輸出數(shù)據(jù)；2) 輸出數(shù)據(jù)跟明文計算的結果一致。評估項：數(shù)據(jù)類型評估目的：計算引擎是否支持整數(shù)、小數(shù)、常見字符、字符串在內(nèi)的一種或多種基本數(shù)據(jù)類型。適用性：M 評估方法： 1) 查看技術文檔聲明支持的數(shù)據(jù)類型； 2) 發(fā)起計算任務，對聲明的數(shù)據(jù)類型逐一進行測試。 通過標準： 1) 能夠輸入特定數(shù)據(jù)類型的一種或多種，如整型（ integer、 bigint、 tinyint、 smallint ）、浮點型（float、 double、 decimal、 real ）、字符串（ char、 var

27、char）等；2) 能夠執(zhí)行特定數(shù)據(jù)類型的計算任務；3) 任務能夠正常完成，輸出結果正確。評估項：數(shù)據(jù)單元評估目的：計算引擎是否支持標量、矢量、矩陣、多維數(shù)組在內(nèi)的一種或多種基本數(shù)據(jù)單元。適用性： O評估方法：1) 查看技術文檔聲明支持的數(shù)據(jù)單元類型；2) 發(fā)起計算任務，對聲明的數(shù)據(jù)單元類型逐一進行測試。通過標準：1) 能夠輸入標量、矢量、矩陣、多維數(shù)組在內(nèi)的一種或多種基本數(shù)據(jù)單元；2) 能夠執(zhí)行所支持數(shù)據(jù)單元的 MPC 任務；3) MPC 任務能夠正常完成，輸出結果正確。評估項：管理域評估目的：每個計算節(jié)點是否有獨立的管理域。適用性：C910評估方法：1) 查看節(jié)點網(wǎng)絡環(huán)境、物理環(huán)境和安全管

28、理策略，記錄環(huán)境數(shù)據(jù)；2) 查看節(jié)點主體歸屬。 通過標準：1) 能確保每個節(jié)點有獨立的管理域，即歸屬為不同的主體方，由各主體方分別控制。評估項：算法匹配評估目的：各計算節(jié)點是否能夠?qū)?shù)據(jù)提供方提供的輸入因子匹配算法邏輯。適用性：M評估方法：1) 執(zhí)行一個或多個 MPC 任務，查看任務執(zhí)行結果。 通過標準：1) 各任務匹配成功，輸出結果正確。評估項：運算評估目的：保證直接在計算因子上完成運算，得到輸出因子。適用性：M評估方法：1) 執(zhí)行 MPC 任務， 通過抓包查看計算節(jié)點輸入數(shù)據(jù)， 檢查用于運算的數(shù)據(jù)是否全部為計算因子；2) 通過抓包查看計算節(jié)點發(fā)送給結果使用方的數(shù)據(jù)。 通過標準：1) 計算節(jié)

29、點從數(shù)據(jù)提供方獲得輸入因子，并難以從中提取或推導出任何隱私數(shù)據(jù)，計算完成后 發(fā)送輸出因子給結果使用方。評估項：緩存清除評估目的：計算節(jié)點是否能清除計算過程緩存的計算因子適用性：M評估方法：1) 查看技術文檔關于清除計算因子的說明；2) 查看清除計算因子的源代碼；3) 執(zhí)行 MPC 任務，查看源代碼執(zhí)行情況；4) 查看計算因子緩存狀態(tài)，檢查是否清除。通過標準：1) 計算節(jié)點能夠清除計算因子緩存。評估項：接收調(diào)度評估目的：計算節(jié)點是否能夠接收調(diào)度方的任務調(diào)度。適用性： O評估方法：1) 執(zhí)行 MPC 任務；2) 在調(diào)度方上查看任務調(diào)度情況（計算節(jié)點的使用情況）；3) 觀察參與計算的節(jié)點運行日志或狀

30、態(tài)。 通過標準：1) MPC 任務成功執(zhí)行，參與計算的節(jié)點有相關任務執(zhí)行日志或其它輸出，并能通過日志或其它 輸出查看其任務參與情況。T/PCAC 0009 2021評估項：并發(fā)處理評估目的：計算節(jié)點是否能并發(fā)處理不同的計算任務。適用性： O評估方法：1) 同時發(fā)起多個 MPC 任務，查看任務執(zhí)行情況；通過標準：1) 計算節(jié)點能夠成功接收多個任務并發(fā)調(diào)度且計算成功，結果顯示正確；2) 檢查多個計算任務的執(zhí)行日志和執(zhí)行時間，確認是多個任務是真正同時并行執(zhí)行的。評估項：輸出因子發(fā)送評估目的：計算節(jié)點是否支持將輸出因子發(fā)送給結果使用方進行解析。適用性：M評估方法：1) 執(zhí)行 MPC 任務，查看結果使用

31、方是否獲得輸出因子；2) 檢查結果使用方獲得的輸出因子是否與計算節(jié)點發(fā)送的輸出因子內(nèi)容一致（該計算節(jié)點被該 結果使用方持有的情況可除外）。通過標準：1) 結果使用方可以成功獲得輸出因子，且內(nèi)容與計算節(jié)點發(fā)送的內(nèi)容一致。5.5 結果輸出評估項：接收因子評估目的：結果使用方是否能夠接收計算方的輸出因子。適用性：M評估方法：1) 執(zhí)行 MPC 任務，在結果使用方上查看接收的數(shù)據(jù)，并與計算節(jié)點發(fā)送的數(shù)據(jù)進行對比。 通過標準：1) 結果使用方接收的數(shù)據(jù)與計算節(jié)點發(fā)送的一致（該計算節(jié)點被該結果使用方持有的情況可除 外）。評估項：輸出正確性評估目的：結果使用方是否能夠解析、輸出正確的計算結果。適用性：M評估

32、方法：1) 執(zhí)行 MPC 任務，查看結果使用方的輸出結果；2) 將輸出結果和基于明文數(shù)據(jù)的計算結果進行比對，驗證結果的正確性。 通過標準：1) 結果使用方將輸出因子解析為輸出結果；2) 輸出結果滿足 MPC 正確性要求。評估項：存證評估目的：結果使用方是否能夠?qū)邮盏妮敵鲆蜃舆M行存證。適用性：M評估方法：1) 執(zhí)行 MPC 任務；2) 查看結果使用方的存證記錄。1112通過標準：1) 結果使用方在 MPC 任務執(zhí)行時對接收計算方輸出因子的記錄進行了存證 （該計算方與該結果 使用方是同一參與主體的情況可除外）。2) 存證記錄中至少有時間戳、數(shù)據(jù)發(fā)送方、所用密碼算法等信息。5.6 調(diào)度管理5.6.

33、1 參與方管理評估目的：調(diào)度方是否具備對 MP參與方的管理功能，統(tǒng)一管理接入的計算節(jié)點以及數(shù)據(jù)提供 方接入的數(shù)據(jù)源，如新加入、撤銷、上下線等。適用性： O評估方法：1) 在調(diào)度方上查看其他參與方情況，如計算節(jié)點以及接入的數(shù)據(jù)源；2) 對已添加的計算節(jié)點或數(shù)據(jù)源進行上線或下線操作，在調(diào)度方上進行查看；3) 計算節(jié)點或數(shù)據(jù)源退出 MPC 計算，在調(diào)度方進行查看。通過標準：1) 調(diào)度方具備對 MPC 各參與方的管理功能，如對計算節(jié)點、數(shù)據(jù)源的加入、撤銷、上下線的管 理。5.6.2 任務配置評估項：生成任務配置評估目的：調(diào)度方是否支持與用戶交互創(chuàng)建任務，生成任務配置信息。適用性： O評估方法：1) 通

34、過與調(diào)度方交互創(chuàng)建 MPC 任務，包括指定可用的數(shù)據(jù)源、以及其他參與方等；2) 任務創(chuàng)建成功后可查看配置信息，包括所用數(shù)據(jù)源、其他參與方等。 通過標準：1) 調(diào)度方提供了與任務發(fā)起方的交互接口，能夠創(chuàng)建 MPC 任務。評估項：發(fā)送任務配置評估目的：調(diào)度方是否能夠?qū)⒕唧w任務配置信息分發(fā)給數(shù)據(jù)提供方、計算方、結果使用方。適用性：M評估方法：1) 創(chuàng)建任務，查看任務配置信息；2) 執(zhí)行任務，查看任務執(zhí)行結果。 通過標準：1) 數(shù)據(jù)提供方、計算方、結果使用方能夠按照統(tǒng)一的任務配置信息成功執(zhí)行任務、獲得任務結 果。5.6.3 任務執(zhí)行評估項：多任務調(diào)度評估目的：調(diào)度方是否對多任務執(zhí)行進行統(tǒng)一調(diào)度，如任務

35、排隊、負載以及優(yōu)先級調(diào)度。適用性：C評估方法：1) 對于支持多任務處理的 MPC 系統(tǒng)，同時發(fā)起多個 MPC 任務，查看任務執(zhí)行情況；T/PCAC 0009 2021通過標準：1) 多任務處理系統(tǒng)能夠?qū)θ蝿者M行調(diào)度管理，如排隊、負載、優(yōu)先級調(diào)度等；2) 多任務都能夠執(zhí)行成功，輸出執(zhí)行結果。評估項：任務執(zhí)行結果保存評估目的：調(diào)度方是否能夠保存任務的執(zhí)行結果，如執(zhí)行結果成功等 。適用性： O評估方法：1) 執(zhí)行 MPC 任務，查看任務執(zhí)行情況；通過標準：1) 能夠查看已經(jīng)完成的任務的執(zhí)行結果，如執(zhí)行成功或失敗情況。評估項：任務執(zhí)行監(jiān)控評估目的：調(diào)度方是否監(jiān)控、管理任務執(zhí)行過程，直至任務執(zhí)行結束并展

36、示執(zhí)行結果。適用性：M評估方法：1) 執(zhí)行 MPC 任務，查看任務的執(zhí)行過程和執(zhí)行結果；2) 查看已發(fā)生過的執(zhí)行記錄。通過標準：1) 能夠展示任務的執(zhí)行過程和最后結果；2) 能夠展示已發(fā)生任務的執(zhí)行結果。評估項：任務動態(tài)分配評估目的：1) 調(diào)度方是否支持基于計算節(jié)點動態(tài)發(fā)現(xiàn)、任務動態(tài)分配；2) 調(diào)度方是否支持任務量動態(tài)變化。適用性： O評估方法：1) 添加計算節(jié)點，執(zhí)行多任務，查看任務分配情況；2) 查看任務量發(fā)生變化時的任務執(zhí)行情況。通過標準：1) 能夠發(fā)現(xiàn)新添加的計算節(jié)點，并給新節(jié)點分配計算任務，能將新節(jié)點納入整體任務分配體系 中；2) 任務量發(fā)生變化時通過增加服務能力仍能保證任務正常執(zhí)行

37、；3) 當某個計算節(jié)點空閑時能夠自動分配剩余任務執(zhí)行。6 安全評估6.1 協(xié)議安全6.1.1 基本安全要求評估項： 隱私數(shù)據(jù)安全評估目的： MPC 協(xié)議保證除計算結果及其可推導出的信息之外，不泄漏各方隱私數(shù)據(jù)。適用性：M評估方法：13141） 查閱產(chǎn)品手冊、設計文檔、原理說明等材料，確認所采用的協(xié)議能夠保證隱私數(shù)據(jù)安全；2） 訪談 MPC 金融應用主要技術負責人，及檢查代碼，確認采用上述協(xié)議；3） 提供 MPC 協(xié)議安全性論證材料，包括已發(fā)表的論文證明或由專家對協(xié)議安全進行評審；4） 執(zhí)行 MPC 計算任務，查看所有系統(tǒng)過程信息以及系統(tǒng)日志，確認沒有隱私數(shù)據(jù)泄露。 通過標準：1） 提供的資料能

38、夠證明所采用的 MPC 協(xié)議能夠保證除了計算結果及其可推導出的信息之外， 不 泄露各方隱私數(shù)據(jù)；2） 人員訪談及代碼檢查，均確認采用上述 MPC 協(xié)議；3） MPC 協(xié)議安全性具備已發(fā)表的論文證明或由專家對協(xié)議安全進行評審并出具證明材料；4） MPC 計算任務成功執(zhí)行，系統(tǒng)過程信息及日志，均沒有隱私數(shù)據(jù)泄露。評估項： 計算結果正確評估目的： MPC 協(xié)議保證除異常終止外輸出計算結果的正確性。適用性：M評估方法：1） 查閱產(chǎn)品手冊、設計文檔、原理說明等材料，確認計算邏輯正確性和計算結果的準確性；2） 訪談 MPC 金融應用主要技術負責人及檢查代碼，確認采用上述協(xié)議；3） 提供 MPC 協(xié)議安全性

39、論證材料，包括已發(fā)表的論文證明或由專家對協(xié)議安全進行評審；4） 執(zhí)行 MPC 計算任務，查看計算結果的正確性。 通過標準：1） 提供的資料能夠證明所采用的 MPC 協(xié)議，能夠保證計算結果的正確性；2） 人員訪談及代碼檢查，均確認采用上述 MPC 協(xié)議；3） MPC 協(xié)議計算結果正確性具備已發(fā)表的論文證明或由專家對協(xié)議安全進行評審并出具證明 材料；4） MPC 計算任務成功執(zhí)行，計算結果符合預期。評估項： 協(xié)議公平性評估目的： MPC 協(xié)議，是否保證協(xié)議的公平性，僅當誠實的參與方獲得計算輸出的時候，不誠實的參與方才能獲得計算輸出。適用性： O評估方法：1) 查閱產(chǎn)品手冊、設計文檔、原理說明等材料

40、，確認協(xié)議的公平性；2) 訪談 MPC 金融應用主要技術負責人，及檢查代碼，確認采用上述協(xié)議；3) 組織專家評審，確認 MPC 協(xié)議滿足公平性要求；4) 提供 MPC 協(xié)議公平性論證材料，包括已發(fā)表的論文證明或由專家對協(xié)議安全進行評審。通過標準：1) 提供的資料能夠證明所采用的 MPC 協(xié)議，能夠保證協(xié)議公平性；2) 人員訪談及代碼檢查，均確認采用上述 MPC 協(xié)議；3) MPC 協(xié)議公平性具備已發(fā)表的論文證明或由專家對協(xié)議安全進行評審并出具證明材料。評估項： 輸入數(shù)據(jù)獨立性評估目的： MPC 協(xié)議，是否保證輸入數(shù)據(jù)的獨立性，多個數(shù)據(jù)提供方在構建輸入數(shù)據(jù)時是相互獨立。適用性： O評估方法：1）

41、 查閱產(chǎn)品手冊、設計文檔、原理說明等材料，確認輸入數(shù)據(jù)的獨立性；T/PCAC 0009 20212） 訪談 MPC 金融應用主要技術負責人，及檢查代碼，確認采用上述協(xié)議；3） 組織專家評審，確認 MPC 協(xié)議滿足輸入數(shù)據(jù)獨立性要求。通過標準：1) 提供的資料能夠證明所采用的 MPC 協(xié)議，能夠保證輸入數(shù)據(jù)的獨立性；2) 人員訪談及代碼檢查，均確認采用上述 MPC 協(xié)議；3) MPC 協(xié)議的輸入數(shù)據(jù)獨立性具備已發(fā)表的論文證明或由專家對協(xié)議安全進行評審并出具證 明材料。6.1.2 安全模型評估項：半誠實模型a) 評估目的： 在 MPC應用中應根據(jù)相應的安全模型選擇和管理各參與主體， MPC的金融業(yè)

42、務系統(tǒng)應保證半誠實模型下 MPC協(xié)議的使用場景中相應參與方均為半誠實。適用性： C(如果MP用支持半誠實模型，必測)評估方法：1） 查閱產(chǎn)品手冊、設計文檔、原理說明等材料，分析在半誠實模型下，是否所有參與方均是半 誠實的；2） 訪談 MPC 金融應用主要技術負責人，確認采用上述方案；3） 查看系統(tǒng)，包括參與方的配置文件、參數(shù)設置、網(wǎng)絡配置等，確認采用上述方案。 通過標準：1) 半誠實模型下，各參與方都是半誠實。b) 評估目的：在 MPC 金融應用中，在半誠實模型下采用的 MPC 協(xié)議的安全性是否滿足要求。適用性： C(如果MP用支持半誠實模型，必測)評估方法：1） 提供 MPC 協(xié)議在半誠實模

43、型下的安全性論證材料， 包括已發(fā)表的論文證明或由專家對協(xié)議安 全進行評審 ；2） 運行 MPC 計算任務，查看任務執(zhí)行的計算因子，是否與協(xié)議聲明一致。 通過標準：1） MPC 協(xié)議在半誠實模型下的安全性論證具備已發(fā)表的論文證明或由專家對協(xié)議安全進行評 審并出具證明材料；2） MPC 計算任務產(chǎn)生的計算因子與協(xié)議聲明一致。評估項：惡意模型a) 評估目的： 在MPC 金融應用，可以根據(jù)相應的安全模型選擇和管理各個參與主體。其中在實際應用場景中， MPC金融業(yè)務系統(tǒng)應保證惡意模型下 MPC協(xié)議的使用場景中不誠實參與方的數(shù)量不超過協(xié)議的不誠實門限。適用性： C(如果MP用支持惡意模型，必測)評估方法：

44、1） 查閱資料， 包括協(xié)議設計文檔和技術文檔， 檢查在實際應用場景中， 可能合謀的參與方數(shù)量， 是否超過 MPC 協(xié)議的不誠實門限；2） 訪談多方安全金融應用主要技術負責人，確認采用上述方案；3） 查看系統(tǒng)，包括參與方的配置文件、參數(shù)設置、網(wǎng)絡配置等，確認采用上述方案。通過標準：1) MPC金融業(yè)務系統(tǒng)中不誠實參與方數(shù)量不會超過 MPC 協(xié)議的不誠實門限。b) 評估目的：在 MPC 金融應用中，在惡意模型下采用的 MPC 協(xié)議的安全性是否滿足要求1516適用性： C(如果MP用支持惡意模型，必測)評估方法：1） 提供 MPC 協(xié)議在惡意模型下的安全性論證材料， 包括已發(fā)表的論文證明或由專家對協(xié)

45、議安全 進行評審；2） 運行 MPC 計算任務，查看任務執(zhí)行的計算因子，是否與協(xié)議聲明一致；3） 系統(tǒng)應提供惡意參與方模擬測試功能，披露相關設計和代碼，模擬惡意計算節(jié)點隨機將正確的計算因子替換成隨機數(shù)，實現(xiàn)錯誤注入，運行 MPC計算任務，評估系統(tǒng)是否能檢測錯誤并中止，拒絕輸出結果。通過標準：1） MPC 協(xié)議在惡意模型下的安全性論證具備已發(fā)表的論文證明或由專家對協(xié)議安全進行評審 并出具證明材料；2） MPC 計算任務產(chǎn)生的計算因子與協(xié)議聲明一致；3） MPC 計算任務在錯誤注入之后中止，拒絕輸出結果，錯誤注入功能的代碼與惡意參與方模擬 的設計一致。6.1.3 安全參數(shù)評估項： 統(tǒng)計安全參數(shù)（

46、l）評估目的： 在MPC 金融應用中，采用的 MPC 協(xié)議，統(tǒng)計安全參數(shù) (l) 應不低于 30。適用性：C評估方法：1） 查閱資料，包括 MPC 協(xié)議設計文檔，原理資料，統(tǒng)計安全參數(shù) (l)論證材料等，確定統(tǒng)計安全 參數(shù)(l) 的大?。?） 測試系統(tǒng)，根據(jù)上述協(xié)議，對輸入數(shù)據(jù)進行計算因子生成測試。通過標準：1） 通過資料分析與論證，采用的 MPC 協(xié)議的統(tǒng)計安全參數(shù) (l)不低于 30；2） 通過理論推導，確定根據(jù)輸入數(shù)據(jù)產(chǎn)生的計算因子的概率分布，與不知道輸入數(shù)據(jù)隨機模擬 的計算因子的概率分布，兩者在統(tǒng)計上不可區(qū)分（統(tǒng)計距離不高于2 -30 ）。評估項： 計算安全參數(shù)（ k）評估目的：在 M

47、PC 金融應用中，采用的 MPC 協(xié)議，計算安全參數(shù) (k)應不低于 112適用性：M評估方法：1） 查閱資料，包括 MPC 協(xié)議設計文檔，原理資料，計算安全參數(shù) (k)論證材料等，確定計算安全參數(shù)(k) 的大小；2） 測試系統(tǒng)：基于上述協(xié)議，推導多項式時間攻擊者破解 MPC 協(xié)議的計算復雜度。通過標準：1) 通過資料分析與論證，采用的 MPC 協(xié)議的計算安全參數(shù) (k)不低于 112；2) 通過原理推導，確定多項式時間攻擊者破解 MPC 協(xié)議的計算復雜度不低于 O(2 112 )。6.2 隱私數(shù)據(jù)安全隱私數(shù)據(jù)包括數(shù)據(jù)提供方輸入的數(shù)據(jù)、結果使用方獲得的數(shù)據(jù)，以及算法參數(shù)和模型參數(shù)中需要 被保護

48、的數(shù)據(jù)。在實施評估工作前，根據(jù)被測系統(tǒng)的文檔描述及相關評估報告，確定隱私數(shù)據(jù)范圍，確定包括算法參數(shù)及模型參數(shù)在內(nèi)的隱私數(shù)據(jù)的整個生命周期是否在設計文檔中詳細描述，需要依據(jù) GBTT/PCAC 0009 202137988-2019 信息安全技術 數(shù)據(jù)安全能力成熟度模型。確定文檔中描述的 MP議與專家評審中通過的MP議一致。6.2.1 應用過程隱私安全要求評估目的：每個計算節(jié)點在整個計算過程中是否都無法提取或推導其他參與方的任何隱私信息， 最終的輸出結果也不會出現(xiàn)在計算節(jié)點內(nèi)，確保應用過程的隱私性。適用性：M評估方法：1) 查閱產(chǎn)品所使用的安全交互模型、安全報告，以及運行的配置文件等信息；2)

49、利用專業(yè)工具，通過對目標系統(tǒng)的掃描、探測、抓包等操作，使其產(chǎn)生特定的響應等活動，通過分析響應結果，獲取證據(jù)以證明對端獲取的網(wǎng)絡報文是否存在隱私數(shù)據(jù)的泄露。通過標準：1) 根據(jù)產(chǎn)品配置信息和配置文件，確定計算節(jié)點，分析計算節(jié)點的日志中不含有未授權的隱私 數(shù)據(jù)；2) 根據(jù)產(chǎn)品配置信息和配置文件，確定結果節(jié)點，分析結果節(jié)點的日志中不含有未授權的隱私 數(shù)據(jù)；3) 運行系統(tǒng)，監(jiān)聽網(wǎng)絡通信接口，截獲數(shù)據(jù)流，分析非數(shù)據(jù)方節(jié)點的數(shù)據(jù)，其中不含未授權的 隱私數(shù)據(jù)。6.2.2 其他參與方安全要求評估目的：保證計算過程中是否不出現(xiàn)其他參與方的隱私信息。適用性：M評估方法：1） 利用專業(yè)工具，通過對目標系統(tǒng)的掃描、探

50、測等操作，使其產(chǎn)生特定的響應等活動，通過分 析響應結果，獲取證據(jù)以證明信息系統(tǒng)的基本要求、性能、安全性是否得以有效實施。通過標準：1） 運行系統(tǒng)，監(jiān)聽網(wǎng)絡通信接口，截取數(shù)據(jù)流，分析數(shù)據(jù)中不含有隱私數(shù)據(jù)。6.2.3 隱私數(shù)據(jù)獲取安全要求評估目的：保證數(shù)據(jù)提供方的隱私數(shù)據(jù)不被其他參與方獲取，結果使用方從結果信息推導出的信 息除外。適用性：M評估方法：1) 查閱設計文檔、系統(tǒng)配置文件等相關材料；2) 利用專業(yè)工具，通過對目標系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應等活動，通過分 析響應結果，獲取證據(jù)以證明信息系統(tǒng)的安全性是否得以有效實施。通過標準1) 查看設計文檔，系統(tǒng)設計中采用的算法是可信的 M

51、P法；2) 查看系統(tǒng)配置文件，確定各個參與方已經(jīng)正確配置，權限合理；3) 運行系統(tǒng)，監(jiān)控非數(shù)據(jù)方的網(wǎng)絡通信接口，截取數(shù)據(jù)流，分析數(shù)據(jù)中不含有隱私數(shù)據(jù)。6.2.4 計算結果隱私安全要求評估目的：保證計算結果只被結果使用方獲取，而不會被其他參與方知曉，保障結果隱私性。適用性：M評估方法：查閱資料、測試系統(tǒng)17181) 查閱設計文檔、系統(tǒng)配置文件等相關材料；2) 利用專業(yè)工具，通過對目標系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應等活動，通過分析響應結果，獲取證據(jù)以證明信息系統(tǒng)的基本要求、性能、安全性是否得以有效實施。 通過標準：1) 查看設計文檔，系統(tǒng)設計中采用的算法是可信的 MP法；2) 查看系統(tǒng)

52、配置文件，確定各個參與方已經(jīng)正確配置，權限合理；3) 運行系統(tǒng)，查看任務列表，結果方下載計算結果。監(jiān)控各方的網(wǎng)絡通信接口，截取數(shù)據(jù)流， 分析除結果方外數(shù)據(jù)中不含有隱私數(shù)據(jù)；4) 僅結果使用方獲得計算結果，非結果方無法獲得計算結果。6.2.5 防單點故障擴散要求評估目的：采取措施加強每個節(jié)點的隱私保護能力，不應因單點出現(xiàn)故障而泄露任何一方的有關 信息。適用性：M評估方法：1) 利用專業(yè)工具，通過對目標系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應等活動，通過分析響應結果，獲取證據(jù)以證明信息系統(tǒng)的基本要求、性能、安全性是否得以有效實施。 通過標準：1) 根據(jù)系統(tǒng)配置，逐一將數(shù)據(jù)提供方子節(jié)點、計算方子節(jié)

53、點、算法方子節(jié)點、結果方子節(jié)點進 行故障模擬配置；2) 運行系統(tǒng)，查看任務列表中任務狀態(tài)，監(jiān)控數(shù)據(jù)流，隱私數(shù)據(jù)不應有泄露的情況。6.2.6 模型隱私安全要求評估目的：是否能將算法參數(shù)、模型參數(shù)作為隱私數(shù)據(jù)來保證算法和模型的安全。適用性：M評估方法：1) 查閱審計報告、自查報告、外部評估報告、設計文檔、開發(fā)文檔、用戶文檔、管理文檔、產(chǎn) 品檢測報告等相關材料；2) 查看系統(tǒng)日志、配置文件、參數(shù)設置、產(chǎn)品版本、網(wǎng)絡配置等；3) 利用專業(yè)工具，通過對目標系統(tǒng)的掃描、探測等操作，使其產(chǎn)生特定的響應等活動，通過分析響應結果，獲取證據(jù)以證明信息系統(tǒng)的基本要求、性能、安全性是否得以有效實施。通過標準：1) 查

54、看產(chǎn)品設計手冊及產(chǎn)品自檢報告，確定各參與方采用的安全模型種類及參數(shù)；2) 查看系統(tǒng)配置，確定與產(chǎn)品設計手冊一致；3) 運行測試系統(tǒng)記錄安全模型的整個執(zhí)行流程及相關數(shù)據(jù)，備案；4) 確認算法參數(shù)、模型參數(shù)可以作為隱私數(shù)據(jù)來保證算法和模型的安全。6.2.7 算法邏輯安全要求評估目的：在 MPC 金融應用中，輸入的應用算法邏輯是否存在安全漏洞導致隱私數(shù)據(jù)泄露。適用性： O評估方法：1) 查閱產(chǎn)品手冊、設計文檔、原理說明等材料，分析是否具有應用算法邏輯安全性審查機制；2) 訪談 MPC 金融應用主要技術負責人和查看系統(tǒng)，確認采用上述方案；3) 運行不安全的 MPC 應用算法邏輯，確認系統(tǒng)是否有安全性審

55、查機制。T/PCAC 0009 2021通過標準：1) 提供的資料能夠證明具有應用算法邏輯安全性審查機制；2) 人員訪談及系統(tǒng)檢查，均確認采用上述應用算法邏輯安全性審查機制；3) 運行不安全的 MPC 應用算法邏輯后， 系統(tǒng)能夠進行相應的算法邏輯安全性審查， 識別出 MPC 應用算法邏輯的安全性問題，并執(zhí)行相應的處理機制。6.2.8 個人金融信息保護評估目的： MP融應用所涉及的其他數(shù)據(jù)應符合國家法律法規(guī)與行業(yè)主管部門有關規(guī)定的要求。 適用性： C （業(yè)務系統(tǒng)檢測）評估方法：1) 查閱業(yè)務系統(tǒng)的隱私數(shù)據(jù)保護策略、公司管理規(guī)定等材料，從個人信息的收集、傳輸、存儲和使用等個人信息的全生命周期，分析

56、是否符合 JRT 0171-2020 個人金融信息保護技術規(guī)范；2) 訪談 MPC 金融應用業(yè)務系統(tǒng)負責人，確認符合上述管理規(guī)定和保護策略的要求；通過標準：1) 提供MP融應用業(yè)務系統(tǒng)個人金融信息保護的評估報告；2) 人員訪談及系統(tǒng)檢查，個人信息的收集、傳輸、存儲和使用均符合個人金融信息保護技術規(guī) 范要求；6.3 認證授權6.3.1 身份認證要求a) 評估目的：檢查多方安全計算應用各參與方之間進行通信時相互之間是否進行身份認證。 適用性：M評估方法：1） 查看系統(tǒng)設計說明文檔，是否提供各參與方之間進行通信時的雙向身份認證的機制；2） 啟動一個多方安全計算任務，抓取參與方之間進行通信的數(shù)據(jù)包，分

57、析、確認是否正確采用了文檔中描述的身份認證機制。通過標準:1） 設計文檔說明了各參與方之間的通信采用了基于密碼技術的雙向身份認證機制；2） 經(jīng)測試，參與方之間通信時采用了基于密碼技術的雙向身份認證機制。b) 評估目的：檢查多方安全計算應用是否具備對接入系統(tǒng)用戶的身份鑒別能力。適用性：M評估方法：1） 檢查對接入系統(tǒng)的用戶是否提供身份鑒別能力，例如，口令認證、證書認證、令牌認證等；2） 以正確的鑒別信息和錯誤的鑒別信息，分別嘗試進入系統(tǒng)，檢查是否僅在輸入正確的鑒別信息才能進入系統(tǒng)并執(zhí)行相關操作。通過標準 :1） 系統(tǒng)對用戶進入系統(tǒng)要求進行身份鑒別；2） 系統(tǒng)具有明確的錯誤鑒別次數(shù)；3） 僅允許輸

58、入正確的鑒別信息才能進入系統(tǒng)并執(zhí)行相關操作。c) 評估目的：檢查多方安全計算應用是否對各參與方進行相應的權限設置和控制，避免出現(xiàn)信 息泄露或操作風險。適用性：M評估方法：19201) 按照說明文檔，以系統(tǒng)管理員身份對各參與方設置權限控制策略；2) 啟動一個多方安全計算任務，以參與方身份訪問權限范圍內(nèi)的數(shù)據(jù)，查看是否訪問成功；3) 以參與方身份嘗試繞過權限設置訪問權限范圍外的數(shù)據(jù)， 查看是否存在權限控制策略被繞過 的情形。通過標準 :1） 為各參與方分配相應的權限，設置了權限控制策略；2） 經(jīng)測試，各參與方能夠成功訪問權限范圍內(nèi)的數(shù)據(jù)；3） 經(jīng)測試，各參與方的訪問權限不超過預定義的范圍，無法訪問

59、權限范圍外的數(shù)據(jù)。d) 評估目的： 檢查多方安全計算應用對接入系統(tǒng)用戶的身份鑒別是否采用兩種或兩種以上組合 的認證方式實現(xiàn)用戶身份認證。適用性：O評估方法： 1）查閱技術文檔，確定系統(tǒng)是否支持兩種或兩種以上組合認證方式實現(xiàn)用戶身份認證；2）測試驗證同一用戶身份認證方式是否采用兩種或兩種以上的身份認證方式，如口令 +數(shù)字證書或口令+令牌等。通過標準：1) 系統(tǒng)支持兩種或兩種以上組合認證方式實現(xiàn)用戶身份認證；2) 同一用戶采用兩種或兩種以上組合的認證方式實現(xiàn)用戶身份認證。6.3.2 數(shù)據(jù)使用授權要求a) 評估目的： 檢查多方安全計算應用的調(diào)度方是否能夠?qū)ξ幢皇跈嗟挠嬎阏埱髤f(xié)調(diào)發(fā)起數(shù)據(jù)使 用授權申請

60、，申請內(nèi)容應包含數(shù)據(jù)使用方證書、數(shù)據(jù)使用范圍、數(shù)據(jù)使用期限等。檢查多方安全計算 應用是否在數(shù)據(jù)提供方同意后向使用方發(fā)送授權，用于后續(xù)計算時的權限認證。適用性： O評估方法:1） 驗證調(diào)度方是否可以對未被授權的請求協(xié)調(diào)發(fā)起數(shù)據(jù)使用權限申請；2） 驗證授權使用申請的內(nèi)容是否包含了數(shù)據(jù)使用方證書、 數(shù)據(jù)使用范圍、 數(shù)據(jù)使用期限等條件；3） 驗證數(shù)據(jù)提供方是否可以對申請內(nèi)容進行驗證并授權。通過標準：1） 調(diào)度方可以對未授權的計算請求協(xié)調(diào)使用授權申請；2） 申請的內(nèi)容包含了數(shù)據(jù)使用方證書、數(shù)據(jù)使用范圍、數(shù)據(jù)使用期限；3） 數(shù)據(jù)提供方可以根據(jù)申請內(nèi)容進行授權，同意后可以向使用方發(fā)送授權用于后續(xù)計算時的權