3.2 架构设计

逻辑架构设计 #

逻辑架构定义系统各组成部分的功能及静态关系。

• 组件关系设计
  基于“服务平台+连接器”的通用模式，核心组件关系如下：

  1. 可信数据空间服务平台（中心节点）：作为空间的“总控台”，提供集中式治理功能。它与所有可信数据空间连接器交互，负责全局身份管理、元数据目录发布与发现、数字合约模板库管理、全局审计日志收集与可视化。但它不直接触碰参与方的原始业务数据。

  2. 可信数据空间连接器（边缘节点）：部署在每个参与方的安全域内，是数据主权与策略的执行终端。它向服务平台注册并同步元数据，从服务平台获取合约与策略，但最终的数据访问控制、隐私计算协作等动作都在连接器之间或连接器与本地数据源之间直接完成（P2P模式），确保数据流不经过平台，满足合规要求。

  3. 外部服务组件：系统需与权威数字身份源（如CA机构、工商数据库）对接以验证身份；可集成区块链服务（如BSN）为重要操作（如合约签署、访问日志）提供存证；可对接第三方支付与清算系统以完成交易结算。

• 数据流设计
  数据流设计需体现“元数据集中，数据分布式”和“策略驱动”原则。以一个典型的数据产品查询与使用流程为例：

  1. 发布与发现流：数据提供方在其连接器上配置数据资源，生成元数据（含使用策略），该元数据被安全同步至服务平台的目录服务。数据使用方通过平台目录或API查询并发现该资源。

  2. 协商与签约流：使用方向提供方发起使用请求。双方基于标准模板，在平台见证下达成并签署一份机器可读的数字合约（规定用途、价格、计算环境等）。合约被记录在平台和双方连接器，并可能上链存证。

  3. 执行与控制流：使用方的应用系统通过其连接器请求数据。提供方连接器收到请求后，实时验证请求是否符合数字合约条款（包括调用身份、时间、计算环境认证）。验证通过后，若为直接数据交付，则通过加密通道传输数据；若约定为隐私计算，则双方连接器会与指定的隐私计算节点协同，启动联邦学习或安全多方计算任务。

  4. 审计与结算流：所有交互日志被双方连接器发送至服务平台的审计中心。平台根据日志和合约，生成计费账单，触发清算流程。

部署架构设计 #

部署架构需在灵活性、安全性与成本间取得平衡。

• 混合部署模式

  1. 平台中心混合云部署：服务平台的核心治理模块（身份、目录、合约、审计）可采用私有云部署，以确保核心控制权与数据（元数据、日志）安全；而面向公众的开发者门户、文档中心等可采用公有云部署，以利用其弹性伸缩和全球访问能力。

  2. 连接器灵活部署：连接器作为软件组件，支持多种部署形态以适应不同参与方的IT能力：

     • 软件包/虚拟机：由参与方自行部署在其本地数据中心或私有云。

     • 云服务SaaS模式：由运营方或第三方以多租户SaaS形式提供，降低中小企业的接入门槛。

     • 一体化硬件设备：针对对安全有极高要求的机构，提供预装了连接器的软硬一体机。

• 网络拓扑设计
  网络设计需兼顾性能与隔离安全。

  1. 逻辑专网构建：建议利用VPN（如IPSec VPN） 或 软件定义广域网（SD-WAN） 技术，在所有参与方连接器与服务平台之间构建一个逻辑上的专用通信网络。这不仅能保障传输安全和质量，还能与互联网业务流量隔离。

  2. 安全域划分：网络需清晰划分多个安全域：互联网访问域（面向公众）、服务平台域（核心治理）、连接器接入域（参与方连接点）、数据计算域（隐私计算集群）。各域之间通过防火墙、网闸等设备实施严格的访问控制策略（ACL），仅开放必要的协议端口（如HTTPS、特定隐私计算协议端口）。